Está en la página 1de 127

ACI 425 SEGURIDAD INFORMTICA

Unidad 4: Seguridad en redes y sistemas operativos

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Objetivos Especficos

Aplicar los conceptos de seguridad informtica a redes de computadoras en las organizaciones con vistas a detectar posibles fallos y mejorar la seguridad tanto en la red interna como en la posible red externa.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
2

Contenidos
Conceptos preliminares: Repaso bsico de redes. Traduccin de direcciones de red (Network Address Translation NAT). Cortafuegos (Firewalls). Proxys. Redes privadas virtuales (Virtual Private Networks VPN). Control de Acceso. Seguridad en intranet/extranet. Capa de conexin segura (Secure Socket Layer - SSL). Tipos de ataques a redes:
sniffing, spoffing y buffer overflow.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Redes de Computadores
Una red de computadoras (red de ordenadores o red informtica) es un conjunto de computadoras y/o dispositivos conectados por enlaces de un medio fsico (medios guiados) inalmbrico (medios no guiados) que comparten informacin (archivos), recursos (CD-ROM, impresoras, etc.) y servicios (email, mensajera instantnea - chat, juegos), etc. Segn la direccionalidad de los datos y el tipo de la transmisin, las redes se clasifican en:
simplex unidireccionales: Un ETD transmite y otro recibe. half-duplex bidireccionales: Slo uno transmite por vez. full-duplex: Ambos pueden transmitir y recibir informacin a la vez.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Clasificacin en categoras
Por localizacin:
rea rea rea rea de de de de red red red red local (LAN) metropolitana (MAN) amplia (WAN) personal (PAN)

Por relacin funcional:


cliente-servidor igual-a-igual (peer to peer - p2p)

Por estructura:
Red OSI o Modelo OSI Red TCP/IP

Por Topologa de red:


red de bus red de estrella red de anillo
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
5

Estndares de redes
IEEE 802.3 estndar para Ethernet IEEE 802.5, estndar para Token Ring IEEE 802.11, estndar para Wi-Fi IEEE 802.15, estndar para Bluetooth Modelo OSI de la ISO Red tipo TCI/IP

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Protocolo de red
Conjunto de reglas que especifican el intercambio de mensajes durante la comunicacin entre las entidades que forman parte de una red.
Tambin conocido como Protocolo de Comunicacin. Un protocolo es una convencin, o estndar, o acuerdo entre partes que regula la conexin, la comunicacin y la transferencia de datos entre dos sistemas. En su forma ms simple, un protocolo se puede definir como las reglas que gobiernan la semntica (significado de lo que se comunica), la sintaxis (forma en que se expresa) y la sincronizacin (quin y cundo transmite) de la comunicacin. Los protocolos pueden estar implementados bien en hardware (tarjetas de red), software (drivers), o como una combinacin de ambos.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Propiedades Tpicas
Los protocolos especifican alguna de las siguientes propiedades: Deteccin de la conexin fsica sobre la que se realiza la comunicacin (cableada o sin cables) Pasos necesarios para comenzar a comunicarse (estrechar manos Handshaking) Negociacin de las caractersticas de la conexin. Cmo se inicia y termina un mensaje. Formato de los mensajes. Qu hacer con los mensajes errneos o corrompidos (correccin de errores) Cmo detectar la prdida inesperada de la conexin y qu hacer en ese caso. Terminacin de la sesin de conexin. Estrategias para asegurar la seguridad: autenticacin, encriptacin.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Estandarizacin
Los protocolos que son implementados en sistemas de comunicacin que tienen un amplio impacto, suelen convertirse en estndares, debido a que la comunicacin e intercambio de informacin (datos) es un factor fundamental en numerosos sistemas, y para asegurar tal comunicacin se vuelve necesario copiar el diseo y funcionamiento a partir del ejemplo preexistente. Esto ocurre tanto de manera informal como deliberada. Existen consorcios empresariales, que tienen como propsito precisamente el de proponer recomendaciones de estndares que se deben respetar para asegurar la interoperabilidad de los productos:
la IEEE que propone varios estndares para redes fsicas, y la W3C (World Wide Web Consortium) que gestiona la definicin aceptada sobre HTTP

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Niveles de abstraccin
En el campo de las redes informticas, los protocolos se pueden dividir en varias categoras. Una de las clasificaciones ms estudiadas es el modelo de referencia de Interconexin de Sistemas Abiertos (Open System Interconection OSI). Segn OSI, puede estudiarse la comunicacin de varios ETD dividindola en siete niveles, desde su nivel ms alto hasta el ms bajo.
Tecnologas y protocolos de red*
7. Nivel de aplicacin 6. Nivel de presentacin 5. Nivel de sesin 4. Nivel de transporte 3. Nivel de red 2. Nivel de enlace
DNS, FTP, HTTP, IMAP, IRC, NFS, NNTP, NTP, POP3, SMB/CIFS, SMTP, SNMP, SSH, Telnet, SIP, ver ms

ASN.1, MIME, SSL/TLS, XML, ver ms

NetBIOS, ver ms

SCTP, SPX, TCP, UDP, ver ms

AppleTalk, IP, IPX, NetBEUI, X.25, ver ms

A su vez, los 7 niveles pueden subdividirse en dos categoras: capas superiores y capas inferiores. Las 4 capas superiores trabajan con problemas particulares a las aplicaciones, mientras que las 3 capas inferiores se encargan del transporte de los datos.

ATM, Ethernet, Frame Relay, HDLC, PPP, Token Ring, Wi-Fi, STP, ver ms

1. Nivel fsico

Cable coaxial, Cable de fibra ptica, Cable de par trenzado, Microondas, Radio, RS-232, ver ms

* segn el Modelo OSI

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

10

Direccin MAC
La direccin MAC (Media Access Control address) es un identificador hexadecimal de 48 bits que se corresponde de forma nica con una tarjeta o interfaz de red. Es individual: cada dispositivo tiene su propia direccin MAC determinada y configurada por el IEEE (los primeros 24 bits) y por el fabricante (los 24 bits restantes). La mayora de los protocolos que trabajan en la capa 2 usan una de las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI-64, las cuales han sido diseadas para ser identificadores globalmente nicos. No todos los protocolos de comunicacin usan direcciones MAC, y no todos los protocolos requieren identificadores globalmente nicos. La direccin MAC es utilizada en varias tecnologas:
Ethernet 802.3 802.5 o redes en anillo a 4 Mbps o 16 Mbps Token Ring 802.11 redes inalmbricas (WIFI). ATM

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

11

Funciones de la subcapa MAC


MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la informacin libre de errores entre dos mquinas conectadas directamente. Para ello se generan tramas: pequeos bloques de informacin que contienen en su cabecera las direcciones MAC correspondiente al emisor y receptor de la informacin. Algunas de las funciones de la subcapa MAC incluyen:

Agregar la direccin MAC del nodo fuente y del nodo destino en cada una de las tramas que se transmiten. Al transmitir en origen, debe delimitar las tramas agregando bits de bandera (flags) para que el receptor pueda reconocer el inicio y el fin de cada trama. Al recibir en el destino, debe determinar el inicio y el final de una trama de datos dentro de una cadena de bits recibidos por la capa fsica. Efectuar deteccin (y correccin si procede) de errores de transmisin. Descartar tramas duplicadas o errneas. Controlar el acceso al medio fsico de transmisin por parte de los dispositivos que comparten el mismo canal de comunicacin.
12

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Conjunto de protocolos de red que implementa la pila de protocolos en la que se basa Internet y que permiten la transmisin de datos entre redes de computadoras. En ocasiones se la denomina conjunto de protocolos TCP/IP, en referencia a los dos protocolos ms importantes que la componen: Protocolo de Control de Transmisin (TCP) y Protocolo de Internet (IP), que fueron los dos primeros en definirse, y que son los ms utilizados de la familia.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
13

Familia de protocolos de Internet

Algunos protocolos de la Familia


Existen muchos protocolos en este conjunto, entre los que se encuentran: HTTP (HyperText Transfer Protocol), que es el que se utiliza para acceder a las pginas Web, ARP (Address Resolution Protocol) para la resolucin de direcciones, FTP (File Transfer Protocol) para transferencia de archivos, SMTP (Simple Mail Transfer Protocol) y POP (Post Office Protocol) para correo electrnico, TELNET para acceder a equipos remotos, RPC (Remote Procedure Call), permite llamadas a procedimientos situados remotamente. Se utilizan las llamadas a RPC como si fuesen procedimientos locales. SNMP (Simple Network Management Protocol) es una aplicacin para el control de la red. NFS (Network File System) permite utilizar archivos distribuidos por los programas de la red. X-Windows: Protocolo para el manejo de ventanas e interfaces de usuario. etc.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
14

TCP/IP
Es la base de Internet. Sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PCs, minicomputadoras y computadoras centrales sobre redes de rea local (LAN) y de rea extensa (WAN). Fue desarrollado y demostrado por primera vez en 1972 por el departamento de defensa de los Estados Unidos, ejecutndolo en ARPANET, una red de rea extensa del departamento de defensa.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
15

Clasificacin apropiada para TCP/IP


5. Aplicacin: Ej. HTTP, FTP, DNS

Una clasificacin utilizada, simple y algo ms prctica para TCP/IP que OSI, es:

4. Transporte: Ej. TCP, UDP, RTP, SCTP 3. Interred: Para TCP/IP este es el Protocolo de Internet (IP) 2. Enlace: Ej. Ethernet, Token Ring, etc. 1. Fsico: Ej. medio fsico, y tcnicas de codificacin, T1, E1
Normalmente, los tres niveles superiores del modelo OSI: Aplicacin, Presentacin y Sesin, son considerados simplemente como el nivel de aplicacin en el conjunto TCP/IP. Como TCP/IP no tiene un nivel de sesin unificado sobre el que los niveles superiores se sostengan, estas funciones son tpicamente desempeadas (o ignoradas) por las aplicaciones de usuario. La diferencia ms notable entre los modelos de TCP/IP y OSI es el nivel de Aplicacin. En TCP/IP se integran algunos niveles del modelo OSI en su nivel de Aplicacin.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
16

Ejemplo de TCP/IP

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

17

1. El nivel Fsico
Se encarga de las conexiones fsicas de la computadora hacia la red. Describe las caractersticas fsicas de la comunicacin, como las convenciones sobre la naturaleza del medio utilizado para la comunicacin: cable, fibra ptica o radio; y todo lo relativo a los detalles como los conectores, cdigo de canales y modulacin, potencias de seal, longitudes de onda, sincronizacin y temporizacin y distancias mximas. Define las caractersticas elctricas, mecnicas y procedimentales de la comunicacin en red. Es estrictamente necesaria su presencia en cualquier modelo. Se especifican los estndares de cable de par trenzado, coaxial o de fibra ptica que se deben usar para conectar una red, la topologa de la misma, niveles de tensin para 0 y 1, forma de modulacin de la seal y otras caractersticas elctricas, as como la forma en que las antenas de microondas deben estar orientadas para comunicarse, y las caractersticas de propagacin de ondas radiales en el caso de conexiones inalmbricas. Tambin tiene atribuidos aspectos como la codificacin de lnea, el establecimiento de la velocidad de transmisin y la tcnica usada para la misma. Por debajo de este nivel slo est el cableado o medio de transporte de la seal. La familia de protocolos de Internet no cubre el nivel fsico de ninguna red.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
18

2. El nivel de Enlace de datos


El nivel de enlace de datos especifica como son transportados los paquetes sobre el nivel fsico, incluidos los delimitadores (patrones de bits concretos que marcan el comienzo y el fin de cada trama). Ejemplos de protocolos de nivel de red de datos son Ethernet, Wireless Ethernet, SLIP, Token Ring y ATM. Ethernet, por ejemplo, incluye campos en la cabecera de la trama que especifican que mquina o mquinas de la red son las destinatarias de la trama. El protocolo punto a punto PPP es un poco ms complejo y originalmente fue diseado como un protocolo separado que funcionaba sobre otro nivel de enlace: HDLC/SDLC. Este nivel es a veces subdividido en Control de enlace lgico (Logical Link Control) y Control de acceso al medio (Media Access Control).

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

19

3. El nivel de Interred
Soluciona el problema de conseguir transportar paquetes a travs de una red sencilla. Ejemplos: X.25 y Host/IMP Protocol de ARPANET. Con la llegada del concepto de Interred, fueron aadidas a este nivel nuevas funcionalidades basadas en el intercambio de datos entre una red origen y una red destino. Generalmente esto incluye un enrutamiento de paquetes a travs de una red de redes, conocida como Internet. En la familia de protocolos de Internet, IP realiza las tareas bsicas para conseguir transportar datos desde un origen a un destino. IP puede pasar los datos a una serie de protocolos superiores. Cada uno estos protocolos se identifica con un "Nmero de protocolo IP nico . ICMP y IGMP son los protocolos 1 y 2, respectivamente. Algunos de los protocolos por encima de IP como Internet Control Message Protocol ICMP (usado para transmitir informacin de diagnstico sobre transmisiones IP) e Internet Group Management Protocol IGMP (usado para dirigir trfico multicast) van en niveles superiores a IP pero realizan funciones del nivel de red e ilustran una incompatibilidad entre los modelos de Internet y OSI. Todos los protocolos de enrutamiento, como Border Gateway Protocol BGP, Open Shortest Path First OSPF, y Routing Information Protocol RIP son realmente tambin parte del nivel de red, aunque ellos parecen pertenecer a niveles ms altos en la pila.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
20

4. El nivel de Transporte
Los protocolos del nivel de transporte pueden solucionar problemas como la fiabilidad ("alcanzan los datos su destino?") y la seguridad de que los datos llegan en el orden correcto. En el conjunto de protocolos TCP/IP, los protocolos de transporte tambin determinan a que aplicacin van destinados los datos. Los protocolos de enrutamiento dinmico, que tcnicamente encajan en el conjunto de protocolos TCP/IP ya que funcionan sobre IP, son generalmente considerados parte del nivel de red; un ejemplo es Open Shortest Path First - OSPF (protocolo IP nmero 89).

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

21

Protocolos del nivel de transporte: TCP


El Protocolo de Control de Transmisin (Transmission Control Protocol TCP; protocolo IP nmero 6) es un mecanismo de transporte confiable y orientado a conexin, que proporciona un flujo fiable de bytes, que asegura que los datos llegan completos, sin daos y en orden. TCP realiza continuamente medidas sobre el estado de la red para evitar sobrecargarla con demasiado trfico. Adems, trata de enviar todos los datos correctamente en la secuencia especificada: El protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se transmitieron. Esta es una de las principales diferencias con UDP, y puede convertirse en una desventaja en flujos en tiempo real (muy sensibles a la variacin del retardo) o en aplicaciones de enrutamiento con porcentajes altos de prdida en el nivel de interred. TCP proporciona un mecanismo para distinguir distintas aplicaciones dentro de una misma mquina a travs del concepto de puerto, por lo que soporta muchas de las aplicaciones ms populares de Internet: HTTP, SMTP y SSH.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
22

Protocolos del nivel de transporte: SCTP


Protocolo ms reciente para control de transmisiones de flujos (Stream Control Transmission Protocol - SCTP) Es un mecanismo fiable y orientado a conexin que brinda confiabilidad, control de flujo y secuenciacin. Est relacionado con la orientacin a byte. Proporciona mltiples sub-flujos multiplexados sobre la misma conexin. Tambin proporciona soporte de multihoming, donde una conexin puede ser representada por mltiples direcciones IP representando mltiples interfaces fsicas. As, si una falla, la conexin no se interrumpe. Fue desarrollado inicialmente para aplicaciones telefnicas: transporte mediante Sistema de sealizacin por canal comn n 7 SS7 sobre IP, pero tambin es usado para otras aplicaciones. Est implementado en los sistemas operativos Linux, Solaris, BSD y QNX.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

23

Protocolos del nivel de transporte: UDP


UDP (protocolo IP nmero 17) es un protocolo de datagramas sin conexin. Es un protocolo no fiable (best effort al igual que IP), porque no verifica que los paquetes lleguen a su destino y no da garantas de que lleguen en orden. Si una aplicacin requiere estas caractersticas, debe llevarlas a cabo por s misma o usar TCP. UDP es usado normalmente para:

aplicaciones de streaming: audio, video, etc.; donde la llegada a tiempo de los paquetes es ms importante que la fiabilidad, o para aplicaciones simples de tipo peticin/respuesta como el servicio del sistema de nombres de dominio (Domain Name System DNS), donde la sobrecarga de las cabeceras que aportan la fiabilidad es desproporcionada para el tamao de los paquetes.
24

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Otros protocolos del nivel de transporte


El Datagram Congestion Control Protocol DCCP est actualmente bajo desarrollo por el IETF. Proporciona semntica de control para flujos TCP, mientras de cara al usuario se da un servicio de datagramas UDP. El Real-time Transport Protocol RTP es un protocolo de datagramas que se monta sobre UDP diseado para datos en tiempo real como el streaming de audio y video. TCP y UDP son usados para dar servicio a una serie de aplicaciones de alto nivel. Las aplicaciones con una direccin de red dada son distinguibles entre s por su nmero de puerto TCP o UDP. Por convencin, los puertos bien conocidos (wellknown ports) son asociados con aplicaciones especficas.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
25

5. El nivel de Aplicacin
El nivel de aplicacin es el nivel que los programas ms comunes utilizan para comunicarse a travs de una red con otros programas. Los procesos que acontecen en este nivel son aplicaciones especficas que pasan los datos al nivel de aplicacin en el formato que internamente use el programa y es codificado de acuerdo con un protocolo estndar. Algunos programas especficos se considera que se ejecutan en este nivel. Estos programas y sus correspondientes protocolos incluyen a:
HTTP (HyperText Transfer Protocol), FTP (Transferencia de archivos), SMTP (correo electrnico), SSH (login remoto seguro), DNS (Resolucin de nombres de dominio) y a muchos otros.

