Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2010
Bibliografía:
1. Redes de Computadores en Internet, Fred Halsall 5°ed - Cap 10.
2. Comunicaciones y redes de Computadoras, Williams Stallings 6° ed.
- Cap 18
3. Internetworking with TCP/IP vol 1, Comer 5° ed. - Cap 19.
4. TCP/IP Tutorial and Technical Overview, Adolfo Rodriguez y otros. Ed
IBM redbook 2001 (PDF) – Cap 21
1
Primer principio de la
Administración de seguridad
Temas:
Requisitos y amenazas a la seguridad
Cifrado de datos
Seguridad en la red
Tecnologías de seguridad
Firewall
Seguridad en las transacciones
2
Identificación de ataques
Red segura
Ataques internos
3
Soluciones
Firewalls (cortafuegos)
Proxies (o pasarelas)
Intrusion
Control de Acceso Externa
Cifrado (protocolos seguros)
Seguridad física
Intrusion
Hosts, Servidores Interna
Routers/Switches
• Detección de Intrusiones
4
Diseño de un sistema de seguridad
*Referencias*
6
Gestión de Seguridad
• Firewall
2) ASEGURAR • Software confiable
• IPsec
• PKI
1)
5) GESTIONAR y POLITICA de 3) MONITOREAR y
. MEJORAR SEGURIDAD REACCIONAR
• Administración • IDS
de recursos
4) COMPROBAR
• Escaneo de vulnerabilidades
7
Requisitos para implementar seguridad
tránsito sea accesible para la lectura sólo por los entes autorizados.
8
Formas de ataques
Ataques pasivos
Las agresiones pasivas son del tipo de las escuchas, o monitoreo de las
transmisiones.
Enmascaramiento
Repetición
Modificación de mensajes
Denegación de servicio
10
Métodos de ataque
Aprovechamiento Personificación
13
Privacidad de los datos con encriptación
Criptografía- Generalidades
La criptografía provee un conjunto de técnicas para codificar
mensajes de forma tal que dichos mensajes pueden ser almacenados
y transmitidos en forma segura.
14
Encriptación
Usando criptografía, un mensaje original se codifica para que parezca
un mensaje compuesto por bits aleatorios y que es muy difícil de volver
a convertir al mensaje original sin una clave secreta.
15
Algoritmos de encriptación
Existen dos clases:
Este docuemnto
contiene un a c a Este docuemnto
mensaje secreto contiene un
que no se puede
divulgar y debe Ε(k,a)
1010110100001111101
0101010010100100111
0110100100101010101
0011010101010001011
D(k’,c) mensaje secreto
que no se puede
ser protegido 1010100110101001010
divulgar y debe
contra lecturas
d101010001011100101 ser protegido
001001001010
no autorizadas contra lecturas
no autorizadas
16
Criptografía de Clave Simétrica
Se utiliza la misma clave para encriptar y desencriptar.
Este docuemnto
contiene un a c
mensaje secreto #A3C!Z&Hl*79
que no se puede
divulgar y debe Ε(k,a) Hjj4$%”?¡f12
ser protegido Qop7o%=)(2!
contra lecturas
no autorizadas
k
Clave de encriptado
Este docuemnto
contiene un
mensaje secreto
a c #A3C!Z&Hl*79
que no se puede
divulgar y debe D(k’,a) Hjj4$%”?¡f12
ser protegido Qop7o%=)(2!
contra lecturas
no autorizadas
k’
Clave de desencriptado k’ = k
17
Algoritmo de encriptación simétrico - DES
El algoritmo DES es un cifrado de bloques. Lo que significa que trabaja
sobre bloques de datos de longitud fija.
Este docuemnto a c
contiene un #A3C!Z&Hl*79
mensaje secreto
que no se puede
Ε(k,a) Hjj4$%”?¡f12
divulgar y debe Qop7o%=)(2!
ser protegido
contra lecturas
no autorizadas k
Clave de encriptado
Este docuemnto
contiene un
mensaje secreto
a c #A3C!Z&Hl*79
que no se puede
divulgar y debe D(k’,c) Hjj4$%”?¡f12
ser protegido Qop7o%=)(2!
contra lecturas
no autorizadas
k’
Clave de desencriptado k’ ≠ k
19
Algoritmos asimétricos o de clave pública
20
Algoritmo RSA - No repudio
No repudio es probar que una persona ha enviado un documento
electrónico.
