REDES PRIVADAS VIRTUALES (VPN)

 

Imagine que desea conectarse desde su casa a través de Internet a servicios ofrecidos por ordenadores dentro de su red interna. Por ejemplo, podría querer iniciar una sesión de escritorio remoto, servicio ofrecido en el puerto 3389. O podría querer conectarse a su servidor de base de datos SQL Server, que permanece a la escucha en el puerto 1433. Una primera opción sería abrir dichos puertos en el cortafuegos perimetral. La contrapartida es que esos puertos estarían disponibles para cualquier persona en Internet. Un escáner de puertos podría descubrir que esos servicios se están prestando. Siempre que esos servicios los piense prestar a un número reducido de usuarios, una solución mucho más segura consiste en utilizar redes privadas virtuales.

Una red privada virtual (Virtual Private Network o VPN) es un túnel o canal seguro a través de Internet u otras redes públicas. El contenido de la conexión a través de Internet se cifra, de manera que sus datos quedan inaccesibles para el público, pero no para la red privada a la que se conecta. Las VPN se suelen utilizar para conectar dos redes locales a través de una red insegura como Internet. Gracias a la VPN, el ordenador remoto se conecta a la otra LAN como si estuviera directamente conecta a ella en local.

Desde el punto de vista empresarial, una red privada virtual puede utilizarse para definir una red o conjunto de redes lógicas sobre una red física. Las redes lógicas presentarán una diferenciación a nivel de red y aparentarán ser redes distintas. Desde el punto de vista de origen y destino de la comunicación se pueden distinguir varios tipos de redes privadas virtuales:

Sitio a sitio (site-to-site): Se trata de una red privada virtual entre dos redes. De manera transparente, todos los equipos de una ubicación pueden comunicarse con otros distantes realizándose toda la transmisión de información entre los dos centros por una red privada virtual. Para ello se configuran dos equipos terminadores en cada extremo, por ejemplo, equipo A y equipo B. Se establece una red privada virtual entre ellos, teniendo que encaminarse toda la información destinada a la ubicación destino B dentro del punto de origen sobre el terminador de túneles de la ubicación A, por lo que entonces de manera transparente el terminador A mandará la información tunelizada a B, que se encargará de remitírsela al destino, recoger la contestación y enviársela de nuevo tunelizada de vuelta al equipo terminador A. Gracias a este mecanismo, una empresa puede unir a través de Internet por ejemplo dos oficinas remotas, teniendo garantizada la confidencialidad e integridad de la información transmitida.

Cliente a sitio (client-to-site): En este tipo de red privada virtual una máquina se conecta a una red mediante un túnel. Este tipo de VPN es ampliamente utilizada por las empresas para otorgar una conexión remota a sus empleados desde Internet sin problemas de seguridad. Por ejemplo, se puede ubicar un terminador de túneles conectado a Internet y al mismo tiempo a la red interna, o preferiblemente a una DMZ. El usuario remoto procederá a establecer una VPN contra el servidor de túneles, después de lo cual su estación parecerá estar virtualmente en la propia empresa, pudiendo realizar cualquier tipo de comunicación como si estuviera en local, con la ventaja de utilizar una red de comunicaciones económica y con puntos de presencia en todo el mundo como es Internet. Esta fórmula de conexión es también válida para realizar teletrabajo o relaciones con proveedores, clientes o cualquier empresa colaboradora. Es la explicada en el apartado anterior para particulares.

Sitio a servidor (site-to-server): El tercer tipo de VPN es el realizado entre un cliente y un servidor, en definitiva la red privada virtual sólo se utiliza en la comunicación del cliente y el servidor. Un ejemplo muy extendido de este tipo de red es la utilización de SSL sobre el protocolo HTTP, ampliamente utilizado para proteger las comunicaciones entre clientes y servidores Web. Este tipo de terminadores son muy útiles para descargar del establecimiento de sesión SSL a las máquinas y adicionalmente pueden facilitar la posibilidad de monitorizar tráfico que en origen iba cifrado.

