Protección frente ataques a redes (A4C41C1D02)

Introducción

La protección de las redes de comunicaciones es una parte fundamental de la seguridad informática. Esto tiene especial relevancia en las redes empresariales, donde se albergan servicios críticos para un negocio, se llevan a cabo multitud de operaciones diarias y se comparte información confidencial.

Los ataques que hemos visto en vídeos de este nivel representan una amenaza constante, para interrumpir o comprometer la comunicación y el flujo de datos.

A continuación, se abordarán las medidas de protección necesarias para mitigar los ataques específicos, como el DHCP spoofing, IP spoofing, Man in the Middle (MitM) y la denegación de servicio (DoS). Esto es una guía de buenas prácticas, aunque para más detalle de configuración se deberán consultar los manuales específicos de cada dispositivo de red.

VÍDEO

ATAQUES MÁS COMUNES A LAS REDES

Tanto en redes domésticas como en redes empresariales, existen ataques comunes pero efectivos que amenazan la seguridad de estas. DHCP e IP Spoofing, Man in the Middle o las denegaciones de servicio son algunos de ellos.

e.digitall.org.es/A4C41C1V03

DHCP Spoofing

Los ataques DHCP Spoofing se utilizan para hacerse pasar por un servidor DHCP legítimo en una red y tomar el control de la configuración de los dispositivos de la red comprometida. De esta forma, se podría modificar la puerta de enlace predeterminada y redirigir el tráfico de los dispositivos comprometidos a través del ordenador del atacante, permitiendo la intercepción o inspección de las comunicaciones.

Cuando un dispositivo se conecta a una red, solicita la configuración a cualquier servidor DHCP que pueda responder. Por eso, si el servidor DHCP falso del atacante responde más rápido que el legítimo, el dispositivo obtendrá la configuración errónea. Para prevenir este tipo de ataques existen algunas recomendaciones clave:

1 |  Conectar correctamente los routers a la red

  • Si se conecta un router a la red utilizando el puerto erróneo y la configuración por defecto, puede que responda a peticiones DHCP y desconfigure los dispositivos de la red.
  • Por lo general, no se debe permitir el uso de routers no configurados por el administrador de la red, ya que pueden ser una amenaza para la misma.

2 |  Supervisar el tráfico DHCP con DHCP Snooping

  • Para evitar un posible ataque de DHCP Spoofing, los dispositivos empresariales de red como switches disponen del mecanismo de DHCP Snooping.
  • Este mecanismo permite escanear por paquetes DHCP no autorizados. De esta forma, sólo se autorizarán respuestas DHCP desde el servidor legítimo de la empresa, mitigando los ataques que provienen de usuarios conectados a la red.

IP Spoofing

De forma similar, los ataques de IP Spoofing buscan suplantar la identidad de un dispositivo legítimo de la red. Es decir, se intenta suplantar la dirección de red de servidores importantes, de un usuario, o incluso la del router. Este ataque hace posible otros muchos que se basan en esta suplantación de identidad. Para mitigar el ataque, existen algunas medidas fundamentales:

3 |  Configurar Dynamic ARP Inspection (DAI)

  • Para evitar la suplantación de dirección IP asociando una dirección física falsa, se puede activar la inspección del protocolo ARP con DAI.
  • Esto mitiga ataques ARP Spoofing que permitirían a un atacante hacerse pasar por una IP que no le corresponde.

4 |  Configurar reglas de acceso mediante un firewall

  • Como se ha visto en este nivel, la configuración de red con firewalls y la segmentación de red son mecanismos útiles para evitar muchos ataques.
  • El filtrado con firewall y el bloqueo de peticiones de IPs que no pertenecen a una red, mitiga ataques de suplantación de IP de forma remota.