Es como probar que una persona cuya firma figura en un documento fue
quien lo firmo.
21
Control de Integridad
El control de integridad, se encarga de asegurar que el mensaje recibido
22
Algoritmo MD5
MD5 ( Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje
5) es un algoritmo de reducción criptográfico de 128 bits.
23
Control de Integridad
El MD5 es la quinta de una serie de funciones de dispersión diseñadas
por Ron Rivest (el del algoritmo RSA) en el año 1992. [RFC1321]
24
Firma digital
Las firmas digitales son utilizadas para verificar la integridad y autenticidad de
un mensaje.
La firma digital garantiza además la no repudiabilidad de un mensaje
Para firmar electrónicamente un mensaje el EMISOR aplica SU CLAVE
PRIVADA.
Para comprobar la firma el receptor utiliza la CLAVE PÚBLICA del EMISOR.
25
Firma Digital - Generación
Este docuemnto
contiene un
mensaje secreto Este docuemnto #A3C!Z&Hl*79
que no se puede contiene un Hjj4$%”?¡f12
divulgar y debe mensaje secreto
ser protegido que no se puede Qop7o%=)(2!
contra lecturas divulgar y debe
no autorizadas ser protegido
contra lecturas
no autorizadas
Enviar al destino
Resumen
Con MD5
Resumen
Con MD5 Clave publica
#A3C!Z&Hl*79
Hjj4$%”?¡f12 #A3C!Z&Hl*79 #A3C!Z&Hl*79
Qop7o%=)(2! Firma digital Hjj4$%”?¡f12 Hjj4$%”?¡f12
Qop7o%=)(2! Qop7o%=)(2!
Con RSA
¿Son iguales? OK !
Clave privada Firmante + integridad verificada
Clave publica
26
Autenticación
Se requiere autenticación cuando una aplicación cliente quiere acceder a
un servidor.
27
Aplicaciones y protocolos seguros para
integridad, validación y no repudio
Los elementos vistos anteriormente: firma y clave pública, están
íntimamente relacionados con los siguientes protocolos
Utilización de certificados y autoridades de certificación y registro
(x.509)
Servidores de directorios (X.500 y LDAP)
En correo electrónico, para correo firmado o confidencial (PGP,
PEM,S/MIME)
Infraestructuras de clave pública (PKI Public Key Infraestructure) y
tarjetas inteligentes
Protocolos SSL y TSL: Secure Socket Layer (Transport Secure
Layer)
28
Firma Digital - PKI
Una infraestructura de clave pública (o, en inglés, PKI, Public Key
Infrastructure) es una combinación de hardware y software, políticas y
procedimientos de seguridad que permiten la ejecución con garantías de
operaciones criptográficas como el cifrado, la firma digital o el no repudio
de transacciones electrónicas.
Repositorio de
certificados y CRLs Usuarios
29
Autoridades de Certificación (CA)
Autoridad de Certificación (CA) es un
ente u organismo que, de acuerdo con
unas políticas y algoritmos, certifica
A B
claves públicas de usuarios o servidores. certificado de B
30
Certificados X509v3
X.509 es el protocolo que se utiliza para certificar las claves públicas,
públicas con lo
que los usuarios pueden intercambiar datos de manera segura. Definido por ISO
pero aceptado por el IETF en RFC 3280.
31
Redes de confianza
En muchas ocasiones no se dispone ni de Autoridades de Certificación
ni de Registro. Una solución tomada estriba en la confianza de los
propios usuarios entre ellos.
32
Protección contra virus y troyanos.
Educar a los usuarios para que tomen conciencia de los riesgos
33
Ejercicios
En situaciones donde los usuarios y/o sistema proveen información de quienes
son a un recurso de red dado, cuando intenta acceder al mismo se utiliza
__________.
Autorización
Autenticación
Privacidad
Identificación
Que tipo de ataque se implementa cuando se quiere evitar el uso de un sistema
o una red por parte de los usuarios autorizados?
Hijacking
Fuerza bruta
Password cracking
Denegación de servicios
Cual de los siguientes es un termino que define la utilización de
procedimientos o actividades diarias para ganar información crucial para
ingresar en una red o en un sistema?
Contramedidas de seguridad
Ingeniería de usuarios
Ingeniería social
Contramedidas de sistema
34
Ejercicios
Para evitar los barridos ping o ping sweep ¿Qué protocolo se debe
bloquear?
ARP
IP
ICMP
TCP
¿Cuál es la principal amenaza para la autenticación basada en
dirección IP de origen?
IP spoofing
ARP spoofing
Adivinación de contraseñas
Ping sweep
35
Ejercicios
El no repudio supone:
La identificación por ambas partes
La integridad del documento intercambiado
La participación de una autoridad intermediaria para ambas partes
Todas las anteriores
La criptografía asimétrica es, respecto de la simétrica:
Más simple
Más robusta
Más rápida
Más moderna y la desplazará definitivamente
36
Practico 1
Alicia tiene que enviar un mensaje por email a Roberto. Para ello utiliza
un protocolo de seguridad que consta de las siguientes fases:
Fase 1: Alicia genera un resumen del mensaje m utilizando una función hash H.
Después cifra el resumen del mensaje, H(m), con su clave privada Kpri A .
37
Grafico del Ejercicio 1
Fase 1: Alicia Kpri A
m H H(m) E AKpriH(m)
A Roberto
AKpriH(m) D H(m)
Recibe de Alicia
si
¿=? OK!
m H H’(m)
38
Preguntas del Ejercicio 1
a) ¿Qué mecanismos o técnicas de seguridad se aplican en este
protocolo?
39
Ejercicio 2
40
Ejercicio 3
Usuario A Usuario B
EB(P)
DB (EB(P)=P
41
Preguntas del Ejercicio 3
Preguntas:
42
Políticas de seguridad en la red.
43
Planeamiento de la política de seguridad
45
Aplicación de las tecnologías de seguridad
Proxy
Servidores corporativos
• Las tecnologías de seguridad
pueden aplicarse con
VPN
diferentes propósitos.
Red Servidor
Nucleo de la • Para mantener un concepto
perimetral de mail
red claro acerca de los recursos
Servidor a proteger, la red puede
DNS dividirse en tres zonas:
1. Red acceso
Red de acceso 2. Red perimetral
3. Núcleo de la red
46
Estaciones de trabajo
locales y remotas
Zona de acceso
servicios de la organización.
47
Zona perimetral
Red perimetral: esta es la red donde se ubican los recursos públicos, tales
como servidores FTP, mail y Web. La protección de este sector de la red se
realiza mediante la implementación de uno o más firewall y probablemente
una o más zonas desmilitarizada (DMZ).
Red no
Router con filtro
segura
de paquetes
Intranet Servidores
corporativa DMZ públicos
Firewall
Gateway VPN Protección contra virus
Inspección de contenidos
48 Detección de intrusos
Zona central
usuarios internos.
Validación de datos,
Validación de sistemas.
49
Tecnologías de seguridad - Firewall
50
Firewall - Configuración Básica
Internet
Red insegura
Dos tipos:
Basados en hardware
Basados en software
Firewall
Red segura
51
Categorías de Firewall
Filtros de paquetes:
52
Filtro de paquetes
El filtrado de paquetes trabaja básicamente en la capa 3 de red, leyendo
las direcciones IP de origen y destino
53
Filtros de paquetes a nivel de IP
Aplicación
El tráfico es filtrado basándose
Transporte (TCP) en reglas especificadas,
incluyendo direcciones IP
Red (IP) OK origen y destino, tipo de
paquete, numero de puerto,
Enlace de datos etc.
