Introducció a la Seguretat de la Informació 3

2015-01-26

Si bé al primer mòdul es feia una introducció a la Seguretat de la Informació i al segon, es parlava de la seva gestió, en aquest tercer mòdul es parlarà de la seguretat a les xarxes, en sistemes remots o xarxes inalàmbriques. Veurem necessitats de connexió i les seves problemàtiques; Firewalls, Sistemes de detecció d’intrusos i Honeypots :)

Visibilitat i problemàtica

Les empreses, avui dia, depenen d’Internet: tenen pàgina web, es comuniquen per email, emmagatzemen dades massivament, necessiten servidors i estan connectades en xarxa. La presència a Internet, com a xarxes socials, és avui una necessitat de les empreses per apropar els seus serveis al màxim de públic possible. Potser tenen serveis propis i fan de proveïdors, o potser només es connecten per buscar informació.

D’altra banda, fem servei de molts dispositius que intercanvien o envien informació i que poden portar malware o correus spam…Total, que només pel fet d’estat connectats podem rebre atacs per totes bandes…I com és imprescindible el binomi usuari/empresa-Internet, ens hem d’aprendre a protegir també en xarxa.

Tot plegat, a més de a una empresa, també ho podem aplicar a qualsevol usuari. Els escenaris de la transmisió d’informació, doncs, poden ser correus electrònics, webs, blogs, fòrums, serveis de missatgeria instantània o xarxes socials. I els problemes inherents a aquesta transmissió d’informació es poden mostrar com a:

  • Potencials atacs externs
  • Dificultat de control del trànsit i activitats
  • Disponibilitat de serveis de connectivitat
  • Complexitat legal
  • Manca de controls globals

Hi ha personetes, però, que treballen per tal de regular millor la seguretat i gestió de la informació a Internet i, en pocs anys, tot apunta a que tindrem una regulació més estandaritzada i global, com passa amb tot, no?

Tot seguit, els elements de la seguretat en xarxes. Principalment es tocaran tres conceptes: Firewall, Sistema de detecció d’intrusos i Honeypot.

Firewall

El Firewall serveix per a filtrar paquets, definint un perímetre entre la xarxa interna i la xarxa externa. Per això va lligat amb les connexions del router, per tal de filtrar les connexions de la xarxa. Delimiten el perímetre de seguretat:

  • La xarxa interna (el nostre ordinador, hardware i software)
  • El router (ens connecta físicament; hardware)
  • El Firewall (filtratge paquets, software)
  • DMZ (DesMilitarized Zone, recursos accessibles des de l’exterior per a proveir serveis)

Principis de disseny del Firewall, per on han de passar tota la informació que entra i surt del nostre dispositiu:

  • Només el trànsit autoritzar hauria de poder atravessar-lo
  • No protegeix segons quins atacs (codi maliciós o malware, amenaces internes, etc.)
  • Diferents polítiques (restrictiva “tot el que no ha estat expressament permés, està prohibit“; permissiva “tot el que no ha estat expressament prohibit, està permès“).

I després la filosofia són lletres, no? Magnífic exercici de lògica aristotèlica, Federico!

Detecció d’intrusos i honeypots

Sistemes de detecció d’intrusos (IDS), un sistema de monitoreig que detecta comportaments intrussius, amb el que haurem d’establir els paràmetres perquè la màquina sàpiga distingir i actuar quan un compartament és o no intrussiu. D’altra banda, un cop detectada la intrussió, també hem de definir quines polítiques d’actuació executar (bloquejar connexions i accions, generar alertes, enviar missatges al mòbil, emmagatzemar l’evidència, etc.)

Com evolució dels IDS apareixen els IPS, sistemes de detecció d’intrussos preventius, és a dir, que operen des de la base, des de la detecció i la prevenció. Entenc que és com una mena de patrulla veïnal, que passejen cada dia per anar detectant anomalies al veïnat i prevenir incidències majors…Els IDS els podem classificar en funció d’on s’obtenen les dades: Network-based (NIDS) o Host-based (HIDS) o de com realitzen la detecció de la intrussió:

  • Knowledge-based (Signature-based o detecció de patrons estrictes, com una firma antivirus que determina què és malware o codi maliciós)
  • Behavior-based (Statistical anomaly-based o detecció per comportament, basada en comprendre què és normal a la xarxa i detecta allò que no és normal. Si en un xarxa mai es connecta algú a les 3 del matí, si un dia algú s’hi connecta, la màquina ho prendrà com alguna cosa estranya, a tenir en compte i prendre com a una intrussió.
  • Protocol Anomaly Based (un paquet mal format)

El Honeypot és un element que es posa per a ser atacat. Simula ser un sistema real (sistema, xarxa, aplicació, etc.). L’objectiu d’aquestes dolces trampes és dissuadir o investigar, veient com l’usuari trenca el sistema…

Sistemes remots i xarxes wi-fi

Més enllà dels elements de la seguretat en xarxes, tindrem la necessitat de connectar el nostre sistema (empresa /usuari) a altres xarxes o a sistemes remots. Tenim, doncs, diferents tipus de connexió per a sistemes remots:

  • VNC (Virtual Network Computing): tecnologia client/servidor basada en l’enviament de pixels. Per defecte, no és massa segura.
  • SSH (Secure SHell): protocol de control remot per a sistemes GNU/Linux (que en Federico s’ha deixat el GNU i l’Stallman s’enfadarà!). L’estàndard oficial es descriu al RFC 4253.
  • Terminal Server: aquesta tecnologia de Microsoft està inclosa a tots els seus sistemes operatius. Està basada en el protocol RDP i pot utilitzar TLS.
  • Citrix: permet l’ús d’aplicacions o serveis remots.

La VPN (Virtual Private Network) és l’extensió d’una xarxa local a través d’una xarxa pública i atravessant un mitjà insegur que és “El Núvol d’Internet”.

Les VPN es basen en un protocol de comunicació, en un servei de xifrat i l’encapsulament i tunelització, és a dir, generar un protocol que em permeti afegir altres paquets dins de si mateix. D’aquesta manera obrim “túnels” que atravessen un mitjà insegur i per dins d’aquests “túnels” viatge informació que està assegurada per a que arribi al seu destí. I després de l’explicació, m’he imaginat un “Érase una vez la vida” però en seguretat informàtica.

Aquestes xarxes privades poden generar-se en capa 2 o 3 del model OSI (Open System Interconnection) de 7 capes per a descriure les xarxes. A més, poden funcionar en mode transport (on es protegeix la dada del paquet IP) o en mode túnel (on es protegeixen tots els paquets IP). En quant a estructures per la VPN tenim:

  • L’accés remot
  • LAN-to-LAN
  • VPNs internes

Un altre tipus de xarxes virtuals són les Virtual LAN (VLAN) que tenen la característica que no es fan a capes superior sinó en capa 2, a nivell dels switchers. La cosa consisteix en segmentar la xarxa LAN per fer-ne petites xarxes virtuals dins la pròpia xarxa local. Com a característiques d’aquestes xarxes trobem:

  • Es creen als switchers
  • El protocol principal que utilitzen és el IEEE 802.Q1
  • Existeixen diversos sistemes de creació
  • D’assignació estàtica (basada en el port) o dinàmica (per software del switch)

Respecte al funcionament d’aquestes xarxes VLAN, s’utilitzen per tal de tenir un aïllament complet entre elles, com si estiguessin en xarxes diferents i que no es puguin ni veure entre sí, el que es diu “reduir el domini de broadcast“. És més efectiu perquè permet administrar millor els segments, separant-los.

A més, hem de tenir en compte el tipus de mitjà que estem utilitzant: les xarxes inalàmbriques per exemple (Wireless, sense fils i més lluny de la infraestructura física). A nivell de seguretat, primer hi va haver unes mesures de protecció que ocultaven el nom de la xarxa (SSID) o es protegia filtrant la informació física i determinant quins equips es podien connectar (Autenticació MAC de les plaques de xarxa). També es feien servir protocols WEP de 64 o 128 bits, un xifrat que permetia encriptar la informació viatgera.

Totes aquestes mesures, però, van ser vulnerades i es va tenir que crear un nou sistema de seguretat. Aquesta segona generació, inclou: Servidors d’autenticació (un tercer a qui se li passa la informació per a que digui si l’usuari pot autenticar-se o no amb la xarxa). També s’ha incorporat el protocol WPA, un xifrat superior al WEP per assegurar les comunicacions.

Actualment, les mesures es basen en protocols com el 802.1x (de capa 2 per autenticació de xarxes). TKIP permet generar claus temporals de xifrat, MIC permet les revisions d’integritat dels missatges i la WPA2 és la nova generació de protocol de xifrat que incorpora l’algoritme AES (Advanced Encrypted Standard), el més robust i que s’utilitza com a estàndard internacional. També es té en compte la limitació de la cobertura, és a dir, l’àrea física a la que arriben les xarxes inalàmbriques.

Conclusions

  • Al connectar-se a Internet correm riscos ineludibles
  • Les VPN permeten interconnectar dues xarxes segures a través d’un canal insegur
  • Els Firewalls són dispositius de filtrat que defineixen el perímetre de seguretat
  • Els IDS (Sistema de detecció d’intrusions) permeten la detecció i la reacció
  • Els Honeypots són elements passius que dissuadeixen o investiguen
  • S’han de protegir especialment les xarxes inalàmbriques perquè són part de la xarxa però no tenen ubicació física, amb el que són més fàcils de vulnerar.

Part 4 Seguretat física