Seguridad Redes 2010

1
Diseo y Seguridad en redes

Ing. J ohn J Flrez T, CISSP
Certified Information Systems Security Professional

Esp. en Redes de Computadores
Esp. en Gerencia de Sistemas de Informacin

J unio de 2010
Especializacin en Redes de Computadores
2
Concientizacin
6
Cdigo Rojo
Julio 19 de 2001
7
Slammer Worm: Que Pas?

- Liberado a las 5:30 GMT,
Enero 25 2003

- El punto de saturacin fu
alcanzado 2 horas despus de su
liberacin

- 250,000 300,000 hosts
infectados

- Congestin en Internet a Nivel
Mundial
8
Explota una vulnerabilidad de Microsoft SQL a travs de
un ataque de Buffer Overflow
Sistemas afectados: Microsoft SQL Server 2000,
Microsoft Desktop Engine (MSDE) installed
Vulnerabilidad publicada en Julio de 2002. Patch
disponible desde entonces.
El gusano ejecuta cdigo arbitrario, instala una copia de
si mismo en la memoria del equipo infectado y escanea la
red para infectar otros equipos vulnerables.
Slammer Worm: Que Pas?
9
- Las infecciones se duplicaron cada 8 segundos
- Velocidad 100 veces mayor que Cdigo Rojo
- Al momento pico escane 55 millones de hosts por segundo.
Slammer 30 minutos despus de su liberacin.
10
En Febrero de 2003 , un hacker logr robar 8 millones de nmeros de
tarjetas de crditos de un banco emisor en Estados Unidos
Web Defacements: En un periodo de 1 ao y cuatro meses se
modificaron de forma no autorizada 9500 servidores Web. MIT,
Loteria de Texas,.
Sitios Web reconocidos sufren ataques coordinados de negacin de
servicios. Yahoo, ebay, Buy.com, CNN.com
El impacto financiero de cdigo maligno a nivel mundial se estima en
13.2 billones de dolares en el ao 2001. siendo los principales
contibuyentes: SirCam $1.15 Billones, Code Red $2.62 Billones, y
NIMDA $635 Millones.
Hackers entraron a una base de datos de la Universidad de texas y
robaron los nombres, nmeros de seguridad social y direcciones
email de ms de 55000 estudiantes y funcionarios.
...........
11
1980 1990 Hoy
Ataques Pasado y presente
12
Qu mantiene a IT despierto por la noche?
Firewalls tradicionales focalizados en control de acceso no son suficientes
-
40.000
80.000
120.000
160.000
200.000
1998 1999 2000 2001 2002 2003
(E)
CERT Coordination Center
Incidentes
0
20
40
60
80
2003 Vanson Bourne Limited
Trojans/Worms
Email/web attacks
Database attacks
Exploits
Denial of Service
Port/network scans
IP Spoofing
Los ataques se desplazaron a nivel de aplicacin A que amenaza le teme mas
13
14
15
http://www.us-cert.gov/cas/alldocs.html
http://cve.mitre.org
16
No podemos aceptar esa
afirmacin simplista que
dice que el computador
ms seguro ...
... es aquel que est
desconectado y, por lo
tanto, libre de todos los
peligros que hay en la red.
La solucin ser estar desconectado?
A pesar de todas las
amenazas del entorno,
que sern muchas y de
muy distinto tipo ...
... tendremos que aplicar
polticas, metodologas y
tcnicas de proteccin
de la informacin porque
la conectividad es vital.
17
Prioridades de inversin en IT
Seguridad
Disaster Recovery
Storage
Wireless
Servers
Network management
LAN Infraestructure
WAN Services
VideoConferencing
10 20 30 40 50 60 70
Network World, IT Spending Survey 2003
18
19
SEGURIDAD EN REDES
ESPECIALIZACIN EN REDES DE
COMPUTADORES
No hace mucho tiempo atrs, el objetivo de la mayora
de los hackers eran Organizaciones de Alto Perfil tales
como Bancos e Instituciones Gubernamentales. Los tiempos
han cambiado, y con las nuevas formas de amenazas
informticas, cualquier Organizacin conectada a Internet
es vulnerable, ya sea que tenga miles de
direcciones IP o solo una.
20
CONTENIDO

1. Introduccin y conceptos de seguridad

2. Criptografa

2.1 Sistemas de Cifrado simtricos o de clave secreta
2.2 Sistemas de Cifrado asimtricos o de clave pblica
2.3 Autenticacin y Protocolos de intercambio de claves
2.4 Algoritmos hashing. (Message Digest)
2.5 Firmas Digitales
2.6 Certificados Digitales X.509
2.7 Protocolos para el comercio electrnico SSL / TLS / SET
2.8 Correo electrnico seguro
2.9 Taller de PGP y Certificados Digitales

21
CONTENIDO (Continuacin)

3. Seguridad en redes

3.1 Anillos de seguridad
3.2 Tipos de Ataques
3.3 Seguridad en el permetro
Router
Firewall
Sistemas de deteccin de intrusos
VPN
Seguridad en Redes inalmbricas
3.4 Proteccin contra cdigos malignos.
3.5 Evaluacin de Vulnerabilidades
3.6 SGSI (Sistemas de Gestin de Seguridad de la Informacin)
3.7 Concientizacin / Cultura de seguridad (Security awareness)
3.8 Taller de seguridad con Enrutadores, Firewall, VPN, AP
3.9 Recomendaciones y mejores prcticas
Ethical Hacking y Taller

22
EVALUACION

1. Examen escrito Final Individual de los conceptos vistos.
Puntos tericos y de diseo
Valor: 45%

2. Trabajo escrito. Solucin de seguridad para un caso de estudio
Grupos de 5 personas
Valor: 40%

3. Exposiciones en grupos de 5 personas. Valor 15%

23
1. Introduccin y Conceptos
de Seguridad
24
LA INFORMACIN

Que caractersticas de la informacin se intentan
proteger ?

Integridad

Confidencialidad

Disponibilidad
Qu se intenta proteger?
Otras caractersticas de la informacin que debemos garantizar:
No repudiacin, Autenticidad,
Proteccin a la rplica, Auditoria
25
Negacin de servicios (ataque a la disponibilidad)
Intercepcin (ataque a la confidencialidad)
Modificacin (ataque a la integridad)
Intrusiones y abusos ( internas y externas ).
Accidentes de usuarios y administradores sin entrenamiento
Virus, gusanos y troyanos
Accesos no autorizados, fraudes y Robo de informacin

De que debemos protegerla ?
26
Conjunto de medidas, dispositivos, planes y acciones que buscan proteger la
confidencialidad, integridad y disponibilidad de la informacin que es
procesada, almacenada y transmitida a travs de los recursos de una red de
computadores
Disponibilidad Confidencialidad
Integridad
Auditoria y
Administracin de
Logs
Administracin
De Riesgos
Seguridad
Fsica
Admn. de la
Continuidad del
negocio
Respuesta a incidentes y
administracin de crisis
Monitoreo y
deteccin de
Intrusos
Prevencin y
deteccin de virus
Pruebas de
penetracin
Firewall y admn. de la
conectividad
Encripcin y administracin
de llaves
Administracin de
Passwords
Autenticacin y Control
de acceso
Registro y administracin de
certificados
Seguridad del
personal
Administracin de la infraestructura
de seguridad
Que es seguridad informtica?
27
Que es seguridad informtica?
Sistema operativo

Aplicaciones

Red

Base de Datos
A
u
t
e
n
t
i
c
a
c
i
n

A
u
t
o
r
i
z
a
c
i
n

A
u
d
i
t
o
r
i
a

C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

I
n
t
e
g
r
i
d
a
d

D
i
s
p
o
n
i
b
i
l
i
d
a
d

N
o

r
e
p
u
d
i
a
c
i
n

28

La informacin es un recurso esencial y uno de los principales
activos de una organizacin

Internet : Compartir informacin y ofrecer servicios en lnea es una
prctica comn y necesaria hoy en da y seguir incrementndose.

La Disponibilidad, Integridad y Confidencialidad de la informacin
es crtica para el xito de la organizacin

La seguridad informtica provee nuevas oportunidades de negocio

Asegura lealtad de los clientes

Porqu es importante la seguridad informtica?
29
C
o
s
t
o

d
e

u
n
a

s
e
g
u
r
i
d
a
d

p
o
b
r
e

e
n

l
a

R
e
d

30
Falta de conciencia de los usuarios finales
Presupuesto
Falta de apoyo de la alta gerencia
Falta de entrenamiento
Complejidad tcnica
Falta de herramientas
Falta de una autoridad centralizada
Aspectos legales
Principales Obstculos de la seguridad informtica
31
En que capas se implementa la seguridad?
Las capas del modelo OSI en las que comnmente se
implementa la seguridad son:

Aplicacin
Transporte
Red

Ejemplos de protocolos de seguridad en cada capa:

Capa de Transporte. SSL, TLS
Capa de Aplicacin. SET
Capa de Red. IPSec
32
2. Criptografa
33
Qu estudiaremos en este captulo?
Si alguna vez ha ingresado a una pgina web segura, por ejemplo para
comprar un libro por Internet, mirar el estado de su cuenta corriente
en su banco, e incluso al introducir su clave cuando accede a
hotmail ......
La comunicacin se habr realizado en una plataforma segura conocida
como SSL dentro de un protocolo https (secure).
En esos pocos segundos, tras los que se habr dado cuenta que
aparece un candado en la barra de tareas del navegador, a grandes
rasgos ha pasado algo parecido a lo que se mostrar en las
diapositivas finales de este captulo.
Al final de este captulo, entre otras cosas, deberamos ser capaces de
saber qu es lo que ha pasado, entender los algoritmos utilizados y
poder evaluar sus fortalezas y debilidades .
34

Rama de las Matemticas -y en la actualidad de la Informtica y
la Telemtica- que hace uso de mtodos y tcnicas matemticas
con el objeto principal de cifrar, y por tanto proteger un mensaje
o archivo por medio de un algoritmo, usando una o ms claves.
Que es la criptografa?
Cifrado Base para todas las comunicaciones seguras
35
Sistemas de cifrado seguro

Criptografa simtrica o de clave secreta

Criptografa asimtrica o de clave pblica

Algoritmos Hashing
36
Criptografa simtrica o de clave secreta:

Existir una nica clave (secreta) que deben compartir emisor
y receptor. Con la misma clave se cifra y se descifra por lo
que la seguridad reside en mantener dicha clave en secreto.
Emisor
Mensaje X
Y=Fk(X)
X=1/Fk(Y)
Intruso
Encrip
Y
Desencr Receptor
Mensaje X
K=Clave Secreta
X=Dk(Ek(X))
ENCRIPTADO
Y=Ek(X)
DSENCRIPTADO
X=Dk(Y)
Propiedad matemtica:
37
Mensaje cifrado
Medio de
Clave Transmisin Clave
M
C
Texto
Texto
Base
Base
Cifrado Descifrado
MT
M C
Cifrado: E
k
Descifrado: D
k

Criptosistemas de clave secreta
E
k
D
k

k k
Clave
nica
El problema es
cmo hacerla
llegar al
destino
38
Ejemplo de criptografa simtrica: Cdigo de Cesar
Es un algoritmo criptogrfico por sustitucin.
Sustituye cada una de las letras del mensaje original por la letra del
alfabeto n lugares despus en el alfabeto

encripcin desplaza las letras n lugares a la derecha
desencripcin desplaza las letras n lugares a la izquierda
Clave Secreta k = n
Fcil rompimiento por ataque de fuerza bruta.
Con un alfabeto de 26 letras, el intruso solo tendr que intentar un mximo
de 25 claves para determinar la clave correcta
39
Este es un
mensaje secreto
CIFRADO
A -> D K-> N U -> X
B -> E L -> O V -> Y
C -> F M -> P W -> Z
D -> G N -> Q X -> A
E -> H O -> R Y -> B
F -> I P - > S Z -> C
G -> J Q -> T
H -> K R -> U
I -> L S -> V
J -> M T -> W

Mensaje Cifrado
Internet
Mensaje Cifrado
DESCIFRADO
D -> A N-> K X -> U
E -> B O -> L Y -> V
F -> C P -> M Z -> W
G -> D Q -> N A -> X
H -> E R -> O B -> Y
I -> F S -> P C -> Z
J -> G T -> Q
K -> H U -> R
L -> I V -> S
M -> J W -> T

HVWH HV XQ
PHQVDMH VHFUHWR
Este es un
mensaje secreto
CODIGO DE CESAR
Clave secreta k = 3
40
Este cifrador polialfabtico soluciona la debilidad del cifrado del Csar en
que una letra se cifra siempre igual. Se usa una clave K de longitud L y se
cifra carcter a carcter sumando mdulo n el texto en claro con los
elementos de esta clave.
El cifrador de Vigenre
C
i
= M
i
+ K
i
mod 27
Sea K = CIFRA y el mensaje M = HOLA AMIGOS
M = H O L A A M I G O S
K = C I F R A C I F R A sumando mod 27...
C = J W P R A P L G S
Ms de un alfabeto: la letra
O se cifra de forma distinta.
Observe que el criptograma P se obtiene de un texto L y de un texto I.
41
La esctala era usada en el siglo V a.d.C. por el pueblo griego
de los lacedemonios. Consista en un bastn en el que se
enrollaba una cinta de cuero y luego se escriba en ella el
mensaje de forma longitudinal.
Al desenrollar la cinta, las letras aparecern desordenadas.
Para descifrar el criptograma y recuperar el mensaje en claro
habr que enrollar dicha cinta en un bastn con el mismo
dimetro que el usado en el extremo emisor y leer el mensaje
de forma longitudinal. La clave del sistema se encuentra en el
dimetro del bastn. Se trata de una cifra por transposicin
pues los caracteres del criptograma son los mismos que en el
texto en claro pero estn distribuidos de otra forma dentro del
criptograma.
Primer cifrador por transposicin: esctala
42
A S I C I F R A B
A N C O N L A E S
C I T A L A
El texto en claro es:
M = ASI CIFRABAN CON LA ESCITALA
El texto cifrado o criptograma ser:
C = AAC SNI ICT COA INL FLA RA AE BS
Mtodo de cifra de la esctala
Bastn y cinta para cifrar
43
Algoritmos de Criptografa Simtrica

Algoritmo Modo Key Lenght (bits)
DES
3DES (triple DES)
BLOQUE
BLOQUE
56
56 0 112
AES BLOQUE Variable. 128 256
IDEA BLOQUE 128
RC4 STREAM Variable. 1 a 2048
BLOWFISH BLOQUE Variable. Hasta 448
44
DES (Data Encryption Standard)

Cifrado Tipo Feistel.
Horst Feistel invent el algoritmo Lucifer a comienzos de los aos
70. En 1974 se propone a la NSA como estndar dando origen al DES.
Dado un bloque de N bits (tpico
64) ste se dividir en dos mitades.
Existir una funcin unidireccional F
(muy difcil de invertir).
Se realizan operaciones con la clave
k
i
slo con una mitad del bloque, y
se permutan en cada vuelta las dos
mitades, operacin que se repite
durante n vueltas (iteraciones).
Tomado de: Curso de Seguridad Informtica. Jorge Rami A.
45
El algoritmo usar bloques de tamao 8 caracteres. Tendr
dos vueltas y en cada vuelta realizar una operacin de
sustitucin S y una permutacin P sobre la 1 mitad.
Sustitucin S: Desplazamiento +1 mod 27
Permutacin P:
3241

Ejemplo bsico de cifra tipo Feistel
Mensaje: M = STAR WARS, LA MISIN CONTINA

46
M = STAR WARS, LA MISIN CONTINA
M
1
= STAR WARS LAMI SION CONT INUA
S
1
= TUBS WARS MBNJ SION DPU INUA
P
1
= BUST WARS NBJM SION PUD INUA

M
2
= WARS BUST SION NBJM INUA PUD
S
2
= XBST BUST TJP NBJM JVB PUD
P
2
= SBTX BUST PJT NBJM VBJ PUD
Primera
vuelta
Segunda
vuelta
Ejemplo bsico de cifra tipo Feistel (Continuacin)
S
i
: +1 mod 27
P
i
:
3241

C = SBTX BUST PJT NBJM VBJ PUD

Aunque le parezca increble, el DES hace precisamente esto mismo
trabajando con bits y con funciones algo ms complejas.

47

Transposicin: T
64 bits
Iteracin 01
Iteracin 16 C
L
A
V
E

5
6

B
I
T
S

Transposicin Inv: T
-1

64 bits cifrados
32 bits 32 bits
L
i-1
R
i-1
L
i-1
OR f(R
i-1
, K
i
)

L
i
R
i
Adoptado por el gobierno americano
en ENE/1977
48
Se duplica la longitud de la clave?
En este modelo, cabe esperar que el nmero efectivo de
posibles claves sea 2
2n
donde n representa la longitud de
bits de las claves k
1
y k
2
. No obstante esto no es cierto.
En realidad el espacio de claves resultante en este caso es
equivalente a 2
n+1
, un aumento insignificante para n grande.
k
1
k
2

DES DES
M C
k
1
y k
2
son
claves n bits
C
Cifrado DES mltiple Doble DES?
49
a) Se descripta el criptograma C por fuerza bruta usando las 2
n
claves
posibles y realizando entonces 2
n
clculos. Se obtiene as Y.
b) Con los textos intermedios Y se forma una tabla ordenada de
textos cifrados con sus correspondientes valores k
2
.
c) Se cifran los textos en claro M elegidos con todas las claves k
1
y se
comparan con Y, realizando un mximo de 2
n

clculos.
d) Una de las claves ser la verdadera y se ha realizado un nmero
menor que 2
n
+ 2
n
= 2
n+1
clculos. Luego la clave real es igual a
2
n+1
.
Este ataque se conoce con el nombre de meet-in-the-middle.
Ataque por encuentro a medio camino
k
1
k
2

DES DES M C
Y
50
En este caso se logra un valor efectivo de nmero de
posibles claves a 2
2n
bits, es decir 2
2 56
= 2
112
bits.
Es absolutamente seguro a la fecha y permite
compatibilidad con DES
Es inmune a ataques por encuentro a medio camino.
Reemplazado por AES (Advanced Encryption Standard)
con clave de 128 a 256 bits
k
1
k
2

E (DES)
M C
k
1
y k
2
son
claves n bits
k
1

D (DES) E (DES)
Cifrado DES mltiple: triple DES
51
IDEA (International Data Encryption Algorithm) 1990.

