Seguridad en Redes.
i entre los múltiples cambios sufridos en la última década en el mundo del computador tuviéramos la difícil tarea de destacar alguno, con toda probabilidad deberíamos citar de la explosión como fenómeno de las redes informáticas. Ya sea a través de la pared de la lado, del océano o de la estratosfera, la comunicación ha pasado a ser una de las actividades principales de los ordenadores, de forma que hoy en día es imposible entender la Informática sin ella.
Nuestros hábitos como usuarios de equipos y servicios informáticos están cambiando continuamente con las cada vez mayores posibilidades de compartir recursos a distancia, tales como discos, ficheros, aplicaciones, equipos o impresoras. Se han convertido en habituales servicios como los siguientes:
• la disponibilidad de ficheros remotos, que nos proporciona acceso rápido y eficiente a una cantidad de información que nunca habríamos podido almacenar en nuestros computadores
• la ejecución de subrutinas en equipos ajenos sin necesidad de instalarlas en nuestro sistema local
• la administración a distancia de sistemas y redes
• la utilización de terminales remotas, que nos permite tener a nuestra disposición (con las restricciones aplicables en cada caso) multitud de equipos en todo el mundo
• la realización a distancia de operaciones más o menos complejas de instalación y mantenimiento del software
Pero la transformación más profunda se está dando a nivel de la propia civilización, pues aunque aún muchas personas pueden vivir al margen de la Informática, nadie puede hacerlo al margen de la comunicación. Las redes informáticas permiten realizar a distancia un número creciente de actividades esenciales para la vida moderna, entre los que podemos citar:
• negociar, autentificar y firmar documentos legales
• difundir e intercambiar el conocimiento científico
• acceder a los medios de comunicación
• crear y mantener grupos de interés en discusión permanente
• emitir publicidad
• comprar bienes de consumo
• disponer de servicios de mensajería instantáneo
Evidentemente esta nueva situación (sobre todo en esta fase de expansión y evolución acelerada) nos obliga a pagar algunos peajes, y entre ellos uno de los más importantes es la multiplicación de los problemas de seguridad. Enumeraremos algunas de las causas que determinan esta situación:
En primer lugar hay una razón obvia: la conexión a una red supone la extensión del perímetro de seguridad de nuestros equipos. Esta extensión puede afectar desde la planta de un edificio hasta el mundo entero (con lo cuál se sitúa fuera de nuestro control).
Es evidente que conectarse implica compartir, y con los niveles de conexión actuales el número de usuarias potenciales de los recursos que administramos está creciendo más allá de las previsiones más soñadoras. En este sentido, el cambio de escala del factor humano provoca la necesidad de resituar nuestros márgenes de confianza: cuanto mayor es la muestra de población con la que se interacciona, mayor es la probabilidad de encontrar comportamientos antisociales extremos.
También hay que tener en cuenta que las redes han aumentado el número y la calidad de las prestaciones y servicios que los equipos informáticos proporcionan. Esto supone que los ordenadores han de hacer muchas cosas más de las que hacen cuando están aislados, lo que implica la utilización de más programas que a su vez son más complejos. Como veremos, ello redundará en la aparición de nuevos agujeros en la seguridad.
La posibilidad de garantizar el anonimato que ofrecen las redes informáticas supone un acicate para los infractores potenciales de nuestras medidas de seguridad. A través de una red es mucho más fácil ocultar la procedencia de las acciones realizadas.
Incluso en las ocasiones en que conseguimos identificar a las personas que nos han ocasionado algún daño, en muchos casos nos veremos impotentes para actuar contra ellas: pueden operar desde países lejanos, donde quizá no estén adecuadamente tipificados los delitos informáticos, pueden estar amparadas (cuando no instigadas) por sus gobiernos, o pueden pertenecer al crimen organizado, sobrepasando con mucho nuestra posibilidad de respuesta legal.
más o menos conocidas que tienen un móvil explicable para ocasionar daños en el mismo. A través de la red podemos recibir ataques devastadores de personas que no conocemos ni conoceremos jamás, que tampoco nos han visto ni nos verán nunca, y cuyo comportamiento delictivo nos es muy difícil de prever.
La red nos convierte asimismo en objetivos de ataques a la seguridad que fuera de ella no tienen sentido. Por ejemplo, aunque nos parezca que, por la naturaleza de nuestro trabajo, el acceder a nuestro sistema no debería suscitar el interés de nadie, alguien puede pretender accesos no autorizados a él como simple entrenamiento de cara a objetivos más difíciles y sustanciosos, o para asegurarse un punto intermedio que le permita atacar a otros sistemas sin ser detectado (network weaving).
Otro grave condicionante lo constituye el hecho de que las acciones a distancia permiten a las agresoras utilizar todos los recursos de que dispongan en el punto de ataque, poniéndonos en clara inferioridad de condiciones.
Por último está el problema de que para violentar nuestra seguridad muchas veces no se necesita acceder a nuestros equipos. El pirata informático puede limitarse a actuar sobre la información que lanzamos a la red, aprovechando que el soporte físico de las comunicaciones en general dista mucho de garantizar su seguridad.
En los capítulos anteriores hemos estudiado ya algunos conceptos y mecanismos íntimamente ligados a la seguridad en las comunicaciones. Por poner sólo algunos ejemplos, muchas de las precauciones que se toman para evitar la entrada ilegítima al sistema están pensadas para dificultar el acceso remoto, y los usos más evidentes de las técnicas criptográficas que hemos repasado están asociados a la comunicación en red. De hecho, la inmensa mayoría de las intrusiones a través de la red son consecuencia de la adivinación de contraseñas, por lo que, en realidad, ya hemos cubierto uno de los aspectos más relevantes de la seguridad asociado a la interconexión de nuestros ordenadores. No obstante, quedan por revisar multitud de problemas más específicos, algunos muy importantes, y en este capítulo trataremos de repasar cuáles son los principales de entre los que la conexión de nuestros equipos entre sí y al mundo exterior nos comporta. Procuraremos abordar el problema con la máxima especificidad, dándole un tratamiento de honor al mayor desafío que la seguridad informática haya tenido nunca: Internet.
1. Ataques desde la red y ataques a la comunicación
El análisis de los problemas de seguridad asociados a las redes de ordenadores se desdobla en dos aspectos.
1. Por un lado, la red puede ser vista como un punto de acceso adicional desde el cual nuestros bienes informáticos pueden ser atacados, dañados, sustraídos, etc.
2. Por otro lado, la propia comunicación es un bien en sí mismo y la necesidad de su protección se añade a las que teníamos previamente.
En el primer caso nos ocuparemos de preservar los servicios de seguridad tradicionales (confidencialidad, integridad y disponibilidad) y contemplaremos las amenazas derivadas de la conexión en red. Nos preocupará especialmente el problema de la intrusión y, por consiguiente, daremos relevancia al problema de la autenticación remota.
En el segundo, aunque los ataques a la comunicación también se describen en función de los servicios de seguridad amenazados, suele ser frecuente hacer una clasificación algo distinta de las mismas. Si un ordenador (emisor) envía información de cualquier clase y por cualquier medio a otro (receptor), distinguimos las siguientes posibles incidencias en la comunicación (véase la figura 1):
• Se produce escucha (o intercepción) cuando una tercera parte no autorizada accede al contenido de la comunicación mientras esta se está produciendo. Normalmente la escucha se realiza sin necesidad de dejar huella alguna en la comunicación, por lo que ni el emisor y ni el receptor tienen por qué apercibirse de que se ha producido. Se trata una amenaza contra la confidencialidad de los datos transmitidos.
• Se produce manipulación cuando una tercera parte no autorizada accede al contenido de la comunicación y lo modifica de forma que los datos que llegan al receptor difieren en algo de los enviados originalmente por el emisor. Si la manipulación está bien hecha también resulta transparente a los agentes de la comunicación, aunque a medida que transcurre el tiempo van aumentando sus posibilidades de ser descubierta. Se trata de una amenaza contra la integridad de los datos transmitidos.
• Se produce impostura (o suplantación) cuando una tercera parte no autorizada introduce mensajes propios en la comunicación para hacer creer al receptor que proceden del emisor. Como en el caso de antes, el propósito de la suplantación suele ser mantener el engaño durante un lapso de tiempo suficiente para realizar algún tipo de acción maligna. Se trata de una amenaza contra la autenticación de los datos transmitidos.
La factibilidad de estos cuatro ataques es muy diversa. La realización de escuchas suele ser pasmosamente sencilla en la mayor parte de las redes; por si esto fuera poco, son difíciles de detectar y su realización no suele precisar de grandes capacidades técnicas. La impostura es bastante más difícil de realizar; además, en muchos casos resulta incompatible con la presencia del emisor verdadero en la red, y su realización no está al alcance de cualquiera. La posibilidad de realizar interrupciones depende en gran medida de las características de la red de que se trate, así como de los medios que se empleen. Por último, para la manipulación (cuando es posible) la atacante no puede estar situada en un nodo cualquiera de la red, y además debe tener un conocimiento muy detallado de los protocolos involucrados tanto en el transporte como en la manipulación de los datos, por lo que suele resultar con mucho el ataque más difícil.
E
R
A
E
A
R
E
A
R
E
A
R
Escucha
Manipulación
Impostura
[image:5.595.296.452.296.559.2]Interrupción
Fig. 1: Esquemas de ataque a la comunicación. E es el emisor, R el receptor y A el atacante.
problemas que el resto de tecnologías es incapaz de asegurar, como son la confidencialidad de las comunicaciones en redes inseguras o la autenticación fuerte de usuarias remotas.
2. Control físico del acceso a redes
Hemos comentado que uno de los problemas esenciales de la seguridad cuando se involucra la conexión en red es la extensión, posiblemente incontrolada, de nuestro perímetro de seguridad. Sin embargo, esta extensión se produce en dos ámbitos bien distintos: uno controlable, pues afecta a dispositivos que se encuentran bajo nuestro dominio y responsabilidad, y otro incontrolado, pues corresponde al “mundo exterior”. Antes de empezar a lamentarnos del frío que hace ahí afuera, echemos un vistazo a las medidas de control físico que debemos aplicar dentro de nuestra organización. No lo olvidemos: los ataques más fáciles y más frecuentes se producen desde dentro.
2.1 La red local
Una red local o red de área local (LAN) normalmente conecta equipos físicamente cercanos (por ejemplo, en el mismo edificio o grupo de edificios) que pertenecen a la misma organización, de quien depende su instalación, administración y mantenimiento.
Las redes locales tienen como características genéricas relevantes su extendida utilización, su flexibilidad de uso, su facilidad para ampliar la conectividad y su inherente descentralización. Representan la primera capa en el esquema de conectividad de una organización, y, salvo en lo concerniente a la dificultad de su correcta configuración (en general son el resultado de procesos históricos de agregación y crecimiento más o menos caótico), suelen gozar de una inmerecida confianza en materia de seguridad.
2.1.1 Elementos de conexión
Las LAN multiplican los problemas de seguridad física de una instalación informática. Por un lado, los accidentes de los que hablamos en el capítulo correspondiente (como por ejemplo, los cortes de corriente) pueden tener un efecto mucho más devastador que cuando afectan a un equipo aislado. Por otro lado, las redes incorporan nuevos elementos susceptibles de sufrir ataques a la seguridad física: los cables de una instalación pueden ser saboteados, pinchados o derivados y las tomas de datos pueden además ser reconectadas con fines espurios.
Además, el cableado de la instalación debe estar siempre documentado, procurando que esté a la vista o que sea fácilmente registrable, así como que sea de apariencia homogénea y ordenada. Es imprescindible su inspección metódica y periódica. En algunos casos debe contemplarse la instalación de cableado redundante para proporcionar rutas alternativas en caso de problemas en las líneas de datos. El uso de cables blindados es recomendable si se desea evitar la colocación de vampiros, y cuando se trate de fibra óptica es importante tener en cuenta los repetidores, en los que la señal se torna eléctrica, y por tanto más vulnerable. Si se utiliza radiofrecuencia o infrarrojos para la transmisión, es imprescindible el cifrado de la señal.
Los armarios de conexiones y concentradores deben disponer de cerradura (cosa que en general sucede), ésta debe usarse sistemáticamente (cosa que se verifica menos a menudo) y debe ser sólida (cosa aún más infrecuente).
2.1.2 Los equipos, su ubicación y su uso
Los servidores de red tienen el peligro de volverse “invisibles”, en el sentido de que, una vez funcionando, no requieren mucha atención. Su acceso debe estar restringido al máximo, o en todo caso debe deshabilitarse su disquetera, para evitar contaminación por virus.
En el otro extremo están los equipos y rosetas de conexión poco utilizados, que pueden convertirse en puntos de acceso ilícito privilegiados. Ello no se debe solamente a que carezcan de vigilancia, sino también a que tienden a ser olvidados en las actualizaciones de los planes de seguridad. En este sentido una buena solución es instalar mecanismos de gestión de inventario, que se ocupen de rastrear e informar para que la administradora de seguridad pueda saber con precisión qué equipos están conectados en cada momento, dónde están y qué configuración tienen. Estos paquetes no son excesivamente caros si hablamos de una red de tamaño moderado.
Por último debemos citar el problema de las terminales desatendidas, que pueden provocar graves incidentes de seguridad si son aprovechadas por personal desaprensivo. Aparte del trabajo de concienciación de los usuarios, suele dar buen resultado instalar facilidades que despiden automáticamente la conexión a la red en caso de producirse un período de inactividad preestablecido.
2.1.3 Analizadores de red
El problema es que una estación en principio no autorizada puede hacer un uso inapropiado del tráfico que por ella pasa. Esto se puede hacer utilizando programas husmeadores (sniffers), siempre que se instalen en estaciones de trabajo que soportan de serie el funcionamiento en modo promiscuo, y puedan ponerse a desplegar toda la información que les llegue, independientemente de su destino. Un sniffer no es más que un analizador de red que, en lugar de ser diseñado como herramienta de ayuda a la administración, está orientado a actuar de forma oculta con el propósito de desvelar el contenido de la información que circula por la red.
La mejor solución es disponer de mecanismos discriminantes ya instalados en el concentrador. De este modo se dispone de una tabla que direcciona adecuadamente cada trama en función de su destino. Al estar implementado en el hardware, el mecanismo es rápido, difícil de manipular, barato, independiente del protocolo del nivel de red y fácil de administrar.
Alternativamente pueden instalarse servidores de terminales, que actúan como cortafuegos internos entre la LAN y los terminales. De este modo nos aseguramos que estos últimos sólo reciben la información que les concierne. En contrapartida, los equipos que funcionan bajo este régimen ven restringidas sus prestaciones, ya que solamente pueden operar en modo terminal.
Como última solución se recomienda tener identificados los equipos y terminales que incorporan tarjetas de red con opción real a modo promiscuo y establecer controles automáticos que avisen al administrador si alguna máquina es configurada en el mismo (un pequeño script de ejecución periódica puede ser suficiente).
2.2 Acceso remoto a las redes locales
Naturalmente, no todo se termina en el nivel de la seguridad física. Hay que tener en cuenta que en muchas ocasiones las organizaciones cuentan con personal autorizado para acceder a la red local a distancia, ya sea desde su domicilio o desde un lugar itinerante por motivos de trabajo. Este tipo de accesos son enormemente delicados, ya que las personas que los utilizan adquieren privilegios comparables a los de una conexión local, con lo que queda abierta una nueva puerta a la suplantación o a la intrusión. Muchos incidentes de seguridad tienen su origen en este problema. Sirva como ejemplo el ocurrido a finales de 2000, cuando una intrusión en el corazón de Microsoft logró hacerse con una cantidad importante de código fuente de aplicaciones de la casa.
2.2.1 Módems
• cuando haya muchos usuarios que deban conectarse de modo infrecuente
• cuando haya usuarias que deban viajar mucho y conectarse mientras están de viaje
• cuando haya muchos usuarios que quieran o deban trabajar desde su casa o fuera de horas
• cuando nos interese disponer de la posibilidad de realizar tareas administración y mantenimiento remotos.
