• Opinión: Espías en el aire
• Artículo: Seguridad en capas: Segmentando la red interna (routers y switches)
• Resumen de noticias de la semana
• El correo del lector

No hace mucho leía en un artículo que la U.E. iba a destinar un porcentaje de sus fondos para el desarrollo de un sistema de comunicaciones seguro, cuyos aspectos básicos son la generación de claves de encriptación y el intercambio de las mismas. El nombre de este proyecto es SECOQC ( Secure Communications Based on Quantum Cryptography ).

Se hace patente la reacción de Europa en el mundo de la encriptación, tardía en mi opinión; no pongamos en tela de juicio que Europa y EE.UU son aliados pero la pregunta es para qué, son aliados. ¿Por qué EE.UU tenía la necesidad de espiar a sus aliados en el frente económico?. Bueno la respuesta parece obvia, una economía fuerte hace a un país poderoso. La pregunta que me hago es ¿por qué Europa tardó tanto tiempo en responder a ECHELON?; para aquellos que no conocéis el sistema ECHELON a groso modo se trata de un sistema de comunicaciones que intercepta información transmitida por medios electrónicos y que está al servicio de EE.UU, Inglaterra, Nueva Zelanda, Canadá y Australia, imaginémonos el daño que puede hacer a un país un ingenio así. Las pérdidas económicas pueden ser astronómicas, sin entrar por supuesto en el ámbito militar.

Llevamos tiempo aclamando al mundo la falta de seguridad en las transmisiones electrónicas y la necesidad imperiosa de intentar encriptarlas lo máximo posible; ya no solo por el individuo en particular sino por las empresas importantes que desean mantener en secreto informes de mercado para evitar el conocimiento temprano de sus máximos competidores.

El SECOQC es un arma muy poderosa y según sus responsables estamos ante la panacea del mundo de la encriptación, lo malo de todo esto que primero se ofrece al mundo militar y a gobiernos; después su comercialización pública se hará cuando ya sea una tecnología desfasada y por tanto vulnerada y volveremos a estar a la cola del gigante americano. ¿O es que realmente piensan que esto será el santo grial de la encriptación y será imposible vulnerar su sistema?, hasta ahora todo ha caído; ¿por que no este también?. Bueno estaremos espectantes hasta su finalización estimada en 4 años; pero más espectantes estaremos para ver quién es el que al final se hace con el poder de este sistema y en que beneficiosos aspectos se utiliza si en el militar o en el económico. Hasta entonces nosotros los pobres usuarios y las pequeñas y medianas empresas seguiremos usando las claves públicas y privadas PGP´s o en su defecto el clásico papelito guardado bajo llave para evitar que nos intercepten esa información que queremos reservar ante los ojos de otros.

Para ECHELON: en la realización de este artículo no he utilizado la malla de Faraday, lo que aquí he expuesto es una humilde opinión de un humilde usuario.

Iching.
Miembro de la AIH.

Llegamos en esta serie de artículos a la parte que deberemos considerar a la vez más segura y más vulnerable: la red interna, donde funcionan los procesos internos de la empresa y donde la información que viaja es más comprometida. Es aquí donde debemos estar más atentos al flujo de información, donde un compromiso en la seguridad es más crítico y donde las medidas de seguridad deben de ser más extremas.

La primera medida que se debe plantear parte de la planificación de la estructura misma de la red. Se debe evitar, en lo posible, ofrecer a un posible atacante que haya conseguido introducirse en esta zona, facilidades para su transito. Para ello recurriremos a segmentar la red en zonas independientes, con tecnicas de segmentacion en el nivel de red (routers) y en el nivel de enlace (switches).

Segmentación por routers

La primera medida en la que debemos pensar es en la división de la red en zonas lógicas, por departamentos o por niveles de seguridad necesaria. Así, en una empresa de producción, podemos crear zonas para dirección, contabilidad, compras, ventas, almacén, fabricación y desarrollo, por ejemplo. Estas zonas deben estar separadas por routers que tengan capacidades mínimas de filtrado. Lo ideal es incluir en estas uniones equipos con propiedades de firewalling y en los que podamos definir unas reglas de seguridad.

Siguiendo el ejemplo que poníamos, no hay ningún motivo para que desde el almacén se necesite acceder a los equipos de desarrollo, pero este es un posible agujero para que se filtre información confidencial de la empresa. En general, las zonas deberían ser relativamente opacas entre sí, permitiéndose únicamente el paso de información a través de unos equipos estrictamente controlados en una zona especial: el centro de proceso de datos. De las características especiales de esta zona hablaremos en futuros artículos.

Con la red segmentada así, evitaremos que infecciones en un equipo de una zona se esparzan por toda la empresa. En el ataque del gusano blaster el verano pasado se dieron casos de empresas con seguridad perimetral bastante importante, que resultaron infectadas por un portátil de un comercial que había estado expuesto. Aparte del fallo de no tener antivirus de escritorio y no llevar una política adecuada de actualizaciones, de las que hablaremos más adelante, el hecho de no tener segmentada la red llevo a una infección generalizada en minutos.

Segmentación por switches.

Dentro de cada zona, existe siempre el riesgo de que, bien un usuario malintencionado o un atacante a través de un equipo comprometido, se dedique a espiar el tráfico de su red, con el fin de obtener datos como contraseñas de correo, conversaciones por mensajería instantánea y otro tipo de datos que puedan viajar en claro por la red. Para evitarlo, y de paso conseguir un importante aumento de la velocidad y rendimiento de nuestra red, es importante incorporar switches como núcleo del cableado de la red.

Un switch es, en realidad, como un router de nivel 2. Se encarga de escuchar los paquetes que le llegan, y los envía únicamente al puerto de red (dirección MAC) que los debe de escuchar. De esta forma, un tercer equipo no puede llegar a interceptar el tráfico entre otros dos, haciendo, en cierta manera, inútiles los sniffers.

Es aconsejable invertir en los switches de la red. Un buen switch gestionable, con buenas posibilidades para crear VLANs (segmentos aislados de red dentro del mismo switch), calidad de servicio (QoS) y otras funciones, puede ser la base de futuro para una red equilibrada, rápida y segura. Es muy interesante que el switch permita crear un puerto de monitorización, donde se escuche todo el tráfico que pasa por el mismo, ya que será importante de cara al momento de implantar un sistema de detección de intrusos (IDS), del que hablaremos más adelante.


Luisma
Miembro de la AIH 

• Problema de seguridad en el navegador Opera
  Una vulnerabilidad en el navegador Opera permite a un atacante falsificar la dirección que se muestra en la barra de direcciones del navegador y con ello hacer creer al usuario que está visitando la pagina web auténtica, cuando en realidad esta visitando un falso sitio web. Hasta el momento se ve afectada la version 7.52 para Windows. VSAntivirus publica un articulo con mas información. 
  
  

• MSN Messenger y Microsoft Word afectados por una nueva vulnerabilidad
  Un fallo de seguridad en MSN Messenger y Microsoft Word permite aprovechar la funcionalidad "shell:" de Windows al no restringir correctamente el acceso a la misma, esto permite que un atacante pueda llamar a ciertos programas que esten asociados con extensiones especificas. La explotación de esta vulnerabilidad lleva la limitacion de no poder pasar parametros con la llamada.

• Fallos de seguridad en todos los productos Mozilla
  La Fundación Mozilla confirma un agujero de seguridad en todos sus productos Mozilla y también anuncia que estos han sido corregidos. Esta vulnerabilidad afecta "unicamente" a los productos Mozilla instalados sobre "Windows XP". El problema esta en el protocolo "shell:" de este último, que permite a un atacante la ejecución de programas aleatorios.

• El gigante norteamericano y la multinacional española de software para la seguridad se asocian
  Panda Software anuncia el próximo lanzamiento de Panda ISASecure Antivirus para Microsoft Internet Security and Acceleration (ISA) Server 2004, una solución que impide a los virus y a cualquier otro tipo de contenido malicioso entrar en las redes corporativas, independientemente del tamaño de la empresa a la que pertenezcan.

Seguimos sin correo del lector parece que se empieza a notar la época vacacional, recordaros que estamos a vuestra disposición para cualquier tipo de duda relacionada con algún contenido de los informativos . Gracias por estar ahí semana tras semana.

Os recordamos, además, que sigue activa nuestra encuesta sobre que es lo que os gusta más del informativos.info, con la intención de dirigirlo más a vuestros gustos.
 

Copyright 2001-2004 - A.I.H.  Todos los derechos reservados.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.