Usa clave de 128 bits
Trabaja con bloques de 64 bits (al igual que DES)
No se conoce forma de romperlo
Solo requiere de 8 iteraciones (muy complejas)
En 1999 , el algoritmo IDEA, mucho ms seguro que el
DES en todas sus versiones, se comienza a usar
ampliamente en el sistema de correo electrnico seguro
PGP
52
Ventajas de la Criptografa simtrica o de clave secreta:
Proveen un canal de doble va. A y B comparten un secreto. Simetra
es una ventaja
En lo referente a implementaciones es ms rpido
Dificultades de la Criptografa simtrica o de clave secreta
Si la llave es revelada , un intruso puede inmediatamente desencriptar
toda la informacin. Solucin: cambiar la clave con cierta frecuencia
La distribucin de las llaves es un problema.
El nmero de llaves se incrementa con el cuadrado del nmero de nodos
4 usuarios: N=6
5 usuarios: N = 10
Muy mala gestin de claves:
el valor tiende a n
2
.
53
Comienza a ser ampliamente conocido a travs de su
aplicacin en los sistemas de correo electrnico seguro
(PGP y PEM) permitiendo cifrar e incluir una firma digital
adjunta al documento o e-mail enviado

Cada usuario tendr dos claves, una secreta o privada y
otra pblica, inversas entre s dentro de un cuerpo.

Usan las funciones unidireccionales con trampa.
Cifrado asimtrico o de clave publica
54
Cada usuario tiene un par de claves, una privada y otra pblica.
Lo que se cifra en emisin con una clave, se descifra en
recepcin con la clave inversa. La seguridad del sistema reside
en la dificultad computacional de descubrir la clave privada a
partir de la pblica, para ello, usan funciones matemticas de un
solo sentido o con trampa
Emisor
Mensaje X
Y=Ek(X)
X=Dq(Y)
Intruso
Encrip
Y
Desencr Receptor
Mensaje X
k = Clave pblica de B
q = Clave privada de B

X=Dq(Ek(X))
A B
55
En los algoritmos de criptografa asimtrica, las claves estn
relacionadas entre s mediante un tipo de funcin matemtica
conocidas como funciones con trampa
Funciones Unidireccionales con trampa: Son funciones
matemticas de un solo sentido y que nos permiten usar la
funcin en sentido directo o de clculo fcil para cifrar o
descifrar (usuarios legtimos) y forza el sentido inverso o de
clculo difcil para aquellos (impostores, hackers, etc) si lo que
se desea es atacar o criptoanalizar la cifra
F(M) = C Siempre es fcil
M = F
-1
( C )

Es difcil salvo si se tiene la trampa
56
Funciones Unidireccionales con trampa tpicas
Clculo Directo: Producto de dos primos grandes pq = n
Clculo Inverso: Factorizacin de nmero grande n = pq
Problema de la factorizacin
Problema del logaritmo discreto
Clculo Directo: Exponenciacin discreta b = a
x
mod n
Clculo Inverso: Logaritmo discreto x = log
a
b mod n
57
Usos de la criptografa asimtrica:

Los algoritmos de clave pblica son 100 a 1000 veces ms lentos
que los algoritmos de clave secreta. Por esto son raramente usados
para encriptar gran cantidad de datos.

Se usan raramente para confidencialidad de los datos debido a las
limitaciones de rendimiento que tienen.

Son muy utilizados en aplicaciones que requieren autenticacin
utilizando firmas digitales y gestin de claves

Son comnmente usados para la fase inicial de comunicacin para
autenticar ambas partes y establecer una clave secreta.
58
Requerimientos de un algoritmo asimtrico:

Computacionalmente fcil calcular claves: k y q
Computacionalmente fcil encriptar: C = E
k
(X)
Computacionalmente fcil desencriptar: X = Dq(C)
Computacionalmente imposible calcular q a partir de k
Computacionalmente imposible calcular X a a partir de C
sin tener el valor de q

Opcional:
Simetra: X = Dq(E
k
(X)) = Dk(Eq(X))
59
Algoritmos de Criptografa Asimtrica

Algoritmo Aplicacin
RSA (Rivest, Shamir y Adleman) Confidencialidad, Firma digital,
Intercambio de claves
DSA (Digital Signature Algorithm).
Basado en El Gamal
Firma digital
Diffie-Hellman Intercambio de claves
60
Diffie-Hellman. ( Distribucin de Claves)

La seguridad de Diffie-Hellman se basa en la funcin con trampa del
problema del logaritmo discreto
Sea q un nmero primo muy grande
Sea una primitiva de q
Ana elige un nmero A y transmite X
A
=
A
mod q
Juan escoge un nmero B y transmite X
B
=
B
mod q
Ana calcula la clave de sesin K = (X
B
)
A
modulo q
Juan calcula la clave de sesin K = (X
A
)
B
modulo q
Se establece sesin con la clave K

Se puede generar una clave de sesin K, as un intruso escuche el canal
y conozca q y
61

Usando la clave pblica del destino se har el intercambio
de claves de sesin de una cifra con sistemas simtricos
(decenas a centenas de bits).

Firma digital : Usando la clave privada de origen, se
firmar digitalmente un resumen (decenas a centenas de
bits) del mensaje obtenido con una funcin hash.
Qu aplicacin tienen los sistema de criptografa
de clave pblica o asimtrica?
62
Comparacin entre la criptografa de clave secreta y la de
clave pblica:
Gestin de claves
Clave Secreta

Hay que memorizar un
nmero muy alto de
claves: n
2

Clave Pblica

Solo es necesario
memorizar la clave
privada del emisor
En cuanto a la gestin de claves son ms eficientes
los sistemas de cifra asimtricos
Espacio de Claves
Clave Secreta

Debido al tipo de cifrador
usado la clave ser del
orden de la centena de bits
Clave Pblica

Por el algoritmo usado
en la cifra, la clave
ser del orden de los
miles de bits
En cuanto al espacio de claves, no son comparables
los sistemas simtricos con los asimtricos
63
Vida de claves
Clave Secreta

La duracin es muy corta.
Normalmente se usa como
clave de sesin
(Segundos, minutos)
Clave Pblica

La duracin de la clave
pblica que la entrega y gestiona
un tercero, suele ser larga
(Meses, aos)
En cuanto a la vida de las claves, en los sistemas simtricos es
mucho menor que en los sistemas asimtricos
Autenticacin de origen y destino
Clave Secreta

Solo ser posible autenticar
el mensaje pero no al emisor
Clave Pblica

Al haber una clave pblica
y otra privada, se podr
autenticar el mensaje
y el emisror
En cuanto a la autenticacin, los sistemas asimtricos
permiten una verdadera firma digital
clave pblica (Continuacin):
64
Velocidad de Cifra
Clave Secreta

La velocidad de cifrado es
muy alta. Se usa para
cifrar el mensaje
Clave Pblica

La velocidad de cifra es muy baja.
Se usa para el intercambio de
clave de sesin y para Firma
Digital
En cuanto a la velocidad de cifra, los sistemas simtricos son
entre 100 y 1000 veces ms rpidos que los asimtricos
clave pblica (Continuacin):
65
Confidencialidad
Autenticacin parcial
Sin firma digital
Claves:
Longitud pequea
Vida corta
Nmero elevado
Velocidad alta
Confidencialidad
Autenticacin total
Con firma digital
Claves:
Longitud grande
Vida larga
Nmero reducido
Velocidad baja
Resumen cifrado simtrico vs asimtrico
Cifrado Simtrico Cifrado Asimtrico
66
Qu usar, cifra simtrica o asimtrica?
Los sistemas de clave pblica son muy lentos
pero tienen un fcil intercambio de clave y
cuentan con firma digital.
Los sistemas de clave secreta son muy rpidos
pero carecen de lo anterior.
Cifrado de la informacin:
- Usaremos sistemas de clave secreta
Firma e intercambio de clave de sesin:
- Usaremos sistemas de clave pblica
Qu hacer?
67
Autenticacin

La autenticacin establece la identidad del emisor y/o
receptor de la informacin
El control de la integridad y de la confidencialidad deja de
tener sentido si la identidad de las partes emisora
receptora no se establece correctamente.
Mtodos de Autenticacin

Todos los mtodos de autenticacin obligan a especificar
quin o qu se es y mostrar las credenciales apropiadas
para probar que uno es quien dice ser
Algo que sabes, Algo que tienes, Algo que eres.
68
Autenticacin con clave pblica

A
n
a

B
a
n
c
o

E
B
(A, R
A
)
Soy Ana. Hablo con el banco?
S, soy el banco. Realmente eres Ana?
E
A
(R
A
, R
B
, K )
Soy Ana. Clave de Sesin K
K(R
B
)
69
Autenticacin con Centro de Distribucin de Claves (CDC)

A
n
a

B
a
n
c
o

C
D
C

A, B, R, K
A
(A, B, R, R
A
)
A, K
A
(A, B, R, R
A
)
B, K
B
(A, B, R, R
B
)
K
A
(R
A
, K)
K
B
(R
B
, K)
Se establece clave sesin K
70
Algoritmos Hashing. (Integridad)
Las funciones Hash unidireccionales se utilizan normalmente para
asegurar la integridad y autenticidad de un mensaje o archivo,
proporcionando una huella dactilar del mismo.
Una funcin Hash toma un mensaje de entrada de longitud
arbitraria y genera un cdigo de longitud fija. La salida de
longitud fija se denomina hash del mensaje original
71
Huella dactilar
Mensaje
Huella dactilar
Huella dactilar
Huella dactilar
A
B
1
2
3
4
1. A escribe un mensaje y lo utiliza como la entrada
de una funcin hash Unidireccional
2. El resultado de la funcin Hash se aade como
huella dactilar al mensaje que se enva a B
3. B separa el mensaje y la huella dactilar adjunta y
utiliza el mensaje como entrada de la misma
funcin hash que utiliz A
4. Si las hash coinciden , B puede estar seguro que el
mensaje no ha sido modificado
72
Propiedades de una funcin Hash
Un algoritmo considerado criptogrficamente seguro para una funcin
Hash, deber presentar las siguientes propiedades:

Unidireccionalidad . Conocido el Hash H(M) del mensaje, deber ser
computacionalmente muy dificil, por no decir imposible, obtener el mensaje
M

Compresin. A partir de un mensaje de cualquier longitud, el hash H(M)
debe tener una longitud fija. Normalmente mucho menor

Coherente. la misma entrada siempre deber producir la misma salida

Facilidad de Clculo. Debe ser fcil calcular H(M) a partir de un
mensaje M

nico. Casi imposible encontrar dos mensajes que generen el mismo
Hash

Difusin. El resumen H(M) debe ser una funcin compleja de todos los
bits del mensaje M
73
MD5: Ron Rivest 1992. Mejoras al MD4 y MD2 (1990), es ms lento
pero con mayor nivel de seguridad. Resumen de 128 bits.
SHA-1: Del NIST, National Institute of Standards and Technology,
1994. Similar a MD5 pero con resumen de 160 bits.
RIPEMD: Comunidad Europea, RACE, 1992. Resumen de 160 bits.
N-Hash: Nippon Telephone and Telegraph, 1990. Resumen de 128
bits.
Snefru: Ralph Merkle, 1990. Resmenes entre 128 y 256 bits. Ha sido
criptoanalizado y es lento.
Tiger: Ross Anderson, Eli Biham, 1996. Resmenes de hasta 192 bits.
Optimizado para mquinas de 64 bits (Alpha).
Panama: John Daemen, Craig Clapp, 1998. Resmenes de 256 bits de
longitud. Trabaja en modo funcin hash o como cifrador de flujo.
Haval: Yuliang Zheng, Josef Pieprzyk y Jennifer Seberry, 1992.
Admite 15 configuraciones diferentes. Hasta 256 bits.
74
La firma digital es el mecanismo que proporciona los
servicios de integridad y autenticacin: gracias a ella es
posible saber si un mensaje lo ha enviado realmente una
persona o si ha sido alterado durante el trayecto.

Firma Digital
Confidencialidad Vs Integridad
Confidencialidad:
Para lograrla se cifra el mensaje M criptograma.
Integridad y autenticidad:
Para lograrla se firma el mensaje aadiendo una marca.
75
Firma Digital
Se basa en la criptografa de clave pblica

Al existir una clave privada y otra pblica que son inversas, se autentica
al mensaje y al receptor, permitiendo generar una firma digital nica para cada mensaje
Si el emisor usa su clave privada en la cifra sobre el mensaje, se obtiene
una firma digital que le autentica como emisor ante el destinatario y,
adems, a este ltimo le permitir comprobar la integridad del mensaje.
Archivo Digital X
+
Firma Digital
E
q
(x)
q = clave privada del
firmante
76
Problema:
Los sistemas de cifra asimtricos son muy lentos y el mensaje podra tener miles o
millones de bytes ...
Solucin:
Se genera un resumen del mensaje, representativo del mismo, con una funcin
hash imposible de invertir. La funcin hash comprime un mensaje de longitud
variable a uno de longitud fija y pequea.
Firma Digital
Mensaje X
X=MD(X)
X
Firma Digital
X
X=Dk(F)
Iguales?
SI
NO
Firma Correcta
Firma Incorrecta
F=Eq(X)
q = Clave privada del firmante
k = Clave pblica del firmante

77
Firma Digital. Creacin de una Firma
Emisor Receptor
Pub
Priv
Pub
1
2
1. El emisor crea un par de claves
2. El Emisor enva su clave
pblica al receptor
Mensaje
006FBBC65
CIFRADO
FIRMA
El mensaje Original es la entrada de una funcin
Hash unidireccioanal
La salida es el hash del mensaje
El hash se cifra con la clave privada del emisor
La Firma Digital es el hash Cifrado
Priv
78
Firma Digital. Verificacin de la Firma
FIRMA
006FBBC65
DESCIFRADO
FIRMA
Pub
006FBBC65
El receptor separa el
mensaje de la Firma
La firma se descifra
usando la clave
pblica del emisor
El Resultado es el hash
descifrado
El mensaje es la entrada
de la misma funcin
hash usada en
emisin
El Resultado es el hash del
mensaje
79
CERTIFICADOS DIGITALES
Quien nos da la confianza de que la clave pblica
de un usuario es autntica?
Certificados Digitales
Un Certificado Digital es un mensaje firmado digitalmente por una
Autoridad Certificadora (CA), que se usa para atestiguar la
validez de la clave pblica de un usuario
Que pasa si suplanto la identidad de una persona
y envo mi clave pblica bajo su identidad?
80
Un Certificado Digital contiene diversos datos, entre ellos el
nombre del usuario y su clave pblica, y es firmado por una
Autoridad Certificadora
La autoridad certificadora (CA) es el tercero en que todos
confan y se responsabiliza de asegurar la validez del certificado.
La autoridad certificadora (CA) , despus de autenticar la
identidad del usuario, Firma digitalmente el certificado,
incorporando esta firma dentro del certificado
La Autoridad Certificadora (CA) realiza la firma digital calculando
el Message Digest del certificado y encriptndolo con su propia
clave privada
81
Autoridades de Certificacin
Autoridad de Certificacin es un
ente u organismo que, de acuerdo
con unas polticas y algoritmos,
certificar -por ejemplo- claves
pblicas de usuarios o servidores.
A B
certificado de A
certificado de B
Autoridad de Certificacin AC
c
l
a
v
e

p
b
l
i
c
a

A
C

c
l
a
v
e

p
b
l
i
c
a

A
C

AC
El usuario A enviar al usuario B
su certificado (la clave pblica
firmada por AC) y ste comprobar
con esa autoridad su autenticidad.
Lo mismo en sentido contrario.
` `
82
83
Certificados X.509
Versin
No de Serie
Algoritmo
Parmetros
Autoridad de Certificacin
Inicio de la validez
Caducidad de la validez
Nombre del usuario
Algoritmo
Parmetros
Clave pblica del usuario
Firma de la AC
84
Certificate Revocation List (CRL). Cada CA puede revocar certificados
comprometidos, manteniendo una lista pblica
Niveles de Certificados. VeriSign provee tres niveles de certificados X.509

CLASE 1: No comercial. Nombre de usuario y e-mail

CLASE 2: Agregar validacin de la direccin de correo postal. Contrasta
informacin del solicitante con otra disponible.

CLASE 3: Requiere presencia fsica del solicitante. Usos comerciales como
e-banking y servicios On-line de alto riesgo.
85
Protocolos para el comercio electrnico.

Secure Socket layer (SSL).

Fue desarollado por Netscape
Versiones: SSL 2.0 y SSL 3.0
Ligeras modificaciones de SSL v.3 est siendo estandarizado
por la IETF como TLS (Transport Layer Secure)
Es utilizado actualmente por la mayora de las empresas que
comercian a travs de Internet dado que es parte de la
mayora de los navegadores y servidores Web
SSL no es un protocolo para comercio electrnico, sino una
forma de establecer un canal virtual seguro entre el servidor y
el cliente.
86


El logro ms grande del protocolo es proporcionar
PRIVACIDAD y CONFIANZA entre las partes que se
comunican

El protocolo permite al servidor y al usuario autenticar y
negociar entre ambas partes un algoritmo de encriptacin y
las respectivas llaves criptogrficas, antes de que se transmita
o reciba cualquier informacin sensible
87


Confidencialidad: Mediante el uso de encriptado se garantiza
que los datos transmitidos no podrn ser interpretados por un
tercero no autorizado.
Integridad: Se garantiza que los datos recibidos son los
enviados, pero no se impide la posibilidad de modificar estos
datos una vez recibidos
Autenticacin: El servidor se autentica utilizando un
Certificado Digital emitido por una Autoridad Certificadora.
El cliente puede o no autenticarse (Opcional)
88

Arquitectura
TCP/IP maneja el transporte y ruteo de datos sobre Internet
Protocolos como HTTP, FTP, LDAP, IMAP, corren sobre
TCP/IP.
HTTP FTP LDAP IMAP
TCP
IP
Application Layer
Transport Layer
Network Layer
89
HTTP FTP LDAP IMAP
TCP
IP
SSL

Arquitectura
SSL corre arriba de TCP/IP y debajo de los protocolos de alto
nivel
Usa TCP/IP en representacin de los protocolos de alto nivel,
y en el proceso permite a un servidor SSL-Enabled
autenticarse ante un cliente, a un cliente SSL-Enabled
autenticarse ante el servidor, y a ambos establecer una
conexin encriptada
90

SSL Server Authentication
SSL Server authentication permite al cliente confirmar la
identidad del servidor
El software del SSL-Enabled Client puede usar tcnicas
estndares de criptografa de clave pblica para chequear que
el certificado del servidor y el ID pblico han sido emitidos
por una Autoridad Certificadora (CA) que se encuentra en la
lista de CA confiables

91

SSL Client Authentication
SSL Client authentication permite al servidor confirmar la
identidad del usuario. Es opcional.
Usando las mismas tcnicas de autenticacin usadas para
Server Authentication, el software de SSL-Enabled Server
puede chequear que un certificado del cliente es vlido y ha
sido emitido por una Autoridad Certificadora (CA) registrada
en la lista de las CA confiables del servidor.

92

SSL - Integridad
Cada mensaje encriptado en SSL tiene un Message
Authentication Code (MAC) que evita la alteracin del
mensaje en la ruta sin que sea detectado.
Tanto el navegador como el servidor pueden siempre
determinar si el mensaje ha sido recibido intacto o si ha sido
alterado en el camino.
Esto es realizado mediante funciones One-way Hash como
MD5 y SHA

93

SSL - Handshake
BROWSER
SERVER
FASE1: Hello(Versin, R1 , sesin, CipherSuite)
FASE1: Hello(Versin, R2 , sesin, CipherSuite)
FASE2: Certificado X.509 del Server + E
S
(R1)
Check
Certificado
FASE3: Certificado X.509 del comprador + E
B
(R2)
Check
Certificado
FASE4: Confirma Ciphersuite + K(finish)
Sesin
FASE4: Confirma Ciphersuite + K(finish)
K (Mensaje || MAC)
Sesin
94

Qu tan bien est SSL en cuanto a las 4 caractersticas
para una transaccin de comercio electrnico seguro ?
Autenticidad. Realiza adecuadamente la identificacin del
servidor ante el cliente, pero normalmente no requiere una
autenticacin en sentido contrario
Confidencialidad. Proporciona una buena seguridad de que los
datos no podrn ser vistos por terceros durante la transmisin de
los mismos, pero no garantiza ninguna seguridad despus que
los datos han sido recibidos
Integridad. Durante el envo de los datos proporcionan la
seguridad que no van a ser modificados, pero no proporciona
ninguna seguridad una vez finaliza la conexin
No repudio. Falla al mximo No proporciona ningn mtodo para
dejar constancia de cuando se ha producido una transaccin y
quienes han participado en ella.

95

Otros problemas relacionados con SSL
Solo protege transacciones entre dos puntos (Servidor Web y
el navegador del cliente)
Una operacin con una tarjeta de crdito involucra tres partes:
consumidor comerciante emisor de la tarjeta
No protege al comprador del riesgo de que un comerciante
deshonesto utilice ilcitamente su tarjeta.
En SSL la seguridad recae en la confianza que el cliente tenga
del vendedor

96

Transport Layer Security (TLS)
La IETF estandariz SSL V.3 ligeramente modificado , como
TLS
Diferencias
Versin
Calcula MAC con algoritmo HMAC
Cdigo de alerta por errores: CA desconocido, etc
Nuevos algoritmos en certificados

97

Secure Electronic Transaction (SET)
Fue desarrollado en 1995 por VISA y MASTERCARD
Se basa en el uso de criptografa de clave pblica
Ventaja: Ofrece autenticacin de todas las partes implicadas
en una transaccin de comercio utilizando certificados
digitales: ( El cliente, el comerciante, los bancos, el emisor )
Confidencialidad e integridad a travs de tcnicas
criptogrficas robustas que impide que el comerciante acceda
a la informacin de pago y que el banco acceda a la
informacin de los pedidos
Separa la informacin de compra y la informacin de pago
Su despliegue est siendo muy lento: Requiere software
especial tanto para el comprador como para el comerciante
Su punto fuerte es tambin su taln de Aquiles

98

Secure Electronic Transaction (SET)
Certificados Digitales crean una cadena de confiabilidad para
la transaccin, verificando as la validez del titular (card
holder) y del vendedor
El usuario recibe una Electronic-wallet y una transaccin es
conducida y verificada usando una combinacin de
certificados digitales y firmas digitales entre el comprador, el
vendedor y el banco, de tal forma que la privacidad y
confidencialidad son aseguradas
Firmas digitales son utilizadas para proveer integridad as
como No repudiacin de la transaccin
99

Actores del protocolo SET
El emisor. Es la Institucin que entrega la tarjeta de crdito electrnica.
Suele ser un banco.
El Card-holder. Es la persona que dispone de la tarjeta electrnica para
realizar transacciones
El vendedor. Es el que dispone de un sitio Web para realizar ventas en
lnea
La organizacin de procesamiento del pago. Es la institucin que se
encarga de procesar el pago al vendedor. Puede ser el mismo Banco del
vendedor
La Autoridad Certificadora. Es la encargada de generar las llaves pblicas
y privadas de cada uno de los miembros del sistema.
100
Correo electrnico Seguro.

Su estudio nos permitir ver una aplicacin real de
los sistemas de cifra y firma analizados en el curso.
A comienzos de los aos 90 hacen su aparicin dos
sistemas de correo electrnico seguro:

PEM (Private Enhanced Mail)
PGP (Pretty Good Privacy)
De los dos, ha sido PGP quien se ha convertido en un
estndar de hecho en clientes del e-mail seguro. Por
lo tanto lo analizaremos ms en profundidad
Material de PGP tomado del curso de seguridad informtica impartido en la Universidad
Politcnica de madrid Jorge Rami A.
101
Correo electrnico seguro
102
103
104
105
Pros y contras de los Sistemas de Clave Secreta
El emisor y el receptor comparten una misma clave.
La seguridad depende slo del secreto de la clave.
La velocidad de cifra es muy alta y los sistemas con un
espacio de clave grande son muy seguros.
Permiten autenticar los mensajes con MACs.
Es imposible establecer un sistema de distribucin y
gestin de claves eficiente entre emisor y receptor.
Carecen de una firma digital.
`

... pero
Resumen de los sistemas de clave secreta
106
Emisor y receptor generan un par de claves, pblica y
privada, relacionadas por una funcin con trampa.
Emisor y receptor de un mensaje usan claves diferentes
para las operaciones de cifrado, descifrado y firma.
La seguridad del sistema va asociada a la resolucin de un
problema matemtico difcil.
Tiene firma digital: autenticacin de mensaje y del emisor.
Es necesario contar con mecanismos de certificacin
para asegurar la veracidad de las claves pblicas: ACs.
Son sistemas de cifra muy lentos.
Resumen de los sistemas de clave pblica
Pros y contras de los Sistemas de Clave Pblica
`

... pero
107
PGP, en su versin 2.6.3i (internacional) se convirti a
mediados de la dcada de los 90 un estndar de hecho.
Cifra todo tipo de datos en MS-DOS. Su orientacin
principal es el cifrado y la firma del correo electrnico.
Aunque hay versiones ms actuales en entorno grfico de
Windows, muchos usuarios siguen fieles a esta versin.
Los algoritmos bsicos que usa son:
IDEA para cifrar con sistema de clave secreta.
RSA para intercambio de claves y firma digital.
MD5 para obtener la funcin hash de la firma digital.
Caractersticas de PGP 2.6.3i
108
Compresin ZIP
Se comprime el mensaje en claro y la firma para
almacenarlo o transmitirlo.
Generacin de claves RSA, MD5
Genera una clave pblica y otra privada, encontrando
dos nmeros primos muy grandes. El valor privado se
guarda cifrado con IDEA usando como clave un resumen
MD5 de la frase de paso secreta.
Cifrado Convencional IDEA
Cifra el mensaje con una clave de sesin de 128 bits
(nica) generada en el emisor de forma aleatoria.
Intercambio de claves IDEA, RSA
Cifra la clave de sesin IDEA con la clave pblica del
destinatario con RSA y la aade en el criptograma.
Firma Digital MD5, RSA
La funcin hash MD5 genera un resumen de 128 bits,
que representa al mensaje en claro completo, y que se
cifra en RSA con la clave privada del emisor. Se aade
al mensaje enviado.
Compatibilidad e-mail Base-64
Permite transmitir el mensaje a todo tipo de aplicaciones
e-mail. Convierte los octetos en caracteres imprimibles.
Segmentacin
Divide el criptograma final en bloques de menos de
50.000 bytes para su correcta transmisin en Internet y
su recuperacin.

Operacin Algoritmo Descripcin de Funcin
Algoritmos utilizados por PGP 2.6.3i
109
Las operaciones de PGP 2.6.3i para cifrar, descifrar, firmar
y la comprobacin posterior de la firma digital, usan los
algoritmos de funciones hash, de clave pblica y de clave
secreta vistos anteriormente.
Para poder enviar y recibir correo seguro, es necesario
contar al menos con las siguientes claves:
Generacin de claves con RSA
Correo seguro con PGP
Clave pblica del destinatario.
Par de claves asimtricas del
emisor.
110
Una vez instalado PGP, se procede a la generacin de
claves asimtricas del usuario propietario.
Se elige el tamao del mdulo n, por ejemplo 1024 bits.
PGP generar un par de nmeros primos e (clave pblica)
y d (clave privada) de forma que ed mod (n) = 1.
PGP pedir una contrasea o passphrase y con ella y MD5
generar una clave de 128 bits con la que cifrar la clave
privada antes de almacenarla en el disco.
Generacin de claves RSA en PGP
111
Con las claves pblica y privada generadas y otras
claves pblicas que podr importar de otros usuarios,
se crean dos anillos de claves:

Anillo de claves pblicas: archivo pubring.pgp
en el que se guardan las claves pblicas del
usuario propietario (puede tener ms de una
identidad) y las claves pblicas importadas.
Anillo de claves privadas: archivo secring.pgp
en el que se guarda la o las claves privadas del
usuario propietario.
Anillos de claves en PGP
112
Sellado de tiempo:
fecha y hora de la generacin del par de claves.
Clave ID:
identificador de clave (ltimos 64 bits de la clave pblica e).
Clave pblica:
nmero primo e, inverso del primo d en el cuerpo (n).
Clave privada cifrada:
cifra la clave privada d con IDEA y la funcin hash de la frase
de paso del propietario como clave secreta.
ID usuario:
identificacin del usuario, normalmente direccin de email.
Campos de los anillos de claves
113
Almacenamiento de la clave privada
114
Cifrado del mensaje
Mensaje
en claro
Clave pblica
del destinatario
Mensaje
cifrado
Clave de
sesin
cifrada
Clave
de
sesin
Se busca en el anillo de
claves pblicas del emisor
El documento se comprime
antes con el algoritmo ZIP
Necesitamos una
clave de sesin...
Por compatibilidad de
sistemas clientes de
correo, se le aade
armadura (Base 64)
antes de transmitirlo
115
Descifrado de un mensaje
Se busca en el anillo de
claves privadas del receptor
Mensaje
cifrado
Clave de
sesin
cifrada
Clave privada
destino cifrada
CONTRASEA
Clave privada
descifrada
Clave
de
sesin
Mensaje
en claro
Se ha quitado la armadura y se descomprime
116
Firma Digital RSA
Mensaje
en claro
Clave privada
cifrada IDEA
CONTRASEA
Clave privada
descifrada
Se va a firmar un mensaje en claro
Necesitamos nuestra
clave privada...
Bloque de
firma
digital
Mensaje
en claro
Si se desea se puede
enviar tambin cifrado
117
Verificacin de la Firma
Clave pblica
del emisor
Bloque de
firma
digital
Mensaje
en claro
IGUALES ?
Firma
correcta
Firma
incorrecta
Se busca la clave pblica del
emisor para descifrar la firma
Se calcula en destino la funcin hash del mensaje y comparamos
S
No
118
Taller PGP
119
Anillos de Seguridad
Polticas
Internet
Red Corporativa
Sistemas Operativos
BD Aplicac.
120
Seguridad
fsica
Procesos y polticas
VPN
Firewall
VLAN
Control de
acceso
a la red
Deteccin
de intrusos

Recursos
crticos

Anti-
Virus
ACL
Anillos de Seguridad
Arquitectura Actual
121
Se entender como:
Todo el conjunto de datos y archivos de la empresa.
Todos los mensajes intercambiados.
Todo el historial de clientes y proveedores.
Todo el historial de productos.
En definitiva, el know-how de la organizacin.
Si esta informacin se pierde o deteriora, le ser muy difcil a
la empresa recuperarse y seguir siendo competitiva. Por este
motivo, es vital que se implanten unas polticas de seguridad y
que, adems, se haga un seguimiento de ellas.
La informacin en la empresa
Polticas de Seguridad Informtica
122
La implantacin de una poltica y medidas de seguridad informtica en
la empresa comienza a tenerse en cuenta slo a finales de la dcada
pasada. En este nuevo siglo, es un factor estratgico en el desarrollo
y xito de la misma. Despus de atentados terroristas, incendios,
huracanes y diversas amenazas, muchas empresas han desaparecido
por no haber sido capaces de recuperarse tras haber perdido toda su
informacin.
Importancia de la informacin
El xito de una empresa depender de la calidad
de la informacin que genera y gestiona. As, una
empresa tendr una informacin de calidad si
sta posee, entre otras caractersticas, las de
confidencialidad, de integridad y de
disponibilidad.
123
La informacin (datos) se ver afectada por
muchos factores, incidiendo bsicamente en los
aspectos de confidencialidad, integridad y
disponibilidad de la misma.

Desde el punto de vista de la empresa, uno de los
problemas ms importantes puede ser el que est
relacionado con el delito o crimen informtico,
bien por factores externos o internos. Habr que
estar muy atentos al factor humano interno.
Vulnerabilidad de la informacin
Un empleado
descontento...
124
Por muy organizados que puedan ser los grupos de
delincuentes informticos, no se debe caer en la
paranoia.

Adems, debemos pensar que el peor enemigo puede
estar dentro de casa. Segn estadsticas fiables, cerca
del 80% de las amenazas de seguridad provienen de
la propia organizacin.
Solucin: Puesta en marcha de una adecuada poltica de
seguridad en la empresa.
Dnde est el verdadero enemigo?
125

Las polticas de seguridad informtica son la lnea base del
esquema de seguridad de una organizacin
Reflejan la visin de la Organizacin referente a la proteccin de la
informacin
A los administradores les facilitan su labor indicndoles que hacer
en caso de una emergencia de cmputo
A los usuarios les indican la manera adecuada de utilizar los
recursos, indicndoles lo que puede y no puede hacerse,
contribuyendo a que no sean malos usuarios de la red sin saberlo
Son globales y no especifican tecnologas
Deben ser aterrizadas en procedimientos, estndares,
reglamentos, normas.
126
Las polticas deben poder ser implementables y aterrizadas
Deben ser consisas y fciles de entender
Deben lograr un equilibrio entre seguridad y productividad
La poltica debera mostrar las razones que la justifican
La poltica debera informar en que forma sern manejadas las
violaciones a la misma
Por qu falla el proceso de implantacin de polticas?
Las personas ven las polticas como un impedimento a la
productividad y como medidas para controlar su comportamiento
las personas tiene diferentes puntos de vista acerca de la
necesidad de controles de seguridad
Las personas piensan que las polticas sern difciles de seguir e
implementar

127
Polticas de seguridad de los recursos de Hardware ( Servidores,
estaciones, equipos de redes, etc)
Polticas de control de acceso a la informacin a los sistemas
Polticas de desarrollo y mantenimiento de sistemas
Polticas de BCP (Plan de Continuidad del Negocio)
Polticas de atencin a incidentes de seguridad informtica
Polticas para el procesamiento, almacenamiento, transmisin y
respaldo de la informacin.
Polticas de administracin y organizacin de la seguridad
informtica
Polticas de clasificacin de la informacin y activos
Poltica de uso aceptable

128
Polticas claves que no deben faltar

Poltica de uso aceptable de los recursos.

Presenta lineamientos acerca del uso apropiado de los
recursos informticos
Debera ser firmada por los empleados en el momento de
ingresar a la organizacin.
Debe estar presente en todo documento de polticas de
polticas de seguridad
Debe recalcar la responsabilidad de los usuarios en la
seguridad de la informacin que manejan en sus cuentas
Debe indicar el nivel de uso aceptable para el correo
electrnico, acceso web, etc
Debe indicar el nivel de uso aceptable de los recursos para
actividades no laborales

129

Polticas de acceso remoto
Identifica los mtodos aceptables de conexin remota a la red
corporativa
Poltica esencial en grandes organizaciones con redes
geogrficamente dispersas y teletrabajadores
Debe definir quienes pueden tener acceso remoto
Debe identificar restricciones de los datos que pueden ser
accedidos remotamente

130

Polticas de proteccin de la informacin
Provee lneas guas para el procesamiento, almacenamiento,
transmisin y respaldo de la informacin
El principal objetivo es asegurar la confidencialidad, integridad
y disponibilidad de la informacin.
Debera definir los niveles de sensibilidad de la informacin y
quien puede tener acceso a informacin sensible
Debe definir como debe ser almacenada y transmitida la
informacin sensible
131

Polticas de administracin de seguridad en el permetro
Describe en forma general como debe ser mantenida la
seguridad en el permetro de la red
Describe como deben ser administrados los cambios al
hardware y software de los dispositivos de seguridad perimetral
Debe identificar quien tiene acceso privilegiado a los
dispositivos de seguridad perimetral
Debe identificar quien est autorizado para conocer la
informacin de configuracin de los dispositivos perimetrales y
las listas de control de acceso
Procedimientos claves que no deben faltar.
Procedimiento de atencin a incidentes de seguridad
Procedimientos de administracin de las configuraciones
132
Procedimientos claves que no deben faltar.
Procedimientos de administracin de las configuraciones
Define las pruebas e instalacin de nuevo hardware y software
Define como deben ser administrados los cambios en las
configuraciones del hardware y software
Define quienes estn autorizados para realizar cambios en las
configuraciones y quienes deben ser informados de dichos
cambios
Procedimientos de atencin a Incidentes de seguridad
Define como deben ser llevadas a cabo las investigaciones de
deteccin de anomalas y de intrusiones
Define las responsabilidades de cada miembro del equipo de
respuesta a incidentes
Define que informacin debe ser registrada y analizada

