Seguridad TCP/IP

Seguridad en Redes - MUSI
Manuel Sánchez Rubio
Tema 1:
Aspectos de Seguridad TCP/IP
Universidad Internacional de La Rioja

Índice
► Introducción
► Aspectos avanzados de TCP/IP
► Principales protocolos de TCP/IP
► IP versión 6
T1 - Seguridad en Redes 2
Semana 1
Tema 1 - 1
Índice
► Introducción
► IP versión 6
¿Es Internet seguro?
► ¿TCP/IP es horrible?
► Diseño con 50 años de antigüedad (1974).
► Incremento exponencial del número de ordenadores

► Incremento exponencial de usuarios
► Transmisión de informaciones sensibles
► Decremento de los requisitos para la realización de ataques
remotos
► En esta asignatura: ¿cómo hacer que sea seguro?
Modelo OSI
Modelo OSI
APLICACIÓN
Protocolo de Aplicación APLICACIÓN
PRESENTACIÓN
Protocolo de Presentación PRESENTACIÓN
SESIÓN
Protocolo de Sesión SESIÓN
TRANSPORTE SUBRED
Protocolo de Transporte TRANSPORTE
RED RED RED RED
ENLACE ENLACE ENLACE ENLACE
FÍSICO FÍSICO FÍSICO FÍSICO
Modelo TCP/IP
Modelo TCP/IP
Modelo TCP/IP
Modelo TCP/IP
Ejemplo Onion Routing
A cifra el mensaje como una cebolla (TOR: The Onion Router):

3.-
1.- El
A mensaje
Obtiene la
resultante
clave pública
se cifra
de con
F, I ylaGclave pública de I
4.-
2.- El
Cifra
mensaje
el mensaje
resultante
“Holasesoy
cifra
A” con
con la
la clave
clave pública
pública de
de FG
B E H
A D G J
C F I
T1 - Seguridad en Redes
F, extrae la cabecera y descifra con su clave privada la información, que entre

otros contiene la información de por donde debe circular el paquete
I, procede de igual forma que F
G, descifra el contenido y lee “Hola soy A”

B E H
A D G J
C F I
Protocolos básicos en teoría
► ARP
► IP
► ICMP
► TCP
► Orientado a conexión:
► three-way handshake, cierre de conexión
► UDP
Amenazas a la
Seguridad en Internet
Amenazas de seguridad en Internet
► Ataques a la autenticación
► Suplantación de entidades en Internet
► Ataques a la disponibilidad
► Inhabilitación remota de máquinas
► Ataques a la confidencialidad
► Monitorización de conexiones de red
► Ataques a la Integridad
► Sustitución de contenidos Web
Ataques a la autenticación
► Suplantación de entidades en Internet

► Mediante:
► Falsificación de las direcciones origen de los mensajes
(IPspoofing, ARP Spoofing)

► Permite:
► Suplantar a otras máquinas
► Es posible acceder a sistemas de información protegidos
► Suplantar a otras entidades
► Envío de mensajes de correo electrónico con
identidades falsas.
DHCP Spoofing
A puede falsear las MACs que utiliza al

mandar los DHCP Request
Dame IP para MAC AA

Usa 10.0.0.100
Dame IP para MAC AB
Usa 10.0.0.101
Rango
Dame IP para MAC AC Usa 10.0.0.102 dinámico
. .
. . 10.0.0.100
. . 10.0.0.199
Dame IP para MAC DU
Usa 10.0.0.199
B
1 2
A
3
Cliente malintencionado Servidor
DHCP
Dame IP para MAC C
C
ARP Spoofing
ARP Reply (A)
“10.1.1.1 es B”
B
IP: 10.1.1.1
ARP Request (FF)
“Busco a 10.1.1.1”
IP MAC
2 10.1.1.2 A
A GARP (B)
1 “10.1.1.2 es C”
3
IP: 10.1.1.2
Rtr.: 10.1.1.1
C
IP MAC
10.1.1.1 B
10.1.1.1 C
ARP (A)
“10.1.1.1 es C”
Todo el tráfico entre A y B pasa a través de C
Esto permite los ataques ‘del hombre en medio’
ARP Spoofing, limpiando rastros
B
IP: 10.1.1.1
IP MAC
2 10.1.1.2 A
A GARP (B)
1 “10.1.1.2 es A”
3
IP: 10.1.1.2
Rtr.: 10.1.1.1
C
IP MAC
10.1.1.1 B
10.1.1.1 C
GARP (A)
“10.1.1.1 es B”
Después del ataque el agresor limpia todos los rastros
Máscaras de red,
Ataques a la disponibilidad direcciones broadcast,
número dispositivos, etc
http://jodies.de/ipcalc
Ataques a la disponibilidad
Ataques a la confidencialidad
► Utilización de analizadores de red (sniffers)
Ataques a la confidencialidad
► Troyanos
https://dl.acm.org/doi/pdf/10.1145/2501654.2501659
Ataques a la integridad
► Ruptura de servidores Web

► Mediante:
► Fallos de seguridad en los programas servidores
► Es posible:
► Cambio de contenidos web
► Control total del servidor
► Modificación del contenido de ficheros (normalmente
imágenes)
► Ruptura de Servidores de Dominio (DNS)

► Ataques sobre servidores de comercio electrónico

► Re-direccionamiento de las peticiones

► Sabotaje de la información del servidor de dominio

1 El servicio www del dominio reside en MAIL_2
Ataques a la integridad 2 Se cambia la IP, se redirecciona a otra web

2 212.130.4.32

¿Qué nos espera?
► Incremento de usuarios
► El crecimiento de los clientes potenciales
► Los vendedores deben actuar rápido
► Los usuarios demandan mejor precio en los productos y no
seguridad en las transacciones

► Mayor interconexión con clientes, proveedores y empresas afines
► Difícil de determinar qué es intranet y qué Internet
► Los ordenadores inseguros suponen una amenaza para el resto
Buenas noticias
► Nuevo protocolo para Internet (IPv6)

► Incorpora mecanismos de seguridad
► Autenticación, Integridad y Confidencialidad

► Sistemas más volcados en la interconexión
► Concienciación de la importancia de la seguridad
► Cambio de mentalidad
► Inversión < - - > Ahorro potencial
muchas
gracias
www.unir.net
Semana 2
Tema 1 - 2
Índice
► Introducción
► IP versión 6
Motivación
► Agotamiento de direcciones IPv4
► Direcciones 32 bits (más de 4 Mil Millones de direcciones)
4.000.000.000
► Crecimiento exponencial Internet
► Dispositivos móviles
► Internet de las Cosas (IoT)
https://en.wikipedia.org/wiki/Network_address_translation
IPv6
Mejoras Respecto IPv4 (I)
► Incremento Espacio de direcciones (128 bits – 3.4x1038 direcciones)

340.000.000.000.000.000.000.000.000.000.000.000.000
4.000.000.000
► Mejora del soporte Multicast (0xFF)
► SLAAC (Stateless Address Autoconfiguration):

► Autoconfiguración de hosts con NDP (Neighbor Discovery
Protocol) usando mensajes ICMPv6.
Mejoras Respecto IPv4 (II)
► Seguridad IPSec obligatoria* (Tema 5)

► Autenticación e integridad AH
► Confidencialidad ESP (y autenticación e integridad opcional)
► IKE para intercambio de claves (p.e. Diffie Hellman)
► *Obligatorio soportar IPSec:

► Si no hay recursos suficientes no
Mejoras Respecto IPv4 (III)
► Procesamiento Simplificado en Routers
(se elimina checksum y fragmentación)
► Mejor soporte para extensiones y opciones.

► Encabezados a parte no consultados por routers
► Jumbogramas hasta 4GB en lugar de los 64 KB de IPv4

► Menos cabeceras y control
► Mejora QoS (Quality of Service). Traffic Class

► IP Móvil. IP en distintas redes (en movilidad)
IPv6 Cabecera
► ¿Qué es la criptografía?
IPv6 direccionamiento
► Dirección x4 bits:
- Los 0 de la izquierda se
quitan
- Los campos todo cero
consecutivos se pone ::
- ¿Cuántos bloques de 0?
REF:
https://www.cisco.com/en/US/technologies
/tk648/tk872/technologies_white_paper09
00aecd8026003d.pdf
IPv6 direccionamiento
► Tipos de direcciones
► Globales unicast
► 2 tipos locales (F…)
► Multicast (FF)
► Se te asignan 64bits de
máscara (más de todas las
de IPv4 actualmente)
Problemas
► No es compatible con IPv4

► No hereda los problemas previos
► Pero el cambio no es transparente al usuario
► Soluciones para la transición IPv4 a IPv6

► SO tienen doble Pila IPv4-IPv6 (dual-stack)
► Uso de túneles o intermediarios para su convivencias: 6in4,
Teredo, NAT64, etc.
https://www.youtube.com/watch?v=8siY6bfJQVk
Problemas
► Privacidad de direcciones
► No hay NAT, por defecto accesibles en todo Internet
► Se usaba MAC + IP (problema de seguridad)
► Pueden cambiarse en periodos temporales
► Seguridad (Si infraestructura solo activa para IPv4)

► Dual Stack o Como dejarse la puerta del garaje abierta
► Comandos Simples:
https://www.cellstream.com/referencereading/tipsandtricks/121-
ipv6-windowslinux-commandline-examples
Transición IPv4 – IPv6
https://tools.ietf.org/html/rfc4213
Transición IPv4 – IPv6
IPv6 Brocker
Tunnel Broker https://tunnelbroker.net/

Wikipedia List of IPv6 tunnel brokers:
https://en.wikipedia.org/wiki/List_of_IPv6_tunnel_brokers
Adopción
Google IPv6 Adoption Statistics

https://www.google.com/intl/en/ipv6/statistics.html
Adopción
Google IPv6 Adoption Statistics

https://www.google.com/intl/en/ipv6/statistics.html
muchas
gracias
www.unir.net

Seguridad TCP/IP

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad TCP/IP

Cargado por

Copyright:

Formatos disponibles

Seguridad en Redes - MUSI

Manuel Sánchez Rubio

Universidad Internacional de La Rioja

► Incremento exponencial del número de ordenadores

► En esta asignatura: ¿cómo hacer que sea seguro?

RED RED RED RED

ENLACE ENLACE ENLACE ENLACE

FÍSICO FÍSICO FÍSICO FÍSICO

A cifra el mensaje como una cebolla (TOR: The Onion Router):

F, extrae la cabecera y descifra con su clave privada la información, que entre

G, descifra el contenido y lee “Hola soy A”

► three-way handshake, cierre de conexión

► Suplantación de entidades en Internet

► Falsificación de las direcciones origen de los mensajes

(IPspoofing, ARP Spoofing)

► Suplantar a otras máquinas

► Es posible acceder a sistemas de información protegidos

► Suplantar a otras entidades

► Envío de mensajes de correo electrónico con

A puede falsear las MACs que utiliza al

Dame IP para MAC AA

Después del ataque el agresor limpia todos los rastros

► Utilización de analizadores de red (sniffers)

► Ruptura de servidores Web

► Fallos de seguridad en los programas servidores

► Cambio de contenidos web

► Control total del servidor

► Modificación del contenido de ficheros (normalmente

► Ruptura de Servidores de Dominio (DNS)

► Ruptura de Servidores de Dominio (DNS)

► Ruptura de Servidores de Dominio (DNS)

► Ruptura de Servidores de Dominio (DNS)

► Ruptura de Servidores de Dominio (DNS)

► Ruptura de Servidores de Dominio (DNS)

► Los usuarios demandan mejor precio en los productos y no

seguridad en las transacciones

► Nuevo protocolo para Internet (IPv6)

► Autenticación, Integridad y Confidencialidad

► Inversión < - - > Ahorro potencial

► Internet de las Cosas (IoT)

► Incremento Espacio de direcciones (128 bits – 3.4x1038 direcciones)

► SLAAC (Stateless Address Autoconfiguration):

Protocol) usando mensajes ICMPv6.

► Seguridad IPSec obligatoria* (Tema 5)

► Confidencialidad ESP (y autenticación e integridad opcional)

► IKE para intercambio de claves (p.e. Diffie Hellman)

► *Obligatorio soportar IPSec:

► Mejor soporte para extensiones y opciones.

► Jumbogramas hasta 4GB en lugar de los 64 KB de IPv4

► Mejora QoS (Quality of Service). Traffic Class

► 2 tipos locales (F…)

► No es compatible con IPv4

► Pero el cambio no es transparente al usuario

► Soluciones para la transición IPv4 a IPv6

► Uso de túneles o intermediarios para su convivencias: 6in4,

Teredo, NAT64, etc.

► Se usaba MAC + IP (problema de seguridad)

► Pueden cambiarse en periodos temporales

► Seguridad (Si infraestructura solo activa para IPv4)

Tunnel Broker https://tunnelbroker.net/

Google IPv6 Adoption Statistics

Google IPv6 Adoption Statistics

También podría gustarte