Desde el punto de vista del protocolo utilizado existen también distinciones entre las distintas redes privadas virtuales que se pueden crear:

• PPTP (Point to Point Tunneling Protocol): Protocolo para la creación de redes privadas virtuales desarrollado por Microsoft y USRobotics. Es ampliamente utilizado para realizar accesos sobre redes remotas mediante llamada telefónica.
• L2TP (Layer Two Tuneling Protocol): Protocolo que se presenta como la evolución de L2F y PPTP, presentando las ventajas de cada uno.
• IPSec (IP Security): Conjunto de protocolos desarrollados por el IETF para soportar el intercambio seguro de información dentro de TCP/IP. IPSec soporta dos modos de cifrado: transporte, en el que sólo se cifra el campo de datos; y túnel, en el que se cifra por completo todo el paquete, por lo que la cabecera que se añade es completamente nueva.
• L2F (Layer two Forwarding): Protocolo para la creación de redes privadas virtuales abanderado por CISCO.

Read More

ATAQUES DE RECONOCIMIENTOS

 

Los ataques de reconocimiento consisten en el descubrimiento y mapeo de sistemas, servicios o vulnerabilidades sin autorización. Los ataques de reconocimiento muchas veces emplean el uso de sniffers de paquetes y escáneres de puertos, los cuales están ampliamente disponibles para su descarga gratuita en Internet. El reconocimiento es análogo a un ladrón vigilando un vecindario en busca de casas vulnerables para robar, como una residencia sin ocupantes o una casa con puertas o ventanas fáciles de abrir.

L os ataques de reconocimiento son generalmente precursores de ataques posteriores con la intención de ganar acceso no autorizado a una red o interrumpir el funcionamiento de la misma.

Los ataques de reconocimiento utilizan varias herramientas para ganar acceso a una red:

Sniffers de paquetes: Es una aplicación de software que utiliza una tarjeta de red en modo promiscuo para capturar todos los paquetes de red que se transmitan a través de una LAN.

Barridos de ping: Es una técnica de escaneo de redes básica que determina qué rango de direcciones IP corresponde a los hosts activos.

Escaneo de puertos: Escaneo de un rango de números de puerto TCP o UDP en un host para detectar servicios abiertos.

Búsquedas de información en Internet: Pueden revelar información sobre quién es el dueño de un dominio particular y qué direcciones han sido asignadas a ese dominio.

Read More

CONCEPTOS EN CIBERSEGURIDAD

 

Vulnerabilidad en la seguridad: Cualquier tipo de defecto de hardware o software que los usuarios malintencionados intentan explotar.

Ataque: Un programa escrito para aprovechar una vulnerabilidad de seguridad conocida.

Ataque cibernético: El acto de usar un ataque contra una vulnerabilidad con el objetivo de ingresar al sistema de destino. 

Vulnerabilidades de software: Generalmente causadas por errores en el sistema operativo o el código de aplicación.

Parches y actualizaciones de seguridad: Lanzados por los productores del sistema operativo y la aplicación para evitar la explotación de vulnerabilidades.

Proyecto cero: Creado por Google, este es un ejemplo de un equipo permanente de investigadores de terceros que se dedica a encontrar vulnerabilidades de software.

Vulnerabilidades de hardware: Debilidades de seguridad causadas por fallas de diseño en los componentes y dispositivos informáticos. Se limitan generalmente a modelos de dispositivos específicos y se explotan comúnmente con ataques dirigidos.

Desbordamiento del búfer: Una vulnerabilidad de software que ocurre cuando los datos se escriben más allá de los límites de las áreas de memoria asignadas a una aplicación. Esta vulnerabilidad puede hacer que una aplicación acceda a la memoria asignada a otros procesos.

Entrada no validada: Una vulnerabilidad en la cual los datos proporcionados a un programa por un usuario o un ataque hacen que una aplicación se comporte de manera no intencionada.

Condiciones de carrera: Una vulnerabilidad que se produce cuando un conjunto pedido o agotado de procesos se interrumpe o es alterado por un ataque.

Problemas de control de acceso: Uso incorrecto de las prácticas que administran el control físico de equipos, datos o aplicaciones.