133
Tipos de Ataque
134

Eavesdropping y Paquet Sniffing
Spoofing
Flooding
Smurfing
Ataques ICMP
Cracking de Passwords
Ping of death
Escaneo de puertos
Firewalking
bufferoverflows
Tipos de Ataque
135
Tipos de Ataque
Eavesdropping y paket sniffing
El objetivo es monitorear el trfico en forma pasiva (Sin
modificacin)
Realizado mediante sniffers
En redes compartidas, las tarjetas configuradas en modo
promiscuo escuchan todo el trfico de la red a que
pertenecen.
En redes conmutadas es necesario crear un puerto espejo
del puerto donde est conectado el equipo al que se le quiere
hacer sniffing
En la Redes conmutadas tambin se puede hacer sniffing
mediante el ataque de Man in the middle
136
Tipos de Ataque
Spoofing
Falsificacin
El objetivo de IP Spofing es ganar acceso no autorizado a un
sistema
En este tipo de ataque el intruso enva mensajes a la victima
indicando que provienen de un sistema confiable
Para que sea exitoso, el intruso debe identificar primero la IP
de un sistema confiable y luego modificar las cabeceras de
los paquetes de tal forma que parezca que proviene del
sistema confiable
IP Spoofing
137
Tipos de Ataque
Spoofing
Pasos de un ataque IP Spoofing
Seleccionar el sistema objetivo (Victima)
Identificar un host que tenga una relacin de confianza con la victima
Deshabilitar las comunicaciones del host de confianza (ej SYN-Flooding)
Obtener un ejemplo de comunicacin con la victima para averiguar el
patrn de nmero de secuencia de la victima.
Modificar las cabeceras de los paquetes de tal forma que parezca que
provienen de la mquina de confianza y hacer un intento de conexin a
la victima a un servicio que solo requiere autenticacin basado en
direccin
Si el intruso adivina el nmero de secuencia el servidor queda expuesto
y el intruso puede implantar una puerta trasera para garantizar futuros
accesos
138
Tipos de Ataque
Spoofing
ARP Spoofing
ARP es usado para correlacionar direcciones IP con direcciones
MAC.
Una tabla , ARP Cach, mantiene la correlacin entre estas dos
direcciones
ARP opera enviando paquetes broadcast (incluso en redes
conmutadas) ARP Request. El ARP Request pregunta: Es tu IP
x.x.x.x ? , si es as envame tu MAC
Para minimizar el nmero de broadcasts ARP request, los sistemas
mantienen un cach con las respuestas ARP
ARP es un protocolo sin estado por lo que la mayora de los
sistemas actualizarn su cach cada vez que reciben una respuesta
sin importar si se hizo un ARP request
139
Tipos de Ataque
Spoofing
ARP Spoofing
El ataque ARP Spoffing consiste en la construccin de
respuestas ARP falsificadas. Al enviar estas respuestas ARP
falsificadas a un host objetivo, se puede hacer que todos las
tramas que el objetivo vaya a enviar a un host A, sean
enviados en su lugar al host del intruso
Ataques a partir de ARP Spoofing
SNIFFING. (Man in the Middle).
DOS
Hijacking
140
Tipos de Ataque
Spoofing
DNS Spoofing
Este ataque puede ocurrir en una de estas tres formas:
Un atacante compromete un servidor DNS y realiza cambios en la
correlaciones nombre-direccin IP de la zona sobre la cual el servidor
tiene autoridad. Cuando alguien solicita la IP de una de las
correlaciones afectadas, es enviado a una mquina que est bajo el
control del atacante
Un atacante puede falsificar las respuestas de un servidor DNS a
un cliente, antes de que la respuesta real llegue al cliente
El cach de un servidor DNS puede ser envenenado simplemente
enviando respuestas falsas con un TTL alto, ante requerimientos del
servidor DNS
141
Tipos de Ataque
Spoofing
DNS Spoofing
Generalidades de DNS
Querys recursivos e iteractivos
empleado.empresa1.com
Cual es la IP de www.abc.com?
NS.empresa1.com (Local)
NS de dominio .com
NS.abc.com (Authoritative server)
www.abc.com
1
6
2
3
4
5
7
Recursive
Query
Iterative
Queries
142
Tipos de Ataque
Spoofing
DNS Spoofing
DNS Cache Poisoning
Consiste en hacer que el servidor de DNS almacene en su
cach informacin falsa: Usualmente un registro que
relacionar un nombre con una direccin IP equivocada
El envenenamiento de Cach de DNS puede ser realizado en
dos formas:
- Informacin adicional en respuestas DNS
- Spoofing de DNS
143
Tipos de Ataque
Spoofing
DNS Spoofing
DNS Cache Poisoning
hacker.com=x.x.x.x
www.banco.com=x.x.x.x
dns query:
hacker.com?
dns query:
hacker.com?
dns.hacker.com
hack.hacker.com
dns.victim.com
user.victim.com
www.banco.com
result
cached
www.hacker.com
x.x.x.x
144
dns.hacker.com
dns.victim.com
user.victim.com
www.banco.com
www.hacker.com
x.x.x.x
145
Tipos de Ataque
Spoofing
DNS Spoofing
DNS Cache Poisoning
Este problema ha sido reparado en BIND, rechazando
cualquier informacin adicional no relacionada con el
requerimiento original
- Spoofing de DNS
Consiste en que el intruso responde a un requerimiento DNS
destinado a otro servidor DNS.
IP Spoofing del server DNS
DNS ID Hack
146
dns.hacker.com
hack.hacker.com
dns.victim.com
user.victim.com
dns query:
hacker.com?
dns query:
hacker.com?
query id
stored
www.banco.com
147
dns.hacker.com
hack.hacker.com
dns query:
www.banco.com?
dns query:
www.banco.com?
query id
stored
www.banco.com
www.banco.com=x.x.x.x
(correct query ID)
dns.victim.com
user.victim.com
result
cached
148
dns.hacker.com
hack.hacker.com
query id
stored
www.banco.com
user.victim.com
result
cached
www.hacker.com
149
Tipos de Ataque
Spoofing
DNS Spoofing
DNS Cache Poisoning
Recomendaciones y Contramedidas
No permita Querys recursivos. Prevenir Spoofing
Aplique todas las actualizaciones y parches a su servidor
DNS
No permita transferencia de Zonas a servidores no
autorizados
Split-Split DNS

150
Tipos de Ataque
Flooding
Tipo de ataque destinado a saturar los recursos del sistema
(DoS)
SYN Flooding
Three Way Handshake
Send SYN
(Seq=x)
Receive SYN
(Seq=x)
Send SYN
(Seq=y, ACK=x+1)
Receive SYN
(Seq=y, ACK=x+1)
Send ACK
(Ack=y+1) Receive ACK
(ack=y+1)
151
Tipos de Ataque
Flooding
SYN Flooding
La mayora de los sistemas destinan una cantidad finita de recursos
cuando configuran una conexin potencial, o sea una conexin que
no ha sido establecida totalmente
Basta una docena de peticiones de conexiones potenciales para
agotar todos los recursos destinados a configurar la conexin.
El atacante enva un paquete SYN a la vctima, con una IP origen
falsa (inexistente o inalcanzable)
La victima tratar de enviar un paquete SYN/ACK a la direccin
falsa y nunca recibir un paquete ACK o RESET. Esta conexin
potencial se colocar en una cola de conexin
Como la cola de conexin normalmente es muy corta, el atacante
solo tiene que enviar unos cuantos paquetes SYN cada 10 segundos
para inutilizar un puerto especfico
152
Tipos de Ataque
Flooding
SYN Flooding
Comando Netstat. Nmero de conexiones en SYN_RECV
Aumentar el tamao de la cola de conexin
Disminuir el periodo de tiempo de establecimiento de conexin
Parches de software de los fabricantes para detectar y evitar
ataques SYN potenciales. (CERT Advisory CA-1996-21 TCP SYN
Flooding and IP Spoofing Attacks)
Firewall con capacidad de detectar SYN Flooding
Firewall o Router que haga proxy de las conexiones TCP
(TCP Intercept. Cisco)
153
Tipos de Ataque
Smurf
Ataque DoS
Paquetes ICMP Echo Request falsos dirigidos a una direccin de
Broadcast (Red amplificadora)
Tres actores: El atacante, La Red Amplificadora, la Victima
El atacante enva paquetes ICMP Echo Request falsificados a la
direccin de difusin de la red amplificadora. La direccin origen de
los paquetes habr sido generada para que qua parezca que ha sido
la victima la que ha iniciado la solicitud
Todos los sistemas que pertenezcan a la red amplificadora
respondern a la vctima
Fraggle: Primo del Smurf

154
Tipos de Ataque
Smurf
Para la Red Amplificadora:
Desactivar la funcin de difusin dirigida en los Routers de
Frontera. (Cisco: no ip directed-broadcast)
Configurar los sistemas operativos para que silenciosamente
rechacen los paquetes echo ICMP de difusin
Para la Victima:
Limitar el trfico de entrada ICMP en los routers frontera
Acordar con el ISP para el bloqueo de paquetes ICMP
Limitar el ancho de banda consumido por el trfico ICMP (CAR en
Cisco IOS)

155
Tipos de Ataque
Ataques ICMP
Reconocimiento y escaneo
ICMP sweep
TraceRoute

Explotacin
ICMP Route Redirect
ICMP Router Discovery Messages
ICMP Floods ( smurf )

156
Tipos de Ataque
obtencin de passwords
Encontrar un usuario vlido
Crear una lista de posibles contraseas
Ensayar con cada una
Si el sistema nos da acceso , estamos adentro
Si no es as, intentar de nuevo

Tcnicas para crackear contraseas
Ataque de fuerza bruta
Ataque de diccionario

157
Tipos de Ataque
passwords Cracking
Determinar cual es la contrasea cuando solo se dispone del
archivo encriptado de contraseas
Encontrar un usuario vlido
Encontrar el algoritmo de encripcin usado
Obtener la contrasea encriptada
Crear un alista de posibles contraseas (diicionario o fuerza bruta)
Encriptar cada contrasea y ver si coinciden
Sugerencias y contramedidas
Use contraseas fuertes: nmeros, letras y smbolos especiales
Usar sistemas con almacenamiento seguro de contraseas:
encripcin , hash
158
Tipos de Ataque
Ping Of Death
Es un ataque que explota un punto dbil que existe en la fragmentacin
de grandes paquetes de peticin de echo de ICMP
Tipo (8) Cdigo (0) Suma de comprobacin
Identificador Nmero de secuencia

Datos Opcionales

0 8 16 31
En el ltimo fragmento es posible combinar un desplazamiento vlido con
un tamao de fragmento adecuado para que se cumpla que
(desplazamiento + tamao ) > 65535 - existe la posibilidad de
desbordamiento de variables internas de 16 bits que puedan llevar a
reinicios , volcados de kernel del sistemas, etc
159
Tipos de Ataque
Escaneo de puertos
NMAP ACK Scan
Utilizado para realizar escaneos de puertos en una configuracin en
la que se permiten conexiones salientes pero no entrantes. (permitir
SYN saliente y permitir conexiones entrantes solo si el bit ACK est
activado).

SD
Professional Workstation 6000
PRO
SYN
SYN/ACK
SYN
ACK
RST
Contramedidas: Cerrar todos los puertos no usados y usar Stateful
y/o Proxy Firewalls
160
Tipos de Ataque
Firewalking
Permite a un atacante determinar que reglas de filtrado tiene
implantadas un Firewall
Firewalk explora un host detrs de un Firewall, determinando las
reglas permitidas hacia ese host sin tocar realmente el sistema
objetivo.
Firewalk funciona construyendo paquetes con un IP TTL calculado
para caducar justo un salto despus de pasar el cortafuegos. Si el
paquete es aceptado por el Firewall, pasar a travs de l y caducar
de la forma esperada provocando un mensaje ICMP TTL expired in
transit. Si el paquetes es bloqueado por las ACL del Firewall, ste
ser anulado y no se enviar ninguna respuesta o se enviar un
ICMP tipo 13
Firewalking funciona en dos fases:
Fase de descubrimiento de red
Fase de escaneo

161
Tipos de Ataque
Firewalking
La fase de descubrimiento de red hace un traceroute para
determinar el nmero de saltos de red hasta la IP antes de
que ocurra el filtrado

SD
PRO
TTL 1
TTL exceeded
TTL 2
TTL exceeded
TTL 3
TTL exceeded
162
Tipos de Ataque
Firewalking
La fase de escaneo realiza un escaneo de puertos con un TTL que es
mayor que es un paso mayor que el nmero de saltos determinado
en la fase de descubrimiento.

SD
PRO
Puerto TCP 1 , TTL 4
TTL exceeded
El Puerto TCP 3 no est siendo filtrado
163
Tipos de Ataque
Buffer Overflows
Permite a un atacante ejecutar cdigo arbitrario en una
mquina, tomarse un sistema por completo o escalar
privilegios.
Basado en colocar en un bfer ms informacin de la que est
limitado para recibir.
Dar a un programa ms datos de los que el programador
reserv
Causado por no hacer los chequeos apropiados durante
el desarrollo de las aplicaciones.
164
Tipos de Ataque
Buffer Overflows
165
Tipos de Ataque
Buffer Overflows
166
Tipos de Ataque
SQL Injection
Es un mtodo de hacking que permite a un intruso acceder de
forma no autorizada a un servidor de base de datos a travs
de una aplicacin web vulnerable
Tcnica para explotar aplicaciones web que utilizan las
entradas suministradas por el usuario en consultas SQL sin
primero quitar caracteres potencialmente peligrosos.
El hacker enva una entrada a la aplicacin que cause que el
servidor genere un query SQL invalido. Si el servidor retorna
un mensaje de error, el atacante tratar de descubrir el query
SQL original usando informacin obtenida en el mensaje de
error.

167
Tipos de Ataque
Detectando SQL Injection
C:\mipagina\web\cons_comer\./includes/comerc.asp, line 18
C:\mipagina\web\cons_comer\./includes/comerc.asp, line 18
168
Tipos de Ataque
Detectando SQL Injection
Las aplicaciones Web comnmente usan querys SQL con la entrada suministrada por el
usuario en la clausula where para extraer datos de la base de datos.
El siguiente URL puede ser usado por una empresa para desplegar en el navegador su
boletin de prensa No 5:
El query SQL que usara esa aplicacin web sera algo como esto:
El Servidor de BD responde con los datos del quinto boletn de prensa y la aplicacin web
lo formatea en HTML y los despliega al usuario.
Para determinar si la aplicacin es vulnerable a SQL Injection hacemos que la aplicacin
coloque una condicin cierta adicional en la clasula where. Por ejemplo, solicitamos este
URL:
Y si el servidor ejecuta el siguiente query..:
.y regresa el mismo boletn de prensa, la aplicacin es susceptible a inyeccin de
cdigo SQL. Parte de la entrada del usuario est siendo interpretada como cdigo
SQL.Una aplicacin segura rechazara este requerimiento porque tratara la entrada del
usuario como un valor, y el valor 5 and 1=1 causara un type mismatch error
169
Tipos de Ataque
SQL Injection
170
Tipos de Ataque
Solucin a SQL Injection
No se debe permitir que las entradas de los usuarios modifiquen las
sentencias SQL
La mejor proteccin es aislar la aplicacin web del cdigo SQL
Todas las sentencias SQL requeridas por la aplicacin deberin estar en
procedimientos almacenados en el servidor de BD
La aplicacin debera ejecutar el procedimiento almacenado usando una
interface segura como JDBC callable statement or ADO`s command object.
Los procedimientos almacenados compilan el codigo SQL antes de agregar la
entrada del usuario, imposibilitando que la entrada del usuario modifique el
queru SQL que es ejecutado
Siempre valide que las entradas de los usuarios correspondan al tipo de dato
esperado. No acepte palabras reservadas SQL ni caracteres como las comillas
simples .

Nunca, nunca confe en las entradas de los usuarios
171
Para poder determinar con certeza la existencia de
protecciones y filtrados dentro de una red a la que se
va a atacar se pueden emplear cualquiera de estos dos
mtodos de mapeo de equipos:

Forzar una respuesta del servidor ante una solicitud
vlida
Generar una respuesta del servidor ante una solicitud
invlida
Tcnicas de deteccin de Interconectividad
172
UDP Eco
TCP Eco
UDP hacia puertos cerrados
TCP ACK
TCP SYN
TCP SYN | ACK
TCP FIN
TCP NULL FLAGS
TCP XMAS
ICMP Peticin de eco (Tipo 8)
ICMP Peticin de broadcast
ICMP Peticin de router (Tipo 10)
ICMP Peticin de marca de tiempo (Tipo 13)
ICMP Peticin de informacin (Tipo 15)
ICMP Peticin de mscara de red (Tipo 17)

Tipos de peticiones vlidas para obtener respuesta de un
servidor:
173
Tipos de peticiones invlidas para obtener respuesta
de un servidor:
Provocar la respuesta de timeout ante falta de
fragmentos para recomponer un paquete
Enviar paquetes con cabeceras IP de tamaos no
vlidos
Enviar paquetes con valores en ciertos campos IP.
174
Mtodo UDP Hacia puertos cerrados
Los puertos UDP cerrados deben responder ante una posible
solicitud de conexin
Una peticin UDP de un cliente ante un puerto UDP cerrado
(no est escuchando) en el otro lado genera un error ICMP
conocido como PORT_UNREACH
El puerto udp realmente est abierto, deberemos probar
con algn otro.
El puerto udp est siendo bloqueado o filtrado por un
router, firewall o el mismo host de destino.
Es posible que los paquetes Udp no estn llegando a su
destino o no nos estn llegando las respuestas ICMP por
diversos motivos:
175
Quiz el puerto este cerrado y generando un error icmp
PORT_UNREACH, pero est siendo filtrado en su regreso.
El protocolo udp no proporciona fiabilidad, por lo que
ser necesario retransmitirlo para tener ciertas garantas
de que lleg a su destino.
# Opciones utilizadas de hping: -V=verbose, -c 1= 1 slo paquete, -2=Protocolo udp, -p=puerto
delorian:~# hping2 -V -c 1 -2 -p 2049 xxx.xxx.xxx.xxx
default routing interface selected (according to /proc)
using eth0, addr: xxx.xxx.xxx.xxx, MTU: 1500
HPING xxx.xxx.xxx.xxx (eth0 xxx.xxx.xxx.xxx): udp mode set, 28 hea-ders + 0 data bytes
ICMP Port Unreachable from xxx.xxx.xxx.xxx (remote)
--- remote hping statistic ---
1 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.8/0.8/0.8 ms
176
delorian:~# hping2 -V -V -c 1 -2 -p 53 xxx.xxx.xxx.xxx
using eth0, addr: xxx.xxx.xxx.xxx, MTU: 1500
HPING remote (eth0 xxx.xxx.xxx.xxx): udp mode set, 28 headers + 0 da-ta bytes
--- remote hping statistic ---
round-trip min/avg/max = 0.6/0.6/0.6 ms
177
Exploracin TCP
TCP SYN
Un paquete TCP con el bit SYN activo siempre debe ser respondido
por una posible mquina que est al otro lado de la conexin. La
respuesta puede ser de dos tipos:
1. Respuesta SYN | ACK como peticin a un puerto abierto.
(listening)
2. Respuesta RST | ACK como peticin a un puerto cerrado.
Tambin es posible que no se responda ante una peticin SYN lo
que indicar que o bien la conexin a dicho puerto est filtrada o
bien el equipo no est en lnea.
El sistema que est llevando a cabo la exploracin de puertos
enviar un RST/ACK para que no se establezca nunca una conexin
completa
178
Exploracin TCP
TCP SYN
delorian:~# hping2 -c 1 -S -p 22 xxx.xxx.xxx.xxx
HPING xxx.xxx.xxx.xxx (eth0 xxx.xxx.xxx.xxx): S set, 40 headers + 0 da-ta bytes
44 bytes from xxx.xxx.xxx.xxx: flags=SA seq=0 ttl=64 id=0 win=32767 rtt=0.6
--- xxx.xxx.xxx.xxx hping statistic ---
delorian:~# hping2 -c 1 -S -p 36345 xxx.xxx.xxx.xxx
HPING xxx.xxx.xxx.xxx (eth0 xxx.xxx.xxx.xxx): S set, 40 headers + 0 da-ta bytes
44 bytes from xxx.xxx.xxx.xxx: flags=RA seq=0 ttl=64 id=0 win=32767 rtt=0.6
--- xxx.xxx.xxx.xxx hping statistic ---
179
Exploracin TCP
TCP ACK
Un paquete TCP con el flag ACK activo no nos indicar el estado
del puerto contra el que se dirige, pero en cambio si nos delatar
la presencia de un equipo al otro lado de la conexin.
Un paquete con el bit ACK activo a un puerto cualquiera, est
abierto o cerrado deber ser respondido con un RST.
Este mtodo es ideal para realizar lo que comnmente se
denomina Firewalking que consiste en determinar los paquetes
que sern filtrados y los que no por un cortafuegos basndose en
los paquetes que logran atravesarlo y los que no para deducir el
conjunto de reglas que estn siendo empleadas en la proteccin
de terceros equipos.
180
Exploracin TCP
TCP FIN
Un paquete con el flag FIN activo deber ser respondido de la
siguiente forma (Basndose en RFC 793):
1. RST | ACK ante un intento a un puerto cerrado.
2. Nada ante un intento en un puerto abierto.

