SEGURIDAD EN REDES INFORMÁTICAS

2010
Bibliografía:
1. Redes de Computadores en Internet, Fred Halsall 5°ed - Cap 10.
2. Comunicaciones y redes de Computadoras, Williams Stallings 6° ed.
- Cap 18
3. Internetworking with TCP/IP vol 1, Comer 5° ed. - Cap 19.
4. TCP/IP Tutorial and Technical Overview, Adolfo Rodriguez y otros. Ed
IBM redbook 2001 (PDF) – Cap 21
1
 Primer principio de la
Administración de seguridad

 “Si tiene responsabilidad sobre la seguridad, pero no tiene

autoridad para fijar las reglas y castigar a quienes las violen, su
papel en la organización es asumir la culpa si sucede algo
grave.”

Temas:
 Requisitos y amenazas a la seguridad
 Cifrado de datos
 Seguridad en la red
 Tecnologías de seguridad
 Firewall
 Seguridad en las transacciones

2
 Identificación de ataques

Internet Ataques externos

Ataques por
Red insegura
acceso remoto

Red segura

Ataques internos

3
 Soluciones

 Firewalls (cortafuegos)
 Proxies (o pasarelas)
Intrusion
 Control de Acceso Externa
 Cifrado (protocolos seguros)
 Seguridad física
Intrusion
 Hosts, Servidores Interna
 Routers/Switches

• Detección de Intrusiones

4
 Diseño de un sistema de seguridad

 El proceso de diseñar un sistema de seguridad es aquel que

esta orientado a descubrir y cerrar las posibles vías de ataque
 Es imprescindible un profundo conocimiento acerca de las debilidades
que los atacantes aprovechan, y del modo en que lo hacen.
 Es una confrontación entre un administrador e infinitos atacantes
expertos con diferentes técnicas y herramientas
 Existe una gran variedad de ataques posibles a vulnerabilidades pero
en la práctica se utiliza una combinación de éstas.
 Los intrusos, antes de poder atacar una red, deben obtener la mayor
información posible acerca de esta; intentan obtener la topología, el
rango de IPs de la red, los S.O, los usuarios, etc.
 El administrador debe saber, que existen organismos que informan de
forma actualizada, las técnicas de ataque utilizadas y novedades, ej
CERT/CC (Computer Emergency Response Team Coordination Center)
5 http://www.cert.org o www.arcert.gov.ar en argentina
 Ejemplo - Alerta de seguridad del ARCERT
 Oficina Nacional de Tecnologías de Información Alerta de Seguridad - ArCERT

 *Alerta ArCERT - 2010110800:* *ISC DHCP: Denegación de servicio*. Se

ha publicado una vulnerabilidad en ISC DHCP que permitiría provocar una
denegación de servicio en un equipo afectado.

 *Impacto* El impacto de esta vulnerabilidad es *MODERADO.*

 *Versiones Afectadas* Se ven afectados por esta vulnerabilidad los

siguientes productos y versiones: * ISC DHCP 4.0.x, 4.1.x y 4.2.x

 *Detalle* Un error en el procesamiento de los mensajes DHCPv6 "Relay-

Forward" puede ser aprovechado para provocar una finalización inesperada del
servicio mediante un paquete con el campo "Link-Address" vacío. Para que el
ataque tenga éxito se requiere que el servidor esté configurado para atender
solicitudes DHCPv6. *Recomendaciones* Actualizar, según corresponda, a la
versión 4.0.2, 4.1.2 ó 4.2.0-P1.

 *Referencias*
6
 Gestión de Seguridad
• Firewall
2) ASEGURAR • Software confiable
• IPsec
• PKI

1)
5) GESTIONAR y POLITICA de 3) MONITOREAR y
. MEJORAR SEGURIDAD REACCIONAR
• Administración • IDS
de recursos

4) COMPROBAR
• Escaneo de vulnerabilidades

7
 Requisitos para implementar seguridad

La seguridad en computadoras y en redes implica cumplir tres requisitos:

 Confiabilidad: requiere que la información en una computadora y en

tránsito sea accesible para la lectura sólo por los entes autorizados.

 Integridad: requiere que los recursos de una computadora y en

tránsito sean modificados solamente por entes autorizados.

 Disponibilidad: requiere que los recursos de una computadora y en

tránsito estén disponibles a los entes autorizados.

8
 Formas de ataques
Ataques pasivos

 Las agresiones pasivas son del tipo de las escuchas, o monitoreo de las
transmisiones.

 La meta del oponente es obtener información que está siendo

transmitida. Existen dos tipos de agresiones:

 Divulgación del contenido de un mensaje.

 Análisis del tráfico

 Los ataques pasivos son muy difíciles de detectar ya que no implican la

alteración de los datos. Pero son factibles de prevenir.
9
 Formas de ataques
Ataques Activos

 Los ataque activos suponen alguna

modificación del flujo de datos o la
creación de flujos falsos.
 Se subdividen en 4 categorías:

 Enmascaramiento

 Repetición

 Modificación de mensajes

 Denegación de servicio

10
 Métodos de ataque

 Aprovechamiento  Personificación

 IP spoofing (direcciones IP falsas)

 Explotación de buggs.
 Passwd.  Enrutamiento en el origen

 Script CGI.  Comandos UNIX

 Redirección ICMP
 DNS spoofing (DNS falso).
 Web spoofing (sitio falso)

 Negación de servicios  Transportados por datos

 SYN Flooding (inundación de SYN)  Virus

 Inundación de Pings  Caballo de troya
 Ping de la muerte  Fragmentación
 Bombas ICMP  Ejecutables
 Llenado del disco rígido  X windows
11  Bloqueo de auditoría  Spam

 Ingeniería social - phishing

 Protección
Es difícil prevenir las agresiones activas, y requiere:

 Protección física de todos los servidores y estaciones de

trabajo

 Protección total de las rutas de comunicación.

 Por consiguiente, la meta es detectarlas y recuperarse de cualquier

perturbación o retardo causados por ellas.
 Formas de protección
 Privacidad de los datos con cifrado o encriptación.
 Protección contra virus y troyanos.
 Creación de políticas de seguridad en la red.
 Protección física de los equipos de computación y de comunicaciones.
 Filtros de paquetes
12
 Soluciones de seguridad en el modelo TCP/IP
- S-MIME
- Kerberos

Aplicaciones - SET (Secure Electronic Transaction)

- Proxies
- IPSec (ISAKMP)
TCP/UDP
- socks
(Transporte)
- SSL, TLS

IP - IPSec (AH, ESP)

(Interconexión de red) - Filtrado de paquetes
- Protocolos de túnel
Interface de red
(Capa de enlace) - Chap, PAP, MS CHAP

13
 Privacidad de los datos con encriptación
Criptografía- Generalidades
 La criptografía provee un conjunto de técnicas para codificar
mensajes de forma tal que dichos mensajes pueden ser almacenados
y transmitidos en forma segura.

 Provee los siguientes servicios:

 Confidencialidad
 Integridad
 Autenticidad
 No repudio

 La existencia de esta tecnología es la que posibilita el comercio

electrónico, la autenticación de transacciones sobre redes como
Internet.

14
 Encriptación
 Usando criptografía, un mensaje original se codifica para que parezca
un mensaje compuesto por bits aleatorios y que es muy difícil de volver
a convertir al mensaje original sin una clave secreta.

 Un mensaje sin encriptar se conoce como mensaje o texto

plano.

 Un mensaje encriptado se llama mensaje o texto cifrado.

 Una vez encriptado, un mensaje puede ser almacenado o transmitido y

permanecerá secreto hasta que se decodifique a su forma original.

 Para encriptar o desencriptar un mensaje, se utiliza una clave secreta.

Solo quien posea esta clave podrá leer el mensaje.

15
 Algoritmos de encriptación
Existen dos clases:

 Simétricos, donde la clave para encriptar es la misma que para

desencriptar.

 Asimétricos o de claves públicas, donde las claves para encriptar y

desencriptar son distintas

Este docuemnto
contiene un a c a Este docuemnto
mensaje secreto contiene un
que no se puede
divulgar y debe Ε(k,a)
1010110100001111101
0101010010100100111
0110100100101010101
0011010101010001011
D(k’,c) mensaje secreto
que no se puede
ser protegido 1010100110101001010
divulgar y debe
contra lecturas
d101010001011100101 ser protegido
001001001010
no autorizadas contra lecturas
no autorizadas

Documento Mensaje Documento

electrónico cifrado Original
original k k’
recuperado
Clave de encriptado Clave de desencriptado

16
 Criptografía de Clave Simétrica
 Se utiliza la misma clave para encriptar y desencriptar.

 La clave es secreta para todos excepto para enviador y receptor

Este docuemnto
contiene un a c
mensaje secreto #A3C!Z&Hl*79
que no se puede
divulgar y debe Ε(k,a) Hjj4$%”?¡f12
ser protegido Qop7o%=)(2!
contra lecturas
no autorizadas
k
Clave de encriptado

Este docuemnto
contiene un
mensaje secreto
a c #A3C!Z&Hl*79
que no se puede
divulgar y debe D(k’,a) Hjj4$%”?¡f12
ser protegido Qop7o%=)(2!
contra lecturas
no autorizadas
k’
Clave de desencriptado k’ = k

17
 Algoritmo de encriptación simétrico - DES
 El algoritmo DES es un cifrado de bloques. Lo que significa que trabaja
sobre bloques de datos de longitud fija.

 Divide el mensaje completo en bloques de texto llano, dada uno de 64

bits.

 Se emplea una única clave de 54 bits

 Eso significa que existe del orden de 1017 claves posibles.

 Una variante más segura es triple DES.

 Otro algoritmo de encriptación es IDEA (International Data Encription

Algorithm). Utiliza blocks de 64 bits y claves de 128 bits. Este algoritmo
se utiliza en PGP
18
 Criptografía de Clave pública
 Cada entidad tiene un par de claves – Una pública y otra privada
 La clave pública es conocida por todos
 La clave privada es conocida solo por el dueño
 La clave privada no puede ser obtenida desde la pública

Este docuemnto a c
contiene un #A3C!Z&Hl*79
mensaje secreto
que no se puede
Ε(k,a) Hjj4$%”?¡f12
divulgar y debe Qop7o%=)(2!
ser protegido
contra lecturas
no autorizadas k
Clave de encriptado
Este docuemnto
contiene un
mensaje secreto
a c #A3C!Z&Hl*79
que no se puede
divulgar y debe D(k’,c) Hjj4$%”?¡f12
ser protegido Qop7o%=)(2!
contra lecturas
no autorizadas
k’
Clave de desencriptado k’ ≠ k

19
 Algoritmos asimétricos o de clave pública

 Con DES o IDEA se debe emplear algún mecanismo para compartir la

clave en forma segura.

 El sistema criptográfico con clave pública RSA (Rivest, Shamir

y Adleman) es un algoritmo asimétrico cifrador de bloques.

 Utiliza una clave pública, la cual se distribuye (en forma autenticada

preferentemente), y otra privada, la cual es guardada en secreto por su
propietario.

 La deducción de estas claves está basada en la teoría de números.

 En la actualidad, RSA es el primer y más utilizado algoritmo de este tipo

y es válido tanto para cifrar como para firmar digitalmente

20
 Algoritmo RSA - No repudio
 No repudio es probar que una persona ha enviado un documento
electrónico.

 Es como probar que una persona cuya firma figura en un documento fue
quien lo firmo.

 Se utiliza la propiedad de dualidad del algoritmo RSA.

 El mensaje encriptado con la clave privada del emisor es desencriptado

con la clave publica del mismo

 Esto se denomina también firma digital.

21
 Control de Integridad
 El control de integridad, se encarga de asegurar que el mensaje recibido

fue el enviado por la otra parte y no un mensaje manipulado por un

tercero.

 Los esquemas de validación de integridad, se basan en la idea de una

función de dispersión unidireccional (o hash) que toma una parte

arbitrariamente grande de texto común y a partir de ella calcula una
cadena de bits de longitud fija.

22
 Algoritmo MD5
 MD5 ( Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje
5) es un algoritmo de reducción criptográfico de 128 bits.

 La función de dispersión MD5, llamada también compendio de mensaje

(message digest), tiene tres propiedades importantes:

 Dado un texto P, es fácil calcular su compendio de mensaje MD(P)

 Dado un compendio de mensaje MD(P), es computacionalmente
imposible encontrar P, es decir no tiene inversa

 Nadie puede generar dos mensajes que tengan el mismo compendio

de mensaje, a no ser que sean el mismo mensaje

23
 Control de Integridad
 El MD5 es la quinta de una serie de funciones de dispersión diseñadas

por Ron Rivest (el del algoritmo RSA) en el año 1992. [RFC1321]

 Los compendios de mensaje funcionan tanto en clave privada como en

clave pública, siendo los de mayor uso el MD5 y el SHA

 Ejemplo: Para entender la idea del compendio, podemos relacionarlo con

los CRC añadidos en los paquetes, de forma que si un paquete es

alterado, el CRC no coincide con lo cual cabe pensar que se ha dañado o
ha sido manipulado.

24
 Firma digital
 Las firmas digitales son utilizadas para verificar la integridad y autenticidad de
un mensaje.
 La firma digital garantiza además la no repudiabilidad de un mensaje
 Para firmar electrónicamente un mensaje el EMISOR aplica SU CLAVE
PRIVADA.
 Para comprobar la firma el receptor utiliza la CLAVE PÚBLICA del EMISOR.

Clave privada Clave pública

Mensaje plano
Mensaje cifrado

25
 Firma Digital - Generación
Este docuemnto
contiene un
mensaje secreto Este docuemnto #A3C!Z&Hl*79
que no se puede contiene un Hjj4$%”?¡f12
divulgar y debe mensaje secreto
ser protegido que no se puede Qop7o%=)(2!
contra lecturas divulgar y debe
no autorizadas ser protegido
contra lecturas
no autorizadas

Enviar al destino

Resumen
Con MD5
Resumen
Con MD5 Clave publica
#A3C!Z&Hl*79
Hjj4$%”?¡f12 #A3C!Z&Hl*79 #A3C!Z&Hl*79
Qop7o%=)(2! Firma digital Hjj4$%”?¡f12 Hjj4$%”?¡f12
Qop7o%=)(2! Qop7o%=)(2!
Con RSA
¿Son iguales? OK !
Clave privada Firmante + integridad verificada
Clave publica

26
 Autenticación
 Se requiere autenticación cuando una aplicación cliente quiere acceder a
un servidor.

 Antes de acceder, el cliente debe probar que es un usuario registrado.

 El proceso de autenticación se puede realizar mediante sistemas de clave

publica o privada (kerberos)

Cliente Sp(U, Cp, Tc) Servidor

Cp Cs Cp(U, Tc, Ts) Sp Ss

Temporizador Sp(U, Ts) Temporizador

Tc Ts

Autenticación por clave pública

27
 Aplicaciones y protocolos seguros para
integridad, validación y no repudio
 Los elementos vistos anteriormente: firma y clave pública, están
íntimamente relacionados con los siguientes protocolos
 Utilización de certificados y autoridades de certificación y registro
(x.509)
 Servidores de directorios (X.500 y LDAP)
 En correo electrónico, para correo firmado o confidencial (PGP,
PEM,S/MIME)
 Infraestructuras de clave pública (PKI Public Key Infraestructure) y
tarjetas inteligentes
 Protocolos SSL y TSL: Secure Socket Layer (Transport Secure
Layer)

28
 Firma Digital - PKI
Una infraestructura de clave pública (o, en inglés, PKI, Public Key
Infrastructure) es una combinación de hardware y software, políticas y
procedimientos de seguridad que permiten la ejecución con garantías de
operaciones criptográficas como el cifrado, la firma digital o el no repudio
de transacciones electrónicas.

Politica de Autoridad de Aplicaciones

certificación Certificación

Repositorio de
certificados y CRLs Usuarios

Toda la fiabilidad de la Autoridad de Certificación se basa en la inviolabilidad

de su propia clave privada, la cual resulta crítico proteger empleando
medios técnicos y humanos.

29
 Autoridades de Certificación (CA)
Autoridad de Certificación (CA) es un
ente u organismo que, de acuerdo con
unas políticas y algoritmos, certifica
A B
claves públicas de usuarios o servidores. certificado de B

El usuario A enviará al usuario B su certificado de A

certificado (la clave pública firmada por

Está firmado por CA?

Está firmado por CA?
CA) y éste comprobará con esa
autoridad su autenticidad. Lo mismo en
sentido contrario.
CA
Nota: En el caso que algún certificados
no sea emitido por CA local en la que
estamos suscritos, la CA local nos puede
 
facilitar el certificado raíz de la CA
remota firmado por ella.
Autoridad de Certificación
CA

30
 Certificados X509v3
 X.509 es el protocolo que se utiliza para certificar las claves públicas,
públicas con lo
que los usuarios pueden intercambiar datos de manera segura. Definido por ISO
pero aceptado por el IETF en RFC 3280.

 X.509 está basado en criptografía asimétrica y firma digital

 Se emplea para autentificar la información en redes externas y en redes

internas y en el correo electrónico.

 La autenticación se realiza mediante el uso de certificados.

- Un certificado contiene: el nombre de la CA, el nombre del usuario, la clave
pública del usuario y cualquier otra información como puede ser el tiempo de
validez

- El certificado se cifra con la clave privada de la CA.

- Todos los usuarios poseen la clave pública del CA.

31
 Redes de confianza
 En muchas ocasiones no se dispone ni de Autoridades de Certificación
ni de Registro. Una solución tomada estriba en la confianza de los
propios usuarios entre ellos.

 Por ejemplo, si Juan confía plenamente en Luís y Luís ha aceptado la

identificación de Pedro, Juan podría inicialmente aceptar a Pedro,
porque Luís es de su confianza

 Comentario: En una red de confianza, una identificación (clave nueva)

se considerará válida si viene firmada por suficientes claves válidas.

 Por ejemplo, PGP en correo seguro lo utiliza.

32
 Protección contra virus y troyanos.
 Educar a los usuarios para que tomen conciencia de los riesgos

 Control de virus en el servidor de mail

 Programa antivirus en los clientes

 Actualización permanente de los programas antivirus

 Atención a las noticias de propagación de algún virus

 Control del tráfico de la red ante la sospecha de existencia de troyanos

 Firewall personal en cada usuario

33
 Ejercicios
 En situaciones donde los usuarios y/o sistema proveen información de quienes
son a un recurso de red dado, cuando intenta acceder al mismo se utiliza
__________.
Autorización
Autenticación
Privacidad
Identificación
 Que tipo de ataque se implementa cuando se quiere evitar el uso de un sistema
o una red por parte de los usuarios autorizados?
 Hijacking
 Fuerza bruta
 Password cracking
 Denegación de servicios
 Cual de los siguientes es un termino que define la utilización de
procedimientos o actividades diarias para ganar información crucial para
ingresar en una red o en un sistema?
 Contramedidas de seguridad
 Ingeniería de usuarios
 Ingeniería social
 Contramedidas de sistema
34
 Ejercicios
 Para evitar los barridos ping o ping sweep ¿Qué protocolo se debe
bloquear?
 ARP
 IP
 ICMP
 TCP

 ¿Cuál es la principal amenaza para la autenticación basada en
dirección IP de origen?
 IP spoofing
 ARP spoofing
 Adivinación de contraseñas
 Ping sweep

35
 Ejercicios
 El no repudio supone:
 La identificación por ambas partes
 La integridad del documento intercambiado
 La participación de una autoridad intermediaria para ambas partes
 Todas las anteriores

 La criptografía asimétrica es, respecto de la simétrica:
 Más simple
 Más robusta
 Más rápida
 Más moderna y la desplazará definitivamente

36
 Practico 1
 Alicia tiene que enviar un mensaje por email a Roberto. Para ello utiliza
un protocolo de seguridad que consta de las siguientes fases:

 Fase 1: Alicia genera un resumen del mensaje m utilizando una función hash H.
 Después cifra el resumen del mensaje, H(m), con su clave privada Kpri A .

 A continuación envía el resultado de la operación anterior, Kpri A (H(m)), junto

 con el mensaje original m a la dirección de correo electrónico de Roberto.

 Fase 2: Cuando Roberto recibe el mensaje descifra el resumen del mensaje

H(m) con la clave pública de Alicia Kpub A y después aplica la función hash H al
mensaje m enviado por Alicia para ver si el resultado (H’(m))es el mismo que le
envío Alicia (H(m)).

 Ambas fases aparecen ilustradas en la figura siguiente.

37
 Grafico del Ejercicio 1
Fase 1: Alicia Kpri A

m H H(m) E AKpriH(m)
A Roberto

Fase 2: Roberto KpubA

AKpriH(m) D H(m)
Recibe de Alicia
si
¿=? OK!
m H H’(m)

38
 Preguntas del Ejercicio 1
 a) ¿Qué mecanismos o técnicas de seguridad se aplican en este
protocolo?

 b) ¿Por qué no garantiza la confidencialidad del mensaje emitido por

Alicia? ¿De Qué forma se podría garantizar la confidencialidad del
mensaje? .

 c) ¿Se garantiza la integridad del mensaje emitido por Alicia?

 d) ¿Se garantiza el no repudio?, es decir, ¿podría Alicia negar que fue

ella quien envió el mensaje?.

 e) ¿Qué utilidad tendría el hecho de que en la Fase 1 Alicia enviase junto

con el mensaje y el resumen cifrado su certificado de clave publica
emitido por una autoridad de certificación en la que ambos confían?.

39
 Ejercicio 2

 Los mecanismos de hash (SHA, MD5) permiten encriptar información

pero no desencriptarla. Indicar dos usos de estos mecanismos en

términos de seguridad en redes.

 Dos personas que nunca se vieron ni se conocen desean comunicarse

entre sí, pero no hay ningún tercero de confianza o una cadena de

confianza entre ellos que pueda certificar la identidad de uno ante el
otro. ¿Es posible establecer una comunicación segura entre ellos? Puede
usar criptografía de clave pública o secreta, pero no puede basarse en
que un tercero (de ningún tipo) certifique la identidad de los
interlocutores.

40
 Ejercicio 3

 En el escenario de la figura, se establece la comunicación cifrada de

forma asimétrica del usuario A con el usuario B, utilizando para ello las
claves del usuario B.

Usuario A Usuario B

B, ¿Cuál es la clave pública?

t P=xxxxxx
EB()

EB(P)
DB (EB(P)=P

41
 Preguntas del Ejercicio 3

 Preguntas:

 1.- En el caso, que el tercer mensaje de la figura, el que va del usuario A

a B, estuviera cifrado con EA(), ¿qué ventajas hubiera aportado?.


