principios básicos de la seguridad en red_r0_es_schneider electric_jun2012

Principios básicos de la seguridad de red

Documento técnico n.º 101

Por Christopher Leidigh

2005 American Power Conversion. Reservados todos los derechos. Ninguna parte de esta publicación podrá utilizarse, reproducirse, fotocopiarse, transmitirse o almacenarse en ningún sistema de recuperación de datos de ningún tipo sin contar con la autorización por escrito del propietario del copyright. www.apc.com Rev. 2005-0

2

Sumario Los incidentes de seguridad están aumentando a un ritmo alarmante cada año. A medida

que aumenta la complejidad de las amenazas, crece también el número de medidas de

seguridad necesarias para proteger las redes. Los operadores, los administradores de red

y otros profesionales responsables de los centros de datos, tienen que comprender los

principios básicos de seguridad para poder implementar y gestionar de forma segura las

redes de hoy en día. En este documento se tratan los fundamentos básicos de los sistemas

de red seguros, incluidos los cortafuegos, la topología de red y los protocolos seguros.

Se ofrecen prácticas óptimas que presentan al lector algunos de los aspectos más críticos

a la hora de garantizar la seguridad de una red.


3

Introducción Para garantizar la seguridad de la infraestructura de TI y de las redes empresariales modernas, se requiere

un enfoque global y un sólido conocimiento de las vulnerabilidades y las medidas de protección asociadas.

Aunque tal conocimiento no puede frustrar todos los intentos de ataque al sistema o de incursión en la

red, sí que ayuda a los ingenieros de redes a eliminar ciertos problemas de carácter general, a reducir

considerablemente los posibles daños y a detectar infracciones con rapidez. Teniendo en cuenta que

el número y la complejidad de los ataques están en constante aumento, es imprescindible adoptar una

actitud vigilante por lo que respecta a la seguridad, tanto en grandes como en pequeñas empresas. En la

Figura 1 se ilustra el pronunciado aumento de incidentes de seguridad que se producen cada año, de

acuerdo con las notificaciones recibidas por el centro de coordinación del CERT® (un centro experto sobre

seguridad en Internet).

Figura 1 – Incidentes de seguridad por año (CERT.ORG)

En este documento se describen los fundamentos básicos de seguridad y se indican algunas prácticas

óptimas sobre la red, hosts informáticos y elementos de red de infraestructura. Como no existe un enfoque

de seguridad único, dejamos la elección de las medidas adecuadas al criterio del lector o del responsable

de implementación.

© 1998-2003 de Carnegie Mellon UniversityAño

Núm

ero

de

inci

dent

es c

omun

icad

os 82,094

55,100

21,756

9,859

3,7342,1342,5732,412 2,340

1995 1996 1997 1998 1999 2000 2001 2002 2003

90,000

85,000

80,000

75,000

70,000

65,000

55,000

50,000

60,000

45,000

40,000

30,000

25,000

35,000

20,000

15,000

5,000

0

10,000

100,000

95,000


4

El factor humano

Las personas son realmente el eslabón más débil en cualquier cadena de seguridad. La mayoría de las

personas no son lo suficientemente cuidadosas a la hora de mantener secretos como las contraseñas

y códigos de acceso, que conforman la base de gran parte de los sistemas seguros. Todos los sistemas

de seguridad dependen de una serie de medidas aplicadas para controlar el acceso, verificar la identidad

y proteger la revelación de información confidencial. Normalmente, estas medidas implican una o más

“claves”. Cuando alguien desvela o roba una de estas claves, la seguridad de los sistemas protegidos

mediante dichas contraseñas se ve comprometida. Tal vez esta afirmación parezca terriblemente obvia,

pero la verdad es que la seguridad de la mayoría de los sistemas se ve comprometida por detalles muy

básicos. Dejar una nota con la contraseña del sistema pegada en el lateral del monitor de un ordenador

puede parecer un error estúpido pero, de hecho, hay muchas personas que hacen este tipo de cosas.

Otro ejemplo, aunque algo menos obvio, es la tendencia a mantener las contraseñas predeterminadas de

fábrica en determinados dispositivos de red. Uno de dichos dispositivos podría ser una interfaz de gestión

de red de un SAI. A menudo, los sistemas SAI, tanto los pequeños como los que tienen capacidad para

alimentar 100 servidores, se pasan por alto en los esquemas de seguridad. Si no se modifican los nombres

de usuario y contraseñas predeterminados de estos dispositivos, es sólo cuestión de tiempo que alguien

acceda al sistema valiéndose simplemente del tipo de dispositivo y sus credenciales predeterminadas

publicadas. Imagínese un banco de servidores con férreos protocolos de seguridad en cada servidor de

correo y Web bloqueado por un simple ciclo de alimentación de un SAI desprotegido.

Seguridad: radiografía general Una empresa segura, grande o pequeña, debe enfocar la seguridad de forma exhaustiva y global si

desea que ésta sea eficaz. La mayoría de las organizaciones no pone en práctica las políticas y medidas

necesarias. Existen diversos motivos de peso para ello; lógicamente, la seguridad tiene un coste. Este coste

se puede contabilizar no sólo en capital, sino también en complejidad, tiempo y eficacia. Para garantizar la

seguridad del sistema hay que invertir dinero, aplicar más procedimientos y esperar a que dichos

procedimientos concluyan (o quizá recurrir a terceras personas).

La verdad es que los auténticos programas de seguridad son difíciles de implementar. Normalmente es

necesario elegir un esquema que tenga cierta cantidad de “costes” y una cantidad implícita de cobertura

de seguridad. (Esta solución es casi siempre inferior a una estrategia “exhaustiva y global”). La clave

en este caso es tomar decisiones coherentes para cada aspecto de un sistema general y emplear

conscientemente más o menos de forma calculada. Si uno sabe qué áreas están menos protegidas,

al menos puede supervisarlas para identificar problemas o infracciones.


5

Principios básicos de seguridad Conocimiento de la red No es posible proteger nada a menos que uno entienda claramente AQUELLO que desea proteger.

Independientemente de su tamaño, todas las organizaciones deberían tener una serie de sistemas,

activos y recursos documentados. Cada uno de estos elementos debería tener un valor relativo asignado de

alguna forma que acredite su importancia para la organización. Por ejemplo, deberían tenerse en cuenta los

servidores, estaciones de trabajo, sistemas de almacenamiento, routers, conmutadores, hubs, conectores

Telco y de red, y todos los demás elementos de la red, como impresoras, sistemas SAI y sistemas de aire

acondicionado. Otros aspectos importantes de esta tarea incluyen la documentación de la ubicación de los

equipos y cualquier nota sobre dependencias. Por ejemplo, la mayoría de los ordenadores dependen de

sistemas de alimentación de reserva (como SAI) que, a su vez, pueden formar parte de la red si están

gestionados. También es posible que existan equipos ambientales, como unidades de aire acondicionado

o purificadores de aire.

Conocimiento de las distintas amenazas El siguiente paso es identificar los riesgos potenciales que amenazan a cada uno de estos elementos, como

se muestra en la Tabla 1. Estas “amenazas” pueden tener un origen externo o interno. Pueden deberse

a causas humanas, técnicas o incluso a fenómenos naturales fortuitos. Éstos últimos podrían clasificarse

de forma más adecuada como riesgos de integridad del sistema, en lugar de como amenazas de seguridad,

pero, en cualquier caso, los unos pueden llevar a las otras. Pensemos, por ejemplo, en un corte de

alimentación de una alarma antirrobo. El corte de alimentación tal vez sea intencionado o tal vez se deba

a algún fenómeno natural, como un rayo. En cualquier caso, disminuye la seguridad.

Tabla 1 – Resumen de diversas amenazas y sus consecuencias

Amenaza Origen interno o externo

Consecuencias de la amenaza

Correo electrónico con virus

Origen externo, uso interno

Podría infectar el sistema en el que se lea el mensaje y después extenderse por toda la organización.

Virus de red Externo Podría filtrarse a través de puertos desprotegidos comprometiendo la seguridad de toda la red.

Virus de transmisión por navegador

Navegación interna a sitios externos

Podría comprometer la seguridad del sistema desde el que se realiza la navegación y después afectar a otros sistemas internos.

Ataque de servidor Web

Externo a servidores Web

Si se compromete la seguridad del servidor Web, el pirata informático podría acceder a otros sistemas internos de la red.


6

Amenaza Origen interno o externo

Consecuencias de la amenaza

Ataque de denegación de servicio

Externo Los servicios externos como el correo electrónico, FTP y Web podrían quedar inutilizables. Si el ataque llega hasta el router, podría colapsarse toda la red.

Ataque de usuario de red (empleado interno)

Interno a cualquier parte

Los cortafuegos fronterizos tradicionales no sirven para prevenir estos ataques. Los cortafuegos de segmentación interna pueden contribuir a reducir los daños.

Seguridad física, protección desde el interior La mayoría de los expertos coincide en que toda seguridad comienza con la seguridad física. El control

del acceso físico a los equipos y a los puntos de conexión de red es posiblemente el aspecto más

determinante de toda la seguridad. Cualquier tipo de acceso físico a un sitio interno deja expuesto el

sitio a grandes riesgos. Si el acceso físico es posible, normalmente se pueden obtener archivos protegidos,

contraseñas, certificados y todo tipo de datos. Por suerte, existen armarios seguros y dispositivos de control

de acceso de muchas clases que pueden ayudar a combatir este problema. Para obtener más información

sobre la seguridad física de los centros de datos y salas de red, consulte el Documento técnico de

APC nº82, “Physical Security in Mission Critical Facilities” (“Seguridad física en instalaciones de misión

crítica”).

Partición y protección de los límites de la red mediante cortafuegos Aparte de la seguridad física básica de un sitio, el siguiente aspecto más importante es el control del acceso

digital desde y hacia la red de la organización. En la mayoría de los casos, esto implica el control de los

puntos de conectividad hacia el mundo exterior, normalmente Internet. Casi todas las empresas de mediano

y gran tamaño tienen presencia en Internet y disponen de una red empresarial conectada a ella. De hecho,

el número de pequeñas empresas y hogares particulares con conexión a Internet durante las 24 horas ha

crecido considerablemente. La partición de la frontera entre Internet (exterior) y la intranet (interior) es una

pieza clave para la seguridad. A veces, a la intranet se la denomina “zona de confianza” y a Internet, “zona

no fiable”. A continuación veremos que, como norma general, esto es correcto, pero no lo suficientemente

específico.

Un cortafuegos es un mecanismo que permite el uso de una barrera controlada para supervisar el tráfico

de red desde y hacia la intranet de una organización. Básicamente, los cortafuegos son routers específicos

de aplicación. Se corren en sistemas integrados dedicados, como dispositivos de Internet, o pueden ser

programas software ejecutados en una plataforma general de servidor. En la mayoría de los casos,

estos sistemas tienen dos interfaces de red, una para red externa (p. ej., Internet) y otra para red interna

(intranet). El cortafuegos puede llevar un control riguroso del tráfico que está autorizado a pasar de una red

a otra. Existen numerosos tipos de cortafuegos, desde los más simples hasta los más complejos. Como

ocurre con gran parte de los aspectos de la seguridad, la elección del tipo de cortafuegos adecuado para


7

cada caso depende de una serie de factores, como los niveles de tráfico, los servicios que requieren

protección y la complejidad de las reglas necesarias. Cuanto mayor sea el número de servicios que deban

poder atravesar el cortafuegos, más complejos serán los requisitos. En el caso de los cortafuegos, la

dificultad reside en poder distinguir entre tráfico legítimo e ilegítimo.

¿Frente a qué protegen los cortafuegos y qué protección no ofrecen? Con los cortafuegos ocurre como

con muchas otras cosas: si se configuran correctamente, pueden ser un medio de protección razonable

ante amenazas externas, incluidos algunos ataques de denegación de servicio (DOS). Sin embargo, si

no se configuran correctamente, pueden convertirse en grandes agujeros de seguridad dentro de una

organización. La protección más básica que proporciona un cortafuegos es la posibilidad de bloquear el

tráfico de red enviado a determinados destinos. Esto incluye tanto direcciones IP como puertos de servicio

de redes particulares. Un sitio que desee proporcionar acceso externo a un servidor Web puede restringir

todo el tráfico al puerto 80 (el puerto http estándar). Normalmente, esta restricción sólo se aplica al tráfico

originado en la zona no fiable. El tráfico de la zona de confianza no se restringe. Al resto del tráfico, como

correo electrónico, FTP, SNMP, etc., no se le permitirá el paso a través del cortafuegos y al interior de la

intranet. En la Figura 2 se muestra un ejemplo de un cortafuegos simple.

Figura 2 – Cortafuegos simple de una red

InternetCortafuegos

Red privada (empresarial)

Aún más simples son los cortafuegos utilizados normalmente en hogares o pequeñas empresas con routers

DSL. Por lo general, estos cortafuegos están configurados para restringir TODOS los accesos externos

y permitir sólo los servicios originados en la zona interna. Los lectores avispados se darán cuenta de que

en ninguno de estos casos el cortafuegos bloquea realmente todo el tráfico procedente del exterior. Si fuese

así, ¿cómo podríamos navegar por Internet y consultar páginas Web? Lo que hace el cortafuegos es

restringir las peticiones de conexión desde el exterior. En el primer caso, todas las peticiones de conexión

procedentes del interior se transfieren al exterior, así como todas las transferencias de datos subsiguientes

de dicha conexión. Desde el exterior, sólo se permite que se completen y transfieran datos las peticiones de

conexión al servidor Web, las demás peticiones se bloquean. El segundo caso es más restrictivo, ya que

sólo se pueden realizar conexiones desde el interior al exterior.


8

Las reglas de cortafuegos más complejas pueden utilizar la tecnología patentada “Stateful Inspection”.

Este enfoque complementa el enfoque de bloqueo básico de puertos examinando el comportamiento y las

secuencias del tráfico para detectar ataques de suplantación y ataques de denegación de servicio. Cuanto

más complejas son las reglas, mayor es la potencia informática requerida del cortafuegos.

Un problema al que se enfrenta la mayoría de las organizaciones es cómo permitir el acceso legítimo

a servicios “públicos”, como Web, FTP y correo electrónico al mismo tiempo que se mantiene intacta

la seguridad de la intranet. La solución habitual es crear lo que comúnmente se conoce como zona

desmilitarizada (DMZ), un eufemismo de la guerra fría aplicado a la red. Esta arquitectura consta de dos

cortafuegos: uno entre la red externa y la DMZ, y otro entre la DMZ y la red interna. Todos los servidores

públicos se colocan en la DMZ. Con esta configuración, es posible aplicar reglas de cortafuegos que

permitan el acceso público a los servidores públicos al mismo tiempo que el cortafuegos interno restringe

todas las conexiones entrantes. Con la DMZ, los servidores públicos están más protegidos que si se

encontrasen fuera de un sitio de un sólo cortafuegos. En la Figura 3 se ilustra el uso de una DMZ.

Figura 3 – Dos cortafuegos con DMZ

Internet Cortafuegos

Servidor FTP

Cortafuegos interno

DMZ Red privada (empresarial)

La utilización de cortafuegos internos en diversas “fronteras” de la intranet también puede contribuir a limitar

los daños debidos a amenazas internas o a otras causas, p. ej., gusanos que hayan logrado atravesar los

cortafuegos externos. Estos cortafuegos pueden funcionar como dispositivos de reserva, de tal forma que

no se bloqueen los patrones normales de tráfico, pero que se activen normas más estrictas en situaciones

problemáticas.


9

Cortafuegos para estaciones de trabajo Existe un factor de seguridad de red muy importante del que la mayoría de las personas no ha empezado

a darse cuenta hasta ahora: CADA nodo o estación de trabajo de una red puede ser un agujero de

seguridad potencial. Antes, la atención se centraba en los servidores y los cortafuegos. Sin embargo,

con la aparición de la Web y la proliferación de nuevas clases de nodos (p. ej., dispositivos de Internet),

la protección de las redes ha cobrado nuevas dimensiones. Una amplia gama de gusanos puede apropiarse

de un ordenador y utilizarlo para continuar expandiéndose y para dañar sistemas. Si las organizaciones

contasen con sistemas internos mejor defendidos, sería posible detener a estos gusanos o, al menos,

entorpecer su camino considerablemente. Los cortafuegos de estación de trabajo pueden bloquear todos

los accesos de puerto desde y hacia los hosts individuales que no formen parte de las necesidades

habituales del host. Además, mediante reglas de cortafuegos adicionales en la zona INTERNA que

bloqueen las conexiones sospechosas con el exterior de la organización, se puede evitar que los gusanos

se propaguen de nuevo al exterior de la organización. Entre ambos se puede reducir la replicación interna

y externa. Todos los sistemas deberían ser capaces de bloquear todos los puertos que no sea necesario

utilizar.

Seguridad básica de hosts de red Bloqueo de puertos y reducción de servicios activos Muchos hosts informáticos y dispositivos de red inician servicios de red de forma predeterminada. Cada uno

de estos servicios representa una oportunidad para atacantes, gusanos y troyanos. A menudo, todos estos

servicios predeterminados no son necesarios. Al bloquear los puertos desactivando servicios se reduce

la exposición a riesgos. Como ya hemos mencionado antes, al igual que los cortafuegos de red,

los ordenadores de sobremesa y los servidores pueden utilizar programas cortafuegos básicos para

bloquear el acceso a puertos IP innecesarios del host o para restringir el acceso a determinados hosts. Esta

práctica es fundamental para la protección interna cuando se produce un fallo de seguridad en las defensas

externas o cuando existen amenazas internas. Hay disponibles muchos paquetes software cortafuegos para

ordenadores de sobremesa que son muy eficaces para la protección de hosts, por ejemplo, Microsoft

incluye un cortafuegos básico en Windows XP Service Pack 2.


10

Gestión de nombres de usuario y contraseñas Como ya hemos indicado en la introducción, la gestión incorrecta de nombres de usuario y contraseñas

es un problema habitual en la mayoría de las redes empresariales. Aunque los sofisticados sistemas de

autenticación centralizados (descritos más adelante) pueden ayudar a reducir los problemas, existe una

serie de medidas básicas que pueden resultar tremendamente provechosas si se aplican como es debido.

A continuación se indican cuatro reglas básicas que deben utilizarse siempre para los nombres de usuario

y contraseñas:

1. No utilice contraseñas obvias, como el nombre de su pareja, de su equipo favorito, etc.

2. Utilice contraseñas largas con números o símbolos intercalados.

3. Cambie las contraseñas de forma periódica.

4. No mantenga NUNCA las credenciales predeterminadas de los equipos de red.

A menos que los ordenadores o los equipos tengan políticas integradas que impongan su cumplimiento,

el usuario tiene la responsabilidad de aplicar estas reglas de motu propio. El cumplimiento de la cuarta

regla se puede verificar realizando comprobaciones de red para detectar la existencia de equipos con

credenciales predeterminadas.

Listas de control de acceso Muchos tipos de equipos o hosts se pueden configurar con listas de acceso. Estas listas contienen los

nombres de usuario o direcciones IP autorizados para acceder al dispositivo en cuestión. Por ejemplo, es

habitual restringir el acceso a los equipos de red desde el interior de la red de una organización. De este

modo, la red está protegida frente a cualquier tipo de acceso que sea capaz de burlar el cortafuegos

externo. Estas listas de acceso constituyen una importante defensa de último recurso, que puede ser

muy eficaz en determinados dispositivos con distintas reglas para distintos protocolos de acceso.

Cómo proteger el acceso a dispositivos y sistemas Puesto que no siempre se puede asumir que las redes de datos están protegidas frente a posibles

intrusiones o “fisgoneos” de datos, se han creado protocolos para aumentar la seguridad de los dispositivos

de red conectados. En general, hay dos cuestiones independientes de las que preocuparse: la autenticación

y la no revelación (cifrado). Existen diversos esquemas y protocolos para satisfacer estos dos requisitos en

las comunicaciones y los sistemas seguros. En primer lugar se describen los principios básicos de la

autenticación y después los del cifrado.


11

Autenticación de usuarios para dispositivos de red La autenticación es necesaria si se desea controlar el acceso a los elementos de la red, en particular,

a los dispositivos de la infraestructura de red. La autenticación tiene dos subsecciones: la autenticación

de acceso general y la autorización funcional. El acceso general es la forma de controlar si un usuario

particular tiene o no ALGÚN tipo de derecho de acceso al elemento en cuestión. Normalmente, estos

derechos se gestionan en la forma de “cuenta de usuario”. La autorización tiene que ver con los “derechos”

de los usuarios individuales. Por ejemplo, ¿qué puede hacer un usuario una vez autenticado? ¿Puede

configurar un dispositivo o sólo puede consultar datos? En la Tabla 2 se describen de forma resumida los

protocolos de autenticación principales, sus características y sus aplicaciones relevantes.

Tabla 2 – Resumen de los principales protocolos de autenticación

Protocolo Características Aplicaciones del protocolo

Nombre de usuario y contraseña

Token memorizado de texto sin formato Telnet, HTTP

CHAP (Challenge Handshake Authentication Protocol)

Utiliza algoritmos hash de contraseñas y datos de tiempo variable para evitar la transmisión directa de contraseñas.

MS-CHAP, PPP, APC Http, Radius

RADIUS Contraseñas CHAP o directas, métodos de autorización y gestión de cuentas

Backend para Telnet, SSH, SSL, Front end para servidor IAS de Microsoft. Método típico de autenticación central para dispositivos de red.

TACACS+ Autenticación, autorización, gestión de cuentas, soporte de cifrado completo

Protocolo Cisco, autenticación central, cierto uso de RAS (servicio de acceso remoto)

Kerberos Autenticación y autorización de servicio, cifrado completo

Aplicaciones “kerberizadas” como Telnet, servicio de autenticación de dominios de Microsoft integrado en Active Directory

Restringir el acceso a los dispositivos es uno de los aspectos más importantes para garantizar la seguridad

de una red. Puesto que los dispositivos de infraestructura dan soporte a la red y a los equipos informáticos

ipso facto, si éstos se ven comprometidos, se puede colapsar toda la red, así como sus recursos.

Paradójicamente, muchos departamentos de TI tratan de proteger servidores, cortafuegos y mecanismos

de acceso seguro por todos los medios a su alcance y, sin embargo, dejan algunos dispositivos básicos con

medidas de seguridad rudimentarias.

Como mínimo, todos los dispositivos deben disponer de autenticación mediante nombre de usuario

y contraseña no trivial (10 caracteres, combinación de letras, números y símbolos). Los usuarios deben

estar restringidos en cuanto a número y tipo de autorización. Además, hay que adoptar todas las

precauciones al utilizar métodos de acceso remoto que no sean seguros, es decir, nombres de usuario

y contraseñas transmitidos sin cifrado por la red. También es recomendable cambiar las contraseñas de

forma periódica, por ejemplo cada tres meses, y cada vez que un empleado deja la empresa, si se utilizan

contraseñas de grupo.


12

Métodos de autenticación centralizada Es esencial que exista un mínimo de métodos de autenticación adecuados. Sin embargo, los métodos

de autenticación centralizada son incluso mejores cuando a) existe un gran número de usuarios para los

dispositivos o b) la red dispone de un gran número de dispositivos. Tradicionalmente, la autenticación

centralizada se ha utilizado para resolver los problemas enmarcados en el caso (a); sobre todo para el

acceso remoto a la red. En los sistemas de acceso remoto, como el sistema RAS de marcación telefónica,

no era posible la administración de los usuarios en las propias unidades de red RAS. Potencialmente,

cualquier usuario de la red podía intentar utilizar cualquiera de los puntos de acceso RAS existentes. Ubicar

toda la información de usuarios en todas las unidades RAS y mantener dicha información actualizada

sobrepasaría la capacidad de las unidades RAS de cualquier empresa con muchos usuarios y se convertiría

en una pesadilla administrativa.

Los sistemas de autenticación centralizada, como RADIUS y Kerberos, resuelven este problema utilizando

información de cuentas de usuario centralizada a la que pueden acceder las unidades RAS u otros tipos

de equipos. Estos esquemas centralizados permiten que la información se guarde en un solo lugar y no

en varios. En vez de tener que gestionar usuarios en muchos dispositivos, se puede utilizar una única

ubicación de gestión de usuarios. Si es necesario modificar la información de usuarios (por ejemplo,

cambiar una contraseña), basta con realizar una sola tarea. Si un usuario se marcha, borrando su cuenta

de usuario se impide el acceso a todos los equipos que utilicen el sistema de autenticación centralizada.

Un problema habitual con la autenticación no centralizada es el hecho de que en las redes de gran tamaño

hay que acordarse de eliminar las cuentas en todos los lugares. Los sistemas de autenticación centralizada,

como RADIUS, se pueden integrar normalmente sin problemas con otros esquemas de gestión de cuentas

de usuarios, como Active Directory de Microsoft o los directorios LDAP. Aunque estos dos sistemas de

directorio no son sistemas de autenticación propiamente dichos, se utilizan como mecanismos de

almacenamiento centralizado de cuentas. La mayoría de los servidores RADIUS se puede comunicar

con RAS u otros dispositivos de red con el protocolo RADIUS habitual y acceder de forma segura a la

información de cuentas almacenada en los directorios. Esto es exactamente lo que hace el servidor IAS

de Microsoft para tender un puente entre RADIUS y Active Directory. Este enfoque no sólo implica que se

proporciona autenticación centralizada para los usuarios de RAS y los dispositivos, sino también que la

información de cuentas está unificada con las cuentas de dominio de Microsoft. En la Figura 4 se muestra

un controlador de dominios Windows que funciona como servidor de Active Directory y servidor de RADIUS

para la autenticación de elementos de red en un dominio de Active Directory.


13

Figura 4 – Controlador de dominios Windows

Usuario cliente Radius

Respuesta de inicio de

sesión

Controlador de dominios Windows con servidor

Radius IAS

Petición de inicio de sesión

Tarjeta de gestión / CUPS de dispositivo

Respuesta de autenticación

Petición de autenticación

Radius

IAS / Radius

DC

Base de datos

Active Directory

Cómo proteger datos de red con cifrado y autenticación En algunos casos es importante proteger la información que se intercambia entre sistemas, ordenadores

o elementos de red para que ninguna persona no autorizada pueda conocerla. Ciertamente no es deseable

que alguien pueda acceder a una cuenta bancaria que no sea la suya u obtener datos personales que otros

estén transmitiendo a través de una red. Para evitar que terceras personas se apoderen de los datos que

circulan por una red se deben utilizar métodos de cifrado que hagan que los datos transmitidos sean

ilegibles para cualquiera que pueda obtenerlos durante su transmisión. Existen numerosos métodos para

cifrar datos. A continuación se describen los más importantes. Por lo que respecta a los dispositivos de red

del tipo de los sistemas SAI, lo que hay que proteger no son los datos del propio dispositivo (tensiones,

corrientes de regletas de alimentación, etc.) sino el acceso a estos elementos.

Mantener en secreto las credenciales de autenticación, como nombres de usuario y contraseñas, es

esencial en cualquier sistema en el que el acceso se realice a través de redes no seguras, p. ej., Internet.

Incluso dentro de las redes privadas de las organizaciones, la protección de estas credenciales es una

práctica óptima. Aunque es menos habitual, muchas organizaciones están empezando a aplicar políticas

para que TODO el tráfico de gestión sea seguro (mediante cifrado), no sólo las credenciales de

autenticación. En cualquier caso, hay que utilizar algún tipo de método criptográfico.

El cifrado de datos se realiza normalmente a través de una combinación de datos en texto sin formato

(la entrada) con una clave secreta que utiliza un algoritmo de cifrado particular (es decir, 3DES, AES, etc.).

El resultado (salida) es el texto cifrado. A menos que una persona (o un ordenador) disponga de la clave

secreta, no podrá convertir el texto cifrado de nuevo en texto sin formato. Esta metodología básica es la

espina dorsal de todos los protocolos seguros (descritos más adelante). Otro componente básico de los

sistemas criptográficos es el algoritmo “hash”. Los métodos hash toman parte de la entrada en texto sin

formato y, tal vez, parte de la entrada de la clave y generan un número de muchos dígitos llamado algoritmo

hash. Este número tiene una longitud fija (número de bits) independientemente del tamaño de la entrada.


14

Al contrario que los métodos de cifrado reversibles (es decir, que permiten recuperar el texto en formato

plano a través de la clave), los algoritmos hash son unidireccionales. No es matemáticamente viable

recuperar un texto sin formato a partir de un algoritmo hash. Los algoritmos hash se utilizan como

identificadores especiales en diversos sistemas de protocolo porque pueden ofrecer un mecanismo de

verificación de los datos similar a una CRC (comprobación cíclica redundante) en un archivo de disco para

detectar la alteración de los datos. Los algoritmos hash se utilizan como método de autenticación de datos

(que no es lo mismo que la autenticación de usuarios). Cualquiera que intente alterar los datos en secreto

durante su paso por una red, alterará los valores hash, y su intento será detectado. La Tabla 3 contiene una

comparación básica de algoritmos criptográficos y sus aplicaciones.

Tabla 3 – Resumen de los principales algoritmos criptográficos

Algoritmo Aplicación principal Aplicaciones de protocolo DES Cifrado SSH, SNMPv3, SSL/TLS

3DES Cifrado SSH, SNMPv3, SSL/TLS

RC4 Cifrado SSL/TLS

Blowfish Cifrado SSH

AES Cifrado SSH, SSL/TLS

MD5 Algoritmo hash, códigos de autenticación de mensajes

SSH, SNMPv3, SSL/TLS

SHA Algoritmo hash, códigos de autenticación de mensajes

SSH, SNMPv3, SSL/TLS

Protocolos de acceso seguro Existen diversos protocolos, como SSH y SSL, que utilizan varios mecanismos criptográficos para

garantizar la seguridad a través de métodos de cifrado y autenticación. El nivel de seguridad garantizado

por un protocolo depende de muchos factores, p. ej., los métodos criptográficos utilizados, el acceso a los

datos transmitidos, la longitud de las claves de algoritmos, las implementaciones de cliente y servidor

y, sobre todo, el factor humano. El esquema de cifrado más ingenioso será inútil si una persona no

autorizada obtiene las credenciales de acceso de un usuario (contraseña o certificado). El caso típico

mencionado al principio del documento es el de la contraseña escrita en una nota pegada en el monitor

del usuario.


15

Protocolo SSH El protocolo cliente / servidor Secure Shell (SSH) se desarrolló a mediados de los 90 para facilitar un

mecanismo seguro para el acceso remoto a shells o consolas informáticas a través de redes no protegidas

o “inseguras”. Este protocolo ofrece métodos “seguros” encargándose de la autenticación de usuario

y servidor y del cifrado completo de todo el tráfico intercambiado entre el cliente y el servidor. El protocolo

tiene dos versiones (V1 y V2) que difieren ligeramente en los mecanismos criptográficos que utilizan.

Además, V2 tiene una capacidad superior de protección frente a ciertos tipos de “ataques”. (El intento

de una tercera persona “no participante” de interceptar, falsificar o alterar de cualquier modo los datos

intercambiados se considera un ataque).

Aunque SSH se ha utilizado como protocolo de acceso seguro a consolas informáticas durante años, su uso

ha estado menos extendido en el caso de equipos de infraestructura secundarios, como sistemas SAI o de

aire acondicionado. Sin embargo, a medida que las redes y la infraestructura de red que las respalda se

vuelven más y más vitales para las prácticas empresariales de cada negocio, la utilización de este método

de acceso seguro para todos los equipos es cada vez más habitual.

Protocolo SSL\TLS Aunque el protocolo SSH ha sido el protocolo seguro habitual para el acceso a consolas para la gestión

del tipo de línea de comandos, el protocolo Secure Socket Layer (SSL), ahora Transport Layer Security

(TLS), se ha convertido en el método estándar para la seguridad del tráfico Web y otros protocolos,

como SMTP (correo electrónico). TLS es la versión más reciente de SSL, y SSL se sigue utilizando

normalmente como sinónimo de TLS. La principal diferencia entre SSL y SSH reside en los mecanismos

de autenticación de cliente y servidor incorporados en los protocolos. Además, TLS se ha aceptado como

estándar IETF (Internet Engineering Task Force), mientras que SSH nunca llegó a ser un estándar IETF

completo, aunque su uso está muy extendido como proyecto de estándar. SSL es el protocolo seguro que

protege el tráfico Web http, también conocido como https (“http secure”). Tanto Netscape como Internet

Explorer son compatibles con SSL y TLS. Cuando se utilizan estos protocolos, se realiza una autenticación

formal del servidor para el cliente en forma de certificado de servidor. Los certificados se describen más

adelante. El cliente también se puede autenticar mediante certificados, aunque normalmente se utilizan

nombres de usuario y contraseñas. Como todas las “sesiones” SSL están cifradas, la información de

autenticación y todos los datos de las páginas Web son seguros. Todos los sitios Web que deban ser

seguros para operaciones bancarias y otros fines comerciales utilizan SSL, ya que los clientes suelen

acceder a estos sitios a través de Internet.


16

Como la gestión accesible por navegador de los dispositivos de red (servidores Web incorporados) se ha

convertido en el método más común de configuración básica y punto de acceso de usuarios, la protección

de este método de gestión es muy importante. Las empresas que deseen que toda la gestión de red se

realice de forma segura, pero que al mismo tiempo deseen aprovechar las ventajas de las interfaces

gráficas como http, deben utilizar sistemas basados en SSL. Como ya hemos mencionado, SSL también

puede proteger otros tipos de comunicación aparte de la comunicación http. Si se utilizan clientes de

dispositivos no basados en http, estos sistemas también deben emplear SSL para los protocolos de acceso

con el fin de garantizar la seguridad. La aplicación de SSL en todos estos casos también presenta la ventaja

de utilizar protocolos estandarizados con esquemas de cifrado y autenticación comunes.

Prácticas óptimas para la seguridad de red Bien pensado, las políticas de seguridad pueden aumentar considerablemente la seguridad de una red.

Aunque las políticas pueden ser complejas y enrevesadas, o básicas y directas, los aspectos más

simples son los que suelen resultar más útiles. Piense en la combinación de un sistema de actualización

de antivirus gestionado de forma centralizada y un explorador host que deba detectar sistemas nuevos

u obsoletos. Aunque este sistema implicaría capacidad de configuración, administración central

e implantación de software, estas características ya están disponibles normalmente en los sistemas

operativos de hoy en día. En general, las políticas y las herramientas de aplicación idealmente automática

contribuyen a reducir las lagunas obvias en la seguridad del sistema para que podamos concentrarnos en

los problemas más complejos. A continuación se enumeran algunas prácticas que suelen formar parte de la

política de seguridad de red de una empresa:

• Cortafuegos en todos los puntos de tránsito de red pública / privada

• Conjuntos de reglas de cortafuegos implantadas de forma centralizada y controladas por versión

• Recursos externos ubicados en redes de dos cortafuegos con protección DMZ

• Todos los hosts de red con puertos de red innecesarios bloqueados y servicios innecesarios

desactivados

• Todos los hosts de red con software antivirus gestionado de forma centralizada

• Todos los hosts de red con actualizaciones centrales de seguridad

• Autenticación central segura, como Radius, Windows / Kerberos / Active Directory

• Administración de usuarios gestionada centralmente mediante una política de contraseñas

(las contraseñas deben cambiar cada tres meses y deben ser “contraseñas seguras”)

• Exploración proactiva de la red en busca de hosts nuevos y sistemas obsoletos

• Supervisión de red para detectar comportamientos sospechosos

• Mecanismos de respuesta ante incidentes (políticas, manuales, automatizados, etc.)


17

La lista anterior contiene los elementos clave que no pueden faltar en una política. Existen otros elementos

de amplio alcance que también se pueden incluir en una política de seguridad. Naturalmente, siempre es

importante sopesar factores como el tamaño de la empresa, el análisis de riesgos, los costes y el impacto

empresarial a la hora de determinar el tipo y la extensión de una política de seguridad. Como ya hemos

indicado, un análisis del sistema es siempre un buen punto de partida, seguido por un análisis empresarial.

Hasta las empresas más pequeñas deberían contar con algún tipo de política de seguridad, ya que todas

las redes pueden convertirse en objetivos independientemente de su tamaño.

Conclusión A medida que aumenta el número de amenazas que se ciernen sobre una red (gusanos, virus, hackers

avispados, etc.), la seguridad ha dejado de ser algo opcional, incluso dentro de las redes “privadas”.

Garantizar la seguridad de todos los equipos, incluidos los equipos de la infraestructura física, como los

sistemas SAI o de aire acondicionado, es esencial para mantener un acceso fluido e ininterrumpido a los

servicios. Proporcionar y mantener la seguridad en toda la empresa implica a menudo una mayor carga

administrativa. Éste ha sido siempre el mayor obstáculo para las implementaciones de seguridad a gran

escala. Hoy en día, la cantidad de tiempo dedicado a reparar una red que ha sufrido daños debido a un

ataque de virus o a un simple gusano puede llegar fácilmente a ser superior que el tiempo necesario para

asegurar una empresa de una forma más adecuada por adelantado. Afortunadamente, existen muchas

opciones en sistemas y software para aumentar la seguridad de la red al mismo tiempo que se reducen

los costes de gestión de dichos sistemas. Incluso las prácticas más básicas, como la actualización periódica

del software, el bloqueo de todos los dispositivos y la utilización de métodos de acceso seguro

y autenticación centralizada pueden representar un avance considerable a la hora de reducir riesgos.

El establecimiento de políticas de seguridad adecuadas y las inspecciones frecuentes de la red aumentan

aún más la protección global de la red.

Acerca del autor: Christopher Leidigh es Director de comunicaciones e investigación tecnológica en APC, Rhode Island,

Estados Unidos. Cuenta con 18 años de experiencia en programación y diseño de sistemas informáticos

y de microprocesadores, y actualmente se centra en la investigación y el diseño de sistemas integrados

y de seguridad, conexiones de red IP y sistemas de comunicaciones. Ha trabajado en APC durante

10 años, dirigiendo la línea de productos de gestión y conexión de red integrada. Se licenció en Ingeniería

bioeléctrica en la Brown University. Es ponente habitual en las Embedded Systems Conferences de Estados

Unidos y otros países, y es miembro del comité consultivo. Ha realizado publicaciones en los medios

Journal of Physiology, Communications Systems Design, Embedded Systems Programming y EE Times.

principios básicos de la seguridad en red_r0_es_schneider electric_jun2012

Documents