Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin
Las redes conectan computadoras. Que problemas se presentan ? Mayor interaccin es posible, a costa de interacciones no deseadas Veremos los retos y problemas especficos de las redes, y como contribuye y depende de la seguridad de las computadoras En particular hablaremos de redes TCP/IP (Internet)
FSI 2011 Seguridad en Redes (parte 1) 2
26/04/2011
Plan
Conceptos bsicos redes TCP/IP Problemas de seguridad en redes TCP/IP Seguridad IP (IPSec) Redes privadas virtuales (VPN) Virtual LAN (VLAN) Firewalls Sistemas de deteccin de intrusos (IDS)
FSI 2011 Seguridad en Redes (parte 1) 3
26/04/2011
Pequeas o grandes, su objetivo es llevar informacin de un computador a otro La mayor red de datos pblica, Internet, funciona sobre protocolos e ideas de hace 30 aos. Para simplificar su estudio, las redes se modelan separando su funcionalidad en capas Nos basaremos en el modelo OSI modificado para adaptarse a la arquitectura de TCP/IP
FSI 2011 Seguridad en Redes (parte 1) 5
26/04/2011
Internet
Internet es el resultado de la interconexin de mltiples redes de computadoras que utilizan un mismo conjunto de protocolos Utiliza la tecnologa de conmutacin de paquetes (unidades de datos con un formato definido)
26/04/2011
Modelo de capas
Se utiliza un modelo organizado en capas para el diseo y anlisis de las redes de datos Se trata de atacar el problema complejo mediante la divisin en problemas de menor complejidad Cada capa debe resolver un problema especfico y dar servicios a las capas superiores
FSI 2011 Seguridad en Redes (parte 1) 7
26/04/2011
m e d io s f s i c o s M q u in a A
26/04/2011
E q u ip o s in t e r m e d i o s
FSI 2011 Seguridad en Redes (parte 1)
M q u in a B
8
Funciones principales
Clientes y servidores de aplicaciones concretas Ej: transferencia de archivos, correo electrnico, navegacin... Comunicacin de datos entre cliente y servidor Diferentes tipos de servicio y calidades Encaminamiento de paquetes a travs de la red para alcanzar el destino
FSI 2011 Seguridad en Redes (parte 1) 9
Red (ip)
26/04/2011
Transmisin de datos entre equipos directamente conectados. Ej: Ethernet, PPP, HDLC. Tambin se pueden considerar ATM, FrameRelay cuando se usan como redes de transporte de IP Transmisin de datos en cada medio fsico particular
26/04/2011
10
Ejemplo: Navegacin
En mi navegador escribo:
http://www.antel.com.uy
Se despliega en mi pantalla un conjunto de textos, imgenes, animaciones Qu funciones son necesarias para que esto funcione?
26/04/2011
11
Ejemplo: Navegacin
Los usuarios se manejan mejor con nombres (www.antel.com.uy), pero las computadoras no Hay que transformar esa etiqueta en una direccin de mquina. Protocolo de capa de aplicacin: DNS Para intercambiar informacin entre el cliente y el servidor necesito un protocolo de capa de transporte: TCP en el ejemplo Para transportar los paquetes a travs de la red uso el protocolo de capa de red: IP En las capas inferiores depende de la tecnologa de conexin a la red en cada extremo
FSI 2011 Seguridad en Redes (parte 1) 12
26/04/2011
Capa de aplicacin
Vulnerabilidades en protocolos e implementaciones Servicio de capa de aplicacin usado por las dems aplicaciones Se implementa como una base de datos distribuida a nivel mundial Opera con un mecanismo de consultas y respuestas Es un servicio crtico para el usuario de Internet
26/04/2011
13
Capa de transporte
En Internet, 2 protocolos:
Garantiza un flujo confiable de informacin entre dos entidades Usado por http, ftp, correo electrnico, etc. Usado por DNS, VoIP, ....
26/04/2011
14
Encabezado TCP
P u e r to d e o r ig e n P u e r to d e d e s tin o N m e r o d e s e c u e n c ia N m e r o d e r e c o n o c i m ie n to Hea der le n g t h U C he cks u m O p c i o n e s ( o p c i o n a l) A P R S F W in d o w s i z e U r g e n t P o in te r
D a t o s ( o p c i o n a l)
3 2 b its
26/04/2011 FSI 2011 Seguridad en Redes (parte 1) 15
26/04/2011
16
Si el nmero de secuencia es predecible, podra establecer una conexin ciega o insertar datos en otra conexin
Session Hijacking
26/04/2011
17
UDP
Muy sencillo. Bsicamente puertos origen y destino No ofrece garantas de entrega en destino No tenemos ningn campo que nos permita reconocer una solicitud vlida de una invlida
26/04/2011
18
Capa de Red. IP
Arquitectura de datagramas Cada datagrama contiene en su encabezado la direccin del destino Es un servicio mejor esfuerzo. No hay garanta de entrega, ni de retardos, ni de orden La decisin de enrutamiento se realiza paquete a paquete en base a direccin de destino La red no mantiene informacin de estado de los flujos de paquetes que circulan por ella
FSI 2011 Seguridad en Redes (parte 1) 19
26/04/2011
R4 R2 R3 R1 A R6 R5
Destino B . prximo salto -20
Direcciones IP
Identificador nico en la red En IP versin 4: 32 bits (164.73.38.2) En IP versin 6: 128 bits (2001:1328:6::5) Asignadas por Registros de Internet
Cada paquete lleva direccin de origen y destino Tpicamente se puede enviar paquetes con cualquier direccin de origen
FSI 2011 Seguridad en Redes (parte 1) 21
26/04/2011
Enrutamiento
Cada enrutador en el camino de origen a destino debe conocer como llegar al destino Rutas estticas: configuradas manualmente Rutas dinmicas: protocolos de ruteo Los enrutadores e informacin de ruteo son targets atractivos para un atacante
26/04/2011
Capa 3 en internet
IPv4 e IPv6 Muy similares en sus caractersticas de seguridad IPSec es obligatorio (de implementar) en IPv6 Servicio de datagramas. No hay garantas de entrega/duplicados/retardos. No hay garantas de origen
Cualquier equipo puede enviar un paquete con IP de origen arbitraria Algunos proveedores filtran, otros no
FSI 2011 Seguridad en Redes (parte 1) 24
26/04/2011
IP
Es muy difcil rastrear un ataque proveniente de Internet con direcciones origen modificadas
26/04/2011
25
ARP - Mapeo de direccin de capa 3 a direccin de capa MAC Protocolo muy sencillo.
26/04/2011
ARP spoofing
La mayora de los sistemas aceptan respuestas a preguntas que no hicieron, o actualizan su cache ante un pedido Si lo refresco suficientemente seguido, no har un nuevo pedido broadcast Permite ataques Man In The Middle, escuchas, Negacin de servicio, etc. Es lo que se utiliz en el primer laboratorio
FSI 2011 Seguridad en Redes (parte 1) 27
26/04/2011
Configuracin de entradas ARP estticas Separacin de redes crticas Monitoreo de cambios en las entradas de ARP Encriptacin en capas superiores Algunos equipos, al recibir un ARP donde cambia un mapeo existente IP-MAC, mandan una consulta ARP a la vieja MAC. Solo funciona si la entrada an est en cache
FSI 2011 Seguridad en Redes (parte 1) 28
26/04/2011
Si puedo modificar la informacin de ruteo, puedo reencaminar trfico importante por donde no debe Es comn que los protocolos de ruteo interno se ejecuten sin medidas de seguridad (aunque estas estn disponibles) En ruteo externo (BGP), el mayor peligro son publicaciones a travs de proveedores que no filtren adecuadamente a sus clientes
26/04/2011
Capa 4 en internet
UDP (servicio de datagrama): junto con IP, muy fcil hacer spoofing de solicitudes (ej. DNS) Muy difcil distinguir solicitudes vlidas de invlidas. No hay estado en las solicitudes
26/04/2011
30
TCP
Nmero de secuencia para detectar segmentos duplicados, faltantes, reordenados, fuera de secuencia Suma de comprobacin para detectar errores de transmisin No sirve para detectar modificacin maliciosa
26/04/2011
31
26/04/2011
32
puertos origen y destino IP origen y destino Nmeros de secuencia dentro de la ventana del receptor
Idem para establecer una conexin a ciegas El nmero de secuencia inicial se elije aleatoriamente, no solo en base a un reloj como se hizo inicialmente
FSI 2011 Seguridad en Redes (parte 1) 33
26/04/2011
Algunas debilidades
Syn flood: inundacin de paquetes de establecimiento de conexin. Se ocupan recursos en conexiones que nunca se terminarn de establecer. Hay paliativos Llenado de la tabla de conexiones establecidas
Ataques con TCP reset (DOS) Ataques con ICMP unreachable Ataques con ICMP must-fragment
26/04/2011
35
Capa de aplicacin
Donde se encuentran los servicios que le interesan al usuario Miles de potenciales servicios
Muchos de ellos sin ninguna consideracin por la seguridad en su diseo Otros mal implementados
DNS
FSI 2011 Seguridad en Redes (parte 1) 36
26/04/2011
Capa de aplicacin
Para conectarse a un determinado servicio, se utiliza el puerto de capa de transporte del mismo
Servicios bien conocidos. Ejemplos: http(80), smtp(25), pop3(110), ntp(123), dns (53), etc. Otros. Pueden tener puertos fijos o algn servicio de directorio
26/04/2011
DNS
Zonas de autoridad, con sus servidores autoritativos Servidores recursivos que guardan cache
Las consultas utilizan UDP 13 servidores raiz (13 direcciones IP), necesarios para comenzar cualquier bsqueda
FSI 2011 Seguridad en Redes (parte 1) 38
26/04/2011
Por qu es crtico
Si no funciona, la mayora de los servicios seran inalcanzables por la mayora de los usuarios Si se modifican datos maliciosamente, se puede redirigir trfico de un sitio legtimo o negar servicio
26/04/2011
39
Bugs de seguridad en los servidores antiguos (BIND y otros) Cache corruption: ante una pregunta, el servidor devuelve datos relevantes para otra consulta, falsos. Versiones viejas de servidores recursivos caan en esta trampa No hay ninguna autenticacin de las respuestas Bugs en los clientes
26/04/2011
Puede brindar informacin sobre los servicios brindados externamente (e internamente si los ponemos en el DNS)
Es comn utilizar split dns (visiones distintas segn desde donde o a qu servidor consultemos)
Separar servidores internos (recursivos) de los externos, para evitar intentos de cache poisoning desde afuera Problemas de seguridad en los registros de nombres de dominio
FSI 2011 Seguridad en Redes (parte 1) 41
26/04/2011
Otras aplicaciones
Cualquier aplicacin accesible a travs de una red es susceptible de ser atacada si tiene bugs en su implementacin Histricamente, la cantidad de bugs de seguridad en servidores de todo tipo es alta A veces nos olvidamos que, por ejemplo, una impresora con conexin de red es tan vulnerable como nuestros servidores Algunos ejemplos se vern la semana que viene
FSI 2011 Seguridad en Redes (parte 1) 42
26/04/2011
Pruebas y escaneos: intentos de obtener informacin de sistemas remotos. Tpicamente como precursores de futuros ataques Envo de paquetes que exploten vulnerabilidades en las implementaciones de los protocolos o las aplicaciones Captura de paquetes (packet sniffing) capturar paquetes que pasan por la red y obtener informacin sensible
FSI 2011 Seguridad en Redes (parte 1) 43
26/04/2011
Ms tipos de ataque
Negacin de servicio (denial of service) generar peticiones que carguen excesivamente o hagan colapsar un equipo o enlace Spoofing hacerse pasar por otra mquina (u otro usuario)
26/04/2011
44
Portscans
Tpicamente ataque de reconocimiento Bsqueda de servicios disponibles Deteccin de versiones Fingerprint del Sistema Operativo, parches
26/04/2011
45
Hemos visto que pueden ser causados por problemas en varias capas
ARP spoofing Ataques a los protocolos de ruteo Llenado de tablas de informacin de conexiones Modificacin de entradas en el DNS
26/04/2011
46
Bibliografa y referencias
A. Tanenbaum. Redes de Computadoras. 4Ta ed. Prentice Hall, 2003. R. Anderson, Security Engineering A Guide to Building Dependable Distributed Systems, Wiley, 2001. D. Gollman, Computer Security, Wiley, 2006.
26/04/2011
47