Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo
Apéndice D: Categorías de amenaza de TI
Este apéndice proporciona una lista de amenazas y ataques potenciales que pueden afectar a una organización, y explica cómo una solución de aislamiento de servidor y dominio puede ayudar a reducirlos.
En esta página
 | Amenazas identificadas por STRIDE |
| Otras amenazas |
| Resumen |
Amenazas identificadas por STRIDE
Esta sección describe una serie de amenazas de seguridad para la red identificadas por el modelo STRIDE (imitación, manipulación, rechazo, revelación de información, denegación de servicio, elevación de privilegios) y la manera en que las medidas de seguridad implementadas como parte de esta solución pueden utilizarse para reducirlas.
Amenazas de imitación de identidad
Las amenazas de imitación de identidad incluyen cualquier actividad orientada a obtener acceso y utilizar, ilegalmente, la información de autenticación de otra persona, como pueden ser el nombre de usuario o la contraseña. Esta categoría de amenaza incluye los ataques de intermediario y las comunicaciones de hosts de confianza con hosts que no son de confianza.
Ataques de intermediario
Una técnica común que utilizan los piratas informáticos es el ataque de intermediario. Esta técnica coloca un equipo entre dos equipos que se comunican en una conexión de red. Seguidamente, el equipo que está en medio suplanta a uno de los equipos originales o a ambos. Esta técnica proporciona al "intermediario" una conexión activa con los equipos originales y la capacidad de leer o modificar los mensajes conforme pasan entre ellos; mientras tanto, los usuarios de los equipos originales no perciben anomalía alguna en la comunicación.
Algunos proveedores de servicios de Internet (ISP) han desarrollado prácticas de filtrado que intentan combatir tanto los ataques de intermediario como la imitación del correo electrónico. Por ejemplo, muchos ISP sólo autorizan que los usuarios envíen correo electrónico a través de los servidores del ISP y justifican esta restricción con la necesidad de combatir el correo electrónico no deseado. No obstante, de este modo también se impide a los usuarios autorizados que utilicen servicios legítimos de correo electrónico de terceros, lo que suele molestar a muchos usuarios avanzados. Algunos ISP de cable intentan bloquear el tráfico de audio o vídeo para obligar a los usuarios a utilizar sus propios servicios de voz sobre IP o de transmisión de vídeo. Otros ejemplos incluyen intentos de prohibir algunas formas de tráfico de red privada virtual (VPN) con el argumento de que VPN es un servicio profesional que requiere una suscripción a cuotas más altas, así como intentos de evitar que los usuarios utilicen servidores en sus hogares.
Los filtros de los ISP se implementan normalmente mediante funciones de hardware de los enrutadores que funcionan sobre determinados tipos de protocolo (protocolo de datagrama de usuario, UDP, o protocolo de control de transmisión, TCP), números de puerto o indicadores TCP (paquetes de conexión inicial en lugar de datos o confirmación). El uso de IPsec deshabilita con eficacia este tipo de filtrado, dejando al ISP sólo con dos opciones muy drásticas: prohibir todo el tráfico IPsec o prohibir el tráfico con ciertos interlocutores identificados. Si se utiliza IPsec ampliamente, ambas opciones podrían provocar reacciones adversas graves por parte de los usuarios.
Comunicación de hosts de confianza con hosts que no son de confianza
Esta amenaza es realmente un superconjunto de varias amenazas menores e incluye los problemas relacionados con la imitación de identidad en general, la modificación de datos entre los extremos de una transmisión y la interceptación. Sin embargo, la amenaza más importante es la imitación porque el propósito es engañar a un host de confianza para que "crea" que se está comunicando con otro host de confianza. No todos los hosts que se vayan a aislar precisan comunicarse con hosts que no son de confianza. Puesto que IPsec utiliza un mecanismo basado en directivas para determinar el nivel de seguridad que se requiere entre dos hosts cuando empieza la negociación, la mayoría de estos problemas se resuelven considerando cuidadosamente ventajas e inconvenientes de la seguridad y la comunicación y, a continuación, llevando a cabo procesos de diseño e implementación de una directiva IPsec bien pensados, que reflejen el resultado preferido. El capítulo 5, "Creación de directivas IPsec para grupos de aislamiento", muestra los requisitos de comunicación del escenario de Woodgrove Bank, así como la metodología usada para crear las directivas IPsec que rigen el modo en que tienen lugar las comunicaciones.
Manipulación de datos
Las amenazas de manipulación de datos están relacionadas con la modificación malintencionada de los datos. Los ejemplos incluyen la realización de cambios de datos persistentes sin autorización (como la desfiguración de sitios Web), información contenida en una base de datos o la alteración de datos mientras circulan de un equipo a otro en una red abierta. Una amenaza específica de esta categoría es el secuestro de sesión.
Secuestro de sesión
Unos mecanismos de autenticación bien diseñados y unas contraseñas largas y aleatorias proporcionan resistencia ante el espionaje de redes y los ataques de diccionario, respectivamente. No obstante, los atacantes pueden utilizar el secuestro de sesión para capturar una sesión, una vez que el usuario legítimo ha sido autenticado y autorizado. El secuestro de sesión puede habilitar a un atacante para que utilice los privilegios de un usuario habitual con el fin acceder a una base de datos o modificarla, quizá para instalar software que le permita penetrar más a fondo, incluso sin obtener las credenciales del usuario habitual. La manera más sencilla de secuestrar una sesión consiste, primeramente, en intentar la colocación del equipo del atacante en algún lugar de la ruta de conexión utilizando una herramienta de piratería especializada. El atacante observará el intercambio y, en algún momento, entrará en acción. Puesto que el atacante se encuentra en medio del intercambio, es capaz de finalizar uno de los lados de la conexión TCP y mantener el otro lado utilizando los parámetros TCP/IP y números de secuencia correctos. El uso de IPsec para cifrado o autenticación protege los extremos contra el secuestro de sesión.
Rechazo
Las amenazas de rechazo están asociadas con usuarios que niegan haber ejecutado una acción, pero no existe forma alguna de probar lo contrario. Un ejemplo de este tipo de amenaza se produce cuando un usuario realiza una operación prohibida en un sistema que no tiene la capacidad de rastrear dicha operación. No rechazo se refiere a la capacidad que tiene un sistema de contrarrestar las amenazas de rechazo. Por ejemplo, un usuario que compra un artículo a un proveedor basado en Web tendrá que firmar en el momento en que lo reciba. El proveedor podrá usar este recibo firmado como prueba de que el usuario ha recibido el paquete.
Divulgación de información
Las amenazas de revelación de información están relacionadas con la divulgación de información entre individuos que no deberían tener acceso a la misma. Los ejemplos incluyen aquellos usuarios que pueden leer archivos a los que no se les ha concedido acceso o los intrusos que leen datos en tránsito entre dos equipos. Las amenazas de esta categoría incluyen las conexiones no autorizadas y el espionaje de redes.
Conexiones no autorizadas
Muchas configuraciones de red presentan una postura de seguridad muy confiada y conceden acceso a grandes cantidades de información desde los equipos del interior del perímetro. El acceso es a veces explícito (como es el caso de los servidores Web de intranet) y otras implícito, debido a la escasa protección de algunas aplicaciones. Algunas directivas confían en simples comprobaciones de la dirección, pero los atacantes pueden eludir estas pruebas falsificando las direcciones.
Se puede utilizar IPsec para implementar una comprobación adicional de la conexión. Es posible establecer reglas de directiva que requieran que sólo se pueda acceder a un conjunto de aplicaciones una vez que la negociación IPsec haya concluido correctamente.
Espionaje de redes
Los atacantes intentan captar el tráfico de red por dos motivos: para obtener copias de archivos importantes durante su transmisión y lograr contraseñas que les permitan ampliar la penetración. En una red de difusión, los piratas informáticos utilizan herramientas de espionaje de redes para registrar las conexiones TCP y lograr copias de la información transmitida. Aunque estas herramientas no funcionan muy bien en redes conmutadas, incluso en este tipo de redes se puede atacar el protocolo de resolución de direcciones (ARP) mediante otras herramientas especializadas que redirigen el tráfico IP a través del equipo del atacante para facilitar el registro de todas las conexiones.
Algunos protocolos (protocolo de oficina de correo 3, POP3, y protocolo de transferencia de archivos, FTP, por ejemplo) continúan enviando contraseñas de texto sin formato por la red, con lo que no le resultará muy difícil a un atacante obtener esta información. Muchas aplicaciones utilizan un mecanismo de desafío/respuesta que evita el problema del envío de contraseñas de texto sin formato, pero el desafío presentado sólo es ligeramente más complejo. El atacante no puede leer la contraseña directamente, pero los ataques de diccionario permiten deducirla a partir de una copia del desafío y la respuesta. El uso de IPsec para cifrar este tipo de intercambios protege con eficacia contra el espionaje de redes.
Denegación del servicio
Los ataques de denegación de servicio son ataques dirigidos contra un host o una red específica. Normalmente, estos ataques suelen enviar más tráfico a un host o enrutador del que puede gestionar en un tiempo determinado. Ello da como resultado la incapacidad de la red de gestionar el tráfico, por lo que el flujo legítimo de éste se ve interrumpido. Los ataques de denegación de servicio pueden estar distribuidos entre muchos atacantes que centran el esfuerzo en un objetivo en particular. Los equipos objeto de estos ataques suelen quedar expuestos a algún peligro. Se instala en ellos una secuencia de comandos o un programa malintencionado que permitirá al atacante utilizar los equipos para dirigir una avalancha de tráfico de red que pretende desbordar otro equipo o grupo de equipos. Los equipos comprometidos se denominan zombies, y este tipo de ataque se conoce como ataque de denegación de servicio distribuido.
IPsec requiere autenticarse antes de establecer la comunicación. Por esta razón, ayuda a mitigar la mayoría de los ataques de denegación de servicio distribuido (exceptuando aquellos que utilizan un escenario de atacantes de confianza). Dicho de otro modo, los ataques de denegación de servicio distribuido basados en Internet resultan inocuos, pero un ataque de denegación de servicio iniciado desde la red de la organización continuaría siendo efectivo si el host atacante se puede autenticar y comunicar mediante IPsec.
Distinción entre el tráfico estándar y el tráfico de un ataque
Brevemente después del ataque del gusano Slammer en enero de 2003, se concluyó que las redes no habrían sido desbordadas por el tráfico del gusano si hubieran dispuesto de unas reglas sencillas que limitan el tráfico UDP al 50 por ciento del ancho de banda disponible. Los hosts infectados hubieran cubierto rápidamente ese 50 por ciento máximo del ancho de banda con el tráfico UDP, pero el resto del ancho de banda hubiera quedado disponible para el tráfico de operaciones. Los cajeros automáticos habrían continuado funcionando y los administradores podrían haber usado TCP para aplicar revisiones y propagar directivas. Aunque la directiva para limitar el tráfico UDP es simplista, estas directivas sencillas que pueden mantenerse instaladas aportan una red de seguridad fiable.
Al utilizar IPsec para el tráfico importante, los administradores pueden aplicar una versión ligeramente más sofisticada de la directiva UDP. En condiciones normales, los administradores de red pueden supervisar la mezcla de tráfico en la red y determinar las cantidades que son tráfico UDP, tráfico TCP, tráfico ICMP (protocolo de mensajes de control de Internet), etc. Bajo presión, puede incluirse un algoritmo de cola ponderada para garantizar que el recurso se comparte según un patrón estándar. De hecho, normalmente se puede programar una directiva de estas características de forma predeterminada en los enrutadores, recopilar tendencias y estadísticas a largo plazo durante los períodos de actividad de red estándar y aplicar dichas estadísticas como colas ponderadas durante los períodos de gran congestión.
Gusanos y ataques de denegación de servicio
El pasado reciente muestra que las redes son vulnerables a los ataques de denegación de servicios, que funcionan mediante el envío de tráfico en exceso para saturar un determinado servidor o una parte concreta de una red. Una forma de ataque de denegación de servicio funciona de una forma distribuida, que dirige una serie de equipos para atacar simultáneamente a un objetivo seleccionado. La defensa en estos casos puede ser especialmente difícil. El gusano CodeRed intentaba penetrar en primer lugar en una serie de servidores Web, los cuales se suponía que enviaban tráfico invalidante a whitehouse.gov (el dominio de la Casa Blanca en Washington DC, EE.UU.). De hecho, los mecanismos de propagación de los gusanos CodeRed, Nimda y Slammer fueron ataques de denegación de servicio contra Internet. Cada uno de los equipos infectados efectuaba cientos de miles de intentos de infección en objetivos indiscriminados, y el tráfico resultante invalidó numerosas redes locales y regionales.
IPsec protege de varias maneras frente a los ataques de denegación de servicio y proporciona un nivel adicional de protección a las víctimas potenciales del ataque. Reduce la velocidad de los atacantes obligando a realizar cálculos muy costosos y permite que los operadores de red puedan distinguir entre los distintos tipos de tráfico.
Elevación de privilegios
En este tipo de amenazas, un usuario sin privilegios logra un acceso privilegiado que le permite poner en peligro o posiblemente destruir todo el entorno del sistema. Las amenazas de elevación de privilegios incluyen situaciones en las cuales el atacante ha superado de manera eficaz todas las defensas del sistema para explotar y dañar el sistema.
Otras amenazas
No todas las amenazas encajan claramente en el modelo STRIDE. Los siguientes elementos muestran otras amenazas y describen su impacto potencial en una solución de aislamiento de servidor y dominio.
Seguridad física
La seguridad física implica proporcionar acceso físico a un sistema o recurso únicamente a la cantidad mínima de usuarios que lo necesitan. La seguridad física es el nivel más bajo de defensa ante la mayoría de las amenazas a la seguridad de TI. Sin embargo, en la mayoría de los ataques en el ámbito de la red, la seguridad física se omite por completo. Continúa teniendo un valor considerable como parte de un método de defensa en profundidad. Por ejemplo, la seguridad física en forma de guardias de seguridad, cámaras en los centros de datos, controles de acceso a las ubicaciones de datos confidenciales y tarjetas de acceso o llaves para las puertas ayudan a impedir que un dispositivo de confianza resulte comprometido. El uso de varios métodos de seguridad física es importante y ayuda a impedir que se produzcan algunas de las infracciones de seguridad más graves relacionadas con los centros de datos.
Debe quedar muy claro que una seguridad física comprometida significa que todos los niveles de seguridad quedan expuestos a las amenazas. La seguridad analizada en esta solución se basa en la suposición de que la seguridad física es un asunto resuelto. Sin la seguridad física, ninguna otra medida de seguridad puede considerarse eficaz.
Seguridad de red
Una red es un sistema de quipos interconectados. La mayoría de los protocolos y servicios diseñados para las redes no se crearon teniendo en mente los potenciales propósitos malintencionados. La llegada de la informática de gran velocidad, el acceso sencillo a redes y la amplia disponibilidad de Internet han supuesto que muchos usuarios malintencionados centren sus esfuerzos en sistemas y servicios con el propósito de explotarlos o de provocar interrupciones. Previamente, en este apéndice se ha descrito una serie de amenazas a la red. Puede encontrar más información acerca del modo en que IPsec ofrece protección contra algunos de estos ataques a la red en la sección dedicada a IPsec del capítulo 19, centrado en la configuración de TCP/IP, en Windows® XP Professional Resource Kit: www.microsoft.com/resources/documentation/Windows/
XP/all/reskit/en-us/prcc_tcp_naoc.asp.
Seguridad de la aplicación
La mayoría de los ataques dirigidos a aplicaciones intentan explotar las vulnerabilidades existentes en las propias aplicaciones o en el sistema operativo. Debido a que IPsec se implementa en la capa de red del modelo de interconexión de sistemas abiertos (OSI), determina si un paquete se permite o deniega mucho antes de que llegue a la aplicación. Este comportamiento significa que IPsec no puede hacer determinaciones en el ámbito de la aplicación pero puede usarse para proporcionar seguridad al tráfico de aplicaciones en un nivel inferior.
Ingeniería social
La ingeniería social es el acto de explotar las debilidades propias del comportamiento humano para lograr el acceso a un sistema u obtener más información sobre el mismo. Por ejemplo, un aspirante a pirata informático podría utilizar el teléfono para llamar a una determinada organización y preguntar por el nombre del supervisor que está al cargo de un proyecto en concreto. El proyecto trata del desarrollo de un producto o servicio nuevo por parte de la organización y precisamente eso es lo que interesa al atacante. Si el operador le proporciona el nombre del supervisor y quizá incluso la ubicación o la información de contacto de esa persona, el atacante dispondrá de mucha información en la que centrar sus esfuerzos.
Debido a que este tipo de ataque va dirigido al usuario del equipo, IPsec no puede proporcionar protección. De manera parecida, a un usuario malintencionado que tenga acceso a sistemas aislados y abuse de dicho acceso (atacante de confianza), se le tendrá que impedir el mal uso mediante otras tecnologías de seguridad.
Resumen
A todas luces, el uso del aislamiento de servidor y dominio no eliminará todas las amenazas a las que se enfrentan las organizaciones. Sólo un conocimiento exhaustivo de las opciones disponibles y el conocimiento pormenorizado de los desafíos técnicos permitirá a las organizaciones proteger adecuadamente sus entornos de TI.