El trafico no identificado es solo
Física permitido hasta el nivel 3
54
Filtro a nivel de transporte
Aplicación
El tráfico es filtrado basándose
Transporte (TCP) OK en reglas especificadas, sobre
las sesiones iniciadas o
Red (IP) establecidas en ciertas
computadoras
Enlace de datos
Física
55
Gateway a nivel de aplicación
Aplicación OK
El tráfico es filtrado basándose
Transporte (TCP) en reglas especificadas, sobre
las aplicaciones o protocolos de
Red (IP) aplicaciones como HTTP o FTP
Enlace de datos
Física
56
Firewall de inspección multicapa
Aplicación OK
El tráfico es filtrado en los tres
Transporte (TCP) niveles con un amplio rango de
de aplicaciones especificadas,
Red (IP) junto con reglas de sesión y de
filtrado de paquetes IP
Enlace de datos
Física
57
Filtro de paquetes
La información que puede extraerse de un paquete IP puede ser:
Dirección IP de origen
Dirección IP de destino
58
Router de selección
Se denomina así al router que tiene capacidad para filtrar paquetes con
base en criterios tales como:
El tipo de protocolo
La dirección de la fuente
Los campos de dirección de destino para un tipo de protocolo en
particular
59
Firewall-Router de selección
OK
Paquetes salientes Paquetes entrantes
OK
Redes no confiables
Filtro de
paquetes
Criterios de filtrado
Red segura • El tipo de protocolo
• La dirección de la fuente
Servidor de mail • Los campos de dirección de
DNS interno destino para un tipo de protocolo
en particular
60
Operación de los routers de selección
Presentación
Sesión Cumple la
Log/alerta Pasa?
regla?
Transporte si
si
no
Red si no no
NACK
Modulo de inspección
Hay más
Enlace reglas?
Descartar Fin
Fisica
61
Listas de control de acceso en routers ACL
62
Posibles usos de ACL’s
Limitar el tráfico de red y mejorar el desempeño de la red. Por ejemplo, las
ACL pueden designar ciertos paquetes para que un router los procese antes de
procesar otro tipo de tráfico, según el protocolo.
Brindar control de flujo de tráfico. Por ejemplo, las ACL pueden restringir o
reducir el contenido de las actualizaciones de enrutamiento.
63
Filtrado TCP
Para filtrar una conexión TCP solo basta con “parar” el primer paquete.
64
Filtrado unidireccional
Supongamos que se quiere NO permitir conexiones desde una red hacia
la red interna pero si en sentido contrario
65
Filtrado UDP
66
Filtrado ICMP
67
Función de ACL: Filtrar el tráfico
68
Caso de estudio
OK
Paquetes salientes Paquetes entrantes
OK
Internet
Red 170.210.128.0
Filtro de
paquetes
Criterios de filtrado
• Todos acceden a Internet
Red segura • Conexión al servidor SMTP
• Ninguna conexión externa
Servidor de mail • Filtrado de ping
170.210.128.2
69
Caso de estudio
Reglas a imponer
70
Regla del filtro para la
interface externa del router
Acepta
1 acepta 170.210.128.0 * * * TCP conexiones
TCP salida
Bloquea
2 bloquea 170.210.128.0 NA * NA ICMP ICMP hacia
red externa
71
Regla del filtro para la
interface interna del router
Puerto Puerto
Nº Acción Dir orig Dir dest opciones descripción
orig dest
Acepta
conexiones
1 acepta * * 170.210.128.2 25 TCP TCP de
entrada
SMTP
Bloquea toda
2 bloquea * * 170.210.128.0 * TCP conexión
TCP externa
72
ACL en el router para el filtro solicitado
73
Ventajas y desventajas
del Filtrado de Paquetes
Ventajas
Permite controlar desde un solo punto todo el acceso
No necesita cooperación del usuario
Casi todos los routers tienen la capacidad de filtrar paquetes.
Desventajas
Las listas de acceso manipulan sólo acciones de permitir- rechazar.
aún de depurar.
Si un filtro de paquetes falla deja la “puerta abierta”
74
Proxies o gateways de aplicación
75
Proxy
telnetd telnet
telnet telnet
servidor browser
browser HTTP HTTP
telnetd telnetd
telnet telnetd
Red Segura
76 Red No segura
Proxy
Servidor real
Red Interna
Cliente proxy
77
Proxy - ventajas
Analiza los comandos de una aplicación al leer la porción de datos de los
paquetes correspondientes.
