seguridad de las tic bajo protocolos tcp/ip - análisis

Anuncio
SEGURIDAD DE LAS TIC BAJO PROTOCOLOS TCP/IP - ANÁLISIS PARTICULAR EN
ECUADOR MEDIANTE ESCANEO DE PUERTOS
Jorge I. Ortiz M.
Corporación CENTRO NACIONAL DE CONTROL DE ENERGÍA -CENACEJuan C. Vallecilla M.
Corporación CENTRO NACIONAL DE CONTROL DE ENERGÍA -CENACERESUMEN
En el presente artículo se describe lo relacionado a
seguridad en redes de comunicación con protocolos
TCP/IP, sus potenciales vulnerabilidades, tipos de
ataques informáticos y nuevas tecnologías en cuanto
a seguridad. Se presenta una estadística a nivel país
sobre las vulnerabilidades encontradas en distintas
redes de comunicación que trabajan bajo protocolos
TCP/IP mediante escaneo de puertos.
1.
PROTOCOLOS DE COMUNICACIÓN TCP/IP
En la actualidad, la familia de protocolos de Internet,
o más conocida como protocolos de comunicación
TCP/IP, se han difundido masivamente en todo
el mundo, convirtiéndose en la base de Internet,
permitiendo la transmisión de información entre redes
de computadoras.
Efectivamente, TCP/IP es un conjunto de protocolos,
siendo los más importantes el Protocolo de Control
de Transmisión (TCP), y el Protocolo de Internet
(IP), que fueron los primeros en definirse y los más
utilizados. A la familia de protocolos de Internet,
pertenecen alrededor de 100 protocolos, entre los
cuales se mencionan: HTTP (Hyper Text Transfer
Protocol) utilizado para acceder a páginas web, FTP
(File Transfer Protocol) utilizado para transferencia
de archivos, SMTP (Simple Mail Transfer Protocol)
y POP (Post Office Protocol) utilizados para correo
electrónico, TELNET para acceder a equipos remotos,
etc.
1.1 Capas o Niveles de TCP/IP
Con el modelo de capas o niveles se simplificó el
intercambio de información entre equipos de cómputo,
ya que cada capa tiene como entradas la información
de su nivel inmediatamente inferior, y sus resultados o
salidas son las entradas para su nivel inmediatamente
superior.
1.1.1
Capa Física y Enlace (Ethernet)
La capa física se refiere a los medios físicos de
comunicación (cable, radio, fibra óptica), y a las
actividades necesarias para tener un desempeño
óptimo de dichos medios como: código de canales,
modulación, potencias de señales, longitudes de onda,
sincronización, temporización y distancias máximas.
La capa física Ethernet utiliza direcciones de red de
48 bits, estas direcciones de red vienen impresas de
fábrica en todas las placas de red Ethernet.
Debido a que las direcciones Ethernet e IP son dos
números distintos y que no guardan ninguna relación,
para efectuar la comunicación a un host a través
de su dirección IP, se necesita convertir ésta a la
correspondiente dirección Ethernet. ARP (Address
Resolution Protocol) es el protocolo encargado de
realizar las conversiones de dirección correspondientes
a cada host.
Ningún paquete de datos puede salir de la red sin tener
la dirección Ethernet y la dirección IP de la máquina
de destino. La gestión de las direcciones Ethernet, se
la realiza en la capa de red.
1.1.2
Capa de Red
La capa de red se encarga de establecer los caminos
para efectuar la transferencia de datos a través de
la red, es decir, se ocupa del direccionamiento en la
red, el ruteo, la fragmentación y desfragmentación de
datagramas, los mensajes de control de Internet, y las
tablas de direcciones físicas locales. Cada uno de
estos servicios los administra un protocolo diferente.
Los protocolos más importantes que se encuentran en
esta capa son: el protocolo IP (Internet Protocol) se
encarga del direccionamiento, ruteo y fragmentación
de los datagramas, ICMP (Internet Control Message
Protocol) maneja los mensajes de control de Internet,
ARP/RARP gestionan las direcciones Ethernet
locales.
Cada equipo tiene una dirección IP única, compuesta
por 32 bits en numeración binaria, por facilidad, se los
separa en cuatro grupos de 8 bits y se los traduce a
numeración decimal. Debido a que con 8 bits binarios
110
se puede formar un número decimal que varía desde 0
hasta 255, una dirección IP se presenta de la siguiente
forma: 255.9.115.21, la separación con puntos es una
convención.
1.1.3
Incorpora aplicaciones de red estándar como:
TELNET, SMTP, FTP, HTTP, etc.
Utilizan los programas comunes para comunicarse a
través de una red con otros programas
Capa de Transporte
1.1.5
La capa de transporte es la responsable de la
transferencia de información a través de la red entre
diferentes hosts. Los protocolos que se utilizan para
transporte son TCP y UDP (User Datagram Protocol).
Cada segmento de información entra o sale de la capa
de transporte necesariamente por un puerto.
