La seguridad en una red es un aspecto fundamental que siempre debe de ser tomado por el administrador de red, minimizar las oportunidades de que un atacante tenga un acceso a nuestra red es siempre un trabajo arduo y continuo que puede ser automizado utilizando algunas herramientras de codigo abierto y habilidad para optimizarlas en nuestra red.
En general un atacante promedio siempre tiene que cumplir con 5 pasos fundamentales para llevar acabo el ataque, los cuales son:
- Recoleccion de informacion
- Escaneo
- Enumeracion
- Ataque
- Instalacion de backdoor y borrado de huellas
La primer face de recopilacion de informacion es fundamental para impedir el ataque, ya que entre menos informacion sensible de nuestra red le sea proporcionada al atacante, este se vera inmovil ante nuestra red, la ocultacion de banners de nuestros servidores y/o la modificacion de los banners haciendolos pasar por otros y de otras versiones, limitarian el ataque a nulo, debido a que se aprovecharia la seguridad por oscuridad.
Dependiendo de la persistencia de nuestro atacante sera como llegara a la fase de escaneo, el escaneo es una face primordial para la recoleccion de informacion sobre nuestros servicios brindados en alguno de nuestros puertos de servidores y especializar mas el ataque en contra de nuestra red, una de las herramientas mas utilizadas para el escaneo es Network Mapper (nmap), al burlar esta herramienta e impedir que obtenga informacion sobre nuestros servicios, detendria completamente el ataque en un 90%.
En dado caso que el atacante haya obtenido informacion sobre nuestros servicios y decida atacarlos, es necesario tomar las medidas necesarias si nuestra red ha sido vulnerada, la instalacion de IDS y Firewalls es algo de suma prioridad para mantener nuestros servicios estables e impedir que el atacante logre obtener privilegios de administrador, manteniendo los servicios con permisos implementados especialmente enfocados a la seguridad (lease SUID, GUID), y en diferentes nodos de la red, esto limitaria la expansion y total control de nuestra red para el atacante.
Dependiendo de como esten configurados nuestro Firewall e IDS y como se encuentren ubicados en nuestra red, impediran el abuso de nuestros servicios en la red, la instalacion de proyectos especializados en seguridad automatizan y optimizan la seguridad en la red, el proyecto OSSIM, es uno de los mas reconocidos por su alto grado de especializacion y facilidad de uso.
En dado caso que nuestra red haya sido comprometida y nuestro sistema de seguridad haya fallado, es necesario contar con todo tipo de respaldos sobre nuestra informacion, y procurar que nuestros servidores se encuentren aislados para evitar el compromiso total de la red, la implementacion de una zona desmilitarizada para funciones especiales y de alta prioridad de la red, se vuelve un caso obligatorio.
Despues del ataque es necesario realizar un analisis forense sobre el sistema que fue comprometido, lo primordial es separarlo de la red para evitar que sea atacado nuevamante en caso de que tenga una puerta trasera, por conseguiente es necesario revisar todos los archivos que hayan sido modificados durante el ataque, hacer un analisis detallado de los logs del sistema y verificar los que hayan sido alterados por el atacante, dependiendo de que tanta informacion se desee recolectar del atacante seran los procesos que se deban seguir, en caso de que los logs no nos brinden mucha informacion, sera necesario un dumpeado de la memoria del ordenador atacado para especular sobre los pasos del atacante en nuestro sistema.
El tema da para mucho mas, y espero continuarlo en otro post, mientras tanto es todo por el momento.
Introduction to Network Security
Microsoft TechNet: Seguridad en red y perimetral
esdebian.org: Guia de Seguriad en Red
1 comentarios :
Excelente articulo amigo, espero lo sigas ampliando.
Publicar un comentario