Desde el punto de vista de la seguridad, los módems constituyen los primeros elementos a tener en cuenta, en la medida de que crean ligaduras entre nuestro sistema y el mundo exterior. Los módems pueden convertirse en notables amenazas a la seguridad al poder ser usados por gente de dentro para sacar información confidencial o por gente de fuera para acceder ilegalmente. Ocasionalmente también pueden ser programados para realizar comportamiento dañinos (como puede ser la captura de contraseñas) o pinchados para originar escuchas.
Los módems son frecuentemente olvidados en la organización de la seguridad. Es importante que estén situados en lugares de acceso restringido, así como comprobarlos regularmente, tanto en su configuración como frente a posibles recableados. Hay numerosos modelos que permiten la comprobación y configuración remota del módem, que si bien resultan muy cómodas, pueden originar importantes incidentes de seguridad.
El siguiente punto a resaltar es la protección de los números de teléfono que posibilitan la conexión con los módems. Cuanto más restringida sea su difusión, menor posibilidad habrá de que se produzcan accesos indebidos. La mejor medida es tratarlos como si fueran contraseñas (en la medida de lo posible, pues lo normal es que las usuarias deban conocerlos).
En ocasiones un servicio de seguridad que puede resultar bastante útil es el sistema
callback. Cuando el módem recibe una llamada, establece un protocolo de identificación del número del demandante, y si este aparece en su tabla de números autorizados, el módem cuelga y llama él mismo para establecer la conexión. Algunas compañías telefónicas ofrecen servicios de autenticación de la procedencia de las llamadas o de restricciones en las llamadas para grupos de usuarios, lo cuál puede hacer innecesario el procedimiento de callback. En todo caso, la contratación de estos servicios supone delegar una parcela de seguridad a la compañía de teléfonos, por lo que debe ser meditada con cuidado.
2.2.2 Redes de acceso
Es el mecanismo más utilizado para permitir el acceso remoto. El usuario se conecta a una red de acceso mediante una llamada local y accede a nuestra red a través de la misma.
Cuando esta red sea la propia Internet (a la que puede haber accedido desde otra red local con acceso corporativo, como puede ser una Universidad, o mediante un proveedor privado) son de aplicación los mecanismos que se describirán en las siguientes secciones: el que presuntamente se trate de una persona de confianza no debe variar el hecho de que su conexión procede de un medio esencialmente inseguro. Ello puede ocasionalmente generar incomodidades por inhabilitación de servicios que no se autorizan para usuarios externos con carácter general, como puede ser el correo saliente. Pero sin duda nos ahorrará muchos sustos.
Si la red de acceso es privada, tipo Euskalnet ó Infovía plus, hay que prestar atención al mecanismo de autenticación. La usuaria debe pasar un doble filtro de identificación positiva: la entrada a la red de acceso y la propia conexión a la red local. Dado que en el primer paso el control de passwords suele ser bastante pobre, hay que insistir en reforzar la política de protección de palabras de acceso en el segundo, en que tenemos posibilidad de control. No olvidemos que muchos usuarios no se hacen idea cabal del poder que puede proporcionar el acceso remoto en las condiciones descritas.
3. La interconexión de redes
Con toda la importancia que tiene el no descuidar los aspectos citados en el capítulo anterior, sin duda el mayor desafío a la seguridad se produce cuando se conectan varias redes para formar una unidad superior. La organización de estas redes de redes es absolutamente distribuida, ya que conectan entre sí equipos de usuarias y organizaciones de todo pelaje. Su soporte físico puede ser extraordinariamente variopinto: líneas telefónicas (cable, microondas o fibra óptica), transmisiones vía satélite, cables de TV, etc. Y, sobre todo, sus problemas de seguridad son la suma de los de sus componentes.
La realización de este tipo de conexiones heterogéneas ha exigido un proceso de estandarización de protocolos, para que equipos que no tienen nada que ver entre sí entiendan un lenguaje de comunicación común. Sin la menor duda, este estándar viene representado por el conjunto de protocolos TCP/IP, y es por ello que en las secciones subsiguientes nos centraremos en la seguridad de las redes construidas sobre ellos. Tampoco es ajeno a este interés el hecho de que TCP/IP sea la argamasa que ha permitido construir Internet, auténtico paraíso para los especialistas en seguridad.
3.1 Las redes TCP/IP
3.1.1 Direcciones IP
Toda máquina (host) conectada a una red IP tiene asignada una dirección única de 32 bits (su dirección IP), que se suele expresar como cuatro números de 8 bits separados por puntos. La dirección IP es el mecanismo básico de identificación y autenticación de los nodos de la red. Asimismo, la dirección IP es necesaria para asegurar que la información utilizada en la comunicación se desplaza en la red por una ruta adecuada para llegar a su destino.
Aunque la unicidad de la dirección IP obliga a asignarla de forma centralizada, cada máquina es responsable de suministrar su propia dirección en el momento de establecer cualquier tipo de comunicación. Por tanto es factible que una máquina proporcione una dirección IP propia falsa para burlar la autenticación, aunque ello puede originar problemas técnicos severos
3.1.2 Clientes y servidores
Las redes TCP/IP son redes de servicios. Por tanto, al comunicación entre dos máquinas A y B se materializa mediante el establecimiento de un servicio de red entre ellas. Si A es quien solicita el servicio, debe hacerlo mediante un programa apropiado que llamamos cliente. Para que B pueda satisfacer dicho servicio debe tener instalado y activo un programa complementario que llamamos servidor. Ambos programas corresponden a la misma
aplicación, aunque pueden no tener nada que ver entre sí, y haber sido creados por casas competidoras. Esto último se debe a que cada aplicación (par cliente-servidor) tiene un lenguaje de comunicación o protocolo propio para establecer el servicio que le corresponde. Algunos de los protocolos más comunes son:
• FTP (File Transfer Protocol), para traer o enviar ficheros entre las dos máquinas
• TELNET, para abrir una sesión remota desde la máquina A en la máquina B
• SMTP (Simple Mail Transfer Protocol), para enviar correo electrónico de la máquina A a la máquina B.
• POP (Post Office Protocol), para que los usuarios de la máquina A puedan acceder a su correo electrónico recogido en la máquina B.
• NNTP (Network News Transfer Protocol), para enviar o descargar colaboraciones del servidor de noticias de la máquina B.
• NTP (Network Time Protocol), para sincronizar el reloj de la máquina A con el de la máquina B.
• HTTP (HyperText Transfer Protocol), para acceder a las páginas WWW de la máquina B
3.1.3 Demonios y puertos
Para poder intercambiar esos mensajes es necesario establecer una conexión entre las máquinas A y B, es decir, un circuito a través de la red que asegure que los mensajes de A llegan a B y viceversa. Los mensajes, que son instrucciones para la aplicación, no tienen ningún valor en la conexión, y son troceados y encapsulados en unidades más pequeñas llamadas segmentos para su transporte.
El establecimiento, mantenimiento y cierre de la conexión requiere sus propias reglas e instrucciones que también forman parte de los segmentos. Estas normas de comunicación están gobernadas por el protocolo TCP (Transmission Control Protocol). Este es bastante robusto, pues se ocupa concienzudamente de negociar la conexión y de mantenerla frente a la adversidad, asegurándose de que la información llega completa y en el orden adecuado. Para ello incluye mecanismos de expiración y solicitud de reenvío.
Para poder realizar la conexión son esenciales las direcciones IP de ambas máquinas, pero ello no es suficiente. Tanto la máquina A como la B pueden tener múltiples conexiones abiertas al mismo tiempo, con máquinas diferentes (o no) y correspondientes a diferentes servicios (o no). Para discriminar estas conexiones en distintos canales de comunicación ambas máquinas abren puertos específicos para cada conexión. Los puertos son números de 16 bits que la identifican tanto en la máquina de origen como en la de destino. Por tanto, a nivel TCP se debe conocer:
• Dirección IP de la máquina cliente
• Número de puerto abierto para la conexión por la máquina cliente
• Dirección IP de la máquina servidora
• Número de puerto abierto para la conexión por la máquina servidora
Para asegurar que las conexiones se establecen con el programa servidor adecuado cada servicio disponible tiene asociado un proceso permanentemente activo o demonio, que se ocupa de gestionar las peticiones de conexión solicitadas para ese servicio (en el caso de los servicios más frecuentemente utilizados el demonio es el propio servidor). Para asegurar que cada demonio se ocupa de las conexiones correspondientes a su servicio existe la convención de reservar puertos específicos para que cada demonio “escuche” peticiones de conexión.