Malware: Cualquier código informático que se puede utilizar para robar datos, evitar los controles de acceso o dañar o comprometer un sistema.

Spyware: Malware diseñado para hacer un seguimiento de las acciones de los usuarios y capturar datos.

Adware: Software que entrega anuncios automáticamente. Algunos tipos contienen spyware.

Bot: Malware diseñado para realizar automáticamente las acciones por Internet.

Ransomware: Un tipo de malware que mantiene un sistema de computación cautivo, con frecuencia mediante el cifrado de los datos esenciales, hasta que se realiza un pago al atacante.

Rootkit: Malware diseñado para modificar los sistemas operativos a fin de permitir el acceso remoto no autorizado a través de una puerta trasera. Los rootkits pueden modificar los privilegios de usuario, los archivos de sistema, la informática forense del sistema y las herramientas de supervisión, por lo que son extremadamente difíciles de detectar y eliminar.

Virus: Código malintencionado ejecutable que se adjunta a programas legítimos. Usualmente, los virus requieren la activación del usuario final y pueden ser relativamente inofensivos o muy destructivos. Con frecuencia se esparcen por las unidades USB, los medios ópticos, los recursos de red compartidos o los correos electrónicos.

Caballo de Troya: Malware que realiza operaciones maliciosas mientras aparenta desempeñar una función deseada. A diferencia de los virus, que son ejecutables, el malware se incluye en los archivos no ejecutables.

Gusanos: Malware en forma de código malicioso que se replica independientemente de las vulnerabilidades de las redes. Se esparce muy rápidamente en una red porque se ejecuta por sí mismo. Todos comparten patrones similares, incluida una carga y una vulnerabilidad de activación, que es una manera de propagarse por sí mismos.

Hombre en el medio (MitM): Técnica en la que un atacante puede tomar el control de un dispositivo sin el conocimiento del propietario. El atacante puede interceptar y capturar la información que pasa a través de los dispositivos en su camino hacia otro destino.

Hombre en el móvil (MitMo): Un ataque que es una variación del MitM. Un dispositivo móvil se infecta con malware que toma el control del dispositivo y hace que reenvíe información confidencial a los atacantes.

Ingeniería social: Una manera de obtener acceso a recursos que manipulan a las personas para que ejecuten acciones o divulguen información confidencial. Los atacantes intentan explotar nuestra predisposición para ayudar o nuestras debilidades.

Pretexto: Un tipo de ataque de ingeniería social en el que una persona miente para obtener acceso a información privilegiada.

Infiltración: Un tipo de ataque de ingeniería social en el que el atacante sigue a una persona autorizada a un lugar seguro.

Algo por algo: Un tipo de ataque de ingeniería social en el que el atacante solicita información personal a cambio de algo, como un obsequio.

Decodificación de contraseña Wi-Fi: El acto de detectar una contraseña que se usa para proteger una red inalámbrica.

Ataques por fuerza bruta: El uso de un programa de software para detectar una contraseña repetidamente con todos los valores posibles que podrían utilizarse para una contraseña o con una lista de palabras comúnmente utilizadas en las contraseñas. Las contraseñas complejas son mucho más difíciles de adivinar.

Husmeo de la red: El uso de software para capturar paquetes en una red inalámbrica. Las contraseñas sin encriptar se pueden capturar y utilizar en un ataque y las contraseñas encriptadas se pueden descifrar con una herramienta de software.

Suplantación de identidad: Uso de un correo electrónico fraudulento genérico que parece ser enviado por una fuente legítima. El correo electrónico engaña a las personas para que instalen malware o distribuyan información confidencial.

Explotación de vulnerabilidades: Uso de varios métodos, incluidas herramientas de software o ingeniería social, para obtener información sobre un sistema. Este atacante utiliza esta información para encontrar debilidades en el sistema específico.

Amenaza persistente avanzada (APT): Ataque cauteloso y avanzado de varias fases a largo plazo contra un objetivo específico. Las APT son complejas y requieren un alto nivel de habilidad, por lo que los ataques generalmente están bien financiados y están dirigidos a organizaciones o países por motivos políticos o empresariales. Usualmente implican el espionaje basado en la red que utiliza malware no detectado en los sistemas de destino.

