Acceso en la nube

Controles de acceso basados en la nube

A medida que las organizaciones trasladan su infraestructura y aplicaciones a proveedores de servicios basados en la nube, las organizaciones también optan por emplear la autenticación basada en la nube.

Los protocolos que se utilizan para la gestión de acceso basada en la nube, como SAML, RADIUS y TACACS, todavía se utilizan. La principal diferencia con el acceso basado en la nube es que los servidores de directorio están en la nube, ya sea en la infraestructura basada en la nube de una organización o mediante un servicio de autenticación basado en la nube.

Controles de acceso descentralizados

Los sistemas de control de acceso descentralizados mantienen la información de la cuenta del usuario en ubicaciones separadas, mantenidas por los mismos o diferentes administradores, en toda una organización o empresa. Este tipo de sistema tiene sentido en organizaciones extremadamente grandes o en situaciones donde es necesario un control muy granular de relaciones y derechos de acceso de usuarios complejos. En un sistema de este tipo, los administradores suelen tener un conocimiento más profundo de las necesidades de sus usuarios y pueden aplicar los permisos apropiados, por ejemplo, en un laboratorio de investigación y desarrollo o en una planta de fabricación industrial. Sin embargo, los sistemas de control de acceso descentralizados también tienen varias desventajas potenciales.

Por ejemplo, las organizaciones pueden aplicar políticas de seguridad de manera inconsistente en varios sistemas, lo que resulta en un nivel de acceso incorrecto (demasiado o insuficiente) para usuarios particulares; y si necesita deshabilitar numerosas cuentas para un usuario individual, el proceso se vuelve mucho más laborioso y propenso a errores.

Autenticación de factor único/multifactor

La autenticación es un proceso de dos pasos que consta de identificación y autenticación (I&A). La identificación es el medio por el cual un usuario o sistema (sujeto) presenta una identidad específica (como un nombre de usuario) a un sistema (objeto). La autenticación es el proceso de verificar esa identidad. Por ejemplo, una combinación de nombre de usuario y contraseña es una técnica común (aunque débil) que demuestra los conceptos de identificación (nombre de usuario) y autenticación (contraseña).

La autenticación se basa en cualquiera de estos factores:

• Algo que usted sabe, como una contraseña o un número de identificación personal (PIN): este concepto se basa en el supuesto de que solo el propietario de la cuenta conoce la contraseña secreta o el PIN necesario para acceder a la cuenta.

Las combinaciones de nombre de usuario y contraseña son el mecanismo de autenticación más simple, menos costoso y, por lo tanto, más común implementado en la actualidad.

Por supuesto, las contraseñas a menudo se comparten, se roban, se adivinan o se comprometen de otra manera; por lo tanto, también son uno de los mecanismos de autenticación más débiles.

• Algo que tenga, como una tarjeta inteligente, un token de seguridad o un teléfono inteligente: este concepto se basa en el supuesto de que solo el propietario de la cuenta tiene la clave necesaria para desbloquear la cuenta. Las tarjetas inteligentes, los tokens USB, los teléfonos inteligentes y los llaveros son cada vez más comunes, especialmente en entornos relativamente seguros como instituciones financieras. Muchas aplicaciones en línea, como LinkedIn y Twitter, también han implementado la autenticación de múltiples factores. Aunque las tarjetas inteligentes y los tokens son un poco más caros y complejos que otros mecanismos de autenticación menos seguros, no son (normalmente) prohibitivos, ni complicado de implementar, administrar y usar. Los teléfonos inteligentes que pueden recibir mensajes de texto o ejecutar aplicaciones de token de software como Google Authenticator o Microsoft Authenticator son cada vez más populares debido a su menor costo y conveniencia. Independientemente del método elegido, todas las formas de autenticación multifactor brindan un impulso significativo a la seguridad de la autenticación. Por supuesto, los tokens, las tarjetas inteligentes y los teléfonos inteligentes a veces se pierden, se los roban o se dañan.

Dato curioso: Debido a los riesgos asociados con los mensajes de texto (como las estafas de portabilidad de teléfonos móviles), el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ha desaprobado el uso de mensajes de texto para la autenticación multifactor.

Recuerda que la autenticación se debe basar en: algo que sabes, algo que tienes o algo que eres.

Identificación y autenticación (I&A)

Las diversas técnicas de identificación y autenticación (I&A) que analizamos en las siguientes sección incluyen contraseñas/frases de contraseña y PIN (basadas en el conocimiento); biometría y comportamiento (basado en características); y contraseñas de un solo uso, tokens e inicio de sesión único (SSO).

El componente de identificación es normalmente un mecanismo relativamente simple basado en un nombre de usuario o, en el caso de un sistema o proceso, basado en un nombre de computadora o proceso, dirección de control de acceso a medios (MAC), dirección de protocolo de Internet (IP) o ID de proceso. (PID). Los requisitos de identificación incluyen solo que debe identificar de manera única al usuario (o sistema/proceso) y no debe identificar el rol de ese usuario o la importancia relativa en la organización (la identificación no debe incluir etiquetas como contabilidad o director general). No se deben permitir cuentas comunes, compartidas y grupales, como raíz, administrador o sistema. Tales cuentas no brindan responsabilidad y son objetivos principales para seres maliciosos.

Recuerda: La identificación es el acto de reclamar una identidad específica. La autenticación es el acto de verificar esa identidad.

Autenticación de un solo factor

La autenticación de un solo factor requiere solo uno de los tres factores anteriores discutidos anteriormente (algo que sabes, algo que tienes o algo que eres) para la autenticación. Los mecanismos comunes de autenticación de un solo factor incluyen contraseñas y frases de contraseña, contraseñas de un solo uso y números de identificación personal (PIN).

CONTRASEÑAS Y FRASES DE CONTRASEÑA

 “Una contraseña debería ser como un cepillo de dientes. Úselo todos los días; cámbielo regularmente; y NO lo compartas con amigos.” –USENET

Las contraseñas son fácilmente las credenciales de autenticación más comunes y más débiles que se usan en la actualidad. Aunque existen tecnologías de autenticación más avanzadas y seguras disponibles, incluidos los tokens y la biometría, las organizaciones suelen utilizar esas tecnologías como complementos o en combinación con los nombres de usuario y contraseñas tradicionales, en lugar de reemplazarlos.

Una frase de contraseña es una variación de una contraseña; utiliza una secuencia de caracteres o palabras, en lugar de una única contraseña. Por lo general, los atacantes tienen más dificultades para descifrar frases de contraseña que para descifrar contraseñas normales porque las frases de contraseña más largas suelen ser más difíciles de descifrar que las contraseñas más cortas y complejas.

Las frases de contraseña también tienen las siguientes ventajas:

• Los usuarios utilizan con frecuencia las mismas contraseñas para acceder a numerosas cuentas; ¡sus redes corporativas, sus ordenadores personales, su Gmail o Hotmail!  cuentas de correo electrónico, sus cuentas de Netflix y sus cuentas de Amazon, por ejemplo. Por lo tanto, un atacante que tiene como objetivo a un usuario específico puede obtener acceso a su cuenta de trabajo si busca un sistema menos seguro, como el ordenador de su hogar, o si compromete una cuenta de Internet (porque el usuario tiene contraseñas convenientemente almacenadas). Los sitios de Internet y los ordenadores personales generalmente no usan frases de contraseña, por lo que aumenta las posibilidades de que tus usuarios tengan que usar diferentes contraseñas/frases de contraseña para acceder a sus cuentas de trabajo.

Inconvenientes:

• Los usuarios pueden recordar y escribir frases de contraseña más fácilmente de lo que pueden recordar y escribir una contraseña críptica mucho más corta que requiere acrobacias con los dedos torcidos para escribirla en un teclado.
• Los pueden poner mucha resistencia a usar frases de contraseña, por lo que puede ser un método difícil de implantar. No todo el mundo es creativo.
• No todos los sistemas admiten frases de contraseña.
• Muchas interfaces y herramientas de línea de comandos no admiten el carácter de espacio que separa las palabras en una frase de contraseña.
• Al final, una frase de contraseña sigue siendo solo una contraseña (aunque mucho más larga y mejor) y, por lo tanto, comparte algunos de los mismos problemas asociados con las contraseñas.

Tal como hemos visto, las contraseñas puedes ser:

·         Inseguras

·         Fáciles de romper

·         Fáciles de robar

·         Inconveniente que puede poner los usuarios (ejemplo frases)

·         Refutable (no garantiza al 100% que fue un usuario el que accedió)

Imagen que muestra el tiempo que se tarda actualmente en romper una contraseña

Las contraseñas tienen los siguientes controles de inicio de sesión y funciones de administración que debe configurar de acuerdo con la política de seguridad y las mejores prácticas de seguridad de una organización:

Longitud: Generalmente, cuanto más larga, mejor. Una contraseña es, en efecto, una clave de cifrado. Así como las claves de cifrado más grandes (como 1024 bits o 2048 bits) son más difíciles de descifrar, también lo son las contraseñas más largas. Debe configurar los sistemas para que requieran una longitud mínima de contraseña de diez a quince caracteres. Por supuesto, los usuarios pueden olvidar fácilmente contraseñas largas o simplemente poner mucha resistencia al usarla.

Complejidad: las contraseñas seguras contienen una combinación de letras mayúsculas y minúsculas, números y caracteres especiales como # y &. Tener en cuenta que es posible que algunos sistemas no acepten determinados caracteres especiales o que esos caracteres realicen funciones especiales (por ejemplo, en el software de emulación de terminal).

Caducidad (o caducidad máxima de la contraseña): debe establecer la caducidad máxima caducidad de la contraseña para requerir cambios de contraseña a intervalos regulares: los períodos de 30, 60 o 90 días son comunes.

Antigüedad mínima de la contraseña: Esto evita que un usuario cambie su contraseña con demasiada frecuencia. La configuración recomendada es de uno a diez días para evitar que un usuario eluda fácilmente los controles del historial de contraseñas (por ejemplo, cambiando su contraseña cinco veces en unos pocos minutos y luego volviendo a establecer su contraseña original). 

Reutilización: la configuración de reutilización de contraseñas (de cinco a diez es común) permite que un sistema recordar las contraseñas utilizadas anteriormente (o, más apropiadamente, sus hashes) para una cuenta específica. Esta configuración de seguridad evita que los usuarios eludan la caducidad máxima de la contraseña al alternar entre dos o tres contraseñas conocidas cuando se les pide que cambien sus contraseñas.

Intentos limitados: este control limita el número de inicios de sesión fallidos intentos y consta de dos componentes: umbral de contador (por ejemplo, tres o cinco) y puesta a cero del contador (por ejemplo, 5 o 30 minutos). El umbral del contador es el número máximo de intentos fallidos consecutivos permitidos antes de que ocurra alguna acción (como deshabilitar automáticamente la cuenta). El reinicio del contador es la cantidad de tiempo entre intentos fallidos.

Duración del bloqueo (o bloqueo de intrusos): cuando un usuario supera el umbral del contador que describimos en el punto anterior, la cuenta se bloquea. Las organizaciones suelen establecer la duración del bloqueo en 30 minutos, pero puede establecerla para cualquier duración. Si establece la duración para siempre, un administrador debe desbloquear la cuenta.

Períodos de tiempo limitados: este control restringe la hora del día en que un usuario puede iniciar sesión. Por ejemplo, puede reducir efectivamente el período de tiempo que los atacantes pueden comprometer sus sistemas al limitar el acceso de los usuarios solo al horario comercial. Sin embargo, este tipo de control se está volviendo menos común en la era moderna de los adictos al trabajo y la economía global, los cuales requieren que los usuarios realicen el trabajo legítimamente a todas horas del día.

Certificados digitales

Se puede instalar un certificado digital en el dispositivo del usuario. Cuando el usuario intenta autenticarse en un sistema, el sistema consultará el dispositivo del usuario en busca del certificado digital para confirmar la identidad del usuario. Si se puede obtener el certificado digital y si se confirma que es genuino, el usuario puede iniciar sesión.

La autenticación con certificado digital también ayuda a obligar a los usuarios a iniciar sesión utilizando solo dispositivos proporcionados por la empresa. Esto presupone el hecho de que el usuario no puede copiar el certificado digital en otro dispositivo, tal vez de propiedad personal, o que un intruso no puede copiar el certificado en su propio dispositivo.

Al implementar certificados digitales en dispositivos como ordenadores portátiles, los administradores deben asegurarse de implementar un certificado por dispositivo o por usuario en cada ordenador portátil, no un certificado general de la empresa.

Biométrica

El único método absoluto para identificar positivamente a un individuo es basar la autenticación en alguna característica física o conductual única de ese individuo. La identificación biométrica utiliza características físicas, incluidas las huellas dactilares, la geometría de la mano y rasgos faciales como los patrones de la retina y el iris.

La biometría del comportamiento se basa en mediciones y datos derivados de una acción, y mide indirectamente las características del cuerpo humano. Las características de comportamiento incluyen voz, firma y patrones de pulsación de teclas.

La biometría se basa en el tercer factor de autenticación: algo que eres.

Los sistemas de control de acceso biométrico aplican el concepto de identificación y autenticación (I&A) de forma ligeramente diferente, dependiendo de su uso:

• Controles de acceso físico: El individuo presenta los datos biométricos requeridos característica y el sistema intenta identificar a la persona haciendo coincidir la característica de entrada con su base de datos de personal autorizado. Este tipo de control también se conoce como búsqueda de uno a muchos.
• Controles de acceso lógico: el usuario ingresa un nombre de usuario o PIN (o inserta una tarjeta inteligente) y luego presenta la característica biométrica requerida para la verificación. El sistema intenta autenticar al usuario haciendo coincidir la identidad declarada y el archivo de imagen biométrica almacenado para esa cuenta. Este tipo de control también se conoce como búsqueda uno a uno.

La autenticación biométrica, en sí misma, no proporciona una autenticación sólida porque se basa solo en uno de los tres requisitos de autenticación: algo que tu eres. Para ser considerado un mecanismo de autenticación realmente sólido, la autenticación biométrica debe incluir algo que tu sepas y algo que tienes.

Responsabilidad

El concepto de responsabilidad se refiere a la capacidad de un sistema para asociar usuarios y procesos con sus acciones (lo que hicieron). Los registros de auditoría y los registros del sistema son componentes de la responsabilidad.

Los sistemas utilizan registros de auditoría y pistas de auditoría principalmente como medio para solucionar problemas y verificar eventos. Los usuarios no deben ver los registros de auditoría y las pistas de auditoría como una amenaza o como un “hermano mayor” que los vigila porque no se puede confiar en ellos.

De hecho, los usuarios astutos consideran estos mecanismos como protectores, porque no solo prueban lo que hicieron, sino que también ayudan a probar lo que no hicieron. Aún así, es aconsejable que los usuarios sepan que los sistemas que utilizan, registran sus acciones.

Un concepto de seguridad importante que está estrechamente relacionado con la responsabilidad de lo que se hace, ese “responder de mis acciones”, es el no repudio. No repudio significa que un usuario (nombre de usuario Pepe Pérez) no puede negar una acción porque su identidad está positivamente asociada con sus acciones.

El no repudio es un concepto legal importante. Si un sistema permite que los usuarios inicien sesión con una cuenta de usuario genérica, o una cuenta de usuario que tiene una contraseña ampliamente conocida, o ninguna cuenta de usuario, entonces no puede asociar absolutamente a ningún usuario con una determinada acción (maliciosa) o ( no autorizado) en ese sistema, lo que hace que sea extremadamente difícil procesar o disciplinar a ese usuario.