Proporcionan servicios que directamente trabajan con las aplicaciones de usuario.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

26

5. El nivel de Aplicacin (2)


Una vez que los datos de la aplicacin han sido codificados en un protocolo estndar del nivel de aplicacin son pasados hacia abajo al siguiente nivel de la pila de protocolos TCP/IP. En el nivel de transporte, las aplicaciones normalmente hacen uso de TCP y UDP, y son habitualmente asociados a un nmero de puerto bien conocido (well-known port). Los puertos fueron asignados originalmente por la Agencia de Asignacin de Nmeros de Internet (Internet Assigned Numbers Authority IANA : actualmente es ICANN: Internet Corporation for Assigned Names and Numbers) o Corporacin de Internet para la Asignacin de Nombres y Nmeros.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

27

Ventajas e inconvenientes de TCP/IP


El conjunto TCP/IP est diseado para enrutar y tiene un grado muy elevado de fiabilidad, es adecuado para redes grandes y medianas, as como en redes empresariales. Se utiliza a nivel mundial para conectarse a Internet y a los servidores Web. Es compatible con las herramientas estndar para analizar el funcionamiento de la red. Un inconveniente de TCP/IP es que es ms difcil de configurar y de mantener que otros mecanismos tales como la Interfaz extendida de usuario de Netbios NetBEUI o el Intercambio de paquetes interred / Intercambio de paquetes secuenciales IPX/SPX. Adems, es algo ms lento en redes con un volumen de trfico medio bajo. Sin embargo, puede ser ms rpido en redes con un volumen de trfico grande donde haya que enrutar un gran nmero de tramas.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

28

Empleo de TCP/IP
El conjunto TCP/IP se utiliza tanto en redes empresariales como por ejemplo en campos universitarios o en complejos empresariales, en donde utilizan muchos enrutadores y conexiones a mainframe o a ordenadores UNIX, como as tambin en redes pequeas o domsticas, y hasta en telfonos mviles y en domtica. Normalmente el protocolo TCP es usado por el sistema operativo, mientras que la tarjeta de red (hardware) se encarga del protocolo Ethernet o similares.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
29

Problemas posibles
Las versiones de TCP evolucionan constantemente, por lo que se deduce que existen muchos fallos corregidos y por corregir. La Internet Society public en 1999, en el RFC 2525, una lista de problemas detectados en las implementaciones TCP del momento clasificados en control de congestin, rendimiento, fiabilidad, y control de recursos. El objetivo era que los servidores perdieran menos tiempo procesando tanto conexiones errneas como datos transferidos, para as asegurar la estabilidad de Internet. Otra clasificacin posible es en:
problemas de seguridad: los que permiten a un atacante hacer algo que no estaba previsto; problemas de rendimiento: lentitud cuando hay congestin de red o en otros casos especiales; problemas de interoperabilidad: los provocados entre versiones que no cumplen igual de bien el estndar.

Naturalmente, estas clasificaciones no son exclusivas, ya que, por ejemplo, un problema de interoperabilidad puede provocar un mal rendimiento, y esto adems puede considerarse un problema de seguridad.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

30

Problemas de seguridad
La mayora de implementaciones de TCP han tenido errores que permiten atacar a un sistema mediante un ataque de denegacin de servicio (Denial of Service Attack - DoS). Otros fallos pueden tambin facilitar el IP spoofing: alguien que se mete dentro de otra conexin. Si se habla de la familia completa TCP/IP, las vulnerabilidades pueden ser muchas. Como TCP no fue diseado para ser seguro ya que los datos viajan sin cifrar, se puede falsear la identidad, etc.; hay varios intentos para corregirlo: TCP para transacciones y Secure TCP.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

31

Problemas de rendimiento
Este tipo de problemas es el ms comn, ya que casi siempre es posible mejorar el rendimiento de los algoritmos. Con cada nueva versin de una implementacin de TCP se suelen incluir correcciones de este tipo, as que basta con mirar el historial de cambios para tener ejemplos. Los Request for Comments(RFC) tambin informan sobre problemas de rendimiento encontrados en TCP y otros protocolos, adems de ideas para solucionarlos. Lo que se intenta conseguir es ms velocidad de transferencia de datos incluso en condiciones de congestin de red. Para ello, se puede intentar reducir el nmero de conexiones perdidas, o el tiempo de CPU usado para procesar cada conexin correcta, entre otras cosas. Hay muchos estudios tcnicos relacionados con este tema, adems de comparativas de rendimiento entre distintas implementaciones.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

32

Problemas de interoperabilidad
No todos los implementadores cumplen completamente el estndar: los RFC. En las secciones donde ste es poco preciso, es habitual que lo implementen de formas distintas. Esto crea muchos comportamientos distintos en Internet, y algunos de ellos pueden causar problemas menores como por ejemplo, tener que repetir una conexin. El RFC 1122 explica los requisitos que ha de cumplir una implementacin TCP, a nivel de la capa de comunicacin. Le complementan el RFC 1123, que dice cmo han de comportarse las aplicaciones, y el RFC 1127, que habla de las tcnicas que debe permitir el sistema operativo para que pueda funcionar bien en Internet.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
33

Verificacin
Como una mala implementacin de TCP puede causar congestiones, se dedica mucho esfuerzo a estudiar los problemas de las implementaciones existentes. Algunos de los parmetros que se evalan son:
Correccin funcional: cmo de estrictamente cumple con el estndar TCP Rendimiento: cmo de rpido permite enviar datos Comportamiento en caso de estrs: qu es lo que pasa cuando hay mucha carga

El Grupo de Trabajo en Ingeniera de Internet (Internet Engineering Task Force IETF) explica en el RFC 2398 algunas herramientas que se pueden usar para comprobar una implementacin de TCP.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
34

Pruebas
Uno de los mtodos disponibles para pruebas es tratar a la implementacin de TCP como una caja negra y estudiarla desde fuera, de forma activa: primero se ejecuta un procedimiento que cambia el estado de la red y entonces se mira cmo reacciona. A partir de esta informacin, se pueden deducir bastantes cosas, como errores de implementacin, violaciones del protocolo, y decisiones de diseo de los implementadores. Otra forma de verificar una implementacin de TCP es analizar trazas de paquetes, o sea, capturas del trfico que se genera al hacer una conexin. Esto permite estudiar una implementacin de la que no se tiene el cdigo fuente disponible, pero se necesitan muchas capturas para poder tener una muestra representativa de todas las situaciones posibles.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

35

Identificacin de SO segn pila TCP/IP


Debido a la evolucin de TCP, actualmente hay muchas versiones distintas; unas escritas desde cero, y otras basadas en implementaciones anteriores, pero con algunos cambios. Estas variaciones entre versiones hacen que una se comporte de una forma algo distinta, lo que permite poder intuir qu versin est usando un ordenador a partir del comportamiento TCP que muestra. Incluso es posible hacer identificacin remota del sistema operativo (fingerprinting). Programas como el escner de puertos nmap tienen una base de datos con la huella de cada sistema, y pueden hacer la identificacin automticamente de forma activa. Hay mucha documentacin sobre este tema escrita por el autor de nmap.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
36

Caractersticas de IP
Dentro de un sistema TCP/IP los datos transmitidos se dividen en pequeos paquetes. La tarea del protocolo de Internet IP es llevar los datos a granel (los paquetes) de un sitio a otro. Las computadoras que encuentran las vas para llevar los datos de una red a otra (denominadas enrutadores - routers) utilizan IP para trasladar los datos. En resumen IP mueve los paquetes de datos a granel, mientras TCP se encarga del flujo y asegura que los datos estn correctos. Las lneas de comunicacin se pueden compartir entre varios usuarios. Cualquier tipo de paquete puede transmitirse al mismo tiempo, y se ordenar y combinar cuando llegue a su destino. Compare esto con la manera en que se transmite una conversacin telefnica: Una vez que establece una conexin, se reservan algunos circuitos para usted, que no puede emplear en otra llamada, aun si deja esperando a su interlocutor por veinte minutos.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
37

Caractersticas (2)
Los datos no tienen que enviarse directamente entre dos computadoras. Cada paquete pasa de computadora en computadora hasta llegar a su destino. ste es el secreto de cmo se pueden enviar datos y mensajes entre dos computadoras aunque no estn conectadas directamente entre s. Lo que sorprende es que slo se necesitan algunos segundos para enviar un archivo de buen tamao de una mquina a otra, aunque estn separadas por miles de kilmetros y pese a que los datos tienen que pasar por mltiples computadoras. Una de las razones de la rapidez es que, cuando algo anda mal, slo es necesario volver a transmitir un paquete, no todo el mensaje. IP es un protocolo sin conexin, a diferencia del protocolo X.25, que est orientado a conexin.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

38

Caractersticas (3)
Los paquetes no necesitan seguir la misma trayectoria. La red puede llevar cada paquete de un lugar a otro y usar la conexin ms idnea que est disponible en ese instante. No todos los paquetes de los mensajes tienen que viajar, necesariamente, por la misma ruta, ni necesariamente tienen que llegar todos al mismo tiempo. La flexibilidad del sistema lo hace muy confiable. Si un enlace se pierde, el sistema usa otro. Cuando usted enva un mensaje, el TCP divide los datos en paquetes, ordena stos en secuencia, agrega cierta informacin para control de errores y despus los lanza hacia fuera, y los distribuye. En el otro extremo, el TCP recibe los paquetes, verifica si hay errores y los vuelve a combinar para convertirlos en los datos originales. De haber error en algn punto, el programa TCP destino enva un mensaje solicitando que se vuelvan a enviar determinados paquetes.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

39

Datagrama IP
Su formato est descrito en el RFC 791. Consta de una parte de cabecera y una parte de texto. La cabecera tiene una parte fija de 20 octetos y una parte opcional de longitud variable.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

40

Direccin IP
El protocolo IP identifica a cada ordenador que se encuentre conectado a la red mediante su correspondiente direccin: un nmero de 32 bits (en IPv4) que debe ser nico para cada host, y normalmente suele representarse como cuatro cifras de 8 bits separadas por puntos. La direccin de Internet (IP Address) se utiliza para identificar tanto al ordenador en concreto como la red a la que pertenece, de manera que sea posible distinguir a los ordenadores que se encuentran conectados a una misma red. Con este propsito, y teniendo en cuenta que en Internet se encuentran conectadas redes de tamaos muy diversos, se establecieron varias clases de direcciones diferentes.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

41

Direcciones IP clase A
Son las que en su primer byte tienen un valor comprendido entre 1 y 126, incluyendo ambos valores. Estas direcciones utilizan nicamente este primer byte para identificar la red, quedando los otros tres bytes disponibles para cada uno de los hosts que pertenezcan a esta misma red. Esto significa que podrn existir ms de diecisis millones de ordenadores en cada una de las redes de esta clase. Este tipo de direcciones es usado por redes muy extensas, pero hay que tener en cuenta que slo puede haber 126 redes de este tamao. ARPAnet es una de ellas, existiendo adems algunas grandes redes comerciales, aunque existen pocas organizaciones que obtienen una direccin de "clase A".
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
42

Direcciones IP clase B
Estas direcciones utilizan en su primer byte un valor comprendido entre 128 y 191, incluyendo ambos. En este caso el identificador de la red se obtiene de los dos primeros bytes de la direccin, teniendo que ser un valor entre 128.1 y 191.254 (no es posible utilizar los valores 0 y 255 por tener un significado especial). Los dos ltimos bytes de la direccin constituyen el identificador del host permitiendo, por consiguiente, un nmero mximo de 64516 ordenadores en la misma red. Este tipo de direcciones tendra que ser suficiente para la gran mayora de las organizaciones grandes. Lo normal para las grandes organizaciones es que utilicen una o varias redes de "clase B". En caso de que el nmero de ordenadores que se necesita conectar fuese mayor, sera posible obtener ms de una direccin de "clase B", evitando de esta forma el uso de una de "clase A".

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

43

Direcciones IP clase C
En este caso el valor del primer byte tendr que estar comprendido entre 192 y 223, incluyendo ambos valores. Este tercer tipo de direcciones utiliza los tres primeros bytes para el nmero de la red, con un rango desde 192.1.1 hasta 223.254.254. De esta manera queda libre un byte para el host, lo que permite que se conecten un mximo de 254 ordenadores en cada red. Estas direcciones permiten un menor nmero de host que las anteriores, aunque son las ms numerosas pudiendo existir un gran nmero redes (ms de dos millones) de este tipo.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

44

Notas sobre el espacio de direcciones IPv4


En la anterior clasificacin de direcciones se puede notar que algunos nmeros se encuentran reservados para un posible uso futuro, como es el caso de las direcciones cuyo primer byte sea superior a 223 (clases D y E), mientras que el valor 127 en el primer byte se utiliza en algunos sistemas para propsitos especiales. Tambin es importante notar que los valores 0 y 255 en cualquier byte de la direccin no pueden usarse normalmente por tener otros propsitos especficos:
El nmero 0 est reservado para las mquinas que no conocen su direccin, pudiendo utilizarse tanto en la identificacin de red para mquinas que an no conocen el nmero de red a la que se encuentran conectadas, en la identificacin de host para mquinas que an no conocen su nmero de host dentro de la red, o en ambos casos. El nmero 255 tiene tambin un significado especial, puesto que se reserva para el broadcast.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

45

IPv4: Broadcasting
El broadcast es necesario cuando se pretende hacer que un mensaje sea visible para todos los sistemas conectados a la misma red. Esto puede ser til si se necesita enviar el mismo datagrama a un nmero determinado de sistemas, resultando ms eficiente que enviar la misma informacin solicitada de manera individual a cada uno. Otra situacin para el uso de broadcast es cuando se quiere convertir el nombre por dominio de un ordenador a su correspondiente nmero IP y no se conoce la direccin del servidor de nombres de dominio ms cercano. Lo usual es que cuando se quiere hacer uso del broadcast se utilice una direccin compuesta por el identificador normal de la red y por el nmero 255 (todo unos en binario) en cada byte que identifique al host. Sin embargo, por conveniencia tambin se permite el uso del nmero 255.255.255.255 con la misma finalidad, de forma que resulte ms simple referirse a todos los sistemas de la red. El broadcast es una caracterstica que se encuentra implementada de formas diferentes dependiendo del medio utilizado, y por lo tanto, no siempre se encuentra disponible. En ARPAnet y en las lneas punto a punto no es posible enviar broadcast, pero s es posible hacerlo en las redes Ethernet, donde se supone que todos los ordenadores prestarn atencin a este tipo de mensajes.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
46

Subnets
En el caso de algunas organizaciones extensas puede surgir la necesidad de dividir la red en otras redes ms pequeas (subnets). Como ejemplo podemos suponer una red de clase B que, naturalmente, tiene asignado como identificador de red un nmero de dos bytes. En este caso sera posible utilizar el tercer byte para indicar en qu red Ethernet se encuentra un host en concreto. Esta divisin no tendr ningn significado para cualquier otro ordenador que est conectado a una red perteneciente a otra organizacin, puesto que el tercer byte no ser comprobado ni tratado de forma especial. Sin embargo, en el interior de esta red existir una divisin y ser necesario disponer de un software de red especialmente diseado para ello. De esta forma queda oculta la organizacin interior de la red, siendo mucho ms cmodo el acceso que si se tratara de varias direcciones de clase C independientes.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

47

IPv6
Versin 6 del Protocolo de Internet (Internet Protocol): un estndar del nivel de red encargado de dirigir y encaminar los paquetes a travs de una red. IPv6 est destinado a sustituir al estndar IPv4, cuyo lmite en el nmero de direcciones de red admisibles est empezando a restringir el crecimiento de Internet y su uso, especialmente en China, India, y otros pases asiticos densamente poblados. El nuevo estndar mejorar el servicio globalmente; por ejemplo, proporcionando a futuras celdas telefnicas y dispositivos mviles con sus direcciones propias y permanentes. Al da de hoy se calcula que las dos terceras partes de las direcciones que ofrece IPv4 ya estn asignadas. IPv4 soporta 232 = 4.294.967.296 direcciones de red diferentes, un nmero inadecuado para dar una direccin a cada persona del planeta, y mucho menos para cada auto, telfono, PDA o tostadora. IPv6 soporta 2128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 direcciones -> cerca de 6.7 x 1017 670 mil billones direcciones/mm de la superficie de La Tierra.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

48

IPv6 (continuacin)
Adoptado por el Internet Engineering Task Force en 1994, cuando era llamado "IP Next Generation" o IPng, IPv6 cuenta con un pequeo porcentaje de las direcciones pblicas de Internet, que todava estn dominadas por IPv4. La adopcin de IPv6 ha sido frenada por la traduccin de direcciones de red (NAT), que alivia parcialmente el problema de la falta de direcciones IP. Pero NAT hace difcil o imposible el uso de algunas aplicaciones P2P, como son la voz sobre IP (VoIP) y juegos multiusuario. Adems, NAT rompe con la idea originaria de Internet donde todos pueden conectarse con todos. Actualmente, el gran catalizador de IPv6 es la capacidad de ofrecer nuevos servicios, como la movilidad, Calidad de Servicio (QoS), privacidad, etc. El gobierno de los Estados Unidos ha ordenado el despliegue de IPv6 por todas sus agencias federales para el ao 2008. Se espera que IPv4 se siga soportando hasta por lo menos el 2025, dado que hay muchos dispositivos heredados que no se migrarn a IPv6 nunca y que seguirn siendo utilizados por mucho tiempo. IPv6 es la segunda versin del Protocolo de Internet que se ha adoptado para uso general. Tambin hubo un IPv5, pero no fue un sucesor de IPv4; pues fue un protocolo experimental orientado al flujo de streaming que intentaba soportar voz, video y audio.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
49

Direccionamiento IPv6
El cambio ms drstico de IPv4 a IPv6 es la longitud de las direcciones de red: Las direcciones IPv6, definidas en el RFC 2373 y RFC 2374, son de 128 bits; esto corresponde a 32 dgitos hexadecimales, que se utilizan normalmente para escribir las direcciones IPv6.

En muchas ocasiones las direcciones IPv6 estn compuestas por dos partes lgicas: un prefijo de 64 bits y otra parte de 64 bits que corresponde al identificador de interfaz, que casi siempre se genera automticamente a partir de la direccin MAC de la interfaz a la que est asignada la direccin. Por ejemplo, 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 es una direccin IPv6 vlida.

Como sabemos, el nmero de direcciones IPv6 posibles es de 2128 3.4 x 1038. Este nmero puede tambin representarse como 1632, con 32 dgitos hexadecimales, cada uno de los cuales puede tomar 16 valores.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

50

Correspondencia IPv6 a IPv4


El formato ::ffff:1.2.3.4 se denomina direccin IPv4 mapeada, y el formato ::1.2.3.4 direccin IPv4 compatible. Las direcciones IPv4 pueden ser transformadas fcilmente al formato IPv6. Por ejemplo, si la direccin decimal IPv4 es 135.75.43.52 (en hexadecimal, 0x874B2B34), puede ser convertida a 0000:0000:0000:0000:0000:0000:874B:2B34 o ::874B:2B34. Entonces, uno puede usar la notacin mixta direccin IPv4 compatible, en cuyo caso la direccin debera ser ::135.75.43.52. Este tipo de direccin IPv4 compatible casi no est siendo utilizada en la prctica, aunque los estndares no la han declarado obsoleta.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
51

NAT
La Traduccin de Direccin de Red (Network Address Translation - NAT) es un estndar creado por la Internet Engineering Task Force (IETF) que utiliza una o ms direcciones IP para conectar varios computadores a otra red (normalmente a Internet), los cuales tienen una direccin IP completamente distinta (normalmente una IP no vlida de Internet definida por el RFC 1918). El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultneas con un dispositivo remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen campos en los que se indica la direccin origen y destino con sus respectivos puertos. Esta combinacin de nmeros define una nica conexin. Por lo tanto, se puede utilizar para dar salida a redes pblicas a computadores que se encuentran con direccionamiento privado o para proteger mquinas pblicas.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

52

Funcionamiento de NAT
Bsicamente, el NAT es un sistema que se utiliza para asignar una red completa (o varias redes) a una sola direccin IP. Una pasarela NAT cambia la direccin origen en cada paquete de salida y, dependiendo del mtodo, tambin el puerto origen para que sea nico. Estas traducciones de direccin se almacenan en una tabla, para recordar qu direccin y puerto le corresponde a cada dispositivo cliente y as saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla de traducciones, entonces es descartado. Debido a este comportamiento, se puede definir en la tabla que en un determinado puerto y direccin se pueda acceder a un determinado dispositivo, como por ejemplo un servidor Web, lo que se denomina NAT inverso o DNAT (Destination NAT).

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

53

Maneras de funcionamiento
NAT esttico: Realiza un mapeo en el que una direccin IP privada se traduce a una correspondiente direccin IP pblica de forma unvoca. Normalmente se utiliza cuando un dispositivo necesita ser accesible desde fuera de la red privada. NAT dinmico: Una direccin IP privada se traduce a un grupo de direcciones pblicas. Por ejemplo, si un dispositivo posee la IP 192.168.10.10 puede tomar direcciones de un rango entre la IP 200.85.67.44 y 200.85.67.99. Implementando esta forma de NAT se genera automticamente un firewall entre la red pblica y la privada, ya que slo se permite la conexin que se origina desde sta ltima. Sobrecarga: La forma ms utilizada de NAT proviene del NAT dinmico, ya que toma mltiples direcciones IP privadas (normalmente entregadas mediante DHCP) y las traduce a una nica direccin IP pblica utilizando diferentes puertos. Esto se conoce tambin como PAT (Port Address Translation - Traduccin de Direcciones por Puerto), NAT de nica direccin o NAT multiplexado a nivel de puerto. Traslape: Cuando las direcciones IP utilizadas en la red privada son direcciones IP pblicas en uso en otra red. El ruteador posee una tabla de traducciones en donde se especifica el reemplazo de stas con una nica direccin IP pblica. As se evita los conflictos de direcciones entre las distintas redes.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
54

Razones de la creacin de NAT


Con el crecimiento exponencial de Internet, y debido a que se utiliza direccionamiento IPv4, 32 bits para la asignacin de direcciones dando un mximo de 4.294.967.296 direcciones nicas (232), lleg el momento en que el nmero de direcciones no era suficiente para la cantidad de dispositivos conectados. Incluso, el nmero de direcciones es menor al terico, por la forma en que se distribuyen las direcciones en clases, pues hay direcciones que estn reservadas para multicasting, y para usos especiales. Para solucionar esto, se dise IPv6, protocolo que es capaz de asignar un nmero mayor de direcciones, pero su implantacin tomar muchos aos, por que hay que modificar completamente la infraestructura de Internet. Finalmente se dise NAT, quien permite a cualquier dispositivo, como un router, actuar como traductor de direcciones IP.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
55

Razones de la utilizacin de NAT


NAT es muy utilizado en empresas y redes caseras, ya que basta tener una sola direccin IP pblica para poder conectar una multitud de dispositivos. Los ISP tambin pueden utilizar NAT para aliviar la escasez de direcciones IP para los usuarios de cable y ADSL. En este caso, el ISP le asigna una direccin a cada usuario. Usa direcciones no vlidas de Internet. Cuando los paquetes de las mquinas de usuario salen del ISP, atraviesan una caja NAT que los traduce a la verdadera direccin de Internet del ISP. En el camino de regreso, los paquetes sufren la conversin inversa. En este caso, para el resto de Internet, el ISP y sus usuarios caseros de cable y ADSL se comportan como una compaa grande.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
56

Port address translation


Es una caracterstica del estndar NAT, que traduce conexiones TCP y UDP hechas por un host y un puerto en una red externa a otra direccin y puerto de la red interna. PAT permite que una sola direccin IP sea utilizada por varias mquinas de la intranet. Con PAT, una IP externa puede responder hasta a ~64000 direcciones internas. ste mtodo permite a varias mquinas de la intranet compartir una sola direccin en Internet. Cualquier paquete IP contiene la direccin y el puerto tanto del origen como del destino. En el destino, el puerto le dice al receptor cmo procesar el paquete. Un paquete con puerto 80 indica que contiene una pgina Web, mientras que el puerto 25 es usado para transmitir correo electrnico entre servidores de correo.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

57

Port address translation (2)


La traduccin de los puertos, llamada PAT para distinguirla de la traduccin de direcciones (NAT), se apoya en el hecho de que el puerto de origen carece de importancia para la mayora de los protocolos. Igual que NAT, PAT se sita en la frontera entre la red interna y externa, y realiza cambios en la direccin del origen y del receptor en los paquetes de datos que pasan a travs de ella. Los puertos (no las IPs), se usan para designar diferentes hosts en el intranet. El servicio PAT es como una oficina de correo que entrega las cartas. El sobre se cambia para que el remitente sea la oficina de correos, mientras que las cartas que llegan de fuera pierden su direccin y reciben la nueva con la calle y el nmero real.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

58

Port address translation (3)


Cuando un ordenador del intranet manda un paquete hacia fuera, queremos ocultar su direccin real. El servicio PAT remplaza la IP interna con la nueva IP del propio servicio. Luego asigna a la conexin un puerto de la lista de puertos disponibles, inserta el puerto en el campo apropiado del paquete de datos y enva el paquete. El servicio NAT crea una entrada en su tabla de direcciones IP internas, puertos internos y puertos externos. A partir de entonces, todos los paquetes que provengan del mismo hosts sern traducidos con los mismos puertos.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
59

Port address translation (4)


El receptor del paquete utilizar los IP y puerto recibidos para responder, por lo que dicha respuesta llegar a la oficina de correos. Inicialmente, si el puerto destino no existe en la tabla del NAT, los datos sern descartados. En otro caso, la nueva direccin y el nuevo puerto reemplazarn los datos de destino en el paquete y ste ser enviado por la red interna. La traduccin de puertos permite a varias mquinas compartir una nica direccin IP. El servicio PAT borra las traducciones peridicamente de su tabla cuando aparenten no estar en uso. Como el nmero de posibles puertos a otorgar es de 16 bits (65535), la probabilidad de que un computador no encuentre una traduccin es realmente pequea.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

60

ARP
El Protocolo de resolucin de direcciones (Address Resolution Protocol - ARP) es un protocolo de nivel de red responsable de encontrar la direccin hardware (Ethernet MAC) que corresponde a una determinada direccin IP. Para ello se enva un paquete (ARP request) a la direccin de multidifusin de la red (broadcast con MAC = ff ff ff ff ff ff) conteniendo la direccin IP por la que se pregunta, y se espera a que esa mquina (u otra) responda mediante ARP reply con la direccin Ethernet que le corresponde. Cada mquina mantiene una cach con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la direccin de Internet ser independiente de la direccin Ethernet, pero esto solo funciona si todas las mquinas lo soportan. ARP est documentado en el RFC 826. El protocolo RARP realiza la operacin inversa.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

61

ARP (2)
En Ethernet, la capa de enlace trabaja con direcciones fsicas. El protocolo ARP se encarga de traducir las direcciones IP a direcciones MAC (direcciones fsicas). Para realizar sta conversin, el nivel de enlace utiliza las tablas ARP. Cada interfaz tiene tanto una direccin IP como una direccin fsica MAC. ARP se utiliza en 4 casos referentes a la comunicacin entre 2 hosts:
1. Cuando dos hosts estn en la misma red y uno quiere enviar un paquete a otro. 2. Cuando dos hosts estn sobre redes diferentes y deben usar un gateway/router para alcanzar otro host. 3. Cuando un router necesita enviar un paquete a un host a travs de otro router. 4. Cuando un router necesita enviar un paquete a un host de la misma red.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

