Amenazas de seguridad comunes en la informática moderna

Skype for Business Server 2015
 

Última modificación del tema:2016-03-22

Dado que Skype Empresarial Server 2015 es un sistema de comunicaciones de clase empresarial, debe tener en cuenta los ataques a la seguridad comunes que pueden afectar a su infraestructura y comunicaciones.

Una clave es un código o número secreto que se usa para cifrar, descifrar o comprobar información secreta. Hay dos claves confidenciales en uso en la infraestructura de claves públicas (PKI) que deben tenerse en cuenta:

  • La clave privada que tiene cada titular de un certificado

  • La clave de sesión que se utiliza después de realizarse correctamente la identificación y el intercambio de las claves de sesión por parte de las entidades de comunicación

Un ataque de clave comprometida se produce cuando el atacante consigue la clave privada o de sesión. Cuando el atacante consigue la clave, puede usarla para descifrar datos cifrados sin que el remitente lo sepa.

Skype Empresarial Server usa las funciones PKI en el sistema operativo Windows Server para proteger los datos clave que se usan para cifrar las conexiones de Seguridad de la capa de transporte (TLS). Las claves que se usan para cifrar medios se intercambian en las conexiones TLS.

El ataque por denegación de servicio se produce cuando el atacante impide que los usuarios válidos usen la red de forma normal. Esto se realiza cuando el atacante inunda el servicio con solicitudes legítimas que sobrepasan el uso del servicio por parte de los usuarios legítimos. Con un ataque por denegación de servicio, el atacante puede hacer lo siguiente:

  • Enviar datos no válidos a las aplicaciones y los servicios que se ejecutan en la red que sufre el ataque para interrumpir su funcionamiento normal.

  • Enviar una gran cantidad de tráfico, lo que sobrecarga el sistema hasta que deja de responder o responde lentamente a las solicitudes legítimas.

  • Ocultar las pruebas de los ataques.

  • Impedir que los usuarios obtengan acceso a los recursos de la red.

La interceptación se produce cuando un atacante obtiene acceso a la ruta de datos en una red y puede supervisar y leer el tráfico. Este tipo de ataque también se denomina rastreo o espionaje . Si el tráfico se produce como texto sin formato, el atacante puede leerlo cuando obtiene acceso a la ruta. Un ejemplo es un ataque que se realiza al controlar un enrutador de la ruta de acceso a los datos.

En Skype Empresarial Server, se recomienda usar de forma predeterminada Mutual TLS (MTLS) para el tráfico entre servidores de confianza y TLS para el tráfico de cliente a servidor. Esta medida de protección haría extremadamente difícil o imposible de realizar un ataque en el período en que tiene lugar conversación concreta. TLS autentica a todos los participantes y cifra todo el tráfico. Esto no impide la interceptación, pero el atacante no puede leer el tráfico a menos se interrumpa el cifrado.

El protocolo NAT transversal con relé (TURN) no impone el cifrado del tráfico, y la información que envía está protegida por la integridad del mensaje. Si bien este protocolo está abierto a la interceptación, la información que envía (es decir, direcciones IP y puerto) se puede extraer directamente examinando simplemente las direcciones de origen y de destino de los paquetes. El servicio perimetral A/V se asegura de que los datos son válidos comprobando la integridad del mensaje mediante la clave derivada de algunos elementos, como una contraseña TURN, la cual no se envía nunca en texto no cifrado. Si se utiliza Protocolo en tiempo real seguro (SRTP), también se cifra el tráfico de medios.

La suplantación de identidad (spoofing) se produce cuando el atacante identifica y usa una dirección IP de una red, un equipo o un componente de red sin tener autorización para ello. En este tipo de ataque, el atacante actúa como si fuese la entidad que hubiera identificado la dirección IP en un caso normal. En el contexto de Skype Empresarial Server, esta situación puede producirse únicamente si un administrador ha realizado estas dos acciones:

  • Ha configurado conexiones compatibles únicamente con el Protocolo de control de transmisión (TCP) (lo cual no se recomienda porque las comunicaciones TCP no están cifradas).

  • Ha marcado las direcciones IP de esas conexiones como hosts de confianza.

Este es un problema menor para las conexiones TLS (Seguridad de la capa de transporte), puesto que TLS autentica todas las partes y cifra todo el tráfico. El uso de TLS evita que un atacante suplante las direcciones IP en una conexión concreta (por ejemplo, conexiones Mutual TLS). Sin embargo, un atacante aún podría suplantar la dirección del servidor DNS usado por Skype Empresarial Server. No obstante, puesto que la autenticación en Skype Empresarial se realiza con certificados, un atacante no tendrá un certificado válido necesario para suplantar a una de las partes de la comunicación.