La responsabilidad en los servicios AAA (autenticación, autorización y responsabilidad) registra siempre lo que hizo un sujeto. Está por descontando, que no se debe aceptar ya ningún sistema que no cumpla las AAA.

No repudio significa que un usuario no puede negar una acción porque usted puede asociarlo irrefutablemente con esa acción.

Gestión de sesiones

Una sesión es un término formal que se refiere al diálogo de un usuario individual, o a una serie de interacciones, con un sistema de información. Los sistemas de información necesitan rastrear las sesiones de los usuarios individuales para distinguir correctamente las acciones de un usuario de las de otro.

Para proteger la confidencialidad e integridad de los datos accesibles a través de una sesión, los sistemas de información generalmente utilizan tiempos de espera de sesión o actividad para evitar que un usuario no autorizado continúe una sesión que ha estado inactiva o inactiva durante un período de tiempo específico.

Se utilizan dos medios principales de tiempos de espera de sesión:

• Protectores de pantalla. Implementado por el sistema operativo, un protector de pantalla bloquea la estación de trabajo o el dispositivo móvil y requiere que el usuario vuelva a iniciar sesión en el sistema después de un período de inactividad. El protector de pantalla de la estación de trabajo o del dispositivo móvil protege todas las sesiones de la aplicación. Asegúrese de que esto realmente bloquee la pantalla o el dispositivo, ya que algunos sistemas se pueden configurar para que no requieran un PIN o contraseña para desbloquearlos.
• Tiempos de espera de inactividad. Las aplicaciones de software individuales pueden utilizar un auto función de bloqueo o cierre de sesión automático si un usuario ha estado inactivo durante un período de tiempo específico. 

Por ejemplo, si un usuario autorizado deja una terminal de un ordenador desbloqueada o una ventana del navegador en una estación de trabajo desatendida, un usuario no autorizado puede simplemente sentarse en la estación de trabajo y continuar la sesión.

Los tiempos de espera de inactividad de la estación de trabajo se denominaron originalmente “protectores de pantalla” para evitar que una imagen estática en una pantalla de tubo de rayos catódicos (CRT) se queme en la pantalla. Si bien los monitores actuales no requieren esta protección, el término “protector de pantalla” todavía es de uso común.

Registro y acreditación de identidad

Los procesos formales de registro de usuarios son importantes para el aprovisionamiento seguro de cuentas, particularmente en organizaciones grandes donde no es práctico o posible conocer a todos los trabajadores. Esto es particularmente crítico en entornos SSO donde los usuarios tendrán acceso a múltiples sistemas y aplicaciones.

La prueba de identidad a menudo comienza en el momento de la contratación, cuando generalmente se requiere que los nuevos trabajadores muestren una identificación emitida por el gobierno y el estado legal de derecho a trabajar. Estos procedimientos deben constituir la base para el registro inicial de usuarios en los sistemas de información.

Las organizaciones deben tomar varias precauciones al registrarse y aprovisionar usuarios:

Identidad del usuario. La organización debe asegurarse de que las nuevas cuentas de usuario se aprovisionen y entreguen al usuario correcto.

Protección de la privacidad. La organización no debe utilizar el número de la Seguridad Social por ejemplo, fecha de nacimiento u otra información privada sensible para autenticar al usuario.

En su lugar, se deben utilizar otros valores, como el número de empleado (u otros que no puedan obtener otros empleados).

Credenciales temporales. La organización debe asegurarse de que las credenciales de inicio de sesión temporales se asignen a la persona correcta. Otros no deberían poder adivinar fácilmente las credenciales temporales. Finalmente, las credenciales temporales deben configurarse para que caduquen en un corto período de tiempo.

Acceso a la primogenitura. La organización debe revisar periódicamente qué derecho de nacimiento se otorga a los nuevos trabajadores, siguiendo los principios de necesidad de saber y privilegio mínimo.

Se producen consideraciones adicionales sobre la identidad del usuario cuando un usuario intenta iniciar sesión en un sistema. Estos son

Ubicación geográfica. Esto se puede derivar de la dirección IP del usuario.

Esto no es absolutamente confiable, pero puede ser útil para determinar la ubicación del usuario. Muchos dispositivos, en particular los teléfonos inteligentes y las tabletas, utilizan la tecnología GPS para la información de ubicación, que generalmente es más confiable que la dirección IP.

Estación de trabajo en uso. La organización puede tener políticas sobre si un usuario puede iniciar sesión con una estación de trabajo de quiosco de propiedad personal o pública.

Tiempo transcurrido desde el último inicio de sesión. Cuánto tiempo ha pasado desde la última vez que el usuario iniciado sesión en el sistema o la aplicación.

Intento de inicio de sesión después de intentos fallidos. Si ha habido intentos de inicio de sesión fallidos recientes.

Dependiendo de las condiciones anteriores, el sistema puede configurarse para presentar desafíos adicionales al usuario. Estos desafíos aseguran que la persona que intenta iniciar sesión sea realmente el usuario autorizado, no otra persona o máquina.

Esto se conoce como autenticación basada en riesgos.

---

Conclusión

Como hemos visto, la gestión de identidades y accesos es un conjunto de procesos y tecnologías que se utilizan para controlar el acceso a activos críticos. Junto con otros controles críticos, IAM es parte del núcleo de la seguridad de la información: cuando se implementa correctamente, las personas no autorizadas no pueden acceder a los activos críticos. Es menos probable que ocurran violaciones y otros abusos de información y activos.

Gestión de identidades IAM

Implementación de la gestión de identidad

Administrar la identificación y autenticación de personas, dispositivos y servicios

La actividad central dentro de la administración de identidades y accesos (IAM) es la administración de identidades, incluidas las personas, los dispositivos y los servicios. En laboratorio, describimos los procesos y las tecnologías que se utilizan en la actualidad.

Implementación de gestión de identidad

La implementación de la gestión de identidades comienza con un plan. Un sistema de administración de identidad y acceso (IAM) en una organización es un sistema complejo y distribuido que toca sistemas, redes y aplicaciones, y también controla el acceso a los activos. Un sistema IAM también incluye los procesos comerciales que funcionan junto con las tecnologías y el personal de IAM para realizar el trabajo.

Un sistema IAM es probablemente la función más importante que implementará una organización. Después de la propia red, el sistema IAM suele ser el más crítico en un entorno, porque el sistema IAM controla el acceso a todos los sistemas y aplicaciones.

Inicio de sesión único (SSO)

El concepto de inicio de sesión único (SSO) aborda un problema común tanto para los usuarios como para los administradores de seguridad. Cada cuenta que existe en un sistema, red o aplicación es un punto potencial de acceso no autorizado. Varias cuentas que pertenecen a un solo usuario representan un riesgo aún mayor:

• Los usuarios que necesitan acceso a múltiples sistemas o aplicaciones a menudo deben mantener numerosas credenciales. Inevitablemente, esto conduce a atajos en la creación y recuperación de contraseñas. Abandonados a sus propios dispositivos, los usuarios crean contraseñas débiles que solo tienen ligeras variaciones o, peor aún, usarán las mismas contraseñas en todos los lugares que puedan. Cuando tienen múltiples conjuntos de credenciales para administrar, es más probable que los usuarios las anoten. No se detiene en los límites de la organización: los usuarios a menudo usan las mismas contraseñas en el trabajo que usan para sus cuentas personales.
• Varias cuentas también afectan la productividad del usuario porque el usuario debe detenerse para iniciar sesión en diferentes sistemas. Alguien también debe crear y mantener cuentas, lo que implica desbloquear cuentas y brindar soporte, eliminar, restablecer y deshabilitar múltiples conjuntos de ID de usuario y contraseñas.

A primera vista (por desgracia), SSO parece la solución “perfecta” que buscan los usuarios y los administradores de seguridad. SSO permite que un usuario presente un conjunto único de credenciales de inicio de sesión, generalmente a un servidor de autenticación, que luego registra al usuario de manera transparente en todos los demás sistemas y aplicaciones empresariales para los que ese usuario está autorizado. Por supuesto, SSO tiene algunas desventajas, que incluyen:

¡Guau!: Después de autenticarte, tienes las llaves del reino.

Lo puedes entender como que ya tienes acceso a todos los recursos autorizados Es la pesadilla del profesional de la seguridad. Si las credenciales de inicio de sesión de las cuentas de un usuario se ven comprometidas, un intruso puede acceder a todo lo que el usuario final estaba autorizado a acceder. Piensa lo que podría pasar en un Ayuntamiento.

Complejidad

Implementar SSO puede ser difícil y llevar mucho tiempo. Debe abordar los problemas de interoperabilidad entre diferentes sistemas y aplicaciones. 

Lenguaje de marcado de aserción de seguridad (SAML)

El protocolo de facto para la autenticación, SAML, se utiliza para facilitar la autenticación de usuarios entre sistemas y entre organizaciones, a través del intercambio de información de autenticación y autorización entre organizaciones. SAML es el pegamento que se utiliza para hacer funcionar la mayoría de los sistemas de inicio de sesión único (SSO).

Como sugiere su nombre completo, SAML es un lenguaje de marcado XML. XML se está convirtiendo en un método estándar para intercambiar información entre sistemas diferentes.

Kerberos 

Kerberos, comúnmente utilizado en Sun Network File System (NFS) y Microsoft Windows, es quizás el protocolo de autenticación de claves simétricas basado en tickets más popular que se usa en la actualidad.

Kerberos lleva el nombre del feroz perro de tres cabezas que guarda las puertas del Hades en la mitología griega. Investigadores del Instituto Tecnológico de Massachusetts (MIT, también conocido como Millionaires in Training) desarrollaron este protocolo de sistemas abiertos a mediados de la década de 1980.

Kerberos es un protocolo complejo que tiene muchas implementaciones diferentes y no tiene una explicación simple. La siguiente discusión paso a paso es una descripción básica del funcionamiento de Kerberos:

1)El cliente solicita al sujeto (como un usuario) un identificador y una credencial (por ejemplo, nombre de usuario y contraseña). Con la información de autenticación (contraseña), el cliente genera y almacena temporalmente una clave secreta para el sujeto mediante una función hash unidireccional y luego envía solo la identificación del sujeto (nombre de usuario) al servidor de autenticación (AS) del Centro de distribución de claves (KDC). La contraseña/clave secreta no se envía al KDC:

2) El AS en el KDC verifica que el sujeto (conocido como principal) existe en la base de datos del KDC. El Servicio de concesión de tickets (TGS) del KDC genera una clave de sesión de cliente/TGS cifrada con la clave secreta del sujeto, que solo conocen el TGS y el cliente. El TGS también genera un Ticket de concesión de tickets (TGT), que consta de la identificación del sujeto, la dirección de red del cliente, el período de validez del ticket y la clave de sesión del cliente/TGS. El TGS encripta el TGT utilizando su clave secreta, que solo el TGS conoce, luego envía la clave de sesión del cliente/ TGS y el TGT al cliente.

3) El cliente descifra la clave de sesión del cliente/TGS (usando la clave secreta almacenada que generó usando la contraseña del sujeto), autentica al sujeto (usuario) y luego borra la clave secreta almacenada para evitar un posible compromiso. El cliente no puede descifrar el TGT, que el TGS cifró mediante la clave secreta de TGS.

4) Cuando el sujeto solicita acceso a un objeto específico (como un servidor, también conocido como principal), envía el TGT, el identificador del objeto (como un nombre de servidor) y un autenticador al TGS en el KDC. (El autenticador es un mensaje separado que contiene la identificación del cliente y una marca de tiempo, y usa la clave de sesión del cliente/TGS para encriptarse).

5) El TGS en el KDC genera una clave de sesión de cliente/servidor (que cifra mediante el uso de la Clave de Sesión Cliente/TGS) y un Ticket de Servicio (que consta de la identificación del sujeto, la dirección de red del cliente, el período de validez del ticket y la Clave de Sesión Cliente/Servidor). El TGS encripta el Ticket de Servicio utilizando la clave secreta del objeto solicitado (servidor), que solo conocen el TGS y el objeto. Luego, el TGS envía la clave de sesión del cliente/servidor y el vale de servicio al cliente.

6) El cliente descifra la clave de sesión de cliente/servidor mediante la clave de sesión de cliente/TGS. El cliente no puede descifrar el Ticket de Servicio, que el TGS cifró utilizando la clave secreta del objeto solicitado.

7) El cliente puede entonces comunicarse directamente con el objeto solicitado (servidor).

El cliente envía el Ticket de Servicio y un autenticador al objeto solicitado (servidor). El cliente cifra el autenticador (que comprende la identificación del sujeto y una marca de tiempo) utilizando la clave de sesión de cliente/servidor que generó el TGS. El objeto (servidor) descifra el ticket de servicio utilizando su clave secreta.

El ticket de servicio contiene la clave de sesión del cliente/servidor, que permite que el objeto (servidor) descifre el autenticador. Si la identificación del sujeto y la marca de tiempo son válidas (de acuerdo con la identificación del sujeto, la dirección de red del cliente y el período de validez especificado en el ticket de servicio), se establece la comunicación entre el cliente y el servidor. La clave de sesión de cliente/

servidor se usa luego para comunicaciones seguras entre el sujeto y el objeto.

---

LDAP

El protocolo ligero de acceso a directorios (LDAP) es tanto un protocolo IP como un modelo de datos.

LDAP (pronunciado EL-dap) se utiliza para admitir funciones de directorio y autenticación para personas y recursos. Varios proveedores han implementado LDAP, incluidos:

• Servidor de Directorio Apache
• Directorio eTrust de CA
• IBM SecureWay y Tivoli Directory Server
• Directorio Activo de Microsoft
• Servidor de directorio Sun

Radius

El protocolo RADIUS (Remote Authentication Dial-In User Service ) es un protocolo de red cliente- servidor de código abierto, definido en más de 25 RFC del IETF  actual, que proporciona autenticación, autorización y responsabilidad (AAA). RADIUS es un protocolo de capa de aplicación que utiliza paquetes de protocolo de datagramas de usuario (UDP) para el transporte. UDP es un protocolo sin verificación de conexión, lo que significa que es rápido, pero no tan confiable como otros protocolos de transporte.

RADIUS se implementa comúnmente en redes de proveedores de servicios de red (NSP), así como en servicios corporativos de acceso remoto (RAS) y redes privadas virtuales (VPN). RADIUS también se está volviendo cada vez más popular en las redes inalámbricas corporativas. Un usuario proporciona información de nombre de usuario/contraseña a un cliente RADIUS mediante PAP o CHAP. El cliente RADIUS cifra la contraseña y envía el nombre de usuario y la contraseña cifrada al servidor RADIUS para la autenticación.

Nota: Las contraseñas intercambiadas entre el cliente RADIUS y el servidor RADIUS están encriptadas, pero las contraseñas intercambiadas entre el cliente de la estación de trabajo y el cliente RADIUS no están necesariamente encriptadas, por ejemplo, si se utiliza la autenticación PAP. Si el cliente de la estación de trabajo también es un cliente RADIUS, todos los intercambios de contraseñas se cifran, independientemente del protocolo de autenticación utilizado.

Autorización en Ciberseguridad

Autorización en un sistema de información

Aunque la autenticación y la autorización son bastante diferentes, juntas comprenden un proceso de dos pasos que determina si un individuo puede acceder a un recurso en particular. En el primer paso, la autenticación, la persona debe demostrarle al sistema que es quien dice ser: un usuario autorizado del sistema. Después de una autenticación exitosa, el sistema debe establecer si el usuario está autorizado para acceder al recurso en particular y qué acciones puede realizar en ese recurso.

La autorización es un componente central de cada sistema operativo, pero las aplicaciones, los paquetes adicionales de seguridad y los propios recursos también pueden proporcionar esta funcionalidad. Por ejemplo, supongamos que Marga se ha autenticado a través del servidor de autenticación y ahora quiere ver una hoja de cálculo que reside en un servidor de archivos. Cuando encuentre esta hoja de cálculo y haga doble clic en el icono, verá un reloj de arena en lugar del puntero del ratón. En esta etapa, el servidor de archivos está comprobando si Marga tiene los derechos y permisos para ver la hoja de cálculo solicitada. También verifica si Marga puede modificar, eliminar, mover o copiar el archivo. Una vez que el servidor de archivos busca a través de una matriz de acceso y encuentra que Marga tiene los derechos necesarios para ver este archivo, el archivo se abre en el escritorio de Marga. La decisión de permitir o no a Marga ver este archivo se basó en criterios de acceso. Los criterios de acceso son la clave de la autenticación.

Criterios de acceso

Sería frustrante si los permisos de control de acceso se basaran solo en control total o sin acceso. Estas opciones son muy limitantes, y un administrador terminaría dando a todos el control total, lo que no brindaría protección. En su lugar, existen diferentes formas de limitar el acceso a los recursos y, si se entienden y utilizan correctamente, pueden proporcionar el nivel de acceso deseado.

La concesión de derechos de acceso a los sujetos debe basarse en el nivel de confianza que una empresa tiene en un sujeto y la necesidad de saber del sujeto. El hecho de que una empresa confíe completamente en Pedro con sus archivos y recursos no significa que cumpla con los criterios de necesidad de saber para acceder a las declaraciones de impuestos y los márgenes de beneficio de la empresa. Si Juan cumple con los criterios de necesidad de saber para acceder a los historiales laborales de los empleados, no significa que la empresa confíe en él para acceder a todos los demás archivos de la empresa. Estos temas deben identificarse e integrarse en los criterios de acceso. Los diferentes criterios de acceso se pueden imponer por roles, grupos, ubicación, hora y tipos de transacciones.

El uso de roles es una forma eficiente de asignar derechos a un tipo de usuario que realiza una determinada tarea. Este rol se basa en una asignación de trabajo o función. Si hay un puesto dentro de una empresa para que una persona audite transacciones y registros de auditoría, el rol que esta persona cumple solo necesitaría una función de lectura para ese tipo de archivos. Este rol no necesitaría privilegios de control total, modificación o eliminación.

El uso de grupos es otra forma efectiva de asignar derechos de control de acceso. Si varios usuarios requieren el mismo tipo de acceso a la información y los recursos, ponerlos en un grupo y luego asignar derechos y permisos a ese grupo es más fácil de administrar que asignar derechos y permisos a cada individuo por separado. Si una impresora específica está disponible solo para el grupo de contabilidad, cuando un usuario intente imprimir en ella, se verificará la pertenencia al grupo del usuario para ver si realmente está en el grupo de contabilidad. Esta es una forma en que el control de acceso se aplica a través de un mecanismo de control de acceso lógico.

La ubicación física o lógica también se puede utilizar para restringir el acceso a los recursos. Algunos archivos pueden estar disponibles solo para usuarios que pueden iniciar sesión de forma interactiva en un ordenador. Esto significa que el usuario debe estar físicamente en el ordenador e ingresar las credenciales localmente en lugar de iniciar sesión de forma remota desde otro ordenador. Esta restricción se implementa en varias configuraciones de servidor para impedir que personas no autorizadas puedan ingresar y reconfigurar el servidor de forma remota. Las restricciones de ubicación lógica generalmente se realizan a través de restricciones de dirección de red. Si un administrador de red quiere asegurarse de que las solicitudes de estado de una consola de administración de detección de intrusos se acepten solo desde ciertos ordenadores en la red, el administrador de red puede configurar esto dentro del software. La hora del día, o el aislamiento temporal, es otro mecanismo de control de acceso que se puede utilizar. Si un profesional de la seguridad quiere asegurarse de que nadie acceda a los archivos de nómina entre las 8:00 y las 15: 00, esa configuración se puede implementar para garantizar que el acceso en esos momentos esté restringido. Si el mismo profesional de seguridad quiere asegurarse de que no se realicen transacciones en la cuenta bancaria durante los días en que el banco no está abierto, puede indicar en el mecanismo de control de acceso lógico que este tipo de acciones está prohibido los domingos.

El acceso temporal también se puede basar en la fecha de creación de un recurso. Supongamos que Paco comenzó a trabajar para su empresa en marzo de 2021. Puede haber una necesidad comercial de permitir que Paco solo acceda a los archivos que se crearon después de esta fecha y no antes. Las restricciones de tipo de transacción se pueden usar para controlar a qué datos se accede durante ciertos tipos de funciones y qué comandos se pueden ejecutar en los datos. Un programa de banca en línea puede permitir que un cliente vea el saldo de su cuenta, pero puede que no le permita transferir dinero hasta que tenga cierto nivel de seguridad o derecho de acceso. Un administrador de base de datos puede crear una base de datos para el departamento de recursos humanos, pero es posible que no pueda leer ciertos archivos confidenciales dentro de esa base de datos. Todos estos son ejemplos de restricciones de tipo de transacción para controlar el acceso a datos y recursos.

Predeterminado a Sin acceso (Si no está seguro, simplemente diga que no)

Los mecanismos de control de acceso deben establecer por defecto acceso nulo para proporcionar el mayor nivel de seguridad necesario y garantizar que no pasen desapercibidos los agujeros de seguridad. Se encuentra disponible una amplia gama de niveles de acceso para asignar a individuos y grupos, según la aplicación y/o el sistema operativo. Un usuario puede tener permisos de lectura, modificación, eliminación, control total o ningún permiso de acceso. La afirmación de que los mecanismos de seguridad deben establecer de forma predeterminada “sin acceso”, o “acceso nulo”, significa que, si no se ha configurado nada específicamente para un individuo o el grupo al que pertenece, ese usuario no debería poder acceder a ese recurso por defecto. Si no se permite explícitamente el acceso, debe denegarse implícitamente. La seguridad se trata de estar seguro, y este es el enfoque más seguro para poner en practica cuando se trata de métodos y mecanismos de control de acceso. En otras palabras, todos los controles de acceso deben basarse en el concepto de comenzar con acceso cero o nulo y construir sobre eso. En lugar de dar acceso a todo y luego quitar privilegios según la necesidad, el mejor enfoque es comenzar sin nada y agregar privilegios según la necesidad de saber.La mayoría de las listas de control de acceso (ACL) que funcionan en routers y firewalls de filtrado de paquetes están predeterminadas sin acceso.

En este esquema, se muestra que el tráfico de la Subred A puede acceder a la Subred B, el tráfico de la Subred D no puede acceder a la Subred A y la Subred B puede comunicarse con la Subred A. Todas las demás rutas de transmisión de tráfico que no se enumeran aquí son no permitido por defecto. La subred D no puede comunicarse con la subred B porque dicho acceso no se indica explícitamente en la ACL del enrutador.

Necesito saber Si

El principio de necesidad de saber es similar al principio de privilegios mínimos. Se basa en el concepto de que las personas deben tener acceso únicamente a la información que necesitan absolutamente para desempeñar sus funciones laborales. Dar más derechos a un usuario solo pide dolores de cabeza y la posibilidad de que ese usuario abuse de los permisos que se le han asignado. Un administrador desea otorgar a un usuario la menor cantidad de privilegios que pueda, pero solo los suficientes para que ese usuario sea productivo al realizar tareas. Decidir qué necesita saber un usuario, o qué derechos de acceso son necesarios, a veces no es tarea fácil, ya que ni los propios usuarios conocen a qué deben tener derecho a acceso, así que por las dudas, siempre lo piden todos. Por lo que el administrador de sistemas tendrá que configurar los mecanismos de control de acceso para permitir que este usuario tenga el acceso mínimo para realizar su trabajo y no más, y por lo tanto el mínimo privilegio. Por ejemplo, si la gerencia ha decidido que Ismael, el de los recados, necesita saber dónde se encuentran los archivos que necesita copiar y necesita poder imprimirlos, esto cumple con los criterios de necesidad de saber de Ismael. Ahora, un administrador podría darle a Ismael el control total de todos los archivos que necesita copiar, pero eso no sería practicar el principio de privilegio mínimo. El administrador debe restringir los derechos y permisos de Ismael para que solo pueda leer e imprimir los archivos necesarios, y nada más. Además, si Ismael borra accidentalmente todos los archivos en todo el servidor de archivos, ¿a quién cree que la administración responsabilizará en última instancia? Sí, el administrador.

Es importante comprender que es trabajo de la administración de sistemas, determinar los requisitos de seguridad de las personas y cómo se autoriza el acceso. El administrador de seguridad configura los mecanismos de seguridad para cumplir con estos requisitos, pero no es su trabajo determinar los requisitos de seguridad de los usuarios. Esos deben dejarse a los propietarios de los activos. Si hay una brecha de seguridad, la administración de sistemas, será responsable en última instancia, por lo que debe tomar estas decisiones en primer lugar.

Inicio de sesión único

¡Solo quiero tener que recordar un nombre de usuario y una contraseña para todo en el mundo! Muchas veces los empleados necesitan acceder a muchas computadoras, servidores, bases de datos y otros recursos diferentes en el transcurso del día para completar sus tareas. Esto a menudo requiere que los empleados recuerden múltiples ID de usuario y contraseñas para estas diferentes computadoras. En una utopía, un usuario necesitaría ingresar solo una identificación de usuario y una contraseña para poder acceder a todos los recursos en todas las redes en las que este usuario está trabajando. En el mundo real, esto es difícil de lograr para todos los tipos de sistemas. Debido a la proliferación de tecnologías cliente/servidor, las redes han migrado de redes controladas centralmente a entornos heterogéneos y distribuidos. La propagación de los sistemas abiertos y la mayor diversidad de aplicaciones, plataformas y sistemas operativos han provocado que el usuario final tenga que recordar varios ID de usuario y contraseñas solo para poder acceder y utilizar los diferentes recursos dentro de su propia red. Aunque se supone que las diferentes ID y contraseñas brindan un mayor nivel de seguridad, a menudo terminan comprometiendo la seguridad (porque los usuarios las anotan) y provocando más esfuerzo y gastos generales para el personal que administra y mantiene la red.

Como puede verse, cualquier miembro del personal o administrador de la red, se dedica demasiado tiempo a restablecer las contraseñas de los usuarios que las han olvidado, sobre todo en los meses de agosto y septiembre.

La productividad de más de un empleado se ve afectada cuando se deben reasignar las contraseñas olvidadas. El miembro del personal de la red que tiene que restablecer la contraseña podría estar trabajando en otras tareas, y el usuario que olvidó la contraseña no puede completar su tarea hasta que el miembro del personal de la red termine de restablecer la contraseña.

Los administradores del sistema tienen que administrar varias cuentas de usuario en diferentes plataformas, y todas deben coordinarse de manera que se mantenga la integridad de la política de seguridad. A veces, la complejidad puede ser abrumadora, lo que

da como resultado una mala gestión del control de acceso y la generación de muchas vulnerabilidades de seguridad. Se dedica mucho tiempo a múltiples contraseñas, y al final no nos aportan más seguridad. El mayor costo de administrar un entorno diverso, las preocupaciones de seguridad y los hábitos de los usuarios, junto con el enorme trabajo para los usuarios de recordar un conjunto de credenciales, ha dado lugar a la idea de las capacidades de inicio de sesión único (SSO) . Estas capacidades permitirían a un usuario ingresar las credenciales una vez y poder acceder a todos los recursos en los dominios de red primarios y secundarios. Esto reduce la cantidad de tiempo que los usuarios dedican a autenticarse en los recursos y permite al administrador optimizar las cuentas de usuario y controlar mejor los derechos de acceso. Mejora la seguridad al reducir la probabilidad de que los usuarios escriban las contraseñas y también reduce el tiempo que el administrador dedica a agregar y eliminar cuentas de usuario y modificar los permisos de acceso. Si un administrador necesita deshabilitar o suspender una cuenta específica, puede hacerlo de manera uniforme en lugar de tener que modificar las configuraciones en todas y cada una de las plataformas.

Así que esa la utopía: inicie sesión una vez y estará listo para comenzar. Principalmente problemas de interoperabilidad. Para que SSO realmente funcione, cada plataforma, aplicación y recurso debe aceptar el mismo tipo de credenciales, en el mismo formato e interpretar sus significados de la misma manera. Cuando Rosa inicia sesión en su ordenador de trabajo con Windows 11 y es autenticado por un controlador de dominio de modo mixto de Windows 2019, debe autenticarlo en los recursos a los que necesita acceder en el ordenador de archivos, el servidor de impresoras, el servidor base de datos, etc. Y esa es la problemática fundamental de la gestión de identidades.

Conclusión

En resumen, la autorización es un proceso de dos pasos en el cual se determina si un individuo está autorizado a acceder a un recurso específico y qué acciones puede realizar en ese recurso. Es un componente central de cada sistema operativo y también puede proporcionarlo aplicaciones, paquetes de seguridad y recursos. La autenticación es el primer paso en el proceso de autorización en el cual el usuario debe demostrar su identidad, mientras que la autorización es el segundo paso en el cual se verifica si el usuario tiene los derechos y permisos para acceder al recurso en cuestión.

Los criterios de acceso son la clave para la autorización y estos pueden ser basados en roles, grupos, ubicación, hora y tipos de transacciones. Por ejemplo, un usuario puede tener acceso solo a ciertos recursos durante ciertas horas del día, o solo a ciertos recursos si se encuentra en una ubicación específica. También pueden ser basados en roles, donde un usuario con un rol específico tiene acceso a ciertos recursos, mientras que un usuario con un rol diferente no tiene acceso.

En conclusión, la autorización es un proceso esencial en cualquier sistema de información para garantizar que solo los usuarios autorizados tengan acceso a los recursos y que solo puedan realizar acciones permitidas. Los criterios de acceso son la clave para la autorización y deben basarse en el nivel de confianza y necesidad de saber del usuario. La implementación adecuada de estos criterios de acceso ayudará a garantizar una seguridad adecuada y un uso eficiente de los recursos.

IDM vs IAM

Introducción

Los sistemas de IDM e IAM suelen formar parte de la seguridad de TI y la administración de datos de TI dentro de la empresa. Hay herramientas de gestión de identidades y acceso disponibles para la amplia gama de dispositivos que los usuarios utilizan para ejecutar tareas empresariales, desde teléfonos y tabletas hasta ordenadores de sobremesa con Windows, Linux, iOS o Android.

IDM e IAM son términos que a menudo se usan indistintamente, sin embargo, la gestión de identidades se centra más en la identidad de un usuario (o nombre de usuario), sus roles y permisos, y los grupos a los que pertenece. IDM también se enfoca a proteger las identidades a través de varias tecnologías, como contraseñas, biometría, autenticación multifactor y otras identidades digitales. Esto suele lograrse mediante la adopción de aplicaciones y plataformas de software de gestión de identidades.

