Superada la capa de transporte, todas las funciones y servicios se orientan hacia el usuario. Es decir, a partir de este nivel es poco probable que se encuentren aspectos relacionados a la red, en cambio se ingresa a lo que en el modelo TCP/IP se conoce como Aplicación, que es donde existe la mayor diferencia con el modelo OSI que lo trata como tres capas diferentes, sesión, presentación y aplicación.
En esta capa es el nivel donde mayor cantidad de protocolos existen. El modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en esta capa, aquí se definen los protocolos de alto nivel, aspectos de representación y codificación de los datos y control de diálogo entre procesos.
La capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran número de protocolos definidos en esta capa, la cantidad de deficiencias presentes también será superior al resto de capas. Por lo que se deberán controlar los siguientes protocolos especialmente:
Servidores de correo, Web, TFP y TFP, Proxy:
Limitar el acceso a áreas específicas de esos servidores.
Especificar las listas o grupos de usuarios con sus permisos correspondientes. Prestar especial atención a la cuenta Anónimos y a toda aquella que presente nombres de fácil aprovechamiento.
Requerir contraseñas seguras. Siempre controlar los archivos Log. Deshabilitar índices de directorios.
Deshabilitar todos los servicios de red que no sean empleados por el servidor
Control de accesos remotos: Hay que tomar en cuenta que la Cooperativa tiene sucursales y en muchos de los casos se realizarán accesos remotos para realizar diferentes tareas, para lo cual es una buena medida permitir el acceso por medio de líneas telefónicas tanto fijas, móviles como ADSL. Al implementar esta medida, el primer concepto a tener en cuenta es Centralizarla, es decir implementar un pool de módem o un Access Server (Router con puertos asincrónicos) como única puerta de ingreso. La segunda actividad es Auditarla permanentemente. Todo sistema que posibilite el ingreso telefónico, posee algún tipo de registros, estos deben ser implementados en forma detallada y su seguimiento es una de las actividades de mayor interés. Una medida importante es incrementar las medidas de autenticación y autorización sobre estos accesos.
Control en Firewall: Todo el tráfico de entrada o salida debe pasar obligatoriamente por esta barrera de seguridad que debe ser capaz de autorizar, denegar, y tomar nota de aquello que ocurre en la red. Hay que tomar en cuenta que un Firewall consiste en un conjunto de medidas de Hardware y Software destinadas a asegurar una instalación de red, el mismo que actúa en los niveles 3 o red a 7 o aplicación delmodelo OSI.
Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de correo, enviándole una cantidad suficiente de mails. Se debe tener en cuenta que hasta que el usuario buscado no se conecte, los mensajes permanecerán en el servidor. Si esto se produce, no se poseerá capacidad de almacenamiento para ningún otro mensaje entrante, por lo tanto se inhibirá el servicio de correo electrónico. Se puede también generar reportes si el tráfico de correo crece repentinamente. Para controlarlo es necesario asignar espacio en el disco rígido enviando las alarmas correspondientes una vez alcanzado el porcentaje establecido. Dedicar grandes áreas de disco al almacenamiento de mensajes, y separar esta área del resto del sistema.
Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenará el sistema de .Log y de administración de red. Misma solución que el caso anterior
FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar atención son los de Comando (21) y de datos (20) que están reservados para ftp. El acceso a una red a través de los mismos es bastante común. La principal ventaja que ofrecen es que se puede regular con bastante precisión su flujo de establecimiento de sesiones.
Servidores DNS: Controlar la configuración de los mismos, en especial al tráfico TCO sobre el puerto 53
Servidores de correo: Una de las principales herramientas que emplean los spammers para ocultar sus rastros son la infección de servidores de correo que tienen activada la opción de replay (o relé), la infección de un servidor de este tipo es muy difícil de localizar, pero no lo es así en cuanto al análisis de tráfico, pues se incrementa de forma muy voluminosa, por lo tanto es una buena práctica evaluar el tráfico entrante y saliente periódicamente.
DNS:Las vulnerabilidades de este protocolo las puede clasificar en cuatro:
UDP: Entre los servidores se transfieren grandes volúmenes de información a través del puerto UDP 53, el cual por ser no orientado a la conexión lo hace especialmente difícil de controlar y filtrar, aprovechándose esta debilidad.
Obtención de Información: Los servidores DNS almacenan información importante, la cual es muy buscada y fácilmente obtenible por un intruso. Texto plano: Toda la información viaja en texto plano.
Falta de autenticación: El protocolo no ofrece ninguna técnica de autenticación.