Por ejemplo, si la máquina A intenta hacer una conexión telnet con la máquina B, al solicitar la conexión TCP la máquina A indicará que el puerto de destino sea el número 23, porque sabe que en dicho puerto estará a la escucha el demonio inetd. Este cursará la petición al programa servidor tenetd y se iniciará la conexión. En algunos casos el servidor telnetd
estará configurado para atender su propio puerto, en lugar de confiar la tarea a otro demonio.
De todas formas TCP no es el único protocolo que se ocupa del transporte de máquina a máquina, existiendo al menos otros dos alternativos:
• ICMP (Internet Control Message Protocol): se usa para realizar operaciones de bajo nivel como puede ser la gestión sobre la información de tráfico y la detección de conectividad.
• UDP (User Datagram Protocol): Es un protocolo mucho más rápido y mucho menos fiable que TCP. Se encarga del transporte asociado a servicios en los que no se transmite gran cantidad de información cada vez, y además no es tan grave que la información no llegue (por ejemplo, el servicio IRC o de chat).
3.1.4 Transmisión de paquetes
Un protocolo lógico o de conexión como TCP establece la secuencia de acciones necesaria para negociar y asegurar la comunicación entre ambas máquinas A y B. Desgraciadamente dichas máquinas no tienen en general una línea directa de conexión, y esta debe verificarse a través de múltiples nodos intermedios de la red. Por ello, desde el momento en que la información abandona la máquina A hasta que llega (si lo hace) a la máquina B (y viceversa) es el protocolo físico IP (Internet Protocol) quien se encarga de gestionar su transporte efectivo a través de la red.
Para ello, la información procedente de los protocolos de nivel superior (por ejemplo, los segmentos TCP, que no tienen ningún valor hasta que llegan a la máquina de destino) son encapsulados en datagramas, añadiéndosele una cabecera IP que contiene la información justa y necesaria para poder ser distribuido eficazmente hasta su destino: las direcciones IP de origen y destino, el tamaño del datagrama, una suma de comprobación de la integridad de la cabecera (no del resto), etc. Los datagramas reciben también el nombre de “paquetes”, por la analogía de su manipulación con el sistema postal ordinario.
Todos los paquetes que circulan por la red comparten los mismos canales, y el protocolo IP se encarga de secuenciar los envíos en ambas direcciones de cada canal. Así, cada paquete va “saltando” de nodo a nodo de la red en busca de su destino. Esto se hace de la siguiente manera: cada red local tiene uno o varios nodos especiales llamados encaminadores (routers). Su misión es recibir los paquetes IP y decidir qué hacer con ellos: o bien quedárselos y distribuirlos en su propia red local (si la dirección IP de destino corresponde a uno de los hosts
Dado que las máquinas A y B no tienen ningún control sobre los puntos intermedios de la red por los que han de circular los paquetes, es obvio que las redes IP tienen severísimos problemas de seguridad, sobre todo en lo tocante a confidencialidad (algunos problemas de integridad y disponibilidad son manejados con cierto éxito a nivel de TCP). Los paquetes se pasean por los nodos de la red en busca de su destino, y pueden ser leídos o modificados por cualquiera (al menos por cualquiera que tenga privilegios sobre el encaminador de su red local). No se hace la menor comprobación de los datos que contiene, y no podemos tener la menor seguridad de su autenticidad o provenencia. De hecho, incluso aunque no haya sido modificado por el camino, no existe a priori la menor garantía de que un paquete ha sido efectivamente originado en la dirección que figura en su cabecera.
3.1.5 Los niveles inferiores
Por debajo del nivel unificador IP ya sólo quedan la red concreta que se esté utilizando y el tipo de enlace físico que la soporta. Los paquetes son encapsulados en tramas de formato específico de cada medio de transporte. De nuevo tenemos multiplicidad de sistemas, y también de problemas de seguridad.
La red telefónica es, en principio, más segura que una red Ethernet (por lo que comentamos en la sección anterior), pero como carecemos del menor control sobre la misma no podemos asegurar que sus propiedades de confidencialidad son explotadas en la práctica.
A su vez, si un enlace concreto entre dos nodos de una red se realiza mediante fibra óptica las posibilidades de interceptación de la comunicación son mucho menores que si se utilizan ondas de radio.
Sesiones remotas
Transferencia de ficheros
Información de red
TCP UDP
IP
Ethernet Punto a Punto Línea
[image:15.595.132.462.98.399.2]telefónica
Fig. 2: Niveles de protocolos en redes TCP/IP.
3.2 Gestión de servicios
De los distintos niveles de seguridad que hemos distinguido en el apartado anterior, sin duda el más complejo y, al mismo tiempo, el que depende de manera más estricta de nuestra administración es el nivel aplicación. Una gran parte de las características seguridad de una red viene determinada por los servicios habilitados en sus máquinas, pues estos determinan qué formas de acceso admiten estas. Naturalmente, cada servicio tiene sus particularidades, pero estas serán examinadas con más detalle en la sección siguiente.
3.2.1 Desactivación de servicios
La inmensa mayoría de los intentos de intrusión en un sistema remoto comienzan por una operación de escaneado de puertos. El atacante consigue saber con ello qué servicios están habilitados en la máquina objetivo, pues recibe un listado completo de los puertos en los que hay algún demonio activo y, como la mayor parte de los servicios se gestionan desde puertos conocidos, sabiendo el puerto sabrá el servicio y muy probablemente el programa servidor concreto que lo atiende. La administradora del sistema debe conocer en detalle esa misma información si quiere tener alguna oportunidad de adelantarse a la intrusión.
• Siempre hay que revisar con ojo crítico la oferta de servicios por parte de nuestros sistemas. Es conveniente revisar cuidadosamente los puertos y bloquearlos en el caso de que no estar muy clara su necesidad. En particular, si no sabemos para qué sirve un puerto concreto, lo mejor es deshabilitarlo por las bravas. No hay que olvidar que algunos troyanos como Netbus y Back Orifice instalan puertas traseras que consisten, precisamente, en abrir algún puerto para permitir el control remoto del equipo.
• Continuamente se están detectando nuevos problemas de seguridad con las versiones en uso de los protocolos más comunes. El problema es que, cuando se divulga el agujero, las piratas también reciben el aviso y se apresuran a aprovecharlo antes de que los administradores más lentos hayan tenido tiempo de tomar las medidas oportunas. Por tanto es importante estar al corriente de estos avisos y obrar en consecuencia.
• En este mismo sentido es importante controlar qué programas servidores concretos utilizamos y cuál es su versión. No hay que dudar en actualizar a la más segura disponible, y en algunos casos conviene estudiar la posibilidad de cambiar un programa problemático (sendmail o IIS) por otro más seguro.
• Por último, una medida de seguridad indispensable (que no excluye las anteriores) es construirse un buen cortafuegos para limitar drásticamente las operaciones de intercambio de la red con el exterior, protegiéndola así toda de golpe. Examinaremos este extremo con más detalle un poco más adelante.
Pueden clasificarse los servicios en función de la forma en que se produce la escucha. Hay que tener en cuenta que no resulta práctico tener una multitud de procesos activos, algunos de los cuales tienen un uso muy escaso:
• hay servicios de uso muy frecuente que tienen su propio demonio que se activa al inicializar (nfsd, sendmail, httpd...) y funciona de manera independiente
• hay otros que, a pesar de tener su propio demonio, este no es activo de forma permanente; por el contrario, existe un proceso genérico de supervisión (en Unix se denomina inetd) que escucha en su lugar, y cuando se produce una solicitud activa el demonio o servidor específico (ftpd, telnet, fingerd, ...)
• por último, hay servicios muy simples que ni siquiera tienen demonio propio, por lo que son manejados directamente por inetd cada vez que se presenta una petición (echo, time, daytime, ...).
3.2.2 Restricción de servicios
De todas formas, por muchos servicios que deshabilitemos, siempre nos quedará alguno para ofrecer. Si no, ¿para qué rayos nos conectamos en red? Los que no es posible denegar pueden tener aún severos problemas de seguridad que debemos afrontar de la mejor manera posible.
Las expertas en seguridad a veces escriben programas llamados envoltorios (wrappers), que modifican la funcionalidad de los servidores evitando alguno de sus comportamientos más enojosos. Por ejemplo, algunos problemas que nos plantea telnet podrían ser solucionados si restringimos las máquinas desde las cuáles se permiten sesiones remotas. Un envoltorio del servidor telnet comprobaría la procedencia de una petición de servicio antes de admitirla. Aparte de autorizarla o no, el envoltorio podría enviar mensajes de alerta al administrador de seguridad cada vez que se hace un intento sospechoso de acceso mediante este servicio.
En el entorno Unix es muy conocida la herramienta TCPWrappers, que facilita enormemente la modulación de los servicios ofrecidos, personalizando el ámbito de oferta de los servicios así como acciones específicas a realizar ante las peticiones de conexión. El programa utiliza su propio demonio tcpd que actúa antes que los demonios específicos de los servicios para los que se desea un envoltorio.
3.3 Cortafuegos
Cuando una red local compleja (muchos equipos y muchos servicios) se conecta a otra red más insegura (por ejemplo, Internet), la protección individual de cada equipo resulta prohibitiva (enorme coste de mantenimiento de la seguridad) e ineficaz (la cadena siempre se romperá por el eslabón más débil). El intento de proteger una red máquina a máquina se encuentra con hechos inamovibles tales como:
• La administración local de muchos equipos la realiza la propia usuaria según su criterio. Esta se suele resistir a hacer cambios para implementar medidas de seguridad si no percibe una amenaza directa para la comunidad de usuarias.
• Los equipos obsoletos, inadecuados para afrontar muchos problemas de seguridad, siempre acaban reciclándose en una organización y resulta virtualmente imposible protegerlos. Pero siguen ahí, en la red.
• Los equipos nuevos son potencialmente más seguros, pero los vendedores suelen dejar los sistemas en modo easy-to-use, sin apenas controles de seguridad, y se requiere tiempo y conocimientos para configurarlos de forma adecuada.
• Todo programa puede contener agujeros de seguridad. Cuanto más complicado sea un programa, más y más gordos serán sus agujeros. En general, las máquinas más modernas y con más juguetitos son las peores para proteger.
sencillos como sea posible. Debe ser sencilla de manipular y administrar y no debe estar en contacto con usuarios finales.
Parece que hemos de concluir que debemos elegir entre aislarnos completamente de la red y recuperar la máquina de escribir como herramienta de edición, pero existe otra solución: podemos configurar la red de modo que se concentren las barreras y medidas de seguridad en el equipo que sirve de punto de unión entre ambas redes (gateway), para que este ejerza de pantalla frente a las amenazas de la red menos segura. Ese equipo sí puede tener las características expresadas arriba, liberando al resto de la red local de la necesidad de establecer muchas de las medidas de protección. En una palabra, se trata de proteger la red al completo de forma centralizada, en lugar de hacerlo equipo a equipo.
Un cortafuegos es una colección de componentes (en la mayor parte de casos, de hardware), situados entre dos redes (normalmente una red local e Internet, aunque no necesariamente), que, idealmente:
• canaliza todo el tráfico entre ambas
• sólo deja pasar el tráfico autorizado
• es en sí inmune a la penetración
La noción de tráfico autorizado es muy importante, pues refleja la necesidad de preexistencia de una política de seguridad clara, consciente y definida. La construcción de cortafuegos es en sí una tarea compleja, pero se puede convertir en inabordable si no tenemos tomadas las decisiones sobre lo que es admisible y lo que no. Por ello, el diseño de un cortafuegos no puede ser establecerse como una receta única, sino que debe adaptarse a las necesidades de seguridad de nuestra organización, a nuestro presupuesto, a nuestros recursos humanos y a nuestras limitaciones técnicas. En seguridad en redes se producen a menudo incidentes que ilustran crudamente el principio que dice “todo lo que no entendemos es potencialmente peligroso”.
Desde el punto de vista de la seguridad, las ventajas más evidentes de un cortafuegos son:
• El concepto de cortafuegos permite enfocar globalmente los problemas de seguridad en red y planificar las respuestas de manera más sencilla y eficaz.
• El cortafuegos constituye un punto ideal para el control de auditoría de la actividad en relación a Internet.
• La mayor parte de las veces el núcleo de un cortafuegos es una máquina que no es de propósito general, careciendo incluso de sistema operativo, por lo que resulta tan fácil configurarla de forma mínima como difícil comprometer su seguridad: no suele haber por dónde hincarle el diente.
• Por último, los cortafuegos proporcionan la posibilidad de alterar las interfaces de los programas de red de forma sencilla.
Desde el punto de vista lógico, un cortafuegos cumple a la vez funciones de obstáculo, de canalizador y de analizador. Desde el punto de vista físico, un cortafuegos puede ser un encaminador, un nodo de la red, o una combinación de varios de estos elementos con cableado y software apropiado.
Es importante recordar que no todos los males asociados a las redes informáticas vienen de fuera. Los cortafuegos también constituyen una opción eficaz para proporcionar seguridad interna en las redes LAN, donde es posible implementar distintas políticas de seguridad en subredes diferentes utilizando cortafuegos internos. Caso típico de ello son las instituciones universitarias modernas, donde al menos son necesarias tres subredes con requisitos de seguridad completamente distintas: una para gestión y administración, otra para docencia y otra para investigación (en las buenas universidades hay una cuarta subred para la asignatura de Seguridad Informática, pero no es por privilegio, sino porque no se fían).
3.3.1 Filtrado de paquetes
Uno de los sistemas más importantes para controlar el tráfico consiste en establecer criterios que seleccionan los paquetes IP que pueden circular a través del cortafuegos y los que no. A esta operación se le llama filtrado de paquetes. Estos criterios, que se expresan en forma de reglas, no se suelen referir a características propias de los datos transportados, sino a su forma de transporte, es decir, a la información contenida en sus cabeceras, como pueden ser las direcciones IP y los puertos (TCP o UDP) de origen y destino, el protocolo, el tipo de mensaje ICMP, etc. El filtrado puede ser realizado por cualquier equipo, pero resulta mucho más eficaz y barato utilizar un encaminador.
El filtrado de paquetes permite deshabilitar servicios de cara al exterior, al interior o en los dos sentidos. También permite discriminar máquinas o dominios específicos para autorizarles o prohibirles un servicio concreto. Cualquier cosa que se pueda verificar rápidamente en la cabecera del paquete puede ser usada para decidir si se autoriza su paso por el cortafuegos. Por ejemplo, podemos limitar el número de equipos que pueden conectarse vía
telnet desde el interior, o evitar que nuestro servidor de correo saliente sea utilizado desde el exterior (por ejemplo, para distribuir correo-basura o spam).
El filtrado de paquetes tiene numerosas ventajas que lo convierten en la base de prácticamente cualquier diseño de cortafuegos:
• la estrategia de seguridad que implica es conceptualmente simple, ya que el tráfico es analizado en un único punto crítico
• es un mecanismo muy rápido para implementar algunas medidas de seguridad fundamentales, como pueden ser el rechazo de los intentos de suplantación de máquinas internas por atacantes del exterior
• no es necesaria ninguna alteración en las máquinas de la red interna, ni son necesarios el entrenamiento o la cooperación de los usuarios
• no requiere hardware especializado, pues sirven la mayor parte de los encaminadores convencionales
Algunos dispositivos de filtrado tienen una característica muy interesante. En los servicios basados en UDP, al no existir un circuito de comunicación, hay la posibilidad de recibir respuestas sin haber realizado preguntas, normalmente con propósitos aviesos (por ejemplo, en DNS). Los dispositivos mencionados tienen la capacidad de realizar dinámicamente el filtrado de paquetes, de forma que, cuando es necesario, pueden “recordar” cuándo se ha solicitado algo vía UDP y a quién, frustrando de este modo los intentos de introducir información falsa o peligrosa en nuestra red.