Oculta las direcciones internas del sistema; la única dirección IP a la vista desde
el exterior es la del firewall.
78
Proxy - Desventajas
79
Squid
Squid es un Servidor Intermediario (Proxy) de alto desempeño que se
viene desarrollando desde hace varios años y actualmente es muy popular y
ampliamente utilizado entre los sistemas operativos como GNU/Linux y
derivados de Unix.
80
Traducción de Direcciones de Red (Network
Address Traslation, NAT)
Reglas de
Configuración
filtrado
de NAT
TCP/UDP
NAT FILTRO
IP/ICMP
Red segura
1 3 5 7 9 11 13 15 17 19 21 23 CATALYST 3550
1 2
SYSTEM
RPS
STAT
UTIL
DUPLEX
SPEED 2 4 6 8 10 12 14 16 18 20 22 24
Red no segura
81
Firewall de un host bastión
Servidor Servidor
Red segura
proxy de SOCKS
Red no segura
Filtro de DNS
paquetes externo
Dual-home gateway
- DNS interno
- Servidor de
mail interno
82
Firewall de un host bastión pantalla
Host bastion gateway
Servidor Servidor
proxy de SOCKS
Filtro de DNS
Filtro de
paquetes externo
paquetes
Red segura
Red no segura
- DNS interno
Servidor - Servidor de
publico mail interno
83
Firewall de un host bastión con subred
Host bastion gateway
Servidor Servidor
proxy de SOCKS El router externo
manda el tráfico al
gateway.
Filtro de Filtro de DNS
paquetes paquetes externo El router interno
sólo acepta tráfico
del gateway.
Red no segura
Red segura
- DNS interno
Servidor - Servidor de
publico mail interno
84
Ejemplo de firewall
Posible configuración de una empresa, que mantiene una intranet y
tiene servicios para clientes externos
DMZ
Servidores públicos
• DNS
• Mail
Red no segura • Web
• FTP
Intranet
Servidores privados
• Bases de datos
• Archivos
• DNS interno
85
RADIUS
Junio del 2000 y en las RFC 2866 , 2867, RFC 2868, RFC 2869.
86
Diálogo entre Usuario, NAS y Servidor Radius
Usuario Negociación Servidor RADIUS
NAS
PPP u otro Petición/Respuesta
protocolo RADIUS
dejar pasar tráfico FTP. ¿En qué modo de FTP podría funcionar la
comunicación a través del firewall?
En una red, todos los hosts envían sus paquetes IP con TTL=255 por
razones de seguridad. Suponga que uno de los hosts de esa red recibe
un paquete con dirección origen en esa misma red, pero con TTL<255.
¿Qué puede deducirse del punto de vista de la seguridad?
88
Practico 1
Dado la red de la figura configurar la tabla para establecer las reglas de
filtro de paquetes en el router
Todos los host de la red interna 170.219.0.0 pueden tener acceso a cualquier servicio
TCP en Internet
Los hosts externos no pueden conectarse a la red interna, excepto mediante la
compuerta de correo 170.219.0.1, donde pueden tener acceso sólo al servicio de
correo SMTP.
Los mensajes ICMP para Internet deben bloquearse
192.168.0.1 206.245.160.1
Internet
192.168.0.2
192.168.0.3
89
Practico 1
Puerto
Opciones
Nº de Dirección Dirección Puerto de Descrip.
Acción de de
regla de origen
de destino destino
origen
protocolo
90
Practico 2
En una red como la de la figura adjunta:
160.12.12.12
Servidor web
Red 160.12.0.0/16
E0 S0
160.12.12.12
Servidor web
Red 160.12.0.0/16
Se quiere controlar el acceso al servidor web desde el exterior, de forma
que solo le lleguen segmentos TCP dirigidos al puerto 80. Cualquier otro
paquete dirigido a otros hosts de la LAN debe llegar a su destino.
Diga cual de las siguientes secuencias de comandos (ejecutada en el
router en modo configure) sería la correcta para conseguir dicho
objetivo.
91
92