 2.- ¿Qué modificaciones hay que realizar en la figura anterior, mediante

la utilización de la clave asimétrica, para que además B se asegure que
quien escribe el mensaje es A, es decir, se aplique un proceso de firma
digital? Describa la composición del mensaje que incluye la firma digital,
suponiendo que existe una autoridad de certificación que certifique
todas las claves.


42
 Políticas de seguridad en la red.

 Antes de construir un firewall o algún dispositivo de protección para

conectar una red con el resto de Internet, es importante comprender

qué recursos de la red y qué servicios se desean proteger.

 Una política de red es un documento que describe los asuntos de

seguridad de red de una organización. (imagen)

 Los asuntos a tener presente en el diseño de una política de red, están

sobre todo, la planificación de seguridad de la red, la política de

seguridad del sitio y el análisis de riesgos.

43
 Planeamiento de la política de seguridad

 Definir políticas de seguridad de red significa desarrollar procedimientos

y planes que salvaguarden los recursos de la red contra pérdidas y

daños.:

 ¿Que recursos se quieren proteger?

 ¿De qué personas necesita proteger los recursos?
 ¿Qué tan reales son las amenazas?
 ¿Que tan importante es el recurso?
 ¿Que medidas se pueden implantar para proteger los bienes de una
manera económica y oportuna?

 Las políticas de seguridad se deben examinar periódicamente para

verificar si sus objetivos y circunstancias en la red han cambiado.

44
 Políticas de seguridad
Configuración de la protección:
 Con políticas implícitas por omisión
 Una serie de acciones preestablecidas que se tomarán en respuesta a
determinada clases de requisiciones y mensajes.

 Esto significa que si un paquete cualquiera no se encuentra dentro de

las reglas específicas predefinidas, se le aplicará la política por omisión.

 Hay dos aproximaciones opuestas entre sí:

 Se niega o prohíbe por omisión todo lo que no esté

expresamente permitido

 Se acepta o se permite todo lo que no esté expresamente

prohibido.

45
 Aplicación de las tecnologías de seguridad
Proxy
Servidores corporativos
• Las tecnologías de seguridad
pueden aplicarse con
VPN
diferentes propósitos.
Red Servidor
Nucleo de la • Para mantener un concepto
perimetral de mail
red claro acerca de los recursos
Servidor a proteger, la red puede
DNS dividirse en tres zonas:
1. Red acceso
Red de acceso 2. Red perimetral
3. Núcleo de la red

46
Estaciones de trabajo
locales y remotas
 Zona de acceso

 Red de acceso: es la red privada, pública o virtual que accede a los

servicios de la organización.

 La protección de la red de acceso puede implementarse empleando

tecnología de autenticación de acceso, tales como RADIUS, para

asegurar que los intentos de acceso no autorizados vía dial-up, Wi FI o
algún tipo de conexión temporal.

 Para conexiones permanentes privadas, la protección puede

implementarse mediante la implantación de encriptación o IPSec en el

caso de conexiones mediante redes públicas.

47
 Zona perimetral
 Red perimetral: esta es la red donde se ubican los recursos públicos, tales
como servidores FTP, mail y Web. La protección de este sector de la red se
realiza mediante la implementación de uno o más firewall y probablemente
una o más zonas desmilitarizada (DMZ).

Red no
Router con filtro
segura
de paquetes

Intranet Servidores
corporativa DMZ públicos

Firewall
Gateway VPN Protección contra virus
Inspección de contenidos
48 Detección de intrusos
 Zona central

 Red central o núcleo: es la parte de la red donde se encuentran las

aplicaciones y servidores críticos de la organización.

 Esta sección requiere la máxima seguridad posible, incluso de los

usuarios internos.

 Los recursos de protección son:

 Validación de datos,

 Validación o autenticación de usuarios,

 Validación de sistemas.

49
 Tecnologías de seguridad - Firewall

 Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes

y que ejerce la una política de seguridad establecida.

 Todo el tráfico entrante y saliente pasa a través de él, pero solo el

trafico definido por la política de seguridad es permitido.

 Su modo de funcionamiento está indicado en la RFC 2979

 Su ubicación habitual está en el punto de conexión entre la red interna

y la red externa (Internet)

 Puede tener capacidad de avisar si algo anormal sucede.

50
 Firewall - Configuración Básica

Internet
Red insegura

Dos tipos:
 Basados en hardware
 Basados en software
Firewall

Red segura

Mediante un firewall es posible aislar nuestra red de la red exterior

51
 Categorías de Firewall
 Filtros de paquetes:

 Filtros estáticos de paquetes, a veces conocidos simplemente como

filtros de paquetes.

 Filtros dinámicos o adaptables, más conocidos por sus nombres

propietarios específicos.

 Proxies o Gateways de aplicación

 A nivel de conexión lógica

 A nivel de aplicación

 Inspección multinivel de paquetes

52
 Filtro de paquetes
 El filtrado de paquetes trabaja básicamente en la capa 3 de red, leyendo
las direcciones IP de origen y destino

 Pero podrá también leer datos de la capa 4 de transporte TCP o UDP,

específicamente los números de puertos de origen y destino.

 No es necesario que tenga funcionalidades de capa 4 sino que pueda

leer los primeros 32 bits que siguen a la terminación del encabezamiento
de IP.

 Esos 32 bits ya pertenecen al encabezamiento TCP o UDP, precisamente

a las direcciones de puerto de origen y destino respectivamente de 16
bits cada uno.

53
 Filtros de paquetes a nivel de IP

Aplicación
El tráfico es filtrado basándose
Transporte (TCP) en reglas especificadas,
incluyendo direcciones IP
Red (IP) OK origen y destino, tipo de
paquete, numero de puerto,
Enlace de datos etc.
El trafico no identificado es solo
Física permitido hasta el nivel 3

Trafico entrante Trafico saliente

54
 Filtro a nivel de transporte

Aplicación
El tráfico es filtrado basándose
Transporte (TCP) OK en reglas especificadas, sobre
las sesiones iniciadas o
Red (IP) establecidas en ciertas
computadoras
Enlace de datos

Física

Trafico entrante Trafico saliente

55
 Gateway a nivel de aplicación

Aplicación OK
El tráfico es filtrado basándose
Transporte (TCP) en reglas especificadas, sobre
las aplicaciones o protocolos de
Red (IP) aplicaciones como HTTP o FTP

Enlace de datos

Física

Trafico entrante Trafico saliente

56
 Firewall de inspección multicapa

Aplicación OK
El tráfico es filtrado en los tres
Transporte (TCP) niveles con un amplio rango de
de aplicaciones especificadas,
Red (IP) junto con reglas de sesión y de
filtrado de paquetes IP
Enlace de datos

Física

Trafico entrante Trafico saliente

57
 Filtro de paquetes
La información que puede extraerse de un paquete IP puede ser:

 Dirección IP de origen

 Dirección IP de destino

 Puerto de origen TCP/UDP

 Puerto de destino TCP/UDP

 Mensajes de control ICMP

 Protocolos de información encapsulados (TCP, UDP, ICMP o

IP tunnel)

58
 Router de selección

 Se denomina así al router que tiene capacidad para filtrar paquetes con
base en criterios tales como:

 El tipo de protocolo
 La dirección de la fuente
 Los campos de dirección de destino para un tipo de protocolo en
particular

 Normalmente están constituidos por un conjunto de reglas de filtrado que son

examinadas una a una para buscar similitud con algún parámetro del paquete

 Si se encuentra alguna coincidencia la regla se aplica

 Si al final de las comparaciones no se encuentran similitudes, se aplica la

política por omisión del sistema

59
 Firewall-Router de selección
OK
Paquetes salientes Paquetes entrantes
OK

Redes no confiables
Filtro de
paquetes

Criterios de filtrado
Red segura • El tipo de protocolo
• La dirección de la fuente
Servidor de mail • Los campos de dirección de
DNS interno destino para un tipo de protocolo
en particular

60
 Operación de los routers de selección

Funciones del firewall

Capas del modelo OSI
Aplicación IP TCP Sesión Aplicación

Presentación
Sesión Cumple la
Log/alerta Pasa?
regla?
Transporte si
si
no
Red si no no
NACK
Modulo de inspección
Hay más
Enlace reglas?
Descartar Fin
Fisica

61
 Listas de control de acceso en routers ACL

 Cada ACL es un conjunto de sentencias que filtran a cada paquete en

la interfaz instalada

 Cada ACL sobre cada interfaz, actúa en un sentido, distinguiendo tanto

sentido de entrada como de salida

 Las listas son secuencias de sentencia de permiso (permit) o

denegación (deny) y que se aplican a los paquetes que atraviesan dicha
interfaz, en el sentido indicado (in/out), con riguroso orden según
hayan sido declaradas .

 Cualquier tráfico que pasa por la interfaz debe cumplir ciertas

condiciones que forman parte de la ACL.

62
 Posibles usos de ACL’s
 Limitar el tráfico de red y mejorar el desempeño de la red. Por ejemplo, las
ACL pueden designar ciertos paquetes para que un router los procese antes de
procesar otro tipo de tráfico, según el protocolo.

 Brindar control de flujo de tráfico. Por ejemplo, las ACL pueden restringir o
reducir el contenido de las actualizaciones de enrutamiento.

 Proporcionar un nivel básico de seguridad para el acceso a la red. Por

ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar
que otro acceda a la misma área.

 Decidir qué tipos de tráfico se envían o bloquean en las interfaces del

router. Por ejemplo, se puede permitir que se enrute el tráfico de correo
electrónico, pero bloquear al mismo tiempo todo el tráfico de telnet.

63
 Filtrado TCP

 En la cabecera del paquete TCP tenemos:

 Puertos de origen y destino
 Banderas TCP (ACK)

 Para filtrar una conexión TCP solo basta con “parar” el primer paquete.

 El chequeo del bit de ACK nos permite filtrar conexiones en un sentido

pero no en el otro.

64
 Filtrado unidireccional
 Supongamos que se quiere NO permitir conexiones desde una red hacia
la red interna pero si en sentido contrario

 Si simplemente se niega todo el tráfico desde la red que no se confía

también se filtrarian los paquetes de reconocimiento (ACK=1) por lo
que desde la red interna tampoco será posible la conexión.

 La solución es filtrar los paquetes de entrada a la red desde la red

remota permitiendo el paso solo a los de reconocimiento (Ack).

 Los paquetes de reconocimiento se pueden “reconocer” porque

SIEMPRE el bit de ACK está en 1.

65
 Filtrado UDP

 Los paquetes UDP no necesitan reconocimento por lo que parece

imposible filtrar unidireccionalmente.

 Solución: Filtrado Dinámico

 Consiste en “recordar” la información de los últimos paquetes que

salieron por un enlace, por lo que pueden reconocer aquellos que

lleguen como respuestas.

66
 Filtrado ICMP

 Los paquetes ICMP no tiene puertos de protocolos superiores

 En lugar de esto los paquetes ICMP se diferencian por su tipo (echo

request,tiempo excedido, destino inalcanzable, respuesta de eco)

 Sin embargo, un “destino inalcanzable” puede tener varias causas que

posiblemente desearíamos tratar diferenciadamente. La mayoría de los

filtros de paquetes no lo permiten

 El filtrado de paquetes ICMP puede ser un arma de doble filo

67
 Función de ACL: Filtrar el tráfico

 Las ACLs filtran el tráfico de red controlando si los paquetes enrutados

se envían o se bloquean en las interfaces del router.

 El router examina cada paquete para determinar si se debe enviar o

descartar, según las condiciones especificadas en la ACL.

 Entre las condiciones de las ACLs se pueden incluir la dirección origen o

destino del tráfico, el protocolo de capa superior, u otra información.

68
 Caso de estudio
OK
Paquetes salientes Paquetes entrantes
OK

Internet
Red 170.210.128.0
Filtro de
paquetes

Criterios de filtrado
• Todos acceden a Internet
Red segura • Conexión al servidor SMTP
• Ninguna conexión externa
Servidor de mail • Filtrado de ping
170.210.128.2

69
 Caso de estudio
 Reglas a imponer

 Todos los host de la red interna 170.210.128.0 pueden tener acceso a

cualquier servicio TCP en Internet

 Los hosts externos no pueden conectarse a la red interna, excepto al

servidor de e-mail en la dirección IP 170.210.128.2, donde pueden

tener acceso sólo al servicio de correo SMTP.

 Los mensajes ICMP para Internet deben bloquearse

70
 Regla del filtro para la
interface externa del router

Puerto Dir. Puerto

Nº Acción Dir. origen opciones descripción
origen Dest. dest

Acepta
1 acepta 170.210.128.0 * * * TCP conexiones
TCP salida

Bloquea
2 bloquea 170.210.128.0 NA * NA ICMP ICMP hacia
red externa

71
 Regla del filtro para la
interface interna del router

Puerto Puerto
Nº Acción Dir orig Dir dest opciones descripción
orig dest
Acepta
conexiones
1 acepta * * 170.210.128.2 25 TCP TCP de
entrada
SMTP

Bloquea toda
2 bloquea * * 170.210.128.0 * TCP conexión
TCP externa

72
 ACL en el router para el filtro solicitado

 Reglas del filtro para la interfase externa del router

Access-list 101 permit tcp 170.210.128.0 0.0.255.255 0.0.0.0 255.255.255.255

Access-list 101 deny icmp 170.210.128.0 0.0.255.255 0.0.0.0 255.255.255.255

 Reglas del filtro para la interfase interna del router

Access-list 102 permit tcp 0.0.0.0 0.0.255.255 170.210.128.2 0.0.0.0 eq 25

Access-list 102 deny tcp 0.0.0.0 255.255.255.255 170.210.128.2 0.0.0.0

73
 Ventajas y desventajas
del Filtrado de Paquetes
 Ventajas
 Permite controlar desde un solo punto todo el acceso
 No necesita cooperación del usuario
 Casi todos los routers tienen la capacidad de filtrar paquetes.

 Desventajas
 Las listas de acceso manipulan sólo acciones de permitir- rechazar.

 Las listas de acceso son, por lo general, difíciles de programar y más

aún de depurar.
 Si un filtro de paquetes falla deja la “puerta abierta”

74
 Proxies o gateways de aplicación

 El esquema proxy, como su nombre lo indica en inglés es un

intermediario que obra por cuenta o parte de otro.

 Recibe requisiciones de un usuario y las repite hacia el proveedor del

servicio correspondiente. Esto indica que la conexión solicitada se

implementa como dos conexiones separadas.

 En la práctica el servidor proxy separa dos redes; una a la que

pertenece el usuario, la otra donde se encuentra la fuente de recursos.

75
 Proxy

telnetd telnet
telnet telnet
servidor browser
browser HTTP HTTP

FTP FTPd FTP FTP

telnetd telnetd
telnet telnetd

Gateway a nivel de aplicación

Red Segura
76 Red No segura
 Proxy

Servidor real

Consulta en su base de datos.

Si la información existe, devuelve la
almacendada en su base de datos. Servidor Firewall
proxy
Si la información no existe, realiza la
consulta a internet.
1 3 5 7 9 11 13 15 17 19 21 23 CATALYST 3550
1 2
SYSTEM
RPS
STAT
UTIL
DUPLEX
SPEED 2 4 6 8 10 12 14 16 18 20 22 24

Red Interna
Cliente proxy

77
 Proxy - ventajas
 Analiza los comandos de una aplicación al leer la porción de datos de los
paquetes correspondientes.

 Provee autenticación de los usuarios.

 Lleva registros completos del tráfico así como de detalles específicos.

 Oculta las direcciones internas del sistema; la única dirección IP a la vista desde
el exterior es la del firewall.

• Permite utilizar más eficientemente la conexión a Internet.

• Ante un cambio de proveedor de Internet permite la rápida adaptación de las

conexiones.

• Posibilidad de monitorear trafico que fluye desde y hacia Internet.

78
 Proxy - Desventajas

 El carácter de intermediario de un gateway de aplicación tiene su parte

negativa en cuanto al rendimiento, específicamente velocidad.

 Al trabajar en la capa de aplicación implica un mayor procesamiento y

por lo tanto un mayor uso de la CPU.

 También influye el mayor overhead producido por el manejo de las

conexiones en uno y en otro sentido, especialmente con un número

elevado de conexiones de múltiples usuarios operando simultáneamente.

 Mayor costo y configuración más compleja.

79
 Squid
 Squid es un Servidor Intermediario (Proxy) de alto desempeño que se
viene desarrollando desde hace varios años y actualmente es muy popular y
ampliamente utilizado entre los sistemas operativos como GNU/Linux y
derivados de Unix.

 Es muy confiable, robusto y versátil y se distribuye bajo los términos de la

Licencia Pública General GNU (GNU/GPL).

 Entre otras cosas, Squid puede funcionar como Servidor Intermediario

(Proxy) y caché de contenido de Red para los protocolos HTTP, FTP,
GOPHER y WAIS, Proxy de SSL, caché transparente, aceleración HTTP,
caché de consultas DNS y otras muchas más como filtro de contenido y control
de acceso por IP y por usuario.

80
 Traducción de Direcciones de Red (Network
Address Traslation, NAT)

Reglas de
Configuración
filtrado
de NAT

TCP/UDP
NAT FILTRO
IP/ICMP

Red segura
1 3 5 7 9 11 13 15 17 19 21 23 CATALYST 3550
1 2
SYSTEM
RPS

STAT
UTIL
DUPLEX
SPEED 2 4 6 8 10 12 14 16 18 20 22 24

Red no segura

81
 Firewall de un host bastión

Servidor Servidor
Red segura
proxy de SOCKS
Red no segura
Filtro de DNS
paquetes externo
Dual-home gateway

- DNS interno
- Servidor de
mail interno

82
 Firewall de un host bastión pantalla
Host bastion gateway
Servidor Servidor
proxy de SOCKS

Filtro de DNS
Filtro de
paquetes externo
paquetes

Red segura
Red no segura

- DNS interno
Servidor - Servidor de
publico mail interno
83
 Firewall de un host bastión con subred
Host bastion gateway
Servidor Servidor
proxy de SOCKS El router externo
manda el tráfico al
gateway.
Filtro de Filtro de DNS
paquetes paquetes externo El router interno
sólo acepta tráfico
del gateway.
Red no segura
Red segura

- DNS interno
Servidor - Servidor de
publico mail interno

84
 Ejemplo de firewall
Posible configuración de una empresa, que mantiene una intranet y
tiene servicios para clientes externos

DMZ
Servidores públicos
• DNS
• Mail
Red no segura • Web
• FTP

Intranet

Servidores privados
• Bases de datos
• Archivos
• DNS interno

85
 RADIUS

 RADIUS (acrónimo en inglés de Remote Authentication Dial-In User

Server). Es un protocolo de autenticación y autorización para

aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813
UDP para establecer sus conexiones

 RADIUS es un estándar de la comunidad Internet que fue

originalmente desarrollado por Livingston Enterprises y que se

especifica en las siguientes RFCs:

 Remote Authentication Dial In User Service (RADIUS). RFC 2865 de

Junio del 2000 y en las RFC 2866 , 2867, RFC 2868, RFC 2869.

86
 Diálogo entre Usuario, NAS y Servidor Radius
Usuario Negociación Servidor RADIUS
NAS
PPP u otro Petición/Respuesta
protocolo RADIUS

 El usuario remoto se conecta a la red a través de cualquier dispositivo

de acceso remoto (RAS, firewall, Wi FI o router).
 El dispositivo se comunica con el servidor Radius, mediante el protocolo
del mismo nombre, para determinar si el usuario tiene permiso de
conectarse y si así es, el tipo de conexión a establecer.
 El servidor Radius acepta o rechaza la conexión, basándose en los
resultados de la autenticación, y responde con la información necesaria
autorizando un tipo particular de conexión o de servicio.
 El servidor de acceso remoto (NAS) establece entonces la conexión del
usuario. Cuando el usuario se desconecta, el dispositivo de acceso
remoto informa al servidor Radius, que almacena un registro de
87 contabilidad.
 Practico 1

 Un firewall que no mantiene el estado de las conexiones TCP necesita

dejar pasar tráfico FTP. ¿En qué modo de FTP podría funcionar la
comunicación a través del firewall?

 En una red, todos los hosts envían sus paquetes IP con TTL=255 por

razones de seguridad. Suponga que uno de los hosts de esa red recibe
un paquete con dirección origen en esa misma red, pero con TTL<255.
¿Qué puede deducirse del punto de vista de la seguridad?

88
 Practico 1
 Dado la red de la figura configurar la tabla para establecer las reglas de
filtro de paquetes en el router
 Todos los host de la red interna 170.219.0.0 pueden tener acceso a cualquier servicio
TCP en Internet
 Los hosts externos no pueden conectarse a la red interna, excepto mediante la
compuerta de correo 170.219.0.1, donde pueden tener acceso sólo al servicio de
correo SMTP.
 Los mensajes ICMP para Internet deben bloquearse

192.168.0.1 206.245.160.1

Internet
192.168.0.2

192.168.0.3
89
 Practico 1

 Regla del filtro para la interface externa del router


Puerto Opciones
Nº de Dirección Dirección Puerto de Descrip.
Acción de de
regla de origen de destino destino
origen protocolo

 Regla del filtro para la interface interna del router




Puerto 
Opciones
Nº de Dirección  Dirección Puerto de Descrip.
Acción de de
regla de origen 
de destino destino
origen 
protocolo


90 








 Practico 2
 En una red como la de la figura adjunta:

160.12.12.12
Servidor web
 Red 160.12.0.0/16
E0 S0
 160.12.12.12
 Servidor web

Red 160.12.0.0/16

 Se quiere controlar el acceso al servidor web desde el exterior, de forma
que solo le lleguen segmentos TCP dirigidos al puerto 80. Cualquier otro
paquete dirigido a otros hosts de la LAN debe llegar a su destino.
 Diga cual de las siguientes secuencias de comandos (ejecutada en el
router en modo configure) sería la correcta para conseguir dicho
objetivo.
91
 

 access-list 100 permit tcp any 160.12.12.12 0.0.0.0 eq 80

 access-list 100 deny tcp any 160.12.12.12 0.0.0.0
 access-list 100 permit ip any any
 interface Serial 0
 ip access-group 100 in

 access-list 100 permit tcp any 160.12.12.12 0.0.0.0 eq 80
 access-list 100 deny ip any 160.12.12.12 0.0.0.0
 access-list 100 permit ip any any
 interface Serial 0
 ip access-group 100 in

 access-list 100 permit tcp 160.12.12.12 0.0.0.0 eq 80 any
 access-list 100 deny ip 160.12.12.12 0.0.0.0 any
 access-list 100 permit ip any any
 interface Serial 0
 ip access-group 100 out

 access-list 100 permit tcp 160.12.12.12 0.0.0.0 eq 80 any
 access-list 100 deny tcp 160.12.12.12 0.0.0.0 any
 access-list 100 permit ip any any
 interface Serial 0
 ip access-group 100 out

92