Aunque su papel es importante en la protección de redes, el basar todo el cortafuegos en el filtrado de paquetes nos priva de la flexibilidad necesaria en la mayor parte de entornos reales. Por ejemplo, podemos bloquear completamente un servicio, o distinguir entre diferentes máquinas en función de su nivel de confianza, pero el mundo no se divide entre los servicios o servidores seguros, y los inseguros y prescindibles. A veces necesitamos un servicio que contiene algunas operaciones peligrosas, o que se obtiene de un servidor inseguro, y el filtrado de paquetes no es una herramienta adecuada para esta protección selectiva.
3.3.2 Servicios apoderados
Para poder modular (en lugar de bloquear) el uso de determinados servicios y/o servidores de red con problemas de seguridad existen los servicios apoderados (proxy services). Son aplicaciones especiales que se ejecutan en máquinas del cortafuegos y que se encargan de recibir peticiones de servicios a Internet por parte de clientes internos, de adecuarlas a la política de seguridad del lugar, y de reenviarlas a los servidores apropiados. Una vez recibido el resultado de la petición se puede volver a evaluar si esta se adecua a la política de seguridad implementada, y si es así reenviará la respuesta al cliente origen de la petición. A menos que el proxy decida no completar la petición, para el usuario cliente todo el proceso es transparente: hace sus peticiones y recibe las respuestas como si su conexión con el servidor careciera de intermediarios.
El nombre de apoderado está justificado en el hecho de que los clientes internos de la red delegan en el proxy su capacidad de demandar servicios al exterior. Es como si le otorgaran un poder notarial para que los solicite y procese en su nombre, e incluso para que tome decisiones sobre la pertinencia de dichos servicios.
servidor proxy y el cliente normal son componentes del programa apoderado situado en el cortafuegos.
RED LOCAL
INTERNET
Cliente proxy
Servidor real
Servidor
proxy
Cliente real
[image:22.595.74.518.100.606.2]APODERADO
Fig. 3: Elementos que intervienen en un servicio apoderado (proxy)
Dado que operan a nivel de aplicación, las posibilidades que tienen los apoderados de hilar fino a la hora de discriminar el tráfico autorizado del no autorizado son prácticamente ilimitadas. Pueden basarse en las máquinas de origen y/o destino, en el tipo de petición, en el tipo de información transmitida, en su contenido, en elementos de entorno (fecha, hora, volumen o historial de peticiones), en la usuaria (cuando el servicio lo requiera), ...
Los apoderados suponen un refinamiento frente al filtrado de paquetes, pero no pueden sustituirlo. Para que un servicio sea realmente apoderado el usuario debe estar obligado a utilizar el proxy, no existiendo la posibilidad de establecer comunicación directa entre clientes interiores y servidores exteriores por otras vías. Así, la instalación de un proxy suele estar complementada con un filtrador de paquetes que prohiba el tráfico directo para el servicio apoderado.
Por otra parte son sencillos de implementar, pues existen muy buenos paquetes en el mercado para apoderar servicios existentes (como por ejemplo SOCKS para clientes basados en TCP). Incluso se da la situación de que muchas nuevas versiones de las aplicaciones estándar vienen equipadas con sus propias primitivas para ajustarlas como apoderadas, tal como hemos explicado en el ejemplo de los navegadores.
El único peligro potencial de los proxies es la posible ralentización del servicio que se produciría de implementarse en máquinas veloces y de configurarse para realizar un número elevado de controles que resulten muy costosos en tiempo.
3.3.3 Arquitecturas de cortafuegos
Un cortafuegos puede ser una construcción muy simple o muy compleja, pero en todo caso es necesario determinar los componentes que lo van a formar, seleccionándolos en función de sus propiedades de seguridad. Distinguiremos ahora los distintos tipos de elementos que materializan la separación entre las redes que el cortafuegos une y separa a la vez.
La operación de filtrado de paquetes suele ser realizada por encaminadores de protección (screening routers) o de criba, y suponen el método más simple de establecer una primera barrera. Los encaminadores tienen la ventaja de ser máquinas simples y, en general, baratas. Supone una barrera eficaz a un nivel lo suficientemente bajo como para realizarse con gran eficacia, y lo suficientemente alto como para permitir definir políticas de seguridad primarias. En realidad el encaminador de criba puede sustituir al gateway de la red añadiéndole funcionalidad de seguridad.
Dadas las razones apuntadas más arriba sobre la dependencia que tienen los apoderados de barreras de más bajo nivel los servicios apoderados, el encaminador de criba es un elemento casi imprescindible en cualquier cortafuegos (de hecho hay personas que confunden el encaminador con el cortafuegos).
máquina de entorno dual puede ser un buen lugar para situar apoderados, si se configura como punto de paso obligado entre las dos redes.
El cortafuegos puede incluir un bastión detrás del encaminador de protección, y este configurarse de forma que desde el mundo exterior sólo se puedan abrir conexiones con el bastión (por ejemplo, para depositar correo electrónico). Aún así estas conexiones serán enormemente restrictivas. Dada su especial exposición a los ataques, la protección del bastión debe estar especialmente asegurada. El resto de los equipos puede tener autorizada la apertura de conexiones con el exterior, o tenerla mediatizada a través de apoderados instalados en el bastión.
Aunque esta arquitectura es más fácil de proteger que la de la máquina de entorno dual (por la sencilla razón de que un encaminador es más robusto que una máquina convencional), es bastante arriesgado confiar la última defensa a un bastión ya situado en el corazón de nuestra red. Por eso se ha popularizado la idea de situar una red completa como capa de seguridad adicional (screened net), que se suele llamar red perimetral o zona desmilitarizada (DMZ). El o los bastiones son situados en esa red, que se separa tanto de la red interna como de la externa mediante encaminadores de protección. Al interno se le suele denominar estrangulador (choke router), y al externo encaminador de acceso. Con estos elementos combinados de diferentes maneras se construyen las distintas arquitecturas de cortafuegos, aunque existen otras soluciones que las amplían, como pueden ser los chivos expiatorios o máquinas víctima, que se utilizan para servicios inseguros pero imprescindibles de forma que desde ellas no se puede acceder a ninguna máquina normal.
3.4 Otras herramientas de seguridad en redes
En la misma línea de prevención apuntada en la sección anterior, existen numerosos paquetes auditores de seguridad, cuya función consiste en comprobar de manera minuciosa y sistemática los posibles fallos de una red. Algunos de estos programas llevan ya muchos años distribuyéndose libremente con éxito (caso de SATAN), mientras que otros son productos comerciales de reciente creación.
Sus ventajas son incuestionables: el administrador de seguridad no tiene que ir recopilando información bastante dispersa y constrastarla con el estado de su sistema, sino que le basta con sentarse a esperar para obtener un diagnóstico muy preciso sobre todos los aspectos de seguridad que son mejorables en su red. La contrapartida suele ser el desánimo: lo normal es que el número de luces rojas que detecte el programa auditor sea cercano al centenar, con lo que conocer los problemas no nos acercará demasiado a la solución.
En todo caso es esencial que se use una herramienta fiable y, sobre todo, actualizada, ya que los agujeros de seguridad más peligrosos son siempre los de descubrimiento más reciente. Téngase en cuenta que algunas versiones de estas herramientas pueden ser usadas contra un sistema ajeno para descubrir oportunidades de penetrar en él.
Más sofisticadas y, en general, caras, son las herramientas de detección de intrusión. Están pensadas para organizaciones con requisitos de seguridad más exigentes, en las que no es admisible ni siquiera el curioseo ocasional por parte de extraños, o en las que se desea disponer de un elemento disuasorio de primera magnitud. Estos programas analizan las acciones de todos los clientes externos de la red, buscando patrones de comportamiento sospechosos. Cuando estos son encontrados, la respuesta puede ser modulada, desde avisar simplemente a la administradora de seguridad hasta desviar al intruso a un entorno ficticio gemelo del original (jaula virtual), especialmente preparado para contener sus acciones sin peligro real, analizar sus actos para descubrir posibles vulnerabilidades del sistema y disponer de tiempo y pruebas contra él para organizar una respuesta legal eficaz.
4. Los servicios de red
Hasta ahora hemos estudiado el problema de la seguridad de manera global, tratando las diferentes situaciones y servicios como un todo. Sin embargo, nada es más lejano a la realidad. Los diferentes servicios de red plantean especificidades difícilmente soslayables, y un planteamiento de seguridad que pueda resultar muy válido en unos casos puede no tener sentido en otros. De hecho los problemas de seguridad asociados a las redes TCP/IP no sólo dependen fuertemente de la naturaleza del servicio implicado, sino que pueden ser sensibles a la implementación concreta de dicho servicio e incluso a la versión de la misma.
