Apéndice A. Protección del hardware y de la red

El mejor hábito antes de colocar una máquina en ambiente de producción o de conectar su red a la Internet, es determinar sus necesidades organizacionales y cómo la seguridad encaja dentro de estos requerimientos de la forma más transparente posible. Puesto que el objetivo principal del Manual de seguridad de Red Hat Enterprise Linux es el de explicar cómo asegurar Red Hat Enterprise Linux, un exámen más detallado de la seguridad del hardware y la seguridad física de la red, está más allá del ámbito de este documento. Sin embargo, este capítulo presenta una breve descripción del establecimiento de políticas de seguridad con respecto al hardware y las redes físicas. Factores importantes a considerar incluyen cómo las necesidades computacionales y los requerimientos de conectividad encajan en la estrategia general de seguridad. A continuación se explican estos factores en más detalle.

A partir de estas consideraciones generales, los administradores pueden tener una mejor imagen de la implementación. El diseño del ambiente computacional puede entonces estar basado tanto en las necesidades organizacionales como en las de seguridad — una implementación que valora ambos aspectos equitativamente.

A.1. Topologías de red seguras

La base de una LAN es la topología, o arquitectura de la red. Una topología es la distribución física y lógica de una LAN en términos de los recursos proporcionados, distancia entre nodos y medios de transmisión. Dependiendo de las necesidades de la organización a la que sirve la red, hay numerosas opciones disponibles para la implementación. Cada topología tiene sus ventajas y aspectos de seguridad que los arquitectos de redes deben tomar en cuenta cuando diseñan su distribución de red.

A.1.1. Topologías físicas

Como lo define el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), hay tres tipos comunes de topologías para la conexión física de una LAN.

A.1.1.1. Topología de Anillo

La topología Anillo conecta cada nodo a través de dos conexiones. Esto crea un anillo donde cada nodo es accesible al otro, bien sea directamente a través de uno de sus vecinos cercanos o indirectamente a través del anillo físico. Las redes Token Ring, FDDI y SONET son conectadas de esta forma (con FDDI utilizando una técnica de anillo dual); sin embargo, no hay conexiones Ethernet comunes usando esta topología física, por lo tanto los anillos no son utilizados comúnmente excepto en configuraciones institucionales con una gran base de nodos instalados (por ejemplo, una universidad).

A.1.1.2. Topología de Bus lineal

La topología de bus lineal consiste de nodos conectados a un cable lineal principal terminado (conocido como backbone). Esta topología de bus lineal requiere la menor cantidad de cableado y equipo de redes, haciéndola la topología más costo-efectiva. Sin embargo, el bus lineal depende de que el backbone esté constantemente disponible, convirtiéndolo en un punto de falla único si se tiene que colocar fuera de línea. Las topologías de bus lineal son comúnmente usadas en LANs punto a punto usando cables coaxiales y terminadores (adaptadores) de 50-93 ohm en ambos extremos del bus.

A.1.1.3. Topología de Estrella

La topología Estrella incorpora un punto central donde los nodos se conectan y a través del cual pasa la comunicación. Este punto central, llamado hub o concentrador puede ser difundido o conmutado. Esta topología introduce un punto de falla único en el hardware central que conecta a los nodos. Sin embargo, debido a esta centralización los problemas de red que afectan segmentos o la LAN misma, son fácilmente rastreables.

A.1.2. Consideraciones de transmisión

En una red de difusión, un nodo enviará un paquete que atraviesa cada nodo hasta que el recipiente acepte el paquete. Cada nodo en la red posiblemente reciba este paquete de datos hasta que el recipiente procese el paquete. En una red de difusión, todos los paquetes son enviados de esta forma.

En una red conmutada, los paquetes no son difundidos, pero son procesados en el concentrador conmutado el cual, en su turno, crea una conexión directa entre los nodos emisor y recipiente usando los principios de transmisión unicast. Esto elimina la necesidad de difundir paquetes a cada nodo y así se disminuye la sobrecarga de tráfico.

La red conmutada también previene que los paquetes sean interceptados por nodos o usuarios maliciosos. En una red de difusión, donde cada nodo recibe el paquete en camino a su destino, los usuarios maliciosos pueden colocar sus dispositivos Ethernet a modo promiscuo y aceptar todos los paquetes sin importar si los datos son dirigidos a ellos. Una vez en modo promiscuo, se puede usar una aplicación rastreadora para filtrar, analizar y reconstruir paquetes para obtener contraseñas, datos personales y mucho más. Las aplicaciones rastreadoras sofisticadas pueden almacenar esta información en archivos de texto y quizás, hasta enviarla a fuentes arbitrarias (por ejemplo, la dirección de correo del usuario malicioso).

Una red conmutada requiere de un switche de red; una pieza especializada de hardware la cual reemplaza el papel del concentrador tradicional en el cual todos los nodos en una LAN están conectados. Los switches almacenan las direcciones MAC de todos los nodos dentro de una base de datos interna, la cual es usada para llevar a cabo su enrutamiento directo. Muchos fabricantes, incluyendo Cisco Systems, Linksys y Netgear ofrecen varios tipos de swiches con características como compatibilidad 10/100-Base-T, soporte Ethernet a nivel de gigabits y soporte de Carrier Sensing Multiple Access and Collision Detection (CSMA/CD) lo cual es ideal para redes de gran tráfico porque encola las conexiones y detecta cuando los paquetes colisionan.

A.1.3. Redes inalámbricas

Un problema emergente para las empresas de hoy es el aspecto de movilidad. Los trabajadores remotos, los técnicos de campo y los ejecutivos, requieren soluciones portátiles, tales como laptos, asistentes digitales personales (Personal Digital Assistants, PDAs), y acceso inalámbrico a los recursos de la red. La IEEE ha establecido un cuerpo de estándares para la especificación inalámbrica 802.11, la cual establece los estándares para la comunicación inalámbrica de datos a lo largo de todas las industrias. El estándar actual en práctica hoy día es la especificación 802.11b.

Las especificaciones 802.11b y 802.11g son actualmente un grupo de estándares que rigen la industria de las comunicaciones inalámbricas y el control de acceso en el espectro de frecuencia de radio (RF) sin licencia de 2.4GHz (802.11a utiliza un espectro de 5GHz). Estas especificaciones han sido aprobadas como estándares por la IEEE y muchos fabricantes comercializan productos y servicios 802.11x. Los consumidores también han asumido el estándar para redes de pequeñas de oficinas/hogar (también conocidas como SOHO). La popularidad se ha extendido desde LANs a MANs (Redes de área metropolitana), especialmente en áreas muy pobladas donde están disponibles concentraciones de puntos de acceso inalámbricos (WAPs). También hay Proveedores de acceso a Internet inalámbrico (WISPs) que sirven a los viajeros frecuentes que requieren acceso a Internet de banda ancha para llevar sus negocios remótamente.

Las especificaciones 802.11x permiten conexiones directas, punto a punto, entre nodos con NICs inalámbricas. Este grupo suelto de nodos, llamados una red ad hoc, es ideal para una conexión rápida entre dos o más nodos, pero introduce problemas de escalabilidad que no son adecuados para conectividad inalámbrica dedicada.

Una solución más adecuada para el acceso inalámbrico en estructuras fijas es instalando uno o más WAPs que se conectan a la red tradicional y permiten a los nodos inalámbricos conectarse al WAP como que si fuera en la red Ethernet. El WAP actúa efectivamente como un puente entre los nodos conectados a él y el resto de la red.

A.1.3.1. Seguridad de 802.11x

Aún cuando las redes inalámbricas son comparables en velocidad y ciertamente más convenientes que los medios de interconexión cableados tradicionales, hay algunas limitaciones a la especificación que merecen una consideración rigurosa. La más importante de estas limitaciones está en la implementación de la seguridad.

Con la emoción de desplegar exitósamente una red 802.11x, muchos administradores fallan en poner en práctica aún las precauciones de seguridad más básicas. Puesto que todas las redes 802.11x son hechas usando señales RF de banda alta, los datos transmitidos son fácilmente accesibles a cualquier usuario con un NIC compatible, una herramienta de escaneo de redes inalámbricas tal como NetStumbler o Wellenreiter y herramientas comunes de huzmeo tales como dsniff y snort. Para prevenir tales aberraciones del uso de redes inalámbricas privadas, el estándar 802.11b utiliza el protocolo Wired Equivalency Privacy (WEP), el cual está basado en RC4 con encriptación de llaves compartidas de 64- o 128-bit entre nodos o entre el AP y el nodo. Esta llave cifra las transmisiones y descifra los paquetes entrantes de forma transparente y dinámica. Los administradores fallan a menudo en emplear este esquema de cifrado de llaves compartidas, sin embargo, quizás lo hacen porque se olvidan de hacerlo o elijen no hacerlo debido a la degradación del rendimiento (especialmente en largas distancias). Al habilitar WEP en una red inalámbrica se puede reducir significativamente la posibilidad de intercepción de los datos.

Red Hat Enterprise Linux es compatible con varios productos 802.11x de varios fabricantes. La Herramienta de administración de redes incluye una facilidad para la configuración de NICs inalámbricas y seguridad de WEP. Para información sobre el uso de la Herramienta de administración de redes, refiérase al capítulo llamado Configuración de redes en el Manual de administración del sistema de Red Hat Enterprise Linux.

Sin embargo, confiar en WEP, no es suficiente protección en contra de los usuarios maliciosos bien determinados. Hay utilitarios especializados diseñados específicamente para romper el algoritmo de encriptación RC4 WEP protegiendo una red inalámbrica y exponer la llave compartida. AirSnort y WEP Crack son dos de estas aplicaciones especializadas. Para protegerse contra esto, los administradores deberían acatar políticas estrictas con respecto al uso de los métodos inalámbricos para acceder a información confidencial. Los administradores deben seleccionar aumentar la seguridad de la conectividad inalámbrica introduciendo una capa de cifrado adicional por encima de la encriptación WEP. Usando esta política, un usuario malicioso fuera de la red que viole el cifrado WEP tiene que adicionalmente descifrar la encriptación VPN o SSH, la cual, dependiendo del método de cifrado, puede emplear hasta el triple de la fortaleza con un algoritmo de 168-bit DES (3DES) o con algoritmos propietarios de aún mayor fortaleza. Los administradores que aplican tales políticas deberían restringir protocolos de texto plano tales como Telnet o FTP, pues las contraseñas y los datos pueden ser expuestos usando cualquiera de los ataques antes mencionados.

A.1.4. Segmentación de redes y DMZs

Para administradores que deseen ejecutar servicios accesibles externamente tales como HTTP, email, FTP y DNS, se recomienda que estos servicios disponibles públicamente estén física y/o lógicamente segmentados de la red interna. Los cortafuegos y el endurecimiento de hosts y aplicaciones, son formas efectivas para disuadir intrusos casuales. Sin embargo, un pirata determinado puede encontrar formas dentro de la red interna si los servicios que ellos han violado residen en el mismo enrutador lógico que el resto de la red. Los servicios accesibles externamente deberían residir en lo que en la industria de seguridad se conoce como zona desmilitarizada (DMZ), un segmento de red lógico donde el tráfico entrante desde Internet sólo podrá acceder esos servicios y no tiene permitido acceder la red interna. Esto es efectivo en que, aún cuando un usuario malicioso explota una máquina en el DMZ, el resto de la red interna queda detrás del cortafuegos en un segmento separado.

La mayoría de las empresas tienen un pool limitado de direcciones IP enrutables desde las cuales ellos pueden hospedar servicios externos, por lo tanto los administradores usan reglas de cortafuegos elaboradas para aceptar, reenviar, rechazar y negar transmisiones de paquetes. Las políticas de cortafuegos implementadas con iptables o con hardware de cortafuegos dedicado, permiten enrutamiento y reglas de reenvio complejas , que los administradores pueden usar para segmentar el tráfico entrante a servicios específicos en puertos y direcciones especificadas, así como también permitir únicamente que la LAN accese a los servicios internos, lo que puede prevenir IP spoofing. Para más información sobre la implementación de iptables, refiérase al Capítulo 7.