62

Ejemplo de ARP
Funcionamiento I Si A quiere enviar un frame a la direccin IP de B en su misma red, mirar su tabla ARP para poner en la frame la direccin destino fsica correspondiente a la IP de B. De esta forma, cuando les llegue a todos el frame, no tendrn que deshacerlo para comprobar si el mensaje es para ellos, sino que se hace con la direccin fsica. Funcionamiento II Si A quiere enviar un mensaje a C, un nodo que no est en la misma red, el mensaje deber salir de la red. As, A enva el frame a la direccin fsica del router de salida. Esta direccin fsica la obtendr a partir de la IP del router, utilizando la tabla ARP. Si esta entrada no est en la tabla, mandar un mensaje ARP a esa IP (llegar a todos), para que le conteste indicndole su direccin fsica. Una vez en el router, ste consultar su tabla de encaminamiento, obteniendo el prximo nodo (salto) para llegar al destino, y saca el mensaje por el interfaz correspondiente. Esto se repite por todos los nodos, hasta llegar al ltimo router, que es el que comparte el medio con el host destino. Aqu el proceso cambia: el interfaz del router tendr que averiguar la direccin fsica de la IP destino que le ha llegado. Lo hace mirando su tabla ARP o preguntando a todos.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
63

RARP
El Protocolo de resolucin de direcciones inverso (Reverse Address Resolution Protocol - RARP) se utiliza para resolver la direccin IP de una direccin hardware dada tal y como una direccin Ethernet. La principal limitacin era que cada MAC tena que ser configurada manualmente en un servidor central, y se limitaba solo a la direccin IP, dejando otros datos como la mscara de subred, puerta de enlace y dems informacin que tenan que ser configurados a mano. Otra desventaja de este protocolo es que utiliza como direccin destino, evidentemente, una direccin MAC de difusin para llegar al servidor RARP. Sin embargo, una peticin de ese tipo no es reenviada por el router del segmento de subred local fuera de la misma, por lo que este protocolo, para su correcto funcionamiento, requiere de un servidor RARP en cada subred. Posteriormente el uso de BOOTP lo dej obsoleto, ya que ste ya funciona con paquetes UDP, los cuales se reenvan a travs de los routers, eliminando la necesidad de disponer de un servidor BOOTP en cada subred. Adems, BOOTP tiene un conjunto de funciones mayor que permite obtener ms informacin y no slo la direccin IP. RARP est descrito en el RFC 903

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

64

BOOTP
Bootstrap Protocol - BOOTP es un protocolo de red UDP utilizado por los clientes de red para obtener su direccin IP automticamente. Normalmente se realiza en el proceso de arranque del sistema operativo. Originalmente est definido en el RFC 951. Este protocolo permite a los ordenadores sin disco obtener una direccin IP antes de cargar un sistema operativo avanzado. Histricamente ha sido utilizado por las estaciones de trabajo sin disco basadas en UNIX, las cuales tambin obtenan la localizacin de su imagen de arranque mediante este protocolo y tambin por empresas para introducir una instalacin pre-configurada de Windows en PCs recin comprados. Originalmente requera el uso de un disquete de arranque para establecer las conexiones de red iniciales, pero el protocolo se integr en la BIOS de algunas tarjetas de red y en muchas placas madre modernas para permitir el arranque directo desde la red. DHCP es un protocolo basado en BOOTP, ms avanzado, pero ms difcil de implementar. Muchos servidores DHCP tambin ofrecen soporte BOOTP.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

65

DHCP
Dynamic Host Configuration Protocol - DHCP es un protocolo de red que permite a los nodos de una red IP obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va asignando a los clientes conforme estas van estando libres, sabiendo en todo momento quien ha estado en posesin de esa IP, cuanto tiempo la ha tenido, a quien se la ha asignado despus. Incluye tres mtodos de asignacin de direcciones IP:

Asignacin manual: donde la asignacin se basa en una tabla con direcciones MAC mediante pares de direcciones IP ingresados manualmente por el administrador. Slo la computadora con una direccin MAC que figure en dicha tabla recibir el IP que le asigna la tabla. Asignacin automtica: donde una direccin de IP libre obtenida de un rango determinado por el administrador se le asigna permanentemente a la computadora que la requiere. Asignacin dinmica: el nico mtodo que permite la reutilizacin dinmica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada computadora conectada a la red est configurada para solicitar su direccin IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalacin de nuevas mquinas clientes a la red. Est documentado en RFC 2131. DHCPv6, DHCP en una red IPv6: RFC 3315
66

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Router
El enrutador encaminador (Router) es un dispositivo hardware o software de interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. Este dispositivo interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. El router toma decisiones lgicas con respecto a la mejor ruta para el envo de datos a travs de una red interconectada y luego dirige los paquetes hacia el segmento y el puerto de salida adecuados. Sus decisiones se basan en diversos parmetros. Una de las ms importantes es decidir la direccin de la red hacia la que va destinado el paquete. En el caso del protocolo IP esta sera la direccin IP. Otras decisiones son la carga de trfico de red en las distintas interfaces de red del router y establecer la velocidad de cada uno de ellos, dependiendo del protocolo que se utilice.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

67

Diagrama con ejemplo de enrutamiento

En el diagrama, se muestran 3 redes IP interconectadas por 2 routers. La computadora con el IP 222.22.22.1 enva 2 paquetes, uno para la computadora 123.45.67.9 y otro para 111.11.11.1 A travs de sus tablas de enrutamiento configurados previamente, los routers pasan los paquetes para la red o router con el rango de direcciones que corresponde al destino del paquete.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
68

Broadcast (Difusin)
Los broadcast, o difusiones, se producen cuando una fuente enva datos a todos los dipositivos de una red. En el caso del protocolo IP, una direccin de broadcast es una direccin compuesta exclusivamente por nmeros unos (1) en el campo del host. Para la direccin IP en formato binario de modo que para una mscara de red 255.255.255.0 la direccin de broadcast para la direccin 192.168.0.1 seria la 192.168.0.255 o sea xxxxxxxx.xxxxxxxx.xxxxxxxx.11111111.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
69

Protocolos de enrutamiento
Los protocolos de enrutamiento son los utilizados por los routers para comunicarse entre s y compartir informacin que les permita tomar la decisin de cual es la ruta ms adecuada en cada momento para enviar un paquete. Los protocolos ms usados son RIP (v1 y v2), OSPF (v1, v2 y v3), y BGP (v4), que se encargan de gestionar las rutas de una forma dinmica, aunque no es estrictamente necesario que un router haga uso de estos protocolos, pudindosele indicar de forma esttica las rutas caminos a seguir para las distintas subredes que estn conectadas al dispositivo. Comnmente los routers se implementan tambin como puertas de acceso a Internet, por ejemplo un router ADSL, usndose normalmente en casas y oficinas pequeas. Es correcto utilizar el trmino router en este caso, ya que estos dispositivos unen dos redes: una red de rea local con Internet.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

70

Router por Software


Existe la posibilidad de no utilizar equipos dedicados, opcin que puede ser la ms adecuada para redes locales o redes con un trfico limitado, y usar software que implemente los protocolos de red antes mencionados. Para dar funcionalidad de router a un PC con los sistemas operativos GNU/Linux o BSD, es suficiente con aadirle al menos dos interfaces de red y activar el soporte de enrutamiento en el kernel. Si se desea proporcionar la funcionalidad de un router completo, y que soporte diversos protocolos de red, se pueden utilizar paquetes como: Quagga [1] Zebra [2] ZebOs Otra forma de adquirir un router es con fabricantes que se dedican a desarrollar su propio software no libre y hardware especialmente hecho para tal fin: Cisco Systems Juniper Networks
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
71

Cortafuegos ( Firewall )
Un cortafuegos (o firewall en ingls), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red. Su modo de funcionar es indicado por la recomendacin RFC 2979, que define las caractersticas de comportamiento y requerimientos de interoperabilidad. La ubicacin habitual de un cortafuegos es el punto de conexin de la red interna de la organizacin con la red exterior, que normalmente es Internet.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

72

Cortafuegos (2)
De este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna. Tambin es frecuente conectar al cortafuegos una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade proteccin a una instalacin informtica, pero en ningn caso debe considerarse como suficiente. La Seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

73

Tipos de cortafuegos
Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la direccin MAC. Cortafuegos de capa de aplicacin: Trabaja en el nivel de aplicacin (nivel 7) de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP es normalmente denominado Proxy y permite que los computadores de una organizacin entren a Internet de una forma controlada. Cortafuegos personal: Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

74

Ventajas de un cortafuegos
Protege de intrusiones. El acceso a ciertos segmentos de la red de una organizacin, slo se permite desde mquinas autorizadas de otros segmentos de la organizacin o de Internet. Proteccin de informacin privada. Permite definir distintos niveles de acceso a la informacin de manera que en una organizacin cada grupo de usuarios definido tendr acceso slo a los servicios y la informacin que le son estrictamente necesarios.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
75

