“INTRODUCCIÓN A LA SEGURIDAD

INFORMATICA Y DE LA INFORMACION”

Módulo II:

ELEMENTOS DE NETWORKING
Y
SEGURIDAD DE REDES

GISI – IEEE – UTN (FRC)

Facundo N. Oliva Cúneo
MODELO OSI Y PILA TCP/IP
 Consideraciones de Seguridad
Seguridad de Red Perimetral:
Protección frente a ataques que proceden de fuera de la
red. Contramedidas:
Filtrado de Tráfico (Firewall, Antispam, AV Perimetral)
Autenticación
DMZ (Zona Desmilitarizada)
Seguridad de Red Interna:
Protección frente a ataques que proceden de dentro de
la red. Contramedidas:
Seguridad en la Intranet (Segmentación, Aislamiento
de Redes y VLANs, IDS/IPS, Log’s)
Seguridad Local (SO, Aplicaciones, AV, Master Hard y
Soft)
 Conmutación LAN
La conmutación LAN está dada por dispositivos de capa 2 (BRIDGE o SWITCH).
Los dispositivos de capas 2 , leen las tramas que son transmitidas en un segmento
LAN, y las retransmiten a los demás segmentos sólo si esto es necesario.
MECANISMO DE LA CONMUTACION LAN
Se crean segmentos de red dedicados (conexiones punto a punto) y conecta esos
segmentos en una red virtual dentro del switch. Este circuito de red virtual existe
sólo cuando dos nodos necesitan comunicarse. Es por eso que se lo denomina
circuito virtual – existe sólo cuando es necesario y se establece dentro del switch

TABLA MAC
Los dispositivos de capa 2 (BRIDGE o
SWITCH) toman sus decisiones basadas
en una tabla donde asocian cada dirección
MAC de la red a una interfaz (donde se
encuentra conectada). Luego, cuando
reciben una trama, leen el encabezado
para conocer la dirección MAC destino de
la trama. De acuerdo a la dirección destino
seleccionará el puerto por el que la
reenviarán.
 Ventaja de la Conmutación:
Segmentación
Evita congestión. Un switch LAN permite a muchos usuarios comunicarse en
paralelo mediante el uso de circuitos virtuales y segmentos de red
dedicados en un entorno libre de colisión.
Esto maximiza el ancho de banda disponible para cada estación de un
segmento.
Segmentación: Dominios de Colisión

Los dominios de colisión

involucran todas las
estaciones, dispositivos y
medios que forman un
segmento donde pueden
ocurrir colisiones.

Segmentación de
Dominios de Colisión:
SWITCH
Segmentación: Dominios de Broadcast
. Un dominio de broadcast
estará definido por todos los
medios, estaciones y
dispositivos que compartirán
broadcasts de capa 2 (uno de
los nodos del dominio envía un mensaje
y el resto de los nodos de ese dominio lo
recibe).

Segmentación de
Dominios de Broadcast:
ROUTER
 Segmentación: Repaso
Dominios de colisión versus dominios de broadcast:
 Segmentación: Repaso
Dominios de colisión versus dominios de broadcast:
 Segmentación: Repaso
Dominios de colisión versus dominios de broadcast:
 Segmentación: Repaso
Dominios de colisión versus dominios de broadcast:
 Equipos de Red: Resumen

Hub Switch Puente Router

Capa del Modelo OSI

en que trabaja

Divide o dedica el
Ancho de Banda a c/
conexión

Divide Dominios de
Colisión (SI o NO)
Divide Dominios de
Broadcasts (SI o NO)
Conecta distintas
tecnologías de la Capa
Inferior (SI o NO)
 Equipos de Red: Resumen

Hub Switch Puente Router

.
Capa del Modelo OSI en 1 (Física) 2 (Enlace 2 (Enlace de 3 (Red)
que trabaja de Datos) Datos)

Divide o dedica el DIVIDE DEDICA DEDICA DEDICA

Ancho de Banda a c/
conexión

Divide Dominios de NO SI SI SI
Colisión

Divide Dominios de NO NO NO SI
Broadcasts

Conecta distintas NO NO SI SI
tecnologías de la Capa
Inferior
 VLAN’S
Una LAN VIRTUAL (o VLAN por Virtual LAN) es una agrupación lógica
de dispositivos o estaciones independiente de su ubicación física.

CADA VLAN ES UN DOMINIO DE BROADCAST DIFERENTE: Segmentan

lógicamente la infraestructura física de la LAN en subredes diferentes (dominios de
broadcast para Ethernet) de modo que los frames de broadcast sólo se conmutan entre
puertos de la misma VLAN.
No necesariamente, estos dispositivos o estaciones estarán conectados al mismo
switch, ni todos los enlaces de un switch formarán parte de esta agrupación.
 VLAN’S
Diferencias entre VLANs y redes LAN conmutadas:

• Las VLANs funcionan a nivel de Capa 2 y Capa 3 del modelo de

referencia OSI, mientras que las LAN conmutadas sólo funcionan
en la capa 2.
• La comunicación entre las VLANs es implementada por el
enrutamiento de Capa 3.
• Las VLANs proporcionan un método para controlar los broadcasts
de red, las LAN conmutadas no realizan ningún control de
broadcast.
• El administrador de la red asigna usuarios a una VLAN, en las
LAN conmutadas todos los usuarios se encuentran en la misma
red.

• Las VLANs pueden aumentar la

seguridad de la red, definiendo cuáles
son los nodos de red que se pueden
comunicar entre sí.
 VLAN’S
EJEMPLO: Se tienen dos VLAN (1 y 2) definidas en un switch:
1- Si estación A en la VLAN1 envía un paquete broadcast...
2- El switch lo enviará solo a las estaciones de su propia VLAN (estaciones
C,D,E y H).
3- Si estación F en la VLAN 2 envía un paquete a una estación de otra VLAN
(estación A en la VLAN 1), y...
4- si el switch no conociera donde está dicha estación...
5- Hará broadcast pero solo a las estaciones B y G de la misma VLAN, y como
la estación no está en la misma VLAN, el paquete no llegará a destino.
 VLAN’S: Enlaces Trunking
Las VLANs no necesariamente se encuentran en un solo switch, sino
que se pueden crear VLANs distribuidas a lo largo de varios
switches. Esto se logra interconectando los switches mediante
enlaces VLAN Trunking. Estos enlaces transportan la información
de todas las VLANs entre los switches.

En la figura, la VLAN de un switch se extiende, a través del enlace

Trunk, al otro. Así, un broadcast enviado por una estación
conectada al primer switch y perteneciente a dicha VLAN, llegará
a las estaciones conectadas al segundo switch pertenecientes
también a dicha VLAN.
 VLAN’S: Router’s y VLAN’s
Para interconectar las VLANs, es necesario utilizar dispositivos de capa 3
(routers) que realizará el enrutamiento de los paquetes entre una VLAN y otra.
El router hará su actividad normal si tiene una interfaz física conectada a cada
VLAN.

En caso de utilizar trunk, en el router se crearán interfaces virtuales, una por cada
VLAN. A cada interfaz virtual se le asignará una dirección IP.

Además de realizar el enrutamiento, en estos dispositivos podremos aplicar las

políticas de seguridad a cada grupo de usuarios (VLAN) que necesitemos.
 IDS
Los Detectores de Intrusos (o IDS) proporcionan
seguridad a la red interna protegiéndola de
ataques y amenazas tanto internas como
externas.

Realizan un análisis on-line del tráfico y pueden

tomar medidas sobre los paquetes y flujos que
violan las normas de seguridad configuradas o
representan una actividad malintencionada
contra la red: los IDS pueden responder en
forma automática a las amenazas de hosts
internos o externos.
IDS: Relación entre IDS y Firewall
 IDS
NIDS (Network Intrusion Detection System)
Detecta los paquetes armados maliciosamente y
diseñados para no ser detectados por los
. cortafuegos. Consta de un sensor situado en un
segmento de la red y una consola.
Ventaja:
No se requiere instalar software en ningún servidor.
Inconveniente:
Es local al segmento. No puede procesar información cifrada.

HIDS (Host Intrusion Detection System)

Analiza el tráfico sobre un servidor.
Ventajas:
Registra comandos utilizados. Es más fiable, mayor probabilidad
de acierto que NIDS.
 Seguridad Perimetral
Líneamiento actual de investigación en
seguridad de redes:

“Concentración de la seguridad en un punto,

obligando a que todo el tráfico entrante y
saliente pase por un mismo punto, que
normalmente se conoce como cortafuegos o
firewall, permitiendo concentrar todos los
esfuerzos en el control de tráfico a su paso por
dicho punto”
 Filtrado de Tráfico
Método basado en un conjunto de reglas que establecen qué tipo de
tráfico se permite y cuál no, de forma tal de impedir el acceso no
autorizado a una red, parte de una red o un host, permitiendo por
otro lado el acceso autorizado.

Internet
Internet

Router’s, Firewall’s y
algunos SO Firewall
proporcionan
capacidades de Internal
Internal Network
Network
filtrado.

Para realizar el filtrado del tráfico, los dispositivos generalmente examinan la cabecera
de los paquetes según van pasando, y decide la suerte del paquete completo según lo
que establezcan las reglas de filtrado.
 Filtrado de Tráfico
Topología que muestra una red con dos dispositivos que filtran tráfico. Un paquete que
quiera enviar la estación D a la estación A pasaría por:
- El router que interconecta las dos redes
- El puente que interconecta los dos segmentos de la red 11.0.0.0
Filtrado de Tráfico: Operación del Filtrado
 Filtrado de Tráfico
POLITICA RESTRICTIVA:
Permitir solo el tráfico
deseado y denegar
todo el resto que no fue
específicamente
permitido.

POLITICA PERMISIVA:
Negar solo el tráfico que
específicamente se quiere
prohibir y permitir
todo el resto.
 Filtrado de Tráfico: Tipos de Filtrado
A nivel de red: Con direcciones IP y la interfaz por la
que llega el paquete, (routers y firewalls).

A nivel de transporte: Con los puertos y tipo de

conexión, (routers y firewalls).

A nivel de aplicación: Con los datos, a través de

pasarelas para las aplicaciones permitidas analizando
el contenidos de los paquetes y los protocolos de
aplicación (servidor proxy o pasarela multiaplicación)
 Filtrado de Tráfico: Tipos de Filtrado
FILTRADO POR INSPECCION DE ESTADOS: STATEFUL

La inspección de estado se basa en la inspección de paquetes

basado en contexto: tipo de protocolo y puertos asociados.

Internamente se define una tabla de sesiones permitidas (tanto

TCP como UDP), donde el paquete de conexión inicial (por
ejemplo en TCP el primer segmento marcha con bit ACK=0 y
SYN=1) se comprueba contra las reglas, y si está permitido se
apunta en la tabla de sesiones y tras ello, los paquetes
siguientes de la misma sesión se dejan pasar.

Ejemplo: apertura de FTP en modo Activo Mode

Filtrado de Tráfico

los FireWalls que tienen

implementado este mecanismo
.
de seguridad se caracterizan por
mantener una tabla denominada
"stateful inspection" con las
sesiones TCP y las "pseudo"
sesiones UDP activas. En cada
entrada de esta tabla se va
almacenando:
- la dirección IP de origen y
la dirección IP de destino,
- los puertos de origen y los
puertos de destino, y
finalmente,
banderas y secuencia del
paquete TCP
 Filtrado de Tráfico: Ejemplos
z Ejemplo: La red 193.146.9.0 está conectada a
Internet a través de un dispositivo que filtra (router o
firewall). Este tiene esta lista de reglas:

z Luego:
 Firewall
Dispositivo (Hardware o Software) que se sitúa entre dos redes
de distinto nivel de seguridad, (normalmente, una red interna
corporativa y una red externa, típicamente Internet), que
analiza todos los paquetes que transitan entre ambas redes y
filtra (bloquea) los que no deben ser reenviados, de acuerdo
con un criterio preestablecido (reglas).

Politicas de Acceso
SMTP 5
L AS HTTP 5
G All Destinations5
RE
Puertos UDP/TCP A
L IC
HTTP
SMTP TCP 25 AP

DNS UPD 53 SMTP

HTTP TCP 80 2
DNS Intrusion
External
External Network
Network Internal
Internal Network
Network
Firewall
Firewall: Tipos de Firewalls
Seguridad de Capa 3
Listas de acceso estáticas

Seguridad de Capa 4:
Listas de acceso extendidas
Listas de acceso reflexivas

Seguridad de Capa 7:
Proxys o Gateways de aplicación
Inspección de pleno estado
 Filtrado en Linux: Firewall Iptables
El filtrado de paquetes está programado en el núcleo (como módulo o
como componente estático). Según la versión del núcleo se puede
utilizar el comando “iptables” o “ipchains" para configurar las
reglas de filtrado.

Linux utiliza tres conjuntos de reglas llamadas cadenas para aplicar

los filtros según corresponda: INPUT, OUTPUT y FORWARD.
Cadena INPUT: Contiene la lista de reglas que se aplican a los
paquetes que llegan al host donde esté configurado el filtro y el
destino del paquete es el mismo host.
Cadena OUTPUT: Contiene la lista de reglas que se aplican a los
paquetes que salen del host donde esté configurado el filtro.
Cadena FORWARD: Contiene la lista de reglas que se aplican a los
paquetes que llegan al host donde esté configurado el filtro, pero
el destino es algún otro host. Esta cadena se utiliza cuando el host
que tiene las reglas de filtrado se comporta como un router.

IPTABLES es una herramienta muy flexible que permite filtrar

paquetes por su encabezado IP, encabezado TCP o UDP, mensaje
ICMP, encabezado MAC y su contenido en la parte de datos.
 Filtrado en Linux: Firewall Iptables
Diagrama con los posibles caminos que pueda tomar la interpretación
de un paquete que llega a un host Linux configurado para filtrar
paquetes:

Ejemplo de la aplicación de una regla que deniegue todo tráfico ICMP

que llegue al host:
 Filtrado en Windows NT/2000
A través de la configuración avanzada de TCP/IP de Windows 2000 y
Windows NT es posible establecer filtros básicos de paquetes. En la
figura siguiente se puede ver cómo desde la ventana Filtrado de
TCP/IP se pueden permitir o denegar el acceso a diferentes
puertos TCP y UDP.
 Filtrado en Cisco IOS
El IOS de Cisco implementa el filtrado de paquetes a través de listas de
control de acceso llamadas ACL. Estas listas contienen un conjunto de
reglas que indican qué se debe hacer con cada paquete. Las ACL son
aplicadas indicando la interfaz del dispositivo y el sentido del flujo de la
información. Así, al momento de aplicar una lista de acceso se debe indicar
en qué interfaz se posiciona el filtro y cuándo se va a tener en cuenta ese
filtro: si para el tráfico que llegue a esa interfaz o el tráfico que salga de
esa interfaz.

Ejemplo de la implementación de una lista de control de acceso:

Seguridad Perimetral: Arquitecturas
Gateway de doble conexión (Dual-Homed
Gateway)
Seguridad Perimetral: Arquitecturas
Host protegido (Bastion Host)
Seguridad Perimetral: Arquitecturas
Subred protegida (Screened Subnet)
 Seguridad Perimetral: DMZ
.
Topología DMZ de un Firewall

DMZ en Firewall /3 Nic

DMZ
DMZ

Internet
Internet

Firewall

Internal
Internal Network
Network
 Seguridad Perimetral: DMZ
.
Topología DMZ de dos Firewall

DMZ
DMZ

Internet
Internet

External
Firewall
Internal
Firewall
 Topicos: Redes Trampa
Jarrón de miel (HONEY POT)

En ocasiones es interesante aprender de los propios atacantes.

Para ello, en las redes se ubican servidores puestos adrede para
que los intrusos los saboteen y son monitorizados por sistemas
que actúan como puentes a los servidores, registrando de
forma transparente los paquetes que acceden a dichos
servidores.

Detectado un ataque (por modificación de la estructura de

archivos), se recompone la traza del atacante (secuencia de
paquetes registrados en el monitor puente) y se pasa a un
análisis forense.

Este análisis forense concluye, en caso de detectar un nuevo

ataque, en una nueva regla de detección.
Topicos: Redes Trampa
Jarrón de miel (HONEY POT)