Un ataque de tipo "Man in the middle" se produce cuando un atacante desvía la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan esos dos usuarios. El atacante puede supervisar y leer el tráfico antes de enviarlo al destinatario previsto. Sin darse cuenta, todos los usuarios que participan en la comunicación envían tráfico al atacante y reciben tráfico del mismo pensando que la comunicación se produce únicamente con el usuario previsto. Esto puede suceder si un atacante modifica los Servicios de dominio de Active Directory para agregar su servidor como un servidor de confianza o modifica el Sistema de nombres de dominio (DNS) para que los clientes se conecten al servidor a través del atacante. Un ataque de tipo "Man in the middle" también puede producirse con tráfico multimedia entre dos clientes. Sin embargo, en Skype Empresarial Server las secuencias de audio, vídeo y uso compartido de aplicaciones punto a punto se cifran con SRTP, usando claves criptográficas que se negocian entre los pares que usan el Protocolo de inicio de sesión (SIP) sobre TLS. Los servidores como los de conversaciones en grupo utilizan HTTPS para mejorar la seguridad del tráfico web.

Un ataque de reproducción tiene lugar cuando una transmisión de medios válida entre dos partes se intercepta y retransmite con fines malintencionados. SRTP, usado en conexión con un protocolo de señalización segura, protege las transmisiones de estos ataques al permitir que el receptor tenga un índice de los paquetes RTP ya recibidos y pueda comparar cada paquete nuevo con los que figuran en dicho índice.

El término inglés " spim " hace referencia a los mensajes instantáneos comerciales no deseados o a las solicitudes de suscripción de presencia no deseadas. Si bien estos mensajes por sí mismos no son un peligro para la seguridad de la red, son como mínimo molestos, pueden reducir la disponibilidad y la productividad de los recursos, y podrían llegar a poner en peligro la red. Un ejemplo de ello es el caso de usuarios que se envían solicitudes no deseadas entre sí. Los usuarios pueden bloquearse entre sí para evitarlo, pero con la federación, si se establece un ataque coordinado de este tipo, puede ser difícil de solucionar a menos que se deshabilite la federación para el asociado.

Un virus es una unidad de código que tiene por objeto reproducir más unidades de código similares. Los virus necesitan un host, como un archivo, un correo electrónico o un programa, para poder funcionar. Un gusano es una unidad de código cuyo propósito es reproducir más unidades de código similares, pero no necesita un host. Los virus y los gusanos suelen aparecer principalmente durante las transferencias de archivo entre clientes o cuando otros usuarios envían direcciones URL. Si hay un virus en su equipo, podrá, por ejemplo, usar su identidad y enviar mensajes instantáneos en su nombre.

Skype Empresarial Server puede divulgar a través de una red pública información vinculada a una persona. Dicha información se puede desglosar en dos categorías:

  • Datos de presencia ampliada Los datos de presencia ampliada hacen referencia a la información que el usuario decide compartir o no con los socios federados o los contactos dentro de una organización. Estos datos no se comparten con los usuarios de una red de mensajería instantánea pública. Las directivas de cliente y otras opciones de configuración del cliente pueden otorgar algún tipo de control al administrador del sistema. En Skype Empresarial Server, se puede configurar el modo de privacidad de presencia mejorada para un usuario individual con el fin de evitar que los usuarios de Skype Empresarial que no estén en la lista de contactos del usuario vean la información de presencia del usuario. El modo de privacidad de presencia mejorada no impide que los usuarios de Microsoft Office Communicator 2007 y Microsoft Office Communicator 2007 R2 vean la información de presencia de un usuario. Para obtener detalles acerca de la implementación del cliente y la presencia, consulte Implementar clientes para Skype Empresarial Server 2015 y Planificar la presencia y la mensajería instantánea en Skype Empresarial Server 2015.

  • Datos obligatorios Los datos obligatorios son los que se requieren para el buen funcionamiento del servidor o cliente y NO están bajo el control de la administración del cliente ni del sistema. Se trata de información que es necesaria en un servidor o una red para el enrutamiento, el mantenimiento de estados y la señalización.

En las tablas siguientes, se muestran los datos que se exponen sobre una red pública.

Datos de presencia ampliada

Datos que se divulgan Posibles configuraciones

Datos personales

Nombre, Puesto, Compañía, Dirección de correo electrónico, Zona horaria

Números de teléfono

Trabajo, Móvil, Particular

Información de calendario

Información de disponibilidad, aviso de fuera de la oficina, detalles de las reuniones (para las personas con acceso a su calendario)

Estado de presencia

Ausente, Disponible, No disponible, No molestar, No conectado

Datos obligatorios

Datos que se divulgan Información de ejemplo

Dirección IP

Dirección real del equipo o dirección traducida

URI del SIP

jeremylos@litwareinc.com

 
Mostrar: