Artículos

Seguridad de la red local

Es extremadamente importante comprender que la seguridad no es un producto que se puede comprar. en una tienda y tenga confianza en su propia seguridad.

La “seguridad” es una combinación especial de medidas técnicas y administrativas.

Las medidas administrativas también incluyen no solo documentos, recomendaciones e instrucciones. , pero y personas.

Es imposible considerar su red «segura» si no confía en las personas que trabajan con ella.

La seguridad perfecta es un mito inalcanzable que solo puede En el mejor de los casos, sólo unos pocos profesionales pueden lograrlo.

Hay un factor que no se puede superar en el camino hacia la seguridad ideal: la persona.

Parte 1. Objetivos básicos de la seguridad de la red

Los objetivos de la seguridad de la red pueden variar dependiendo de la situación, pero normalmente hay tres objetivos principales:

  • Integridad de los datos.
  • Confidencialidad de los datos.
  • Disponibilidad de los datos.
  • Veamos cada uno de ellos con más detalle.

Integridad de los datos

Uno de los principales objetivos de la seguridad de la red es garantizar que los datos no sean alterados, manipulados ni destruidos. La integridad de los datos debe garantizar su seguridad tanto en caso de acciones maliciosas como de accidentes. Garantizar la integridad de los datos suele ser uno de los desafíos de seguridad de la red más desafiantes.

Confidencialidad de los datos

El segundo objetivo principal de la seguridad de la red es garantizar la confidencialidad de los datos. No todos los datos pueden clasificarse como información confidencial.

Existe una cantidad bastante grande de información que debería estar disponible para todos.

Pero incluso en este caso, garantizar la integridad de los datos, especialmente los datos públicos, es la tarea principal.

La información confidencial incluye los siguientes datos:

  • Información personal de los usuarios.
  • Cuentas (nombres y contraseñas).
  • Datos de tarjetas de crédito.
  • Datos de desarrollo y documentos internos varios.
  • Información contable.

Disponibilidad de datos

El tercer objetivo de la seguridad de los datos es la disponibilidad de los datos. No tiene sentido hablar de seguridad de datos si el usuario no puede trabajar con ellos porque no son accesibles.

Aquí hay una lista aproximada de recursos que normalmente deberían estar “disponibles” en una red local. :

  • Impresoras.
  • Servidores.
  • Estaciones de trabajo.
  • Datos de usuario.
  • Cualquier dato crítico necesario para el trabajo.
  • Veamos las amenazas y obstáculos que se interponen en el camino de la seguridad de la red. Todas ellas se pueden dividir en dos grandes grupos: amenazas técnicas y el factor humano.

Amenazas técnicas:

  • Errores en software .
  • Varios ataques DoS y DDoS.
  • Virus informáticos, gusanos, caballos de Troya.
  • Analizadores de protocolos y programas de escucha (“sniffers”)

    • li>

  • Medios técnicos para recuperar información.

Errores en el software

El cuello de botella de cualquier red.

El software de servidores, estaciones de trabajo, enrutadores, etc. está escrito por personas, por lo que casi siempre contiene errores.

Cuanto mayor sea la complejidad de dicho software, mayor será la probabilidad de descubrir errores y vulnerabilidades en él. .

La mayoría de ellos no representan ningún peligro, pero algunos pueden tener consecuencias trágicas, como que un atacante obtenga el control del servidor, inoperabilidad del servidor, uso no autorizado de recursos (almacenar datos innecesarios en el servidor, usarlo como trampolín para un ataque). , etc.).

La mayoría de estas vulnerabilidades se solucionan mediante paquetes de actualización que publica periódicamente el fabricante del software. La instalación oportuna de dichas actualizaciones es una condición necesaria para la seguridad de la red.

Ataques DoS y DDoS

La denegación de servicio (denegación de servicio) es un tipo especial de ataque cuyo objetivo era dejar fuera de funcionamiento una red o un servidor.

Los ataques DoS pueden utilizar errores en el software u operaciones legítimas, pero a gran escala (por ejemplo, enviando una gran cantidad de correo electrónico).

El nuevo tipo de ataques DDoS (Denegación de Servicio Distribuido) difiere del anterior en presencia de una gran cantidad de computadoras ubicadas en un área geográfica grande.

Tales ataques simplemente sobrecargan el canal con tráfico e interfieren con el paso, y a menudo bloquean completamente la transmisión de información útil a través de él. .

Esto es especialmente cierto para las empresas que se dedican a cualquier negocio en línea, por ejemplo, el comercio a través de Internet.

 

Virus informáticos, caballos de Troya

Los virus son una antigua categoría de peligros que últimamente rara vez se encuentran en su forma pura.

Debido al uso activo de las tecnologías de red para la transmisión de datos, los virus se están integrando cada vez más estrechamente. con troyanos y gusanos de red.

Actualmente, un virus informático utiliza vulnerabilidades del correo electrónico o del software para propagarse. Y a menudo ambas cosas.

Ahora, en lugar de funciones destructivas, han pasado a primer plano funciones de control remoto, robo de información y uso de un sistema infectado como trampolín para una mayor propagación.

La máquina cada vez más infectada se convierte en un participante activo en los ataques DDoS. Existen bastantes métodos de lucha, uno de ellos es la misma instalación oportuna de actualizaciones.

Analizadores de protocolos y “sniffers”

Este grupo incluye herramientas para interceptar datos transmitidos a través de una red. Estas herramientas pueden ser hardware o software.

Por lo general, los datos se transmiten a través de la red en texto claro, lo que permite que un atacante dentro de la red local los intercepte. Algunos protocolos de red (POPS, FTP) no utilizan cifrado de contraseñas, lo que permite a un atacante interceptarlas y utilizarlas él mismo.

Cuando se transmiten datos a través de redes globales, este problema se agudiza. Si es posible, debe limitar el acceso a la red a usuarios no autorizados y personas aleatorias.

Medios técnicos para recuperar información

Esto incluye herramientas como errores de teclado , varias minicámaras, dispositivos de grabación de sonido, etc.

Este grupo se utiliza en la vida cotidiana con mucha menos frecuencia que los enumerados anteriormente, ya que, además de la presencia de equipos especiales, requiere acceso a la red y sus componentes.

Factor humano:

  • Empleados despedidos o insatisfechos.
  • Espionaje industrial.
  • Negligencia.
  • Baja cualificación .

Empleados despedidos e insatisfechos

Este grupo de personas es el más peligroso, ya que muchos de los empleados que trabajan pueden tener acceso autorizado a información confidencial. Un grupo especial lo forman los administradores de sistemas, que muchas veces están descontentos con su situación financiera o no están de acuerdo con su despido; dejan “puertas traseras” para la posibilidad posterior de uso malicioso de recursos, robo de información confidencial, etc.

Espionaje industrial

Esta es la categoría más difícil. Si alguien está interesado en sus datos, ese alguien encontrará formas de obtenerlos. Hackear una red bien protegida no es la opción más sencilla. Es muy posible que la señora de la limpieza “tía Glasha”, lavando debajo de la mesa y maldiciendo una incomprensible caja con cables, resulte ser una hacker de muy alto nivel.

Negligencia

La categoría más amplia de abusos: desde actualizaciones no instaladas a tiempo, configuraciones predeterminadas no cambiadas hasta módems no autorizados para acceder a Internet, lo que da como resultado que los atacantes obtengan acceso abierto a una red bien protegida. red.

Baja cualificación

A menudo, las bajas calificaciones no permiten que el usuario comprenda a qué se enfrenta; Debido a esto, incluso los buenos programas de seguridad se convierten en una verdadera molestia para el administrador del sistema, que se ve obligado a depender únicamente de la protección perimetral.

La mayoría de los usuarios no comprenden la amenaza real que supone ejecutar archivos ejecutables y scripts y Creemos que los archivos ejecutables son sólo archivos con la extensión «exe».

Las bajas calificaciones tampoco nos permiten determinar qué información es verdaderamente confidencial y cuál puede divulgarse.

En las grandes empresas, a menudo es posible llamar a un usuario y, haciéndose pasar por administrador, pedirle las credenciales de inicio de sesión en la red. Sólo hay una salida: formar a los usuarios, crear los documentos adecuados y mejorar sus habilidades.

Parte 2. Métodos de protección

Según las estadísticas de pérdidas que Las organizaciones sufren diversos delitos informáticos, la mayor parte corresponde a las pérdidas derivadas de delitos cometidos por sus propios empleados sin escrúpulos.

Sin embargo, recientemente ha habido una clara tendencia hacia el aumento de las pérdidas por parte de atacantes externos. En cualquier caso, es necesario brindar protección tanto contra personal desleal como contra piratas informáticos capaces de infiltrarse en su red. Sólo un enfoque integrado para proteger la información puede inspirar confianza en su seguridad.

Sin embargo, debido al alcance limitado de este artículo, consideraremos solo los principales métodos técnicos para proteger las redes y la información que circula a través de ellas, a saber , algoritmos criptográficos y su aplicación en este ámbito.

Proteger los datos de amenazas internas

Para proteger la información que circula en una red local, puede utilizar los siguientes métodos criptográficos:

  • cifrado de información;
  • firma digital electrónica (EDS).

Cifrado

El cifrado de la información ayuda a proteger su confidencialidad, es decir. asegura la imposibilidad de acceso no autorizado al mismo.

El cifrado es el proceso de convertir información abierta en información privada cifrada (llamada “cifrado”) y viceversa (“descifrado”).

Esta transformación se realiza utilizando estrictos algoritmos matemáticos; Además de los datos en sí, un elemento adicional, la «clave», también participa en la transformación.

GOST 28147-89 da la siguiente definición de clave: «Un estado secreto específico de algunos parámetros de un algoritmo de transformación criptográfica, que garantiza la selección de una transformación de un conjunto de posibles para un algoritmo de transformación determinado.»

En otras palabras, una clave es un elemento único que permite cifrar información de modo que solo un determinado usuario o grupo de usuarios pueda obtener información abierta a partir de información cifrada.

El cifrado puede ser expresado por las siguientes fórmulas:

C=Ek1 (M) — cifrado,

M’=Dk2(C) — descifrado.

La función E realiza el cifrado de información, la función D realiza el descifrado. Si la clave k2 corresponde a la clave k1 utilizada durante el cifrado, es posible obtener información abierta, es decir. conseguir el cumplimiento de M’ = M.

En ausencia de la clave k2 correcta, es casi imposible obtener el mensaje original.

Por el tipo de correspondencia entre las claves k1 y k2 , los algoritmos de cifrado se dividen en dos categorías:

1)Cifrado simétrico: k1 = k2. Se utiliza la misma clave para cifrar y descifrar información. Esto significa que los usuarios que intercambian información cifrada deben tener la misma clave. Una opción más segura es que existe una clave de cifrado única para cada par de usuarios que los demás desconocen. La clave de cifrado simétrica debe mantenerse en secreto: su vulneración (pérdida o robo) implicará la divulgación de toda la información cifrada con esta clave.

2)Cifrado asimétrico. La clave k1- en este caso se llama «pública» y la clave k2 se llama «secreta». La clave pública se calcula a partir de la clave secreta de varias maneras (dependiendo del algoritmo de cifrado específico).

El cálculo inverso de k2 a partir de k1 es casi imposible.

El significado del cifrado asimétrico es que su propietario mantiene en secreto la clave k2 y nadie debe conocerla; la clave k1, por el contrario, se distribuye a todos los usuarios que deseen enviar mensajes cifrados al propietario de la clave k2; cualquiera de ellos puede cifrar información en la clave k1, pero sólo el propietario de la clave secreta k2 puede descifrarla.

Ambas claves: la clave simétrica y la clave secreta de cifrado asimétrico deben ser absolutamente aleatorias; de lo contrario en teoría, un atacante tiene la capacidad de predecir el valor de una clave específica.

Por lo tanto, los sensores de números aleatorios (RNS) se suelen utilizar para generar claves, preferiblemente de hardware.

Vale la pena decir que todas las organizaciones gubernamentales de la Federación de Rusia y varias organizaciones comerciales deben utilizar el algoritmo de cifrado simétrico nacional GOST 28147-89 para proteger los datos.

Este es un algoritmo criptográfico sólido en el que aún no se han encontrado fallas después de más de 12 años de uso.

EDS

EDS permite garantizar la integridad y autoría de la información (esquema 2 ).

Como se puede ver en el diagrama, EDS también utiliza claves criptográficas: privada y pública.

La clave pública se calcula a partir de la secreta mediante una fórmula bastante simple, por ejemplo: y = ax mod p (donde x es la clave secreta, y es la clave pública, a y p son los parámetros del algoritmo de firma digital), pero el cálculo inverso requiere mucha mano de obra y se considera imposible de realizar en un tiempo aceptable con la potencia informática moderna.

 

Esquema 2. Esquema de aplicación EDS

El esquema de distribución de claves EDS es un esquema de cifrado asimétrico similar: la clave secreta debe permanecer con su propietario, pero la clave pública se distribuye a todos los usuarios que quieran verificar el código digital. firma del propietario de la clave secreta.

Es necesario garantizar la inaccesibilidad de su clave secreta, porque un atacante puede falsificar fácilmente la firma digital de cualquier usuario al obtener acceso a su clave secreta.

Puede firmar cualquier información con una firma electrónica.

La información es procesada primero por la función hash, cuyo propósito es desarrollar una secuencia de cierta longitud que refleje de manera única el contenido de la información firmada.

Esta secuencia se llama “hash”; la propiedad principal de un hash es que es extremadamente difícil modificar la información para que su hash permanezca sin cambios. El estándar nacional para funciones hash GOST R 34.11-94 proporciona un tamaño de hash de 256 bits.

Según el hash de la información y la clave secreta del usuario, se calcula la firma digital. Como regla general, la firma digital se envía junto con la información firmada (la firma digital del archivo generalmente simplemente se coloca al final del archivo antes de enviarlo a cualquier lugar de la red).

La firma digital en sí, al igual que el hash, es una secuencia binaria de tamaño fijo. Sin embargo, además de la firma digital, a la información se le suele añadir una serie de campos de servicio, en primer lugar, información de identificación del usuario que proporcionó la firma digital; Además, estos campos participan en el cálculo del hash. Al verificar la firma digital de un archivo en modo interactivo, el resultado puede verse así:

“La firma del archivo “Document.doc” es correcta: Ivanov A.A. 25/02/2003″.

Naturalmente, en el caso de una firma digital incorrecta, se muestra la información correspondiente que contiene el motivo por el que se reconoce la firma digital como incorrecta. Al comprobar la firma digital también se calcula un hash de la información; si no coincide con la firma digital obtenida durante el cálculo (lo que puede significar un intento de modificar la información por parte de un atacante), la firma digital será incorrecta.

Junto con GOST 28147-89, existe es un algoritmo de firma digital nacional: GOST R 34.10-94 y su versión más nueva de GOST R 34.10-2001. Las organizaciones gubernamentales de la Federación de Rusia y varias organizaciones comerciales deben utilizar uno de estos algoritmos de firma digital junto con el algoritmo hash GOST R 34.11-94.

También existe una forma más sencilla de garantizar la integridad de la información: calcular el prefijo de imitación. Un prefijo de imitación es una suma de verificación criptográfica de información calculada utilizando una clave de cifrado.

Para calcular el prefijo de imitación, en particular, se utiliza uno de los modos de funcionamiento del algoritmo GOST 28147-89, que permite le permite obtener una secuencia de 32 bits a partir de la información como un prefijo de imitación de cualquier tamaño. Al igual que un hash de información, un prefijo de imitación es extremadamente difícil de falsificar.

Usar archivos adjuntos de imitación es más conveniente que usar una firma digital electrónica: en primer lugar, es mucho más fácil agregar 4 bytes de información, por ejemplo, a un paquete IP enviado a través de una red que una estructura de firma digital grande y, en segundo lugar, calcular un archivo adjunto de imitación. Es una operación que requiere muchos menos recursos que generar una firma digital electrónica, ya que en este último caso se utilizan operaciones tan complejas como elevar un número de 512 bits a una potencia, cuyo exponente es un número de 256 bits, lo que requiere bastantes cálculos.

El prefijo de imitación no se puede utilizar para controlar la autoría de un mensaje, pero en muchos casos esto no es necesario.

Uso complejo de algoritmos criptográficos

Para la transmisión segura de cualquier información a través de los archivos de la red, solo necesita firmarlos y cifrarlos. El diagrama 3 muestra una tecnología de archivo especializada que proporciona una protección integral de los archivos antes de enviarlos a través de la red.

 

Esquema 3. Tecnología de archivo especializada

En primer lugar, los archivos se firman con la clave secreta del remitente y luego se comprimen para una transferencia más rápida. Los archivos firmados y comprimidos se cifran mediante una clave de sesión aleatoria, que solo se necesita para cifrar esta parte de los archivos; la clave se toma de un sensor de números aleatorios, que debe estar presente en cualquier cifrador. Después de esto, se agrega un encabezado que contiene información del servicio al archivo especial formado de esta manera.

El encabezado le permite descifrar los datos al recibirlos.

Para hacer esto, contiene la clave de sesión en forma cifrada.

Después de cifrar los datos y escribirlos en el archivo, el La clave de sesión, a su vez, se cifra en la clave de comunicación por pares (clave DH), que se calcula dinámicamente a partir de la clave secreta del remitente del archivo y la clave pública del destinatario mediante el algoritmo Diffie-Hellman. Las claves de comunicación por pares son diferentes para cada par remitente-receptor.

La misma clave por pares solo puede ser calculada por el destinatario cuya clave pública participó en el cálculo de la clave por pares por parte del remitente.

El destinatario utiliza su clave privada y la clave pública del remitente para calcular la clave por pares. . El algoritmo Diffie-Hellman permite obtener la misma clave que el remitente formó a partir de su clave secreta y la clave pública del destinatario.

Por lo tanto, el encabezado contiene copias de la clave de sesión (por número de destinatarios), cada una de las cuales está cifrada con la clave por pares del remitente para un destinatario específico.

Después de recibir el archivo, el destinatario calcula la clave por pares , luego descifra la clave de sesión y, finalmente, descifra el archivo en sí. Después del descifrado, la información se descomprime automáticamente. Por último, se comprueba la firma digital de cada archivo.

Protección contra amenazas externas

Se han inventado muchos métodos de protección contra amenazas externas; se han encontrado contramedidas contra casi todos los peligros enumerados en la primera parte de este artículo. El único problema que aún no se ha abordado adecuadamente son los ataques DDoS. Consideremos la tecnología de redes privadas virtuales (VPN — Virtual Private Network), que permite utilizar métodos criptográficos para proteger la información transmitida a través de Internet y evitar el acceso no autorizado a la red local desde el exterior.

Redes privadas virtuales

En nuestra opinión, la tecnología VPN es una protección muy eficaz y su implementación generalizada es sólo cuestión de tiempo. Prueba de ello es al menos la introducción del soporte VPN en los últimos sistemas operativos de Microsoft, comenzando con Windows 2000.

La esencia de VPN es la siguiente (ver diagrama 4):

  1. Se instala una herramienta que implementa VPN en todas las computadoras que tienen acceso a Internet (en lugar de Internet puede haber cualquier otra red pública). Esta herramienta suele denominarse agente VPN. Los agentes VPN deben instalarse en todas las salidas a la red global.
  2. Los agentes VPN cifran automáticamente toda la información transmitida a través de ellos a Internet y también monitorean la integridad de la información mediante simuladores.

 

Esquema 4 . Tecnología VPN

Como usted sabe, la información transmitida en Internet consta de muchos paquetes de protocolo IP, en los cuales se divide antes de enviarse y se puede volver a particionar muchas veces a lo largo del camino.

Los agentes VPN procesan paquetes IP, la tecnología de su El funcionamiento se describe a continuación.

1. Antes de enviar un paquete IP, el agente VPN hace lo siguiente:

  • Se analiza la dirección IP del destinatario del paquete. Dependiendo de la dirección y otra información (ver más abajo), se seleccionan algoritmos de protección para un paquete determinado (los agentes VPN pueden admitir simultáneamente varios algoritmos de control de integridad y cifrado) y claves criptográficas. El paquete puede incluso descartarse si dicho destinatario no figura en la configuración del agente VPN.
  • Su prefijo de imitación se calcula y se agrega al paquete.
  • El paquete está cifrado (en su totalidad, incluido el encabezado del paquete IP que contiene información del servicio). Se genera un nuevo encabezado de paquete, donde en lugar de la dirección del destinatario se indica la dirección de su agente VPN. Esto se llama encapsulación de paquetes. Cuando se utiliza la encapsulación, el intercambio de datos entre dos redes locales aparece externamente como un intercambio entre dos computadoras en las que están instalados agentes VPN. Cualquier información útil para un ataque externo, por ejemplo, direcciones IP internas de la red, en este caso no está disponible.

2. Cuando se recibe un paquete IP, se realizan los pasos inversos:

  • Del encabezado del paquete, se obtiene información sobre el agente VPN del remitente del paquete. Si dicho remitente no es uno de los permitidos en la configuración, el paquete se descarta. Lo mismo sucede cuando se recibe un paquete con un encabezado dañado deliberada o accidentalmente.
  • Según la configuración, se seleccionan claves y algoritmos criptográficos.
  • El paquete se descifra y luego se comprueba su integridad. Los paquetes con integridad rota también se descartan.
  • Al final del procesamiento, el paquete en su forma original se envía al destinatario real a través de la red local.

Todas las operaciones anteriores se realizan automáticamente; el trabajo de los agentes VPN es invisible para los usuarios. Lo único difícil es configurar agentes VPN, algo que sólo puede realizar un usuario con mucha experiencia. El agente VPN se puede ubicar directamente en la computadora protegida (lo cual es especialmente útil para usuarios móviles). En este caso, protege la comunicación de un solo ordenador, en el que está instalado.

Los agentes VPN crean canales virtuales entre redes locales o computadoras protegidas (el término «túnel» generalmente se aplica a dichos canales y la tecnología para su creación se llama «tunelización»). Toda la información viaja a través del túnel únicamente de forma cifrada. Por cierto, los usuarios de VPN, cuando acceden a computadoras desde redes locales remotas, es posible que ni siquiera sepan que estas computadoras están realmente ubicadas, tal vez en otra ciudad; la diferencia entre computadoras remotas y locales en este caso está solo en la velocidad de transferencia de datos.

Como puede verse en la descripción de las acciones de los agentes VPN, descartan algunos paquetes IP. De hecho, los agentes VPN filtran paquetes según su configuración (el conjunto de configuraciones de los agentes VPN se denomina «Política de seguridad»). Es decir, el agente VPN realiza dos acciones principales: crear túneles y filtrar paquetes (ver Diagrama 5).

 

Esquema 5. Túnel y filtrado

El paquete IP se descarta o se envía a un túnel específico , dependiendo de los valores de sus siguientes características:

  • Dirección IP de origen (para un paquete saliente, la dirección de una computadora específica en la red protegida).
  • Dirección IP de destino.

    • li>

  • El protocolo de nivel superior al que pertenece el paquete (por ejemplo, TCP o UDP para la capa de transporte).
  • El puerto número desde o al que se envía el paquete (por ejemplo, 1080).
  • El número de puerto desde o al que se envía el paquete (por ejemplo, 1080).
  • El puerto número desde o al que se envía el paquete (por ejemplo, 1080). li>

La tecnología VPN se describe con más detalle en la literatura especializada.

E. S. Gryaznov, analista de sistemas de ANKAD
S. P. Panasenko, director departamento de desarrollo de software de ANKAD

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять