Está en la página 1de 56

Jornada de seguridad informtica

Nuez, Juan Francisco Martn CORRIENTES - ARGENTINA

La mayor vulnerabilidad es la falsa sensacin de seguridad

Presentacin

Nuez, Juan Francisco Martn 22 aos Campo de accin: Redes de datos, servidores e infraestructura. Actualmente:
Estudiante de Ingeniera en sistemas de informacin Integrante en proyecto de investigacin nacional ONTOLOGIAS WEB Fundador y CIO en ADMHost.com CIO en AIRNETT WSP Sysadmin en UNCAus

Page 2

Temas a desarrollar
La importancia de la especializacin profesional Conceptos de administracin Definicin de administracin Administrador de red Administradores en el mercado Empresas empleadoras Primeros pasos en la empresa como administradores Introduccin a la seguridad informtica Requisitos de la seguridad Amenazas Mecanismos de seguridad segn su funcin Tipos de ataques Introduccin a la criptografa Algoritmos simtricos y asimtricos DES, DES Mltiple, IDEA, AES, RSA, MD-5, SHA-1, Firma digital SSL y SSLv3
Page 3

Temas a desarrollar

VPN Definicin y requerimientos VPN sobre IPSec, SSL, PPPT, L2PT y L2TP/IPSec Diferencias entre PPTP y L2TP/IPSec Router OS Qu es? Caractersticas Ventajas/Desventajas Instalacin en una mquina virtual Winbox Configuracin bsica Firewall Reglas de filtrado (Filter rules) Marcas (Mangle) Conexiones Listas de direcciones NAT (Network Address Translation)

Page 4

Especializacin profesional consejos tiles

Cuando nos empleen, difcilmente nos darn el privilegio de cargos jerrquicos

Esto es normal y lgico... Depende nicamente de nosotros escalar en la pirmide Los siguientes consejos sern herramientas muy tiles para hacerlo

Page 5

Especializacin profesional consejos tiles

El que mucho abarca poco aprieta, es importante abarcar pero despus de apretar Es importante partir de lo general a lo especifico y luego de lo especifico a lo general Debemos evitar ser personas mas o menos, mas o menos se de redes, mas o menos se de servidores, mas o menos programo

Page 6

Conceptos de administracin - Definicin

Tcnica encargada de la planificacin, organizacin, direccin y control de los recursos (humanos, materiales, tecnolgicos) de una organizacin, con el fin de obtener el mximo beneficio posible

Page 7

Conceptos de administracin Administrador de red

Mantienen el hardware y software de la red. Esto incluye el despliegue, mantenimiento y monitoreo de la red

Asegurar la disponibilidad de los servicios de red Definicin de polticas de seguridad Gestin de direcciones Configuracin de las tablas de ruteo Gestin de la autenticacin Definicin y asignacin de permisos Definicin de polticas de mantenimiento

Page 8

Administradores en el mercado - Empresas empleadoras

Grandes Empresa Privada Medianas Pequeas Empresa Pblica Nuestros mayores desafos los encontramos en las empresas Privadas. De nuestra eficacia y eficiencia depende nuestro y su futuro
Page 9

Administradores en el mercado - Primeros pasos

Cual seria su primera accin al ingresar como administradores de redes/sistemas en una empresa?

Page 10

Administradores en el mercado - Primeros pasos

Inventario del equipamiento, herramientas, etc. Esquematizar la situacin actual Realizar un anlisis FODA Realizar un plan/presupuesto de mejora Convencer a los gerentes de realizar las mejoras que se proponen (aprobar el presupuesto)

Innovar, integrar, liderar, proponer y mejorar


(son algunas de las claves para nuestro xito)
Page 11

Administradores en el mercado - Primeros pasos

Herramienta sugerida para el inventariado

Proyecto TAU
TAU nace como un producto hecho por y para los Departamentos de Informtica. Se constituye como una herramienta de gestin completa, que comprende tareas tan habituales como:
Gestin de inventario del parque informtico (ordenadores, impresoras, jetdirects, switches, etc.) Gestin de usuarios (que equipo utilizan, ubicacin fsica, que aplicaciones disponen,etc) Gestin de aplicaciones (inventario de aplicaciones software, autorizaciones de acceso, fichas tcnicas, etc.) Gestin de averas (de hardware, seguimiento, resolucin, coste) Gestin de contactos (para contacto con proveedores, empresas colaboradoras,etc.) Gestin de Biblioteca de medios (CDs, DVDs)

http://tauproject.sourceforge.net/
Page 12

Administradores en el mercado - Primeros pasos INVENTARIO: Ficha de Equipo y componentes que lo rodean

Page 13

Administradores en el mercado - Primeros pasos INVENTARIO: Vista en rbol del Explorador de objetos

Page 14

Administradores en el mercado - Primeros pasos

Tambin podemos esquematizar la situacin actual con TAU

Page 15

Administradores en el mercado - Primeros pasos

ANALISIS FODA Es una metodologa de estudio de la situacin de una empresa o un proyecto, analizando sus caractersticas internas (Debilidades y Fortalezas) y su situacin externa (Amenazas y Oportunidades) en una matriz cuadrada. Es una herramienta para conocer la situacin real en que se encuentra una organizacin, empresa o proyecto, y planificar una estrategia de futuro

Page 16

Administradores en el mercado - Primeros pasos

A partir del anlisis FODA proponer un plan de mejora que consiste en: Cmo se puede explotar cada fortaleza? Cmo se puede aprovechar cada oportunidad? Cmo se puede detener cada debilidad? Cmo se puede defender de cada amenaza?

Con estos procedimientos podemos demostrar a los gerentes las posibles mejoras en la empresa y como resultado obtener mayores ganancias En sntesis...
Page 17

Aumentar la eficiencia y eficacia de la empresa

Administradores en el mercado - Primeros pasos

A futuro, todas estas actitudes los convertirn en mejores Profesionales y aumentan las posibilidades de convertirlos en comandantes de una empresa

Page 18

Introduccin a la seguridad informtica Requisitos

Como encargados de la seguridad debemos garantizar:

Integridad Privacidad Disponibilidad

Page 19

Introduccin a la seguridad informtica Amenazas

Definimos amenaza como cualquier accin que comprometa a los requisitos de seguridad de la informacin

Page 20

Introduccin a la seguridad informtica Mecanismos


Estos mecanismos conformarn polticas que garantizarn la seguridad de nuestro sistema informtico La Prevencin (antes): mecanismos que aumentan la seguridad de un sistema durante su funcionamiento normal. Por ejemplo el cifrado de informacin para su posterior transmisin. La Deteccin (durante): mecanismos orientados a revelar violaciones a la seguridad. Generalmente son programas de auditora. Por ejemplo OSSEC, ARPWATCH SNORT La Recuperacin (despus): mecanismos que se aplican, cuando la violacin del sistema ya se ha detectado, para retornar ste a su funcionamiento normal. Por ejemplo recuperacin desde las copias de seguridad (backup) realizadas.

Page 21

Introduccin a la seguridad informtica Tipos de ataque

Ataques pasivos
El atacante no altera la comunicacin, sino que nicamente la escucha o monitoriza, para obtener informacin que est siendo transmitida

Page 22

Introduccin a la seguridad informtica Tipos de ataque

Ataques activos
Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la creacin de un falso flujo de datos.
A partir de estos ataques se puede lograr:
Interrupcin: si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. Intercepcin: si un elemento no autorizado consigue el acceso a un determinado objeto del sistema. Modificacin: si adems de conseguir el acceso consigue modificar el objeto. Destruccin: es una modificacin que inutiliza el objeto
Page 23

Introduccin a la seguridad informtica Tipos de ataque A continuacin, dos tablas comparativas destacando sus objetivos y soluciones:

Activos Se pueden prevenir? Si Se pueden detectar? Si Se puede recuperar? No

Pasivos Si Si Si

Page 24

Introduccin a la criptografa

La criptografa es el mecanismo de seguridad primordial de todo sistema de seguridad, pero no es el nico arte de escribir con clave secreta o de un modo enigmtico Entre otros mecanismos podemos mencionar: Firewall Control de acceso Deteccin de acciones Auditoras

Page 25

Introduccin a la criptografa Algoritmos S. y A.

Algoritmos simtricos o de clave privada

Se emplea la misma clave K para cifrar y descifrar, por lo tanto el emisor y el receptor deben poseer la clave. El mayor inconveniente que presentan es que se debe contar con un canal seguro para la transmisin de dicha clave.

Para entenderlo mejor, veamos el ejemplo de manera prctica

Page 26

Introduccin a la criptografa Algoritmos S. y A.

Dentro de los algoritmos asimtricos encontramos: DES DES Mltiple IDEA AES Pueden profundizar en su funcionamiento con la siguiente Bibliografa: Redes de as 4ta Edicion-Tanenbaum

Page 27

Introduccin a la criptografa Algoritmos S. y A.

Algoritmos asimtricos o de llave pblica

Se emplea una doble clave conocidas como Kp (clave privada) y KP (clave Pblica). Una de ellas es utilizada para la transformacin E de cifrado y la otra para el descifrado D. En muchos de los sistemas existentes estas clave son intercambiables, es decir que si empleamos una para cifrar se utiliza la otra para descifrar y viceversa. Para entenderlo mejor veamos el ejemplo prctico

Page 28

Introduccin a la criptografa Algoritmos S. y A.

Dentro de los algoritmos simtricos encontramos: RSA MD-5 SHA-1 Firma Digital Pueden profundizar en su funcionamiento con la siguiente Bibliografa: Redes de as 4ta Edicion-Tanenbaum

Page 29

Introduccin a la criptografa Algoritmos S. y A.

Contrastando los dos algoritmos Los algoritmos asimtricos emplean claves de longitud mayor a los simtricos. As, por ejemplo, suele considerarse segura una clave de 128 bits para estos ltimos pero se recomienda claves de 1024 bits (como mnimo) para los algoritmos asimtricos. Esto permite que los algoritmos simtricos sean considerablemente ms rpidos que los asimtricos. En la prctica actualmente se emplea una combinacin de ambos sistemas ya que los asimtricos son computacionalmente ms costosos (mayor tiempo de cifrado)

Page 30

VPN

La tecnologa de VPN proporciona un medio para usar el canal pblico de Internet como un canal apropiado para comunicar los datos privados Crea un tnel privado a travs de una red insegura, es decir que la red pblica slo proporciona la infraestructura para enviar los datos Una VPN no protege la informacin mientras est alojada en el origen, o cuando llega y se aloja en su destino

Page 31

VPN - Requerimientos

Los requerimientos primordiales a la hora de montar una VPN son: Escalabilidad Performance Disponibilidad Transparencia Interoperatividad Encriptacion

Page 32

IPsec

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos

IPsec no garantiza la integridad de los paquetes

Logramos mitigar esto combinando los protocolos L2TP e IPSec

Page 33

L2TP

L2TP es un protocolo de tnel que nos permite crear redes VPN. L2TP usa protocolo UDP No proporciona por s mismo ninguna proteccin (por ejemplo, cifrado) a los datos que se estn transportando En una comunicacin L2TP/IPSec tpica, el IPSec establece primero un canal seguro entre el cliente y el servidor, y entonces L2TP se ocupa de establecer el tnel para transportar con seguridad sus datos al servidor a travs del canal seguro creado por IPSec. El protocolo IPSec "envuelve" la comunicacin de L2TP y protege nuestra informacin contra ojos curiosos.
Page 34

PPTP

PPTP (Point to Point Tunneling Protocol), es un protocolo de comunicaciones desarrollado por Microsoft y otras empresas, para implementar VPN PPTP permite la transferencia segura de datos desde un equipo remoto a un servidor privado al crear una conexin de red privada virtual a travs de redes de datos basadas en IP La seguridad de PPTP ha sido completamente rota y las instalaciones con PPTP deberan ser retiradas o actualizadas a otra tecnologa de VPN Hablamos de el solo por mencionarlo :)
Page 35

Diferencias entre PPTP y L2TP/IPSec

La principal desventaja de PPTP cuando se compara con L2TP/IPSec es la fuerza del cifrado L2TP ofrece integridad de datos (proteccin contra modificacin de los datos durante el plazo transcurrido desde que dejan al remitente y llegan al recipiente), autentificacin de origen y proteccin contra reproduccin (que impide que un hacker pueda capturar los datos enviados, como por ejemplo credenciales, y luego "reproducirlas" para "engaar" al servidor). PPTP no puede ofrecer ninguna de estas prestaciones. Debido a las prestaciones de seguridad adicionales proporcionadas por L2TP/IPSec, podra pasar que la velocidad fuera ligeramente ms lenta que cuando se usa PPTP
Page 36

Diferencias entre PPTP y L2TP/IPSec

PPTP puede ser usado muy rpida y fcilmente, porque lo soportan la mayora de sistemas operativos. L2TP/IPSec, aunque es tambin fcil de usar, no cuenta con un soporte tan extendido y puede presentar un poco de dificultad.

Finalmente, L2TP/IPSec es ms "compatible con firewall" que PPTP, lo que significa que tiene ms oportunidades de funcionar cuando no hay soporte para PPTP, o cuando est bloqueado.

Page 37

Router OS Que es?

RouterOS es un sistema operativo basado en linux , el cual convierte a una PC un RouterBOARD en un router dedicado, puede hacer casi cualquier cosa que tenga que ver con las necesidades de una red, adems de ciertas funcionalidades como servidor. La licencia tiene niveles (escalados) que van desde el LvL 3 hasta el LvL 6, mientras ms alto sea el nivel, mas altos sern los niveles de libertad en sus aplicaciones

Page 38

Router OS Tabla comparativa de licencias

Level Price Upgradable To Initial Config Support Wireless AP Wireless Client and Bridge

0 (FREE) no key 24h limit 24h limit

1 (DEMO)

3 (WISP CPE)

4 (WISP) $45 yes 15 days yes yes yes unlimited 200 200

5 (WISP) $95 yes 30 days yes yes yes unlimited 500 500

6 (Controller) $250 yes 30 days yes yes yes unlimited unlimited unlimited

registration requiredolume only v no upgrades 1 1 1 yes yes yes(*) unlimited 200 200

RIP, OSPF, BGP 24h limit protocols EoIP tunnels PPPoE tunnels PPTP tunnels 24h limit 24h limit 24h limit

Page 39

Router OS Tabla comparativa de licencias

Level L2TP tunnels OVPN tunnels

0 (FREE) 24h limit 24h limit 1 1 1 1 1 1

1 (DEMO)

3 (WISP CPE) 200 200 unlimited 1 yes unlimited yes 10

4 (WISP) 200 200 unlimited 200 yes unlimited yes yes 20

5 (WISP) 500 unlimited unlimited 500 yes unlimited yes yes 50

6 (Controller) unlimited unlimited unlimited unlimited yes unlimited yes yes Unlimited

VLAN interfaces 24h limit HotSpot active 24h limit users RADIUS client Queues Web proxy Synchronous interfaces 24h limit 24h limit 24h limit 24h limit

User manager 24h limit active sessions

Page 40

Router OS - Caractersticas El Sistema Operativo es basado en el Kernel de Linux. Diseo modular. Mdulos actualizables. Interfaz grafica amigable. Polticas de enrutamiento, ruteo esttico o dinmico. Bridging, protocolo spanning tree, interfaces multiples en el bridge, firewall on bridge. Servidores y clientes: DHCP,OVPN,L2TP, PPPoE, PPTP, PPP, IPsec. Soporta interfaces virtuales. Cache: web-proxy, DNS. HotSpot. Lenguaje interno de scripts. Filtrado de paquetes Colas (simples y rbol). Y mucho mas.
Page 41

Router OS - Ventajas

ROUTEROS no es el caso en que decimos lo barato sale caro.

ALGUNAS VENTAJAS Es robusto, estable y escalable Interfaz grafica amigable Excelente marcaje de paquetes (MANGLE) y balanceo de carga Costo-Beneficio Excelente documentacin y soporte tcnico.

Page 42

Router OS - Desventajas

Es un software, por lo tanto el manejo de la capa de red lo hace por ese medio y es lento para realizar el ruteo de grandes flujos de paquetes. (mas lento que por hardware)
Aplicacin Presentacin Sesin Transporte Red Enlace de datos

Software

Hardware
Page 43

Fsica

Informacin

En un BACKBONE los routers realizan sus tareas de ENCAMINAMIENTO con chips especializados para el ruteo de paquetes a efecto de acelerar el proceso, es decir, realizan esta actividad a nivel de HARDWARE y no de SOFTWARE Cisco present un sistema de procesamiento de 96 terabits por segundo y anuncia la era del zettabyte El Nuevo Sistema Cisco ASR 9000, de 96 Tbps, permite a cada hombre, mujer y nio en Beijing, Londres y Mosc (43 millones de personas) mirar una pelcula de video de alta definicin simultneamente o descargar el equivalente a 180.000 DVDs por minuto.
Page 44

Router OS Instalacin en una VM

Requerimientos Una PC. Oracle VM VirtualBox para windows (en este ejemplo) ROUTEROS para PC / X86

Page 45

Router OS Instalacin en una VM

Page 46

Router OS Instalacin en una VM

Page 47

Router OS Instalacin en una VM

Page 48

Router OS Instalacin en una VM

Page 49

Router OS Instalacin en una VM

Page 50

Router OS Instalacin en una VM

CFG.

Winb ox

onsola C

Para hacer las configuraciones bsicas tenemos dos caminos, configurar por winbox o por consola. Empezamos por consola asignando las direcciones de IP.
Page 51

Router OS Instalacin en una VM

Asignar direcciones IP

Page 52

Router OS Instalacin en una VM

Page 53

WINBOX
Descargar WINBOX desde la seccin downloads de mikrotik Asignando rutas y dns

Page 54

WINBOX

Apretamos Settings

Page 55

IP del modem

Router OS - Practica

VEREMOS EL RESTO DE LAS FUNCIONES DE MANERA PRACTICA

Page 56