Una falta de respuesta ante un paquete FIN podr deberse a uno
cualquiera de estos casos:
Paquetes FIN bloqueados por cortafuegos, routers o ACLs.
Trfico de entrada a ese puerto en concreto est siendo filtrado.
El puerto consultado result estar abierto
El equipo de destino est realmente desconectado de la red o
cado.
181
Exploracin TCP
TCP NULL FLAGS
Se basa en enviar un paquete TCP al que se le han
eliminado todas los flags, una vez en el destino el equipo
deber responder (Segn RFC 793) con un paquete con
RST | ACK activados si el puerto estaba cerrado y nada si
est abierto.

Generalmente la mayora de ACLs de los routers
intermedios y firewalls estn prevenidos contra este tipo
de intentos por lo que no es probable que obtengamos
ninguna respuesta.
182
Exploracin TCP
TCP XMAS
En los paquetes conocidos como XMAS (XMAS.! Christmas)
todos los flags son activados, es decir: SYN | ACK | FIN | RST
| URG | PSH.
Es bastante eficaz contra las pilas TCP/IP derivadas de BSD,
es decir Linux, Solaris, *BSDs, etc, pero los equipos
Windows no responden a este tipo de paquetes.
La respuesta de los equipos unix ante un paquete XMAS es
devolver un RST | ACK en los puertos cerrados y nada en los
abiertos al igual que pasaba con los paquetes sin ningn flag
activo.
183
Mtodos ICMP
El protocolo ICMP fue originalmente diseado para reportar
errores en los procesos de transmisin de datos como una
ayuda a la capa IP.

Debido a la creciente necesidad de seguridad muchos son
los que estn bloqueando todos los tipos de paquetes
ICMP, pero si bien algunos son realmente dainos (smurf
broadcast, pings de tamao excesivo, etc) otros son de
gran ayuda en la comunicacin como por ejemplo las
marcas de tiempo (timestamps).
184
Mtodos ICMP
ICMP Peticin de eco (Tipo 8)
ICMP Peticin de broadcast
ICMP Peticin de router (Tipo 10)
ICMP Peticin de marca de tiempo (Tipo 13)
ICMP Peticin de informacin (Tipo 15)
ICMP Peticin de mscara de red (Tipo 17)
185
Componentes de una red segura
Internet
1. Poltica Corporativa de Seguridad
2. Identidad 3. Seguridad del
Permetro
4. Conectividad
Segura
5. Vigilancia de
la seguridad
6.Gestin de
la seguridad
Autenticacin
Autorizacin
Firewall
ACL
VPN IDS SIMS
186
Seguridad en el permetro
NSP: Network Security Perimeters
NSP es un conjunto de dispositivos que tienen el objetivo de
identificar , alertar y eliminar trfico malicioso o no autorizado
tratando de ingresar a una red y su permetro
Anteriormente un simple Firewall era suficiente para garantizar la
seguridad en el permetro de la red
Los dispositivos que forman parte de un NSP tpicamente son:
Routers, Firewalls, Intrusion Detection Systems y Virtual Privates
Networks
Igualmente es necesaria la existencia de un quinto componente
que permita administrar la cantidad de informacin generada por
los dispositivos de seguridad del permetro: SIMS (Security
Information Management Systems).
187
Seguridad en el permetro
ARQUITECTURA
188
Seguridad con Enrutadores
189
Enrutadores: Cajas negras configuradas. No las
Toque!!
Generalmente se configuran por default y no existen
polticas de aseguramiento.
Generalmente son configurados por los proveedores y no se
configuran como primera lnea de defensa de la red

Los enrutadores deben ser la primera lnea defensa y deben
tener una configuracin de control de acceso que
defienda en primera lnea al Firewall
190
Elementos Bsicos de un enrutador

Son esencialmente servidores. Proveen el servicio de enrutamiento
Como tales poseen un sistema operativo. Cisco:IOS
El Cisco IOS se almacena en la memoria Flash y se encarga de interpretar los
comandos de configuracin y las listas de control de acceso (ACL). Utiliza la
memoria no voltil (NVRAM) para almacenar el archivo de configuracin
Interface de Red
Puerto Consola
Puerto AUX
191
Listas de Control de acceso en Enrutadores

Las listas de control de acceso permite o niegan el trfico
entrante o saliente.
Se basan en direcciones IP origen y destino, puertos
TCP/UDP origen y destino, protocolo
Listas bsicas y extendidas
Las ACL poseen una identificacin, un punto de aplicacin
(interfaz), y un sentido de aplicacin (in / out).
Son ejecutadas secuencialmente y existe una negacin total
por defecto
Para que se establezca una conexin TCP, se requiere de un
paquete de respuesta con el bit ACK activado (established)
192

193
Ejemplos

HTTP (80)
Puerto origen: >1023(TCP) puerto destino: 80(TCP)

access-list 110 permit tcp any gt 1023 host 200.21.32.32 eq 80
access-list 120 permit tcp host 200.21.32.32 eq 80 any gt 1023 established
TELNET (23)

access-list 110 permit tcp 216.73.68.16 0.0.0.15 gt 1023 host 200.21.32.33 eq 23
access-list 120 permit tcp host 200.21.32.33 eq 23 216.73.68.16 0.0.0.15 gt 1023 established
194
Ejemplos

FTP (21) / FTP DATA (20)
Puerto destino: >1023(TCP) Puerto origen: 20 (TCP)

access-list 120 permit tcp host 200.21.32.33 gt 1023 any eq 21
access-list 120 permit tcp host 200.21.32.33 gt 1023 any eq 20 established

access-list 110 permit tcp any eq 21 host 200.21.32.33 gt 1023 established
access-list 110 permit tcp any eq 20 host 200.21.32.33 gt 1023

DNS (53)
Cons. de Clientes. Puerto origen: >1023 puerto destino: 53(UDP)

access-list 130 permit udp 172.17.25.0 0.0.0.255 gt 1023 host 172.18.25.1 eq 53
access-list 140 permit udp host 172.18.25.1 eq 53 172.17.25.0 0.0.0.255 gt 1023

Consultas entre servidores. Puerto origen: 53(UDP) puerto destino: 53(UDP)
Transferencias de Zonas. Puerto origen: 53(TCP) puerto destino: 53 (TCP)
195
Traduccin de direcciones (NAT) en Enrutadores

Oculta las direcciones de la red interna
Permite que direcciones no enrutables (RFC1918) salgan
a Internet
Traducir una direccin interna en una externa
Traducir un grupo de direcciones internas en una sola
direccin externa
Traducir una pareja de direccin/puerto en otra pareja de
direccin/puerto

196
Traduccin de direcciones (NAT) en Enrutadores
Traducir una direccin interna en una externa

ip nat inside source static 172.16.21.2 200.21.21.21

interface Ethernet0
ip nat inside

interface serial0
ip nat outside

Traducir un grupo de direcciones internas en una sola
direccin externa

ip nat pool ftp_colciencias 200.21.15.25 200.21.15.25 netmask 255.255.255.0
ip nat inside source list 8 pool ftp_colciencias overload

access-list 8 permit 172.17.20.10
access-list 8 permit 172.18.20.20

interface Ethernet0
ip nat inside

interface serial0
ip nat outside
197
Recomendaciones Generales
Desarrolle una poltica de seguridad para los enrutadores
Organice y comente copias offline de los archivos de
configuracin de los enrutadores. Mantenga estas copias
sincronizadas con la configuracin actual corriendo en el
router
Implemente listas de control de acceso que solo permitan
los protocolos, direcciones IP y puertos requeridos por los
servicios. Todo lo dems debe ser negado.
Corra la ltima versin de IOS disponible (GD)
Pruebe la seguridad de los routers regularmente,
especialmente cuando haga cambios importantes en la
configuracin.
198
Recomendaciones Generales (Cont)
Configure el acceso a la consola , al puerto AUX y a las
VTY con login y contrasea
No conecte modems a los puertos auxiliar o de consola
Deshabilite el Telnet y el acceso HTTP
Deshabilite SNMP sino lo necesita
Efecte administracin remota con mecanismos de cifrado
Incluya los routers en las pruebas de vulnerabilidades
199
Recomendaciones especficas
Acceso al Router

Deshabilite servicios no necesarios en el Router
Small Services (Echo, Discard, Chargen, etc):
no service tcp small-servers
no service udp small-servers
Finger: no service finger
BootP: no ip bootp server
HTTP: no ip http server
SNMP: no snmp-server

200
Acceso al Router(Cont)
Si es necesario habilitar la administracin Web:
Central# config t
Enter configuration commands, one per line. End with CNTL/Z.
Central(config)# ! Add web admin users, then turn on http auth
Central(config)# username nzWeb priv 15 password 0 C5-A1rCarg0
Central(config)# ip http auth local
Central(config)# ! Create an IP access list for web access
Central(config)# no access-list 29
Central(config)# access-list 29 permit host 14.2.6.18
Central(config)# access-list 29 permit 14.2.9.0 0.0.0.255
Central(config)# access-list 29 deny any
Central(config)# ! Apply the access list then start the server
Central(config)# ip http access-class 29
Central(config)# ip http server
Central(config)# exit
Central#

201
Si se requiere administracin SNMP:
Use nombres de comunidades difciles de adivinar
Configure los MIB de solo lectura
Permita acceso solo de hosts especficos

! Permita lecturas SNMP de los hosts en el acces-list 10
snmp-server community h4rd2gu3ss ro 10
!
! Lista de acceso para lecturas SNMP
access-list 10 permit host snmp_mgmt_ip
access-list 10 deny any
!
! Envie los traps con el nombre de la comunidad
snmp-server trap-authentication
! Envie todos los traps al host de administracin por la interface interna
snmp-server trap-source Ethernet0
snmp-server host snmp_mgmt_ip h4rd2gu3ss
!
interface Ethernet0
ip access-group 110 in
!
! permita acceso SNMP desde el host de administracin en la interface interna
access-list 110 permit udp host snmp_mgmt_ip host 192.168.0.1 eq snmp

202

Otros servicios que deben ser deshabilitados:
- CDP (Cisco Discovery Protocol)
Para deshabilitarlo en una interfaz:
interface ethernet1
no cdp enable
Para deshabilitarlo en todas la interfaces
no cdp run
- Proxy-ARP
interface Ethernet0
no ip proxy-arp
interface Ethernet1
no ip proxy-arp

203

Otros servicios que deben ser deshabilitados:
- Configuration Auto-loading:
no boot network
no service config
- IP Source Routing: no ip source-route
- IP unreacheables, Redirects, Mask Replies
Central# config t
Central(config)# interface eth 0/0
Central(config-if)# no ip unreachable
Central(config-if)# no ip redirect
Central(config-if)# no ip mask-reply
Central(config-if)# end
Central#

204
Las interfaces no utilizadas deben ser puestas shutdown
Los siguientes comandos deshabilitan la interfaz ethernet3 y
el puerto Aux:
Central(config)# interface eth 3
Central(config-if)# shutdown
Central(config-if)# exit
Central(config)# line aux 0
Central(config-line)# no exec
Central(config-line)# transport input none
Central(config-line)# exit

Evitar ser utilizados como amplificadores en un Smurf
Attack:
Central(config)# interface eth 0/0
Central(config-if)# no ip directed-broadcast

205
Password Protection
service password-encryption
Por default un usuario en mode enable puede ver todos los
passwords del router.
El comando service password-encryption permite encriptar la
mayora de los passwords del router
Aunque este comando tcnicamente encripta los passwords,
solo sirve para ocultar los passwords a simple vista. Los
passwords pueden ser desencriptados fcilmente
enable secret
En IOS, el equivalente de root es el modo Exec el cual es
protegido por el password de enable

206
Existen dos formas de proteger el password de enable:
enable password. Usa el mecanismo trivial de codificacin de
Cisco
enable secret. El cual usa el algoritmo hash MD5 para
encriptar el passsword.

reeb(config)#enable secret s3kr3t
reeb(config)#no enable password
reeb(config)#exit

reeb#sh running-config
Building configuration...

enable secret 5 $1$k2gM$4W2tuuTUqxuRd.LQxsh/v.

207
Asegure el acceso a las terminales virtuales (vty) y al puerto de consola
access-list 99 permit host mgmt_ip
access-list 99 deny any
!
line vty 0 4
access-class 99 in
exec-timeout 5 0
login
password popcornn-04-jj
transport input telnet ssh
!
service password encryption
Para desactivar el Telnet completamente: transport input none

Configuracin paranoica:
access-list 99 deny any (access class para el VTY)
!
line vty 0 4
access-class 99 in
exec-timeout 0 1 (Timeout de la sesion de 1 segundo)
login
transport input none (desactiva el listener)

208
Access Lists

para las siguientes recomendaciones asumiremos que la red
interna de la organizacin tiene los siguientes rangos de
direcciones:
Privada: 172.20.0.0 / 16
pblica: 200.25.12.0 / 24
Direccin de la interfaz Wan (serial0) del Router (conexin a
Internet): 210.54.21.161
Direccin de la interfaz LAN (ethernet0) del Router (Conexin
a la red interna de la organizacin): 200.25.12.1 / 24

209
Access Lists
Niegue el acceso desde Internet a los puertos windows de
cualquier equipo de la red de la organizacin:
access-list 110 deny tcp any any eq 135
access-list 110 deny udp any any eq 135

interface ser0
ip access-group 110 in
Listas Antispoofing
access-list 110 deny ip 200.25.12.0 0.0.0.255 any log

210
Access Lists
Niegue la red con el primer byte en cero, la direccin de
loopback y el host 255.255.255.255:
access-list 110 deny ip host 255.255.255.255 any log
access-list deny ip 127.0.0.0 0.255.255.255 any log

Niegue las direcciones no enrutables (RFC1918)
access-list deny ip 192.168.0.0 0.0.255.255 any log

Niegue Clase D y Clase E:

211
Logging


Un enrutador Cisco tiene varias formas de generar logging:
Logging en consola. Conectados directamente al puerto de
consola
Logging en buffer de memoria. Manteniendo los logs de
memoria en la RAM del enrutador. Circular
Logging de Terminal. Los mensajes son enviados a las terminales
vty
Syslog. Los mensajes de los son enviados a servidores de Syslog
externos
SNMP. Si se encuentra configurado, puede registrar condiciones
especficas en servidores SNMP externos

212
Logging con Syslog.
Para configurar el logging a un servidor externo de syslog, se deben
realizar las siguientes configuraciones en el Router:

router(config)# logging facility local6
router(config)# logging trap errors
router(config)# logging 172.16.1.1

En el servidor de Syslog:
Identifique el archivo de configuracin de Syslog (/etc/syslog.conf)
cuyo formato generalmente es:
facilidad.severidad logfile

Para la configuracion anterior:
local6.errors /var/log/router

Si se requiere hacer log de los hits a una lista de control de acceso:

access-list 110 deny tcp any gt 1023 host 200.21.21.32 eq 23 log

213

Ejemplo completo de configuracin endurecida

214
Seguridad Avanzada con Enrutadores

-Los enrutadores actuales pueden tener caractersticas propias de un Firewall.
- Las nuevas versiones de sistemas operativos de los enrutadores de algunos
fabricantes permiten que los enrutadores puedan ser utilizados como:
- Un Firewall o parte de un FW de Internet
- Un Firewall entre dos redes internas
- Un FW entre la red de la empresa y las redes de partners u oficinas
remotas
- Ejemplo: Enrutadores Cisco con Cisco IOS Firewall Feature
- Entre las caractersticas avanzadas de Cisco IOS Firewall Feature se
encuentran:
- Filtrado de trfico avanzado (CBAC)
- Soporte a servidores de autenticacin
- Gateways de VPN IPSec
- IDS Bsico

215

CBAC (Context Based Access Control)

CBAC no solo examina la informacin de capa de red y capa de transporte,
sino tambin la informacin del protocolo de capa de aplicacin (por ej: FTP)
para aprender sobre el estado de la conexin TCP UDP.

CBAC mantiene informacin de estado de la conexin para cada una de las
conexiones que pasan por el enrutador.

CBAC utiliza la informacin de la sesin TCP o UDP para crear listas de acceso
temporales en el enrutador que permitan el trfico de regreso, as como
conexiones de datos adicioanles para las sesiones que han sido permitidas

Provee deteccin y prevencin de ataques de negacin de servicios.
216
Como trabaja CBAC

217
Parmetros de configuracin de CBAC (Timeouts y umbrales)

218
Parmetros de configuracin de CBAC (Inspeccin del protocolo de
capa de aplicacin)

219
Parmetros de configuracin de CBAC (Inspeccin genrica TCP/UDP)

Se puede configurar la inspeccin de sesiones TCP/UDP incluso aunque el protocolo de
capa de aplicacin no est configurado para ser inspeccionado.

Cualquier protocolo de capa de aplicacin que sea inspeccionado tendr preferencia sobre
la inspeccin del paquete TCP o UDP

Con solo la inspeccin TCP/UDP, los paquetes que entran a la red deben coincidir
exactamente con los paquetes a los que se les permiti salir. (Misma direccin y puertos
pero invertidos)
220
Firewalls

Un Firewall es un componente o conjunto de
componentes que restringen el acceso entre una red
protegida e Internet, o entre otros conjuntos de
redes

221
Firewalls
Clasificacin de acuerdo a la arquitectura

Screening Router
Dual-Homed Gateway Firewall (Anfitrin con doble
acceso)
Screened Host Firewall (Anfitrin Bastin)
Screened Subnet Firewall (Subred de Proteccin)

222
Firewalls
Sreening Router

223
Firewalls
Sreening Router

El Router es configurado para realizar filtrado de paquetes
El Filtrado de paquetes se configura para que permita o niegue el
trfico entre los sistemas internos e Internet y viceversa de acuerdo
a un conjunto de reglas configuradas
Hay conexin directa entre los sistemas de la red interna y la red
externa

224
Firewalls
Dual-Homed Gateway Firewall

225
Firewalls
Dual-Homed Gateway Firewall

Son construidos sobres Hosts con dos interfaces de Red
La funcin de enrutamiento en el host est deshabilitada
Los sistemas detrs del Firewall se pueden comunicar con el dual-
Homed host, los sistemas fuera del Firewall (internet) pueden
comunicarse con el dual-homed host; pero no hay comunicacin
directa entre ellos.
El dual-homed host provee servicios a la red interna a travs de
Proxy o haciendo que lo usuarios inicien sesin en l
Los servicios de Proxy disponibles en el dual-homed host manejan
todas las comunicaciones entre la red interna e Internet (realizan el
reemplazo de conexiones y actan como gateways a los servicios)
Un screening router podra ser colocado para proveer seguridad
adicional

226
Firewalls
Screened Host Firewall

227
Bastin
Red
Externa
Red
Interna
Router

228
Firewalls

En la arquitectura screened-host, los servicios se proveen a travs
de un host con una sola interfaz de red , la cual est conectada a la
red interna. (host bastin)
la seguridad en esta arquitectura es proveda a travs de un
screening router que evita que los usuarios internos se salten el host
bastin para realizar conexiones directas.
El host bastin se ubica en la red interna y el filtrado de paquetes
en el screening router se configura para que el Host bastin sea el
nico host de la red interna que pueda abrir conexiones hacia
Internet
Solo se permiten los servicios requeridos desde y hacia el host
bastin. Cualquier sistema externa que trate de acceder a un servicio
interno deber conectarse al host bastin.l

229
Firewalls
Screened Subnet Firewall

230
Bastin
Red
Externa
Red
Interna
Router
Router
DMZ

231
Firewalls

Adiciona una capa adicional de seguridad a la arquitectura
de screened host por medio de una red de permetro que aisla
la red interna de Internet
Los bastion Host son las mquinas con mayor probabilidad
de ser atacadas. Si el host bastin es comprometido, no hay
ninguna lnea de defensa entre este y el resto de hosts de la
red interna
Aislando el Host bastin de la red interna por medio de una
red de permetro, se puede reducir el impacto en caso de que
el host bastin se vea comprometido.

232
Firewalls
En esta arquitectura el host bastin se conecta en la red de
permetro y es el principal punto de contacto para las
conexiones provenientes de Internet hacia la red interna
Las conexiones de los clientes internos hacia servidores de
Internet se pueden manejar de dos formas:
Configurar el filtrado de paquetes para permitir a los
clientes internos acceder a los servidores externos
directamente
Configurar servidores proxys en el host bastin para que
los clientes internos accedan a los servidores internos
indirectamente (filtrado de paquetes para permitir a los
clientes internos conectarse a los servidores proxys en el
host bastin)

233
Red
interna
Router interior
Internet
Router exterior
Bastion host
Red
perimetral
Web
DNS, Mail
ZONA DESMILITARIZADA
234
Firewalls
Clasificacin de acuerdo a la tecnologa

Packet Filtering Firewall
Application Level gateway
Stateful Inspection Firewall

235
Firewalls
Trabajan en la capa de red del modelo OSI o en la capa IP
del modelo TCP/IP
Permiten o impiden que los paquetes pasen a travs del
Firewall basado en un conjunto de reglas configuradas
Cada paquete es revisado y comparado contra el conjunto
de reglas y de acuerdo al resultado de la comparacin el
firewall puede permitir o negar el trfico
Las reglas pueden incluir direcciones IP fuente y destino,
Puertos TCP/UDP fuente destino, protocolo usado

Packet Filtering Firewalls

236
Firewalls
Packet Filtering Firewalls

237
Firewalls

Proxys de aplicacin que corren en el anfitrin con doble
acceso o anfitrin bastin
Aseguran que la especificacin del protocolo es la correcta
Conexiones entrantes o salientes no pueden acceder
servicios para los cuales no existe un proxy en el anfitrin.
Aplicaciones limitadas.
Debido a que funcionan a nivel de aplicacin, pueden filtrar
comandos especficos de la aplicacin

238
Firewalls

239
Firewalls

Mantiene tablas con el estado de las conexiones establecidas
a travs del Firewall. (Histrico de la conexin)
Utiliza los nmeros de secuencia TCP y los flags TCP para
llevar la historia y saber el estado de la conexin
Para el caso de las conexiones UDP, mantiene una tabla de
conexiones activas usando las direcciones IP y un timeout
Con base en las tablas de conexiones determinan si un
paquete es vlido. Si el paquete hace parte de una conexin
establecida, examina los nmeros de secuencia y los flags.Si
el paquete es el primero de una conexin, crea una entrada e
la tabla para esa conexin
Pueden examinar paquetes a nivel de la capa de aplicacin

240
Firewalls

241
Servicios TCP/UDP que
Deben ser bloqueados en el
Enrutador de frontera y/o Firewall
242
Deben ser bloqueados en el
Desde clientes externos
Deben ser permitidos con
Acceso limitado en el

243
Tipos de mensajes ICMP a permitir
En sentido OutBound en el enrutador
De frontera
Tipos de mensajes ICMP a permitir
En sentido InBound en el enrutador
De frontera
244
Intrusion Detection Systems (IDS)

Sistemas de monitoreo computacional que buscan
seales de la presencia de usuarios no autorizados, o de
usuarios abusando de sus privilegios.

Un IDS es un sistema que monitorea maquinas y/o
redes detectando anomalas, posibles intrusiones o
ataques y en general cualquier forma de uso no
autorizado de los recursos

245
Para que IDS si existen los Firewalls?

Un IDS puede detectar ataques que son indetectables para
un Firewall:

-Ataques por entunelamiento de trfico

- Ataques que explotan vulnerabilidades de los sistemas
operativos y aplicaciones

-Ataques que se originan desde la zona protegida o
segura de la red

246
Clasificacin de los IDS

Clasificacin 1

Deteccin de Firmas.
Deteccin de Anomalas

Clasificacin 2

Host Intrusion Detection Systems (HIDS)
Network Intrusion Detection System (NIDS)

247
NIDS (Network Intrusion Detection System)
Desarrollan un anlisis del trfico que pasa por una
subred.
Trabajan en modo promiscuo y comparan el trfico de la
subred contra una base de datos de firmas de ataques
conocidos
Pueden detectar mapeos de puertos, IP spoofing,
ataques flooding, y en general todo ataque de red
conocido.

248
HIDS (Host Intrusion Detection System)

Solo monitorea los eventos locales del Host protegido
Utiliza parmetros del Host protegido. Monitorea:

Actividades de los usuarios privilegiados
Anomalas en los parmetros vigilados
Actividades de los usuarios privilegiados
Cambios en el sistema de archivos

249
Que puede hacer un IDS

Agregar un mayor grado de seguridad al resto de la
infraestructura
Seguir el rastreo de actividades intrusas desde el punto
de entrada hasta el punto de impacto
Detectar alteraciones al sistema de archivos
Detectaren tiempo real cuando la red o un host est bajo
ataque
Automatizar la bsqueda de firmas de ataques en
Internet

250
Que NO puede hacer un IDS

No son infalibles
No compensan la existencia de mecanismos de
autenticacin no adecuados
No investigan ataques sin intervencin humana
No analizan bien el trfico en redes de alto trfico
Se ven limitados ante trfico cifrado

251
Problemas de los IDS
Generacin de Falsos Positivos. Difcil establecer
Respuesta automtica ante intrusiones.
Fundamentalmente son pasivos.
Se basan en firmas de ataques de conocidos, por tanto
son tan efectivos como la ultima actualizacin de firmas
Los NIDS no pueden analizar trafico cifrado
Dificultad para realizar el anlisis en redes
congestionadas
No indican si el ataque fue exitoso o no
En un HIDS, cuando la maquina cae , tambin cae el
IDS
Los HIDS requieren recursos locales para operar
252
Entre la red y la extranet
En la subred de la DMZ para identificar ataques a estos servers
Entre el Firewall y la red interna para identificar ataques que atraviesen el FW
En la subred de servidores de la Intranet (database, FTP, etc.)
En el segmento de red de los usuarios para identificar ataques desde el
interior
Donde ubicar los IDS
253
Pasos para implementar un IDS.
1. Identifique qu necesita proteger

2. Determine que tipos de sensores requiere

3. Configure de forme segura el host en el que se instalar el IDS

4. Mantenga la base de datos de firmas actualizada

5. Implemente los sensores
254
Escenario No1
Escenario No2
Escenario No3
255
Virtual Private Networks (VPN)
Una Red Privada Virtual es una red que utiliza
infraestructura pblica para transmitir datos en forma
segura.

Una VPN debe asegurar:
Autenticacin
Control de acceso
Confidencialidad de los datos
Integridad de los datos

Tipos de VPN

Intranet
Extranet
Acceso Remoto
256
Protocolos para la creacin de VPN:

PPTP (Point to Point tunneling Protocol)

L2F (Layer-2 Forwarding)

L2TP (Layer-2 Tunneling Protocol)

IPSec (IP Security Protocol)

257
IPSec

Es un conjunto de estndares para integrar en IP
funciones de seguridad basadas en criptografa

Proporciona servicios de seguridad a la capa IP y a
todos los protocolos superiores basados en IP(TCP,
UDP, ICMP)

IPSec permite a un Host o a un gateway de
seguridad , encriptar autenticar cada paquete IP, o
realizar ambas operaciones a los paquetes.

258
Proporciona confidencialidad, integridad y autenticidad de
datagramas IP combinando tecnologa de clave
publica(RSA), Algoritmos de cifrado (DES, 3DES,IDEA,
AES,Blowfish), algoritmos de hash(MD5, SHA-1) y
Certificados Digitales X.509v3
IPSec

259
Componentes de IPSEC

Dos protocolos de seguridad que proporcionan
mecanismos de seguridad para proteger trfico IP:

IP Authentication Header (AH)
IP Encapsulating Security Payload (ESP)

Un protocolo de gestin de claves (Internet Key
Exchange IKE) que permite a dos nodos negociar las
claves y todos los parmetros necesarios para
establecer una conexin AH o ESP

260
El Protocolo AH

El protocolo AH es el procedimiento previsto para
asegurar la integridad y la autenticacin de los
datagramas IP.

No proporciona ninguna garanta de confidencialidad.
Los datos enviado podran ser vistos por terceros.

Consiste en una cabecera de autenticacin que se
inserta entre la cabecera IP estndar y los datos
transportados (TCP, UDP, ICMP o Incluso un datagrama IP
completo)

Numero de protocolo: 51

261
262
El Protocolo AH

AH asegura la integridad y autenticidad de los datos
transportados y de la cabecera IP, excepto de los campos
variables: TOS, TTL, Flags, Offset y Checksum.

El funcionamiento de AH se basa en un algoritmo HMAC
el cual aplica una funcin Hash a la combinacin de unos
datos de entrada ( datos transportados y cabecera IP) y
una clave y produce como salida un extracto. Este
extracto es como una huella personal asociado a los
datos y a quien los ha generado, pues es el nico que
conoce la llave.

263
El Protocolo AH
264
El Protocolo ESP

El objetivo del protocolo ESP es proporcionar
confidencialidad. Para esto especifica el modo de encriptar
los datos que se desean enviar y como incluir estos datos
cifrados en el datagrama IP.

Adicionalmente se pueden ofrecer los servicios de
integridad y autenticacin del origen de los datos
incorporando un mecanismo similar al de AH.

El formato de ESP consiste en una cabecera y una cola
que rodean los datos transportados. Estos datos pueden
ser cualquier protocolo IP (TCP, UDP, ICMP o incluso un
datagrama IP completo).

Numero de protocolo : 50

265
266
El Protocolo ESP

La funcin de cifrado del protocolo ESP es desempeada
por un algoritmo de criptografa simtrica. Tpicamente se
usan algoritmos de cifrado en bloque, por lo que la
longitud de los datos a cifrar tiene que ser un mltiplo del
tamao del bloque (generalmente 8 o 16 Bytes).

Campo de relleno. Tiene como funcin adicional aadir
caracteres de relleno al campo de datos para ocultar su
longitud real y por tanto las caractersticas del trafico

267
El Protocolo ESP
268
Modos de Funcionamiento de IPSec

Tanto AH como ESP pueden trabajar en dos modos: Modo
de transporte y modo de tnel.

Modo de transporte

En este modo el contenido transportado dentro del
datagrama AH o ESP son datos de la capa de transporte
Por tanto la cabecera IPSec se inserta a continuacin de la
cabecera IP y antes de los datos de los niveles superiores
que se desean proteger

Asegura la comunicacin extremo a extremo. Requiere
que ambos extremos entiendan el protocolo Ipsec.

269
Modo de tnel
En este modo el contenido del datagrama AH o ESP es
un datagrama IP completo, incluida la cabecera IP original.
Al datagrama IP se le aade inicialmente una cabecera
AH o ESP y posteriormente se le aade otra cabecera IP
que es la que se utiliza para encaminar los paquetes a
travs de la red
Este modo se utiliza normalmente cuando el destino final
de los datos no coincide con el dispositivo que realiza las
funciones de IPSec
Es til cuando se utiliza en conjunto con ESP para ocultar
la identidad de los nodos que se estn comunicando
Es utilizado por las Gateway IPSec para establecer redes
privadas virtuales LAN to LAN.

270
Modos de Funcionamiento de IPSec
271
IKE: El Protocolo de Control

Asociacin de seguridad (SA): Es un canal de
comunicacin unidireccional que conecta dos nodos,
a travs del cual fluyen los datagramas IPSec

Una comunicacin IPSec se compone de dos SA,
uno por cada sentido de la comunicacin
272
Ambos extremos de un SA deben tener conocimiento de
las claves, as como del resto de parmetros que necesitan
para enviar y recibir datagramas AH o ESP. Igualmente
deben estar de acuerdo en los algoritmos criptogrficos a
utilizar as como en los parmetros de control.
Esta operacin se puede hacer mediante una
configuracin manual o mediante un protocolo de control
que se encargue de la negociacin automtica de los
parmetros requeridos IKE
Una SA es identificada por un numero generado
aleatoriamente llamado el security parameter index(SPI) y
por la direccin IP del destino
273
IKE realiza la funcin de gestin automtica de claves
como el establecimiento de las SA correspondientes
El objetivo principal de IKE consiste en establecer una
conexin cifrada y autenticada entre dos entidades, a
travs de la cual se negocian los parmetros necesarios
para establecer una asociacin de seguridad IPSec.
Dos fases:
Fase 1: Ambos nodos establecen un canal seguro y
autenticado
Fase2: El canal seguro IKE es usado para establecer los
parmetros de seguridad especficos asociados a IPSec
274
Fase 1: establecimiento del canal seguro y
autenticado
Autenticado:

Es necesario garantizar la identidad de los nodos que van
a establecer las asociaciones de seguridad, por tanto cada
nodo debe autenticarse ante el otro.
Conocimiento de un secreto compartido. Mediante el uso
de funciones hash cada extremo demuestra al otro que
conoce el secreto sin revelar su valor.
Certificados digitales x.509v3

275
Fase 1: establecimiento del canal seguro y
autenticado
Seguro:

Ambas partes deben compartir una llave de sesin para
poder encriptar el tnel IKE. Esta llave se obtiene
mediante el protocolo de intercambio de claves de Diffie-
Hellman

276
Fase 2: Establecimiento de los parmetros de
seguridad especficos asociados a IPSec

Durante esta fase se negocian las caractersticas de la
conexin AH o ESP
El equipo que ha iniciado la comunicacin ofrecer todas
las posibles opciones que tenga configuradas en su poltica
de seguridad y con la prioridad que se hayan configurado
El sistema receptor aceptar la primera que coincida con
los parmetros de seguridad que tenga definidos
277
278
279
280
Servicios de Seguridad ofrecidos por IPSec
Integridad y autenticacin del origen de los datos
Confidencialidad
Deteccin de repeticiones
Control de acceso: autenticacin y autorizacin
No repudio

281
VPN SSL
Una VPN SSL hace uso de la tecnologa de SSl y de
Proxies para proveer acceso autorizado y seguro a
aplicaciones Web, cliente servidor y comparticin de
archivos.

282
VPN SSL Requerimientos

- Acceso por medio de proxies y conversin de protocolos

Business Partner
Mobile Worker
Teleworker
SSL VPN
Gateway
Web-based
Applications
Users SSL
Session to
Gateway
HTTP
Internet
Authentication
Server
HTTPS
HTTPS
Usuario Final SSL VPN Gateway
SSL VPN Gateway Recursos HTTP(S)
283
VPN SSL

284
IPSec o SSL VPNs?

Casos donde gana
SSL
Casos donde gana
IPSec
-Aplicaciones basadas
en HTTP
- No se puede o no se
quiere tocar los clientes
inalmbricos
- Conexiones Site to Site
285
SSL VPNs

Consideraciones

Seguridad del cliente
Escaneo de seguridad del cliente
SandBox
Secure Logoff

286
L2TP. VPN de Acceso Remoto

Introduccin
-Un usuario remoto tpicamente establece una conexin L2
con un servidor de acceso (NAS) usando diferentes
mecanismos como por ejemplo dial-up POTS, ISDN, ADSL,
etc. Seguidamente corre PPP sobre esa conexin.

- En esta configuracin , el punto de terminacin L2 y el
punto de terminacin de la sesin PPP residen en el mismo
dispositivo fsico (por ejemplo el NAS)
287

Introduccin
-L2TP extiende el mecanismo PPP , permitiendo que el
punto final de la conexin L2 y el punto final de la sesin
PPP residan en dispositivos diferentes conectados por una
red de conmutacin de paquetes.

- Con L2TP, un usuario tiene una conexin L2 con un
servidor de acceso(por ejemplo un banco de mdems).
Este concentrador encapsula las tramas PPP a un NAS.
Esto permite que el procesamiento PPP sea separado de la
terminacin del circuito L2.
288
Generalidades
Es un protocolo tutelado por la IETF que se basa en las
mejores caractersticas de los protocolos de tunneling
anteriores: L2F y PPTP
L2TP permite el entunelamiento de sesiones PPP desde
un Concentrador de acceso L2TP (LAC) hasta un servidor
de red L2TP (LNS)
La principal funcionalidad de L2TP es el encapsulamiento
de tramas PPP en paquetes UDP, y estos a su vez en en
datagramas IP de tal forma que la sesin PPP pueda ser
extendida sobre una red de rea amplia
L2TP no solo corre sobre IP . Tambin funciona con otros
protocolos como ATM
289

L2TP Access Concentrator(LAC)

Es un nodo que acta como uno de los extremos de
un tnel L2TP. Esta ubicado entre el usuario remoto y
el LNS reenviado paquetes de uno hacia el otro.Los
paquetes enviados entre el LAC y el LNS utilizan el
entunelamiento L2TP. La conexin entre el usuario
remoto y el LAC es local o a travs de PPP.
290

L2TP Network Server (LNS)

Es el otro extremo del tnel L2TP. Es el punto de
terminacin lgica de una sesin PPP que esta siendo
encapsulada desde el usuario remoto a travs del
LAC
Realiza las tareas de AAA
Asigna las direcciones IP
Ruteo
291
L2TP Compulsory Tunnel Model
1. El usuario remoto inicia una conexin PPP a un ISP
2. El ISP acepta la conexin y se establece el enlace PPP
3. El ISP lleva a cabo una autenticacin parcial para aprender el
username
4. La base de datos mantenida por el ISP relaciona al usuario
con un LNS
292
L2TP Compulsory Tunnel Model
5. El LAC inicia un tnel L2TP con el LNS
6. Si el LNS acepta la conexin , el LAC encapsula las tramas PPP con
L2TP y las enva por el tunel apropiado
7. El LNS acepta las tramas, quita L2TP y las acepta como tramas PPP
normales
8. El LNS usa la autenticacin PPP para validar al usuario y asigna la
direccin IP
293
294
L2TP Voluntary Tunnel Model
1. El usuario remoto tiene una conexin preestablecida con un ISP
2. El cliente L2TP (LAC) inicia el tnel L2TP hacia el LNS
3. Si el LNS acepta la conexin, el LAC encapsula PPP y L2TP y los enva
por el tnel
4. LNA acepta estas tramas, quita L2TP y las procesa como tramas
normales PPP
5. LNS usa la autenticacin PPP para autenticar al usuario y asigna la
direccin IP
295
VPN de Acceso Remoto con IPSec / L2TP

Ipsec es uno de los mejores mtodos para crear un tnel autenticado y
encriptado, pero de otra parte el estndar IPSec no especifica un mtodo para
proveer al usuario una configuracin IP interna ni un mtodo para autenticar
mas que al computador que el usuario esta usando para la conexin

El usuario se conecta a la Internet a travs de un ISP y luego inicia un tnel
IPSec a su gateway VPN corporativo. Este Tnel Ipsec lo establece ejecutando
un programa de software para conectarse a su gateway remoto desde su PC
despus de haberse conectado a su ISP regional va PPP.

La conexin IPSec consta de tres tneles: El tnel de administracin (Tnel
IKE) y dos tneles IpSec(SA). El tnel de administracin es usado para
autenticar los puntos finales de la conexin y para establecer las claves y los
parmetros necesarios para establecer las SA Ipsec.

296

Que falta en IPSec para establecer VPNs de acceso
remoto ?
Escenario de conexin IPSec:
-El usuario marca a su ISP y obtiene una direccin IP del
espacio de direcciones del proveedor
-El usuario se conecta a su Gateway VPN y autentica la
conexin. Esta autenticacin puede realizarse por medio
de llaves pre-compartidas o por medio del uso de
certificados digitales
-La llave pre-compartida o el certificado se almacena en el
laptop, por tanto se est autenticando al laptop no al
usuario.

297

Que falta en IPSec para establecer VPNs de acceso
remoto ?

Es necesario contar con un mtodo que nos permita
autenticar al usuario que se est sentado en el laptop
conectndose al gateway VPN
Es necesario contar con un mtodo que permita al cliente
VPN obtener una configuracin IP interna (Dir IP, DNS,
Wins, etc)

L2TP / IPSec
298

L2TP es simplemente el encapsulamiento de tramas PPP en
paquetes IP
El uso de IPSec en tales datagramas IP provee una
solucin completa para VPNs de acceso remoto

-Autenticacin del usuario
-Asignacin de direcciones IP
-Autenticacin y encripcin de los paquetes IP
299
En L2TP el protocolo (tpicamente ppp) es encapsulado a
travs de IP hasta el gateway corporativo del usuario quien
es el que le asigna la configuracin IP despus de haber
validado al usuario.
Esto sucede a travs del tnel L2TP. IP solo es usado como
medio de transporte de las tramas nivel 2, las cuales van
en claro.
Si encapsulamos sobre IPSec la conexin nivel 3 usada para
transportar a travs de Internet las tramas nivel 2
tuneladas hasta el LNS, habremos autenticado y encriptado
la informacin l2TP y por tanto habremos resuelto el
problema de autenticar el usuario y entregarle una
configuracin IP.
300
Seguridad en la Red LAN
Seguridad en Switches
1. Quien eres? El Standard 802.1x se encarga
de la autenticacin de usuarios
2. Estas saludable? El switch verifica si el equipo
cumple con las polticas de seguridad
a nivel de antivirus, Fw personal. etc
3. Donde puedes ir ? Basado en la
autenticacin el switch coloca el usuario
en la Vlan o grupo de trabajo adecuado
4. Que nivel de servicio recibes? El usuario
puede ser colocado en una VPN o darle una
Qos especfica
5. Que ests haciendo? Seguimiento y
contabilidad de las actividades del usuario
301
Secuencia de eventos
Workgroup
Switches
Data Center
Switch
Critical
Resources
End stations
Radius
Server
Client Integrity
Server
Client Integrity
Agent
1
Usuario se autentica utilizando 802.1x (autenticador es el workgroup switch)
Mensaje de autenticacin incluye usuario y password
Mensaje de autenticacin incluye informacin de host integrity
802.1x
2
Pedido de autenticacin alcanza el servidor de autenticacin proxy
Chequeo de host integrity (chequeo est OK)
Reenva informacin de autenticacin al RADIUS
3
RADIUS autentica y enva la informacin de VLAN
4
Autorizacin es enviada al switch
Usuario es puesto en VLAN
Host es monitoreado
Si el Host Integrity no est OK, el usuario
es puesto en una VLAN de cuarentena
Seguridad en la Red LAN
Seguridad en Switches
302
Seguridad en redes inalmbricas 802.11
Las redes Wireless simplifican el acceso a la informacin y
facilitan la comunicacin sin la necesidad de tener montada una
infraestructura de red fsica

Mejoran la productividad y posibilita la reduccin de costos

Cada vez hay mayor penetracin de estas redes. Redes caseras,
redes empresariales

Pros: Mayor movilidad, conectividad y cobertura. fcil
instalacin y bajo costo

Contras: Deficiencias en seguridad

303
Riesgos de seguridad

- Cualquier persona ubicada en el rango de cobertura es un intruso
potencial

304

- Un intruso podra colocar un punto de acceso hstil y engaar
al usuario para que se conecte a su red.
305
- Si la informacin que viaja por la red inalmbrica no es protegida
utilizando mecanismos de encripcin, sta puede ser fcilmente
obtenida por un intruso haciendo sniffing en la red inalmbrica.

- 802.11 no direcciona la autenticacin de usuarios. Cualquier persona
con un equipo porttil y un adaptador inalmbrico podra tener
conectividad a la red sin necesidad de autenticarse.
306
307
Estndares
308
Mecanismos de seguridad en redes inalmbricas 802.11

- CNAC (Closed Network Access Control). Utiliza el nombre SSID (Server Set ID) de
la red como contrasea para acceder a la red
En algunas implementaciones los access points se configuran para hacer broadcast
del SSID. Cuando esto ocurre, cualquier dispositivo inalmbrico que no tenga ningn
SSID configurado, podr recibir el SSID y acceder el acces point.

Los usuarios normalmente configuran su cliente inalmbrico, por tanto el SSID ser
un nmero ampliamente conocido por muchos y por tanto pierde su funcionalidad de
password.

El SSID viaja en claro y por tanto puede ser capturado por un intruso haciendo
sniffing.
309

- MAC ACL. Permite utilizar una lista de MACs de las tarjetas de los clientes para
limitar el acceso a la red
Haciendo sniffing, un atacante puede capturar las direcciones MAC de los dispositivos
inalmbricos que tienen el acceso permitido a la red. Posteriormente puede configurar
su tarjeta de red inalmbrica con una de estas direcciones Mac para ganar acceso a la
red
-WEP. Wired Equivalence Privacy fu diseado para proveer encripcin y
autenticacin como parte del estndar 802.11. WEP utiliza el algoritmo de encripcin
de clave simtrica RC4. Con WEP todos los clientes y los access points en una red
inalmbrica utilizan tpicamente la misma llave para encriptar y desencriptar la
informacin. Esta llave reside en cada computador cliente y en cada Access Point de
la red
Se ha demostrado que la encripcin WEP es fcilmente vulnerable a ataques. Existen
herramientas como AirSnort disponibles pblicamente, las cuales son capaces de
obtener en pocos segundos las llaves WEP utilizadas en una red inalmbrica,
capturando mediante sniffing una determinada cantidad de trfico de la red
310

311
Mtodos de autenticacin en 802.11

Open system authentication
Shared key authentication
312
WEP

313
Estndar 802.11i para redes inalmbricas

-Como consecuencia de las debilidades que presenta el protocolo WEP, naci el
comit 802.11i. 802.11i es el nuevo estndar de seguridad para redes inalmbricas
desarrollado por la IEEE para corregir las debilidades de seguridad presentes en
802.11

802.11i puede ser dividida en dos capas; en la capa inferior se encuentran los
algoritmos de cifrado como TKIP (Temporal Key Integrity Protocol), basado en RC4
y CCMP (Counter mode with CBC-MAC Protocol) basado en AES; y en la capa
superior se encuentran los mecanismos de autenticacin como 802.1X
- 802.1X Es un protocolo estndar de autenticacin en red, basado en puerto, que se
aplica tanto a redes tradicionales como inalmbricas

- 802.1X restringe el acceso a los servicios de una red, hasta ser autenticado en la
misma

- 802.1x puede proveer llaves de encripcin dinmicas por usuario, evitando el uso de
las llaves estticas manualmente configuradas que utiliza WEP y por tanto
estableciendo un ambiente mucho ms seguro y administrable
314
802.1x

802.1X Introduce tres roles: el cliente que accede a la red, el autenticador que
realiza el proceso de autenticacin habitualmente el punto de acceso, y el
servidor de autenticacin que mantiene un repositorio de usuarios,
habitualmente un servidor Radius
315
802.11i: WPA y WPA2

-WPA: 802.1X y TKIP

-WPA2 (802.11i): 802.1X y AES

316
802.11i: WPA y WPA2

317
802.11i: WPA y WPA2

WEP WPA WPA2
Autenticacin
Open or Shared Key
802.1x (EAP) or preshared
key
802.1x (EAP) or preshared
key
Encripcin
WEP (RC4) llaves estticas
40 bits
TKIP (RC4) dinmicas por
paquete 128 bits
CCMP. AES en Counter
Mode
Integridad
CRC Michael MIC CCMP. AES CBC-MAC
318
Arquitectura de seguridad en una red corporativa
319
320
321
322
323
Proteccin contra cdigos malignos
Dentro de la seguridad informtica, la problemtica del malware
es aquella a la que las empresas prestan mayor atencin.
Fuente: IDC, Enterprise security survey, 2005
324
Un virus puro tiene como su caracterstica ms importante la
capacidad de replicarse a lugares diferentes al que se encontraba
originalmente de forma transparente al usuario ( infeccin ).
Un troyano es un programa maligno que se oculta en un programa
legtimo y que produce sus efectos malignos al ejecutarse este
ltimo. No tiene la caracterstica de autoreproduccin
Un gusano (worm) es un programa cuya finalidad es propagarse
en forma masiva, generalmente aprovechando vulnerabilidades en
los sistemas, y saturar los recursos de las maquinas.
Spyware. Software a menudo instalado como parte de otro
programa, el cual colecta informacin sobre el usuario, el
computador o los datos en el sistema y los enva a otra persona u
organizacin a travs de Internet
325
Spyware
Spyware es software que registra el comportamiento del usuario y enva
informacin a una tercera parte para propsitos ilcitos.
Ejemplos incluyen Adware, Keyloggers, Data collectors
Puede llegar por varios canales: Web brwsing, email , IM, peer to peer
networks
A diferencia de otro tipo de malware como los virus, el spyware es creado
con propsitos especficos tales como mercadeo, robo de identidad, fraude
financiero, robo de propiedad intelectual, etc
326
Los riesgos del Spyware
327
Como se debe encarar la proteccin antivirus en las
actuales redes?
Las puertas de entradas de virus a una red corporativa son
mltiples. ( conexiones remotas, internet, diversidad de
sistemas operativos y aplicaciones, email, medios
magnticos, etc)
La estrategia de proteccin debe asegurarse de cubrir todas
las posibles puertas de entradas de virus. (Gateway de
correo, gateway de Internet, medios magnticos, etc)
La proteccin antivirus debe ser administrable en forma
centralizada. (Actualizaciones, polticas, desinfecciones, etc)
Cultura de los usuarios finales
328
329
Evaluacin de Vulnerabilidades (VA)
Si tenemos Firewall e IDS, como los intrusos continan
penetrando exitosamente en las redes?
Los Firewalls y los IDS no pueden garantizar la seguridad
de la red en un 100%
El anlisis de vulnerabilidades permite a las
organizaciones identificar las vulnerabilidades presentes en
sus sistemas antes de que estas sean descubiertas y
explotadas por intrusos
IDS Reactivo / VA Proactivo
Dos tcnicas para realizar el anlisis: Anlisis Intrusivo Vs
Anlisis No Intrusivo

99% de las intrusiones en redes se realizan explotando errores
de configuracin o vulnerabilidades conocidas para las cuales
existen soluciones o contramedidas. CERT
330
Firewalls / IDS / VA
Descripcin Limitacin cuando es usado solo
Firewall Restringen el acceso entre un conjunto de
redes. Asegura las comunicaciones entre
los servidores de la Organizacin y la red
externa de acuerdo a la poltica de
seguridad configurada.

Generalmente configurados para permitir
HTTP, FTP y SMTP, a menudo los ms
utilizados para explotar vulnerabilidades.
IDS Notifica sobre posibles intrusiones o
ataques con base en comparacin del
trfico de la red con una base de datos de
firmas de ataques conocidos o con base
en la deteccin de trfico fuera de los
parmetros conocidos

No informa sobre la existencia de
vulnerabilidades antes de que sean explotadas.
Muy propenso a falsos positivos y falsos
negativos
VA Identifica vulnerabilidades antes de que
sean explotadas, escaneando dispositivos
de red y hosts en busca de
vulnerabilidades conocidas y prove
informacin para la correcin de la
vulnerabilidades identificadas.

No informa cuando una intrusin es llevada a
cabo.
331
VA permite:
Identificar vulnerabilidades y errores en la configuracin
Provee soluciones para las vulnerabilidades encontradas
valida las configuraciones de Firewall e IDS

VA debe realizarse en las siguientes situaciones:
Un nuevo dispositivo es incorporado a la RED
Un dispositivo de red existente es reconfigurado
Un software es instalado o reconfigurado
Con una periodicidad establecida
332
Metodologa para realizar VA
333
VA basado en Red
Escanea dispositivos como Routers, Firewalls, Servidores,
switches, en busca de vulnerabilidades que puedan ser
explotas remotamente
Simula la perspectiva de un intruso por la Red
Realiza el descubrimiento de todos los dispositivos
presentes en un segmento de red, identificando gateways
de acceso, firewalls, sistemas operativos, nombres de
mquinas, puertos abiertos, servicios prestados, etc.

334
VA basado en Red
335
VA basado en Host
permite identificar debilidades de seguridad que no son
detectadas por un anlisis de vulnerabilidades a nivel de
red .
Simula la perspectiva de un usuario con una sesin
interactiva en el sistema.
Detecta actividades riesgosas de los usuarios
Fallas en las configuraciones de los sistemas operativos y
servicios prestados en el Host
Identifica Configuraciones de Hosts que no cumplen con
la polticas de seguridad. (Ej : permisos del sistema
archivo)

336
VA basado en Host
337
Existen dos aproximaciones para el desarrollos de VA:

1. VA basadas en productos.
Se basan en productos instalados en la red de la
Organizacin. ( Nmap, Nessus, Internet scanner, Retina,
etc)
Son realizadas por personal interno de la Organizacin
Debilidad: Fallan en entregar el punto de vista externo
de seguridad de la red. En que segmento de red instalo
el escner ?
338
2. VA basadas en Servicios
Son ofrecidas por terceras partes y los anlisis de
vulnerabilidades son desarrollados desde hosts
externos. (QualysGuard, SecuritySpace, etc)
No requieren instalaciones de software ni
configuraciones especiales
Identifica los dispositivos de la red de la organizacin
que son visibles desde Internet. ( DNS Zones Transfers,
FQDN Brute Force, Paquetes ICMP, entre otros)
Simulan el punto de vista de un hacker cuando trata de
accesder a la red y su permetro

339
SGSI (Sistemas de Gestin de Seguridad de la Inf)
Un SGSI consiste en un enfoque metodolgico para administrar y proteger
los activos de informacin de la organizacin. Su mbito de aplicacin
incluye el personal, los procesos y los sistemas informticos
ISO27001 es la norma que provee un modelo de SGSI que incluye los
controles de seguridad (134) necesarios para proteger los activos de
informacin.
340
La norma ISO27001 establece las especificaciones o requerimientos que
debe cumplir un sistema de gestin de seguridad de la informacin, es decir ,
lo que se certifica es que la empresa u organizacin tiene implementado un
SGSI y que este es planeado, operado y mejorado de acuerdo con los
requerimiento de la norma
341
La implementacin del sistema de seguridad de la informacin, debe seguir el mismo
ciclo que la implementacin de un sistema de gestin de calidad: PHVM (Planear, hacer,
verificar y mejorar) o PDCA por sus siglas en ingls (Plan, do, check, act).
Definir el alcance
Definir la poltica
Identificar y evaluar riesgos
Identificar y evaluar opciones para
el plan de tratamiento de riesgos
Seleccionar los controles de seguridad
que aplican a la organizacin
Formular el plan de implantacin
de controles
Aplicar plan de implantacin de
controles. Implementar los controles
seleccionados
Implementar el entrenamiento y el
programa de concientizacin
Administrar la operacin y los
recursos
Ejecutar los procedimientos
de monitoreo
Realizar regularmente
revisiones efectivas
Revisar el nivel de riesgo
residual y riesgo aceptable
Llevar acabo auditoria
internas de seguridad
Registrar todos los eventos
que tengan algn efecto de
desempeo del SGSI
(Sistema de gestin de
seguridad de la informacin)
Implementar las mejoras
identificadas
Tomar acciones preventivas y
correctivas
Comunicar resultados a las
reas de inters
Asegurar que las mejoras
cumplen con los objetivos
fijados.
342
El conjunto de polticas, controles y procedimientos de seguridad para establecer un
SGSI, deberan estar alineados con el estndar ISO17799:2005 que se compone de
los siguientes 11 dominios:
343
Un SGSI tiene tres dimensiones:

Alcance. Nmero de procesos a ser cubiertos por el
proceso de gestin.

Relacin de controles a implementar.

Grado de fortaleza de cada uno de los controles.
344
345
346
347
Security Awareness
El tringulo perfecto:
Polticas de seguridad
Tecnologa de seguridad
Programa de concientizacin en seguridad

Las directivas con respecto a la seguridad de la informacin quedan
consignadas en la poltica de seguridad
Los procedimientos, estndares y lneas guas son desarrollados para
soportar esta directivas

Sin embargo..

Estas directivas no sern efectivas si nadie conoce acerca de ellas ni de cmo la
empresa espera que sean implementadas
Tres diferentes audiencias:
Directivos
Staff
Personal tcico
348
Security Awareness
349
Security Awareness
El programa de concientizacin debera incluir al menos los siguientes temas:

- Polticas de seguridad.
- Contraseas. Manejo, seleccin.
- Bloqueo de equipos y proteccin de pantallas
- Uso empresarial del e-mail. Archivos adjuntos
- Uso empresarial del Internet. Tipo de navegacin no permitida
- Cdigo malicioso. (Virus-gusanos-troyanos-spyware)
- Phishing
- Piratera de software
- Auditorias y bitcoras de registro
- Manejo de informacin confidencial
- Esquema de clasificacin de la informacin
- Dumpster Diving (Disposal policy) , shoulder sourfing
- Ingeniera social. Factor humano, manejo de solicitudes sospechosas
- Reporte de incidentes de seguridad

350
Security Awareness
351
Security Awareness
352
Ingeniera social
Obteniendo informacin mediante el engao
Cuando los empleados confiados son engaados, influenciados o
manipulados para que revelen informacin sensitiva, o realicen una
accin para crear un hueco de seguridad para ser aprovechado por
el atacante, ninguna tecnologa en el mundo puede proteger el
negocio.
Kevin Mitnik, The art of deception
Los ingenieros sociales saben como explotar nuestro deseo de
ayudar y ser un buen jugador en equipo..Es importante entender
este concepto sencillo, de esta forma Usted tendr ms
posibilidades de reconocer cuando otro trate de manipularlo
353
Definiendo Ingeniera social
Cualquier intento, exitoso o no, de influenciar una persona para que
revele informacin o acte de una manera que podra resultar en un
acceso o uso no autorizado de un sistema de informacin, dato o red.
Por que funciona?
+ Naturaleza humana
+Ambiente de las empresas y negocios

Tres categoras de ataque?
+ Ego attacks
+ Sympathy attacks
+ Intimation attacks

354
Fases de un ataque de Ingeniera social
Determinar la organizacin objetivo.
Determinar la estrategia para obtener informacin
Obtener tanta informacin de la empresa como sea
Posible.
Informacin en el sitio web, directorios telefnicos y de email
Buscar en la basura
Objetivos:
- organigrama
- datos nicos: Actualizacin reciente de
un sistema de informacin
- Conocer terminologa y procedimientos
propios de la empresa
Help desk
Asistententes administrativos
Gerentes
Hacerse pasar por otra persona:
Pedir ayuda
Ordenar algo
Con la informacin recolectada en las fases anetriores,
puede
Llevar algunos de los tres tipos de ataques: ego,
intimidacion,
simpata
Determinar el objetivo
Obtencin de informacin
(Intelligence gathering)
Seleccin de la vctima
El ataque
355
Un ejemplo tpico de Ingeniera Social

Que Gloria es la gerente de soporte tcnico
Que Pedro es uno de los ingenieros de soporte (Su jefe es Gloria)
Que hace un mes hicieron una actualizacin en la red..(y cosa rara) tuvieron
muchos problemas.

+ Previo al ataque final, el atacante ha averiguado:

- Muy buenas tardes habla Pedro de soporte tcnico. Es Usted el Sr
Guzmn?
- Hola pedro, si soy yo. Donde me dijiste que ests?
- Trabajo en soporte tcnico, mi jefe es la Ing. Gloria. Debido a la
actualizacin de la red que tendremos el fin de semana, estoy coordinando
con gerentes y directores para minimizar los problemas
- Que? Que tendrn una actualizacin en la red el fin de semana!!! Y a quin
$%$*?@? le avisaron ?????
-La Ing Gloria me coment que en el ltimo comit de sistemas se haba
tocado el punto
- mmmprobablemente, pero nunca me avisaron
- Seguramente estar Ud preocupado de que no vuelvan a suceder los
problemas de hace un mes
- Exactamente !!!

+ A las 5:45pm de un viernes, el atacante llama al gerente
elegido :

Tomado de Charla: Ingenieria social, obteniendo informacion mediante el engao. LatinCACS 2006 Monterrey-Mexico- Ulises Castillo
356
Un ejemplo tpico de Ingeniera Social

- Bueno, esta vez estamos implementando controles adicionales. De hecho
por sugerencia de algunos directores, para los empleados que deseen que
probemos sus cuentas lo estaremos haciendo el domingo en la tarde, con tal
de asegurar que puedan ingresar a todas sus aplicaciones. De todas formas,
el lunes estaremos en el Helpdesk desde la 7am por si alguien necesita
ayuda.
- mmmmeso de probar las cuentas me gusta, pero.
- Claro, los usuarios que nos dan la contrasea, DEBEN CAMBIARLA EL
LUNES A PRIMERA HORA; SIN EXCEPCION.
- Listo! Eso me gusta. MI contrasea es mijuniordelalma todo en minscula.
- Prefecto. Ya ver que el lunes no tendr ningn problema. Buen fin de
semana.

Tomado de Charla: Ingenieria social, obteniendo informacion mediante el engao. LatinCACS 2006- Ulises Castillo
357
Proteccin contra ataques de Ingeniera Social
La Ingeniera social se concentra en el eslabn ms dbil de la cadena
de seguridad y en la ms esencial: Las personas

El problema es que los controles lgicos y prcticamente ningn tipo de
dispositivo de seguridad es efectivo contra un ataque de ingeniera social

- Politicas
- Concientizacin
- Educacin.
Que nos queda?
Sugerencias
Reconocimiento
Pruebe Usted mismo
Aplique tecnologa cuando sea posible
Rastree llamadas si es posible
Buena seguridad fsica
Marque los documentos sensibles de acuerdo con el esquema de
clasificacin

358
Ethical Hacking
Objetivos

Entender una de las metodologas de ataque ms comn en
Internet con el fin de implantar medidas efectivas
Conocer a travs de su instalacin y uso algunas de las
herramientas usadas por los hackers
Definir mecanismos de defensa ante estas herramientas
359
Ethical Hacking - Reconocimiento
Si un atacante toma como objetivo nuestra red, recopilar tanta
informacin como le sea posible.
Reconocimiento pasivo
Recopilacin de informacin a travs de mtodos no intrusivos
Visitas en sitio
Obtener informacin de fuentes pblicas
Informacin general
Sistemas operacionales
Direcciones IP
Cualquier cosa que se pueda encontrar

360
Ethical Hacking Reconocimiento
Algunas Herramientas..
Whois
Cuando se registra informacin en un dominio se debe proveer
informacin general:
Direccin
Nmero telefnico
Contactos
Servidores de nombre autoritativos (DNS)

Los tres primeros son usados para ingeniera social. El ltimo sirve
para ataques tcnicos.
361
Herramientas y sitios Web para Whois
Windows Unix
Sam Spade
Netscan Tools Pro
Whois (Nativo en Unix)
http://www.arin.net
http://www.lacnic.net
http://www.ripe.net
http://www.internic.net/whois
362
Interrogacin de DNS
Mediante una transferencia de los registros de un servidor DNS, un
atacante puede obtener toda la informacin IP sobre un dominio.
Comando NSLookup
Server Servidor autoritativo
Set q=any
Ls d dominio_objetivo
Defendindose de Nslookup
No permita transferencia de zonas
Split-split DNS y solo proveer informacin de los sitios accesibles
desde Internet.
363
Ethical Hacking Explorando los sistemas
Reconocimiento activo
Probar los sistemas en bsqueda de ms informacin
Host accesibles
Ubicacin de Routers y Firewalls
Sistemas operacionales
Servicios en ejecucin
Aplicaciones y sus versiones
364
Reconocimiento activo War Dialers
Los programas de War Dialing se encargan de marcar una secuencia de nmeros
telefnicos intentando encontrar una portadora o tono
A menudo un MODEM desprotegido provee el mtodo mas fcil para penetrar una
red.
Se encontraron algunos modems..y ahora qu?
Revisar los logs de la herramienta y verificar mensajes de advertencia y prompts de
login.
Conectarse con cada MODEM descubierto
En muchos casos podr encontrarse con sistemas sin contrasea
PCAnywhere, ya estamos adentro
Mquinas viejas abandonadas pero an conectadas a la red
Routers
Si es un sistema que nos pide Login y Password, adivinar:
Realizar pruebas basadas en el tipo de sistema
Cuales son los usuarios/contraseas default?

365
Reconocimiento activo War Dialers
Defensa contra los War Dialers.
Una poltica de lneas Dial-up y modems es crucial
Activar la deteccin de escaneos en el PBX de ser posible
Llevar a cabo ejercicios de escaneos contra su propia red
Algunas herramientas:
The Hacker Choice (THC Scan)
Phonesweep (http://www.sandstorm.net/products/phonesweep/)
Usar chequeos peridicos en sitio. Escritorio por escritorio.

366
Ataques inalmbricos War Driving
La tecnologa Wireless es cada vez ms barata
Access Points de menos de U$150 y tarjetas de menos de U$80
El estndar 802.11b es muy popular
Los empleados configuran sus propios puntos de acceso con el fin de tener
movilidad
War Driving. Con un computador porttil y una tarjeta inalmbrica, un atacante puede
pasar en su carro por una calle y unirse a varias redes redes wireless.

367
La seales 802.11b en realidad viajan a
distancias superiores a los 100m, sin
embargo a esas distancias las seales
son muy dbiles para ser detectadas por
las pequeas antenas presentes en una
tarjeta de red inalmbrica. Con una
antena de ganancia externa como una
antena yagi de 14db las seales 802.11b
pueden ser detectadas a distancias
mucho mayores que 100 metros.
368
Errores de configuracin
Muchos puntos de acceso se ponen en produccin sin ninguna
configuracin de seguridad
En algunas estaciones el SSID utilizado como contrasea es la nica
seguridad
SSIDs en blanco o por default son usuales
Los AP por default difunden libremente el SSID
Si se configura para no se difundido, por medio de snnifing puedo
obtener el SSID siendo usado en una red (Van en texto claro)
Algunas herramientas para War Driving: Netstumbler, Airopeek
369
Defensas
El SSID no provee ninguna seguridad y no debe ser usado como
contrasea
Los esquemas de seguridad no deben basarse nicamente en el filtrado de
direcciones MAC. Sniffing Spoofing
Las llaves WEP pueden ser rotas. Solucin aceptable para redes pequeas
de mximo 10 usuarios inalmbricos cuyos computadores se pueden
acceder regularmente para cambio manual de llaves. Para redes grandes y
con requerimientos fuertes de seguridad se debe usar WPA/WPA2 o VPNs.
370
Mapeo de redes

Un atacante busca entender la topologa de nuestra red
- Conectividad Intranet DMZ, redes perimetrales
- Intranet

La distribucin de enrutadores y hosts pueden mostrar vulnerabilidades
- Al menos le dejan saber al atacante donde se encuentran las cosas.

Algunas herramientas: Cheops escrita por Mark Spencer

Cheops ofrece una interfaz grfica agradable para el descubrimiento de red
- Bastante ruidosa.

Especialmente usada para:
Mapeo / Trazado
Acceso fcil a funciones de gestin (ping, trace route, secure shell)
Escaneo de puertos
OS Fingerprint
371
Mapeo de redes - Cheops

372
Mapeo de redes Cheops
Como funciona ?

Realiza ping a todo el rango IP (Ping Sweep) a ver cuales direcciones
responden

Realiza Traceroute a cada IP.

Por medio de un anlisis de por cuales saltos pasa un paquete y por cuales
no, se puede determinar la topologa.

Realiza un escaneo de puertos para cada equipo

Realiza un OS Fingerprint para determinar el S.O de los dispositivos
detectados.

Como me puedo defender de Cheops?

373
Port Scanners

Herramienta indispensable en el kit de un atacante

Ayudan a identificar puertos abiertos en un sistema y el tipo de sistema
Permite que un atacante se enfoque en los puntos que debe atacar.

La mayora de aplicaciones en Internet usan TCP o UDP.

TCP. Orientado a conexin
UDP. No orientado a conexin.

TCP y UDP manejan puertos que son un campo en el encabezado en la capa de
transporte

Los port scanners envan paquetes a los 65536 puertos TCP y UDP, o a los que se
les especifique, para determinar cuales estn abiertos y qu est escuchando

El RFC 1700 define los puertos conocidos (Well Known Ports). Un listado completo
se puede encontrar en el sitio
http://www.iana.org/assignments/port-numbers

Defensas ante Port Scanners?

374
Escaners de Vulnerabilidades

Son herramientas que ayudan a determinar las caractersticas de una red y
algunas vulnerabilidades presentes en los sistemas.

Prueban contra una lista de vulnerabilidades conocidas. Usan una base de
datos de vulnerabilidades conocidas que debe ser actualizada
peridicamente.

Generan unos reportes agradables.

Algunas herramientas:

Nessus (http://www.nessus.org). Libre
Satn. Libre
Internet Scanner (http://www.iss.net). Comercial
Cisco Secure Scanner. Comercial

Defensas ante escaners de vulnerabilidades?
375
Ethical Hacking Explotando las vulnerabilidades

Session Hijacking

Tcnica que permite que un atacante realice las siguientes acciones:

Robar, compartir, terminar, monitorear o registrar una sesin de
terminal que se encuentre en ejecucin.

Est enfocado en aplicaciones orientadas a conexin.
Telnet, ftp
No http (muy efmeras)

Las sesiones se roban a travs de la red

376

Session Hijacking

Red
Telnet de Alice
Alice
Bob
Hola soy Alice
Encontrando una sesin

377

Session Hijacking Algunas herramientas

Ettercap. (Linux)
Cain & Abel (Windows)

Sniffing pasivo (Filtrado por IP Mac Address)
Sniffing activo. Usando ARP Poisoning
Soporte de SSH1 y HTTPS
Passwords collectors para: Telnet, FTP, HTTP(s), POP, SSH1, SMB,
MySQL, VNC, LDAP, SNMP, entre otros

Defensas ante estas herramientas?

Prestar atencin a los mensajes de advertencia de los navegadores y clientes
SSH
Usar encripcin (IPSec, SSHv2)
Configurar seguridad a nivel de puertos en el switch (Port Security)
Configuraciones de caractersticas en los switches tales como:
Dynamic ARP Inspection (Cisco)

378

Password Cracking.

John The Ripper
Cain & Abel
L0phtcrack

Buffer Overflows

Exploits contra las vulnerabilidades descubiertas

Ataques a aplicativos Web. (CSS, SQL Injection)

379
XSS (Cross Site Scripting)

SQL Injection

Video de Phishing usando XSS
380
Ethical Hacking Manteniendo el acceso

Numerosos ataques usan puertas traseras y programas conocidos como
caballos de troya

Una puerta trasera es un programa que se ejecuta en un sistema y permite
el acceso sobrepasando los controles de seguridad

Un troyano es un programa que parece inofensivo pero realmente lleva
algo dentro imperceptible que se encarga de hacer el dao

381
Ethical Hacking Manteniendo el acceso
Puertas traseras basadas en caballos de troya

Tipo de troyano
Puerta trasera
Caracterstica Analoga Herramientas
Troyano Puerta trasera
a nivel de aplicacin
Una aplicacin
independiente se
ejecuta en el servidor
El atacante le pone
veneno a tu sopa
Sub7, BO2K
Rootkits tradicionales Componentes crticos
del sistema operacional
son reemplazados
El atacante te
reemplaza las papas
por unas papas
envenenadas
Lrk5, To0rnkit
Rootkits de nivel de
Kernel
El kernel del sistema
operativo es parchado
(modificado)
El atacante te
reemplaza la lengua
con una evenenada
Knark, adore,
rootkit.com
382
MEJORES PRACTICAS
` Alinear la seguridad con los objetivos del negocio
` Elabore un mapa de riesgos
` Elabore un plan o programa estratgico de seguridad de la informacin
` Defina e implemente las polticas de seguridad y los procedimientos,
estndares y lneas guas que las soportan
` Implemente un programa de concientizacin y entrenamiento en seguridad
` Establezca un rea responsable de la seguridad en cabeza de una persona
y establezca un equipo de respuesta a incidentes
` Desarrolle un plan de continuidad del negocio y un plan de recuperacin
ante desastres

Antes de instalar Firewalls, IDS, IPS, etc.
Ahora s, las recomendaciones tcnicas.
` Implemente una arquitectura de seguridad en capas (Anillos de seg).
` Considere el enrutador como la primera lnea de defensa. Aplique las
recomendaciones vistas en la clase

383
MEJORES PRACTICAS
` Mantenga actualizados los sistemas operativos y aplicativos con los
patches de seguridad liberados por los fabricantes. Use un ambiente de
prueba antes de aplicar en produccin
` Utilice una solucin automtica para la distribucin de patches a las
estaciones de trabajo
` Realice anlisis de vulnerabilidades y escaneos peridicamente en la red,
especialmente despus de una actualizacin mayor o de la adicin de un
nuevos sistema o dispositivo en la red
` Encripte el trfico sensible mientras se transmite por la red. Evite el uso de
protocolos inseguros como Telnet y FTP. Considere SSH.
` Use listas de control de acceso para restringir el acceso a los puertos
usados por los protocoles de administracin, solo a las Ips autorizadas
` Para los switches:
` Asegure los puertos del switch. Amarre MAC a puertos, especialmente para los
puertos de servidores y equipos crticos como routers o FWs
` Siempre que sea posible utilice autenticacin 802.1x antes de dar conectividad a
la red
` Use Private vlans en segmentos pblicos y/o DMZs
` Deshabilite los puertos no usados y colquelos en una vlan especial

384
MEJORES PRACTICAS
` Para las redes inalmbricas:
` Utilice una vlan especifica para la red inalmbrica
` Trate de colocar los AP en el centro de los edificios. Controle la radiacin de la
seal por fuera del permetro fsico
` Cambie el SSID por defecto y desactive el broadcast del mismo
` Use WPA o WPA2, no utilice WEP
` Desarrolle e implemente procedimientos de hardening de sistemas
operativos y servicios que estarn disponibles en Internet. Ubique estos
equipos en una DMZ
` Desarrolle aplicaciones seguras desde su origen. Siempre valide las
entradas de los usuarios, evite ataques de Bufferoverflows y SQL Injection
` Implemente una solucin antivirus en capas. Protega el gateway de
navegacin , de correo y las estaciones de trabajo.
` Bloquee archivos peligrosos en el gateway de correo: .exe, .com, etc
` Implemente un sistema de gestin de cambios y de configuraciones
` Revise los controles de seguridad de ISO17799:2005. Implemente los ms
crticos para su organizacin

385

Seguridad Redes 2010

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad Redes 2010

Cargado por

Copyright:

Formatos disponibles

1

Diseo y Seguridad en redes

También podría gustarte