Los puertos desde el 1 al 1024 se llaman privilegiados,
ya que solo pueden ser abiertos por programas que
tengan permisos de administrador. Por convención en
estos puertos escuchan la mayoría de los servicios.
Para que un cliente se comunique con el servidor,
debe mandar un segmento fuera de su máquina,
esto solamente es posible si se encuentra abierto un
puerto. La comunicación entre una máquina con otra
se la realiza a través de puertos que van desde el
1025 al 65535.
En el proceso de transmisión de información, el archivo
a ser enviado es fragmentado en “n” segmentos, el
protocolo TCP controla que el número de segmentos
enviados sea igual al recibido, caso contrario manda
a llamar nuevamente al segmento faltante, para
finalmente fusionarlos en un solo archivo. Por otro
lado, el protocolo UDP solamente transmite los
segmentos sin realizar ningún control, no importa que
no lleguen todos los segmentos, sino la velocidad de
transmisión.
Por ejemplo, para la transmisión de video y audio en
tiempo real se utiliza UDP, ya que prima la velocidad
de transmisión, en este caso no es tan apreciable la
falta de segmentos de información, pero sí son muy
apreciables los retrasos entre voz e imagen que se
producen cuando un protocolo solicita retransmisión
de datagramas.
En cambio, para la transferencia de datos y archivos,
resulta imposible pensar en recibir información
incompleta, en este caso no es apreciable ni decidor
que se demore un tiempo adicional la transferencia de
información, siempre y cuando llegue la información
íntegra, para este caso se utiliza el protocolo TCP.
1.1.4
Ventajas y Desventajas de protocolos
TCP/IP
Las principales ventajas, las mismas que han sido los
motivos de su popularidad, son:
•
Independencia de la tecnología utilizada en
la conexión a bajo nivel y la arquitectura del
ordenador.
•
Soporta múltiples tecnologías.
•
Conectividad universal a través de la red
•
Protocolos estandarizados
La principal desventaja es que los protocolos TCP/IP
no fueron creados teniendo en cuenta la seguridad.
Toda la información que es transmitida a través de
protocolos TCP/IP no es encriptada, a menos que los
datos transmitidos hayan sido encriptados por otra
aplicación previamente. Esta desventaja dio paso a
un problema de gran magnitud, ya que adicionalmente
las redes Ethernet utilizan el concepto de medio
compartido para transmitir información, es decir,
envían información en todas direcciones y a todos los
host de la red local, confiando que solo va a acceder a
dicha información el sujeto a quien estaba destinado
el mensaje.
Las desventajas de TCP/IP son vulnerabilidades
latentes en una red, las mismas que si no son
controladas a tiempo y eficazmente, podrían ser la
causa de gravísimos problemas debido a ataques a
las redes.
2.
VULNERABILIDADES PROTOCOLOS TCP/IP
Los ataques a redes informáticas pueden tener
diferentes motivaciones como: fraude, extorsión,
robo de información confidencial, venganza, acceso
no autorizado a un sistema, anulación de servicios, o
simplemente el desafío de vulnerar las seguridades
de un sistema.
Estos ataques pueden provenir principalmente de dos
fuentes:
Capa de Aplicación
Es la capa que brinda aplicaciones de interfaz al
usuario final, administrada directamente por software.
•
111
Usuarios autentificados que forman parte de
la red, como por ejemplo empleados internos o
colaboradores externos con acceso a sistemas
dentro de la red de la empresa. También
denominados insiders.
•
Atacantes externos a la ubicación física de la
organización, accediendo remotamente. También
denominados outsiders.
password a una palabra que el atacante suministra.
Para evitar situaciones de IS es conveniente tener en
cuenta estas recomendaciones:
•
Mantener un servicio técnico propio o de confianza.
•
Capacitar a los usuarios de red para que no
contesten preguntas sobre cualquier característica
del sistema y comuniquen la inquietud a los
responsables que tenga competencia para dar
esa información.
•
Asegurarse que las llamadas telefónicas para
solicitar información, corresponden a una persona
segura o confiable.
A continuación se presentan los diferentes tipos de
ataques presentados en las redes:
2.1 Tipos de Ataques
Conforme los protocolos de comunicaciones
aumentan, se crean agujeros en las seguridades de los
sistemas informáticos, provocando que la información
e infraestructura física queden comprometidas, lo que
podría ocasionar grandes daños y pérdidas para una
empresa, en caso de ataques exitosos.
2.1.1 2.1.3
Ingeniería Social Inversa - ISI
Consiste en la generación, por parte de los intrusos,
de una situación inversa a la originada en Ingeniería
Social.
Caballos de Troya
Consiste en introducir o anidar dentro de un programa
una rutina o conjunto de instrucciones, (que generalmente
llegan vía Internet), por supuesto no autorizadas y que
la persona que lo ejecuta no conoce, para que dicho
programa actúe de una forma diferente a como estaba
previsto. Por ejemplo formatear el disco duro, modificar
un fichero, sacar un mensaje, etc.
El intruso intenta demostrar que es capaz de dar ayuda
a los usuarios, y estos lo llaman ante algún imprevisto.
El intruso aprovechara esta oportunidad para obtener
la información necesaria para solucionar el problema
del usuario y el suyo propio.
Frecuentemente suele ser utilizado para cambiar la
pantalla de login (imitándola), descubriendo de esta
manera el password del usuario.
La ISI es más difícil de llevar a cabo y por lo general
se aplica cuando los usuarios están alertados
acerca de las técnicas de IS. Puede usarse en
algunas situaciones específicas y después de mucha
preparación e investigación por parte del intruso:
Los caballos de Troya se dividen en varios tipos:
puertas traseras, espías de contraseñas, registradores,
descargadores, etc.
•
Generación de una falla en el funcionamiento
normal del sistema. Generalmente esta falla
es fácil de solucionar pero puede ser difícil de
encontrar por los usuarios inexpertos (sabotaje).
Requiere que el intruso tenga un mínimo contacto
con el sistema.
•
Comunicación a los usuarios de que la solución
es brindada por el intruso (publicidad).
•
Provisión de ayuda por parte del intruso encubierto
como servicio técnico.
2.1.2 Ingeniería Social - IS
Es la manipulación de las personas o usuarios que
tengan acceso a la red interna para convencerlas de que
ejecuten acciones o actos que normalmente no realizan,
revelando todo lo necesario para superar las barreras de
seguridad. Si el atacante tiene la experiencia suficiente,
puede engañar fácilmente a un usuario (que desconoce
las mínimas medidas de seguridad) en beneficio propio.
Esta técnica es una de las más usadas y efectivas a la
hora de averiguar nombres de usuarios y passwords de
acceso a la red.
Por ejemplo, suele llamarse a un usuario haciéndose
pasar por administrador del sistema y requerirle el
password con alguna excusa convincente. O bien, podría
enviarse un mail (falsificando la dirección origen a nombre
del administrador) pidiendo al usuario que modifique su
2.1.4
Trashing o Cartoneo
Generalmente, un usuario anota su login y password
en un papel y luego, cuando lo recuerda, lo arroja a
la basura. Este procedimiento por más inocente que
parezca es el que puede aprovechar un atacante para
hacerse de una llave para entrar al sistema, es decir,
“nada se destruye, todo se transforma”.
112
El Trashing puede ser físico (como el caso descrito) o
lógico, como analizar buffers de impresora y memoria,
bloques de discos, etc.
El Trashing físico suele ser común en organizaciones
que no disponen de alta confidencialidad, como
colegios y universidades.
2.1.5
Ataques de Monitorización
Este tipo de ataque se realiza para observar a la
víctima y su sistema, con el objetivo de establecer sus
vulnerabilidades y posibles formas de acceso futuro.
2.1.5.1 Decoy (Señuelos)
Los Decoy son programas diseñados con la misma
interface que otro original. En ellos se imita la solicitud
de un logueo y el usuario desprevenido lo hace. Luego,
el programa guardará esta información y dejará paso
a las actividades normales del sistema.
aunque con el tiempo ha llegado a convertirse en una
herramienta muy usada por los intrusos. Actualmente
existen Sniffers para capturar cualquier tipo de
información específica. Por ejemplo contraseñas de
un recurso compartido o de acceso a una cuenta
bancaria, que generalmente viajan sin encriptar al
ingresar a sistemas de acceso remoto. También
son utilizados para capturar números de tarjetas de
crédito y direcciones de e-mails entrantes y salientes.
El análisis de tráfico puede ser utilizado también
para determinar relaciones entre organizaciones e
individuos.
Para realizar estas funciones se analizan las tramas
o paquetes de un segmento de red, y presentan al
usuario sólo las que son de su interés.
Normalmente, los buenos Sniffers, no se pueden
detectar, aunque la inmensa mayoría, y debido a que
están demasiado relacionados con el protocolo TCP/
IP, si pueden ser detectados con algunos trucos de
red.
2.1.5.2 Scanning (Búsqueda)
2.1.5.4 Snooping–Downloading
El escaneo, como método de descubrir canales de
comunicación susceptibles de ser explotados, lleva
en uso mucho tiempo. La idea es recorrer (escanear)
tantos puertos abiertos como sea posible, y guardar
información de aquellos que sean receptivos o de
utilidad para cada necesidad en particular. Muchas
utilidades de auditoría también se basan en este
paradigma.
Escanear puertos implica las mismas técnicas de
fuerza bruta. Se envía una serie de paquetes para
varios protocolos y se deduce que servicios están
“escuchando o abiertos” por las respuestas recibidas
o no recibidas.
2.1.5.3 Eavesdropping–Packet Sniffing
La mayoría de redes son vulnerables al Eavesdropping,
o a la pasiva intercepción (sin modificación) del tráfico
de red. Esto se realiza utilizando programas para Packet
Sniffers, los cuales monitorean los paquetes que circulan
por la red. Los Sniffers pueden ser colocados tanto en
una estación de trabajo conectada a la red, como a un
equipo Router o a un Gateway de Internet, y esto puede
ser realizado por un usuario con legítimo acceso, o por
un intruso que ha ingresado por otras vías.
