blog

La seguridad es siempre un balance entre funcionalidad y seguridad. La regla clave a seguir es brindar a cada entidad el mínimo acceso necesario mientras se le permite realizar su trabajo. Con la arquitectura de red la clave es proporcionar una adecuada segmentación para una persona pueda acceder a los datos apropiados, reduciendo el riesgo de un potencial compromiso.

Si se observa los requerimientos para los sistemas residiendo en la red, probablemente se notará pueden ser agrupados en varias categorías, según el tipo de información la cual contienen:

Público: Estos recursos residen en internet, y desde la perspectiva de la red de la empresa no son confiables.

Semipúblico: Estos recursos son la contribución hacia internet, y toman la forma de publicaciones web, mensajes de correo electrónico, y registros DNS. Los servidores semipúblicos deben ser accedibles desde internet y también deberían acceder hacia internet.

Middleware: Utilizado para separar la DMZ de la red privada. Frecuentemente conteniene servidores proxy filtrando y bloqueando el acceso no autorizado. Proporciona una capa extra de protección debido a las conexiones entre la DMZ y la red privada son de alto riesgo.

Privado: Estos son los sistemas internos de la compañía. No se desea ofrecer ningún servicio de esta categoría hacia los usuarios de internet. Por lo tanto se requiere proteger activamente la información residiendo aquí.

Los sistemas en cada categoría tienen un propósito similar, y tienen requerimientos comunes en seguridad. Esto permite agrupar los recursos dentro de una categoría, colocándolos en una sección de red común. En este diseño la visión del mundo en red se dividirá en tres secciones: pública, semipública y privada. Se puede subdividir aún más en función del riesgo potencial y la funcionalidad del sistema.

Fuentes:

https://en.wikipedia.org/wiki/Network_segment
 

A continuación se detallarán las etapas fundamentales para diseñar una arquitectura de red básica. En este escenario uno de los requerimientos para la red la cual se necesita diseñar es permitir a los usuarios internos acceder hacia Internet. Adicionalmente ciertos sistemas localizados sobre la red de la empresa necesitan ser alcanzables desde internet:

• Servidor web el cual muestre información sobre la empresa y sus productos
• Servidor de correo el cual permita a los empleados de la empresa enviar y recibir correo electrónico
• Servidor DNS (servicio para nombres de dominio) el cual hospede registros para el dominio público de la empresa (como "example.com")

De acuerdo con estos requerimientos se requiere proporcionar acceso limitado desde Internet hacia la red. Sin embargo aparte de los servidores mencionados anteriormente, no se requiere ningún usuario de internet acceda hacia los sistemas internos. Debido al enlace hacia internet, las defensas deben estar diseñadas para proteger la red de ataques externos.

La mayoría de las decisiones para el diseño se basarán sobre el enfoque de "defensa en profundidad", lo cual aboga por el uso de múltiples capas de protección para salvaguardarse contra las fallas de un único componente de seguridad. Uno de los elementos para la defensa en profundidad es el principio de separación de recursos, lo cual se utiliza cuando se divide la red interna en muchas secciones.

Fuentes:

https://www.allassignmenthelp.com/blog/network-design/
https://www.geeksforgeeks.org/three-tier-client-server-architecture-in-…
 

Para evitar verse abrumado por vulnerabilidades de seguridad, la mejor perspectiva es una adecuada priorización. La mayoría de redes empresariales son relativamente planas y ofrecen poca resistencia una vez se irrumpe el perímetro, ademas los sistemas de escritorio son el objetivo más probable para el malware. Por lo tanto crear cierta separación entre los sistemas de escritorio y los datos críticos almacenados en los servidores es un gran paso para proteger la red. Lo siguiente podría ser separar los escritorios el uno del otro para limitar el reconocimiento de escritorios y la propagación de gusanos entre estos. La LAN conectada hacia los escritorios debe ser considerada permanentemente hostil, y por lo tanto los escritorios deben únicamente permitir el mínimo de datos requerido para operar. Los servidores deben estar separados entre si y de los escritorios con firewalls.

El flujo de datos o flujo de red es un método para recolectar información del tráfico IP y vigilar el tráfico de red. Mediante el análisis del flujo de datos se puede construir una imagen del flujo de tráfico de red y volumen. El flujo de red permite ver de donde proviene y hacia donde va el tráfico de red, demás de cuanto tráfico está siendo generado. El flujo de red proporciona una contabilidad 24x7 sobre toda la actividad de la red, y cuando ocurre un incidente, la información necesaria para identificar la causa raíz y comenzar la limpieza se encuentra en el flujo de datos almacenado.

El flujo de red permite ver aquello sucediendo en la red más allá del perímetro, lo cual también es el lugar más difícil para aplicar un análisis de ciberseguridad. Con el flujo de red se puede ver teléfonos inteligentes, teléfonos IP, portátiles, servidores, e infraestructura virtualizada en esta capa. Cuanto más grande y distribuida sea la red, mayor será el valor aportado por el flujo de red del tráfico. Solo requiere se ingresen unos pocos comandos sobre el encaminador para tener visibilidad de la red en una ubicación específica. El análisis basado en flujo de red se basa en algoritmos y comportamiento en lugar de coincidencia de firmas, lo cual permite detectar ataques los cuales aún no tienen una firma, algunas veces denominados ataques de día cero.

Fuentes:

https://insights.sei.cmu.edu/blog/traffic-analysis-for-network-security…
https://iesmartsystems.com/network-architecture/
 

La segmentación en redes de computadoras es el acto de dividir una red de computadoras del resto de la red mediante un dispositivo como un repetidor, un concentrador, un puente, un conmutador o un encaminador, donde cada subred es un segmento de red. Un segmento puede contener una o múltiples computadoras. Los cortafuegos y las VLAN proporcionan una manera de particionar también la red en zonas más pequeñas. Las ventajas de tal división son principalmente para en el aumento del rendimiento y mejorar la cibereguridad.

Implementar controles en múltiples capas: Cuantas más capas de segmentación se añadan más difícil será para un ciberatacante obtener acceso no autorizado. El número de capas requiere sentido común, y debe ser manejable desde una perspectiva de operaciones.

Regla de mínimo privilegio: El acceso solo debe ser proporcionado hacia el usuario o sistema quien lo necesite y a nadie más.

Segmentar basado en los requisitos de seguridad: Definir zonas basado sobre donde reside cierta información sensible.

Listas blancas: En lugar de intentar bloquear todas las cosas "malas", es más simple y eficaz definir lo conocido por ser rutas para comunicación segura y bloquear todo lo demás.

Un Enclave Protegido es un segmento de la red interna definido por un conjunto común de políticas de ciberseguridad. Es necesario cuando la confidencialidad, integridad, o disponibilidad de un conjunto de recursos es diferente de aquellos sobre el resto de la red.

Una Red Definida por Software (SDN) es un término amplio abarcando varios tipos de tecnologías de red, con la intención de hacer la red tan flexible y ágil como una máquina virtual o un almacenamiento virtualizado. Un SDN tiene un gran potencial en cuanto a la segmentación de la red. Una segmentación incorrecta de la red puede aumentar drásticamente la exposición hacia el robo de datos o a ataques hacia sistemas. Con SDN el concepto de "microsegmentación" entra en juego, donde el tráfico entre dos endpoints puede ser analizado y filtrado en base a un conjunto de políticas.

Fuentes:

https://www.linfo.org/network_segment.html
https://www.securityweek.com/improving-security-proper-network-segmenta…
 

Ethernet es el protocolo de acceso al medio más popular actualmente utilizado sobre LAN. De hecho es prácticamente omnipresente para las redes, con la excepción de la propia red troncal. Un trozo de datos transmitido por Ethernet a través del cable se denomina trama. Con dúplex completo dos nodos pueden transmitir y recibir simultáneamente.

Para mantener el número de colisiones al mínimo, se requiere un sistema para verificar si alguien más está transmitiendo antes de colocar una trama sobre el cable. Si la señal de otro sistema ya está sobre el cable, el sistema debe esperar, acorde al algoritmo diseñado, para darle la oportunidad de cada no utilice la red. Si la línea está limpia, el sistema genera una señal y vigila la transmisión para asegurarse no se ninguna colisión ocurra. Estas propiedades son resumidas bajo la designación Ethernet como protocolo de acceso múltiple por detección de portadora/detección de colisiones (CSMA/CD).

Las especificaciones de Ethernet definen más que solo protocolos para enviar señales a través del cable. Otras propiedades incluyen los requisitos del cableado para transferir datos a las velocidades deseadas y la longitud máxima del segmento de cable. Además, los estándares Ethernet especifican la topología física que debe utilizarse para un tipo específico de comunicación Ethernet.

Dado Ethernet es el tipo más común de protocolo en Capa 2 utilizado sobre redes, es importante entender somo funciona. El aspecto de segmento compartido proporciona máxima flexibilidad, pero también puede causar problemas de disponibilidad con colisiones y problemas de confidencialidad con el sniffing de tráfico.

Fuentes:

https://www.ieee802.org/3/
 

Los logs desde otros dispositivos pueden ser excelentes para corroborar la actividad observada sobre la red. Sin embargo son fáciles de modificar, por lo tanto el profesional debe asegurarse los archivos logs sean capturados tan pronto como sea posible cuando son recibidos. Adicionalmente los logs deben mantenerse en un repositorio de solo lectura, donde únicamente personal autorizado pueda acceder a estos.

Es común durante un investigación los archivos sean recortados. Es importante estas actividades no sean realizados sobre los archivos originales, además todas las subsecuentes ediciones guardadas claramente identifiquen aquello lo cual cambió y el nombre del archivo original.

Los logs de texto se comprime realmente bien, y una buena solución para gestionar logs asegura estén disponibles para el profesional por una duración suficiente. Para servidores críticos es recomendado retener evidencia de logs por tanto tiempo permita la política para la retención de datos. Considerar los plazos de tiempo para la detección de brechas frecuentemente crecen hacia un año o más, y sin evidencia será casi imposible ejecutar una investigación creíble. La calidad del log es un aspecto importante, y quienes responden a incidentes y profesionales forenses deben revisar el tipo y contenido de logs durante la “Etapa de Preparación”.

Fuentes:

https://www.rapid7.com/blog/post/2016/08/12/using-log-data-as-forensic-…

Introducción

A finales de 1980, Van Jacobson, Steve McCanne y otros miembros del Grupo de Investigación para Redes del Laboratorio Nacional Lawrence Berkeley, desarrollaron el programa tcpdump para capturar y analizar trazas de red. El código para capturar el tráfico, utilizando mecanismos a bajo nivel en diversos sistemas operativos, además de leer y escribir trazas de red en un archivo, se incluyó posteriormente en una biblioteca de nombre libpcap.

Estructura General

Un archivo de captura inicia con una cabecera de archivo, seguido de cero o más Registros de Paquete, uno por paquete. Todos los campos en la Cabecera del Archivo y de los Registros de Paquete se guardarán siempre acorde a las características (little endian / big endian) del sistema de captura. Esto se refiere a todos los campos los cuales se guardan como números y abarcan dos o más octetos. La perspectiva de guardar el archivo en el formato nativo del host generador es más eficiente, pues evita la traducción de datos cuando se leen o escriben en el propio host, lo cual es el caso más común al generar o procesar capturas. Los paquetes son mostrados en el diagrama IETF tradicional, con los bits numerados de izquierda a derecha. La numeración de bits no refleja la posición del valor binario, pues los protocolos IETF están tradicionalmente en el orden de bytes de red big endian. El bit más significativo por lo tanto se encuentra a la izquierda en este diagrama, como si el archivo se almacenara en un sistema big endian.

Cabecera del Archivo

La Cabecera del Archivo tiene el siguiente formato

La longitud de la Cabecera del Archivo es de 24 octetos.

Magic Number (32 bits)
Major Version (16 bits)
Minor Version (16 bits)
Reserved1 (32 bits)
Reserved2 (32 bits)
SnapLen (32 bits)
LinkType (16 bits)
Frame Cyclic Sequence (FCS) present (4 bits)

Registro del Paquete

Un Registro del Paquete es un contenedor estándar para almacenar paquetes proviniendo desde la red.

La longitud de la Cabecera del Paquete es de 16 Octetos

Timestamp (Seconds) and Timestamp (Microseconds or nanoseconds)
Captured Packet Length (32 bits)
Original Packet Length (32 bits)
Packet Data

Limitaciones

El archivo PCAP es un archivo plano simple sin índice ni extensibilidad. Los archivos PCAP nunca fueron diseñados para gestionar capturas de paquetes mayores a algunos cientos de MB. Más allá de este punto, leer, filtrar, y buscar en un archivo PCAP puede convertirse en una tarea lenta y tediosa, como se podrá comprobar quien haya abierto un archivo PCAP de gran tamaño en Wireshark.

Los archivos PCAP no tienen una "Procedencia" integrada registrando como y donde se capturaron los paquetes. Esto puede facilitar perder el rastro de donde y cuando se capturaron los paquetes, así como del estado del sistema desde el cual capturaron en ese momento.

Fuentes:

https://www.ietf.org/archive/id/draft-gharris-opsawg-pcap-01.html
https://wiki.wireshark.org/Development/LibpcapFileFormat
 

Tal vez el aspecto más importante en cualquier investigación forense es por donde iniciar. Algunas veces se tendrá suerte al contar con una pista la cual pueda ser seguida; otras veces se enfrentará con una posición difícil al abordar una tarea como; "Algo podría estar mal aquí y se desconoce que. Se necesita realizar una investigación". Esto no es ideal, pero aún es manejable si se estructura la perspectiva alrededor de algunas de las preguntas más típicas para una investigación.

Evaluación de Daños: ¿Qué se robó, cuándo fue robado, hacia adónde fue, cómo se lo llevaron, y quién lo hizo?. Esta es probablemente la familia de preguntas más comunes solicitada a cualquier profesional DFIR, a las cuales debe responder. Las víctimas tienden a estar más interesadas en (o se les exige rastreen) detalles sobre los datos robados. Aunque la atribución no suele ser la pregunta más importante, conocer quienes podrían ser los posibles ciberatacantes ayudará a comprender sus intenciones y capacidades, y por lo tanto sobre cuales datos estarían más interesados capturar

Aunque claramente es de interés conocer sobre el compromiso o eventos de robo por si mismos, frecuentemente es de mucha ayuda conocer más sobre los eventos ocurridos inmediatamente antes o después del evento. Esto puede proporcionar al profesional un contexto muy útil sobre porque otras observaciones pueden ser importantes o no, así como si existen otros sistemas en el entorno los cuales también podrían estar comprometidos.

Una de las preguntas más frecuentes es sobre como se originó un evento de malware: ¿Llegó el malware a través de una descarga automática desde una red publicitaria comprometida? ¿Se incitó al usuario abra un archivo adjunto, o hacer clic en un enlace de una campaña de phishing o spear phishing?. La perspectiva de red puede frecuentemente proporcionar respuestas claras sobre como se inició el evento, lo cual puede caracterizar la intención y las capacidades de un ciberatacante.

Por último puede ser excesivamente útil comprender lo cual estaba sucediendo a través del entorno de la víctima al momento del evento sospechoso o malicioso. Este es un excelente método para detectar actividad maliciosa en un proceso conocido como definición alcance. Es raro una sola observación represente todo el alcance sobre una actividad maliciosa, por lo tanto observar cuales otros sistemas exhiben comportamientos conocidos o comportamientos los cuales se creen asociados con un evento de interés, puede proporciona una excelente ventana hacia cuan extenso puede ser un compromiso.

Fuentes:

https://ec.europa.eu/programmes/erasmus-plus/project-result-content/696…
 

OSINT por si mismo no es ni bueno ni malo; simplemente es. Lo cual el profesional realice con los datos puede ser luego descrita como algo bueno o malicioso. Las personas utilizan OSINT de diversas maneras, con propósito de ayudar y por muy buenas razones éticas.

Ciberataque: El reconocimiento es el sello distintivo de un excelente ciberataque. Realizar OSINT sobre objetivos y víctimas potenciales puede ayudar a los ciberatacantes ganen acceso hacia cuentas en línea, conocer patrones de las víctimas, y recolectar información importante para su uso posterior en futuros ataques de phishing, vishing, pretexting, y robo de identidad. Los ciberatacantes pueden encontrar información en internet sobre cuales sistemas de cómputo utilizan los objetivos, cuantos existen, como están configurados, y sus posibles debilidades.

Robo: Las funcionalidades de actividad en línea como publicación y geolocalización permiten a los ciberatacantes conocer donde están las víctimas y donde no. Existen ataques documentados contra la propiedad de usuarios utilizando software para rastreo de actividad.

Extorsión: Utilizando la información recolectada en línea, los ciberatacantes pueden descubrir información sensible, información privada sobre las víctimas, e intentar utilizarla para influir en las victimas.

Asalto/Secuestro: Con la vasta cantidad de datos de registro para geolocalización publicados por los usuarios en internet, los ciberatacantes pueden encontrar patrones en sus comportamientos, y utilizar estas observaciones para reunirse con sus víctimas para herirlas o secuestrarlas.

Crimen organizado: Encontrar objetivos quienes puedan aceptar sobornos o ser fácilmente coaccionados, es solo una de las razones por la cual las organizaciones criminales podrían utilizar OSINT.

Terrorismo: Desde la detección de patrones de tráfico e imágenes digitales sobre una localización física, hasta la comprensión de cuando ocurrirán ciertos eventos y las oportunidades para reclutamiento, los terroristas utilizan la OSINT para alcanzar sus metas.

Acoso, hostigamiento, intimidación y delitos contra la propiedad. Se tienen diversos métodos para rastrear las actividades de las personas, y algunas veces descubrir información privada sobre ellas. Los acosadores y quienes desean dañar a otros pueden aprovechar esta misma información para encontrar vulnerabilidades en sus víctimas y explotarlas.

Fuentes:

https://digistream.com/stories/osint-for-evil
https://www.bellingcat.com/resources/2024/04/25/oshit-seven-deadly-sins…
 

Las agencias de inteligencia a nivel mundial recopilan diariamente enormes cantidades de OSINT. Recolectan, procesan, analizan, y reportan sobre ocurrencias OSINT de varios objetivos, desde personas y empresas hasta adversarios y aliados. Desde los atentados terroristas del once de septiembre de año 2001 en Estados Unidos, se ha puesto un mayor enfoque en las agencias de inteligencia y en aquello lo cual cual pueden y no pueden recolectar, de donde la recolectan, y quien utiliza esta información. Parte del OSINT recolectado es utilizado para:

• Encontrar terroristas y definir sus redes. Así como las fuerzas del orden utilizan OSINT para mapear las afiliaciones criminales, las organizaciones de inteligencia hacen lo mismo con grupos terroristas y extremistas, rastreando sus actividades y movimientos a través de internet.
• Cuando ocurre un ciberataque o un ataque real, las agencias de inteligencia buscan comprender que persona o grupo lo realizó. OSINT puede ser útil en esta búsqueda.
• Los gobiernos requieren conocer donde se encuentran las fuerzas militares adversarias, donde han estado, y hacia donde podrían dirigirse a continuación. Las fotografías aéreas y las publicaciones de las tropas en redes sociales divulgan estos datos. La vigilancia de estos grupos a largo plazo también puede ser una meta.
• Las agencias de inteligencia algunas veces se encargan de localizar objetivos para ataques, ya sean cibernéticos, de reclutamiento humano, o ataques físicos. El análisis de datos de fuente abierta proporciona información de apoyo para este trabajo.
• La recolección de investigaciones técnicas y científicas sobre empresas o gobiernos puede ser el enfoque de actividades OSINT.

Fuentes:

https://www.dia.mil/About/Open-Source-Intelligence/
https://www.osint.uk/content/how-uk-government-agencies-use-osint