4.1 Servicio de nombres
Además de las direcciones IP, las máquinas conectadas en una red TCP/IP pueden tener un nombre lógico de nodo (hostname) que suele tener propiedades nemotécnicas para las personas. El problema es que no tiene por qué ser unívoco en ninguno de los dos sentidos, y ello tiene consecuencias negativas para la seguridad. No debe olvidarse que las direcciones IP son la fuente principal de autenticación física en la red, por lo que todo problema o confusión en torno a ellas puede repercutir negativamente en nuestra defensa frente a la intrusión.
Cuando se pregunta a un servidor DNS se suele hacer a través de UDP, y la respuesta puede ser bien la deseada, bien información para dirigirse a otros servidores de nombres más específicos. Como UDP no establece conexiones virtuales, cuando una máquina recibe información DNS existe el peligro de que asuma dicha información como una respuesta a una pregunta formulada por ella misma, lo cual puede tener consecuencias desagradables,
Cada red local debe tener al menos un servidor de nombres, responsable entre otras cosas de facilitar las direcciones IP de las máquinas de la casa a los usuarios externos.
Aparte de la dirección IP, los servidores de nombres pueden proporcionar información que puede resultar inconveniente. El servicio de nombres también acepta peticiones (en este caso, vía TCP) de transferencia de zona, con lo cual realizan un volcado completo de la información de que disponen con el objeto de incorporarla a otro servidor. Esta característica suele ser usada por las intrusas como método para obtener listas de posibles víctimas.
DNS es un servicio esencialmente inseguro. Como los mecanismos más utilizados para autenticar en la red son la dirección IP y el nombre del nodo, puede tener funestas consecuencias el que un atacante consiga introducir información falsa. Por ejemplo, algunos servicios están basados en la existencia de máquinas de confianza (trusted hosts), que son almacenadas localmente por sus nombres lógicos. Si un atacante consigue colar su dirección de IP entre las correspondientes a un nombre lógico, podrá acceder ilegítimamente a este servicio. Para evitarlo, algunos sistemas hacen comprobación inversa (por ejemplo, una vez obtenida la dirección IP por DNS, se pide su nombre de nodo para cotejarlo con el original), o incluso doble comprobación inversa.
4.2 Servicios de estado
Algunos servidores transmiten información sobre el sistema o sus usuarias que puede luego ser utilizada en ataques. Ejemplo de ello son systat (puerto 11), netstat (puerto 15) y
finger (puerto 79). En el primer caso se obtiene información sobre la tabla de procesos del sistema, incluyendo las usuarias conectados (nombres, momentos de acceso, máquinas de origen). En el segundo, sobre el estado de la red (con nombres de máquina y puertos de conexión). En el tercero más aún sobre usuarias cualesquiera (nombre real, dirección de correo, directorio raíz, intérprete de comandos, datos de conexión, ...). Toda esta información puede ser extraordinariamente útil para planificar ataques futuros, por lo que se recomienda encarecidamente deshabilitarlos sin más.
Hay personas que aún consideran que finger es un servicio de cortesía para proporcionar, por ejemplo, direcciones de correo a partir del nombre de un usuario. Aparte de que esto resulte cada vez más dudoso, porque en el mejor de los casos ese tipo de datos se tiende a ofrecer en la web y en el peor se trata de ocultar a los curiosos, siempre se puede sustituir
4.3 Servicios por contraseñas
Hay servicios que exigen que el cliente suministre una contraseña para realizar su autenticación. Normalmente esto se da cuando se desea acceder remotamente a una cuenta propia, ya sea para establecer una sesión remota (telnet - puerto 23) o para transferir ficheros (ftp - puerto 21). También se encuentra en este caso la descarga local del correo electrónico (pop - puertos 109 y 110).
4.3.1 El problema de las contraseñas
El problema esencial de los protocolos asociados es que las palabras-clave viajan desnudas por la red y pueden ser capturadas por programas husmeadores, por lo que su uso es potencialmente muy peligroso.
Además de ello existen problemas de confidencialidad: tanto la sesión (en el caso de
telnet) como los datos transmitidos (en el caso de ftp) o los mensajes descargados (en el caso de pop) pueden ser escuchados en la red.
Dado que resulta difícil prescindir de estos servicios, se recomienda encarecidamente usar versiones seguras de los mismos, hoy en día ampliamente disponibles. Estas versiones seguras se caracterizan por cifrar toda la conexión. Podemos citar SSH (puerto 22) y sftp
como sustitutos de telnet y ftp respectivamente. En el caso de pop el protocolo ofrece modelos seguros de autenticación (APOP es el más popular) que no deben dejar de utilizarse.
4.3.2 Otros problemas de
telnet
En protocolo TELNET presenta algunas especificidades adicionales relevantes para la seguridad. Por ejemplo, es muy corriente usar su cliente para conectarse con servicios distintos de forma manual, lo que puede ser usado contra algunos servidores para, por ejemplo, enviar mensajes de correo falsos o anónimos.
A diferencia de otros servicios (como www) en los que el concepto de conexión real no coincide con el la percepción subjetiva del usuario, en una sesión telnet es esencial que sea así, ya que la conexión determina el período en el que la autenticación va a considerarse en vigor. Esto hace que se hayan desarrollado diversas técnicas de “secuestro”, bien sea situándose en medio y simulando su cierre de cara al cliente y su continuación de cara al servidor, o bien (lo que resulta mucho más sencillo) reanudando una conexión que no ha sido cerrada correctamente.
Por otro lado, el servicio telnet es una vía de penetración privilegiada, en la que se puede aplicar lo dicho sobre seguridad en módems, pero con agravantes:
• es más fácil obtener nombres de usuaria que números de teléfono
• el coste de la conexión es invariante, frente a las llamadas a módems, en la que es función de la distancia
• las facilidades de trazado de llamadas existentes en la red telefónica no existen en Internet
• la información que se obtiene con una conexión telnet es mucho más precisa y digerible
4.3.3 FTP anónimo
Aparte de los aspectos mencionados, la característica más relevante del servicio de transferencia de ficheros es la existencia del ftp anónimo, que permite a cualquier usuario de la red acceder a una serie de ficheros situados en directorios públicos de nuestro sistema sin necesidad de identificarse. A pesar de sus problemas de seguridad, este servicio se ha convertido en esencial para un gran número de usuarias al suponer el método fundamental de publicación electrónica de artículos, programas, imágenes, etc. En el momento actual es impensable prescindir de él, por lo que hay que prestar una especial atención a su configuración, ya que este servicio puede ser un gran agujero si no se gestiona con cuidado.
El acceso de un cliente de ftp anónimo se realiza a través de una cuenta especial que controla sus privilegios. En Unix se denomina también ftp. Es fundamental extremar las precauciones de la misma, eligiendo con cuidado la ubicación de su directorio raíz, evitando que pueda poseer ficheros o directorios, etc.
Otro problema adicional concierne la conveniencia o no de permitir el uso de ftp
anónimo para escritura, es decir, para que se introduzcan ficheros desde el exterior en lugar de leerlos. Esto acarrea problemas importantes:
• los directorios públicos con permiso de escritura se suelen usar como depósito de software pirateado, pornografía digital, ficheros de contraseñas robados, etc...
• también pueden usarse como canal de transferencia entre delincuentes informáticos que no desean dejar pistas
• por último, son una fuente evidente de introducción de caballos de Troya
Para evitar estos problemas, se recomienda (en caso de que un directorio de esta naturaleza se considere necesario) limpiar diariamente su contenido, limitar el tamaño total de los ficheros que puede contener, evitar que los ficheros de entrada puedan ser utilizados de salida, e impedir que los comandos del sistema operativo residentes en el área del ftp anónimo sean ejecutables por las usuarias normales de nuestro sistema.
4.3.4 FTP trivial
deshabilitarse, ya que permite cargar ficheros sin verificar autenticación alguna. Es de uso muy restringido, para inicializar equipos que no pueden almacenar localmente los ficheros de arranque de su propio sistema, y por tanto deben inicializarse a través de la red. En todo caso hay que limitar los clientes de este servicio y los ficheros a los que permite el acceso.