Un Sniffer consiste en colocar a la placa de red en modo
promiscuo, el cual desactiva el filtro de verificación de
direcciones y por lo tanto todos los paquetes enviados
a la red llegan a esta placa (computadora donde está
instalado el Sniffer).
Inicialmente este tipo de software, era únicamente
utilizado por los administradores de redes locales,
El fin de este ataque es obtener la información de
una red sin modificarla, mediante la intercepción del
tráfico de red. El atacante ingresa a los documentos,
mensajes de correo electrónico y otra información
guardada, realizando en la mayoría de los casos
un downloading (copia de documentos) de esa
información a su propia computadora, para luego
hacer un análisis exhaustivo de la misma.
El Snooping puede ser realizado por simple curiosidad,
pero también es realizado con fines de espionaje y robo
de información o software. Los casos más resonantes
de este tipo de ataques fueron: el robo de un archivo
con más de 1700 números de tarjetas de crédito desde
una compañía de música mundialmente famosa, y la
difusión ilegal de reportes oficiales reservados de las
Naciones Unidas, acerca de la violación de derechos
humanos en algunos países europeos en estado de
guerra.
2.1.6
Denegación de Servicios (DOS)
Los ataques de Negación de Servicio tienen como
objetivo saturar los recursos del sistema de la víctima
de forma tal que se inhabilita los servicios brindados
por la misma. El ataque más común es el Ping de la
muerte, el cual consiste en el envío de más de 65535
bytes a la victima congestionando el servicio de red.
2.1.6.1 Jamming o Flooding
Este tipo de ataque consiste en desactivar o saturar
los recursos del sistema. Principalmente consiste
113
en consumir toda la memoria o espacio en disco
disponible.
El atacante satura el sistema con mensajes que
requieren establecer una conexión TCP. Sin embargo,
en vez de proveer la dirección IP del emisor, el
mensaje contiene falsas direcciones IP usando
Spoofing y Looping. El sistema responde al mensaje,
pero como no recibe respuesta, acumula buffers con
información de las conexiones abiertas, impidiendo
tener conexiones legítimas.
Este tipo de ataques se da principalmente en
proveedores de internet teniendo bajas temporales
del servicio por ataques que explotan el protocolo
TCP. Muchos Hosts de Internet han sido dados de
baja por el “ping de la muerte” (una versión-trampa
del comando ping).
Mientras que el ping normal simplemente verifica
si un sistema esta enlazado a la red, el ping de la
muerte causa el bloqueo instantáneo del equipo.
Esta vulnerabilidad ha sido ampliamente utilizada en
el pasado pero, aún hoy pueden encontrarse sistemas
vulnerables. Otra acción común es la de enviar millares
de e-mails sin sentido a todos los usuarios posibles en
forma continua, saturando los sistemas destinos.
2.1.6.2 Smurf o Broadcast Storm
Consiste en recolectar una serie de direcciones
BroadCast para a continuación, mandar una petición
ICMP (simulando un Ping) a cada una de ellas en
serie, varias veces, falsificando la dirección IP de
origen (máquina víctima).
El paquete obtenido es manipulado maliciosamente y
difundido en Broadcast de tal manera que los hosts
mandarán una respuesta a la víctima cuya dirección
IP figura en el paquete ICMP.
La víctima no puede hacer nada para evitarlo. La
solución está en manos de los administradores de
red, los cuales deben configurar adecuadamente sus
Routers para filtrar los paquetes ICMP de peticiones
indeseadas (Broadcast); o bien configurar sus
máquinas para que no respondan a dichos paquetes.
3.
3.1 INVESTIGACIÓN DE VULNERABILIDADES
EN LOS SISTEMAS DE INFORMACIÓN
DEL ECUADOR
Breve reseña de las Vulnerabilidades
de los Sistemas de Información a nivel
mundial
A partir de los años 80’s, se inició la expansión
tecnológica a gran escala de los sistemas informáticos
y de información a nivel mundial, provocando una
nueva era en las Tecnologías de la Información y
Comunicación, teniendo como parte fundamental el
desarrollo del protocolo de comunicaciones TCP/IP.
Paralelamente a la expansión tecnológica se fueron
desarrollando métodos y técnicas para vulnerar a
estos “nuevos sistemas”, es así que cada vez que
se ha implementado un nuevo sistema de protección
contra intrusos, al poco tiempo se han registrado
ataques exitosos a las redes de información.
Esta dinámica de cambio permanente y cada vez en
menor tiempo, nos permite concluir que no existe un
sistema de información 100% infalible, ni seguro en
el tiempo.