VÍDEO

CONTROLANDO LAS CONEXIONES: INTRODUCCIÓN A LOS FIREWALLS

Los firewalls o cortafuegos en una red permiten el filtrado y bloqueo de tráfico de red mediante listas de control de acceso o reglas. Dependiendo del tipo de firewall, se pueden bloquear paquetes de red atendiendo a diferentes características de la comunicación, como la dirección IP o el puerto

e.digitall.org.es/A4C41C1V05

Man in the Middle (MitM)

Por otro lado, los taques Man in the Middle (MitM) son un concepto genérico que agrupa a amenazas en las cuales el atacante se sitúa en medio de la comunicación, con el objetivo de interceptar, inspeccionar o manipular la comunicación. Para evitar este tipo de ataques, es importante evitar la suplantación IP, ARP y DHCP, como se ha comentado antes. Además, hay medidas que ayudan a mitigar los ataques MitM:

5 |  Diseñar una topología de red segura y segmentada

  • Mantener una red segmentada permite establecer reglas que separan las distintas partes de una red corporativa. Por ejemplo, estableciendo zonas privadas, públicas y desmilitarizadas (DMZ).
  • De esta forma, se evita que un atacante conectado a una red más fácilmente accesible tenga acceso a la red de servidores o de administración.

6 |  Cifrar y autenticar las comunicaciones

  • El cifrado de la información en tránsito mitiga las inspecciones de tráfico y mantiene la información confidencial.
  • Usar sistemas de cifrado como TLS permite autenticar a las partes y transmitir la información cifrada entre ambas, evitando manipulaciones.

VÍDEO

TOPOLOGÍA SEGURA DE RED

La segmentación de una red y su organización permiten establecer controles de acceso más eficientes. Además, la separación en zonas de dispositivos críticos, dispositivos públicos y los de los usuarios utilizando redes virtuales o VLANs son algunas de las prácticas para establecer un diseño de red más seguro.

e.digitall.org.es/A4C41C1V04

Denegación de Servicio (DoS)

Por último, las denegaciones de servicio son ataques menos sofisticados pero muy destructivos, que afectan a la disponibilidad de la red de comunicaciones y, por tanto, de la información. Este tipo de ataques pretenden neutralizar y paralizar las comunicaciones para impedir el acceso a los sistemas  de información con el objetivo de afectar al proceso de negocio de una empresa.

Existen diferentes tipos de ataques de Denial of Service (DoS), por lo que deben tenerse en cuenta medidas de seguridad de diferente índole, como:

7 |  Mantener los dispositivos de red y de usuarios actualizados

  • Existe malware como el ransomware u otro tipo de gusanos que pueden distribuirse por la red y afectar a la disponibilidad de la información.
  • El malware se aprovecha de las vulnerabilidades existentes en el software, por lo que mantener a los equipos actualizados mitiga este tipo de amenazas.

8 |  Instalar sistemas de detección y prevención de intrusiones

  • Los IDS e IPS son sistemas que permiten monitorizar la red, detectar e incluso bloquear ataques conocidos como las denegaciones de servicio.
  • Instalar y mantener actualizados estos mecanismos ayuda a prevenir DoS bloqueando la comunicación y la saturación de los sistemas.

9 |  Diseñar sistemas redundantes y mantener copias de seguridad

  • Las denegaciones de servicio impiden el acceso a sistemas, saturándolos o haciendo inaccesible la información que albergan.
  • Para evitar la pérdida de servicio o la pérdida de información, se deben mantener copias de seguridad de la información y sistemas redundantes. En caso de fallo o saturación, se redirigirá a usuarios al sistema redundante, o se reestablecerá la copia de seguridad de la información.

VÍDEO

SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES (IDS/IPS)

Los sistemas de detección y prevención de intrusiones permiten monitorizar el tráfico de red para detectar ataques conocidos o incluso desconocidos. Los IPS permiten, además, bloquear la comunicación si se detecta algún tipo de ataque, como una denegación de servicio.

e.digitall.org.es/A4C41C2V08

Como hemos visto, existen multitud de medidas que pueden aplicarse para mitigar los ataques más comunes a las redes. La seguridad es un proceso, por lo que estas contramedidas se deben ir aplicando gradualmente, manteniendo actualizadas las soluciones y revisando su correcto funcionamiento de forma periódica.