4.4 Correo electrónico
El correo electrónico fue inicialmente el servicio más utilizado de Internet, el de más usuarios potenciales y el principal motivo de conexión. Hoy en día ha sido superado por los servicios de la web, pero sigue manteniendo un segundo lugar muy honroso. El protocolo que gestiona el correo electrónico es SMTP (Simple Mail Transport Protocol - puerto 25). Este utiliza caracteres ASCII de 7 bits, y es tan sencillo que muchas veces es manipulado a mano por las administradoras de correo y por los intrusos. SMTP no tiene control sobre la autenticidad de la procedencia de los mensajes que recibe, y es relativamente sencilla la impostura, aunque es posible configurar el servidor para que al menos coteje la dirección de correo remitente con la dirección IP de procedencia de la conexión.
Aparte de que algunos comandos de SMTP son poco cuidadosos con los aspectos de seguridad (por ejemplo, VRFY), sin duda el problema fundamental de este protocolo viene de su implementación a través del programa sendmail, reputado como una auténtica pesadilla para la seguridad informática. De hecho el 25 ha sido considerado tradicionalmente como el “puerto de los piratas”, ya que algunos de los más escandalosos agujeros de seguridad han sido encontrados en torno a este protocolo de correo electrónico. Esta aplicación es un enorme programa que viola todas las leyes de la seguridad informática en su comportamiento, empezando por el hecho de que se ejecuta como root en muchas ocasiones en las que esto no es ni de lejos necesario. A esto debemos añadir que, lógicamente, debe aceptar conexiones de cualquier procedencia, y que tiene un rico y complejo juego de comandos. Uno de sus múltiples agujeros históricos fue el utilizado por el gusano de Internet.
Como consecuencia de lo anterior es importante elegir con cuidado qué programa servidor hemos de utilizar para el correo electrónico. Además hemos de controlar rigurosamente que disponemos de la versión más reciente y segura, y que el programa está correctamente configurado (aunque en ocasiones ello exija una buena dosis de paciencia y mucha bibliografía).
La separación de funciones entre recepción y reparto del correo (tal como se hace en la mayoría de cortafuegos) puede ser una buena idea, ya que se pueden reducir dramáticamente los privilegios del programa servidor. En ese caso, al no necesitar realizar reparto local tampoco necesita privilegios para escribir en todas las cuentas; su permiso de escritura puede reducirse a un directorio de spool.
una campaña de mailbombing (ataque masivo a otro servidor de correo mediante el envío de miles de mensajes, de forma que se vea obligado a interrumpir el servicio). En ambos casos la imagen de nuestra organización puede quedar por los suelos.
Se puede evitar esto controlando que las peticiones de servicio generadas en el exterior no puedan implicar el reenvío de correo (usando un envoltorio o un apoderado, por ejemplo). También se pueden utilizar dos servidores de correo, uno para el entrante y otro para el saliente, y configurar ambos para que sólo realicen sus respectivas funciones previstas.
4.5 Los comandos “r”
Hay servicios de red que permiten utilizar nodos de confianza (preautenticados) desde los cuáles se supone que, por estar limitado su acceso físico, no es necesario suministrar una palabra de acceso. Por ejemplo, rlogin (puerto 513) permite establecer una sesión remota en esas condiciones siempre que se cumpla:
• la usuaria ha de tener cuenta con el mismo identificador en las máquinas de origen y destino
• la solicitud ha de hacerse desde un “puerto de confianza” (se llaman así los que tienen número inferior a 1024, porque las restricciones que en ellos imponen las máquinas UNIX les confieren un cierto nivel de seguridad)
• el equipo en el que está instalado el cliente que solicita el servicio debe figurar en la lista de “máquinas de confianza”
• se ha de verificar la correspondencia entre el nombre de la máquina y su número IP
El comando rsh (puerto 514) permite la ejecución remota de un comando en condiciones similares. Obviamente, esto abre una importante línea de ataques que pretenden subvertir en la máquina objetivo alguna de las listas de máquinas de confianza. El administrador de seguridad debe tener especial cuidado de mantener bajo control los cambios que se hacen en estas listas, puesto que suponen dejar en manos de los usuarios una alta posibilidad de tener problemas de intrusión.
Por último, hay que tener en cuenta la posibilidad de un ataque desde una máquina con dirección IP falsa. Aunque el uso de estos comandos suele tener por motivo evitar el riesgo de enviar palabras de acceso alegremente por la red, es altamente desaconsejable permitir su uso desde máquinas expuestas al exterior.
4.6 Sincronización
conseguir que los resultados beneficien realmente al atacante. Sin embargo hemos de tener en cuenta que el tiempo puede tener un papel crucial en la seguridad:
• en servicios como Kerberos, elementos de autenticación pueden reusarse después de expirar
• los registros de auditoría en general pueden quedar alterados (por no existir una noción coherente del tiempo) o pueden ser borrados por el propio sistema pensando que son demasiado antiguos
• el tiempo puede ser manipulado para esconder el hecho de que algunos ficheros han sido sustituidos con intenciones poco claras
• las tareas temporizadas pueden no ejecutarse tal como se había previsto
Por ello se recomienda prestar atención a los registros de auditoría de este servicio para detectar posibles ataques. Tampoco es grave si se deshabilita, ya que la mayor parte de los equipos pueden funcionar normalmente con un grado de precisión bajo en la hora, utilizando el reloj de la máquina o protocolos de sincronización más sencillos.
4.7 Servicios de información
Si la mayor parte de las aplicaciones que hemos citado hasta ahora no son más que extensiones de servicios existentes antes que la propia Internet, hay un elemento conceptualmente basado en la Red de Redes casi en su totalidad: la WWW (World Wide Web). La Tela de Araña Mundial no es más que la colección de servidores de un protocolo llamado HTTP (puerto 80) que utiliza tecnología de hipertexto para ligar entre sí documentos de los más variados formatos (texto, gráficos, sonido, vídeo, etc.) a lo largo del mundo. Dado que estas ligaduras son no jerárquicas, la WWW puede ser atravesada de manera trivial en cualquier dirección en la que a alguien se le haya ocurrido establecer una ligadura, pudiendo transferirse documentos procedentes de cualquiera de los lugares visitados. Existen numerosas aplicaciones clientes de http y se suelen denominar navegadores (browsers). Casi todas ellas son capaces de manejar otros protocolos, como FTP, Gopher ó WAIS, y en algunos casos NNTP (news) y SMTP.
Existen otros servicios de información que utilizan una filosofía similar, aunque en general más primitiva y, por consiguiente, muchísimo menos utilizada. Es el caso de Gopher (puerto 70), orientado a menús y basado en texto, o el de WAIS (Wide Area Information Servers - puerto 210), que proporciona un servicio de búsqueda documental orientado a palabras-clave.
El servicio http comparte las amenazas del ftp anónimo (salvo en lo concerniente al problema de la escritura, que en este caso no existe). Por tanto hay que tener precauciones análogas con la cuenta http, utilizada por las usuarias del servicio, con sus privilegios, sus directorios y sus ficheros. Adicionalmente se suele aconsejar una serie de medidas básicas:
• utilizar mecanismos como chroot para limitar su operación en nuestra jerarquía de ficheros
• evitar situar información sensible en la máquina servidora
• situar la máquina servidora en las capas más externas de nuestro perímetro de seguridad
Pero además el servicio de acceso a la web tiene una característica muy específica: la mayor parte de los servidores utilizan y ejecutan otros programas llamados guiones CGI (CGI o Common Gateway Interface es la parte de HTTP que especifica cómo se comunican los datos de la usuaria al servidor y de éste a programas externos). Por ejemplo, si el cliente solicita una información, esta puede requerir la consulta a una base de datos. El servidor http
llama a un guión CGI para que realice la consulta y genere la página HTML en la respuesta. El problema es que en ciertas circunstancias una atacante puede modificar el comportamiento de un guión CGI de forma que realice operaciones peligrosas en la red del servidor, e incluso puede descargar sus propios programas y conseguir que se ejecuten (esto puede producirse, por ejemplo, si los servido