Funcionamiento de la gestión de identidades

Como parte del marco general de IAM que cubre la gestión del acceso y la de identidades, las empresas suelen utilizar componentes tanto de gestión de usuarios como de directorio central, como pueden ser o Apache Directory Studio, Open LDAP para sistemas Linux, o Active Directory para Windows.

El componente de gestión de usuarios se ocupa de delegar la autoridad administrativa, efectuar el seguimiento de roles y responsabilidades para cada usuario y grupo, aprovisionar y desaprovisionar cuentas de usuario y, gestionar las contraseñas. La totalidad o parte de estas funciones, como el restablecimiento de contraseñas, suelen ser de autoservicio para reducir la carga del personal de TI. El directorio central es un repositorio que contiene todos los datos sobre los usuarios y grupos de la empresa. Como tal, una función importante de este componente es sincronizar el directorio o repositorio en toda la empresa, lo que puede abarcar componentes locales y de nube privada o pública. Esto permite una vista única de los usuarios y sus permisos en cualquier momento y lugar de una infraestructura de nube híbrida o multinube. Un marco de IAM también incluye dos componentes de acceso. La autenticación se ocupa de asuntos como el inicio de sesión (y el inicio de sesión único), la gestión de sesiones activas y la implementación de una autenticación sólida mediante llaves o dispositivos biométricos. La autorización usa los roles, atributos y reglas del registro de usuario para determinar si un usuario, dispositivo o aplicación en particular debe tener acceso a un recurso.

¿Qué diferencia hay entre la gestión de identidades y la gestión del acceso?

Gestión de identidades

La identidad digital es la clave para el acceso. Las identidades contienen la información y los atributos que definen un rol. En concreto, permiten o impiden el acceso a un recurso específico, e informan a otros usuarios de la organización sobre el dueño de la identidad, cómo contactarle si es una persona y dónde encajan en la jerarquía general de la empresa. Crear una identidad puede repercutir en toda la organización, por ejemplo, al crear una cuenta de correo electrónico, configurar un registro del empleado o generar una entrada en un organigrama. Las identidades son como seres vivos que pueden cambiar con el tiempo, por ejemplo, si un empleado asume un nuevo rol o se traslada a un nuevo lugar de trabajo.

La gestión de identidades se ocupa del seguimiento y la gestión de los cambios en los atributos y las entradas que definen las identidades en el repositorio de la empresa. Por lo general, estos cambios solo pueden implementarlos unas pocas personas selectas en la organización, como un representante de recursos humanos que anote un cambio en el salario, o el propietario de una aplicación que otorgue a un grupo de empleados (por ejemplo, representantes del servicio al cliente) acceso a una nueva función del sistema de gestión de relaciones con el cliente (CRM).

Gestión del acceso

La gestión del acceso es la autenticación de una identidad que solicita acceso a un recurso en particular, y las decisiones de acceso son simplemente la respuesta afirmativa o negativa a permitirlo.

Este puede ser un proceso escalonado, con servicios de acceso que determinan si un usuario está autorizado para acceder a la red en general, y niveles inferiores de acceso que autentican las ubicaciones a las que la identidad puede acceder en servidores, unidades, carpetas, archivos y aplicaciones específicos.

Recuerde que la autenticación no es lo mismo que la autorización. Aunque una identidad (usuario) pueda estar autorizada para entrar en la red corporativa y tenga una cuenta en el directorio, esto no le otorga automáticamente la capacidad de acceder a todas las aplicaciones de toda la empresa. La autorización para cada aplicación o recurso la determinan los atributos de la identidad, como a qué grupos pertenece, su nivel en la organización o un rol específico que se le haya asignado previamente.

Al igual que ocurre con la autenticación, la autorización puede ocurrir a distintos niveles dentro de la organización, por ejemplo, como un servicio centralizado y nuevamente a nivel local para una aplicación o recurso específicos. No obstante, la autenticación a nivel de recurso o servicio no goza de buena fama, ya que la autenticación central proporciona un control más coherente.

La diferencia entre la gestión de identidades y la gestión del acceso

Se puede simplificar de la siguiente forma:

La gestión de identidades consiste en gestionar los atributos relacionados con el usuario, el grupo de usuarios u otra identidad que pueda requerir acceso de vez en cuando.

La gestión del acceso consiste en evaluar estos atributos en función de las políticas existentes y tomar una decisión de acceso (afirmativa o negativa) según los atributos.

¿Para qué necesitamos la gestión de identidades?

Un estudio reciente (ISC)² reveló que el 80 % de vulneraciones se debieron a problemas en la identidad de acceso, es decir, credenciales débiles o mal gestionadas. Si no se implementan los controles adecuados, o no se siguen correctamente los procedimientos y procesos de IAM, es posible que las contraseñas se vean comprometidas, que se pongan en marcha ataques de suplantación de identidad o que tengan lugar vulneraciones y ataques de programas de secuestro. Afortunadamente, las plataformas IAM modernas permiten automatizar muchas de las funciones que ayudan a garantizar que se apliquen los controles, como, por ejemplo, eliminar a un usuario del directorio cuando el sistema de recursos humanos indique que el empleado ha dejado la organización.

Dada la frecuente aparición de legislación nueva sobre la privacidad y la información confidencial, IAM puede desempeñar otro papel importante: el de ayudar a la organización a cumplir con la gran cantidad de exigencias normativas y de control, garantizando que los datos se encuentren en la ubicación adecuada y que solo los usuarios autorizados tengan acceso a ellos. Al final, la seguridad de TI concierne principalmente al acceso, por lo que una estrategia de IAM sólida es un elemento fundamental de la seguridad de TI general y ofrece una primera línea de protección ante cualquier amenaza, ya provenga de fuera o de dentro del cortafuegos.

Ventajas empresariales de la gestión de identidades

La capacidad para proteger con éxito los activos, incluidos los digitales, puede repercutir directamente en los beneficios de la organización y en su valor total. IAM acelera la rentabilidad para cualquier persona que necesite acceder a los recursos empresariales para realizar su trabajo, a menudo acortando de días a minutos el tiempo transcurrido entre la incorporación de un nuevo empleado y el momento en el que obtiene acceso a los recursos del sistema.

Además del aumento en el valor comercial como resultado de la seguridad mejorada, existen otras ventajas empresariales tangibles. Automatizar las tareas de IAM libera al departamento de TI y le permite centrarse en proyectos enfocados a los beneficios. Las herramientas de gestión de identidades de autoservicio mejoran la productividad general de los empleados, los trabajadores externos y otros usuarios que deban acceder a los recursos corporativos.

Implementar un marco general de IAM puede brindar oportunidades de crecimiento, ya que mejora la escalabilidad de los servicios que son esenciales para la incorporación de nuevos usuarios. Al requerir menos personal de TI, se mejora el ROI de la organización de TI en general.

La gestión de identidades y del acceso se ha convertido en la base de todas estas ventajas empresariales, y continúa protegiendo a la empresa de amenazas que podrían conducir al robo de datos, a ataques maliciosos o a la vulneración de información confidencial legal, de clientes o de pacientes.

Desafíos de implementar la gestión de identidades

Para implementar la gestión de identidades, una empresa debe poder planificar y colaborar en todas las unidades de negocio. Es más probable que las organizaciones exitosas sean aquellas que establezcan estrategias de gestión de identidad con objetivos claros, procesos comerciales definidos y la aceptación de las partes interesadas desde el principio. La gestión de identidades funciona mejor cuando están involucrados los departamentos de TI, seguridad, recursos humanos y otros.

Los sistemas de gestión de identidades deben permitir a las empresas gestionar automáticamente múltiples usuarios en diferentes situaciones y entornos informáticos en tiempo real. Es mucho más lento ajustar manualmente los privilegios de acceso y los controles de acceso para cientos o miles de usuarios. Además, la autenticación debe ser simple de realizar para los usuarios y fácil de implementar y proteger para TI.

Uno de los principales desafíos en la implementación de la gestión de identidades es la gestión de contraseñas. Los profesionales de TI deben investigar técnicas que puedan reducir el impacto de estos problemas con las contraseñas en sus empresas.

Por motivos de seguridad, las herramientas para manejar la gestión de identidades deben ejecutarse como una aplicación en un servidor o dispositivo de red dedicado. En el núcleo de un sistema de gestión de identidad se encuentran las políticas que definen qué dispositivos y usuarios pueden acceder a la red y qué puede lograr un usuario, según el tipo de dispositivo, la ubicación y otros factores. Todo esto también depende de la funcionalidad adecuada de la consola de administración. Esto incluye la definición de políticas, informes, alertas, alarmas y otros requisitos comunes de gestión y operaciones. Se puede activar una alarma, por ejemplo, cuando un usuario específico intenta acceder a un recurso para el que no tiene permiso. La presentación de informes produce un registro de auditoría que documenta qué actividades específicas se iniciaron.

Muchos sistemas de administración de identidades ofrecen integración de directorios, soporte para usuarios con cable e inalámbricos y la flexibilidad para cumplir con casi cualquier requisito de política operativa y de seguridad. Debido a que traer su propio dispositivo (BYOD) es tan estratégico hoy en día, las funciones que ahorran tiempo son compatibles con una variedad de sistemas operativos móviles y la verificación automatizada del estado del dispositivo se está volviendo común. Las funciones para ahorrar tiempo pueden incluir la incorporación y el aprovisionamiento automatizados de dispositivos.

Beneficios comerciales de la gestión de identidades

Además de administrar a los empleados, el uso de la administración de identidades junto con la administración de acceso permite a una empresa administrar el acceso de clientes, socios, proveedores y dispositivos a sus sistemas, mientras que la seguridad es la máxima prioridad.

Este objetivo se puede lograr en varios frentes, comenzando por permitir el acceso autorizado desde cualquier lugar. A medida que las personas utilizan cada vez más sus identidades en las redes sociales para acceder a servicios y recursos, las organizaciones deben poder llegar a sus usuarios a través de cualquier plataforma. Además, pueden permitir que sus usuarios accedan a los sistemas corporativos a través de sus identidades digitales existentes.

La gestión de identidades también se puede utilizar para mejorar la productividad de los empleados. Esto es especialmente importante cuando se incorporan nuevos empleados o se cambian las autorizaciones para acceder a diferentes sistemas cuando cambia la función de un empleado. Cuando las empresas contratan nuevos empleados, deben tener acceso a partes específicas de sus sistemas, proporcionarles nuevos dispositivos y aprovisionarlos en el negocio. Realizado manualmente, este proceso puede llevar mucho tiempo y reduce la capacidad de los empleados para ponerse a trabajar de inmediato. Sin embargo, el aprovisionamiento automatizado puede permitir a las empresas acelerar el proceso de permitir que los nuevos empleados accedan a las partes requeridas de sus sistemas.

Por último, la gestión de identidades puede ser una herramienta importante para mejorar la experiencia del usuario de los empleados, especialmente para reducir el impacto del caos de identidades —el estado de tener varios conjuntos de ID de usuario y contraseñas para sistemas dispares. Por lo general, las personas no pueden recordar numerosos nombres de usuario y contraseñas y preferirían usar una sola identidad para iniciar sesión en diferentes sistemas en el trabajo. El SSO y las identidades unificadas permiten a los clientes y otras partes interesadas acceder a diferentes áreas del sistema empresarial con una cuenta, lo que garantiza una experiencia de usuario perfecta.

Funciones de la administración de identidades

La gestión de identificaciones está diseñada para trabajar de la mano con los sistemas de gestión de acceso a identidades. Se centra principalmente en la autenticación, mientras que la gestión del acceso tiene como objetivo la autorización.

La gestión de ID determinará si un usuario tiene acceso a los sistemas, pero también establece el nivel de acceso y los permisos que tiene un usuario en un sistema en particular. Por ejemplo, un usuario puede tener autorización para acceder a un sistema pero estar restringido en algunos de sus componentes.

El objetivo de la gestión de identidades es garantizar que solo los usuarios autenticados tengan acceso a las aplicaciones, sistemas o entornos de TI específicos para los que están autorizados.

Ciclo de vida de la gestión de identidades

El ciclo de vida de la identidad tiene cuatro pasos principales:

• Incorporación

Este primer paso es la creación de la propia identidad. Además de crear la cuenta de los usuarios, el usuario debe estar conectado a los recursos de TI a los que necesitará acceder. Estos sistemas de TI también pueden incluir su computadora de escritorio o computadora portátil, su cuenta de correo electrónico y cualquier otra aplicación que necesiten utilizar.

El acceso a la cuenta también puede extenderse a servidores u otras aplicaciones en la nube. El paso de incorporación asocia al nuevo usuario con diferentes grupos o departamentos de los que el usuario forma parte. Estas diversas designaciones pueden ayudar a garantizar los niveles adecuados de acceso.

• Modificación del usuario

Con los años, los atributos de los usuarios dentro de una organización pueden cambiar. Los roles de las personas pueden cambiar, lo que requiere un aumento o una disminución en sus niveles de acceso. La información de los usuarios o su dirección y ubicación dentro de la organización también pueden cambiar con el tiempo.

Hay más actualizaciones de rutina, como el restablecimiento de contraseñas, que acaban agotando un tiempo valioso de los administradores de TI. Cada una de estas modificaciones del usuario es una parte fundamental del ciclo de vida de la identidad.

• Modificaciones de los sistemas de TI

Además de las modificaciones de los usuarios de TI, ocurren cambios en los sistemas y recursos de TI de forma rutinaria. Los servidores están incluidos, las computadoras portátiles se rompen, se agregan nuevas aplicaciones a la red y los recursos cambian. Todos sus usuarios pueden necesitar acceso a esos recursos, por lo que la forma en que tu estrategia de administración de identidad se ocupa de esos cambios es fundamental. Tendrás más cambios con los recursos de TI que con los usuarios.

Cuando se combinan estas cosas, las dos pueden afectar significativamente los recursos que necesitas administrar y cómo tus usuarios se conectan a esos recursos.

• Terminación de la cuenta

El último paso en el ciclo de vida de la identidad es cuando eliminas a un usuario. Es un escenario muy común porque cuando alguien abandona la organización, es necesario interrumpir todo su acceso. Varios requisitos de cumplimiento se centran en este paso fundamental, ya que las cuentas inactivas pueden representar un riesgo para la seguridad.

Desde la perspectiva de TI, eliminar el acceso a varios recursos puede ser más difícil que simplemente eliminar al usuario del directorio corporativo. Se necesita un catálogo de acceso para garantizar que el acceso a todos los recursos se haya cancelado por completo.

Pensar en identidades en el contexto de un ciclo de vida puede resultar útil. Los administradores de TI pueden dividir mejor el proceso general en áreas discretas y descubrir cómo automatizarlas. En medio de cualquier ciclo de vida de la gestión de identidades hay un sistema de directorio. La plataforma DAAS es la tienda de usuario principal que alberga sus identidades digitales y es el corazón de su ciclo de vida.

• Capacidades

Las capacidades de la gestión de identidades son las siguientes:

• Autenticación multifactor

Las contraseñas conllevan varias debilidades. Es importante destacar que estas incluyen ser fáciles de adivinar, ser fáciles de descifrar, ser fáciles de phishing y repetirse constantemente. Las contraseñas repetidas permiten a los piratas informáticos ingresar a múltiples servidores, bases de datos y redes. Por lo tanto, la construcción de una mayor autenticación en torno a las contraseñas debe convertirse en una consideración clave.

Si bien las empresas nunca se librarán realmente de las contraseñas, pueden complementarlas y fortalecerlas. Todos y cada uno de los factores de autenticación entre el usuario y la base de datos representan otro obstáculo para que los piratas informáticos aprovechen el poder de la autenticación multifactor (MFA). Por supuesto, con tiempo y recursos, los piratas informáticos pueden subvertir u omitir cualquier número de factores de autenticación.

Ten en cuenta que la mayoría de los piratas informáticos preferirían apuntar a empresas más débiles para obtener ganancias más rápidas. La autenticación multifactor incluirá contraseñas, tokens duros, geofencing, monitoreo del tiempo de acceso y análisis de comportamiento.

• Gestión de sesiones privilegiadas

Esta administración de sesiones ofrece a tu equipo de seguridad de la información la capacidad de monitorizar y grabar sesiones privilegiadas. Por lo tanto, les brinda una mejor ventana para auditar e investigar incidentes de ciberseguridad. Te ayuda a exhibir control sobre sus identidades privilegiadas.

La sofisticada administración de sesiones privilegiadas de próxima generación debería permitirte observar la fecha, la hora y la ubicación de cada sesión y hacer que tengas visibilidad sobre tus propias pulsaciones de teclas para garantizar la autenticidad de cada usuario privilegiado.

Esto evitará las amenazas internas y los piratas informáticos al asegurarse de que los usuarios usen sus permisos de acuerdo con los procesos comerciales.

● Descubrimiento de la identidad privilegiada

Muchas identidades privilegiadas pueden desaparecer de su supervisión. Esto ocurre debido al escalado de las redes o una mala salida. Una vez más, el permiso temporal no puede revocarse después de una línea de tiempo puntual, lo que deja a los usuarios con identidades privilegiadas pero sin supervisión.

Todas las identidades privilegiadas no supervisadas se convierten en cuentas huérfanas y, por lo tanto, en vulnerabilidades de seguridad. Este es otro efecto secundario de administrar manualmente las identidades con privilegios; tratar de realizar un seguimiento de todo en una hoja de cálculo está condenado al fracaso.

Beneficios del ID Management

Las tecnologías de ID Management se pueden utilizar para iniciar, capturar, registrar y administrar las identidades de los usuarios y sus permisos de acceso relacionados de manera automatizada. Esto brinda a una organización los siguientes beneficios:

Los privilegios de acceso se otorgan de acuerdo con la política, y todas las personas y servicios están debidamente autenticados, autorizados y auditados. Las empresas que gestionan adecuadamente las identidades tienen un mayor control del acceso de los usuarios, lo que reduce el riesgo de filtraciones de datos internos y externos. La automatización de los sistemas IAM permite a las empresas operar de manera más eficiente al disminuir el esfuerzo, el tiempo y el dinero que se requerirían para administrar manualmente el acceso a sus redes. En términos de seguridad, el uso de un marco de IAM puede facilitar la aplicación de políticas en torno a la autenticación, la validación y los privilegios de los usuarios, y abordar los problemas relacionados con la filtración de privilegios. Los sistemas IAM ayudan a las empresas a cumplir mejor con las regulaciones gubernamentales permitiéndoles mostrar que la información corporativa no se está utilizando indebidamente. Las empresas también pueden demostrar que los datos necesarios para la auditoría pueden estar disponibles bajo demanda. Las empresas pueden obtener ventajas competitivas implementando herramientas IAM y siguiendo las mejores prácticas relacionadas. Por ejemplo, las tecnologías IAM permiten a la empresa brindar a los usuarios externos a la organización, como clientes, socios, contratistas y proveedores, acceso a su red a través de aplicaciones móviles, aplicaciones locales y SaaS sin comprometer la seguridad. Esto permite una mejor colaboración, mayor productividad, mayor eficiencia y menores costes operativos.

Diferencias entre gestión de identidad y gestión de acceso

En pocas palabras, la gestión de identidades gestiona las identidades digitales. Las identidades combinan atributos digitales y entradas en la base de datos para crear una designación única para un usuario. Su gestión consiste en crear, mantener, monitorizar y eliminar esas identidades mientras operan en la red empresarial. Las empresas deben asegurarse de que los usuarios tengan los permisos que necesitan para realizar su trabajo y limitar otros permisos. Además, maneja la autenticación.

Mientras tanto, la gestión de acceso controla la decisión de permitir o bloquear a los usuarios el acceso a un recurso, base de datos, etc. Además, gestiona los portales de acceso a través de páginas y protocolos de inicio de sesión, al tiempo que garantiza que el usuario que solicita el acceso realmente pertenece. En realidad, esto difiere de la autenticación, ya que la autenticación puede determinar al usuario, pero no si merece acceso. En cambio, gestiona la autorización.

La autenticación no es igual a la autorización y viceversa. El primero, una provincia de la gestión de identidades, determina quién es el usuario, ya sea en función de grupos, roles u otras cualidades. La autorización evalúa al usuario para determinar lo que el usuario realmente puede ver y acceder después de la autenticación.

La razón por la que estos dos conceptos se confunden es que son dos pasos críticos para un usuario que accede a la información. La información proporcionada por la gestión de identidad determina cómo funcionará la gestión de acceso. Dado que los usuarios solo ingresan información de identidad, no se dan cuenta de que existe un sistema de gestión completamente diferente para establecer su acceso. La identidad y el acceso están tan estrechamente vinculados que puede resultar difícil recordar que no son lo mismo.

Implantando identidades

Nuestro ayuntamiento quiere organizar la gestión de identidades del personal, por lo que vamos a explorar bajo este supuesto cómo podríamos hacerlo.

Para hacerlo lo haremos en 4 sencillos pasos:

1)     Evaluación:

Recopilación del estado de madurez que posee el ayuntamiento en torno a la gestión de identidades, con uso o no de tecnología.

Definición del modelo actual y futuro para una próxima fase de Gestión de Identidades.

Creación del modelo personalizado que la empresa necesita para adoptar el manejo de identidades.

2)     Despligue:

Análisis y diseño del proyecto de administración de identidades.

Desarrollo del proceso basado en el nuevo modelo.

Implementación de la solución.

3)     Monitorización:

Crear un proceso de transferencia de conocimiento al cliente, para operar y mejorar su solución.

Monitorización de la solución durante el proceso de transferencia.

Solución de soporte a 3 niveles.

Proporcionar servicios gestionados si es necesario.

4)     Proceso de madurez:

• Reevaluación para dirigir los pasos a seguir.
• Proporcionar mejora continua.
• Proporcionar un modelo flexible para mantener la solución útil.

Con estos pasos podríamos plantear la administración y gestión de identidades, si bien parece sencillo, en la realidad no lo es.

Lo que tenemos que tener siempre bien claro es que “Una brecha de seguridad empieza con una identidad comprometida, sin control y sin mecanismos de regulación”

Dentro de la evolución del IAM podemos encontrar 3 niveles de madurez. En el siguiente gráfico se ve claramente sus diferencias.

---

Conclusión:

Recuerda los 4 puntos para la gestión de identidades dentro de tu organización. La fase fundamental es la de evaluación, ya que deberás de enumerar todos los sistemas de gestión de identidad que tiene la organización. Desde el acceso presencial, registro horario, autenticación contra un sistema de LDAP, claves de alarma, etc. Deberás de realizar un inventario completo. Como observarás muchos de estos sistemas, son sistemas aislados, es decir no están integrados entre sí. Por lo que deberás de crear rutinas para controlarlos y verificar que en todo momento cumplen todos los requisitos de seguridad fijados por la organización.

Conclusión

Como hemos podido ver, la gestión de identidad es clave para una organización y es quizás uno de los principales puntos que debe abordar cualquier política de gobierno IT. Estableciendo la forma en cómo se autentican los usuarios de una organización y controlando el ciclo de vida de cada una de las identidades.

Hash

La función resumen

A las funciones resumen se les conoce como funciones hash o también en algunos sitios se les puede encontrar como funciones digest. Pero cuando nos encontramos ante un hash, ¿de qué estamos hablando? Básicamente es una función criptográfica que se traduce como un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija. Es decir, da igual la longitud de los datos de entrada, los datos de salida siempre tendrán la misma longitud.

Vamos a trabajarlo con un ejemplo práctico (te recomiendamos que tengas un navegador abierto):

Usemos el nombre de Adrián Ramírez, y ahora visitemos cualquier página web. Vamos a intentar sacar el hash delnombre en alguna web online. Os proponemos, por ejemplo, la siguiente URL.

Si lo has hecho verás que el resultado sale en varias funciones como, por ejemplo, la más conocida SHA-1, la MD5, etc. Para facilitar la comparación de los resultados te diremos que el nombre Adrián Ramírez en MD5 es 25f3303c9c133aa35ae656abf8a3177f.

La magia del hash es que tú habrás tenido que obtener el mismo resultado. En tal caso, podremos decir que el nombre no se ha modificado. Sin embargo, si has obtenido, por ejemplo, valores como este: 0143b69f24c4df991cd351d521de2ae8 es que sencillamente has escrito el nombre sin tildes.

Ahora te invitamos a que pruebes obtener el hash de tu nombre en SHA-512, y lo compares con el resultado de otra página web, ten en cuenta que hay muchas páginas en Internet que ofrecen este servicio. No se debe olvidar que parte de tu tarea también es verificar que dichas páginas webs hacen bien su trabajo.

Lo asombroso del hash es que podrías resumir hasta el libro más extenso en SHA-1 y seguirías obteniendo como resultado un hash de 40 caracteres. Y por otra parte, no existen dos entradas que produzcan el mismo hash de salida.

Aquí hay una foto, cortesía de Wikimedia Commons, que ilustra este concepto para aquellos que prefieren el aprendizaje visual:

Fuente: Función criptográfica hash, https://commons.wikimedia.org

Ya de por sí es un dato curioso a saber el que, independientemente del valor que se introduzca, existe un algoritmo que devolverá siempre la misma longitud de salida. En el momento en el que se varíe algún dato de la entrada, aunque sea un bit, el valor de salida seguirá siendo de la misma longitud pero no será el mismo.

¿Para qué se utilizan los valores hash?

La respuesta fácil es para mantener la cadena de custodia en la evidencia de forense digital. Fácil porque es lo que estamos acostumbrados a obtener después de clonar un disco. Sin embargo, vamos a profundizar algo más en este concepto.

Los hashes también se utilizan en el mundo de las contraseñas. Todos sabemos que sería un error guardar en una base de datos registros sensibles en texto plano. Por lo que si, por ejemplo, utilizamos MYSQL tenemos la opción de crear campos que guarden sus datos en MD5. Esto evita que en el caso de que un atacante acceda a la base de datos, le resulte fácil obtener los datos sensibles.

Así que si alguna vez estás en un servicio online y olvidas tu contraseña y solicitas “recordar mi contraseña” la plataforma en cuestión te tendrá que dar un enlace donde resetear tu contraseña, ya que si te da la contraseña en texto plano, significa que la base de datos de la plataforma no guarda las contraseñas cifradas, sino en texto plano, lo cual sería un fallo de seguridad en el sistema de almacenamiento de contraseñas de la plataforma.

El caso de Dropbox:

¿Crees que los administradores de Dropbox tienen tiempo de darse un paseo por todas las cuentas de sus usuarios?

La respuesta es obvia: No

Entonces, cómo podríamos explicar que Dropbox encontrara entre millones de archivos almacenados material protegido por derechos de autor. La respuesta es bastante sencilla, la hipótesis más lógica, posiblemente por acuerdos entre la Digital Millennium Copyright Act y Dropbox, es que crearan una lista con la función hash de quienes tenían los derechos de autor sobre varios archivos (en este caso el archivo compartido probablemente la versión digital de una canción, libro digital o de una película). Luego agregaron este hash de 40 caracteres en una especie de “lista negra” de materiales protegidos. Cuando el usuario intentó compartir el archivo, el sistema de análisis de Dropbox detectó automáticamente el hash que estaba incluido en este listado y bloqueó el intento de compartir el contenido. Si quieres ampliar más la información, te dejo aquí abajo la URL del artículo:

How Dropbox Knows When You’re Sharing Copyrighted Stuff (Without Actually Looking At Your Stuff)

Sin embargo, esto no es nuevo y es una forma ingeniosa de buscar archivos en el infinito mundo de Internet. La Policía Nacional comenzó a utilizar la identificación de fotografías pedófilas por el número de hash porque da igual como se llame el archivo, siempre tendrá el mismo hash. Si no lo crees vamos a realizar la prueba. Busca una fotografía en tu ordenador cambia su nombre y obtén sus funciones hash. Puedes utilizar cualquier programa como por ejemplo Multihasher que es gratuito y lo puedes descargar del siguiente enlace: https://download.cnet.com/MultiHasher/3000-2092_4-75622401.html

Como verás los hashes no se modifican al cambiar el nombre del archivo. Esta la forma como la policía, y las empresas de almacenamiento en la nube pueden analizar millones de archivos sin tener que ver su contenido. De esta forma por ejemplo empresas como Google, en su producto Google Drive, puede bloquear un archivo que viola el copyright de un producto, desde libros, películas, incluso contenidos ilegales. Simplemente conociendo su hash, pueden lanzar búsquedas masivas.

Ahora ya sabes lo que es una función hash, como puedes ver, las funciones hash, no solo son útiles en el mundo forense.

Protegiendo un entorno (Blue Team)

Wireshark

Introducción

A lo largo de estos cursos, hemos visto que hay herramientas que se repetirán muy a menudo. Ya que sus usos son muy frecuentes por equipos de Red Team, Blue Team, ciberdelincuentes e investigadores de seguridad. Wireshark es una de esas herramientas. Pero en los equipos de Blue Team es fundamental.

Si bien hoy en día no se puede pensar en seguridad de redes, sino tenemos una monitorización de la misma en tiempo real. La investigación tanto por un equipo de Blue Team como por un equipo de respuesta a incidentes, analistas forenses, siempre pasa por analizar el tráfico de red. Muchas veces tras la detección de un incidente es necesario analizar las trazas de red.

Es ahí cuando aparece Wireshark. 

Qué es Whireshark

A finales del año 1997, a Gerald Combs le surgió la necesidad de una herramienta para rastrear la red en busca de problemas y quería saber y aprender más sobre ellas mismas, por lo que comenzó a escribir Ethereal (el nombre con el que surgió originariamente el proyecto Wireshark) como una forma de resolver esos problemas y aparte avanzar en su carrera y metas.

Comenzó con un desarrollo costoso cuanto menos, con problemas y pausas en el mismo en torno a mitad del año 1998, con la versión 0.2.0. Tras poco empezaron a incluir parches, informes de errores y otros componentes iniciales y fue poco a poco mejor el proyecto avanzando hacia un camino prometedor y de éxito total.

Poco tiempo después ese mismo año, Gilbert Ramirez vio su potencial y se integró al proyecto y contribuyó con un disector (un plugin que permite al programa principal descomponer un paquete de datos siguiendo unos argumentos y características) de bajo nivel, así fue su comienzo.

En ese mismo año, en torno a octubre de 1998, Guy Harris buscaba algo más y mejor en lo que involucrarse que tcpview, por lo que comenzó a aplicar parches y contribuir con más disectores a Ethereal.

A finales de ese mismo año, Richard Sharpe, que se encontraba investigando y trabajando más a fondo sobre TCP/IP, vio un poco su potencial y posible futuro en esos trabajos y empezó a analizarlo para ver si era compatible con los protocolos que necesitaba. No fue así en un principio, pero comprobó que se podrían agregar fácilmente nuevos protocolos. Entonces comenzó a contribuir más disectores, parches y más funcionalidades complementarias.

La lista de colaboradores en el proyecto ha sido muy larga y extensa y cada vez ha ido a más, y casi todas comenzaron con un protocolo que necesitaban y que Wireshark no manejaba ya, así fue cada vez más grande y potente el proyecto en sí. Su método más habitual era copiar un disector existente y contribuir con más código y el existente al equipo.

En el año 2006, el proyecto cambio de aires y de nombre, comenzó a llamarse Whireshark, hasta el día de hoy.

En el año 2008, después de muchos años de desarrollo, Wireshark finalmente llegó a la versión 1.0. Después de tantos años y mucho código de por medio, esta versión fue considerada completa, al menos con las características mínimas implementadas. Su lanzamiento coincidió con la primera Conferencia de Desarrolladores y Usuarios de Wireshark, llamada Sharkfest.

En el año 2015 Wireshark lanzó su versión 2.0, que presentaba una nueva interfaz de usuario.

Whireshark tiene detrás una historia interesante y conviene mencionarla con detalles, ya era hace años un software muy conocido y lo sigue siendo aún más a día de hoy, esencial en el análisis de redes para administrador y analistas de red y para profesionales de la ciberseguridad y arrojando información capaz de solucionar problemas por medio de paquetes de la misma red.

Es un software líder desde hace años en el mundo de las redes, llevando muchos años en funcionamiento, progresando en las mismas y analizándolas. Permitiendo analizarlas en tiempo real y también por medio de importar ficheros de red, que contienen estos paquetes de información.

Para qué sirve Wireshark

Los problemas que este software es capaz de llegar a abordar van desde paquetes caídos, problemas de latencia y hasta actividad maliciosa en su red, por ejemplo, por medio de peticiones HTTP. Permite analizar la red como si viéramos una placa con un microscopio en un laboratorio por así decirlo y proporciona herramientas y comandos para filtrar y analizar con más detalles el tráfico de red, acercándose a la causa raíz del problema.

Los administradores de sistemas y de red lo usan para identificar dispositivos defectuosos que están descartando paquetes, problemas de latencia en peticiones causadas por máquinas defectuosas que enrutan el tráfico de red a cualquier lado del mundo posible y exfiltraciones de datos o incluso intento de ataque con malware o de piratería contra una organización.

Esté analizador de redes es una herramienta poderosa que requiere un conocimiento sólido de los conceptos de estas mismas. Eso se traduce para las empresas de hoy en día modernas en comprender sobre protocolos HTTP y sus servicios, la pila de TCP / IP, analizar y comprender los encabezados de los paquetes que se reciben con muchos metadatos a veces complejos, así como el enrutamiento y como se entrelazan unos a otros, el reenvío de puertos y DHCP, por ejemplo.

Características Wireshark

Podríamos escribir solo un curso nombrando las características principales y todos sus poderes y que abanico de oportunidades nos traen, pero solo las comentaremos brevemente por encima.

• Permite seguir el rastro a los paquetes TCP stream, podemos ver todo lo relacionado con dicho paquete, el antes y el después, pudiendo aplicarles filtros personalizados a estos mismos sin perder el flujo.
• Se puede decodificar los paquetes y exportar en formatos específicos y guardar dichos objetos.
• Permite ver estadísticas de los paquetes capturados incluyendo un resumen, jerarquía de protocolos, conversaciones, puntos finales y gráfica de flujos entre otros.
• Análisis fácil e informativo mediante resolución de nombres por mac, por red, etc… y reensamblaje de paquetes.
• Cuenta con una herramienta de líneas de comandos para ejecutar funcionalidades llamada TShark, similar al terminal de linux. Entre los comandos más destacados, podemos mencionar rawshark, editcap, mergecap, text2pcap.

Wireshark: Ventajas y desventajas de uso

Whireshark siendo un software tan grande y robusto analizador de red y paquetes, es casi evidente que tiene más ventajas que desventajas, muchas más. Es lo que hace que sea un software tan usado y conocido. Cuando lo empiecen a usar se darán cuenta de todo lo que se puede llegar a hacer con él.

Entre sus ventajas más destacadas encontramos que tiene un soporte detrás de esas analíticas que saca brutal, con mucho personal a cargo de nuevas funciones, parches y solucionando errores que la comunidad detecta, eso incluye su documentación extensa y no muy laboriosa de leer y aplicar, aparte también cuenta con una comunidad enorme, que ayuda a la mínima de cambio cuando alguien necesita buscar algo muy específico en esos paquetes de red y disectores. Captura también todo tipo de paquetes al analizar la red. Muestra errores y problemas en niveles por debajo del protocolo HTTP. Guardar y restaurar los datos empaquetados capturados, en ficheros pcap.

Entre sus desventajas, que también tiene, aunque sean lo de menos importancia, cabe destacar que al analizar la red no se pueden modificar datos de los paquetes, solo mediante ficheros de red, sus pcap. Y la interfaz que usa  es poco intuitiva y se le podría mejorar y ponerla más funcional e intuitiva.

Uso práctico y sencillo de Whireshark

Mediante este ejemplo en la interfaz vamos a ver como hacer una búsqueda mediante GET para sacar solo los paquetes que nos interesan y no muchos otros que no nos aportan nada.

Podemos buscar por cierto protocolo, ya sea GET, POST o algún otro y usando el operador “and” unirlo y concatenar esa búsqueda con más parámetros, como que esos paquetes contengan en la ruta cierta cadena, como la de “user”.

O los podemos buscar para que en la url contenga “/user” que quizás nos de algo más preciso en la url, como es este caso, pero no significa que esto funcione siempre.

Al final se tratará en un fichero pcap, de hacer muchas búsquedas y rebuscar entre los paquetes, sus raw y demás información hasta obtener alguna incidencia o quizás no porque no la haya. Pero al final será un trabajo arduo, ya que un análisis de red contiene muchísima información y no es fácil detectar salvo que tengamos indicios claros, de dónde puede provenir cualquier actividad maliciosa o fuera de lugar en nuestra red.

En el siguiente enlace encontrarás la documentación de Whireshark, con todos los tipos de parámetros disponibles y todo muy detallado de cómo usarlo, como comentamos antes, sin documentación es muy buena.

Otras herramientas que debes considerar

The Hive

Ninguna lista de herramientas del equipo azul estaría completa sin esta.

TheHive Project está aquí con su plataforma de respuesta a incidentes de seguridad que permite la investigación colaborativa entre el equipo, agregando cientos de miles de elementos observables como IP, emails, etc a cada investigación que se pueden crear a partir de su motor de plantilla, que puede también ser personalizado. Cuando se usa junto con su Cortex, tendrá la capacidad de analizar numerosos elementos observables a la vez usando más de cien analizadores, y contener y erradicar malware o incidentes de seguridad.

TheHive, Cortex y MISP son tres productos de código abierto y gratuitos que pueden ayudarnos a combatir las amenazas y mantener a raya a los “malos”.

TheHive, como SIRP, nos permite investigar incidentes de seguridad de forma rápida y colaborativa. Varios analistas pueden trabajar simultáneamente en tareas y casos. Si bien los casos se pueden crear desde cero, TheHive puede recibir alertas de diferentes fuentes gracias a los alimentadores de alertas que consumen eventos de seguridad generados por múltiples fuentes y los alimentan a TheHive utilizando la biblioteca TheHive4py mencionada. TheHive también se puede sincronizar con una o varias instancias MISP para recibir eventos nuevos y actualizados que aparecerán en el panel de alertas con todas las otras alertas generadas por otras fuentes. Posteriormente, los analistas pueden obtener una vista previa de las nuevas alertas para decidir si se debe actuar o no. Si es así, se pueden transformar en casos de investigación utilizando plantillas.

Para analizar los observables recopilados de una investigación y/o importados de un evento MISP, TheHive puede confiar en uno o varios motores de análisis Cortex. Cortex es otro producto independiente, cuyo único propósito es permitirnos analizar observables a escala gracias a su gran cantidad de analizadores, módulos de expansión MISP y cualquier analizador desarrollado. Cortex tiene una API REST que se puede utilizar para potenciar otros productos de seguridad, como software de “análisis”, SIRP alternativo o MISP.

Respuesta Rápida GRR

GRR Rapid Response es un marco de código abierto de respuesta a incidentes centrado en análisis forense remoto en vivo. Este cliente de Python está instalado en los sistemas de destino, con una infraestructura que puede administrar y comunicarse con los clientes.

Fue diseñado para ejecutarse a escala, por lo que los equipos azules pueden recopilar datos de una gran cantidad de máquinas. GRR permite soporte para clientes Linux, OS X y WIndows, y tiene capacidades de búsqueda y descarga de archivos y el registro de Windows, entre muchas otras características.

MozDef

La plataforma de defensa empresarial de Mozilla, mejor conocida como MozDef , lo ayudará a automatizar la respuesta a incidentes de seguridad y proporciona una plataforma para que los equipos azules descubran y respondan a incidentes de seguridad de manera rápida y eficiente.

Proporciona métricas para incidentes de seguridad, facilita la colaboración en tiempo real en equipos azules y, como afirman, va más allá de las soluciones SIEM tradicionales en la automatización de procesos de respuesta a incidentes.

Gestión y análisis de registros

Otra pieza importante del rompecabezas de la metodología del equipo azul es la gestión y el análisis de registros. Los datos recopilados a través de diferentes fuentes y herramientas deben analizarse y correlacionarse entre diferentes tecnologías para que se descubran los problemas en el rendimiento de las aplicaciones y los programas y los problemas de seguridad.

Con la gestión de registros, los equipos azules recopilan, formatean, agregan y analizan datos de registro de diferentes aplicaciones, servicios y hosts y los relacionan con los requisitos comerciales o los problemas estratégicos de una organización.

La gestión de registros es a menudo un problema en muchas organizaciones debido al gran volumen de registros recopilados que conduce a una gran cantidad de falsos positivos y  que consumen mucho tiempo de técnicos que normalmente tienen otras cosas que atender.  Sin mencionar que no es necesario recopilar o almacenar todos los registros. Esta es la razón por la que es deseable tener un arsenal de herramientas para la gestión y el análisis de registros, de modo que los equipos azules puedan identificar fácilmente cualquier problema de seguridad. La buena noticia es que hemos encontrado las herramientas adecuadas para exactamente eso:

• splunk: Splunk es una de las mejores empresas de ciberseguridad que existen. Ofrece servicios de gestión de registros y proporciona software que fusiona e indexa todos y cada uno de los datos de registros y máquinas. También le brinda la capacidad de recopilar, almacenar, indexar, buscar, correlacionar, analizar e informar sobre cualquier dato generado por máquina para detectar y solucionar problemas de seguridad.
• Loggly: Loggly es un software de análisis y administración de registros basado en la nube que brinda la capacidad de recopilar registros de su infraestructura, rastrear su actividad y analizar tendencias. Loggly es fácil de usar y es un servicio administrado, por lo que no solo está dedicado a los equipos azules: el servicio al cliente y la administración de productos también pueden encontrar un gran uso en él, para recopilar y analizar de una gran cantidad de fuentes y monitorear proactivamente los registros, y realizar diagnósticos y solucionar problemas con él.
• Fluentd: Fluentd es un recopilador de datos de código abierto para una capa de registro unificada. Con Fluentd podrá unificar la recopilación y el uso de datos para mejorar su comprensión de los datos. Con más de 500 complementos que conectan Fluentd con muchas fuentes y salidas, se beneficiará de un mejor uso informado de sus registros.
• Sumo Logic: Bastante conocido, Sumo Logic es un servicio de análisis de seguridad y gestión de registros. Basado en la nube, proporciona información en tiempo real al aprovechar los datos generados por máquinas, de forma similar a Splunk. Los análisis en tiempo real ayudan a identificar y resolver posibles ataques cibernéticos, y sus algoritmos de aprendizaje automático lo alertarán en caso de un evento de seguridad significativo.

Emulación de un atacante

Si bien es importante tanto para los Red Teams como para los Blue Teams, la emulación de un atacante es una técnica defensiva en sí misma.

Tomando prestada la metodología de “estar en el lugar de los atacantes” de los Red Teams, los Blue Teams usan ejercicios y herramientas que simulan un ataque cibernético sofisticado de la manera más realista posible, para comprender la superficie de ataque de una organización y descubrir cualquier agujero de seguridad y vulnerabilidad en sus defensas.

La emulación adversaria proporciona a los Blue Teams datos procesables que les ayudan a descubrir y resolver vulnerabilidades y problemas de seguridad. También les permite evaluar la efectividad de los controles de seguridad, las soluciones y sus capacidades para detectar y prevenir comportamientos sospechosos y atacantes maliciosos. Veamos algunos de estos simuladores de atacantes.

• Simulador APT: APTSimulator es, una herramienta de emulación de un ataque dirigido, pero que está diseñada teniendo en cuenta la simplicidad. La instalación y puesta en marcha lleva aproximadamente un minuto, y cualquiera puede leerlo, modificarlo o ampliarlo. Este script por lotes de Windows utiliza diferentes herramientas y archivos de salida para hacer que un sistema parezca comprometido.
• DumpeterFire: Ahora, este es un nombre memorable. DumpsterFire es una herramienta multiplataforma diseñada para crear eventos de seguridad repetibles y distribuidos. Los equipos azules pueden personalizar cadenas de eventos y simular escenarios de ciberseguridad realistas para solidificar su mapeo de alertas.

• Caldera: Construido sobre el marco MITRE ATT&CK™, Caldera es un marco de emulación de atacante automatizado que le permite ejecutar fácilmente ejercicios de simulación e incumplimiento, e incluso puede ayudar con la respuesta automatizada a incidentes. Si bien a menudo se usa como una herramienta del equipo rojo, como mencionamos, muchas herramientas ofensivas también se pueden utilizar para los equipos azules. Caldera no es una excepción.

Kit de herramientas de capacitación para los Blue Teams

Blue Team Training Toolkit merece una introducción y una explicación. BT3, como se le llama comúnmente, es un software de capacitación en seguridad defensiva que le permite crear escenarios de ataque realistas con IoC y técnicas de evasión específicas.

Se puede crear sesiones de capacitación con patrones de comportamiento y tráfico asociados con malware, sin tener que ejecutar malware real y peligroso.

SIEM

Security Information and Event Management, o SIEM para abreviar, es un software que proporciona análisis en tiempo real de eventos de seguridad mediante la recopilación de datos de diferentes fuentes y realiza análisis basados ​​en criterios específicos para detectar actividades sospechosas y ataques cibernéticos.

El proceso de las herramientas SIEM comienza con la recopilación de datos de dispositivos de red, servidores y muchas otras fuentes, normalizando y correlacionando los datos recopilados para que los datos puedan analizarse más a fondo para descubrir amenazas y brindar a las organizaciones visibilidad sobre incidentes y violaciones de seguridad.

