Archivo de la categoría: Defensas

Secruizando WiFi

Micropíldora 2 – Protege la red Wi-Fi de tu casa

2 respuestas
Fuente imagen: Kaspersky

Fuente imagen: Kaspersky

En esta micropíldora podréis encontrar algunos consejos para fortificar la red Wi-Fi que la mayoría tenemos en casa. Se trata de una lista de consejos básicos para usuarios no profesionales que buscan tener una red más segura pero sin entrar en modo paranóico. Así pues aquí tenéis un listado básico de pequeños cambios que protegerán vuestra red Wi-Fi para que sea más complicada que la del vecino porque en seguridad casera no hace falta correr más que el león sino ser más rápido que otra víctima.

Cámbiale la contraseña

Existen múltiples herramientas públicas para calcular la contraseña por defecto que traen los routers de las principales operadoras por lo que la primera medida de seguridad será cambiar la contraseña de acceso.

Cámbiale el nombre o directamente ocultalo

Todos los routers Wi-Fi de las operadoras incluyen nombre estandarizado (WLAN_0ce, VODAFONE_A345, etc.). Las operadoras incluyen una contraseña por defecto que se calcula en usando este SSID. Como ya hay diversas aplicaciones de móviles que calculan la contraseña por defecto en base al SSID el mero hecho de cambiar el nombre de la red (SSID – Service Set IDentifier) ya es una medida de seguridad a aplicar, aunque como hemos comentado en el primer punto debes cambiarla.

Otra medida de seguridad que evitará los intentos de conexión automatizados es ocultar el SSID. Así la red no se anuncia públicamente y tan sólo se podrán conectar aquellos equipos que conozcan el nombre de la red y su contraseña de acceso. Hay que tener en cuenta que podemos tener equipos que tengan dificultades para conectarse a redes Wi-Fi ocultas: los primeros iPhone no mantenían la conexión en redes ocultas.

Método de cifrado

Aunque muchos routers Wi-Fi incorporan protocolos antiguos por temas de compatibilidad con equipamiento antiguo debemos evitar el uso de éstos ya que sus características en el plano de seguridad están totalmente sobrepasadas. Así debemos elegir el protocolo de cifrado de más seguro compatible con nuestros equipos, a ser posible WPA2.

Fuente imagen:Taringa.net

Fuente imagen:Taringa.net

Controla la potencia de emisión

La calidad de la señal, y con ella la velocidad de transmisión, requiere de una cierta potencia de emisión por parte del router por lo que generalmente se suele configurar dicho equipo para que emita con la máxima potencia posible para tener la mayor zona de cobertura posible. El problema de esta estrategia es que parte de la potencia sale al exterior de nuestra vivienda y permite que cualquier persona cerca (vecinos, gente en la calle, etc.) se pueda conectar a nuestra red. Por ello es inteligente reducir la potencia de emisión a aquella que permita una buena conexión dentro de nuestra casa. Si tenemos zonas de casa con poca cobertura es preferible utilizar extensores de red, ya sea usando repetidores Wi-Fi o equipos PLC, para focalizar la red en aquellas zonas donde nos interesa.

Securización por MAC

Éste quizás sea el punto más controvertido de este artículo. En la mayoría de guías de bastionado de redes Wi-Fi indican que es importante activar la opción de securización por dirección MAC: así nos aseguramos que únicamente los equipos que nosotros demos de alta podrán conectarse aún conociendo la contraseña de acceso. Esto es totalmente cierto y altamente recomendable si tenemos una red muy estable (redes Wi-Fi domésticas) pero se convierte en inviable en el momento que queramos dar un servicio ágil a usuarios temporales (redes en un piso compartido, etc.). Si bien existen técnicas para falsear las direcciones MAC con las que saltarse este punto de seguridad ya estaríamos ante un ataque demasiado profesional para lo que afecta a esta entrada. La securización por MAC es útil si es viable tener controlados e identificados los equipos que se van a conectar a la red (teléfonos móviles, portátiles, televisiones, etc.).

Desactiva WPS

El sistema WPS (Wifi Protected Setup) se creó para facilitar la conexión de equipos en redes Wi-Fi de tal manera que los nuevos dispositivos se autoconfiguraban de forma fácil, sencilla y muy cómoda para el usuario final. El problema es que este sistema de autoconfiguración ha permitido que un usuario malicioso también pueda conectarse de forma sencilla a la red, así pues si no lo necesitas desactívalo. Siempre puedes activarlo cuando quieras conectar esa nueva televisión Wifi 4K.

IPS e IDS

6 respuestas

Los sistemas de detección de intrusos (IDS, Intrusion Detection System) y los sistemas de protección de intrusos (IPS, Intrsion Prevention System) son una evolución de los sistemas de defensa basados en firewall. Estos sistemas ya no se basan únicamente en las comunicaciones basadas en direcciones IP y puertos sino que revisa el tráfico de red o el comportamiento de los equipos para detectar actividad maliciosa.

Esquema de un IPS

Esquema de un IPS
Fuente imagen: BringCom

La principal característica que diferencia ambos sistemas es el comportamiento una vez detectado un posible comportamiento malicioso: los sistemas de detección, IDS, avisan a los administradores para que pueda analizar y actuar en consecuencia mientras que los de protección, IPS, aplican una serie de políticas que intentan detener las actividades maliciosas. Ambos sistemas pueden utilizarse en las mismas redes y utilizan las mismas técnicas si bien es el matiz de su actuación una vez detectada una amenaza el que los diferencia.

IPS e IDS por objetivo de monitorización

Estos sistemas pueden clasificarse en función del sistema que analizan en cuatro categorías:

  • Los sistemas basados en red (NIPS, Network IPS) analizan el tráfico de una red en busca de intenciones maliciosas.
  • Los sistemas de detección en redes inalámbricas (WIPS, Wireless IPS) realizan la misma función en redes Wi-Fi.
  • Los sistemas basados en servidores (HIPS, Host IPS) monitorizan el comportamiento del propio servidor (uso de memoria, disco duro, conexiones, etc.) para detectar posible software malintencionado.

Sistemas IPS e IDS por sistema de detección

Existen diferentes formas de intentar distinguir un comportamiento anómalo o malicioso por lo que los diferentes desarrolladores de sistemas IDS han abordado el problema de diferentes formas. Aunque las soluciones que podemos encontrar en el mercado suelen incluir varias de estas formas de trabajo, tradicionalmente se han categorizado de la forma siguiente:

  • Detección basada en firmas: Este sistema intenta localizar una cadena de información, previamente conocida, en una comunicación. Así el sistema analiza el tráfico http en busca de cadenas de peticiones que induzcan a un posible ataque de SQL Injection. La principal ventaja de esta estrategia es su alta eficiencia para detectar ataques ya conocidos pero, como contrapartida, es prácticamente inútil para detectar ataques aún no conocidos por el sistema.
  • Detección basada en políticas: Este sistema requiere definir de forma concienzuda el tipo de comunicación (y no sólo puertos y protocolo) entre los servidores o diferentes redes. Se trata de sistemas muy efectivos pero que requieren de un configuración detallada.
  • Detección basada en anomalías: Estos sistemas buscan detectar comportamientos anormales en nuestros sistemas. La principal dificultad es definir qué es normal y qué no. Actualmente se utilizan dos formas para intentar registrar cambios maliciosos:
    • Detección estadística de anormalidades: Los sistemas analizan el comportamiento de nuestra red o servidores durante un tiempo determinado. Con esta información generan un patrón. Cuando el comportamiento difiere demasiado del patrón normal previamente calculado salta las alarmas y generan los avisos o actuaciones pertinentes.
    • Detección no estadística de anormalidades: En estos equipos es un administrador quien define los patrones de comportamiento normal por lo que pueden ser muy granulares y específicos si bien es muy posible que con el tiempo se generen falsos positivos.

Tipos de firewall

3 respuestas

La definición de cortafuegos, aunque el anglicismo firewall sea más usado, sería todo aquel sistema diseñado para bloquear los accesos no autorizados en una red mientras se mantienen operativas las comunicaciones autorizadas. Veamos algunas categorizaciones utilizadas y su significado, si bien estas categorías no son excluyentes entre sí y podemos encontrar sistemas híbridos.

Firewall hardware o software

Esta quizás sea la distinción más obsoleta de las que veremos ya que hoy en día ha dejado de tener el sentido inicial. Hace años se denominaban firewall hardware cuando el sistema completo estaba implementado por el mismo fabricante: los usuarios simplemente conectaban un equipo a su red y lo gestionaban según las instrucciones del fabricante. Por el contrario los firewall software eran programas que se instalaban en un equipo del usuario y funcionaban como cualquier otra aplicación sobre ese servidor.

Actualmente los fabricantes y desarrolladores pueden vender tanto sistemas cerrados completos como sólo software, pero siempre habrá un programa corriendo el servicio de firewall analizando y bloqueando tráfico. El que este programa esté en una caja cerrada por el fabricante o funcione sobre un sistema operativo propiedad del usuario es irrelevante.

Firewall perimetrales o de núcleo

En este caso la distinción no es tanto de cómo es el firewall sino de qué función está realizando. Los cortafuegos perimetrales son los responsables de gestionar las conexiones entrantes y salientes de una red (típicamente la conexión a Internet de una empresa) mientras que los de núcleo realizan un trabajo de control de las conexiones dentro de una misma red corporativa (accesos a redes DMZ, separación entre red cableada y Wifi, etc.).

La funcionalidad es la misma: proteger la conexión entre diferentes redes. El hecho de que una red sea interna o externa a la empresa es una distinción funcional pero no afecta al trabajo del firewall.

Firewall de red o de aplicación

Esta categorización sí tiene implicaciones importantes en el funcionamiento del cortafuegos y es uno de los puntos a tener en cuenta.

Los firewall de red únicamente trabajan con información de direcciones IP y puertos. El usuario configura qué comunicaciones quiere permitir de tal forma que indica las direcciones IP y puertos tanto del origen del tráfico como del receptor. Aplicando estas políticas permitirá o no la comunicación.

Los cortafuegos de aplicación son equipos más avanzados, necesitan más potencia de cálculo que los de red, que lo que evalúan es que la comunicación se establezca, y mantenga, según el protocolo estándar.

Podemos ejemplarizar el diferente funcionamiento si pensamos que un firewall de red (los más comunes) se permiten todas las conexiones de cualquier usuario de Internet al puerto 80 de nuestro servidor web (así puedes ver está página) mientras que un cortafuegos de aplicación revisará el tráfico y confirmará que realmente se esté siguiendo el protocolo http y en caso contrario bloqueará la comunicación.

Los firewall de aplicación tienen una gran parte de coincidencia con los sistemas de detección e protección de intrusos (IDS, IPS) si bien no es exactamente lo mismo.

Lista blanca o lista negra

Más que al tipo de firewall aquí se indica la política de accesos que se ha configurado. Las listas blancas facilitan el control de accesos si sabemos las conexiones que queremos permitir mientras que las de listas blancas son preferibles cuando no podemos saber el origen de todas las comunicaciones y sólo queremos bloquear el acceso a partes específicas.

Un ejemplo de lista blanca en la vida real sería una fiesta privada donde el personal de seguridad (que haría de cortafuegos) sólo deja pasar a las personas que están en su lista de invitados y a nadie más. En el lado opuesto tenemos los casinos donde se permite el paso a cualquier persona mayor edad y sólo se deniega a aquellos que están el Registro de personas con acceso prohibido a los salones de juego (este registro sería nuestra lista negra).