3. Seguretat en xarxes

Si bé al primer mòdul es feia una introducció a la Seguretat de la Informació i al segon, es parlava de la seva gestió, en aquest tercer mòdul es parlarà de la seguretat a les xarxes, en sistemes remots o xarxes inalàmbriques. Veurem necessitats de connexió i les seves problemàtiques; Firewalls, Sistemes de detecció d’intrusos i Honeypots :)
Les empreses, avui dia, depenen d’Internet: tenen pàgina web, es comuniquen per email, emmagatzemen dades massivament, necessiten servidors i estan connectades en xarxa. La presència a Internet, com a xarxes socials, és avui una necessitat de les empreses per apropar els seus serveis al màxim de públic possible. Potser tenen serveis propis i fan de proveïdors, o potser només es connecten per buscar informació.
D’altra banda, fem servei de molts dispositius que intercanvien o envien informació i que poden portar malware o correus spam…Total, que només pel fet d’estat connectats podem rebre atacs per totes bandes…I com és imprescindible el binomi usuari/empresa-Internet, ens hem d’aprendre a protegir també en xarxa.
Tot plegat, a més de a una empresa, també ho podem aplicar a qualsevol usuari. Els escenaris de la transmisió d’informació, doncs, poden ser correus electrònics, webs, blogs, fòrums, serveis de missatgeria instantània o xarxes socials. I els problemes inherents a aquesta transmissió d’informació es poden mostrar com a:
- Potencials atacs externs
- Dificultat de control del trànsit i activitats
- Disponibilitat de serveis de connectivitat
- Complexitat legal
- Manca de controls globals
Hi ha personetes, però, que treballen per tal de regular millor la seguretat i gestió de la informació a Internet i, en pocs anys, tot apunta a que tindrem una regulació més estandaritzada i global, com passa amb tot, no?
Tot seguit, els elements de la seguretat en xarxes. Principalment es tocaran tres conceptes: Firewall, Sistema de detecció d’intrusos i Honeypot.
El Firewall serveix per a filtrar paquets, definint un perímetre entre la xarxa interna i la xarxa externa. Per això va lligat amb les connexions del router, per tal de filtrar les connexions de la xarxa. Delimiten el perímetre de seguretat:
- La xarxa interna (el nostre ordinador, hardware i software)
- El router (ens connecta físicament; hardware)
- El Firewall (filtratge paquets, software)
- DMZ (DesMilitarized Zone, recursos accessibles des de l’exterior per a proveir serveis)
Principis de disseny del Firewall, per on han de passar tota la informació que entra i surt del nostre dispositiu:
- Només el trànsit autoritzar hauria de poder atravessar-lo
- No protegeix segons quins atacs (codi maliciós o malware, amenaces internes, etc.)
- Diferents polítiques (restrictiva “tot el que no ha estat expressament permés, està prohibit“; permissiva “tot el que no ha estat expressament prohibit, està permès“).
I després la filosofia són lletres, no? Magnífic exercici de lògica aristotèlica, Federico!
Sistemes de detecció d’intrusos (IDS), un sistema de monitoreig que detecta comportaments intrussius, amb el que haurem d’establir els paràmetres perquè la màquina sàpiga distingir i actuar quan un compartament és o no intrussiu. D’altra banda, un cop detectada la intrussió, també hem de definir quines polítiques d’actuació executar (bloquejar connexions i accions, generar alertes, enviar missatges al mòbil, emmagatzemar l’evidència, etc.)
Com evolució dels IDS apareixen els IPS, sistemes de detecció d’intrussos preventius, és a dir, que operen des de la base, des de la detecció i la prevenció. Entenc que és com una mena de patrulla veïnal, que passejen cada dia per anar detectant anomalies al veïnat i prevenir incidències majors…Els IDS els podem classificar en funció d’on s’obtenen les dades: Network-based (NIDS) o Host-based (HIDS) o de com realitzen la detecció de la intrussió:
- Knowledge-based (Signature-based o detecció de patrons estrictes, com una firma antivirus que determina què és malware o codi maliciós)
- Behavior-based (Statistical anomaly-based o detecció per comportament, basada en comprendre què és normal a la xarxa i detecta allò que no és normal. Si en un xarxa mai es connecta algú a les 3 del matí, si un dia algú s’hi connecta, la màquina ho prendrà com alguna cosa estranya, a tenir en compte i prendre com a una intrussió.
- Protocol Anomaly Based (un paquet mal format)
El Honeypot és un element que es posa per a ser atacat. Simula ser un sistema real (sistema, xarxa, aplicació, etc.). L’objectiu d’aquestes dolces trampes és dissuadir o investigar, veient com l’usuari trenca el sistema…
Més enllà dels elements de la seguretat en xarxes, tindrem la necessitat de connectar el nostre sistema (empresa /usuari) a altres xarxes o a sistemes remots. Tenim, doncs, diferents tipus de connexió per a sistemes remots:
- VNC (Virtual Network Computing): tecnologia client/servidor basada en l’enviament de pixels. Per defecte, no és massa segura.
- SSH (Secure SHell): protocol de control remot per a sistemes GNU/Linux (que en Federico s’ha deixat el GNU i l’Stallman s’enfadarà!). L’estàndard oficial es descriu al RFC 4253.
- Terminal Server: aquesta tecnologia de Microsoft està inclosa a tots els seus sistemes operatius. Està basada en el protocol RDP i pot utilitzar TLS.
- Citrix: permet l’ús d’aplicacions o serveis remots.
La VPN (Virtual Private Network) és l’extensió d’una xarxa local a través d’una xarxa pública i atravessant un mitjà insegur que és “El Núvol d’Internet”.
Les VPN es basen en un protocol de comunicació, en un servei de xifrat i l’encapsulament i tunelització, és a dir, generar un protocol que em permeti afegir altres paquets dins de si mateix. D’aquesta manera obrim “túnels” que atravessen un mitjà insegur i per dins d’aquests “túnels” viatge informació que està assegurada per a que arribi al seu destí. I després de l’explicació, m’he imaginat un “Érase una vez la vida” però en seguretat informàtica.
Aquestes xarxes privades poden generar-se en capa 2 o 3 del model OSI (Open System Interconnection) de 7 capes per a descriure les xarxes. A més, poden funcionar en mode transport (on es protegeix la dada del paquet IP) o en mode túnel (on es protegeixen tots els paquets IP). En quant a estructures per la VPN tenim:
- L’accés remot
- LAN-to-LAN
- VPNs internes
Un altre tipus de xarxes virtuals són les Virtual LAN (VLAN) que tenen la característica que no es fan a capes superior sinó en capa 2, a nivell dels switchers. La cosa consisteix en segmentar la xarxa LAN per fer-ne petites xarxes virtuals dins la pròpia xarxa local. Com a característiques d’aquestes xarxes trobem:
- Es creen als switchers
- El protocol principal que utilitzen és el IEEE 802.Q1
- Existeixen diversos sistemes de creació
- D’assignació estàtica (basada en el port) o dinàmica (per software del switch)
Respecte al funcionament d’aquestes xarxes VLAN, s’utilitzen per tal de tenir un aïllament complet entre elles, com si estiguessin en xarxes diferents i que no es puguin ni veure entre sí, el que es diu “reduir el domini de broadcast“. És més efectiu perquè permet administrar millor els segments, separant-los.
A més, hem de tenir en compte el tipus de mitjà que estem utilitzant: les xarxes inalàmbriques per exemple (Wireless, sense fils i més lluny de la infraestructura física). A nivell de seguretat, primer hi va haver unes mesures de protecció que ocultaven el nom de la xarxa (SSID) o es protegia filtrant la informació física i determinant quins equips es podien connectar (Autenticació MAC de les plaques de xarxa). També es feien servir protocols WEP de 64 o 128 bits, un xifrat que permetia encriptar la informació viatgera.
Totes aquestes mesures, però, van ser vulnerades i es va tenir que crear un nou sistema de seguretat. Aquesta segona generació, inclou: Servidors d’autenticació (un tercer a qui se li passa la informació per a que digui si l’usuari pot autenticar-se o no amb la xarxa). També s’ha incorporat el protocol WPA, un xifrat superior al WEP per assegurar les comunicacions.
Actualment, les mesures es basen en protocols com el 802.1x (de capa 2 per autenticació de xarxes). TKIP permet generar claus temporals de xifrat, MIC permet les revisions d’integritat dels missatges i la WPA2 és la nova generació de protocol de xifrat que incorpora l’algoritme AES (Advanced Encrypted Standard), el més robust i que s’utilitza com a estàndard internacional. També es té en compte la limitació de la cobertura, és a dir, l’àrea física a la que arriben les xarxes inalàmbriques.
- Al connectar-se a Internet correm riscos ineludibles
- Les VPN permeten interconnectar dues xarxes segures a través d’un canal insegur
- Els Firewalls són dispositius de filtrat que defineixen el perímetre de seguretat
- Els IDS (Sistema de detecció d’intrusions) permeten la detecció i la reacció
- Els Honeypots són elements passius que dissuadeixen o investiguen
- S’han de protegir especialment les xarxes inalàmbriques perquè són part de la xarxa però no tenen ubicació física, amb el que són més fàcils de vulnerar.
I fins aquí, la segureta en xarxes. Segueix a 4. Seguretat Física