Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Quin es el responsable?
IP
Empleados
Hackers (curiosos, vndalos y criminales)
Operadores de telfono
Criminales de cmputo profesionales
No confiable
Mejor esfuerzo
Sin conexin
El protocolo que define los mecanismos de entrega poco confiable y sin conexin se conoce
como Protocolo Internet (IP).
TCP (Transmisin Control Protocol)
Es un protocolo de transporte de propsito general, puede ser usado sobre cualquier sistema
de entrega de paquetes, no necesariamente sobre IP. TCP no supone caractersticas de la red
subyacente.
TCP/IP
Suite de protocolos de comunicaciones para redes de tipo abierto utilizados en un modelo
de 4 capas desarrollado por la Advanced Research Projects Agency del DoD y tomando
como referencia el modelo OSI.
4.2 INTERNET/EXTRANET/INTRANET
Dispositivos de conectividad en las comunicaciones
Arquitectura Internet
Los procesos tienen puertos: la combinacin de un puerto ID y el IP destino (address) del
host es un Socket: las conexiones son un set de sockets.
Algunos ejemplos son: puertos TELNET, FTP, TCP, UDP.
Protocol Relationship Tables son los diferentes servicios que dan los protocolos y en que
puertos se realizan.
Caractersticas de Internet
Red de redes
Topologa mundial (malla)
Broadcast packet-switched
Peer connected (interconexin entre capas)
Conexin de "cualquiera" con "cualquiera" (no restriccin)
Interoperatibilidad en incremento
Autoridad NO centralizada
Seguridad en Internet
El fenmeno de la extensin de la Internet ha adquirido una velocidad tan rpida y unas
proporciones, que el panorama actual y muchos de los efectos que se dan en su seno
resultan sorprendentes y difcilmente imaginables hace slo una dcada.
Inicialmente Internet nace como una serie de redes que promueven el intercambio de
informacin entre investigadores que colaboran en proyectos conjuntos o comparten
resultados usando los recursos de la red. En esta etapa inicial, la informacin circulaba
libremente y no exista una preocupacin por la privacidad de los datos ni por ninguna otra
problemtica de seguridad. Estaba totalmente desaconsejado usarla para el envo de
documentos sensibles o clasificados que pudieran manejar los usuarios, situacin esta muy
comn, pues hay que recordar que la Internet nace como un contrato del Departamento de
Defensa Americano -ao 1968- para conectar entre s tanto las Universidades como los
Centros de Investigacin que colaboran de una manera u otra con las Fuerzas Armadas
Norteamericanas.
Los protocolos de Internet fueron diseados de una forma deliberada para que fueran
simples y sencillos. El poco esfuerzo necesario para su desarrollo y verificacin jug
eficazmente a favor de su implantacin generalizada, pero tanto las aplicaciones como los
niveles de transporte carecan de mecanismos de seguridad que no tardaron en ser echados
en falta.
Ms recientemente, la conexin a Internet del mundo empresarial se ha producido a un
ritmo vertiginoso muy superior a la difusin de ninguna otra tecnologa anteriormente
ideada. Ello ha significado que esta red de redes se haya convertido en "la red" por
excelencia. Esto es, el medio ms popular de interconexin de recursos informticos y
embrin de las anunciadas autopistas de la informacin.
Se ha incrementado la variedad y cantidad de usuarios que usan la red para fines tan
diversos como el aprendizaje, la docencia, la investigacin, la bsqueda de socios o
mercados, la cooperacin altruista, la prctica poltica o, simplemente, el juego. En medio
de esta variedad han ido aumentando las acciones poco respetuosas con la privacidad y con
la propiedad de recursos y sistemas. Hackers, frackers, crakers... y dems familias han
hecho aparicin en el vocabulario ordinario de los usuarios y de los administradores de las
redes.
La propia complejidad de la red es una dificultad para la deteccin y correccin de los
mltiples y variados problemas de seguridad que van apareciendo. Adems de las tcnicas y
herramientas criptogrficas antes citadas, es importante recalcar que una componente muy
importante para la proteccin de los sistemas consiste en la atencin y vigilancia continua y
sistemtica por parte de los gestores de la red. Como ejemplo, en la tabla ms abajo se
recoge una lista exhaustiva de problemas detectados, extrada del libro: "Firewalls and
Internet Security. (...)".
LISTA DE PELIGROS MS COMUNES EN SISTEMAS CONECTADOS A
INTERNET
Fuente:"Firewalls and Internet Security. Repelling the Wily Hacker"
1.
Los paquetes ICMP pueden interrumpir todas las comunicaciones entre dos
nodos.
El rbol inverso del DNS se puede usar para conocer nombres de mquinas
18
Enlaces Red-Red:
En estos casos se est encapsulando el trfico de una red local, por lo que nos ahorramos el
paso PPP anterior. Las tramas de la LAN se encapsulan directamente para crear el VPN. Se
utiliza para:
Fundir dos redes locales a travs de Internet, para que parezcan una sola.
Establecer canales con privacidad, autenticidad y control de integridad, entre dos
redes independientes.
Rutado de tramas no utilizables en Internet. Por ejemplo, tramas NetBEUI, IPX,
SNA o DECNET.
La gran ventaja de este sistema es que simplemente con un acceso local a Internet (desde
cualquier pais) y una correcta configuracin se podran conectar a nuestro servidor de NT,
2000 o XP server a un coste muy bajo utilizando modem y a coste 0 si tenemos una tarifa
plana.
Pongamos por ejemplo una conexin en Espaa entre 2 delegaciones, la de Barcelona y la
de Madrid. Con una punto a punto sobre RDSI pagaramos 64000 pts./mes por 64 kbps de
ancho de banda. Slo por unir las dos delegaciones, las conexiones a Internet seran aparte,
adems la llamada es de un punto a otro (no es bidireccional).Crear una VPN es
relativamente fcil pero hay que tener en cuenta una serie de observaciones como si
tenemos un router ADSL para acceso corporativo, o si tenemos un modem conectado a un
pc y sobre todo el sistema operativo del servidor y de los clientes.
Dado que la configuracin que est teniendo mas fuerza es la de tener un router para que de
acceso a Internet a todos los ordenadores de la red, nos centraremos en esta.
Evidentemente toda la teora e implementacin de VPNs tambin funciona sobre routers
RDSI con acceso a Internet, los agujeros a crear en el router son los mismos.
En primer lugar tenemos que crear dos agujeros en unos puertos de estos routers, esto es
necesario ya que las redes privadas virtuales generan peticiones de entrada y salida sobre
los puertos y adems le tenemos que decir al router a que ordenador local tiene que
redireccionar estas peticiones. El router al conectarse a Internet recibe una IP del proveedor
de acceso, en cambio a nivel local tiene un IP reservada para redes locales, por lo que el
router tiene que saber a que ordenador local tiene que reenviar los paquetes que lleguen con
una peticin a los puertos
KEY-ID
TCP-H
DATOS
DATOS
ENCRPTADOS
NLSP (Capa 3)
IP-H
KEY-ID
IP-H
DATOS
DATOS
ENCRIPTADOS
Objetivos de SSL:
1. Seguridad criptogrfica. Se sugiere el uso de SSL para establecer conexiones seguras
entre dos partes.
2. Interoperabilidad. Programadores independienvtes deben poder desarrollar aplicaciones
basadas en SSL, que intercambien parmetros criptogrficos sin tener conocimiento de los
cdigos de los programas de cada uno.
3. Extensibilidad. SSL provee un marco donde pueden incorporarse mtods criptogrficos
segn se necesite. Esto evita el problema de estar creando nuevos protocolos, as como
nuevas libreras de seguridad.
4. Eficiencia Relativa. Puesto que las operaciones criptogrficas demandan demasiado
CPU, el protocolo SSL incorpora un esquema opcional de "caching", que reduce el nmero
de conexiones que deben establecerse desde inicio. Adems se ha tomado en cuenta el
reducir en lo posible la actividad de la red.
Protocolo SSL
SSL record protocol. Define los formatos de los mensajes empleados en SSL.
Existen dos formatos principales: Record Header Format y Record Data Format
(donde se encapsulan los datos a enviar)
SSL handshake protocol. Autentifica al servidor para el cliente, permite al cliente y
servidor seleccionar algoritmos criptogrficos que sean soportados por ambos,
opcionalmente autentifica al cliente para el servidor, usa criptografa de llave
pblica para generar secretos compartidos y establece una conexin SSL encriptada.
NIVEL
D1
NIVEL
C1
todava es posible.
Los usuarios debern identificarse as mismos con el sistema por medio de
un nombre de usuario y una contrasea. Esta combinacin se utiliza para
determinar que derechos de acceso a los programas e informacin tiene
cada usuario. Estos derechos de acceso son permisos para archivos y
directorios. Estos controles de acceso discrecional, habilitan al dueo del
archivo o directorios, o al administrador del sistema, a evitar que algunas
personas tengan acceso a los programas i informacin de otras personas.
Sin embargo, la cuenta de administracin del sistema no est restringida a
realizar cualquier actividad.
En consecuencia, un administrador del sistema sin escrpulos, puede
comprometer con facilidad la seguridad del sistema sin que nadie se entere.
NIVEL
C2
El nivel C2, fue diseado para ayudar a solucionar tales hechos. Juntos con
las caractersticas de C1, el nivel C2 incluye caractersticas de seguridad
adicional, que crean un medio de acceso controlado. Este medio tiene la
capacidad de reforzar las restricciones a los usuarios en la ejecucin de
algunos comandos o el acceso a algunos archivos, basados no solo en
permisos si no en niveles de autorizacin. Adems la seguridad de este
nivel requiere auditorias del sistema.
Esto incluye a la creacin de un registro de auditoria para cada evento que
ocurre en el sistema. La auditoria se utiliza para mantener los registros de
todos los eventos relacionados con la seguridad, como aquellas actividades
practicadas por el administrador del sistema. La auditoria requiere de
autenticacin adicional. La desventaja es que requiere un procesador
adicional y recursos de discos del subsistema.
Con el uso de las autorizaciones adicionales, no deben confundirse con los
permisos SGID Y SUID, que se pueden aplicar a un programa, en cambio,
estas son autorizaciones especficas que permiten al usuario ejecutar
comandos especficos o tener acceso a las tablas de acceso restringido.
NIVEL
B1
NIVEL
B2
NIVEL
B3
Descripcin
Echo replay
Destination Unreachable
Source Quench
Echo Request
11
12
Parameter Problem on a
Datagram
13
Timestamp Request
14
Timestamp Replay
Mensaje ICMP Cambio de RutaUtilizado por un ruteador para indicarle a una mquina en
su segmento que utilice una nueva ruta para determinados destinos.
Discusin Ataques ARP e ICMP
Requisito observado: la direccin IP fuente del datagrama sobre el cual viaja el mensaje
ICMP, debe ser igual a la direccin IP de cualquier ruteador en la tabla de ruteo de la
mquina vctima.
Mecanismos de proteccin. Se recomienda la utilizacin del sistema arpwatch
desarrollado por el Laboratorio Lawrence Berkeley; adems de monitoreo continuo del
trfico de la red para detectar inconsistencias en las parejas (dir IP, dir fsica) de los
paquetes.
Smurfing.
para acceso telefnico pertenecen a tu misma red. Si tienes (un poco de) cuidado al
configurar la mquina que controla estos hosts remotos no deberas tener ningn problema,
ya que las tramas que se enviarn a estas mquinas sern nicamente aquellas que les
corresponda recibir.
Casi siempre los proveedores de acceso a internet (Como Infova en Espaa, Infosel en
Mxico o similares) interponen entre tu red y el usuario remoto una serie de mecanismos
(routers y conexiones punto a punto) que hacen inefectivo el uso un Sniffer en la mquina
remota.
Cmo puedo saber si hay alguien corriendo un sniffer en mi red ?
Esto es ms difcil de lo que parece.
La forma ms comn de saber si un interfaz de red est en modo promiscuo consiste en
ejecutar (en mquinas UNIX) el programa ifconfig de la siguiente forma:
$ifconfig -a [ Muestra el estado de las placas de red. La salida sera similar a esto ]
eth0 Link Encap: 10Mbps Ethernet HWaddr: xx:xx:xx:xx:xx:xx
inet addr: a.b.c.d Bcast: a.b.c.f Mask: m.m.m.m
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets: 0 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0
Interrupt:15 Base Address:0x300
El problema de esta solucin es que se necesita tener acceso root a todas las mquinas que
deben comprobarse (otra opcin sera hacer un crontab que compruebe el estado cada cierto
tiempo, sin embargo un cracker con acceso al sistema puede ver los trabajos en cron y
deshabilitar esta verificacin).
Llamadas salientes - Cuando el abonado realiza una llamada saliente, el TRS disca
automticamente el nmero del servidor ms prximo y establece un canal seguro a
travs del cual ser establecida la comunicacin.
Llamadas entrantes - Cuando alguien desee establecer una llamada segura con un
abonado de Red Segura, deber llamarlo a su nmero seguro especial, el cual
enrutar la llamada al servidor y desde all en forma codificada al abonado. Por lo
tanto, y sin importar si quien llama es o no abonado, la red de acceso est protegida
en forma permanente.
LISTA DE USUARIOS
Uno a uno
De uno a un grupo de usuarios o una organizacin
Grupos de discusin (central mailing list server and broadcast to the other
participants). USENET groups.
PROTOCOLOS
SMTP (Simple Mail Transport Protocol). Acepta mensajes de otros sistemas y los
almacena.
POP (Post Office Protocol). Permite a un cliente en POP bajar el e-mail que fue
recibido en otro servidor de e-mail.
IMAP ( Internet Mail Access Protocol). Es ms conveniente que POP, pues no
requiere guardarse la sincrona entre las listas local y del server para la lectura del email
AMENAZAS
Modelo funcional
Estructura de mensaje
Reporte de liberacin
TACACS Y RADIUS
Son sistemas de autentificacin y control de acceso a una red va conexin remota;
permiten redireccionar el "username" y "password" hacia un servidor centralizado. Este
servidor decide el acceso de acuerdo a la base de datos del producto o la tabla de passwords
del Sistema Operativo que maneje.
CORREO ELECTRNICO
El correo electrnico es el servicio de envo y recepcin de mensajes entre los usuarios que
conforman una red de computadoras. Estos mensajes llegan a cualquier parte del mundo en
segundos, a lo sumo en minutos. Cada usuario tiene su propia direccin en la red,
tpicamente en la forma "nombre@conexin".
El correo electrnico es uno de los servicios ms importantes de su conexin al usar la red.
Una vez que usted se acostumbra a utilizar seriamente este medio de comunicacin es muy
fcil depender de l. En unos meses decenas de amigos, familiares, colegas, etc., tendrn su
direccin electrnica al igual que usted la de ellos.
La importancia de este medio de comunicacin est creciendo cada vez ms en nuestros
das, hasta el punto que dentro de varios aos, segn los expertos, el correo electrnico ser
el medio ms utilizado despus del telfono para comunicarse con otras personas.
Existen diferentes paquetes soportados "oficialmente" por Redula con los cuales se puede
enviar y recibir mensajes.
Otra forma de utilizar el correo electrnico es bajo el ambiente WINDOWS, iniciando
previamente una sesin de TELNET ubicando el apuntador sobre el icono identificado con
TELNET (el cual no es estndar, sino que es creado), y luego pulsando con el ratn,
aparecer otra pantalla donde debe escoger la opcin CONNECT y elegir el servidor al cual
desea conectarse, luego debe introducir la identificacin y clave respectiva y as podr
probar cualquiera de los tres paquetes mencionados descritos. Igualmente bajo Windows se
encuentra el grupo de programas WINQVT/NET y el EUDORA, los cuales permiten
enviar, recibir correos y acceder a grupos de noticias en un entorno de ventanas y botones
grficos bastante agradable y sencillo. Entre los editores usados en los programas de correo
electrnico figura el editor pico para el pine y el elm.
Esto es realmente el correo electrnico: Una herramienta que le permite enviar correo
seguro a cualquier persona en toda la Internet.
Envo con
seguridad/Desvo para
simple.