Los DNS también pueden ser vulnerables a la técnica de spoof, que se puede implementar en muchos protocolos y niveles, en este caso consiste en falsificar
una respuesta DNS, ofreciendo una dirección IP que no es la que verdaderamente está relacionada con ese nombre. Lo natural sería infectar o envenenar las tablas de un servidor DNS maestro, y con ello se propagaría y cualquier consulta hacia el nombre infectado, lo respondería con la dirección IP falsa. La realidad es que es relativamente difícil esta tarea, pues los DNS maestros de Internet suelen estar bastante asegurados y monitorizados como para que esta actividad, inclusive en el caso de lograrla, no sea detectada de forma bastante rápida y solucionada.
Telnet:El servicio Telnet autentica al usuario mediante la solicitud del identificador
de usuario y su contraseña, que se transmiten por la red. Al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección, el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing.
File Transfer Protocol:Al igual que Telnet, FTP es un protocolo que envía la información tanto por el canal de datos como por el canal de comandos. Al enviar el identificador de usuario y la contraseña por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que con el protocolo Telnet. Aparte de pensar en mecanismos de protección de información para solucionar el problema, FTP permite la conexión anónima a una zona restringida en la cual sólo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas, sin limitar una de las funcionalidades más interesantes del servicio.
Hypertext Transfer Protocol (HTTP y HTTPS): El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor. La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados
devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este código que se ejecuta presenta deficiencias de programación, la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro.
Se trata del protocolo principal que regula todo el sistema de navegación a través de páginas Web. Este es el protocolo empleado entre clientes y servidores Web. La diferencia con los demás protocolos de nivel de aplicación es que este establece una sesión por cada información requerida (texto, sonido, gráficos, etc), esta finaliza al completarse la solicitud. Es normal la apertura de varias sesiones para bajar una sola página. Desde la versión 1.0 en adelante incorpora MIME (Multimedia Internet Mail Extensions) para soportar la negociación de distintos tipos de datos.
El acceso a este protocolo es por medio del puerto TCP 80 por defecto, pero es común en redes privadas el empleo de otro para incrementar las medidas de seguridad.Todo lo que viaja a través de HTTP lo hace en texto plano, en otras palabras: puede ser leído si se interceptan los datos. Por tal motivo surgió HTTPS.Hypertext Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP.El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado, cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente, más apropiado para el tráfico de información sensible que el protocolo HTTP.
Correo electrónico SMTP, POP y MIME: Una pasarela SMTP es un host con dos conexiones a redes distintas. Las pasarelas SMTP se pueden implementar de forma que conecten distintos tipos de redes. Se puede prohibir el acceso a la pasarela a determinados nodos de la red, empleando la sentencia de configuración RESTRICT. Alternativamente, la seguridad se puede implementar con un fichero de autorización de accesos, que es una tabla en la que se especifican de quién y a quién se puede enviar correo por la pasarela.
POP es un protocolo que permite a un usuario conectarse a un sistema y entregar su correo usando su nombre de usuario y contraseña a través del puerto TCP 110. La metodología a seguir para descargar correo es la misma que en SMTP, lo cual implica que cuando un servidor recibe un mail, establece la sesión SMTP con este destino y entrega su mensaje.Las vulnerabilidades que sufre el correo electrónico son referidas a su privacidad y su seguridad, dentro de ellas existen debilidades concretas.La privacidad es fácilmente vulnerable pues el correo viaja como texto plano, es decir, que si no se emplea algún algoritmo criptográfico, cualquiera puede tener acceso al mismo.
SNMP (Single Network Monitor Protocol): Este es el protocolo que habilita las funciones que permiten administrar redes no uniformes. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.
SNMP es un protocolo de requerimiento-respuesta. El sistema de administración genera un requerimiento, y los dispositivos administrados devuelven una respuesta. El acceso de las NMS (Network Management Stations) a los dispositivos administrados está controlado por un nombre de “comunidad”. Cada dispositivo tiene configurado una comunidad (o más) con un nombre que deben conocer las NMS para poder accederlo y obtener sus datos.
Detección de Vulnerabilidades
La capa de Aplicación es la que más protocolos tiene de todas las capas, en la lista anterior se han visto los más importantes. Se pueden usar algunas herramientas para detectar vulnerabilidades en la capa Aplicación o Presentación si fuera el caso de OSI.
Estas herramientas van a lanzar diferentes tipos de ataques hacia uno o varios host, y luego informarán cuáles de ellos presentan debilidades. Es una muy buena estrategia emplearlas para detectar vulnerabilidades en nuestros propios sistemas y luego de ello analizar las causas para minimizar o evitar su explotación por
personas no deseadas.Como se vio anteriormente en el test de penetración la herramienta que es considerada como una de las mejores para detectar vulnerabilidades es Nessus. Cuando se emplea este tipo de software, no nos podemos quedar simplemente con saber que somos vulnerables a cierta cantidad de ataques, sino que lo que en realidad nos interesa es poder llegar al fondo de cada uno de ellos para poder ofrecer la mejor solución a nuestros sistemas.
Sistema de detección de Intrusos (IDS)
Al igual que el punto anterior, este sistema está ligado al nivel de aplicación, pues si bien hoy existe Hardware que ya posee preinstalado este tipo de herramientas conocidas como appliance, en realidad lo que está haciendo es ejecutar módulos de software que de una u otra forma interactúan a nivel de aplicación con el usuario que los administra.Un IDS es básicamente un sniffer de red, optimizado, para poder seleccionar el tráfico deseado, y de esta forma, poder analizar exclusivamente lo que se configura, sin perder rendimiento, y que luego de ese análisis en base a los resultados que obtiene, permite generar las alarmas correspondientes. Existen sniffer de red (Network IDSs o NIDS) y de host (Host IDSs o HIDS). Uno de los productos líderes en esta categoría es Snort.
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. La información concerniente a esta herramienta se la puede encontrar en el Anexo 2.
CONCLUSIONES GENERALES
Con el incremento de las exigencias de las instituciones y la evolución de la tecnología, la seguridad de información se ha convertido en una prioridad para todo tipo de empresas, especialmente para las entidades de tipo financiero.
Existen innumerables herramientas y sistemas de seguridad orientadas a preservar la integridad, confidencialidad y disponibilidad de información y sistemas. También existen una gran cantidad de herramientas para implementar la seguridad informática por capas. En la presente investigación se han seleccionado las más adecuadas para la implementación en la Cooperativa.
La seguridad de la información por capas puede implementarse, tomando como punto de partida los 7 niveles del modelo OSI esto es el nivel Físico, nivel de Enlace, nivel de Red, nivel de Transporte, nivel de Sesión, nivel de Presentación y nivel de Aplicación, aunque la implementación se la debe realizar de acuerdo a los niveles del modelo TCP/IP.
El crecimiento de las redes IP y la proliferación de nuevas aplicaciones, dispositivos y tecnologías web en el lugar de trabajo generan más vulnerabilidades potenciales para las redes. A medida que avanza la tendencia de ejecutar aplicaciones adicionales en la web, habrá aún más tráfico de red que pase la LAN que se pudiera decir que es confiable y esté fuera del alcance del firewall. Las formas de ataque cambian y surgen constantemente nuevas amenazas.
La protección de seguridad por capas, es una forma dinámica de controlar el ataque en la información, en la cual se trata de detectar y bloquear el tráfico malintencionado, dejando pasar únicamente el tráfico que no es dañino.
RECOMENDACIONES
Abarcar la seguridad de la información por capas de una manera óptima para mantener fiables tanto el funcionamiento de las redes así como de sus aplicaciones.
Se debe prestar especial atención a los servicios de seguridad en varias capas; enfocarpara que los servicios y capas de protección funcionen de forma
cooperativa para detectar y bloquear dinámicamente el tráfico malintencionado y así generar informes adecuados para la toma de decisiones a tiempo.
Estar actualizando siempre las nuevas versiones de las diferentes herramientas para el control de la seguridad por capas, así como investigar nuevas herramientas que puedan servir en el control de la Red.
Organizar el Departamento de sistemas, delegando responsabilidades a las personas que trabajan en el área con la finalidad de estar siempre monitoreando la Red existente.
BIBLIOGRAFÍA
Aguilera P. 2010. Seguridad Informática. 1ra. Edición. Editex.
Altag (2013). http://www.altag.net/ataques-informaticos-alcanzan-niveles-nunca- vistos-en-america-latina/#sthash.GNSzSdgZ.dpuf. Derecho y Nuevas Tecnologías
Álvarez G., Pérez P. (2004). Seguridad informática para empresas y particulares. McGraw-Hill. España.
Borghello, C. (2010). http://www.segu-info.com.ar/. Recuperado el 09 de 08 de 2013, de http://www.segu-info.com.ar/politicas/
Castillo, H. M. (2006). Defensa En Profundidad. Guadalajara.
