Estrategias Avanzadas de Ciberseguridad en Infraestructuras de Red y Sistemas

Entrada publicada en Informática y etiquetada almacenamiento ciberseguridad Hardening protocolos Redes seguridad perimetral VPN el por .

Hardening y Gestión de Accesos

El Hardening se define como el proceso de configuración de hardware y software para mejorar la seguridad de un sistema. Dentro de las medidas para garantizar una contraseña secreta y robusta, destacan:

  • Cifrado de contraseñas.
  • Establecimiento de una longitud mínima.
  • Disuasión de ataques de fuerza bruta.
  • Deshabilitar el acceso después de un período de inactividad.

Protocolo SSH (Secure Shell)

El SSH permite realizar conexiones remotas de forma segura. Se basa en el modelo cliente-servidor y utiliza habitualmente el puerto 22 de TCP. Mediante el uso de protocolos criptográficos, ofrece una seguridad muy superior a protocolos antiguos como TELNET.

Seguridad del Switch y Protocolos de Red

Filtrado MAC y Autenticación

Para fortalecer la seguridad del switch, se emplean técnicas como:

  • Filtrado MAC: Registra una lista de direcciones MAC permitidas para conectarse a un switch.
  • Autenticación en el puerto: El estándar IEEE 802.1X ofrece un mecanismo de autenticación para dispositivos que deseen unirse a un puerto de un switch. Este proceso involucra tres términos clave: solicitante, servidor de autenticación y autenticador.

Vulnerabilidades en DHCP

El DHCP Spoofing ocurre cuando un servidor no autorizado intenta manipular la red enviando mensajes incorrectos para que el cliente se configure erróneamente. Esto puede derivar en:

  • Ataque de intermediario (Man-in-the-Middle): Los delincuentes interfieren en la transferencia de datos con el objetivo de robarlos.
  • Denegación de servicio (DoS): Se asigna mal la dirección, lo que puede causar una red paralizada.
  • Ataque de agotamiento de IPs.

Como contrapartida, el DHCP Snooping es un método de contradicción del DHCP spoofing que crea una base de datos de seguridad; si se detecta un dispositivo no autorizado, este se bloquea.

Modelo AAA

El modelo AAA controla el acceso a redes inalámbricas basándose en tres pilares: Autenticación, Autorización y Reporte (Accounting). Los protocolos comunes para implementar este modelo son TACACS+, RADIUS y Diameter.

Segmentación de Red y Zonas DMZ

Una Red DMZ (Zona Desmilitarizada) contiene recursos internos de la LAN que están expuestos a una red externa. Su función es proteger los recursos internos, ya que los equipos externos de la WAN solo pueden acceder a lo que está ubicado específicamente en la red DMZ. Por otro lado, el Host DMZ se refiere a una única IP de la red a la que se reenvía todo el tráfico externo, siendo un método menos seguro que una DMZ estructurada.

Seguridad de Redes Inalámbricas

La seguridad de redes inalámbricas presenta retos específicos, ya que no requiere conexión mediante cable. Esto facilita el uso de sniffers para analizar el tráfico dentro del radio de cobertura. Las medidas preventivas incluyen la solicitación de contraseña con protección y el uso de protocolos de seguridad para el intercambio de información.

Evolución de los Protocolos Wi-Fi

  • WEP: Utiliza cifrado RC4 con claves de 64 bits, las cuales son muy vulnerables. Utiliza CRC para la integridad de la información.
  • WPA: Utiliza cifrado RC4 con clave de 128 bits e implementa TKIP, evitando los ataques estadísticos que afectaban a WEP.
  • WPA2: Resuelve los defectos de WPA al utilizar el algoritmo de cifrado AES. Se divide en WPA2 Personal (solicita contraseña de red) y WPA2 Empresarial (solicita nombre de usuario y contraseña).
  • WPA3: Lanzado en 2018, utiliza un cifrado de 192 bits para paliar las vulnerabilidades de WPA2. Dispone de versiones Personal y Empresarial.

Usabilidad y Otros Riesgos

Existe un equilibrio entre seguridad inalámbrica y usabilidad: a mayor seguridad, menor es la compatibilidad con equipos inalámbricos antiguos. Otros conceptos relevantes son:

  • WPS: Permite abrir el acceso al Wi-Fi en poco tiempo.
  • WPS-PIN: El router solicita un PIN de 8 dígitos, el cual es más fácil de averiguar que una contraseña WPA2.
  • Hotspots: Páginas web (portales cautivos) por las que el usuario debe pasar antes de acceder a una red Wi-Fi pública.
  • Ataques Rogue Access Point: Un punto de acceso con el mismo SSID de la red legítima; el usuario puede terminar conectado a una red cautiva controlada por el atacante.
  • Ataques DoS a redes Wi-Fi: Incluyen variantes como emitir señales que interfieren el canal, enviar paquetes de autenticación falsos o una cantidad ingente de solicitudes de ingreso.

Seguridad del Almacenamiento

El objetivo es evitar la pérdida de ficheros por errores, fallos o averías. Los aspectos importantes son:

  • Disponibilidad: Capacidad de acceder a los datos cuando son necesarios. Se suele usar almacenamiento redundante y, en el terreno empresarial, sistemas de Alta Disponibilidad.
  • Accesibilidad: Referencia al control de acceso, garantizando que solo usuarios autorizados entren a la información.

Tecnologías de Almacenamiento

El NAS (Network Attached Storage) dispone de un Sistema Operativo que controla las unidades de almacenamiento y el acceso a los datos. El almacenamiento redundante utiliza dos o más unidades para replicar la información; si una falla, los datos siguen disponibles. Un Hot Spare es un disco ya instalado en un sistema RAID listo para actuar en caso de fallo.

Otras modalidades incluyen:

  • Almacenamiento distribuido: Realizado a través de la red (como el NAS).
  • iSCSI: Permite manipular un disco remoto permitiendo particionarlo y formatearlo desde el cliente.
  • Almacenamiento extraíble y almacenamiento externo (unidades fuera del chasis como USB).
  • Almacenamiento remoto y en la nube: Almacenamiento distribuido accesible a través de Internet.

Redes Privadas Virtuales (VPN)

Las VPN crean un túnel cifrado por Internet entre dos ubicaciones. Su infraestructura consta de:

  • Servidor, concentrador o gateway VPN: Establece conexiones seguras.
  • Cliente VPN: Software instalado en los dispositivos de usuario. El servidor VPN suele actuar como servidor DHCP para asignar IPs internas a los clientes.

Tipos de VPN

  • VPN Site-to-Site: Protege la comunicación entre dos redes de la organización.
  • VPN de acceso remoto: Conecta un equipo individual con la red interna.
  • VPN entre equipos: Conexión segura de extremo a extremo entre dos dispositivos.
  • VPN Cloud: Proporciona un punto único de acceso seguro en la nube.

Seguridad Perimetral y Arquitectura

El Rol del Proxy

Un Proxy atiende peticiones de clientes internos para proteger el acceso a un servidor externo, actuando en la capa 7 del modelo OSI (siendo Squid el más usado). Existen variantes como:

  • Proxy transparente: Redirecciona el tráfico a nivel de red sin configuración en el cliente.
  • Proxy inverso: Atiende peticiones de clientes externos para proteger servicios internos.

Arquitectura de Red

La arquitectura de la seguridad perimetral se organiza en:

  • DMZ: Zonas desmilitarizadas para servicios públicos.
  • Intranet: Redes internas de la organización.
  • Extranet: Redes privadas establecidas con otras organizaciones colaboradoras.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *