Manuel Carrasco Moino

Seguridad en redes de
computadores
UAH
Ciclos de conferencias
El futuro est en las aulas
Abril-2003
manolo@hotelsearch.com

Seguridad en
Redes de
Computadores

Seguridad

Necesidad de seguridad
La seguridad es una preocupacin importante en las
empresas.
Controles de acceso, credenciales, procedimientos,
guardias, alarmas...mltiples actuaciones con un
objetivo: PROTECCIN DE LA INFORMACIN.
La seguridad va ms all de la seguridad en el
trnsito o almacenamiento de los datos en la red.

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

Seguridad

Necesidad de seguridad
Las posibles amenazas para nuestros datos son muy
variadas:
Integridad de los datos.
Robo de informacin.
Integridad de los sistemas y equipos ....

El anonimato provisto por las redes (Internet) facilita la

accin de hackers y otros delincuentes.
La solucin es la implementacin de POLITICAS DE
SEGURIDAD.

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

Seguridad

Polticas de de seguridad
Todas las empresas deben contar con una poltica
general de seguridad.
Su diseo se basa en:
Evaluacin de riesgos.
Creacin de planes acordes con el nivel de seguridad a implementar.

Toda poltica de seguridad debe ser proporcional a la

jerarqua de los datos que vamos a proteger.

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

Seguridad

Polticas de de seguridad
Evaluacin de riesgos en SERVIDORES:
Mantenerlos en operacin continua.
Que la informacin en ellos no sea alterada sin autorizacin.
Que slo sea visible por quien debe verla.

Evaluacin de riesgos en la RED:

La informacin no debe ser observada ni modificada en la red.
La identidad de la estacin cliente o servidor no debe ser suplantada.
La identidad del usuario no debe ser suplantada.

Evaluacin de riesgos en ESTACIONES CLIENTE:

Las estaciones clientes son quizs el punto ms dbil en la seguridad
No importa cuan segura sea la red o los servidores, en las estaciones

clientes la informacin est completamente abierta.

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

Seguridad

Polticas de de seguridad
La seguridad se opone muchas veces a la fluidez
operativa de una empresa pero .....
La implementacin parcial de seguridad puede dar una
impresin de FALSA seguridad
Ejemplo: La instalacin de un firewall, sin medidas anexas

El objetivo de una politica de seguridad no es solo evitar

intrusos en nuestra red.
El principal riesgo de una red viene de los usuarios internos!

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

Seguridad

Polticas de de seguridad
Conclusin: en nuestra poltica de seguridad
tenemos que evaluar aspectos tales como:
Asegurar el acceso fsico a los servidores.
Almacenar respaldos en medios protegidos (tcnicas de backup).
Usar los elementos de seguridad provistos por los S.O.
Usar elementos de seguridad, tales como firewalls, tcnicas de

encriptacin, servidores de autentificacin.

Verificar la identidad del usuario que accede al servidor.
Verificar la identidad del servidor hacia el usuario.
Restringir accesos a servicios no autorizados, basados en la identidad
delos usuarios.
Mantener registro de las transacciones, para la no repudiacin de las
transacciones.
Utilizar antivirus en estaciones cliente o servidores.

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

Seguridad

Polticas de seguridad
Una vez definidas las polticas y procedimientos,
existen varias tecnologas de uso muy frecuente.
TECNOLOGAS DE SEGURIDAD:
FIREWALLS.
SISTEMAS DE AUTENTIFICACIN.
SISTEMAS DE ENCRIPTACIN.
ANTIVIRUS.

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

FIREWALLS

Funcin del firewall

Un firewalls es un host con varios interfaces de red
que es capaz de filtrar el trfico de datos en bases a
diversos criterios (reglas).
Se utilizan para definir segmentos protegidos en una
red. Separan a los hots sin privilegios, de los
servicios y estaciones (normalmente servidores)
considerados como protegidos.
Las reglas o criterios de filtrado se dan por
protocolos, direcciones IP y tipos de servicio (n de
puerto).
Ejemplo: una posible regla puede ser permitir slo la salida de FTP, pero

no FTP desde el exterior hacia la empresa.

Manuel Carrasco Moino

Seguridad en
Redes de
Computadores

FIREWALLS

Tipos de firewalls
Un buen firewall, tiene por defecto la regla de bloquear todo lo
que no sea explcitamente autorizado.
Pueden consistir en un software corriendo en un servidor, o
en un dispositivo hard dedicado exclusivamente al filtrado.
Si son servidores, se recomienda que sean dedicados, y
hardened.
Los appliances son considerados ms seguros.
Desde el punto de vista funcional hay dos tipos bsicos de
firewalls:
Packet Filtering.
Proxy Firewalls.

Manuel Carrasco Moino

10

Seguridad en
Redes de
Computadores

FIREWALLS

Packet filtering firewalls

Un firewall de packet filtering analiza los paquetes
que transitan entre sus interfaces de red y, de
acuerdo a sus reglas, deja proseguir al paquete o lo
descarta.
Las estaciones, para los paquetes autorizados, estn
conectados extremo a extremo.
Packet filtering es ms simple, menos seguro, e
implementable como funcin adicional en algunos
routers (listas de acceso en routers Cisco, por
ejemplo).

Manuel Carrasco Moino

11

Seguridad en
Redes de
Computadores

FIREWALLS

Proxy firewalls
Un software en el firewall emula a la estacin final,
respondiendo por ella a la red. Permite analizar
reglas de capas ms altas, y filtrar trfico por
conceptos ms complejos.
Los proxys estn asociados a servicios especficos:
proxy de email, de telnet, de ftp,etc
Un proxy de email, por ejemplo puede analizar el
contenido de un email, buscando elementos de
riesgo, como comandos peligrosos, o attachments
no autorizados (por ejemplo archivos .exe, macros
de Excel etc.).
Manuel Carrasco Moino

12

Seguridad en
Redes de
Computadores

FIREWALLS

Implementaciones reales
Los firewall reales son una combinacin de proxys y
packet filtering.
Diseo de tres zonas controladas por el firewall:
ZONA EXPUESTA (WAN): es directamente accesible desde Internet, por

lo que no debe instalarse en ella ningn servidor o aplicacin.

ZONA DESMILITARIZADA (DMZ): slo ciertos servicios son directamente
accesibles desde Internet. Es una zona parcialmente protegida por el
firewall, y es potencialmente susceptible de ataque. Sus servicios deben de
ser securizados y auditados.
ZONA PROTEGIDA (LAN): no se permite ningn tipo de entrada, con lo
que es imposible que sufra ataques.

Los firewall reales son una combinacin de proxys y

packet filtering.
Manuel Carrasco Moino

13

Seguridad en
Redes de
Computadores

FIREWALLS

Implementaciones reales
WAN,
WAN,Internet
Internet

CORTAFUEGOS

FIREWALL

DMZ
DMZ

Prohibido
Controlado
Permitido
LAN
LAN
Manuel Carrasco Moino

14

Seguridad en
Redes de
Computadores

FIREWALLS

Implementaciones reales
Un aspecto importante es la configuracin correcta
del protocolo NAT (Network Address Translation).
La secuencia de filtrado sera la siguiente:
FILTRADO

FORWARD
Mangle/Nat

PRE
ROUTING

Manuel Carrasco Moino

Mangle/Nat

FILTRADO

FILTRADO

IN

OUT

POST
ROUTING

15

Seguridad en
Redes de
Computadores

FIREWALLS

Implementaciones reales
Ejemplo de tabla NAT en un firewall
Descripcin

Antes de aplicar NAT

Origen

Despus de aplicar NAT

Destino

Origen

Destino

Entrada InternetDMZ (desde Internet cambiamos destino)

WWW

Dir. Publica:

Dir. Publica:80

Dir. Publica

Dir.Privada:80

SMTP

Dir. Publica

Dir. Publica:25

Dir. Publica

Dir.Privada:25

FTP

Dir. Publica

Dir. Publica:21

Dir. Publica

Dir.Privada:21

IMAP4

Dir. Publica

Dir. Publica:145

Dir. Publica

Dir.Privada:145

Salida (hacia Internet cambiamos origen)

LANInternet

Dir. Privada

Dir. Publica

Dir. Publica

Dir. Publica

DMZInternet

Dir. Privada

Dir. Publica

Dir. Publica

Dir. Publica

Manuel Carrasco Moino

16

Seguridad en
Redes de
Computadores

FIREWALLS

Implementaciones reales
Ejemplo de tabla de filtrado en un firewall:
ORIGEN

DESTINO

POLTICA

RUTAS PROHIBIDAS
INTERNET

FIREWALL

PROHIBIDO

INTERNET

LAN

PROHIBIDO

DMZ

LAN

PROHIBIDO ***

DMZ

FIREWALL

PROHIBIDO

LAN

INTERNET

PROHIBIDO

RUTAS PERMITIDAS
DMZ

INTERNET

PERMITIDO

LAN

DMZ

PERMITIDO

RUTAS CONTROLADAS
LAN

FIREWALL

CONTROLADO

INTERNET

DMZ

CONTROLADO

Manuel Carrasco Moino

SSH, GESTION FIREWALL

SMTP, HTTP, HTTPS, SSH
17

Seguridad en
Redes de
Computadores

SISTEMAS DE AUTENTIFICACIN

Sistemas de autentificacin
Permiten identificar a quin accede a un servicio,
sistema o recurso. As, al acceder a un servicio, los
privilegios del usuario estarn dados por su
identidad.
Hay distintos grados de calidad del servicio de
autentificacin, dependiendo de la cantidad de
factores:
1 FACTOR: Saber algo (login y passwords).
2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).

Manuel Carrasco Moino

18

Seguridad en
Redes de
Computadores

SISTEMAS DE AUTENTIFICACIN

Sistemas de autentificacin
Permiten identificar a quin accede a un servicio,
sistema o recurso. As, al acceder a un servicio, los
privilegios del usuario estarn dados por su
identidad.
Hay distintos grados de calidad del servicio de
autentificacin, dependiendo de la cantidad de
factores:
1 FACTOR: Saber algo (login y passwords). Este sistema es el mas usado,

ya que es fcil y econmico de implementar. Tambin es el mas

vulnerable.
2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).

Manuel Carrasco Moino

19

Seguridad en
Redes de
Computadores

SISTEMAS DE AUTENTIFICACIN

Administracin de password
Las passwords se gestionan desde servidores de
autentificacin, mediante una base de datos nica, con los
datos de los usuarios, sus password y sus privilegios (ejemplo:
LDAP).
El servidor de autentificacin es consultado por el resto de los
servidores o equipos de acceso.
Pueden usarse bases de usuarios de S.S.O.O. estndares
(ejemplos: Novell o un servidor de dominios de NT).
Se han creado protocolos para interactuar entre la estacin
cliente, y el servidor de autentificacin. (PAP, CHAP,
TACACS+, RADIUS).
Los protocolos incluyen alguna tcnica de encriptacin, para
evitar que las passwords puedan ser observadas mientras
viajan por la red o cuando estn almacenados en el server.
Manuel Carrasco Moino

20

Seguridad en
Redes de
Computadores

SISTEMAS DE ENCRIPTACIN

Sistemas de encriptacin
La criptografa es un conjunto de tcnicas de
proteccin de datos basadas en hacer ilegibles los
datos ante accesos no autorizados a ellos.
Para encriptar, se usa una clave de encriptacin.
El propsito de la criptografa es hacer que la tarea
de descifrar los datos sea tecnolgicamente
inasequible para un acceso no autorizado (que no
conoce la clave).
INFORMACIN
FUENTE
Manuel Carrasco Moino

ENCRIPTACIN

INFORMACIN
CIFRADA
21

Seguridad en
Redes de
Computadores

SISTEMAS DE ENCRIPTACIN

Sistemas de encriptacin
Existen dos tipos de tcnicas criptogrficas para
cifrar datos:
Algoritmos de CLAVE PRIVADA (algoritmos SIMTRICOS).
Algoritmos de CLAVE PBLICA (algoritmos ASIMTRICOS).

Normalmente se utilizan de forma conjunta para

realizar transmisin de datos segura, ya que las
cualidades de ambos son complementarias.

Manuel Carrasco Moino

22

Seguridad en
Redes de
Computadores

SISTEMAS DE ENCRIPTACIN

CLAVE PRIVADA
Utiliza algoritmos de encriptacin simtricos.
La clave que utilizamos para cifrar los datos es la
nica que es capaz de descifrarlos.
Por lo tanto, toda su seguridad se basa en la
privacidad de la clave de encriptacin.
Son simples y rpidos
Adolecen de una debilidad: debe compartirse de
alguna forma segura la clave entre las partes que
intervienen en la transmisin de datos.
Ejemplos: DES, triple DES, RC2, RC4...
Manuel Carrasco Moino

23

Seguridad en
Redes de
Computadores

SISTEMAS DE ENCRIPTACIN

CLAVE PBLICA
Utiliza algoritmos de encriptacin simtricos.
La clave que utilizamos para cifrar los datos NO ES
LA MISMA que es capaz de descifrarlos.
Matemticamente se basan en la dificultad de
factorizar nmeros primos muy grandes.
Los algoritmos de llave pblica son bastante lentos
de calcular, lo que limita su uso.
Se usan esquemas mixtos, en que se usa la clave
pblica para transferirse la clave secreta, que se
usar durante la sesin para encriptar los datos.
Proporcionan integridad en los datos y
AUTENTICACIN del origen de los datos.
Manuel Carrasco Moino

24

Seguridad en
Redes de
Computadores

SISTEMAS DE ENCRIPTACIN

CLAVE PBLICA
Proceso de dotar de integridad a los datos:
Quien desee recibir mensajes cifrados, puede publicar una de las llaves,

que pasa a ser su llave pblica.

Quin desee enviar un mensaje a esta persona, cifra los datos con su llave
pblica.
Slo la clave secreta descifra este mensaje.
De esta manera, se elimina el problema de tener que comunicar la llave.

Proceso de autentificacin del origen de los datos:

Si encripto un mensaje con mi clave secreta, y alguien lo abre con mi clave

pblica, este mensaje no ser particulrmente seguro, pero l estar

seguro que yo fu quin gener el mensaje.
Las llaves pblicas pueden utilizarse para crear firmas digitales, que son
una forma segura de autentificacin.

Ejemplos:RSA, DSS...
Manuel Carrasco Moino

25

Seguridad en
Redes de
Computadores

SISTEMAS DE ENCRIPTACIN

PROTOCOLOS SEGUROS I
Protocolos de transmisin de datos segura basados
en la encriptacin:
Para correo electrnico:
PGP (Pretty Good Privacy) para email (usa IDEA).
S/MIME (Secure/Multipurpouse Internet Mail Extensions).

Para confidencialidad, autentificacin, integridad y no

repudio, se han desarrollado:
SSL (Secure Sockets Layer)
PCT desarrollado por Microsoft (Private Communications Technology)
S-HTTP (Secure Http): No se usa, por falta de soporte en los browsers.
SET: Desarrollado por los administradores de tarjetas de crdito, para

encriptar los datos de la tarjeta. No ofrece seguridad para el resto de los

datos en la comunicacin.
IPSEC: Desarrollado por el IETF (Internet Engineering Task Force) para
proveer confidencialidad extremo a extremo, del tipo VPN. Es parte integral
de IPv6.
Manuel Carrasco Moino

26

Seguridad en
Redes de
Computadores

SISTEMAS DE ENCRIPTACIN

SSL
SSL es una capa de software entre TCP/IP y la capa
de aplicacin.
SSL provee
Autentificacin y no repudiacin del server, usando firmas digitales.
Autentificacin del cliente, usando firmas digitales.
Confidencialidad de los datos usando encriptacin.
Integridad de los datos, usando codigos de autentificacin.

SSL est integrada en los web browsers, y en los

security enabled web servers.
SSL negocia el protocolo de encriptacin.
Es el protocolo ms usado.
Manuel Carrasco Moino

27