Las soluciones y herramientas SIEM han sido imprescindibles para cualquier ecosistema de seguridad, pero a menudo no se usan correctamente (los equipos tienen dificultades para utilizar los datos SIEM para la respuesta a incidentes) o simplemente son demasiado costosas. Esta es la razón por la que, al igual que con toda esta colección de las mejores herramientas del equipo azul, nos enfocamos en soluciones SIEM de código abierto:

• OSSIM: AlienVault nos trae su solución SIEM, llamada OSSIM. Uno de los SIEM de código abierto más utilizados, OSSIM proporciona recopilación y correlación de eventos. Algunas de sus capacidades incluyen el descubrimiento de activos, la evaluación de vulnerabilidades y la detección de intrusos, entre otras.
• Elastic Stack: Elastic Stack es un grupo de productos de Elastic que toma datos de cualquier fuente y busca, analiza y visualiza esos datos en tiempo real. Anteriormente conocido como ELK Stack, significa Elasticsearch, Kibana, Beats y Logstash. Han descrito su servicio en unas pocas palabras simples: Analizar, enriquecer, anonimizar y más.
• SIEMonster: SIEMonster es una solución de software de monitoreo de seguridad asequible y apreciada que es, de hecho, una colección de las mejores herramientas de seguridad de código abierto disponibles, junto con sus propios desarrollos.
• OSSEC: A juzgar por las afirmaciones de los creadores, OSSEC es el sistema de detección de intrusos en host más utilizado del mundo, o HIDS. De código abierto y gratuito, OSSEC realiza análisis de registros, detección de rootkits, monitoreo del registro de Windows y mucho más. Detecta y alerta sobre modificaciones no autorizadas del sistema de archivos y comportamiento malicioso, lo que lo convierte en una gran adición a su conjunto de herramientas de Blue Teams.

Detección y respuesta de terminales

Endpoint Detection and Response, o EDR para abreviar, son herramientas y soluciones que ayudan a los Blue Teams y a los investigadores de seguridad a recopilar, documentar y almacenar datos provenientes de las actividades de los puntos finales para descubrir, analizar y mitigar las amenazas que se encuentran en dichos puntos finales.

Las herramientas EDR son una especie de novatos en los conjuntos de herramientas de ciberseguridad de los profesionales. A menudo se comparan con las soluciones avanzadas de protección contra amenazas en función de sus capacidades para detectar y proteger a las organizaciones contra las amenazas cibernéticas que tienen como objetivo penetrar los puntos finales y poner en peligro la seguridad de la organización.

A menudo utilizadas por los equipos SOC , las soluciones EDR también son excelentes adiciones a los kits de herramientas del Blue Teams, y estas son nuestras mejores opciones:

• Ettercap: Ettercap es bien conocido como una herramienta de seguridad de red de código abierto para ataques de intermediarios en LAN. Ettercap presenta detección de conexiones en vivo, filtrado de contenido y admite la disección activa y pasiva de muchos protocolos. Escrito en C, también incluye muchas funciones para el análisis de redes y hosts, como el filtrado de paquetes según el origen y el destino de IP, la dirección MAC, el uso de envenenamiento ARP para rastrear una LAN conmutada entre dos hosts y mucho más.
• Wazuh: Wazuh es una plataforma de código abierto para la detección de amenazas, el control de la integridad y la respuesta a incidentes. Le permite recopilar, agregar, indexar y analizar datos y ofrece detección de intrusiones, detección de vulnerabilidades, seguridad en la nube y contenedores, todo en una sola plataforma.
• Event Tracker: Para un producto dos en uno, tenemos EventTracker , que es tanto SIEM como EDR. EventTracker proporciona una arquitectura de seguridad adaptable que integra predicción, protección, detección y respuesta. Proporciona todas estas capacidades en una herramienta unificada, lo que la hace rentable y práctica para hacer que la respuesta a incidentes y la detección y respuesta de puntos finales sean un proceso continuo.

Supervisión de la seguridad de la red

Las herramientas de monitoreo de seguridad de la red monitorean la actividad, el tráfico y los dispositivos de su red para detectar y descubrir amenazas cibernéticas, vulnerabilidades de seguridad o simplemente cualquier actividad sospechosa. Estas herramientas recopilan y analizan indicadores de compromiso y brindan datos procesables y alertas a los analistas de seguridad y los equipos azules para responder adecuadamente a los incidentes de seguridad.

Estas herramientas ayudan a los Blue Teams a obtener información en tiempo real sobre las actividades en la red y monitorear y alertar continuamente antes de que ocurra un daño real, lo que les brinda la capacidad de remediar los problemas de seguridad de manera oportuna.

Existen muchas herramientas de monitoreo de seguridad de red diferentes, con diferentes capacidades. Aquí hay una combinación de plataformas y soluciones con diferentes funcionalidades:

• Zeek: Anteriormente conocido como Bro, Zeek es una plataforma de monitoreo de seguridad de red de código abierto que se encuentra en una plataforma de hardware, software, virtual o en la nube y observa el tráfico de la red, interpreta lo que ve y crea registros de transacciones, contenido de archivos y resultados totalmente personalizados, lo cual es adecuado para el análisis manual.
• Wireshark: Una de las herramientas de monitoreo de seguridad de red más utilizadas, Wireshark es un nombre familiar. Wireshark realiza un análisis profundo de cientos de protocolos, captura en vivo y análisis fuera de línea, análisis de VoIP y captura archivos comprimidos con gzip y los descomprime. Los datos en vivo se pueden leer desde Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI y otros.
• RITA: Real Intelligence Threat Analysis, o RITA , es un marco de código abierto para el análisis del tráfico de red. Es compatible con la detección de balizas, la detección de túneles DNS y la verificación de listas negras.
• Maltrail: Maltrail, un sistema de detección de tráfico malicioso, es una herramienta de código abierto que utiliza listas negras disponibles públicamente de rastros maliciosos y sospechosos, así como rastros estáticos compilados a partir de varios informes AV y listas personalizadas definidas por el usuario. Además, utiliza mecanismos heurísticos avanzados para ayudar a identificar amenazas de red desconocidas.

Detección de amenazas

La paciencia, el pensamiento crítico y la creatividad son los tres pilares de la detección eficaz de amenazas, o caza de amenazas, como también se le llama. La caza de amenazas es un proceso complicado, y con todos sus aspectos técnicos, uno que no se puede explicar fácilmente. ¡Estén atentos a una publicación completa dedicada a esto!

Mencionamos anteriormente que en ciberseguridad, prepararse para un ciberataque es la mejor postura posible, sin reflexionar sobre si sucederá. La detección de amenazas comienza exactamente en ese punto.

Al emplear técnicas y métodos tanto manuales como automatizados, los cazadores de amenazas son una valiosa adición a los equipos azules, ya que les permiten descubrir posibles amenazas en curso que ya han penetrado las defensas y los sistemas de seguridad. Dado que la búsqueda de amenazas es un tema amplio que cubre muchas metodologías y herramientas, nos hemos centrado en aquellas herramientas que encontramos fáciles de usar e integrar, para ayudar de manera efectiva en la detección de amenazas:

• Caza de amenazas: ThreatHunting es una aplicación de Splunk que contiene numerosos paneles y más de cien informes que lo ayudarán a habilitar los indicadores de búsqueda, lo que le permitirá investigarlos más a fondo.
• Yara: “La navaja suiza de coincidencia de patrones para investigadores de malware”, Yara es también para los equipos azules. Esta herramienta lo ayudará a identificar y clasificar muestras de malware y crear descripciones de familias de malware, donde cada descripción consiste en un conjunto de cadenas y expresiones booleanas que determinan su lógica.
• Helk: Hunting ELK, o HELK para abreviar, es una plataforma de búsqueda de amenazas de código abierto que proporciona capacidades de análisis avanzadas, como lenguaje declarativo SQL, transmisión estructurada, aprendizaje automático a través de portátiles Jupyter y Apache Spark sobre ELK (ahora Elastic) Stack. Esta herramienta ayuda a mejorar las pruebas y el desarrollo de casos de uso de búsqueda de amenazas y habilita capacidades de ciencia de datos.

Defensa de la red

Una red es el objetivo favorito de un atacante y, a menudo, el principal objetivo de los ataques cibernéticos. Proteger la red con soluciones de defensa de red avanzadas y administradas es uno de los primeros pasos a seguir para fortalecer las defensas de seguridad y la postura de una organización.

Hay muchas herramientas y soluciones diferentes para ayudar en la defensa de la red: firewalls, sistemas de detección de intrusos (IDS), firewalls de aplicaciones web (WAF), herramientas de prevención de pérdida de datos (DLP), controles de aplicaciones, bloqueadores de spam, etc.

Para esta lista, hemos decidido centrarnos en los cortafuegos, los cortafuegos del sistema, los WAF y los IDS:

• ModSecurity: ModSecurity , o ModSec, es un firewall de aplicaciones web de código abierto que ofrece control de acceso y monitoreo de seguridad de aplicaciones en tiempo real, registro completo de tráfico HTTP, evaluación de seguridad pasiva continua, fortalecimiento de aplicaciones web y más.
• WAF: Otra plataforma de seguridad que ofrece una serie de diferentes funcionalidades de seguridad, Wallarm , además de ser un WAF, puede realizar análisis de vulnerabilidades de aplicaciones, verificación de amenazas y pruebas de seguridad de aplicaciones. Esta plataforma también brinda protección automatizada contra los 10 principales riesgos de seguridad de aplicaciones web de OWASP , DDoS de aplicaciones, apropiación de cuentas y otras amenazas de seguridad de aplicaciones.
• SNORT: SNORT, un sistema de detección y prevención de intrusiones en la red, es una herramienta de código abierto que ofrece análisis de tráfico en tiempo real y registro de paquetes. SNORT es uno de los sistemas de prevención de intrusiones más utilizados y ofrece análisis de protocolos, búsqueda de contenido y comparación.
• pfSense: Un cortafuegos de sistema de código abierto muy apreciado, pfSense se basa en el sistema operativo FreeBSD. Su edición comunitaria gratuita ofrece no solo un firewall, sino también una tabla de estado, equilibrio de carga del servidor, traductor de direcciones de red, una VPN y mucho más.
• CSF: ConfigServer Security & Firewall, o CSF , es otro cortafuegos del sistema, o más específicamente, un script de configuración de cortafuegos, así como una aplicación de detección de inicio de sesión/intrusión para servidores Linux que configura el cortafuegos de un servidor para denegar el acceso público a los servicios y solo permite ciertas conexiones. , como consultar correos electrónicos o cargar sitios web. Este conjunto de secuencias de comandos proporciona una secuencia de comandos de firewall SPI iptables y un proceso Daemon que verifica las fallas de autenticación de inicio de sesión que complementan el CSF.

Conclusión

Navegar a través de las muchas herramientas, soluciones y recursos apropiados para los Blue Teams y su operación puede ser desmoralizante. Pensar en las horas de trabajo que lleva implementar todos esos sistemas.

En España y sobre todo en organizaciones pequeñas, poder contar con un Blue Teams es costoso y un lujo que pocas organizaciones se pueden costear. Pero es algo que contribuye de forma proactiva a la seguridad de la organización.

El punto que aprovechan los cibercriminales es la ausencia de un Blue Teams en muchas de las organizaciones que atacan. Tenerlo y conformarlo debería ser una de las prioridades de cualquier dirección.

Herramientas de Blue Team

Tendiendo los señuelos

Dicen que el tema no es si van a intentar atacar la organización. Sino cuándo. Y cuando toque, será mejor que estéis preparad@s.

Estas en el equipo Azul (Blue Team), tu misión, simplemente proteger a la organización. De un ataque que no sabes cuándo será, ni de dónde vendrá.

Así que lejos de limpiar la casa para darle la bienvenida a nuestros invitados, es la hora de tender los señuelos, esos sensores que de alguna forma nos avisará si algo está ocurriendo en el entorno que estamos protegiendo. Por ejemplo la red de la organización.

En este laboratorio trabajaremos con una serie de herramientas que te ayudarán a proteger tu entorno.

Honeypots

Un honeypot es un sistema informático o aplicación señuelo que tiene como objetivo atraer a actores maliciosos que intentan atacar sistemas informáticos. Una vez que el atacante cae en la trampa del señuelo, el señuelo está ahí para permitir que los administradores recopilen datos valiosos sobre el atacante, el tipo de ataque e incluso identificar al atacante. Con los honeypots, los equipos azules pueden identificar amenazas emergentes y generar inteligencia de amenazas que se puede usar para tomar decisiones mejor informadas sobre las técnicas preventivas que la organización emplea contra las amenazas de red.

Hay diferentes honeypots, con diferentes complejidades:

• Honeypot sencillo.
• Honeypot de alta interacción.
• Honeypot de interacción media.
• Honeypot de baja interacción.

Además, podemos reconocer varias tecnologías de señuelos diferentes en uso, como el señuelo SSH, HTTPS, base de datos, servidor, cliente, malware, correo electrónico no deseado, IoT y otros.

En la siguiente lista, hemos incluido una buena combinación de diferentes tipos de honeypots para satisfacer las necesidades de las diferentes organizaciones. 

Kippo

Kippo es un conocido honeypot SSH de interacción media escrito en Python. Esta herramienta está diseñada para detectar y registrar ataques de fuerza bruta, así como el historial completo de shell realizado por un atacante.

Kippo ofrece un sistema de archivos falso que puede agregar y eliminar archivos y, entre otras características, también puede ofrecer contenido falso a los atacantes, realizar algunos trucos con SSH que finge conectarse en algún lugar y cosas por el estilo. También está disponible kippo_detect, que le permite detectar la presencia de un kippo honeypot.

Glastopf

Glastopf es un honeypot basado en HTTP escrito en Python. Glastopf tiene la capacidad de emular diferentes tipos de vulnerabilidades, con emulaciones de ataques que incluyen inclusión de archivos locales y remotos, inyección de SQL, inyección de HTML a través de una solicitud POST, entre otros.

ElásticoMiel

ElasticHoney es, como su nombre lo indica, un honeypot diseñado para este tipo de base de datos: Elasticsearch. Es un honeypot simple pero efectivo con la capacidad de capturar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE en Elasticsearch. Escrito en GO, ElasticHoney ofrece binarios para la mayoría de las plataformas y está disponible para Windows y Linux.

Artillery

Artillery no es solo un honeypot, sino también una herramienta de monitoreo y un sistema de alerta. Con Artillery, puedes configurar los puertos más comunes y más escaneados, y poner en la lista negra a cualquiera que intente conectarse a ellos.

Esta herramienta también puede monitorear los registros SSH en busca de intentos de fuerza bruta y le enviará un correo electrónico cuando ocurra un ataque. Está disponible tanto para Windows como para Linux, aunque es posible que algunas funciones no estén disponibles para los usuarios de Windows.

El objetivo principal de todos los honeypots es identificar ataques emergentes contra diferentes tipos de software y recopilar informes para analizar y generar datos de inteligencia, que luego se utilizarán para crear técnicas de prevención contra amenazas de red.

Hay dos tipos diferentes de honeypots:

• Honeypot de investigación: este tipo de señuelo es utilizada por desarrolladores, administradores de sistemas y gerentes de blue teams que trabajan en instituciones como universidades, colegios, escuelas y otras asociaciones relacionadas con la investigación del cibercrimen.
• Honeypot de producción: Es utilizado por instituciones, empresas y corporaciones privadas y públicas para investigar el comportamiento y las técnicas de los piratas informáticos que buscan atacar las redes en Internet.

Esencialmente, un honeypot te permite obtener datos valiosos para que se pueda trabajar en diferentes estrategias de reducción de la superficie de ataque y sobre todo permite conocer al atacante y obtener estadísticas de por ejemplo, desde dónde se ataca, que puertos utilizan para atacar la infraestructura, técnicas y metodologías.

¿Cómo funciona un honeypot?

Un honeypot es un sistema de señuelos o trampas. Estos sistemas de captura a menudo se configuran en una VM o servidor en la nube conectado a una red, pero aislados y estrictamente monitoreados por equipos de sistemas y redes. Para ayudarles a hacerse notar por los malos, los honeypots están diseñados para ser intencionalmente vulnerables, con debilidades que un atacante detectará e intentará explotar.

Estas debilidades pueden ser parte de un agujero de seguridad dentro de una aplicación o vulnerabilidades del sistema, como puertos abiertos innecesarios, versiones de software desactualizadas, una contraseña débil o un kernel antiguo sin parches por ejemplo. 

Una vez que el atacante ha encontrado su objetivo vulnerable, intentará lanzar un ataque y escalar los privilegios hasta que pueda obtener cierto control de la caja o la aplicación.

Lo que la mayoría de ellos no sabe es que un administrador del honeypot está observando cada uno de sus pasos con atención, recopilando datos del atacante que realmente ayudarán a fortalecer las políticas de seguridad actuales. El administrador también puede informar el incidente a las autoridades legales de inmediato, que es lo que suele suceder con las redes corporativas de alto nivel.

Ejemplos de Honeypots

Algunos ingenieros de sistemas tienden a clasificar los honeypots según el software objetivo que intentan proteger o exponer. Entonces, si bien la lista de honeypots podría ser extensa, aquí enumeramos algunos de los más populares:

• Honeypot de spam: también conocido como honeypot de spam, este honeypot se creó específicamente para atrapar a los spammers antes de que lleguen a las casillas de correo electrónico legítimas. Estos a menudo tienen repetidores abiertos para ser atacados y trabajan en estrecha colaboración con las listas RBL para bloquear el tráfico malicioso.
• Honeypot de malware: este tipo de honeypot se crea para simular aplicaciones, API y sistemas vulnerables con el fin de recibir ataques de malware. Los datos que luego se recopilan se utilizarán más tarde para el reconocimiento de patrones de malware, para ayudar a crear detectores de malware efectivos.
• Honeypot de base de datos: las bases de datos son un objetivo común de los atacantes web y, al configurar un honeypot de base de datos, puede ver y aprender diferentes técnicas de ataque, como inyección SQL, abuso de privilegios, explotación de servicios SQL y mucho más.
• Spider honeypot: este tipo de honeypot funciona mediante la creación de páginas web falsas y enlaces a los que solo pueden acceder los rastreadores web, no los humanos. Una vez que el rastreador accede al honeypot, se detecta junto con sus encabezados para un análisis posterior, generalmente para ayudar a bloquear bots maliciosos y rastreadores de redes publicitarias.

La mayoría de los honeypots funcionan como trampas que distraen a los atacantes de los datos críticos alojados en las redes reales. Otro punto en común es que casi todos los intentos de conexión a un honeypot pueden tratarse como hostiles, ya que hay pocas razones, si es que hay alguna, que puedan motivar a un usuario legítimo a conectarse con este tipo de sistemas.

Mientras configuras el honeypot, debes tener en cuenta el nivel de dificultad de vulnerabilidades que deseas exponer al atacante. Si es demasiado fácil de hackear, probablemente perderán interés o incluso se darán cuenta de que no están tratando con un sistema de producción real.

Por otro lado, si el sistema está demasiado reforzado, en realidad frustrará cualquier ataque y no podrá recopilar ningún dato. Entonces, en términos de dificultad, atraer a un atacante con algo entre fácil y difícil es su mejor apuesta para simular un sistema de la vida real.

¿Puede un atacante detectar si está dentro de un honeypot? Por supuesto. Los usuarios avanzados con un alto nivel de conocimiento técnico pueden reconocer algunas señales de que están ingresando a un honeypot.

Incluso los usuarios sin conocimientos técnicos pueden detectar los señuelos mediante el uso de detectores de honeypot automatizados, como Honeyscore de Shodan, que te permite identificar las direcciones IP de los honeypot. 

En la siguiente captura se muestra la consola de gestión de un Honeypot:

Los principales Honeypot para identificar diferentes tipos de ataques:

• Honeypot para SSH

Kippo: este honeypot SSH escrito en Python ha sido diseñado para detectar y registrar ataques de fuerza bruta y, lo que es más importante, el historial completo de shell realizado por el atacante. Está disponible para la mayoría de las distribuciones de Linux modernas y ofrece administración y configuración de comando CLI, así como una interfaz basada en web. Kippo ofrece un sistema de archivos falsos y la capacidad de ofrecer contenido falso a los atacantes (como archivos de contraseñas de usuarios, etc.), así como un poderoso sistema de estadísticas llamado Kippo Graph.

Cowrite: este honeypot SSH de interacción media funciona emulando un shell. Ofrece un sistema de archivos falso basado en Debian 5.0, que le permite agregar y eliminar archivos como desee. Esta aplicación también guarda todos los archivos descargados y cargados en un área segura y en cuarentena, para que pueda realizar análisis posteriores si es necesario. Además del shell emulado de SSH, se puede usar como un proxy SSH y Telnet, y le permite reenviar conexiones SMTP a otro señuelo SMTP.

• Honeypot para HTTP

Glastopf: este honeypot basado en HTTP le permite detectar ataques de aplicaciones web de manera efectiva. Escrito en Python, Glastopf puede emular varios tipos de vulnerabilidades, incluida la inserción de archivos locales y remotos, así como la inyección de SQL (SQLi) y el uso de un sistema de registro centralizado con HPFeeds.

Nodepot: este honeypot de aplicación web se centra en Node.js e incluso le permite ejecutarlo en hardware limitado como Raspberry Pi / Cubietruck. Si está ejecutando una aplicación Node.js y está buscando obtener información valiosa sobre los ataques entrantes y descubrir qué tan vulnerable es, entonces este es uno de los honeypots más relevantes para usted. Disponible en la mayoría de las distribuciones de Linux modernas, ejecutarlo depende solo de unos pocos requisitos.

Google Hack Honeypot: comúnmente conocido como GHH, este honeypot emula una aplicación web vulnerable que los rastreadores web pueden indexar, pero permanece oculto a las solicitudes directas del navegador. El enlace transparente utilizado para este propósito reduce los falsos positivos y evita que se detecte el honeypot. Esto le permite probar su aplicación contra los siempre tan populares idiotas de Google . GHH ofrece un archivo de configuración fácil, así como algunas buenas capacidades de registro para obtener información crítica del atacante, como IP, agente de usuario y otros detalles del encabezado.

• Honeypot para de WordPress

Honeypot Formidable: Este es uno de los honeypots más populares utilizados con WordPress. Es literalmente invisible para los humanos; solo los bots pueden caer en su trampa, por lo que una vez que un ataque automatizado entre en su formulario, será detectado y evitado de manera efectiva. Es una forma no intrusiva de defender WordPress contra el spam. Convenientemente, no requiere ninguna configuración. Simplemente active el complemento y se agregará a todos los formularios que use en WordPress, tanto en la versión gratuita como en la pro.

Honeypot para bots: creado para evitar que los bots automatizados usen ancho de banda innecesario y otros recursos del servidor de la infraestructura de su sitio. Al configurar este complemento, puede detectar y bloquear bots maliciosos, desde ataques de malware automatizados hasta spam y varios tipos de ataques de adware. Este honeypot de WordPress funciona agregando un enlace oculto en el pie de página de todas sus páginas. De esta manera, los humanos no lo detectan y solo atrapa a los bots malos que no siguen las reglas de robots.txt. Una vez que se detecta un bot malo, se bloqueará el acceso a su sitio web.

Wordpot: Este es uno de los honeypots de WordPress más eficaces que puede utilizar para mejorar la seguridad de WordPress . Le ayuda a detectar signos maliciosos de complementos, temas y otros archivos comunes que se utilizan para tomar las huellas digitales de una instalación de wordpress. Escrito en Python, es fácil de instalar, se puede manejar desde la línea de comandos sin problemas e incluye un archivo wordpot.conf para una fácil configuración de honeypot. También le permite instalar complementos personalizados de Wordpot para que pueda emular las vulnerabilidades populares de WordPress.

• Honeypot para base de datos

ElasticHoney: con Elasticsearch explotado con tanta frecuencia en la naturaleza, nunca es una mala idea invertir en un honeypot creado específicamente para este tipo de base de datos. Este es un honeypot simple pero efectivo que le permitirá detectar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE. Funciona al recibir solicitudes de ataque en varios puntos finales populares, como /, /_search y /_nodes, y luego responde sirviendo una respuesta JSON que es idéntica a la instancia vulnerable de Elasticsearch. Todos los registros se guardan en un archivo llamado elastichoney.log. Una de las mejores cosas de esto es que esta herramienta trampa está disponible para los sistemas operativos Windows y Linux.

HoneyMy sql: este simple honeypot de MySQL se crea para proteger sus bases de datos basadas en SQL. Escrito en Python, funciona en la mayoría de las plataformas y se puede instalar fácilmente clonando su repositorio de GitHub.

MongoDB- HoneyProxy: uno de los honeypots de MongoDB más populares, este es específicamente un proxy de honeypot que puede ejecutar y registrar todo el tráfico malicioso en un servidor MongoDB de terceros. Se requiere Node.js, npm, GCC, g++ y un servidor MongoDB para que este honeypot de MongoDB funcione correctamente. Se puede ejecutar dentro de un contenedor Docker o cualquier otro entorno de VM.

• Honeypots de correo electrónico

Honeymail: si está buscando una forma de detener los ataques basados ​​en SMTP, esta es la solución perfecta. Escrito en Golang, este honeypot para correo electrónico le permitirá configurar numerosas funciones para detectar y prevenir ataques contra sus servidores SMTP. Sus características principales incluyen: configurar mensajes de respuesta personalizados, habilitar el cifrado StartSSL/TLS, almacenar correos electrónicos en un archivo BoltDB y extraer información del atacante, como el dominio de origen, el país, los archivos adjuntos y las partes del correo electrónico (HTML o TXT). También proporciona protección DDoS simple pero poderosa contra conexiones masivas.

Mailoney: Este es un gran señuelo de correo electrónico escrito en Python. Se puede ejecutar en diferentes modos, como open_relay (registrar todos los correos electrónicos que se intentaron enviar), postfix_creds (utilizado para registrar las credenciales de los intentos de inicio de sesión) y schizo_open_relay (que le permite registrar todo).

SpamHAT: esta trampa está diseñada para atrapar y evitar que el spam ataque cualquiera de sus casillas de correo electrónico. Para que esto funcione, asegúrese de tener instalado Perl 5.10 o superior, así como algunos módulos CPAN como IO::Socket, Mail::MboxParser, LWP::Simple, LWP::UserAgent, DBD::mysql, Digest: :MD5::File, además de tener un servidor MySQL corriendo con una base de datos llamada ‘spampot’.

• Honeypot para IoT

HoneyThing: creado para Internet de los servicios habilitados para TR-069, este honeypot funciona actuando como un módem/enrutador completo que ejecuta el servidor web RomPager y es compatible con el protocolo TR-069 (CWMP). Este honeypot IOT es capaz de emular vulnerabilidades populares para Rom-0, Misfortune Cookie, RomPager y más. Ofrece compatibilidad con el protocolo TR-069, incluida la mayoría de sus comandos CPE populares, como GetRPCMethods, Get/Set Parameter Values, Download, etc. A diferencia de otros, este honeypot ofrece una interfaz basada en web fácil y pulida. Finalmente, todos los datos críticos se registran en un archivo llamado honeything.log

Kako: la configuración predeterminada ejecutará una serie de simulaciones de servicio para capturar información de ataque de todas las solicitudes entrantes, incluido el cuerpo completo. Incluye servidores Telnet, HTTP y HTTPS. Kako requiere los siguientes paquetes de Python para funcionar correctamente: Click, Boto3, Requests y Cerberus. Una vez que esté cubierto con los paquetes requeridos, puede configurar este honeypot de IOT usando un archivo YAML simple llamado kako.yaml. Todos los datos se registran y se exportan a AWS SNS y al formato JSON de archivo plano.

• Otros tipos de Honeypots

Dionaea: este honeypot de baja interacción escrito en C y Python utiliza la biblioteca Libemu para emular la ejecución de instrucciones Intel x86 y detectar shellcodes. Además, podemos decir que es un honeypot multiprotocolo que ofrece soporte para protocolos como FTP, HTTP, Memcache, MSSQL, MySQL, SMB, TFTP, etc. Sus capacidades de registro ofrecen compatibilidad con Fail2Ban, hpfeeds, log_json y log_sqlite.

Miniprint: dado que las impresoras son algunos de los dispositivos más ignorados dentro de las redes informáticas, Miniprint es el aliado perfecto cuando necesita detectar y recopilar ataques basados ​​en impresoras. Funciona al exponer la impresora a Internet mediante un sistema de archivos virtual donde los atacantes pueden leer y escribir datos simulados. Miniprint ofrece un mecanismo de registro muy profundo y guarda cualquier trabajo de impresión de postscript o texto sin formato en un directorio de carga para su posterior análisis.

Honeypot-ftp: Escrito en Python, este honeypot de FTP ofrece soporte completo para FTP y FTPS simples para que pueda realizar un seguimiento profundo de las credenciales de usuario y contraseña utilizadas en los intentos de inicio de sesión ilegales, así como los archivos cargados para cada sesión de FTP/FTPS.

HoneyNTP: NTP es uno de los protocolos más ignorados en Internet, y por eso es una buena idea ejecutar un NTP Honeypot. Este es un servidor NTP simulado de Python que se ejecuta sin problemas en los sistemas operativos Windows y Linux. Funciona registrando todos los paquetes NTP y números de puerto en una base de datos de Redis para que pueda realizar un análisis posterior.

Thug: Thug no es un honeypot per se, sino un honeyclient. Así como las tecnologías honeypot permiten la investigación de los ataques del lado del servidor, los honeyclients se enfrentan a los ataques del lado del cliente. Al actuar como un complemento de los honeypots, Thug es una herramienta de cliente de miel de baja interacción diseñada para imitar el comportamiento de un navegador web para analizar enlaces sospechosos y determinar si contienen componentes maliciosos.

Canarytokens: Canarytokens es una herramienta honeytoken creada para emular web bugs, las imágenes transparentes que rastrean cuando alguien abre un correo electrónico incrustando una URL única en la etiqueta de imagen de la página web y monitorea las solicitudes GET. Canarytokens hace lo mismo pero para lecturas de archivos, consultas de bases de datos, ejecuciones de procesos, patrones en archivos de registro y mucho más. Le permite configurar trampas en sus sistemas en lugar de configurar trampas separadas. En otras palabras, los atacantes anuncian que han violado su sistema “tropezando” con un token.

Conclusión

Para los nuevos Blue Teams, instalar y configurar cualquiera de estas herramientas de Honeypot es un trabajo fácil, solo ten presente hacerlo en una red de prueba separada de tus sistemas de producción, al menos en tus primeras pruebas hasta que sepas lo que estás haciendo.

¿Estás listo para prevenir aún más amenazas de red? Explora tu área de superficie de ataque hoy y descubre cuánta información está exponiendo, antes de que lo hagan los malos.