8.9 KiB
Bloque 4 Tema 9. Seguridad y protección en redes de comunicaciones. Seguridad perimetral. Acceso remoto seguro a redes. Redes privadas virtuales VPN. Seguridad en el puesto del usuario.
Este tema estudia las medidas de seguridad para proteger las redes de comunicaciones, la seguridad perimetral, el acceso remoto seguro y la protección del puesto del usuario.
1. Fundamentos de seguridad en redes
La seguridad en redes es el conjunto de medidas técnicas y organizativas que protegen la integridad, confidencialidad y disponibilidad de la información en tránsito.
Las principales amenazas en redes son las siguientes. El sniffing o escucha consiste en capturar el tráfico de red con herramientas de análisis de paquetes. El spoofing es la suplantación de identidad mediante IP spoofing, ARP spoofing o DNS spoofing. El ataque de hombre en el medio o MitM consiste en interponerse entre dos comunicantes para capturar o alterar datos. Los ataques de denegación de servicio DoS y DDoS saturan un servicio para hacerlo inaccesible. El escaneo de puertos explora los puertos abiertos de un sistema para buscar vulnerabilidades. Los ataques de inyección SQL y XSS explotan vulnerabilidades en aplicaciones web.
Los principios básicos del diseño seguro de redes son la defensa en profundidad, que usa múltiples capas de seguridad; el mínimo privilegio, que limita el acceso de cada sistema y usuario; la segmentación, que divide la red en zonas con distintos niveles de confianza; y Zero Trust, que no considera de confianza a ningún usuario ni dispositivo por defecto, aunque esté dentro de la red.
2. Seguridad perimetral
La seguridad perimetral es el conjunto de técnicas y dispositivos que protegen la red interna de amenazas externas, controlando el tráfico que entra y sale.
El firewall o cortafuegos filtra el tráfico de red basándose en reglas de IP, puerto y protocolo. Las reglas se procesan en orden y la política por defecto debe ser denegar todo lo no permitido explícitamente, lo que se conoce como default deny. Los tipos de firewall son el filtrado de paquetes en capas 3 y 4, la inspección con estado o stateful inspection, el proxy de nivel de aplicación y el firewall de nueva generación o NGFW que incorpora inspección profunda de paquetes y control por aplicación.
La DMZ o Zona Desmilitarizada es una subred intermedia, separada tanto de la red interna como de Internet, donde se ubican los servidores que deben ser accesibles desde el exterior, como los servidores web, de correo y DNS públicos. Si uno de esos servidores es comprometido, el atacante no tiene acceso directo a la red interna.
El proxy es un intermediario entre los clientes internos e Internet. El proxy directo o forward proxy permite a los clientes internos acceder a Internet a través de él; sus funciones son el filtrado de contenidos, la caché, la autenticación de usuarios y el registro de navegación. El proxy inverso o reverse proxy recibe solicitudes de Internet y las redirige a servidores internos.
El WAF o Web Application Firewall protege aplicaciones web frente a ataques de capa de aplicación como SQL Injection, XSS y CSRF. Analiza tráfico HTTP y HTTPS y puede operar en modo de solo detección o en modo de prevención bloqueando el tráfico malicioso.
Los sistemas IDS e IPS monitorizan la red en busca de amenazas. El IDS o Intrusion Detection System opera de forma pasiva recibiendo una copia del tráfico y solo alerta. El IPS o Intrusion Prevention System opera de forma activa en línea y detecta y bloquea el tráfico malicioso en tiempo real. Los sistemas HIDS monitorizan el host y los NIDS monitorizan la red. Las técnicas de detección son la basada en firmas, que compara con patrones de ataques conocidos, y la basada en anomalías, que detecta desviaciones del comportamiento normal.
El SIEM o Security Information and Event Management agrega, correlaciona y analiza eventos de seguridad de múltiples fuentes como firewalls, IDS, servidores y aplicaciones. Proporciona alertas en tiempo real y es fundamental para el cumplimiento normativo. Los ejemplos más conocidos son Splunk, IBM QRadar, Microsoft Sentinel y Wazuh.
3. Acceso remoto seguro
El teletrabajo y la administración remota de sistemas requieren acceder a la red corporativa desde redes no controladas. Sin medidas de seguridad, las comunicaciones quedan expuestas.
SSH o Secure Shell proporciona acceso remoto seguro a la línea de comandos de servidores Linux. Usa el puerto TCP 22. La autenticación puede ser mediante contraseña o mediante par de claves, siendo esta última la opción más segura. SSH también permite la copia segura de ficheros mediante SCP y SFTP, y el reenvío de puertos o port forwarding para crear túneles cifrados.
Las SSL VPN o TLS VPN son VPN que funcionan sobre HTTPS en el puerto 443. Solo requieren un navegador o cliente ligero. Son muy flexibles y funcionan a través de firewalls y NAT. Ejemplos son OpenVPN y Cisco AnyConnect.
4. Redes Privadas Virtuales VPN
Una VPN o Virtual Private Network crea un túnel cifrado a través de una red pública como Internet que conecta dos puntos como si estuvieran en la misma red privada. Proporciona confidencialidad, ya que el tráfico viaja cifrado; autenticidad, ya que se verifica la identidad de los extremos; e integridad, ya que los datos no son alterados en tránsito.
Los tipos de VPN son tres. La VPN de acceso remoto o cliente a sitio conecta un usuario teletrabajador con la red corporativa. La VPN de sitio a sitio conecta dos redes corporativas de forma permanente, como la sede central con una sucursal. La VPN de cliente a cliente conecta dos usuarios individuales.
Los protocolos VPN más importantes son los siguientes.
IPsec es el estándar para asegurar comunicaciones IP, operando en la capa de red. Tiene dos modos: el modo transporte, que solo cifra el payload del paquete IP; y el modo túnel, que cifra el paquete IP completo y añade una nueva cabecera, siendo el más seguro para VPN. IPsec usa dos protocolos: AH o Authentication Header, que proporciona autenticación e integridad sin cifrado; y ESP o Encapsulating Security Payload, que proporciona autenticación, integridad y cifrado. IKEv2 es el protocolo de negociación de claves para IPsec.
OpenVPN es un software de código abierto basado en TLS. Usa el puerto 1194 UDP, aunque puede usar el 443 TCP para evitar bloqueos. Es muy flexible y ampliamente auditado. Usa certificados X.509 para la autenticación.
WireGuard es un protocolo moderno introducido en 2020, con código muy reducido de unas 4.000 líneas frente a las más de 100.000 de IPsec. Es extremadamente rápido y sencillo, usa criptografía moderna basada en ChaCha20 y Curve25519, y opera en el puerto UDP 51820. Está integrado en el kernel Linux desde la versión 5.6.
L2TP combinado con IPsec crea el túnel en capa 2 mediante L2TP y usa IPsec para el cifrado. Es común en sistemas operativos sin necesidad de cliente adicional.
PPTP es un protocolo antiguo de Microsoft que está obsoleto e inseguro y no debe usarse.
Los componentes de una VPN incluyen el concentrador VPN o VPN Gateway que acepta las conexiones entrantes, el software cliente VPN en el puesto del usuario, y los certificados o claves precompartidas para la autenticación. En el split tunneling solo el tráfico corporativo pasa por la VPN y el resto va directamente a Internet. En el full tunneling todo el tráfico pasa por la VPN.
5. Seguridad en el puesto del usuario
El puesto de usuario o endpoint es el punto de entrada más habitual de los atacantes, mediante correos maliciosos, USB infectados o navegación web comprometida.
Las medidas de seguridad en el puesto del usuario incluyen las siguientes. El antivirus y EDR o Endpoint Detection and Response detecta, bloquea y elimina código malicioso mediante firmas, heurística y análisis de comportamiento. Las actualizaciones y parches del sistema operativo y las aplicaciones corrigen vulnerabilidades conocidas. El cifrado de disco completo mediante BitLocker en Windows o LUKS en Linux protege los datos si el equipo es robado. Las políticas de contraseñas seguras y la autenticación multifactor reducen el riesgo de acceso no autorizado. El DLP o Data Loss Prevention impide la exfiltración de datos sensibles mediante correo, USB u otros canales. El firewall personal en el propio equipo filtra el tráfico entrante y saliente. La formación y concienciación de los usuarios es fundamental porque el eslabón más débil de la seguridad es el humano.
Miniresumen final del tema
La seguridad perimetral protege la red interna mediante firewalls, DMZ, proxies, WAF e IDS/IPS. SSH proporciona acceso remoto seguro a servidores. Las VPN crean túneles cifrados sobre Internet, con protocolos como IPsec, OpenVPN y WireGuard. El SIEM centraliza la gestión de eventos de seguridad. La seguridad en el puesto del usuario incluye antivirus, actualizaciones, cifrado de disco y formación a los usuarios.