Fundamentos de Seguridad en Redes Informáticas

El modelo OSI es un modelo conceptual que define los niveles o capas de hardware y software de las redes de comunicaciones de datos por donde circula la información. Cada nivel presenta diferentes vulnerabilidades que deben ser consideradas para una protección efectiva.

Ataques de Denegación de Servicio (DoS) en Redes

Los ataques de denegación de servicio buscan saturar los recursos de un sistema o red, impidiendo que los usuarios legítimos accedan a los servicios. Algunos tipos comunes incluyen:

• Inundación de IP: Envío masivo de tráfico para consumir un gran ancho de banda.
• Falsificación de IP de Origen: El atacante oculta su identidad utilizando una dirección IP falsa.
• Ataque de Broadcast: El atacante falsifica la IP de origen indicando la dirección de broadcast de una red, provocando que todos los equipos de esa red respondan a la víctima.
• Smurf: El atacante envía paquetes de difusión con la IP de la víctima como origen, lo que provoca que esta reciba respuestas masivas del resto de equipos de la red.
• DDoS (Denegación de Servicio Distribuida): Se realizan de forma distribuida mediante equipos ‘zombies’ controlados por una botnet, amplificando el impacto del ataque.

Monitorización de Redes

La monitorización de redes es esencial para conocer el comportamiento del tráfico y detectar usos indebidos que puedan ocasionar un consumo excesivo de recursos o indicar una intrusión. Las técnicas principales son:

• Port Mirroring: Se configura un dispositivo de red (como un switch) para reenviar una copia del tráfico de uno o varios puertos a una herramienta de monitorización.
• Network Tap: Utiliza un dispositivo de hardware dedicado que permite acceder al tráfico de datos en un punto de la red donde no es posible usar port mirroring, garantizando una copia exacta del tráfico.

Técnicas de Protección con Cortafuegos (Firewalls)

Los cortafuegos (firewalls) son sistemas de seguridad que controlan el tráfico de red entrante y saliente basándose en un conjunto de reglas predefinidas. Existen diversas arquitecturas para su implementación:

• Dual-Homed Host: Utiliza un equipo con dos o más tarjetas de red. Una se conecta a la red interna que se desea proteger y otra a la red externa (normalmente internet). Todo el tráfico estará aislado y deberá pasar a través del firewall instalado en el equipo bastión. Si se desea permitir algún servicio, será necesario utilizar un proxy en el bastión.
• Screened-Host: Combina el uso de un router con un equipo bastión, de modo que el filtrado de paquetes se produce en primer lugar en el router. Existen dos opciones principales:
  • El router permite la salida de algunos servicios, como la navegación web.
  • El router prohíbe todo el tráfico de la red interna hacia internet, requiriendo el acceso a servicios a través de la máquina bastión.
• Screened-Subnet: El equipo bastión se aísla en una red perimetral, conocida como Zona Desmilitarizada (DMZ), que se sitúa entre la red externa y la interna. El router externo filtra la entrada de tráfico desde la red externa y la salida hacia la misma, mientras que el router interno se encarga de filtrar el tráfico generado entre la DMZ y la red interna.

Sistemas de Detección y Prevención de Intrusiones (IDS/IPS)

Estos sistemas son fundamentales para identificar y mitigar actividades maliciosas en la red.

Sistemas de Detección de Intrusos (IDS)

Un IDS es un elemento pasivo que detecta ataques y actividades sospechosas, pero no los elimina ni los bloquea directamente. Se clasifican en:

• HIDS (Host-based IDS): Monitoriza y protege un equipo individual.
• NIDS (Network-based IDS): Monitoriza y protege una red completa.
• DIDS (Distributed IDS): Dispone de múltiples NIDS distribuidos y gestionados por una consola centralizada.

Sistemas de Prevención de Intrusos (IPS)

Un IPS es un elemento activo que no solo detecta ataques, sino que también trata de neutralizarlos. Generalmente, está formado por un IDS y un cortafuegos que modifica sus reglas dinámicamente para evitar accesos no autorizados.

Funcionalidades Comunes de IDS e IPS

Ambos sistemas comparten objetivos clave en la seguridad de la red:

• Detectar las acciones en la red que no se ajustan a la política de seguridad de la empresa.
• Proteger los sistemas y los datos críticos mediante la evaluación continua.
• Detectar cambios no autorizados en la configuración o el comportamiento de la red.
• Corregir defectos o vulnerabilidades conocidas.
• Analizar el tráfico de red en tiempo real.
• Realizar análisis de protocolo para identificar anomalías.

Zonas Desmilitarizadas (DMZ)

Una DMZ es una red intermediaria que alberga servidores (como servidores web, de correo o DNS) entre la red interna de una empresa y una red externa (internet), incrementando significativamente la seguridad. Es crucial que no se permitan conexiones directas desde la DMZ a la red interna, forzando todo el tráfico a pasar por los firewalls.

Servidores Proxy

Un servidor proxy es un servicio instalado en un servidor o dispositivo dedicado que actúa como intermediario entre los clientes de una red interna y los servidores externos a los que solicitan un determinado servicio (comúnmente HTTP).

Ventajas de los Servidores Proxy

• La navegación puede ser más rápida gracias al almacenamiento en caché de contenidos.
• Proporciona seguridad al ocultar las direcciones IP internas, ya que todos los usuarios de la red interna comparten una única dirección IP pública.
• Permite la implementación de filtros de contenidos y listas de control de acceso.
• Facilita la auditoría del tráfico de red.
• Contribuye a la gestión unificada de amenazas.

Gestión Unificada de Amenazas (UTM)

Los dispositivos UTM (Unified Threat Management) son soluciones de seguridad que combinan distintas técnicas y funcionalidades (como firewall, antivirus, IPS, VPN, filtrado de contenido, etc.) en un único aparato, simplificando la gestión de la seguridad.

Seguridad en Redes Inalámbricas

Las redes inalámbricas presentan desafíos de seguridad específicos debido a la naturaleza de su medio de transmisión.

Tipos de Ataques en Redes Inalámbricas

• Ataques de Denegación de Servicio: Interrupción del servicio inalámbrico.
• Escuchas del Tráfico en la Red: Interceptación de datos transmitidos por el aire.
• Inyección de Tráfico: Introducción de paquetes maliciosos en la red.
• Conexión No Autorizada: Acceso a la red por parte de usuarios no permitidos.
• Ataques de Acceso: Intentos de obtener credenciales o acceso privilegiado.

Mecanismos de Seguridad en Redes Inalámbricas

La evolución de los protocolos de seguridad ha buscado mitigar las vulnerabilidades:

• WEP (Wired Equivalent Privacy): Presenta graves fallos de seguridad en su mecanismo de cifrado, siendo obsoleto y vulnerable.
• WPA (Wi-Fi Protected Access): Ofrece mayor protección que WEP al utilizar el protocolo TKIP (Temporal Key Integrity Protocol), mejorando la gestión de claves.
• WPA2 (Wi-Fi Protected Access II): Considerado el mecanismo de seguridad más adecuado durante mucho tiempo. Ofrece un cifrado robusto basado en AES (Advanced Encryption Standard).
• WPA3 (Wi-Fi Protected Access III): La última generación, que mejora la seguridad al introducir el protocolo SAE (Simultaneous Authentication of Equals) para un intercambio de claves más seguro. Con DPP (Device Provisioning Protocol), los usuarios pueden conectar dispositivos a la red utilizando métodos sencillos como códigos QR o etiquetas NFC, sin transmitir contraseñas al aire.

Otras Medidas de Seguridad Complementarias

Además de los protocolos de cifrado, existen otras prácticas para fortalecer la seguridad de las redes:

• Filtrado de Direcciones MAC: Permite o deniega el acceso a la red basándose en la dirección MAC de los dispositivos.
• Ocultación de SSID: Evita que el nombre de la red (SSID) sea difundido públicamente, dificultando su descubrimiento.
• Auditorías de Seguridad Informática: Evaluaciones periódicas para identificar vulnerabilidades y asegurar el cumplimiento de las políticas de seguridad.

Auditorías de Seguridad Informática

Las auditorías de seguridad informática son procesos sistemáticos para evaluar la postura de seguridad de un sistema o red.

Objetivos de las Auditorías de Seguridad

• Verificar el correcto funcionamiento del sistema de seguridad implementado.
• Detectar amenazas y vulnerabilidades existentes.
• Realizar un informe detallado con los hallazgos y recomendaciones.

Tipos de Auditorías

• Auditoría de Red Interna: Evalúa la seguridad desde el punto de vista de un atacante dentro de la red.
• Auditoría Perimetral y de DMZ: Se enfoca en la seguridad de los límites de la red y la zona desmilitarizada.
• Test de Intrusión (Penetration Testing): Simula un ataque real para identificar vulnerabilidades explotables.
• Auditoría de Aplicación: Revisa la seguridad de aplicaciones específicas.
• Análisis Forense: Investigación de incidentes de seguridad para determinar la causa, el alcance y el impacto.

Herramientas Comunes para Auditorías

• Enumeración de Redes: Herramientas para descubrir dispositivos y servicios activos en una red.
• Rastreo de Redes (Scanning): Escaneo de puertos y servicios para identificar posibles puntos de entrada.
• Fingerprinting: Identificación del sistema operativo y versiones de software de los dispositivos.
• Análisis de Vulnerabilidades: Herramientas que identifican debilidades conocidas en sistemas y aplicaciones.
• Test de Penetración: Herramientas que permiten explotar vulnerabilidades para demostrar su impacto.