Podría pensarse que los ataques a los sistemas
de información lo realizan solamente a empresas o
instituciones pequeñas, las cuales no tienen sistemas
robustos de seguridad informática, sin embargo el
ataque a la NASA, Pentágono, Ejército y Gobierno
Estadounidense entre febrero de 2001 y marzo de
2002, perpetrado por el hacker británico Gary Mckinnon
de 42 años, debería sentar precedentes en la cultura
de seguridad informática de las organizaciones a nivel
mundial. Esta intrusión, fue calificada por el Gobierno
Norteamericano como “el mayor acceso ilegal a datos
informatizados en la historia militar estadounidense”,
por lo que el Gobierno Estadounidense esta solicitando
la extradición del implicado, una multa de hasta 1.75
millones de dólares y una condena de hasta 70 años
de prisión, si es hallado culpable. En su defensa,
McKinnon explicó que su única intención había sido
encontrar información sobre ovnis.
Ataques a grandes instituciones bancarias como
Citibank en marzo de 2006 denominado como “el
peor Hack económico de la historia”, o la vulneración
del sistema de cifrado de Cisco Systems VPN por
hackers alemanes en octubre de 2005, entre otros,
son ejemplos recientes de las vulnerabilidades
encontradas en las redes de sistemas de información
de empresas gigantes a nivel mundial.
3.2
Vulnerabilidades de los Sistemas de
Información en Ecuador
Desde 1998 hasta la fecha, se han registrado más
de 350 ataques exitosos a páginas web en Ecuador
(fuente: www.zone-h.org). Como ejemplos de sitios
web hackeados en Ecuador, se puede mencionar
el ataque al Sistema de Información para la
Gobernabilidad Democrática SIGOB (del Gobierno
Nacional - www.sigob.gov.ec) en febrero de 2004, a
114
TV Cable en agosto de 2003, y el más reciente, a la
página web de la Presidencia del Ecuador el pasado
marzo de 2008.
Con el propósito de conocer la situación actual de
las vulnerabilidades registradas en los sistemas de
comunicación de las organizaciones y empresas
ecuatorianas, se procedió a realizar el escaneo de
puertos aproximadamente a 250 portales y páginas web
de instituciones del país, entre los cuales se encuentran
los sectores de la salud, eléctrico, gobierno, industrias,
medios de comunicación, universidades e instituciones
financieras, obteniéndose los siguientes resultados:
Los portales y páginas escaneadas en los sectores
industrial y medios de comunicación, presentan
protecciones y seguridades en sus sistemas de
información; mientras que los sectores de salud e
instituciones financieras presentan el mayor porcentaje de
potenciales vulnerabilidades en sus redes de información
como se puede observar en la figura 1.
Se puede concluir que, de 100 portales y páginas
web de industrias ecuatorianas, 96.2% de empresas
tienen los puertos bloqueados, es decir, no es posible
el acceso a usuarios desconocidos desde el medio
externo a sus redes; 3.8% de empresas tienen los
puertos parcialmente bloqueados, es decir solamente
tienen abiertos los puertos necesarios para ejecutar
sus procesos; y finalmente se puede observar que
ninguna industria de la muestra analizada, tiene
puertos abiertos todos sus puertos, lo que indica
que es un sector que ha desarrollado una importante
cultura de seguridad de la información.
83
M. DE COMUNICACIÓN 00
29
UNIVERSIDADES
17
50
50
SECTOR ELÉCTRICO
21
33
26
69
INSTITUCIONES FINANCIERAS
25
63
SALUD
0%
20%
P. BLQ
4
46
41
GOBIERNO
P. AB
4
96
INDUSTRIAS 00
40%
60%
5
25
13
80%
100%
El mantener puertos abiertos en una red de sistemas de
información, es una de las principales vulnerabilidades
de las redes, ya que tanto los usuarios legítimos como
los atacantes se conectan a los sistemas por medio de
puertos. Cuantos más puertos se encuentren abiertos,
hay más formas para que alguien se conecte a una red.
Por lo tanto, es importante mantener abiertos sólo los
puertos imprescindibles para que el sistema funcione
correctamente. El resto de los puertos deben mantenerse
cerrados.
Resulta muy preocupante que instituciones de
los sectores: universitario, eléctrico, gobierno,
financiero y salud presenten altos porcentajes de
puertos completamente abiertos en sus sistemas
de información, ya que esto abre un abanico de
posibilidades de ataques a sus redes, a la vez que
conlleva un sinnúmero de consecuencias.
La figura 2, muestra una interesante tendencia a
nivel país, la misma que presenta un porcentaje muy
alto (36%) de organizaciones que mantienen sus
sistemas de información con los todos los puertos
abiertos. Este porcentaje debe minimizarse, para
evitar los problemas que se han descrito en este
documento, sin embargo un comportamiento usual en
las organizaciones es buscar las soluciones luego de
ocurridos los problemas.
En la tendencia presentada a nivel país, se puede
observar que hay organizaciones que salen de
dicha tendencia como casos particulares, de ahí la
importancia de tener una estadística desagregada por
sectores, ya que nos permite identificar de manera
específica a las organizaciones con mayor potencial
de vulnerabilidades en sus sistemas de información.
En cuanto a las organizaciones que se encontraron
con puertos abiertos, se pudo observar que las
organizaciones “pequeñas” son la mayoría, sin
embargo esta no es una regla, ya que también
se encontró organizaciones “grandes” con este
problema.
P.P. BLQ
12.6%
P. P. BLQ
P. AB
36,0%
FIGURA: 1 Estadística de vulnerabilidades en redes
de información en Ecuador, mostrada por sectores.
Análisis por escaneo de puertos.
P. BLQ
51,3%
Donde:
P.AB : Puertos Abiertos
P.BLQ : Puertos Bloqueados
P.P.BLQ: Puertos Parcialmente Bloqueados
FIGURA 2: Estadística global de vulnerabilidades
en redes de información en Ecuador. Análisis por
escaneo de puertos.
115
Debido a los servicios que tienen las distintas
empresas como son correo electrónico, servicio de
transferencia de archivos, portales WEB, publicación
de información, etc., se utilizan puertos TCP que
permiten la comunicación de los distintos servicios
internos de una empresa con la red externa de
internet.
4.
De los resultados anteriormente presentados, se
observó que los puertos comúnmente abiertos son los
siguientes:
•
Prevención: implementada por dispositivos
como: IPS (sistema de prevención de intrusos),
firewalls.
•
Puerto 21: es utilizado por el protocolo FTP
(File Transfer Protocol) para la transferencia de
archivos sobre el protocolo TCP/IP.
•
Detección: a través de sistemas como los IDS
(sistema de detección de intrusos).
•
•
Puerto 22: es utilizado por el protocolo SSH
(Secure Shell) para las conexiones remotas entre
dos terminales permitiendo la transferencia de
datos de manera segura y el protocolo SFTP
(Security File Transfer Protocol) que permite la
transferencia segura de ficheros de información.
Respuesta: las acciones a tomar deben ser
dirigidas por la parte humana, normalmente los
administradores de la red.
•
Puerto 23: es utilizado por el protocolo TELNET
para las conexiones entre dos terminales remotos.
Este protocolo no permite una transferencia de
datos de manera segura.
•
Puerto 25: es utilizado por el protocolo
SMTP (Simple Mail Transfer Protocol) para el
intercambio de mensajes de correo electrónico
entre computadoras.
•
Puerto 80: es utilizado por el protocolo HTTP
(Hyper Text Transfer Protocol) para la transferencia
de archivos principalmente en formato HTML
(HyperText Mark-Up Language) lenguaje utilizado
para la construcción de páginas WEB.
El protocolo ICMP (Internet Control Messsage
Protocol) es utilizado para la administración de las
aplicaciones de red, el mismo que fue utilizado para el
barrido de puertos. De esta manera permite conocer
los puertos abiertos de un sistema, por lo que se
recomienda mantener a este protocolo cerrado en los
equipos de seguridad perimetral impidiendo que un
atacante obtenga información importante para realizar
su cometido.
El análisis realizado, se efectuó a una muestra
significativa de portales y páginas web, con fines
completamente didácticos, con el objetivo de tener un
diagnóstico de las seguridades básicas existentes en
las organizaciones ecuatorianas con respecto a sus
sistemas de información.
PREVENCIÓN
Y
SEGURIDAD
PROTOCOLOS TCP/IP
DE
La conclusión tras el análisis de las vulnerabilidades
desde un punto de vista operacional es que para
evitarlas pueden definirse las tareas a realizar dentro
de un sistema de seguridad en tres etapas:
4.1
IPS’s e IDS’s
En la actualidad, los sistemas IPS/IDS se constituyen
en la tecnología más avanzada en sistemas de
seguridad perimetral, son el paso siguiente a los
firewalls. Una vez actualizados, estos sistemas
son capaces de reconocer vulnerabilidades de las
aplicaciones más comunes a puertos abiertos en el
firewall.
Los sistemas de prevención de intrusos (IPS) son una
evolución de los sistemas de detección de intrusos
(IDS). La gran diferencia es que los IDS muestran
permisividad a los intrusos para ingresar a las redes,
ya que su propósito es “detectar la intrusión”, no
detenerla ni prevenirla.
El IDS se limita a detectar y notificar la intrusión al
administrador de la red, quien deberá tomar las
acciones correctivas pertinentes. Por otra parte, los
IPS combinan múltiples funcionalidades, como firewall,
IDS, inspección statefull y detección de anomalías de
protocolo, antivirus, valoración de vulnerabilidades,
filtrado de contenidos, etc. De esta forma, consiguen
proteger automáticamente de los ataques antes de
que hayan impactado en la red, poniendo el énfasis
en la prevención y en la automatización. En algunos
casos, los sistemas IPS empiezan a ofrecer también
capacidades antispyware y de “deep inspection” para
una seguridad a nivel de aplicación, lo que les permite
analizar el contenido de los paquetes, pudiendo actuar
como un segundo filtro sobre el tráfico que los firewall
periféricos han dejado pasar.
En este contexto, las ventajas y beneficios de los
sistemas de prevención de intrusiones (IPS) son,
116
innegables. Se trata de soluciones de protección
globales que, desplegadas correctamente y con
las configuraciones adecuadas, ofrecen a los
administradores de redes una potente herramienta.
Usuarios de estas tecnologías aseguran haber
registrado reducciones de hasta un 70% en las alertas
por virus y gusanos en comparación con la utilización
de IDS tradicionales. No basta ya la instalación de
firewalls cuyo funcionamiento se limita al análisis
de los paquetes a Nivel de Red en la frontera de la
infraestructura.
Sin embargo, pese a las ventajas de los IPS
para el administrador de red, presentan algunas
particularidades que deben ser tenidas en cuenta a
la hora de elegir un determinado producto. Al trabajar,
a diferencia de los sistemas IDS, en modo in-line,
analizando todo el tráfico que pasa por la red en tiempo
real, su rendimiento debe ser lo más cercano posible
a la velocidad de cable; de lo contrario se producirían
problemas de cuellos de botella.
Por otra parte, un administrador de seguridad que
apueste por la introducción de IPS en su organización,
deberá asumir el inconveniente de que en ocasiones
puedan bloquear tráficos legítimos. Este limitante
es en realidad una característica heredada de sus
predecesores, los IDS; el problema es que, al realizarse
el bloqueo de manera automática, los falsos positivos
(tráfico seguro, calificado como inseguro por el IPS)
quedan de forma igualmente automática bloqueados.
Para muchos, sin embargo, merece la pena asumir
este riesgo.
5
CONCLUSIONES
En el presente documento, se realizó un análisis de la
seguridad de los sistemas de información de diferentes
tipos de organizaciones, instituciones y empresas
en el Ecuador, mediante el método de escaneo de
puertos, con propósitos exclusivamente didácticos.
Según el análisis realizado en el numeral 3, existen
organizaciones que en función de su naturaleza laboral
o de servicios, presentan diferentes tendencias y
niveles de seguridad en sus sistemas de información.
Se puede observar que los sectores de industrias y
medios de comunicación poseen mayoritariamente
sistemas de información con altos niveles de
seguridad; sin embargo en los sectores: eléctrico,
gobierno, financiero, universidades y salud, existen
altos porcentajes de organizaciones que no tienen
implementados ni los sistemas básicos de seguridad
de información como lo es el bloqueo de puertos.
Las vulnerabilidades de los sistemas de información
presentan una constante dinámica de cambio en función
del desarrollo tecnológico, es así que en la actualidad,
los ataques a las redes se caracterizan por:
•
Los
tipos
de
continuamente.
amenazas
evolucionan
•
Los sistemas de información para objetivos
críticos de las organizaciones se están integrando
cada vez más con Internet.
•
El daño y la velocidad de los ataques se
incrementan continuamente.
•
El software continúa teniendo vulnerabilidades
intrínsecas “desde la caja”.
Tomando en cuenta que las amenazas cada vez son
más complejas y, a veces, difíciles de detectar, se hace
necesaria una formación del personal responsable de
las TIC (Tecnologías de la Información y Comunicación)
en todas las organizaciones públicas y privadas, para
luchar contra la ingenuidad, la ignorancia de buenas
prácticas y la falta de concientización existente
sobre la necesidad de preservar la seguridad de la
información.
FIGURA 3: Configuración típica de IPS en la periferia
de una red.
La seguridad de la información debe estar orientada
a garantizar o mantener tres cualidades esenciales
y universales como son: disponibilidad, integridad y
confidencialidad. Adicionalmente en algunos entornos,
especialmente en implementaciones bancarias y
financieras, interesan además otros aspectos muy
117
importantes de las transacciones on-line como son la
autenticidad y la trazabilidad.
Las gerencias de las organizaciones no pueden
mostrarse ajenas a este escenario y deben considerar
el desarrollo, la adquisición, conservación y utilización
segura de las TIC como algo imprescindible que
garantice el funcionamiento eficaz al servicio del
ciudadano y de los intereses nacionales.
Por definición, ningún sistema es cien por ciento
seguro o inmune a ataques externos o internos, por
lo que es deber de las organizaciones el fomentar una
cultura de seguridad de las TIC en su personal, basada
en la concientización de la problemática, a través de
difusión de información con respecto a: riesgos e
impactos económicos, pérdida de información valiosa,
caos en procesos diarios, entrega no oportuna de
productos y/o servicios, ejemplos de ataques recientes
ocurridos en el país y en el mundo, etc. En este
contexto deberíamos preguntarnos: ¿Cuanto costaría
no disponer de correo electrónico, o de los sistemas
de procesos administrativos? ¿Cuanto costaría
perder números de cuentas, archivos, documentos
electrónicos, información confidencial, etc.? ¿Cuanto
costaría el restablecimiento de los servicios? ¿Cuánto
costaría que la información contenida en servidores y
computadoras fuera retransmitida hacia otro lugar sin
conocimiento ni autorización?
Toda organización por pequeña que sea y por mínima
información que tenga, posee datos y procesos que
representan una considerable inversión en términos
de conocimientos, tiempo, dinero y esfuerzo.
La seguridad dentro de una organización no consiste
únicamente en tener equipos activos que realicen
esta función, es necesario complementar con políticas
de seguridad las cuales involucren la capacitación del
personal a fin de que estos no entreguen información
que comprometa la seguridad de la red.
Al conseguir en una organización, que la cultura de
seguridad de la información llegue a convertirse en
una práctica diaria en el trabajo, el personal sabrá
que éste no es un esfuerzo únicamente de los
profesionales encargados de la administración de las
TIC, sino de toda la organización. Llegar a incorporar
a la seguridad de la información como parte de la
actividad cotidiana, de cada uno de los individuos que
tienen contacto con la organización, es el objetivo final
de la cultura de seguridad.
6.
RECOMENDACIONES
El análisis realizado a varias organizaciones y
empresas en el país, se lo puede ampliar a otros
sectores como: telecomunicaciones, transporte aéreo,
petróleos, etc., todo esto con el objetivo de conocer
el estado particular de los sistemas de seguridad
de las TIC en el país, y proponer las soluciones
correspondientes.
Habitualmente se suele implementar equipos
de seguridad perimetral como firewall o IED a la
salida/entrada de la red de Internet, permitiendo el
control de puertos y acceso de usuarios, evitando
ataques a los sistemas sensibles de una empresa,
sin embargo la utilización de estas herramientas de
seguridad clásicas, basadas en el filtrado simple de
los datagramas que circulan por Internet, ha resultado
insuficiente ante los ataques organizados. Cuando el
atacante es único y está perfectamente identificado
(usualmente por la dirección IP), los sistemas básicos
de seguridad pueden resultar un muro de defensa
relativamente efectivo.
Sin embargo, cuando el atacante no está identificado
de una forma explícita o el número de atacantes es
desconocido (ataques de denegación de servicio
distribuido), estos sistemas no pueden dar la respuesta
adecuada, es cuando resulta imprescindible la
implementación de nuevas tecnologías como los IPS.
Se presentan a continuación algunas recomendaciones
básicas para usuarios de las redes:
•
Utilizar contraseñas difíciles de suponer
combinadas con números, símbolos, mayúsculas
y minúsculas. Cambiarlas frecuentemente.
•
Siempre y cuando sea posible, no dejar
computadoras conectadas a la red.
•
No abrir bajo ningún concepto, archivos adjuntos
de correo electrónico que vengan de extraños, sin
importar lo que mencione su asunto o el archivo
adjunto. También se deberá sospechar siempre,
de cualquier archivo adjunto no solicitado,
enviado por alguien conocido, ya que se puede
haber enviado sin el conocimiento de esa persona
desde una máquina infectada.
•
No entregar la clave de red, esta es personal y
puede ser mal utilizada por terceros, provocando
graves huecos de seguridad al interior de una red.
118
las
Según una estadística presentada por el Instituto
SANS de Norteamérica y el FBI, un alto porcentaje de
ataques a las redes de los sistemas de información
se deben a la inoportuna instalación de parches
largamente anunciados, esto hubiera prevenido la
mayoría de los ataques exitosos. La mayoría de los
atacantes, simplemente se aprovechan de quienes no
actualizan su software.
7.
(1)
(2)
(3)
(4)
8
Ha desempeñado sus labores profesionales en la
Empresa Eléctrica Riobamba, en la Dirección de
Planificación (2002). En el CENACE se desempeñó
en el Área Centro de Operaciones de la Dirección
de Operaciones, como operador de Generación y
Transmisión del S.N.I. (2002-2007). Actualmente se
desempeña como Ingeniero Administrador del Sistema
de Medición Comercial del MEM, en la Dirección de
Sistemas de Información.
REFERENCIAS BIBLIOGRÁFICAS
RHODES, Mark; Network Security The
Complete Reference, McGraw Hill, 2003.
McNAB Chris; Seguridad de Redes; Editorial
Anaya Multimedia; 2004.
www.sans.org : Instituto Sans, entrenamiento,
certificación e investigación de seguridad
informática.
www.zone-h.org : Estadísticas de seguridad de
sistemas de información.
CURRICULUM VITAE
Jorge Israel Ortiz Mármol.- Nació
en mayo de 1976 en la ciudad de
Riobamba, Ecuador. Recibió su
título de Ingeniero Eléctrico de la
Escuela Politécnica Nacional de
Quito, en 2003. Egresado de la
Maestría en Gerencia de Sistemas
de la Escuela Politécnica del
Ejército en 2008.
Juan Vallecilla Mosquera.- Nació
en Quito, Ecuador en 1981. Recibió
su título de Ingeniero Electrónico
de la Escuela Politécnica del
Ejército en el 2006. Egresado de la
Maestría en Redes de Información
y Conectividad de la Escuela
Politécnica del Ejército en 2008.
Actualmente se desempeña como Ingeniero de
Telecomunicaciones en la Dirección de Sistemas
de Información. Sus áreas de interés se relacionan
con los protocolos de transmisión SCADA y redes de
Comunicaciones.
119
Descargar