Seguridad de redes

Claudia P Santiago
 Seguridad de Redes
Agenda

 Introducción
 Modelo OSI Vs. TCP/IP
 TCP/IP
◦ Introducción
◦ Protocolos

Escuela Colombiana de Ingeniería

Introducción
 Problemática
◦ LAN y WAN
◦ Subredes no controlables
◦ Múltiples usuarios
◦ Cables e inalámbrico
◦ Protocolos no seguros

Escuela Colombiana de Ingeniería

Modelo OSI Vs. TCP/IP

Tomado de : www.cis.ohio-state.edu/~jain/cis677-00/ ftp/e_2int/sld017.htm

Escuela Colombiana de Ingeniería

 Modelo OSI Vs. TCP/IP

 Empaquetamiento de información
◦ Protocol Data Unit - PDU
 Unidad de datos del protocolo
 Segmento TCP es una PDU del nivel de transporte
 Un datagrama IP es una PDU del nivel de red.
 Un frame Ethernet es una PDU del nivel de enlace

Escuela Colombiana de Ingeniería

TCP/IP
INTRODUCCIÓN
 Proyecto Darpa (Advance Research Project
Agency)
 Mantener las comunicaciones – Ataque
 Construcción de un sistema distribuido, para
comunicaciones
 Construcción de redes que comparten
información
 Construcción de una red para el área militar

Escuela Colombiana de Ingeniería

TCP/IP
 El sistema debería cumplir con una serie
de características
◦ Debería tener posibilidad de redundancia
◦ Los segmentos deberían ser de igual tamaño
◦ Debería ser descentralizado
◦ Enrutamiento dinámico
◦ Vinton Cerf 1977 TCP/IP

Escuela Colombiana de Ingeniería

 TCP/IP
 Introducción
NFS NIS
Aplicación
Aplicación XDR

Telnet FTP SMTP HTTP DNS NTP TFTP SNMP RPC

Transporte TCP UDP

Red
IP ICMP

ARP, RARP
802.2 LLC

HDLC

LAPD
SDLC

LAPB
SLIP

X.25
Ethern

ATM
PPP

F.R.
Enlace 802.11
et 802.3 100VG- FDDI
AnyLan 802. 802.11a
802.3u X3T9.5
5 802.11.b
802.3Z 802.12
802.11g

Físico Cobre, Fibra, Inhalámbrico, etc

Escuela Colombiana de Ingeniería

 Aplicación

CAPA FÍSICA
Transporte

Red

Enlace

Física

Escuela Colombiana de Ingeniería

Capa Física
 Problemas
◦ Medios físicos
◦ pararrayos,
◦ transformadores,
◦ detectores de humo e
incendios,
◦ clavija eléctrica central

Escuela Colombiana de Ingeniería

Capa física
◦ Malas prácticas de
cableado:
 Canaletas metálicas,
 Armarios sin llaves,
 Face plates
“públicos”
 Desorden
 Mala documentación
 Distancias excedidas

Escuela Colombiana de Ingeniería

Capa física
 Chuzar la línea –
wiretapping
◦ Típico de Telefonía

 Chuzar la
línea –
wiretapping
◦ Los medios
son fáciles de
intervenir

Escuela Colombiana de Ingeniería

Capa física
 Recomendaciones
◦ Controles de humedad, aire acondicionado y temperatura.
◦ Lista de teléfonos de emergencia de los bomberos, policía, cruz
roja, hospitales o clínicas más cercanas y extensiones internas de
seguridad y enfermería.
◦ Detectores de fuego instalados tanto en el área del techo como
bajo el piso falso. Las personas deben conocer cómo se activan,
dónde se encuentran y cuáles son sus instrucciones de uso.
◦ Alarma de activación manual por el personal autorizado.
◦ Protección del las instalaciones del centro de computo,
especialmente contra inundación.
◦ Protección de medios magnéticos (Adentro y afuera)

Escuela Colombiana de Ingeniería

 Aplicación

CAPA DE
Transporte

ENLACE Red

Enlace

Física

Escuela Colombiana de Ingeniería

 Capa de enlace
 Problemática  Soluciones
 Ethernet (privacidad,  Port authentication
disponibilidad,  VPN nivel 2
integridad)  Cifrado de datos en
 Switches que guardan la NIC
información  VLANs
 SNMP
 Riesgos de
reemplazo de MAC

Escuela Colombiana de Ingeniería

 Aplicación

CAPA DE RED
Transporte

Red

Enlace

Física

Escuela Colombiana de Ingeniería

Capa de red
Protocolo IP
 El Protocolo Internet está diseñado para su uso en sistemas
interconectados de redes de comunicación de computadores
por medio de intercambio de paquetes.
 El protocolo internet implementa dos funciones básicas:
direccionamiento y fragmentación.

Adaptado de: http://rfc-editor.org/in-notes/rfc791.txt

Escuela Colombiana de Ingeniería

 IP – Paquete
Tipo de Servicio.
Tamaño del Tamaño total del
Versión del Relacionados con
encabezado enconfiabilidad y velocidad datagrama :
protocolo Indica la posición
palabras de 32 bits (FTP, Video) encabezado + datos.de
IP. Ej IPv4 Número que identifica a este datagrama
Tiempo de vida(5-15) Max.65.535 bytes
quédel
fragmento pertence
Prioridad D T R dentro del fragmento
paquete dentro deeste
la datagramas Sin uso completo
subred. Contador de Sin uso
número de saltos
máximo
more fragments
Opcion no contenidas en el(1:
Don´t mas;
encabezado. Tales
fragment.
como 0: último)
(1)seguridad, rutas estrictas, rutas libres,
Indica el protocolo Suma de
registro de ruta y marcas de horas,
de transporte que (1 byte: tipo, {1 byte:longitud},verificación
opción) del
Dirección
viaja en el paquete de origen encabezado
del datagrama
Dirección de
destino del
datagrama
Escuela Colombiana de Ingeniería
Protocolo IP
 Riesgos

◦ Denegación de servicio
- DOS y DDOS
 Basado en PING
(inundación).
 Smurt ( inundación ping a
dirección de broadcast)

◦ Monitoreo de
datagramas (sniffing) –
Man in the middle.
Escuela Colombiana de Ingeniería
 Protocolo IP
 Riesgos

◦ Suplantación de direcciones (Spoffing).

 Para “hecharle la culpa a otro”
 Para obtener acceso a un sistema
 Autenticación de una máquina a nombre de otra por medio de la
falsificación de datagramas.
Protocolo IP
 ICMP

◦ Ping de la muerte (pind of death).

 Genera un buffer overflow. Paquetes >
65536 bytes.
 Fragmentación de datagramas –
Fragmentación patológica

◦ Tracert/traceroute
Escuela Colombiana de Ingeniería
Ataques a nivel IP
 Enrutamiento
◦ Ataque a las tablas de enrutamiento (Routing
table attack). Cambio de rutas: para
 Disminuir eficiencia
 Generar timeouts
 Obtener información
◦ Enrutamiento desde el origen (colocar la ruta
en las opciones del encabezado IP)
◦ Cambiar número de saltos: Para
 Perder paquetes y generar timeouts

Escuela Colombiana de Ingeniería

Soluciones

 Seguridad
◦ IPSec
◦ Filtros de paquetes en enrutadores -
reglas configurables
◦ Firewalls
◦ IDS, IPS
◦ VPN
◦ UTM y NGFW

Escuela Colombiana de Ingeniería

 IPSec
 IP security (IPSec V3)
 Mecanismos para autenticación y cifrado de
los datos que son transmitidos a través de
datagrama IP.
 Cifrado simétrico y asimétrico
 RFC 4301.
◦ “IPsec creates a boundary between unprotected
and protected interfaces, for a host or a
network”
 Incluido en IPv6 de manera nativa
Escuela Colombiana de Ingeniería
IPSec
 Tres protocolos
◦ Encapsulamiento de la carga útil (ESP -
Encapsulating Security Payload): información
contenida en el datagrama cifrada (autenticación,
integridad y confidencialidad del paquete)
◦ Autenticación del encabezado (AH -
Authentication Header): autenticación e integridad
del encabezado del datagrama IP.
◦ ISAKMP/Oakley (Internet Security Association
and Key Management Protocol Oakley):
intercambio de llaves de sesión
Escuela Colombiana de Ingeniería
IPSec
 RFC 6071

Escuela Colombiana de Ingeniería

IPSec
 Dos modos
◦ Transporte: Protección de los datos
 AH y ESP
 Host-to-host
◦ Túnel: Protección de todo el datagrama
 AH y ESP
 Network-to-Network

Escuela Colombiana de Ingeniería

IPSec
IPSec

NETWORK SECURITY ESSENTIALS: APPLICATIONS AND STANDARDS. FOURTH EDITION. William Stallings

Escuela Colombiana de Ingeniería

IPSec

http://www.tcpipguide.com/free/t_IPSecModesTransportandTunnel-3.htm

Escuela Colombiana de Ingeniería

 Firewalls
 Seguridad preventiva
 Definición
◦ “Es un sistema o grupo de sistemas que refuerza la
política de control de acceso entre dos redes.”1
◦ Es un filtro de paquetes
◦ Los Firewalls son un mecanismo que permite
proteger la red interna, de una compañía, de
atacantes en redes externas
 Por HW o SW
 En un principio → de Red. Ahora también de
host (local).
I Seguridad en TCP/IP de Raul Siles Paez.

Escuela Colombiana de Ingeniería

Firewalls
 Función: Filtrar paquetes
 IP
Se deben definir
 TCP/UDP reglas. Tedioso
 Aplicación
 Configuración
◦ Todo está permitido por defecto
◦ Todo está protegido por defecto
 Delimita zona:
◦ DMZ: DeMilitarized Zone
◦ MZ: Militarized Zone

Escuela Colombiana de Ingeniería

 Firewalls

S
Single Router Approach
E
C
U
E R
D I
G T
E Y Defense in Depth Approach

R A
O P
U P
T R
E O DMZ Approach
R A
C
H
E
S CCNA Security
Firewalls

INTERNET

Computador
con dos tarjetas
de red una se
comunica con
Internet y la otra
con la red interna
Firewalls

INTERNET

Bloqueo de algunos
paquetes de entrada
y de salida
Firewalls

INTERNET
Internet

Bloqueo de paquetes
y
Equipo con dos
tarjetas conectando
las redes
Firewalls

Internet
INTERNET
 Firewalls
 Tener en cuenta
◦ Puede convertirse en un problema para la
eficiencia.
◦ El éxito de estos mecanismos depende de su
buena configuración.
◦ Conexión col las políticas de seguridad
◦ No soluciona todos los problemas de seguridad
◦ Protege de los de afuera
◦ Puede convertirse en cuello de botella o blanco
neurálgico.
◦ Habilitar logs

Escuela Colombiana de Ingeniería

Proxy

 Otra modalidad de firewall son los

servidores proxies, los cuales, básicamente
son programas que se hacen pasar por un
servicio (por ejemplo, ftp, telnet, correo,
etc.) con el objetivo de filtrar y controlar el
tráfico sobre estos.
Proxy web server
Proxy web server
www.miempresa.com

Internet
Servidor web
www.miempresa.com

Zona NO Zona
protegida protegida
Proxy web server
Proxy web
www.ventas.miempresa.com
www.operación.miempresa.com

Servidor web
www.operación.miempresa.com

Internet
Servidor web
www.ventas.miempresa.com

Zona NO Zona
protegida protegida
Proxy web server
Proxy web
www.ventas.miempresa.com
www.operación.miempresa.com

Servidor web
www.operación.miempresa.com

Internet
Servidor web
www.ventas.miempresa.com

Zona NO Zona
protegida protegida
Proxy web server
Proxy web
www.ventas.miempresa.com
www.operación.miempresa.com
www.información.miempresa.com

Servidor web
www.información.miempresa.com

Servidor web
www.operación.miempresa.com
Internet

Servidor web
www.ventas.miempresa.com

Zona NO Zona
protegida protegida
Proxies
Proxy web
www.miempresa.com
Proxy FTP
Archivos.miempresa.com

Servidor FTP
Archivos.miempresa.com

Internet
Servidor web
www.miempresa.com

Zona NO Zona
protegida protegida
Otras soluciones

 Sistemas de detección de intrusos – IDS

 Sistemas de prevención de intrusos – IPS
 Virtual Private Network – VPN
 Gestión Unificada de Amenazas - UTM y
Firewall de nueva generación – NGFW

Escuela Colombiana de Ingeniería

IDS e IPS

 Busca la detección de situaciones que

puedan afectar la seguridad de la red
 Tipos IDS
◦ HIDS
◦ NIDS
 Tipos IPS
◦ NIPS
◦ WIPS
◦ HIPS

CCNA Security
Otras soluciones

 Sistemas de detección de intrusos – IDS

 Sistemas de prevención de intrusos – IPS
 Virtual Private Network – VPN
 Gestión Unificada de Amenazas - UTM y
Firewall de nueva generación – NGFW

Escuela Colombiana de Ingeniería

 VPN
 Es una extensión de la red local de una
organización que utiliza como canales de
interconexión una red pública IP (Internet)
 No requiere la utilización de canales “privados”
alquilados a un proveedor de servicios de redes
públicas
 Una VPN permite enviar datos entre dos
computadores a través de una red pública
compartida emulando una red punto a punto
propia
VPN
 Permite hacer comunicaciones seguras
sobre canales inseguros
 Características
◦ Confidencialidad de datos
◦ Integridad de datos
◦ Autenticación
 VPN
 Características
◦ Privada: De la organización
◦ Virtual: No física.

CCNA Security
VPN

- Uso de IPSec

CCNA Security
VPN
 Tipos
◦ Punto a Punto
◦ Entre redes

 Se espera
◦ Disminuir costos
◦ Mejorar la seguridad CCNA Security

◦ Permitir escalabilidad

Escuela Colombiana de Ingeniería

Otras soluciones

 Sistemas de detección de intrusos – IDS

 Sistemas de prevención de intrusos – IPS
 Virtual Private Network – VPN
 Gestión Unificada de Amenazas - UTM y
Firewall de nueva generación – NGFW

Escuela Colombiana de Ingeniería

UTM y NGFW
 UTM
◦ Unified Threat Management
◦ Filtrado de paquetes y web
◦ Filtrado de contenido
◦ IDS/IPS
◦ Antivirus
◦ VPN
◦ Comportamiento
 Aplicaciones
 Usuarios
 Contenido
◦ DLP - Data loss prevention
◦ NAC – Network Access Control
http://searchnetworking.techtarget.com/How-to-evaluate-and-manage-UTM-for-network-security
UTM y NGFW
 Next-Generation FireWall
◦ Filtrado de paquetes
◦ DPI (Deep Packet Inspection)
◦ IDS/IPS
◦ Reconocimiento de aplicaciones para bloquearlas si
son una amenaza
◦ Capacidad de revisar otras fuentes para tomar
decisiones.
◦ VPN
◦ Filtrado Web
◦ Antivirus
◦ Autenticación de usuarios
Escuela Colombiana de Ingeniería
UTM y NGFW

http://www.slideshare.net/neoma329/next-generationsecurity
UTM y NGFW

http://www.slideshare.net/neoma329/next-generationsecurity
 Aplicación

CAPA DE
Transporte

TRANSPORTE Red

Enlace

Física

Escuela Colombiana de Ingeniería

Capa de transporte
 Funciones
◦ Conexión extremo a extremo
◦ OAC o NOAC
◦ TCP y UDP

Escuela Colombiana de Ingeniería

Capa de transporte

Escuela Colombiana de Ingeniería

Capa de Transporte
 UDP

Escuela Colombiana de Ingeniería

 Capa de transporte
 TCP

Escuela Colombiana de Ingeniería

 Problemas de seguridad

 Inundación SYN
o SYN Flooding

Escuela Colombiana de Ingeniería

 Problemas de seguridad

 TCP-RST: Reset
permanentes
 TCP-FIN

Escuela Colombiana de Ingeniería

 Problemas de seguridad

 Ataque LAND:
Sesiones a si
mismo
 Secuestro de
sesión o
Hijacking
Escuela Colombiana de Ingeniería
 Problemas de seguridad

 Inundación UDP o UDP flooding: ahogar al

atacado
 Tiny fragment attack: Fragmentar a nivel
IP dejando el encabezado TCP en un
fragmento independiente.
 Fraggle: variación del ataque smurf (ping a
broadcast) pero a nivel de transporte
usando UDP
Escuela Colombiana de Ingeniería
 Problemas de seguridad

 Escaneo de puertos para identificación de

aplicaciones y vulnerabilidades TCP
◦ “Puertos abiertos” por aplicaciones
 Del sistema
 De infraestructura base
 De usuario.

Escuela Colombiana de Ingeniería

 Algunas soluciones
 Secure Socket Layer – SSL
◦ Desarrollado por Netscape
◦ 90s
◦ Sobre protocolo TCP
◦ Objetivo
 Dar privacidad en la transmisión de datos – Cifrado
simétrico.
 Integridad de la información transmitida – cifrado
simétrico
 Autenticación de las partes – Cifrado asimétrico
(también para intercambio de llaves de sesión)
Escuela Colombiana de Ingeniería
 Algunas soluciones
 SSL

 Transport Layer
Security – TLS.
◦ RFC 2246
◦ Sucesor de
SSLv3.0
◦ No compatibles
◦ RFC 4346 (2006)

Escuela Colombiana de Ingeniería

Recomendaciones finales
 Instale dispositivos que monitoreen,
controlen y administren el tráfico y
genere alarmas a partir de estos
 Cierre todos aquellos puertos que no
está utilizando
 Active las opciones de registro de
eventos
 Use mecanismos de autenticación
“temporizada”
Escuela Colombiana de Ingeniería