ComputerWorld. (2011). http://www.computerworldmexico.mx. http://www.computerworldmexico.mx/Articulos/6581.htm Espinosa, A. C. (01 de 2013). http://www.criptored.upm.es/. http://www.criptored.upm.es/guiateoria/gt_m924a.htm Ferrer, J. D. (2009). csic. http://www.iec.csic.es/criptonomicon/articulos/expertos34.html
Gascó E, Romero G, Ramada R., Jorge D. (2013). Seguridad informática. Macmillan Iberia, S.A. Madrid España
Páez J., Acurio S. (2010). Derecho y Nuevas Tecnologías. Corporación de Estudios y Publicaciones. Quito, Ecuador.
PcWorld. (2013). El reto es aprender seguridad informatica. PC WORLD. Rendon, J. M. (2010). Politicas de Seguridad. slideshare, 2/10.
Rivadeneira, J. J., & Pino, S. A. (2010). Derecho y Nuevas Tecnologías. Quito, Ecuador: Corporación de Estudios y Publicaciones.
Roa J. (2013). Seguridad informática. McGraw-Hill. España
TEIXIDO, A. A. (2010). http://www.computerworldmexico.mx/.
http://www.computerworldmexico.mx/Articulos/6581.htm
Thrower, W. (2010). La Importancia de La Seguridad por Capas. Mexico: Temacilli.
Wells, M. (2002). La Importancia de la Seguridad por Capas. Mexico: Symantec Corporation.
ANEXOS
ANEXO 1
Test de penetración realizado a la Cooperativa de Ahorro y Crédito Juan Pio de Mora
Recopilación de información.
A continuación se va a obtener información del sistema bajo un análisis y con el uso de diferentes herramientas que cumplen este propósito.
ipconfig: Usando el comando ipconfig se obtendrá la información relativa a las conexiones de red, la salida de este comando indica principalmente la dirección IP, máscara y puerta de enlace de cada una de los adaptadores de red que tengan los equipos, MAC de la tarjeta de red, nombre del equipo, sufijo DNS de Windows, servidores DNS.
Información de la Red.
/all: Muestra toda la configuración de la red, incluyendo los servidores DNS, WINS, bail DHCP, etc.
La información que se obtiene al digitar ipconfig/all es la siguiente:
Información de la Red comando ipconfig. Fuente: Red de la Cooperativa.
netstat: Muestra estadísticas del protocolo y conexiones TCP/IP actuales. –a muestra todas las conexiones y puertos de escucha. –e muestra estadísticas Ethernet. Se puede combinar con la opción -s. -s muestra estadísticas por protocolo. De forma predeterminada, se muestran para IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP y UDPv; se puede utilizar la opción -p para especificar un subconjunto de los valores predeterminados.
La información que se obtiene al digitar netstat -s es la siguiente:
Información de Protocolos IP de la Red Parte I. Fuente: Red de la Cooperativa.
Información de Protocolos IP de la Red Parte II. Fuente: Red de la Cooperativa.
www.whois.net: La información WHOIS le muestra los datos del titular, el resto de contactos de un dominio y los DNS que utiliza. Para conocer los datos de un dominio, se debe introducir el nombre de éste con la extensión correspondiente. A continuación se presenta información del dominio de la institución:
Información whois Parte I. Fuente: Red de la Cooperativa.
Información whois Parte II. Fuente: Red de la Cooperativa.
www.robtex.com: Esta es una página donde puedes saber mucha información acerca de un hosting, verificar si un IP está en lista negra contra el spam o similar, verificar si un servidor o dirección dns está en lista negra o similar, verificar si los dns o IPs de los mails servers están en lista contra el spam, buscar las dns de un hosting, saber todos los ips que usan, saber información sobre las redes y servidores, etc. Se debe ingresar a la página y luego ingresar el dominio, la información que presenta es la siguiente:
Información robtex.com. Fuente: Red de la Cooperativa.
Dominios DNS:
Rangos de direcciones IP:
192.168.1.4 192.168.1.5 192.168.1.6 192.168.1.8 192.168.1.10 192.168.1.11 192.168.1.12 192.168.1.19 192.168.1.21 192.168.1.23 192.168.1.25 192.168.1.26 192.168.1.27 192.168.1.28 192.168.1.31 192.168.1.37 192.168.1.41 192.168.1.42 192.168.1.44 192.168.1.49 192.168.1.50 192.168.1.51 192.168.1.61 192.168.1.62 192.168.1.63 192.168.1.68 192.168.1.81 192.168.1.99 192.168.1.111 192.168.1.117 192.168.1.124 192.168.1.128 192.168.1.160
Nombres de hosts: