Lic.

López Lio, Rodrigo

FUNDAMENTOS DE CIBERSEGURIDAD y PROTECCIÓN de las

INFRAESTRUCTURAS CRÍTICAS
Módulo 1
Diseño de redes / Dispositivos de seguridad en redes
 • Diseño de seguridad
• Marcos de trabajo
• Ciclo de Desarrollo • Políticas
• Revisión de código • Evaluaciones de riesgos y gestión
Desarrollo de Software Seguridad y Gestión de
riesgos

• Clasificación
• Continuidad del negocio • Privacidad
• Respuesta a incidentes Operaciones • Dueños
• Control de cambios Seguridad de Activos • Respaldos
• Nube

Evaluaciones de seguridad y Arquitectura de Seguridad e

pruebas ingenieria

• Modelos de Arquitectura
• Ingeniería de sistemas
• Pentesting • SCADA - ICS
• Auditoria y cumplimiento • Criptografía
• Monitoreo y eventos de seguridad
Redes y Comunicaciones
Control de accesos

• Gestión de identidades • Diseño de redes seguras

• Categorías y tipos • Dispositivos de seguridad en redes
• Roles y atributos • Telefonía

Adaptado de (ISC)2
Dispositivos de seguridad en redes
Introducción a los dispositivos de seguridad de red

Router

Firewall

IDS/IPS

Firewall c/ IPS

VPN

WAF

Worms
DBF

Anti-dDoS

4
Routers

• Enrutan el tráfico, operan en capa 3

• Dividen en dominios de Broadcast
• Basan su ruteo en tablas de enrutamiento, ya sean estáticas como
dinámicas
• Tienen alguna capacidades de firewall
• Permiten el filtrado de tráfico mediante ACL.

5
Firewalls (Características y soluciones)

Los Firewalls son dispositivos que permiten delimitar el perímetro de

seguridad de una red.

 Permite implementar reglas de acceso.

 Permite filtrar el tráfico no autorizado.

 Soluciones de hardware, software.

6
 Clasificación

Basados en Filtrado de paquetes (IP Filters, packet filter)

• Capa 3 – Permite o Deniega el paso de datagramas según un conjunto de reglas.
• Solo entienden direcciones IP.
• Comparan los encabezados IP, TCP y UDP para compararlos contra las ACL configuradas.

Ventajas
• Velocidad.
• Su característica de filtrado se encuentra en otros dispositivos.

Desventajas
• Limitados en capacidades.
• No detectan paquetes a nivel de aplicación.
• Configuración.

7
 Clasificación

Basados en Nivel de Circuito (Circuit Level Gateway)

• Capa 4 – monitorea sesiones TCP/IP.
• Monitorea el intercambio de paquetes para validar una sesión.
• No filtra paquetes individuales sino sesiones.
• La detección se realiza antes de que se establezca la conexión.

Ventajas
• La información parece venir desde el firewall. (cobertura de red interna)

Desventajas
• Al no filtrar paquetes, una vez establecida la conexión se puede aprovechar.

8
 Clasificación

Basados en Aplicación (Aplication Level Gateway, proxy)

• Capa 5 – Aplicación.
• Permite el filtrado en aplicaciones específicas o de protocolos.
• La inspección se realiza a nivel aplicación lo que permite filtrar comandos específicos de la
aplicación.

Ventajas
• Gran capacidad de análisis y filtrado.
• Seguimiento de actividad del usuario e inicios de sesión.

Desventajas
• Rendimiento.

9
 Clasificación

Basados en Estado de niveles múltiples (statefull Multi Layer)

• Llamados de segunda generación.
• Capa 3, 4 y 5 – Permite seguir el estado de paquetes.
• Mantiene el registro de las conexiones activas.
• La inspección de estado se basa en el monitoreo de los paquetes entrantes y salientes, el estado de
conexión

Ventajas
• Gran capacidad de análisis y filtrado.

Desventajas
• Configuración.

10
Firewalls (Características y soluciones)

11
IPS (Características y soluciones)

Los IDS son dispositivos de monitoreo para detectar intrusiones.

 Su funcionamiento se basa en el análisis de tráfico.

 Permiten identificar patrones.

 Pasivos (IDS) o Reactivos (IPS).

 Soluciones de hardware, software.

 Arquitectura basada en agentes.

12
 Clasificación
según
detección

Basados en Comparación de Firmas

• Cada paquete es comparado contra una lista de patrones / firmas de paquetes ya conocidos como
peligrosos.

Basados en Comportamiento
• Analizan la actividad en busca de un comportamiento sospechoso comparando contra actividades
normales.

13
 Clasificación según
implementación

Network-based IDS
• Monitoreo de red, implementados en diferentes segmentos o puntos de la topología.
Generalmente chasis y sensores Interfaz en modo promiscuo.
Host-based IDS
• Monitoreo de anomalías en un host. modificación de archivos, configuración. Alcance limitado.

14
 • Si bien cada solución implementa su arquitectura de manera
Arquitectura diferente, a grandes rasgos podemos definir lo siguiente.

Fuente de datos Base de Firmas

(red, logs, captura, equipo)
Filtros Detector
Reglas
Reportes

Sensores
Motor Consola

15
Características y soluciones

16
Implementación (revisión de casos)

Pregunta crítica:

¿Dónde implementarlos?

17
18
(Caso 1 - Borde)

19
(Caso 2 – Borde Interno)

20
(Caso 2 – Borde mix)

21
(Caso 3 – FW/IPS)

22
(Caso 4 – DMZ seg)

23
(Caso 5 – Distribuido)

24
(Caso 6 – Virtualización)

25
(Caso 7 – Wi-Fi)

26
(Caso 8 – local)

27
(Caso 9 – Global)

28
Buenas Prácticas
• Definir escenario
• Definir solución
• Definir componentes
• Diagrama de Arquitectura

• Open Source
• Estándar de Seguridad
• Configuración
• Roles y Grupos
• Permisos
• LOGS
• Puntos de control
• Alertas
• Actualización
• Escalamiento

29
VPN

Las Redes privadas Virtuales permiten la extensión de la red local a

través de una red pública.

 Soluciones por Hardware o software.

 Tunneling (encapsulado de datos) utiliza un protocolo de cifrado

 Tipos.
 Acceso Remoto.
 Red a Red (L2L).
 Interna o host a host.

30
WAF – Firewall de aplicaciones web

Los WAF son dispositivos dedicados exclusivamente a aplicaciones web.

 Permite filtrar el trafico http.

 Se posiciona entre la aplicación y el borde.

 Permiten identificar patrones.

 Requiere una configuración exhaustiva.

 Soluciones de hardware, software.

 Protege contra XSS, SQLi, CSRF.

31
WAF – Firewall de aplicaciones web

32
DBF – Firewalls de Bases de Datos

Los DBF son dispositivos dedicados para bases de datos.

 Brinda protección a través de reglas pre-establecidas.

 Analiza las consultas recibidas e identifica comandos o sentencias

peligrosas.

 Monitoreo de actividad, alertas.

 Entre el servidor con la aplicación web y el servidor de la base de

datos..

 Soluciones de hardware, software.

33
DBF – Firewalls de Bases de Datos

34
Material de lectura:
 Diseño y Configuración de IPS, IDS y SIEM en Sistemas de Control Industrial – CERTsi
 Network IDS & IPS Deployment Strategies – SANS
 Deploying firepower managed devices – Cisco
 Bro vs Snort or Suricata – Bricata

Soluciones para investigar:

 IDS para redes Wireless: Kismet Wireless (https://www.kismetwireless.net/)
 Network IDS: Snort (https://www.snort.org/) Suricata (https://suricata-ids.org) Bro (https://www.bro.org/)
 Host IDS: OSSEC (http://www.ossec.net) Wazuh (http://wazuh.com/) TripwireOpenSource
(https://github.com/Tripwire)
 Proyectos especiales: Security Onion (https://securityonion.net/) Prelude (https://www.prelude-siem.org/)

35
Actividades:
 Alfa, abrió una nueva sucursal a más de 50 km de la casa matriz, considerando que Ud. es el Responsable de
Telecomunicaciones de la Entidad Alfa, investigue, analice y proponga una solución a fin de extender la red
corporativa.

36
Aspecto Integrador:
 Unidad I – Seguridad y Gestión de riesgos.
 Unidad III – Evaluaciones de seguridad
 Unidad V – Operaciones

Material de lectura complementario:

 Stallings, W. (2003). Cryptography and network security principles and practice – Pearson.
 Comer, D. (s/f). TCP/IP. Principios básicos, protocolos y arquitectura – Pearson.
 Shon Harris, (2013). CISSP All in one - Sixth Edition - McGrawHill.

37
Diseño de redes
Conectividad y potenciales amenazas

¿Existe una necesidad de conexión?

• Consumir servicios externos.
• Proveer servicios propios.
• Acceso a información.

¿Cuáles son los problemas de “estar” online?

• Potenciales ataques externos.
• Control del tráfico.
• Disponibilidad servicios de conectividad.

39
Administración de la red

La gestión de una red es una actividad altamente técnica.

El modelo ISO de gestión de red propone cinco categorías:

• Gestión de Fallos
• Gestión de Rendimiento
• Gestión de Configuración
• Gestión de Contabilidad
• Gestión de Seguridad

Las soluciones de gestión de red están diseñados para la resolución de problemas y la

evaluación del rendimiento (con un enfoque para el personal de redes), pero también
pueden proporcionar información útil, patrones y tendencias por motivos de seguridad.
40
Control de acceso
Los mecanismos de control de acceso son cruciales para la
seguridad la seguridad de la red.
Los controles de acceso permiten limitar quien puede iniciar
sesión, que recursos están disponibles, que puede hacer
cada usuario con estos recursos, cuando y desde donde esta
disponible el acceso.

La implementación de un buen control de acceso será acorde a la estrecha vinculación

entre: administradores de red, seguridad y dueños de sistemas.
41
Control de acceso
Los controles de seguridad del usuario determinan como,
cuando y donde los usuarios obtendrán acceso al sistema.

La configuración de perfiles de seguridad del usuario

generalmente incluye las siguientes tareas:
• Asignar seguridad de grupo
• Configuración de usuarios especiales
• Configuración de seguridad de contraseña
• Caducidad
• Longitud
• Etc.
• Configuración de log-on/out
• Configuración de seguridad Directorios/archivos
• Configuración de acceso a recursos (ej. Impresoras)

42
 La nube

¿Qué es la nube ?

Imagen extraída de enisa.europa.eu 43

 La nube

Man driving by car under raining cloud de Tancha 44

La nube

45
La nube
Algunas características

• Autoservicio
• Recursos compartidos
• Escalabilidad
• Disponibilidad
• Responsabilidad

46
La nube
Algunas clasificaciones

• Por configuración
• Privada
• Pública
• Por tipo de servicio
• SaaS (Software as a Service): capacidad de utilizar
aplicaciones del proveedor
• PaaS (Platform as a Service): capacidad de
desarrollar aplicaciones utilizando la plataforma
• IaaS (Infrastructure as a Service): capacidad de
procesamiento, almacenamiento, redes y otros
recursos.

47
 Responsabilidades en la nube

Imagen extraída de aws.com 48

Conceptos
El diseño de redes seguras es el proceso de diseñar redes considerando las posibles amenazas a las que se
verían afectadas y las contramedidas a adoptar.

Partimos de un objetivo en donde se pretende lograr un deploy que sea escalable y sostenible, esto
requiere un diseño acorde, considerando los riesgos y sosteniendo los principios de seguridad.

La Defensa en Profundidad
• Protección en capas
• Defensa en múltiples lugares
• Diversificación (??)

Se necesita hacer un análisis, utilizar una metodología, hacer uso de las buenas prácticas.

49
 Conceptos
Modelos OSI y TCP/IP

Imagen extraída de researchgate.net 50

51
52
Consideraciones
• Isolado, Separación y compartimentación
• Políticas
• Identidad y confianza
• Instrumentación y monitoreo
• Correlación
• Resiliencia

Con el isolado o aislamiento, la separación y compartimentación se busca asegurar que ante un incidente
(una falla, un compromiso) en una parte del sistema quede reducido solo a esa porción evitando fallas en
otras partes o una progresión del compromiso.
Esto permite aislar estas porciones de la red, son una forma de prevenir y controlar el acceso a otras áreas
de la red limitando el alcance de las vulnerabilidades.

53
Consideraciones
• Isolado, Separación y compartimentación
• Políticas
• Identidad y confianza
• Instrumentación y monitoreo
• Correlación
• Resiliencia

La aplicación de políticas brinda la capacidad de aplicar el comportamiento permitido entre los sistemas
conectados, las aplicaciones, los usuarios, las redes y subredes. El ejemplo más claro es el establecimiento
de ACL (listas de control de acceso)

54
Consideraciones
• Isolado, Separación y compartimentación
• Políticas
• Identidad y confianza
• Instrumentación y monitoreo
• Correlación
• Resiliencia

Cuando nos referimos a Identidad y confianza hablamos de la capacidad de un sistema para identificar las
entidades que acceden a un recurso, cual es el nivel de confianza que se le otorga.

55
Consideraciones
• Isolado, Separación y compartimentación
• Políticas
• Identidad y confianza
• Instrumentación y monitoreo
• Correlación
• Resiliencia

Nos referimos básicamente a la capacidad de monitorear el comportamiento y uso de la red (sus recursos,
sistemas, usuarios, tráfico) desarrollando la capacidad de detectar cualquier evento de seguridad.

56
Consideraciones
• Isolado, Separación y compartimentación
• Políticas
• Identidad y confianza
• Instrumentación y monitoreo
• Correlación
• Resiliencia

La correlación permite interpretar, analizar y clasificar la información obtenida del monitoreo. Permite
contextualizar los eventos, determinar un escenario o situación dada. Cuanto mejor sea la calidad del
monitoreo (no cantidad) mejor será la capacidad de acción.

La resiliencia o capacidad de recuperación, indica la madurez de una arquitectura para recuperarse ante
situaciones anómalas, no controladas o inesperadas. Ej: redundancia, disponibilidad, capacidad operativa.

57
Proceso de ingeniería
• Definir el problema
• Establecer y gestionar expectativas
• Identificar escenario actual (red existente, limitaciones, sistemas, etc)
• Analizar la información
• Elaborar escenarios posibles
• Evaluar y optimizar los escenarios
• Selección de escenarios
• Planificación e implementación

58
Enfoque clásico

59
Proceso de diseño
El proceso de diseño consiste en la evaluación de soluciones, fabricantes, equipamiento y proveedores para
poder realizar el layout de la red.

Normalmente el diseño de arquitectura incluye:

• Determinar la topología
• Determinar la tecnología
• Tipo/clases de equipamiento
• El desarrollo de material de soporte (diagramas de alto y bajo nivel)
• Relaciones de arquitectura:
• Ruteo y direccionamiento
• Seguridad
• Gestión de la red
• Performance

60
Internet, DMZ, LAN

61
Internet, DMZ, LAN

62
Internet, DMZ, LAN

63
Diseño en entornos virtuales

64
Consideraciones en entornos virtuales
Aspectos a considerar:
• Segmentación de la red
• Separar los host virtualizados
• Uso de los Virtual Switches
• Uso de Virtual Firewalls
• Aplicar VLAN en la red virtual
• Asegurar la disponibilidad y redundancia
• Monitoreo del trafico de las VM
• Seguridad
• Gestión de la red
• Performance

65
Consideraciones en entornos virtuales

66
Modelado de amenazas

67
CIA & STRIDE
CIA
Una técnica rápida para analizar una arquitectura es utilizar la triada de seguridad (Confidencialidad,
Integridad, Disponibilidad), de esta manera se observa cada uno de los componentes de la arquitectura, la
necesidad del negocio, el funcionamiento del sistema y la topología y evaluar si se aseguran cada uno de los
principios de la triada.

STRIDE
Es un modelado de amenazas desarrollado para la identificación de amenazas. Es utilizado en desarrollo de
software y consiste en descomponer una arquitectura en componentes y analizar cada uno de estos contra
el conjunto de amenazas STRIDE.

Lectura sugerida: A STRIDE-based Security Architecture for Software-Defined

Networking – Fabian Ruffy
68
Diseño de redes
nivel Ninja

69
Fuente: iconspng.com
 Estandarizar
Estandarizar soluciones.
Diseños de Vlans
Simplicidad Subneteo
Templates de ACL
Mantener un diseño simple.
Buenas Prácticas Vs Prácticas Realistas
Evitar la exageración del uso y creación
de subredes

Monitorear
Qué monitorear?
Visibilidad (ES IMPORTANTE!!)
Alertas
Documentar Diagramas
Config
Etc 70
Ejemplos

71
72
73
74
75
 Contenedores

Imagen extraída de maritimejobs.org 76

 Conceptos
Un contenedor de software es un método de virtualización en el que, sobre el núcleo del sistema operativo
se ejecuta una capa de virtualización. Utiliza las system call y no una emulación completa como por ejemplo
en la paravirtualización o virtualización de hardware.

Imagen extraída de Docker.com 77

Imagen extraída de Docker.com 78
• Arquitectura cliente-servidor (DockerEngine)
• Servidor (docker daemon)
• API Rest
• Cliente (CLI)
• Imagen
• Plantilla que es utilizada para crear uno o
más contenedores
• Contenedor
• Instancias de imágenes que son ejecutadas
de manera aislada, tienen un ambiente y
conjunto de procesos propio.
• Registros (Docker Registry) almacenan las
imágenes
• Red
• Almacenamiento (volúmenes)

79
Buenas Prácticas
• Host
• Estructura de almacenamiento
• Permisos de usuarios y grupos (quien
controla el daemon de docker)
• Registros (logs)
• Daemon
• Tráfico
• Registros (logs)
• Contenedor
• Aplicaciones con mínimo privilegio

• Registros (Docker Registry) seguros

• Seguridad de las imágenes

80
Buenas Prácticas
• Entre otros
• Eliminar permisos setuid y setgid (en
dockerfile)
• Restringir permisos de Linux en
contenedores
• Restringir protocolos
• Restringir puertos
• Limitar el uso de recursos
• Asegurar Docker Socket
• Implementar el uso de TLS
• Kernel Capabilities restringir según su uso
• Restringir las SystemCalls (Seccomp)
• DAC vs MAC (Selinux AppArmor)
• User namespace remapping

81
Aspecto Integrador:
 Unidad I – Seguridad y Gestión de riesgos.
 Unidad III – Evaluaciones de seguridad
 Unidad V – Operaciones

Material de lectura complementario:

 Cisco. (s/f). Secure Network Foundation 1.1 Design Guide for Single Site Deployments
 Docker Overview. Recuperado en 2021 de https://docs.docker.com
 Kirkham, A. (2015). The Fundamentals of Network Security Design
 NIST. (2017). SP 800-190. Application Container Security Guide
 VMWare. Buenas Prácticas de Seguridad. Recuperado en 2021 de https://docs.vmware.com/en/VMware-
vSphere/7.0/com.vmware.vsphere.security.doc/GUID-412EF981-D4F1-430B-9D09-A4679C2D04E7.html

82