principios básicos de la seguridad en red_r0_es_schneider electric_jun2012
TRANSCRIPT
Principios básicos de la seguridad de red
Documento técnico n.º 101
Por Christopher Leidigh
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
2
Sumario Los incidentes de seguridad están aumentando a un ritmo alarmante cada año. A medida
que aumenta la complejidad de las amenazas, crece también el número de medidas de
seguridad necesarias para proteger las redes. Los operadores, los administradores de red
y otros profesionales responsables de los centros de datos, tienen que comprender los
principios básicos de seguridad para poder implementar y gestionar de forma segura las
redes de hoy en día. En este documento se tratan los fundamentos básicos de los sistemas
de red seguros, incluidos los cortafuegos, la topología de red y los protocolos seguros.
Se ofrecen prácticas óptimas que presentan al lector algunos de los aspectos más críticos
a la hora de garantizar la seguridad de una red.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
3
Introducción Para garantizar la seguridad de la infraestructura de TI y de las redes empresariales modernas, se requiere
un enfoque global y un sólido conocimiento de las vulnerabilidades y las medidas de protección asociadas.
Aunque tal conocimiento no puede frustrar todos los intentos de ataque al sistema o de incursión en la
red, sí que ayuda a los ingenieros de redes a eliminar ciertos problemas de carácter general, a reducir
considerablemente los posibles daños y a detectar infracciones con rapidez. Teniendo en cuenta que
el número y la complejidad de los ataques están en constante aumento, es imprescindible adoptar una
actitud vigilante por lo que respecta a la seguridad, tanto en grandes como en pequeñas empresas. En la
Figura 1 se ilustra el pronunciado aumento de incidentes de seguridad que se producen cada año, de
acuerdo con las notificaciones recibidas por el centro de coordinación del CERT® (un centro experto sobre
seguridad en Internet).
Figura 1 – Incidentes de seguridad por año (CERT.ORG)
En este documento se describen los fundamentos básicos de seguridad y se indican algunas prácticas
óptimas sobre la red, hosts informáticos y elementos de red de infraestructura. Como no existe un enfoque
de seguridad único, dejamos la elección de las medidas adecuadas al criterio del lector o del responsable
de implementación.
© 1998-2003 de Carnegie Mellon UniversityAño
Núm
ero
de
inci
dent
es c
omun
icad
os 82,094
55,100
21,756
9,859
3,7342,1342,5732,412 2,340
1995 1996 1997 1998 1999 2000 2001 2002 2003
90,000
85,000
80,000
75,000
70,000
65,000
55,000
50,000
60,000
45,000
40,000
30,000
25,000
35,000
20,000
15,000
5,000
0
10,000
100,000
95,000
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
4
El factor humano
Las personas son realmente el eslabón más débil en cualquier cadena de seguridad. La mayoría de las
personas no son lo suficientemente cuidadosas a la hora de mantener secretos como las contraseñas
y códigos de acceso, que conforman la base de gran parte de los sistemas seguros. Todos los sistemas
de seguridad dependen de una serie de medidas aplicadas para controlar el acceso, verificar la identidad
y proteger la revelación de información confidencial. Normalmente, estas medidas implican una o más
“claves”. Cuando alguien desvela o roba una de estas claves, la seguridad de los sistemas protegidos
mediante dichas contraseñas se ve comprometida. Tal vez esta afirmación parezca terriblemente obvia,
pero la verdad es que la seguridad de la mayoría de los sistemas se ve comprometida por detalles muy
básicos. Dejar una nota con la contraseña del sistema pegada en el lateral del monitor de un ordenador
puede parecer un error estúpido pero, de hecho, hay muchas personas que hacen este tipo de cosas.
Otro ejemplo, aunque algo menos obvio, es la tendencia a mantener las contraseñas predeterminadas de
fábrica en determinados dispositivos de red. Uno de dichos dispositivos podría ser una interfaz de gestión
de red de un SAI. A menudo, los sistemas SAI, tanto los pequeños como los que tienen capacidad para
alimentar 100 servidores, se pasan por alto en los esquemas de seguridad. Si no se modifican los nombres
de usuario y contraseñas predeterminados de estos dispositivos, es sólo cuestión de tiempo que alguien
acceda al sistema valiéndose simplemente del tipo de dispositivo y sus credenciales predeterminadas
publicadas. Imagínese un banco de servidores con férreos protocolos de seguridad en cada servidor de
correo y Web bloqueado por un simple ciclo de alimentación de un SAI desprotegido.
Seguridad: radiografía general Una empresa segura, grande o pequeña, debe enfocar la seguridad de forma exhaustiva y global si
desea que ésta sea eficaz. La mayoría de las organizaciones no pone en práctica las políticas y medidas
necesarias. Existen diversos motivos de peso para ello; lógicamente, la seguridad tiene un coste. Este coste
se puede contabilizar no sólo en capital, sino también en complejidad, tiempo y eficacia. Para garantizar la
seguridad del sistema hay que invertir dinero, aplicar más procedimientos y esperar a que dichos
procedimientos concluyan (o quizá recurrir a terceras personas).
La verdad es que los auténticos programas de seguridad son difíciles de implementar. Normalmente es
necesario elegir un esquema que tenga cierta cantidad de “costes” y una cantidad implícita de cobertura
de seguridad. (Esta solución es casi siempre inferior a una estrategia “exhaustiva y global”). La clave
en este caso es tomar decisiones coherentes para cada aspecto de un sistema general y emplear
conscientemente más o menos de forma calculada. Si uno sabe qué áreas están menos protegidas,
al menos puede supervisarlas para identificar problemas o infracciones.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
5
Principios básicos de seguridad Conocimiento de la red No es posible proteger nada a menos que uno entienda claramente AQUELLO que desea proteger.
Independientemente de su tamaño, todas las organizaciones deberían tener una serie de sistemas,
activos y recursos documentados. Cada uno de estos elementos debería tener un valor relativo asignado de
alguna forma que acredite su importancia para la organización. Por ejemplo, deberían tenerse en cuenta los
servidores, estaciones de trabajo, sistemas de almacenamiento, routers, conmutadores, hubs, conectores
Telco y de red, y todos los demás elementos de la red, como impresoras, sistemas SAI y sistemas de aire
acondicionado. Otros aspectos importantes de esta tarea incluyen la documentación de la ubicación de los
equipos y cualquier nota sobre dependencias. Por ejemplo, la mayoría de los ordenadores dependen de
sistemas de alimentación de reserva (como SAI) que, a su vez, pueden formar parte de la red si están
gestionados. También es posible que existan equipos ambientales, como unidades de aire acondicionado
o purificadores de aire.
Conocimiento de las distintas amenazas El siguiente paso es identificar los riesgos potenciales que amenazan a cada uno de estos elementos, como
se muestra en la Tabla 1. Estas “amenazas” pueden tener un origen externo o interno. Pueden deberse
a causas humanas, técnicas o incluso a fenómenos naturales fortuitos. Éstos últimos podrían clasificarse
de forma más adecuada como riesgos de integridad del sistema, en lugar de como amenazas de seguridad,
pero, en cualquier caso, los unos pueden llevar a las otras. Pensemos, por ejemplo, en un corte de
alimentación de una alarma antirrobo. El corte de alimentación tal vez sea intencionado o tal vez se deba
a algún fenómeno natural, como un rayo. En cualquier caso, disminuye la seguridad.
Tabla 1 – Resumen de diversas amenazas y sus consecuencias
Amenaza Origen interno o externo
Consecuencias de la amenaza
Correo electrónico con virus
Origen externo, uso interno
Podría infectar el sistema en el que se lea el mensaje y después extenderse por toda la organización.
Virus de red Externo Podría filtrarse a través de puertos desprotegidos comprometiendo la seguridad de toda la red.
Virus de transmisión por navegador
Navegación interna a sitios externos
Podría comprometer la seguridad del sistema desde el que se realiza la navegación y después afectar a otros sistemas internos.
Ataque de servidor Web
Externo a servidores Web
Si se compromete la seguridad del servidor Web, el pirata informático podría acceder a otros sistemas internos de la red.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
6
Amenaza Origen interno o externo
Consecuencias de la amenaza
Ataque de denegación de servicio
Externo Los servicios externos como el correo electrónico, FTP y Web podrían quedar inutilizables. Si el ataque llega hasta el router, podría colapsarse toda la red.
Ataque de usuario de red (empleado interno)
Interno a cualquier parte
Los cortafuegos fronterizos tradicionales no sirven para prevenir estos ataques. Los cortafuegos de segmentación interna pueden contribuir a reducir los daños.
Seguridad física, protección desde el interior La mayoría de los expertos coincide en que toda seguridad comienza con la seguridad física. El control
del acceso físico a los equipos y a los puntos de conexión de red es posiblemente el aspecto más
determinante de toda la seguridad. Cualquier tipo de acceso físico a un sitio interno deja expuesto el
sitio a grandes riesgos. Si el acceso físico es posible, normalmente se pueden obtener archivos protegidos,
contraseñas, certificados y todo tipo de datos. Por suerte, existen armarios seguros y dispositivos de control
de acceso de muchas clases que pueden ayudar a combatir este problema. Para obtener más información
sobre la seguridad física de los centros de datos y salas de red, consulte el Documento técnico de
APC nº82, “Physical Security in Mission Critical Facilities” (“Seguridad física en instalaciones de misión
crítica”).
Partición y protección de los límites de la red mediante cortafuegos Aparte de la seguridad física básica de un sitio, el siguiente aspecto más importante es el control del acceso
digital desde y hacia la red de la organización. En la mayoría de los casos, esto implica el control de los
puntos de conectividad hacia el mundo exterior, normalmente Internet. Casi todas las empresas de mediano
y gran tamaño tienen presencia en Internet y disponen de una red empresarial conectada a ella. De hecho,
el número de pequeñas empresas y hogares particulares con conexión a Internet durante las 24 horas ha
crecido considerablemente. La partición de la frontera entre Internet (exterior) y la intranet (interior) es una
pieza clave para la seguridad. A veces, a la intranet se la denomina “zona de confianza” y a Internet, “zona
no fiable”. A continuación veremos que, como norma general, esto es correcto, pero no lo suficientemente
específico.
Un cortafuegos es un mecanismo que permite el uso de una barrera controlada para supervisar el tráfico
de red desde y hacia la intranet de una organización. Básicamente, los cortafuegos son routers específicos
de aplicación. Se corren en sistemas integrados dedicados, como dispositivos de Internet, o pueden ser
programas software ejecutados en una plataforma general de servidor. En la mayoría de los casos,
estos sistemas tienen dos interfaces de red, una para red externa (p. ej., Internet) y otra para red interna
(intranet). El cortafuegos puede llevar un control riguroso del tráfico que está autorizado a pasar de una red
a otra. Existen numerosos tipos de cortafuegos, desde los más simples hasta los más complejos. Como
ocurre con gran parte de los aspectos de la seguridad, la elección del tipo de cortafuegos adecuado para
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
7
cada caso depende de una serie de factores, como los niveles de tráfico, los servicios que requieren
protección y la complejidad de las reglas necesarias. Cuanto mayor sea el número de servicios que deban
poder atravesar el cortafuegos, más complejos serán los requisitos. En el caso de los cortafuegos, la
dificultad reside en poder distinguir entre tráfico legítimo e ilegítimo.
¿Frente a qué protegen los cortafuegos y qué protección no ofrecen? Con los cortafuegos ocurre como
con muchas otras cosas: si se configuran correctamente, pueden ser un medio de protección razonable
ante amenazas externas, incluidos algunos ataques de denegación de servicio (DOS). Sin embargo, si
no se configuran correctamente, pueden convertirse en grandes agujeros de seguridad dentro de una
organización. La protección más básica que proporciona un cortafuegos es la posibilidad de bloquear el
tráfico de red enviado a determinados destinos. Esto incluye tanto direcciones IP como puertos de servicio
de redes particulares. Un sitio que desee proporcionar acceso externo a un servidor Web puede restringir
todo el tráfico al puerto 80 (el puerto http estándar). Normalmente, esta restricción sólo se aplica al tráfico
originado en la zona no fiable. El tráfico de la zona de confianza no se restringe. Al resto del tráfico, como
correo electrónico, FTP, SNMP, etc., no se le permitirá el paso a través del cortafuegos y al interior de la
intranet. En la Figura 2 se muestra un ejemplo de un cortafuegos simple.
Figura 2 – Cortafuegos simple de una red
InternetCortafuegos
Red privada (empresarial)
Aún más simples son los cortafuegos utilizados normalmente en hogares o pequeñas empresas con routers
DSL. Por lo general, estos cortafuegos están configurados para restringir TODOS los accesos externos
y permitir sólo los servicios originados en la zona interna. Los lectores avispados se darán cuenta de que
en ninguno de estos casos el cortafuegos bloquea realmente todo el tráfico procedente del exterior. Si fuese
así, ¿cómo podríamos navegar por Internet y consultar páginas Web? Lo que hace el cortafuegos es
restringir las peticiones de conexión desde el exterior. En el primer caso, todas las peticiones de conexión
procedentes del interior se transfieren al exterior, así como todas las transferencias de datos subsiguientes
de dicha conexión. Desde el exterior, sólo se permite que se completen y transfieran datos las peticiones de
conexión al servidor Web, las demás peticiones se bloquean. El segundo caso es más restrictivo, ya que
sólo se pueden realizar conexiones desde el interior al exterior.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
8
Las reglas de cortafuegos más complejas pueden utilizar la tecnología patentada “Stateful Inspection”.
Este enfoque complementa el enfoque de bloqueo básico de puertos examinando el comportamiento y las
secuencias del tráfico para detectar ataques de suplantación y ataques de denegación de servicio. Cuanto
más complejas son las reglas, mayor es la potencia informática requerida del cortafuegos.
Un problema al que se enfrenta la mayoría de las organizaciones es cómo permitir el acceso legítimo
a servicios “públicos”, como Web, FTP y correo electrónico al mismo tiempo que se mantiene intacta
la seguridad de la intranet. La solución habitual es crear lo que comúnmente se conoce como zona
desmilitarizada (DMZ), un eufemismo de la guerra fría aplicado a la red. Esta arquitectura consta de dos
cortafuegos: uno entre la red externa y la DMZ, y otro entre la DMZ y la red interna. Todos los servidores
públicos se colocan en la DMZ. Con esta configuración, es posible aplicar reglas de cortafuegos que
permitan el acceso público a los servidores públicos al mismo tiempo que el cortafuegos interno restringe
todas las conexiones entrantes. Con la DMZ, los servidores públicos están más protegidos que si se
encontrasen fuera de un sitio de un sólo cortafuegos. En la Figura 3 se ilustra el uso de una DMZ.
Figura 3 – Dos cortafuegos con DMZ
Internet Cortafuegos
Servidor FTP
Cortafuegos interno
DMZ Red privada (empresarial)
La utilización de cortafuegos internos en diversas “fronteras” de la intranet también puede contribuir a limitar
los daños debidos a amenazas internas o a otras causas, p. ej., gusanos que hayan logrado atravesar los
cortafuegos externos. Estos cortafuegos pueden funcionar como dispositivos de reserva, de tal forma que
no se bloqueen los patrones normales de tráfico, pero que se activen normas más estrictas en situaciones
problemáticas.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
9
Cortafuegos para estaciones de trabajo Existe un factor de seguridad de red muy importante del que la mayoría de las personas no ha empezado
a darse cuenta hasta ahora: CADA nodo o estación de trabajo de una red puede ser un agujero de
seguridad potencial. Antes, la atención se centraba en los servidores y los cortafuegos. Sin embargo,
con la aparición de la Web y la proliferación de nuevas clases de nodos (p. ej., dispositivos de Internet),
la protección de las redes ha cobrado nuevas dimensiones. Una amplia gama de gusanos puede apropiarse
de un ordenador y utilizarlo para continuar expandiéndose y para dañar sistemas. Si las organizaciones
contasen con sistemas internos mejor defendidos, sería posible detener a estos gusanos o, al menos,
entorpecer su camino considerablemente. Los cortafuegos de estación de trabajo pueden bloquear todos
los accesos de puerto desde y hacia los hosts individuales que no formen parte de las necesidades
habituales del host. Además, mediante reglas de cortafuegos adicionales en la zona INTERNA que
bloqueen las conexiones sospechosas con el exterior de la organización, se puede evitar que los gusanos
se propaguen de nuevo al exterior de la organización. Entre ambos se puede reducir la replicación interna
y externa. Todos los sistemas deberían ser capaces de bloquear todos los puertos que no sea necesario
utilizar.
Seguridad básica de hosts de red Bloqueo de puertos y reducción de servicios activos Muchos hosts informáticos y dispositivos de red inician servicios de red de forma predeterminada. Cada uno
de estos servicios representa una oportunidad para atacantes, gusanos y troyanos. A menudo, todos estos
servicios predeterminados no son necesarios. Al bloquear los puertos desactivando servicios se reduce
la exposición a riesgos. Como ya hemos mencionado antes, al igual que los cortafuegos de red,
los ordenadores de sobremesa y los servidores pueden utilizar programas cortafuegos básicos para
bloquear el acceso a puertos IP innecesarios del host o para restringir el acceso a determinados hosts. Esta
práctica es fundamental para la protección interna cuando se produce un fallo de seguridad en las defensas
externas o cuando existen amenazas internas. Hay disponibles muchos paquetes software cortafuegos para
ordenadores de sobremesa que son muy eficaces para la protección de hosts, por ejemplo, Microsoft
incluye un cortafuegos básico en Windows XP Service Pack 2.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
10
Gestión de nombres de usuario y contraseñas Como ya hemos indicado en la introducción, la gestión incorrecta de nombres de usuario y contraseñas
es un problema habitual en la mayoría de las redes empresariales. Aunque los sofisticados sistemas de
autenticación centralizados (descritos más adelante) pueden ayudar a reducir los problemas, existe una
serie de medidas básicas que pueden resultar tremendamente provechosas si se aplican como es debido.
A continuación se indican cuatro reglas básicas que deben utilizarse siempre para los nombres de usuario
y contraseñas:
1. No utilice contraseñas obvias, como el nombre de su pareja, de su equipo favorito, etc.
2. Utilice contraseñas largas con números o símbolos intercalados.
3. Cambie las contraseñas de forma periódica.
4. No mantenga NUNCA las credenciales predeterminadas de los equipos de red.
A menos que los ordenadores o los equipos tengan políticas integradas que impongan su cumplimiento,
el usuario tiene la responsabilidad de aplicar estas reglas de motu propio. El cumplimiento de la cuarta
regla se puede verificar realizando comprobaciones de red para detectar la existencia de equipos con
credenciales predeterminadas.
Listas de control de acceso Muchos tipos de equipos o hosts se pueden configurar con listas de acceso. Estas listas contienen los
nombres de usuario o direcciones IP autorizados para acceder al dispositivo en cuestión. Por ejemplo, es
habitual restringir el acceso a los equipos de red desde el interior de la red de una organización. De este
modo, la red está protegida frente a cualquier tipo de acceso que sea capaz de burlar el cortafuegos
externo. Estas listas de acceso constituyen una importante defensa de último recurso, que puede ser
muy eficaz en determinados dispositivos con distintas reglas para distintos protocolos de acceso.
Cómo proteger el acceso a dispositivos y sistemas Puesto que no siempre se puede asumir que las redes de datos están protegidas frente a posibles
intrusiones o “fisgoneos” de datos, se han creado protocolos para aumentar la seguridad de los dispositivos
de red conectados. En general, hay dos cuestiones independientes de las que preocuparse: la autenticación
y la no revelación (cifrado). Existen diversos esquemas y protocolos para satisfacer estos dos requisitos en
las comunicaciones y los sistemas seguros. En primer lugar se describen los principios básicos de la
autenticación y después los del cifrado.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
11
Autenticación de usuarios para dispositivos de red La autenticación es necesaria si se desea controlar el acceso a los elementos de la red, en particular,
a los dispositivos de la infraestructura de red. La autenticación tiene dos subsecciones: la autenticación
de acceso general y la autorización funcional. El acceso general es la forma de controlar si un usuario
particular tiene o no ALGÚN tipo de derecho de acceso al elemento en cuestión. Normalmente, estos
derechos se gestionan en la forma de “cuenta de usuario”. La autorización tiene que ver con los “derechos”
de los usuarios individuales. Por ejemplo, ¿qué puede hacer un usuario una vez autenticado? ¿Puede
configurar un dispositivo o sólo puede consultar datos? En la Tabla 2 se describen de forma resumida los
protocolos de autenticación principales, sus características y sus aplicaciones relevantes.
Tabla 2 – Resumen de los principales protocolos de autenticación
Protocolo Características Aplicaciones del protocolo
Nombre de usuario y contraseña
Token memorizado de texto sin formato Telnet, HTTP
CHAP (Challenge Handshake Authentication Protocol)
Utiliza algoritmos hash de contraseñas y datos de tiempo variable para evitar la transmisión directa de contraseñas.
MS-CHAP, PPP, APC Http, Radius
RADIUS Contraseñas CHAP o directas, métodos de autorización y gestión de cuentas
Backend para Telnet, SSH, SSL, Front end para servidor IAS de Microsoft. Método típico de autenticación central para dispositivos de red.
TACACS+ Autenticación, autorización, gestión de cuentas, soporte de cifrado completo
Protocolo Cisco, autenticación central, cierto uso de RAS (servicio de acceso remoto)
Kerberos Autenticación y autorización de servicio, cifrado completo
Aplicaciones “kerberizadas” como Telnet, servicio de autenticación de dominios de Microsoft integrado en Active Directory
Restringir el acceso a los dispositivos es uno de los aspectos más importantes para garantizar la seguridad
de una red. Puesto que los dispositivos de infraestructura dan soporte a la red y a los equipos informáticos
ipso facto, si éstos se ven comprometidos, se puede colapsar toda la red, así como sus recursos.
Paradójicamente, muchos departamentos de TI tratan de proteger servidores, cortafuegos y mecanismos
de acceso seguro por todos los medios a su alcance y, sin embargo, dejan algunos dispositivos básicos con
medidas de seguridad rudimentarias.
Como mínimo, todos los dispositivos deben disponer de autenticación mediante nombre de usuario
y contraseña no trivial (10 caracteres, combinación de letras, números y símbolos). Los usuarios deben
estar restringidos en cuanto a número y tipo de autorización. Además, hay que adoptar todas las
precauciones al utilizar métodos de acceso remoto que no sean seguros, es decir, nombres de usuario
y contraseñas transmitidos sin cifrado por la red. También es recomendable cambiar las contraseñas de
forma periódica, por ejemplo cada tres meses, y cada vez que un empleado deja la empresa, si se utilizan
contraseñas de grupo.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
12
Métodos de autenticación centralizada Es esencial que exista un mínimo de métodos de autenticación adecuados. Sin embargo, los métodos
de autenticación centralizada son incluso mejores cuando a) existe un gran número de usuarios para los
dispositivos o b) la red dispone de un gran número de dispositivos. Tradicionalmente, la autenticación
centralizada se ha utilizado para resolver los problemas enmarcados en el caso (a); sobre todo para el
acceso remoto a la red. En los sistemas de acceso remoto, como el sistema RAS de marcación telefónica,
no era posible la administración de los usuarios en las propias unidades de red RAS. Potencialmente,
cualquier usuario de la red podía intentar utilizar cualquiera de los puntos de acceso RAS existentes. Ubicar
toda la información de usuarios en todas las unidades RAS y mantener dicha información actualizada
sobrepasaría la capacidad de las unidades RAS de cualquier empresa con muchos usuarios y se convertiría
en una pesadilla administrativa.
Los sistemas de autenticación centralizada, como RADIUS y Kerberos, resuelven este problema utilizando
información de cuentas de usuario centralizada a la que pueden acceder las unidades RAS u otros tipos
de equipos. Estos esquemas centralizados permiten que la información se guarde en un solo lugar y no
en varios. En vez de tener que gestionar usuarios en muchos dispositivos, se puede utilizar una única
ubicación de gestión de usuarios. Si es necesario modificar la información de usuarios (por ejemplo,
cambiar una contraseña), basta con realizar una sola tarea. Si un usuario se marcha, borrando su cuenta
de usuario se impide el acceso a todos los equipos que utilicen el sistema de autenticación centralizada.
Un problema habitual con la autenticación no centralizada es el hecho de que en las redes de gran tamaño
hay que acordarse de eliminar las cuentas en todos los lugares. Los sistemas de autenticación centralizada,
como RADIUS, se pueden integrar normalmente sin problemas con otros esquemas de gestión de cuentas
de usuarios, como Active Directory de Microsoft o los directorios LDAP. Aunque estos dos sistemas de
directorio no son sistemas de autenticación propiamente dichos, se utilizan como mecanismos de
almacenamiento centralizado de cuentas. La mayoría de los servidores RADIUS se puede comunicar
con RAS u otros dispositivos de red con el protocolo RADIUS habitual y acceder de forma segura a la
información de cuentas almacenada en los directorios. Esto es exactamente lo que hace el servidor IAS
de Microsoft para tender un puente entre RADIUS y Active Directory. Este enfoque no sólo implica que se
proporciona autenticación centralizada para los usuarios de RAS y los dispositivos, sino también que la
información de cuentas está unificada con las cuentas de dominio de Microsoft. En la Figura 4 se muestra
un controlador de dominios Windows que funciona como servidor de Active Directory y servidor de RADIUS
para la autenticación de elementos de red en un dominio de Active Directory.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
13
Figura 4 – Controlador de dominios Windows
Usuario cliente Radius
Respuesta de inicio de
sesión
Controlador de dominios Windows con servidor
Radius IAS
Petición de inicio de sesión
Tarjeta de gestión / CUPS de dispositivo
Respuesta de autenticación
Petición de autenticación
Radius
IAS / Radius
DC
Base de datos
Active Directory
Cómo proteger datos de red con cifrado y autenticación En algunos casos es importante proteger la información que se intercambia entre sistemas, ordenadores
o elementos de red para que ninguna persona no autorizada pueda conocerla. Ciertamente no es deseable
que alguien pueda acceder a una cuenta bancaria que no sea la suya u obtener datos personales que otros
estén transmitiendo a través de una red. Para evitar que terceras personas se apoderen de los datos que
circulan por una red se deben utilizar métodos de cifrado que hagan que los datos transmitidos sean
ilegibles para cualquiera que pueda obtenerlos durante su transmisión. Existen numerosos métodos para
cifrar datos. A continuación se describen los más importantes. Por lo que respecta a los dispositivos de red
del tipo de los sistemas SAI, lo que hay que proteger no son los datos del propio dispositivo (tensiones,
corrientes de regletas de alimentación, etc.) sino el acceso a estos elementos.
Mantener en secreto las credenciales de autenticación, como nombres de usuario y contraseñas, es
esencial en cualquier sistema en el que el acceso se realice a través de redes no seguras, p. ej., Internet.
Incluso dentro de las redes privadas de las organizaciones, la protección de estas credenciales es una
práctica óptima. Aunque es menos habitual, muchas organizaciones están empezando a aplicar políticas
para que TODO el tráfico de gestión sea seguro (mediante cifrado), no sólo las credenciales de
autenticación. En cualquier caso, hay que utilizar algún tipo de método criptográfico.
El cifrado de datos se realiza normalmente a través de una combinación de datos en texto sin formato
(la entrada) con una clave secreta que utiliza un algoritmo de cifrado particular (es decir, 3DES, AES, etc.).
El resultado (salida) es el texto cifrado. A menos que una persona (o un ordenador) disponga de la clave
secreta, no podrá convertir el texto cifrado de nuevo en texto sin formato. Esta metodología básica es la
espina dorsal de todos los protocolos seguros (descritos más adelante). Otro componente básico de los
sistemas criptográficos es el algoritmo “hash”. Los métodos hash toman parte de la entrada en texto sin
formato y, tal vez, parte de la entrada de la clave y generan un número de muchos dígitos llamado algoritmo
hash. Este número tiene una longitud fija (número de bits) independientemente del tamaño de la entrada.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
14
Al contrario que los métodos de cifrado reversibles (es decir, que permiten recuperar el texto en formato
plano a través de la clave), los algoritmos hash son unidireccionales. No es matemáticamente viable
recuperar un texto sin formato a partir de un algoritmo hash. Los algoritmos hash se utilizan como
identificadores especiales en diversos sistemas de protocolo porque pueden ofrecer un mecanismo de
verificación de los datos similar a una CRC (comprobación cíclica redundante) en un archivo de disco para
detectar la alteración de los datos. Los algoritmos hash se utilizan como método de autenticación de datos
(que no es lo mismo que la autenticación de usuarios). Cualquiera que intente alterar los datos en secreto
durante su paso por una red, alterará los valores hash, y su intento será detectado. La Tabla 3 contiene una
comparación básica de algoritmos criptográficos y sus aplicaciones.
Tabla 3 – Resumen de los principales algoritmos criptográficos
Algoritmo Aplicación principal Aplicaciones de protocolo DES Cifrado SSH, SNMPv3, SSL/TLS
3DES Cifrado SSH, SNMPv3, SSL/TLS
RC4 Cifrado SSL/TLS
Blowfish Cifrado SSH
AES Cifrado SSH, SSL/TLS
MD5 Algoritmo hash, códigos de autenticación de mensajes
SSH, SNMPv3, SSL/TLS
SHA Algoritmo hash, códigos de autenticación de mensajes
SSH, SNMPv3, SSL/TLS
Protocolos de acceso seguro Existen diversos protocolos, como SSH y SSL, que utilizan varios mecanismos criptográficos para
garantizar la seguridad a través de métodos de cifrado y autenticación. El nivel de seguridad garantizado
por un protocolo depende de muchos factores, p. ej., los métodos criptográficos utilizados, el acceso a los
datos transmitidos, la longitud de las claves de algoritmos, las implementaciones de cliente y servidor
y, sobre todo, el factor humano. El esquema de cifrado más ingenioso será inútil si una persona no
autorizada obtiene las credenciales de acceso de un usuario (contraseña o certificado). El caso típico
mencionado al principio del documento es el de la contraseña escrita en una nota pegada en el monitor
del usuario.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
15
Protocolo SSH El protocolo cliente / servidor Secure Shell (SSH) se desarrolló a mediados de los 90 para facilitar un
mecanismo seguro para el acceso remoto a shells o consolas informáticas a través de redes no protegidas
o “inseguras”. Este protocolo ofrece métodos “seguros” encargándose de la autenticación de usuario
y servidor y del cifrado completo de todo el tráfico intercambiado entre el cliente y el servidor. El protocolo
tiene dos versiones (V1 y V2) que difieren ligeramente en los mecanismos criptográficos que utilizan.
Además, V2 tiene una capacidad superior de protección frente a ciertos tipos de “ataques”. (El intento
de una tercera persona “no participante” de interceptar, falsificar o alterar de cualquier modo los datos
intercambiados se considera un ataque).
Aunque SSH se ha utilizado como protocolo de acceso seguro a consolas informáticas durante años, su uso
ha estado menos extendido en el caso de equipos de infraestructura secundarios, como sistemas SAI o de
aire acondicionado. Sin embargo, a medida que las redes y la infraestructura de red que las respalda se
vuelven más y más vitales para las prácticas empresariales de cada negocio, la utilización de este método
de acceso seguro para todos los equipos es cada vez más habitual.
Protocolo SSL\TLS Aunque el protocolo SSH ha sido el protocolo seguro habitual para el acceso a consolas para la gestión
del tipo de línea de comandos, el protocolo Secure Socket Layer (SSL), ahora Transport Layer Security
(TLS), se ha convertido en el método estándar para la seguridad del tráfico Web y otros protocolos,
como SMTP (correo electrónico). TLS es la versión más reciente de SSL, y SSL se sigue utilizando
normalmente como sinónimo de TLS. La principal diferencia entre SSL y SSH reside en los mecanismos
de autenticación de cliente y servidor incorporados en los protocolos. Además, TLS se ha aceptado como
estándar IETF (Internet Engineering Task Force), mientras que SSH nunca llegó a ser un estándar IETF
completo, aunque su uso está muy extendido como proyecto de estándar. SSL es el protocolo seguro que
protege el tráfico Web http, también conocido como https (“http secure”). Tanto Netscape como Internet
Explorer son compatibles con SSL y TLS. Cuando se utilizan estos protocolos, se realiza una autenticación
formal del servidor para el cliente en forma de certificado de servidor. Los certificados se describen más
adelante. El cliente también se puede autenticar mediante certificados, aunque normalmente se utilizan
nombres de usuario y contraseñas. Como todas las “sesiones” SSL están cifradas, la información de
autenticación y todos los datos de las páginas Web son seguros. Todos los sitios Web que deban ser
seguros para operaciones bancarias y otros fines comerciales utilizan SSL, ya que los clientes suelen
acceder a estos sitios a través de Internet.
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
16
Como la gestión accesible por navegador de los dispositivos de red (servidores Web incorporados) se ha
convertido en el método más común de configuración básica y punto de acceso de usuarios, la protección
de este método de gestión es muy importante. Las empresas que deseen que toda la gestión de red se
realice de forma segura, pero que al mismo tiempo deseen aprovechar las ventajas de las interfaces
gráficas como http, deben utilizar sistemas basados en SSL. Como ya hemos mencionado, SSL también
puede proteger otros tipos de comunicación aparte de la comunicación http. Si se utilizan clientes de
dispositivos no basados en http, estos sistemas también deben emplear SSL para los protocolos de acceso
con el fin de garantizar la seguridad. La aplicación de SSL en todos estos casos también presenta la ventaja
de utilizar protocolos estandarizados con esquemas de cifrado y autenticación comunes.
Prácticas óptimas para la seguridad de red Bien pensado, las políticas de seguridad pueden aumentar considerablemente la seguridad de una red.
Aunque las políticas pueden ser complejas y enrevesadas, o básicas y directas, los aspectos más
simples son los que suelen resultar más útiles. Piense en la combinación de un sistema de actualización
de antivirus gestionado de forma centralizada y un explorador host que deba detectar sistemas nuevos
u obsoletos. Aunque este sistema implicaría capacidad de configuración, administración central
e implantación de software, estas características ya están disponibles normalmente en los sistemas
operativos de hoy en día. En general, las políticas y las herramientas de aplicación idealmente automática
contribuyen a reducir las lagunas obvias en la seguridad del sistema para que podamos concentrarnos en
los problemas más complejos. A continuación se enumeran algunas prácticas que suelen formar parte de la
política de seguridad de red de una empresa:
• Cortafuegos en todos los puntos de tránsito de red pública / privada
• Conjuntos de reglas de cortafuegos implantadas de forma centralizada y controladas por versión
• Recursos externos ubicados en redes de dos cortafuegos con protección DMZ
• Todos los hosts de red con puertos de red innecesarios bloqueados y servicios innecesarios
desactivados
• Todos los hosts de red con software antivirus gestionado de forma centralizada
• Todos los hosts de red con actualizaciones centrales de seguridad
• Autenticación central segura, como Radius, Windows / Kerberos / Active Directory
• Administración de usuarios gestionada centralmente mediante una política de contraseñas
(las contraseñas deben cambiar cada tres meses y deben ser “contraseñas seguras”)
• Exploración proactiva de la red en busca de hosts nuevos y sistemas obsoletos
• Supervisión de red para detectar comportamientos sospechosos
• Mecanismos de respuesta ante incidentes (políticas, manuales, automatizados, etc.)
2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0
17
La lista anterior contiene los elementos clave que no pueden faltar en una política. Existen otros elementos
de amplio alcance que también se pueden incluir en una política de seguridad. Naturalmente, siempre es
importante sopesar factores como el tamaño de la empresa, el análisis de riesgos, los costes y el impacto
empresarial a la hora de determinar el tipo y la extensión de una política de seguridad. Como ya hemos
indicado, un análisis del sistema es siempre un buen punto de partida, seguido por un análisis empresarial.
Hasta las empresas más pequeñas deberían contar con algún tipo de política de seguridad, ya que todas
las redes pueden convertirse en objetivos independientemente de su tamaño.
Conclusión A medida que aumenta el número de amenazas que se ciernen sobre una red (gusanos, virus, hackers
avispados, etc.), la seguridad ha dejado de ser algo opcional, incluso dentro de las redes “privadas”.
Garantizar la seguridad de todos los equipos, incluidos los equipos de la infraestructura física, como los
sistemas SAI o de aire acondicionado, es esencial para mantener un acceso fluido e ininterrumpido a los
servicios. Proporcionar y mantener la seguridad en toda la empresa implica a menudo una mayor carga
administrativa. Éste ha sido siempre el mayor obstáculo para las implementaciones de seguridad a gran
escala. Hoy en día, la cantidad de tiempo dedicado a reparar una red que ha sufrido daños debido a un
ataque de virus o a un simple gusano puede llegar fácilmente a ser superior que el tiempo necesario para
asegurar una empresa de una forma más adecuada por adelantado. Afortunadamente, existen muchas
opciones en sistemas y software para aumentar la seguridad de la red al mismo tiempo que se reducen
los costes de gestión de dichos sistemas. Incluso las prácticas más básicas, como la actualización periódica
del software, el bloqueo de todos los dispositivos y la utilización de métodos de acceso seguro
y autenticación centralizada pueden representar un avance considerable a la hora de reducir riesgos.
El establecimiento de políticas de seguridad adecuadas y las inspecciones frecuentes de la red aumentan
aún más la protección global de la red.
Acerca del autor: Christopher Leidigh es Director de comunicaciones e investigación tecnológica en APC, Rhode Island,
Estados Unidos. Cuenta con 18 años de experiencia en programación y diseño de sistemas informáticos
y de microprocesadores, y actualmente se centra en la investigación y el diseño de sistemas integrados
y de seguridad, conexiones de red IP y sistemas de comunicaciones. Ha trabajado en APC durante
10 años, dirigiendo la línea de productos de gestión y conexión de red integrada. Se licenció en Ingeniería
bioeléctrica en la Brown University. Es ponente habitual en las Embedded Systems Conferences de Estados
Unidos y otros países, y es miembro del comité consultivo. Ha realizado publicaciones en los medios
Journal of Physiology, Communications Systems Design, Embedded Systems Programming y EE Times.