blog

La imagen representa un diseño final de ejemplo. El tráfico pasa hacia y desde internet a través del router del borde, el cual filtra tráfico obviamente no deseado mediante listas para el control de acceso (ACLs). El firewall controla el flujo del tráfico hacia y desde las secciones de red semipública (DMZ) y privada. Los switches dentro de cada sección protegen contra sniffers los cuales podrían instalarse sobre sistemas comprometidos. Para mejorar aún más la seguridad a través de los principios para defensa en profundidad, todos los hosts (servidores y estaciones de trabajo) de la configuración general ejecutarían activamente software antivirus con las últimas actualizaciones de firmas. Los hosts también podrían tener firewalls o sistemas para detección de intrusiones basados en host. Todos los sistemas operativos también deberían estar parcheados y actualizados apropiadamente.

El concepto de defensa en profundidad puede ser aplicado hacia diferentes tipos de redes, tanto en la oficina cuanto en el hogar. Por ejemplo si se estuviese configurando una red doméstica, se podría usar un firewall básico integrado en el módem de cable/router DSL para protegerse contra ciberataques directos desde internet. Sin embargo el firewall no puede proteger contra todas las amenazas. Por ejemplo se podría recibir un virus a través de un documento infectado enviado por correo electrónico o en una memoria USB. Sería una buena idea instalar un software antivirus en sus estaciones de trabajo para prevenir estos vectores de ataque. Un sitio web malicioso visitado podría intentar explotar una vulnerabilidad en el navegador web. Un firewall y un software antivirus podrían ayudar a combatir esta amenaza, pero mantenerse al día con los parches para las aplicaciones y el sistema operativo proporciona otra capa de protección muy efectiva. Similarmente un gusano malicioso podría requerir acceso a través de algún puerto de servicio y ser bloqueado en el sistema por el firewall. Aunque algún exploit puede penetrar un firewall, un sistema para autenticación o un sistema para detección de intrusos (IDS) configurados de forma segura pueden frustrar el ataque. No depender de un único mecanismo de seguridad para protegerse contra los ataques es el principio fundamental para la defensa en profundidad.

Fuentes:

https://www.reydes.com/e/Secciones_de_una_Red
https://www.reydes.com/e/Secciones_de_una_Red_Parte_II
 

Para implementar una apropiada seguridad se deben seguir tres reglas fundamentales:

1. Cualquier sistema visible desde internet debe residir en la DMZ y no puede contener información sensible
2. Cualquier sistema con información sensible debe residir sobre la red privada y no ser visible desde internet
3. La única manera un sistema DMZ puede comunicarse con un sistema de la red privada es a través de un proxy sobre el nivel de middleware

Estas tres reglas son un ejemplo para la separación de recursos en funcionamiento: se ubican sistemas con diferentes requerimientos de seguridad en áreas separadas. En este ejemplo agrupar recursos similares permite controlar como interactúan los recursos en diferentes grupos. Fortalecer tales restricciones de acceso frecuentemente es el trabajo de un firewall.

Instalar un firewall es una de las maneras más fundamentales para proteger los sistemas de ataques externos. La decisión de utilizar un firewall es bastante simple, pero una pregunta más interesante es: "¿Dónde debería colocarse?". La idea es posicionar el firewall en una localización la cual permita controlar el acceso o restringir tráfico el cual cruza los límites de las secciones de una red.

Primero, el firewall necesita estar localizado en un lugar el cual permita garantizar cualquier tráfico saliente es legítimo. Asimismo también se quiere controla conexiones entrantes. Esto significa el firewall debe estar en una posición la cual permita otorgar peticiones de conexión para los servidores web, de correo y DNS. El firewall también debe ser capaz de bloquear las conexiones entrantes hacia los sistemas sobre la sección privada de la red.

Para ayudar a determinar el lugar óptimo para el firewall, considerar las rutas básicas el tráfico puede transitar sobre la red:

Desde sistemas privados hacoa internet
Desde sistemas privados hacia servidores semipúblicos
Desde servidores semipúblicos hacia internet
Desde internet hacia servidores semipúblicos

Conocer las rutas básicas de red ayuda a determinar el mejor lugar para un firewall (o varios). Los firewalls deben estar localizados en las intersecciones de las rutas descritas anteriormente. Ahora se ha determinado el lugar del firewall, se debe mirar en añadir capas defensivas adicionales para proteger aún más la red.

La defensa en profundidad es fundamental para el diseño de una red segura. Cualquier software puede tener una falla, el hardware puede fallar, y cualquiera puede cometer un error en la configuración. Para compensar estas posibilidades, no se debe depender de un solo sistema o proceso para defender los datos. Por lo tanto se implementan varias capas de defensa para abarcar cualquier punto de falla.

En el contexto de ejemplo, separar los sistemas en varias secciones de red es una capa de defensa. Configurar el firewall para restringir como el tráfico cruza los límites de las secciones es otra. Otro mecanismo de defensa a emplear es un dispositivo funcionando en conjunción con el firewall para filtrar el tráfico entrando y saliendo de la red.

Este dispositivo puede ser un router del borde ubicado entre el ISP y firewall.

Un router del borde puede utilizarse para filtrar ciertos tipos de tráfico de red los cuales obviamente no son deseados. Por ejemplo el router puede ser configurado para bloquear paquetes los cuales supuestamente provienen de direcciones IP no válidas, como las asignadas a direcciones privadas definidas por el RFC 1918. Similarmente solo los paquetes con direcciones IP de origen encontrándose dentro del rango asignado por el ISP deberían salir desde la red de la empresa. Aunque un firewall puede ser configurado para fortalecer restricciones como esta, el firewall ayuda a proteger el host del firewall de ataque. También asiste al firewall aliviando parte de la carga y permitiendo procesar tráfico para el cual está optimizado maneje.

Fuentes:

https://www.rfc-editor.org/rfc/rfc1918.html
 

La seguridad es siempre un balance entre funcionalidad y seguridad. La regla clave a seguir es brindar a cada entidad el mínimo acceso necesario mientras se le permite realizar su trabajo. Con la arquitectura de red la clave es proporcionar una adecuada segmentación para una persona pueda acceder a los datos apropiados, reduciendo el riesgo de un potencial compromiso.

Si se observa los requerimientos para los sistemas residiendo en la red, probablemente se notará pueden ser agrupados en varias categorías, según el tipo de información la cual contienen:

Público: Estos recursos residen en internet, y desde la perspectiva de la red de la empresa no son confiables.

Semipúblico: Estos recursos son la contribución hacia internet, y toman la forma de publicaciones web, mensajes de correo electrónico, y registros DNS. Los servidores semipúblicos deben ser accedibles desde internet y también deberían acceder hacia internet.

Middleware: Utilizado para separar la DMZ de la red privada. Frecuentemente conteniene servidores proxy filtrando y bloqueando el acceso no autorizado. Proporciona una capa extra de protección debido a las conexiones entre la DMZ y la red privada son de alto riesgo.

Privado: Estos son los sistemas internos de la compañía. No se desea ofrecer ningún servicio de esta categoría hacia los usuarios de internet. Por lo tanto se requiere proteger activamente la información residiendo aquí.

Los sistemas en cada categoría tienen un propósito similar, y tienen requerimientos comunes en seguridad. Esto permite agrupar los recursos dentro de una categoría, colocándolos en una sección de red común. En este diseño la visión del mundo en red se dividirá en tres secciones: pública, semipública y privada. Se puede subdividir aún más en función del riesgo potencial y la funcionalidad del sistema.

Fuentes:

https://en.wikipedia.org/wiki/Network_segment
 

A continuación se detallarán las etapas fundamentales para diseñar una arquitectura de red básica. En este escenario uno de los requerimientos para la red la cual se necesita diseñar es permitir a los usuarios internos acceder hacia Internet. Adicionalmente ciertos sistemas localizados sobre la red de la empresa necesitan ser alcanzables desde internet:

• Servidor web el cual muestre información sobre la empresa y sus productos
• Servidor de correo el cual permita a los empleados de la empresa enviar y recibir correo electrónico
• Servidor DNS (servicio para nombres de dominio) el cual hospede registros para el dominio público de la empresa (como "example.com")

De acuerdo con estos requerimientos se requiere proporcionar acceso limitado desde Internet hacia la red. Sin embargo aparte de los servidores mencionados anteriormente, no se requiere ningún usuario de internet acceda hacia los sistemas internos. Debido al enlace hacia internet, las defensas deben estar diseñadas para proteger la red de ataques externos.

La mayoría de las decisiones para el diseño se basarán sobre el enfoque de "defensa en profundidad", lo cual aboga por el uso de múltiples capas de protección para salvaguardarse contra las fallas de un único componente de seguridad. Uno de los elementos para la defensa en profundidad es el principio de separación de recursos, lo cual se utiliza cuando se divide la red interna en muchas secciones.

Fuentes:

https://www.allassignmenthelp.com/blog/network-design/
https://www.geeksforgeeks.org/three-tier-client-server-architecture-in-…
 

Para evitar verse abrumado por vulnerabilidades de seguridad, la mejor perspectiva es una adecuada priorización. La mayoría de redes empresariales son relativamente planas y ofrecen poca resistencia una vez se irrumpe el perímetro, ademas los sistemas de escritorio son el objetivo más probable para el malware. Por lo tanto crear cierta separación entre los sistemas de escritorio y los datos críticos almacenados en los servidores es un gran paso para proteger la red. Lo siguiente podría ser separar los escritorios el uno del otro para limitar el reconocimiento de escritorios y la propagación de gusanos entre estos. La LAN conectada hacia los escritorios debe ser considerada permanentemente hostil, y por lo tanto los escritorios deben únicamente permitir el mínimo de datos requerido para operar. Los servidores deben estar separados entre si y de los escritorios con firewalls.

El flujo de datos o flujo de red es un método para recolectar información del tráfico IP y vigilar el tráfico de red. Mediante el análisis del flujo de datos se puede construir una imagen del flujo de tráfico de red y volumen. El flujo de red permite ver de donde proviene y hacia donde va el tráfico de red, demás de cuanto tráfico está siendo generado. El flujo de red proporciona una contabilidad 24x7 sobre toda la actividad de la red, y cuando ocurre un incidente, la información necesaria para identificar la causa raíz y comenzar la limpieza se encuentra en el flujo de datos almacenado.

El flujo de red permite ver aquello sucediendo en la red más allá del perímetro, lo cual también es el lugar más difícil para aplicar un análisis de ciberseguridad. Con el flujo de red se puede ver teléfonos inteligentes, teléfonos IP, portátiles, servidores, e infraestructura virtualizada en esta capa. Cuanto más grande y distribuida sea la red, mayor será el valor aportado por el flujo de red del tráfico. Solo requiere se ingresen unos pocos comandos sobre el encaminador para tener visibilidad de la red en una ubicación específica. El análisis basado en flujo de red se basa en algoritmos y comportamiento en lugar de coincidencia de firmas, lo cual permite detectar ataques los cuales aún no tienen una firma, algunas veces denominados ataques de día cero.

Fuentes:

https://insights.sei.cmu.edu/blog/traffic-analysis-for-network-security…
https://iesmartsystems.com/network-architecture/
 

La segmentación en redes de computadoras es el acto de dividir una red de computadoras del resto de la red mediante un dispositivo como un repetidor, un concentrador, un puente, un conmutador o un encaminador, donde cada subred es un segmento de red. Un segmento puede contener una o múltiples computadoras. Los cortafuegos y las VLAN proporcionan una manera de particionar también la red en zonas más pequeñas. Las ventajas de tal división son principalmente para en el aumento del rendimiento y mejorar la cibereguridad.

Implementar controles en múltiples capas: Cuantas más capas de segmentación se añadan más difícil será para un ciberatacante obtener acceso no autorizado. El número de capas requiere sentido común, y debe ser manejable desde una perspectiva de operaciones.

Regla de mínimo privilegio: El acceso solo debe ser proporcionado hacia el usuario o sistema quien lo necesite y a nadie más.

Segmentar basado en los requisitos de seguridad: Definir zonas basado sobre donde reside cierta información sensible.

Listas blancas: En lugar de intentar bloquear todas las cosas "malas", es más simple y eficaz definir lo conocido por ser rutas para comunicación segura y bloquear todo lo demás.

Un Enclave Protegido es un segmento de la red interna definido por un conjunto común de políticas de ciberseguridad. Es necesario cuando la confidencialidad, integridad, o disponibilidad de un conjunto de recursos es diferente de aquellos sobre el resto de la red.

Una Red Definida por Software (SDN) es un término amplio abarcando varios tipos de tecnologías de red, con la intención de hacer la red tan flexible y ágil como una máquina virtual o un almacenamiento virtualizado. Un SDN tiene un gran potencial en cuanto a la segmentación de la red. Una segmentación incorrecta de la red puede aumentar drásticamente la exposición hacia el robo de datos o a ataques hacia sistemas. Con SDN el concepto de "microsegmentación" entra en juego, donde el tráfico entre dos endpoints puede ser analizado y filtrado en base a un conjunto de políticas.

Fuentes:

https://www.linfo.org/network_segment.html
https://www.securityweek.com/improving-security-proper-network-segmenta…
 

Ethernet es el protocolo de acceso al medio más popular actualmente utilizado sobre LAN. De hecho es prácticamente omnipresente para las redes, con la excepción de la propia red troncal. Un trozo de datos transmitido por Ethernet a través del cable se denomina trama. Con dúplex completo dos nodos pueden transmitir y recibir simultáneamente.

Para mantener el número de colisiones al mínimo, se requiere un sistema para verificar si alguien más está transmitiendo antes de colocar una trama sobre el cable. Si la señal de otro sistema ya está sobre el cable, el sistema debe esperar, acorde al algoritmo diseñado, para darle la oportunidad de cada no utilice la red. Si la línea está limpia, el sistema genera una señal y vigila la transmisión para asegurarse no se ninguna colisión ocurra. Estas propiedades son resumidas bajo la designación Ethernet como protocolo de acceso múltiple por detección de portadora/detección de colisiones (CSMA/CD).

Las especificaciones de Ethernet definen más que solo protocolos para enviar señales a través del cable. Otras propiedades incluyen los requisitos del cableado para transferir datos a las velocidades deseadas y la longitud máxima del segmento de cable. Además, los estándares Ethernet especifican la topología física que debe utilizarse para un tipo específico de comunicación Ethernet.

Dado Ethernet es el tipo más común de protocolo en Capa 2 utilizado sobre redes, es importante entender somo funciona. El aspecto de segmento compartido proporciona máxima flexibilidad, pero también puede causar problemas de disponibilidad con colisiones y problemas de confidencialidad con el sniffing de tráfico.

Fuentes:

https://www.ieee802.org/3/
 

Los logs desde otros dispositivos pueden ser excelentes para corroborar la actividad observada sobre la red. Sin embargo son fáciles de modificar, por lo tanto el profesional debe asegurarse los archivos logs sean capturados tan pronto como sea posible cuando son recibidos. Adicionalmente los logs deben mantenerse en un repositorio de solo lectura, donde únicamente personal autorizado pueda acceder a estos.

Es común durante un investigación los archivos sean recortados. Es importante estas actividades no sean realizados sobre los archivos originales, además todas las subsecuentes ediciones guardadas claramente identifiquen aquello lo cual cambió y el nombre del archivo original.

Los logs de texto se comprime realmente bien, y una buena solución para gestionar logs asegura estén disponibles para el profesional por una duración suficiente. Para servidores críticos es recomendado retener evidencia de logs por tanto tiempo permita la política para la retención de datos. Considerar los plazos de tiempo para la detección de brechas frecuentemente crecen hacia un año o más, y sin evidencia será casi imposible ejecutar una investigación creíble. La calidad del log es un aspecto importante, y quienes responden a incidentes y profesionales forenses deben revisar el tipo y contenido de logs durante la “Etapa de Preparación”.

Fuentes:

https://www.rapid7.com/blog/post/2016/08/12/using-log-data-as-forensic-…

Introducción

A finales de 1980, Van Jacobson, Steve McCanne y otros miembros del Grupo de Investigación para Redes del Laboratorio Nacional Lawrence Berkeley, desarrollaron el programa tcpdump para capturar y analizar trazas de red. El código para capturar el tráfico, utilizando mecanismos a bajo nivel en diversos sistemas operativos, además de leer y escribir trazas de red en un archivo, se incluyó posteriormente en una biblioteca de nombre libpcap.

Estructura General

Un archivo de captura inicia con una cabecera de archivo, seguido de cero o más Registros de Paquete, uno por paquete. Todos los campos en la Cabecera del Archivo y de los Registros de Paquete se guardarán siempre acorde a las características (little endian / big endian) del sistema de captura. Esto se refiere a todos los campos los cuales se guardan como números y abarcan dos o más octetos. La perspectiva de guardar el archivo en el formato nativo del host generador es más eficiente, pues evita la traducción de datos cuando se leen o escriben en el propio host, lo cual es el caso más común al generar o procesar capturas. Los paquetes son mostrados en el diagrama IETF tradicional, con los bits numerados de izquierda a derecha. La numeración de bits no refleja la posición del valor binario, pues los protocolos IETF están tradicionalmente en el orden de bytes de red big endian. El bit más significativo por lo tanto se encuentra a la izquierda en este diagrama, como si el archivo se almacenara en un sistema big endian.

Cabecera del Archivo

La Cabecera del Archivo tiene el siguiente formato

La longitud de la Cabecera del Archivo es de 24 octetos.

Magic Number (32 bits)
Major Version (16 bits)
Minor Version (16 bits)
Reserved1 (32 bits)
Reserved2 (32 bits)
SnapLen (32 bits)
LinkType (16 bits)
Frame Cyclic Sequence (FCS) present (4 bits)

Registro del Paquete

Un Registro del Paquete es un contenedor estándar para almacenar paquetes proviniendo desde la red.

La longitud de la Cabecera del Paquete es de 16 Octetos

Timestamp (Seconds) and Timestamp (Microseconds or nanoseconds)
Captured Packet Length (32 bits)
Original Packet Length (32 bits)
Packet Data

Limitaciones

El archivo PCAP es un archivo plano simple sin índice ni extensibilidad. Los archivos PCAP nunca fueron diseñados para gestionar capturas de paquetes mayores a algunos cientos de MB. Más allá de este punto, leer, filtrar, y buscar en un archivo PCAP puede convertirse en una tarea lenta y tediosa, como se podrá comprobar quien haya abierto un archivo PCAP de gran tamaño en Wireshark.

Los archivos PCAP no tienen una "Procedencia" integrada registrando como y donde se capturaron los paquetes. Esto puede facilitar perder el rastro de donde y cuando se capturaron los paquetes, así como del estado del sistema desde el cual capturaron en ese momento.

Fuentes:

https://www.ietf.org/archive/id/draft-gharris-opsawg-pcap-01.html
https://wiki.wireshark.org/Development/LibpcapFileFormat
 

Tal vez el aspecto más importante en cualquier investigación forense es por donde iniciar. Algunas veces se tendrá suerte al contar con una pista la cual pueda ser seguida; otras veces se enfrentará con una posición difícil al abordar una tarea como; "Algo podría estar mal aquí y se desconoce que. Se necesita realizar una investigación". Esto no es ideal, pero aún es manejable si se estructura la perspectiva alrededor de algunas de las preguntas más típicas para una investigación.

Evaluación de Daños: ¿Qué se robó, cuándo fue robado, hacia adónde fue, cómo se lo llevaron, y quién lo hizo?. Esta es probablemente la familia de preguntas más comunes solicitada a cualquier profesional DFIR, a las cuales debe responder. Las víctimas tienden a estar más interesadas en (o se les exige rastreen) detalles sobre los datos robados. Aunque la atribución no suele ser la pregunta más importante, conocer quienes podrían ser los posibles ciberatacantes ayudará a comprender sus intenciones y capacidades, y por lo tanto sobre cuales datos estarían más interesados capturar

Aunque claramente es de interés conocer sobre el compromiso o eventos de robo por si mismos, frecuentemente es de mucha ayuda conocer más sobre los eventos ocurridos inmediatamente antes o después del evento. Esto puede proporcionar al profesional un contexto muy útil sobre porque otras observaciones pueden ser importantes o no, así como si existen otros sistemas en el entorno los cuales también podrían estar comprometidos.

Una de las preguntas más frecuentes es sobre como se originó un evento de malware: ¿Llegó el malware a través de una descarga automática desde una red publicitaria comprometida? ¿Se incitó al usuario abra un archivo adjunto, o hacer clic en un enlace de una campaña de phishing o spear phishing?. La perspectiva de red puede frecuentemente proporcionar respuestas claras sobre como se inició el evento, lo cual puede caracterizar la intención y las capacidades de un ciberatacante.

Por último puede ser excesivamente útil comprender lo cual estaba sucediendo a través del entorno de la víctima al momento del evento sospechoso o malicioso. Este es un excelente método para detectar actividad maliciosa en un proceso conocido como definición alcance. Es raro una sola observación represente todo el alcance sobre una actividad maliciosa, por lo tanto observar cuales otros sistemas exhiben comportamientos conocidos o comportamientos los cuales se creen asociados con un evento de interés, puede proporciona una excelente ventana hacia cuan extenso puede ser un compromiso.

Fuentes:

https://ec.europa.eu/programmes/erasmus-plus/project-result-content/696…