Whois: Una base de datos de Internet pública que contiene información sobre nombres de dominio de Internet y las personas o las organizaciones que registraron los dominios. Es una fuente de información que se puede utilizar para atacar las vulnerabilidades del sistema.

Nmap: Una herramienta de escaneo de puertos popular que se puede usar para detectar vulnerabilidades en los sistemas de red.

Read More

ATAQUES COMBINADOS

 

¿Qué es un ataque combinado?

Los ataques combinados son ataques que usan diversas técnicas para comprometer un objetivo. Mediante el uso de varias técnicas de ataque simultáneas, los atacantes tienen malware que combina gusanos, troyanos, spyware, registradores de pulsaciones, spam y esquemas de suplantación de identidad. Esta tendencia de ataques combinados revela malware más complejo y pone los datos de los usuarios en gran riesgo.

Los tipos más comunes de ataque combinado utilizan mensajes de correo electrónico no deseado, mensajes instantáneos o sitios web legítimos para distribuir enlaces donde se descarga malware o spyware secretamente en la computadora. Otro ataque combinado común utiliza DDoS combinado con correos electrónicos de suplantación de identidad (phishing). Primero, el ataque DDoS se utiliza para suspender un sitio web popular de un banco y enviar correos electrónicos a sus clientes disculpándose por la inconveniencia. El correo electrónico además redirecciona a los usuarios a un sitio de emergencia falso donde la información real de inicio de sesión puede ser robada.

Muchos de los gusanos más perjudiciales de las computadoras, como Nimbda, CodeRed, BugBear, Klez y Slammer, se categorizan mejor como ataques combinados, como se muestra a continuación:

Algunas variantes de Nimbda utilizan archivos adjuntos de correo electrónico, descargas de archivos de un servidor web comprometido y uso compartido de archivos de Microsoft (intercambios anónimos) como métodos de propagación.

Otras variantes de Nimbda pueden modificar las cuentas de invitado del sistema para proporcionar al atacante o código malicioso los privilegios administrativos.

Los gusanos recientes Conficker y ZeuS/LICAT también son ataques combinados. Conficker utiliza todos los métodos de distribución tradicionales.

Read More

INSTALACIÓN Y ARMADO DE ROSETAS O BOCAS DE RED

Desarmar por completo la roseta, al realizar la acción, veremos que consta de tres piezas. el marco que se amura en la pared, la tapa y, por otra parte, el conector hembra RJ-45.

En el conector se detalla la codificación de colores para definir los estándares del cableado estructurado TIA-568A y TIA-568B. Se lee de la siguiente manera: arriba y abajo está señalada la norma A, mientras que en el centro encontramos señalada la norma B.

Tomamos el extremo del cable de red y, con la pinza crimpadora o un alicate, lo mellamos a una distancia de 1.5cm aproximadamente, teniendo cuidado para que los cables no se pelen ni se marquen.

En este momento escogemos la norma que vamos a usar, en nuestro caso, la 568A. Ubicamos los cables siguiendo la indicación de la roseta y presionamos los cables para que queden bien sujetos. Repetimos este procedimiento sobre cada uno de los siete cables restantes.

Utilizando una pinza de impacto para conectores RJ-45, apoyamos sobre una superficie firme y ejecutamos presión sobre cada uno de los conectores, con el extremo cortante hacia el exterior de la roseta, para cortar el cable excedente. El sonido del impacto determinará el armado correcto del conector.

Debemos tener en cuenta que, cuando terminamos de armar la ficha, es necesario que la ubiquemos en la caja. Suele haber unos encastres para que el conector se ajuste firmemente. En algunas ocasiones nos encontraremos con modelos que admiten dos o más fichas RJ-45 hembra. En este caso,  solo resta colocar la tapa y amurar la roseta.

Es importante recordar que al realizar esta instalación, hemos decidido usar una norma (568A en nuestro caso), y tendremos que mantenerla en cada extremos de los cables. Además, debemos marcar la caja con una etiqueta que nos permita identificarla fácilmente ante cualquier eventualidad o para hacer un diagnóstico.

Read More