Caractersticas
Un firewall es un conjunto de reglas en las que se examina el origen y destino de los paquetes del protocolo TCP/IP. En cuanto a protocolos es probable que sean capaces de filtrar muchos tipos de ellos: UDP, ICMP, GRE y otros protocolos vinculados a VPNs. Este podra ser (en seudo-lenguaje) un conjunto de reglas:
Poltica por defecto ACEPTAR. Todo lo que venga de la red local al firewall ACEPTAR Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTAR Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR Todo lo que venga de la red local y vaya al exterior ENMASCARAR Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR Todo lo que venga del exterior al puerto tcp 3389 DENEGAR Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR

En definitiva lo que se hace es:

Habilitar el acceso a puertos de administracin a determinadas IPs privilegiadas. Enmascarar el trafico de la red local hacia el exterior mediante NAT: una peticin de un PC de la LAN sale al exterior con la IP pblica hacia Internet. Deniega el acceso desde el exterior a puertos de administracin y a todo lo que este entre 1 y 1024.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

76

Zona desmilitarizada - DMZ


Una DMZ (del ingls Demilitarized zone) o Zona DesMilitarizada o red perimetral en seguridad informtica es una red local (subred) que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los hosts de la DMZ's den servicios a la red externa, a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los hosts situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
77

Diagrama red con DMZ y cortafuegos

El diagrama muestra una red tpica que usa una zona desmilitarizada DMZ con un cortafuegos de tres patas.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
78

Conexiones de una DMZ


Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando traduccin de direccin de puertos (port address translation - PAT). Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta a un puerto distinto de ste - esta configuracin se llama cortafuegos de tres patas (three-legged firewall). Un planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir configuraciones errneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuracin tambin es llamado cortafuegos de subred monitoreada (screened-subnet firewall). Obsrvese que los router domsticos son llamados "DMZ host", aunque no es una definicin correcta de zona desmilitarizada.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

79

Uso tpico de cortafuegos


El siguiente esquema muestra otro uso tpico de un firewall entre red local e Internet con zona DMZ para servidores expuestos al mundo:

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

80

Servidores en la DMZ
En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde Internet de tal forma que si es atacado y se gana acceso a l, la red local sigue protegida por el firewall. Esta estructura de DMZ puede hacerse tambin con un doble firewall, aunque puede usarse un nico dispositivo con al menos tres interfaces de red. Sera un esquema como este:

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

81

Doble uso de Cortafuegos


Los firewalls pueden usarse en cualquier red. Es habitual tenerlos como proteccin de Internet en las empresas, aunque ah tambin suelen tener una doble funcin: Esto ltimo se hace con el firewall o frecuentemente con un proxy, que tambin utilizan reglas, aunque de ms alto nivel. Tambin es normal encontrar uno o ms firewalls en empresas de hosting (ISPs) con muchos servidores alojados, ya sea filtrando toda la instalacin o parte de ella.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
82

controlar los accesos externos hacia dentro y tambin los internos hacia el exterior.

Esquema de un ISP

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

83

Maneras de implementar un firewall


Hay dos: 1) Poltica por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegar lo que se diga explcitamente. 2) Poltica por defecto DENEGAR: todo esta denegado, y solo se permitir pasar por el firewall aquellos que se permita explcitamente. La primera poltica facilita mucho la gestin del firewall, ya que simplemente nos tenemos que preocupar de proteger aquellos puertos o direcciones que sabemos que nos interesan; el resto no importa tanto y se deja pasar. Por ejemplo, si se quiere proteger una mquina Linux, puede hacerse: netstat -ln netstat an netstat -puta | grep LISTEN para saber que puertos estn abiertos y poner reglas para protegerles.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
84

Maneras (2)
Para qu vamos a proteger un puerto que realmente nunca se va a abrir? El nico problema que podemos tener es que no controlemos que es lo que esta abierto, o que en un momento dado se instale un software nuevo que abra un puerto determinado, o que no sepamos que determinados paquetes ICMP son peligrosos. Si la poltica por defecto es ACEPTAR y no se protege explcitamente, nos la estamos jugando un poco. En cambio, si la poltica por defecto es DENEGAR, a no ser que lo permitamos explcitamente, el firewall se convierte en un autntico MURO infranqueable. El problema es que es mucho ms difcil preparar un firewall as, y hay que tener muy claro como funciona el sistema y que es lo que se tiene que abrir sin caer en la tentacin de empezar a meter reglas sper-permisivas. Esta es la configuracin de firewall recomendada, aunque no es aconsejable usarla si no se domina mnimamente el sistema.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

85

Importante
El orden en el que se ponen las reglas del firewall es determinante. Normalmente cuando hay que decidir que se hace con un paquete se va comparando con cada regla del firewall hasta que se encuentra una que le afecta (match), y se hace lo que dicte esta regla: aceptar o denegar. Despus de eso NO SE MIRARN MS REGLAS para ese paquete. Si se ponen reglas muy permisivas entre las primeras puede que las siguientes no se apliquen y no sirvan de nada.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
86

Cul es el peligro?

Qu es iptables?
Es un sistema de firewall vinculado al kernel de Linux que se ha extendido enormemente a partir de la versin 2.4. Al igual que con el anterior sistema ipchains, un firewall de iptables no es como un servidor que se inicia o detiene o que se puede caer por un error de programacin, aunque ha tenido alguna vulnerabilidad que permiti DoS, pero nunca tendr tanto peligro como las aplicaciones que escuchan en determinado puerto TCP. iptables esta integrado con el kernel, es parte del sistema operativo.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
87

Diferencias entre IPTABLES e IPCHAINS


IPTABLES es ms completo que su predecesor IPCHAINS: permite un control an ms preciso, aunque tambin es ms complejo. En principio, el sistema sigue siendo el mismo: Hay que cargar un modulo del kernel y ejecutar un script de shell convencional que tiene el aspecto de un conjunto de reglas. Un script de este tipo se podra complicar y sofisticar tanto como se desee. Generalmente:
Comienza cargando los mdulos necesarios (los imprescindibles y los auxiliares, como el de ftp masquerading), Establece algn bit como por ejemplo el de forwarding. Borra todas las reglas actuales (flush). Establece las polticas por defecto para la aceptacin, reenvo y salida. Finalmente va aplicando todas las reglas de firewall, que varan dependiendo de las necesidades de cada red.

El orden de algunos puntos no tiene por que ser siempre as. Por lo general, una aproximacin buena suele ser CERRAR todo por defecto, e ir abriendo lo que se necesite.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
88

Cmo se pone en marcha?


Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que se aaden, borran, o crean reglas. Por ello un firewall de iptables es un simple script de shell en el que se van ejecutando las reglas de firewall. Se puede implementar un script de inicio en /etc/rc.d/INIT.d (o /etc/INIT.d ) con el que hacer que iptables se "inicie o pare" como un servidor ms. Es probable que este script venga en la distribucin como es el caso por ejemplo de redhat y sus variantes, incluido trustix. Tambin se pueden salvar las reglas aplicadas con el comando iptables-save en un archivo, y gestionar ese fichero con una aplicacin o front-end desde X Windows webmin.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
89

Camino de un paquete

Bsicamente se mira si el paquete est destinado a la propia maquina o a otra. Para los paquetes (o datagramas, segn el protocolo) que van a la propia mquina se aplican las reglas INPUT y OUTPUT. Para filtrar paquetes que van a otras redes o mquinas se aplican simplemente reglas FORWARD.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
90

Tipos de reglas de filtrado


Son tres:
INPUT, OUTPUT y FORWARD.

Antes de aplicar esas reglas es posible aplicar reglas de NAT, que se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino. Incluso, antes de las reglas de NAT, pueden colocarse reglas de tipo MANGLE, destinadas a modificar los paquetes. Estas son reglas poco conocidas y es probable que Ud no las use. Por tanto tenemos tres tipos de reglas en iptables:
MANGLE NAT: reglas PREROUTING, POSTROUTING FILTER: reglas INPUT, OUTPUT, FORWARD.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

91

Elementos bsicos
rdenes bsicas: iptables F : borrado (flush) de reglas iptables L : listado de reglas que se estn aplicando iptables A : append, aadir regla iptables D : borrar una regla, etc. Ejemplo de regla: #Regla que acepta conexiones al puerto 80: iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p TCP --dport www -j ACCEPT
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
92

Gua rpida de opciones (flags)


-s : source address. Ej.: -s 192.168.1.0/24 -d : destino. Ej.: -d 84.56.73.3 -p : tipo de protocolo (TCP, UDP, ICMP). Ej.: -p TCP --sport : puerto de origen --dport: puerto de destino -i = in-interface : el interfaz por el que se entra (eth0,eth1, ppp0,) -o = --out-interface: el interfaz por el que se sale (eth0,eth1, ppp0,) Notas: -i se usa con reglas INPUT y FORWARD -o se usa con reglas FORWARD y OUTPUT

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

93

Ejemplo: Firewall de una LAN con salida a Internet con DMZ.

En

este tipo de firewall hay que permitir: Acceso de la red local a Internet. Acceso pblico a los puertos TCP/80 y TCP/443 del servidor de la DMZ. Acceso del servidor de la DMZ a una BBDD de la LAN. Bloquear el resto de acceso de la DMZ hacia la LAN.

Solo pueden ser las FORWARD, ya que estamos filtrando entre distintas redes, no son paquetes destinados al propio firewall. El guin (script) que se ocupa es reglas.iptables.txt
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
94

Qu tipo de reglas son las que hay que usar para filtrar el trfico entre la DMZ y la LAN?

Otro ejemplo
Si las mquinas de la DMZ tienen una IP pblica hay que tener muchsimo cuidado de no permitir el FORWARD por defecto. Si en la DMZ hay IP pblica NO ES NECESARIO HACER REDIRECCIONES de puerto. Basta rutar los paquetes para llegar hasta la DMZ. Este tipo de necesidades surgen por ejemplo cuando hay dos mquinas con servidor Web: apache e IIS. A cul de las dos se redirige el puerto 80? No hay manera de saberlo. Por eso se deben asignar IPs pblicas o en su defecto usar puertos distintos. Por tanto hay que proteger convenientemente toda la DMZ. Tampoco hara falta enmascarar la salida hacia el exterior de la DMZ: si tiene una IP pblica ya tiene visibilidad en Internet. Hay que decirle al router como llegar hasta esa IP pblica.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
95

Otro ejemplo (2)

As podra ser esta red:

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

96

Firewall de una LAN con salida a Internet y VPNS


Supongamos que entre los routers ya se ha establecido un tnel y que, si el firewall lo permite, se podra llegar de la central a las delegaciones y viceversa usando las IPs privadas. Entonces se puede hacer un ping desde la central a 192.168.30.x y responder. Para ello es imprescindible que el router de la central tenga una ruta creada para llegar a 192.168.10.0/24 y por supuesto cada una ruta para cada delegacin. Antes de trabajar en el firewall hay que asegurar la visibilidad entre los routers y poder llegar a sus IPs privadas haciendo ping. Supngase tambin que en la central est el servidor de correo que lgicamente debe tener el puerto 25 accesible desde Internet, y debe ser accesible desde las delegaciones para puerto 25, 110 (pop3) o 143(imap). La salida a Internet (Web, ftp, etc.) la har cada servicio por su lado.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
97

Ejemplo 3 (continuacin)

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

98

Firewall puro y duro entre redes


En el firewall debemos indicar una serie de reglas para proteger los equipos que estn al otro lado de este dispositivo, todos ellos de la red 211.34.149.0/24 Cada uno de ellos da un servicio determinado, y puede estar gestionado desde distintas IPs, lo que significa que habr que dar acceso a determinados puertos de gestin (22, 3389, etc..).

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

99

Cmo depurar el funcionamiento del firewall?


Programas tiles: IPTRAF: Uno de los programas ms prcticos para depurar el firewall es iptables, ya que con el podemos observar si la conexiones se establecen o no. Es un programa de consola que es aconsejable controlar, ya que muestra en tiempo real el trfico que atraviesa nuestra mquina con todo lujo de detalles: origen/destino de IPs y puertos, trfico total o trfico total segn el interfaz de red, etc. Si se observan muchas conexiones simultaneas, existe la posibilidad de aplicar filtros para captar solo aquellas que interesan. NMAP: Herramienta por excelencia para escanear puertos. Es una herramienta de consola rpida, efectiva y con multitud de opciones. Puede usarla desde mquinas ajenas a su red para comprobar si realmente el firewall est filtrando correctamente y en cierta manera para saber que "visin" pueden tener los hackers de nuestro sistema. SHELL: En el propio script del firewall pueden aadirse opciones para descubrir fallos de sintaxis en las reglas. Si tenemos un firewall de 40 lneas y una de ellas falla cuando se ejecuta el script: Cul es? Es probable que el mensaje de error no aclare lo suficiente, por eso se puede aadir algo as al final de cada regla: ... iptables -A INPUT -s 195.55.234.2 -j ACCEPT && echo " regla-21 ok" iptables -A INPUT -s 213.62.89.145 -j ACCEPT && echo " regla-22 ok" ... Si la regla se ejecuta bien mostrar su mensaje ok. Otra opcin sera eliminar o comentar reglas hasta dar con la que tiene la sintaxis incorrecta. Cabe resear que puede fallar una regla, pero a partir de ella el resto se ejecutan con normalidad.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
100

Proxy
El trmino proxy hace referencia a un programa o dispositivo que realiza una accin en representacin de otro. La finalidad ms habitual es la del servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organizacin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direccin IP. De ellos, el ms famoso es el servidor proxy de Web, comnmente conocido solamente como "proxy, el cual intercepta la navegacin de los clientes por pginas Web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Tambin existen proxys para otros protocolos, como el proxy de FTP El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre computadores.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

101

Ventajas de un proxy
Hacen posibles varias cosas nuevas: Control. Slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy. Ahorro. Por tanto, slo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido. Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas. Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla siguiendo un algoritmo. Anonimato. Si todos los usuarios se identifican como uno slo, es difcil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificacin.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
102

Desventajas
En general, el uso de un intermediario puede provocar: Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algn trabajo que no toque. Por tanto, deber controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil. Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de cach y guarda copias de los datos. Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua cuando hay una ms reciente en el recurso de destino. Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP).

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

103

Proxies transparentes
Muchas organizaciones, incluyendo empresas, colegios y familias, usan proxies para reforzar las polticas de uso de la red o para proporcionar seguridad y servicios de cach. Normalmente, un proxy Web o NAT no es transparente a la aplicacin cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuracin. Un proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de Internet (ISP).
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
104

Reverse Proxy
Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms servidores Web. Todo el trfico entrante de Internet y con el destino de uno de esos servidores Web pasa a travs del servidor proxy. Hay varias razones para instalar un "reverse proxy":

Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege los servidores Web. Encriptacin / Aceleracin SSL: cuando se crea un sitio Web seguro, habitualmente la encriptacin SSL no la hace el mismo servidor Web, sino que es realizada por el "reverse proxy", el cual est equipado con un hardware de aceleracin SSL Security Sockets Layer. Distribucin de Carga: el "reverse proxy" puede distribuir la carga entre varios servidores Web. En ese caso, el "reverse proxy" puede necesitar reescribir las URL de cada pgina Web (traduccin de la URL externa a la URL interna correspondiente, segn en qu servidor se encuentre la informacin solicitada) Cach de contenido esttico: Un "reverse proxy" puede descargar los servidores Web almacenando contenido esttico como imgenes y otro contenido grfico.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

105

Proxy NAT / Enmascaramiento


Otro mecanismo para hacer de intermediario en una red es el NAT. La traduccin de direcciones de red tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras. Esto es lo que ocurre cuando varios usuarios comparten una nica conexin a Internet:

Se dispone de una nica direccin IP pblica, que tiene que ser compartida. Dentro de la red de rea local, los equipos emplean direcciones IP reservadas para uso privado y ser el proxy el encargado de traducir las direcciones privadas a esa nica direccin pblica para realizar las peticiones, as como de distribuir las pginas recibidas a aquel usuario interno que la solicit.
106

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Enmascaramiento (2)
Esta situacin es muy comn en empresas y domicilios con varios ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexin directa entre el exterior y la red privada, y as nuestros equipos no estn expuestos a ataques directos desde el exterior. Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una mquina concreta que haya sido determinada para tal fin en el propio proxy. La funcin de NAT reside en los Cortafuegos, y resulta muy cmoda, porque no necesita de ninguna configuracin especial en los equipos de la red privada que pueden acceder a travs de l como si fuera un router.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

107

Pasarela
Una pasarela o gateway es un dispositivo, con frecuencia un ordenador, que realiza la conversin de protocolos entre diferentes tipos de redes o aplicaciones. Por ejemplo, un gateway de correo electrnico, o de mensajes, convierte mensajes entre dos diferentes protocolos de mensajes. La traduccin de las unidades de informacin reduce mucho la velocidad de transmisin a travs de estos equipos. En realidad es una puerta de acceso, teniendo lugar una conversin completa de protocolos hasta la capa de aplicacin del modelo de referencia OSI. Una Pasarela en termino genrico puede referirse a tres tipos de dispositivos:
1. Primero se puede referir a un router, 2. un segundo tipo como una compuerta de aplicacin la cual traduce los datos que ocupa un programa de aplicacin de red, y 3. el tercer tipo de pasarela es el que traduce la informacin de un tipo de protocolo a otro.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

108

Puerta de enlace (Gateway)


Un puerta de enlace o gateway es normalmente un equipo informtico configurado para dotar a las mquinas de una red local (LAN) conectadas a l de un acceso hacia una red exterior, generalmente realizando para ello operaciones de traduccin de direcciones IP. Esta capacidad de traduccin de direcciones permite aplicar la tcnica IP Masquerading (enmascaramiento de IP), usada muy a menudo para dar acceso a Internet a los equipos de una red de rea local compartiendo una nica conexin a Internet, y por tanto, una nica direccin IP externa. Se podra decir que un gateway, o puerta de enlace, es un router que conecta dos redes. La direccin IP de un gateway (o puerta de enlace) a menudo se parece a 192.168.1.1 o 192.168.0.1 y utiliza algunos rangos predefinidos: 127.x.x.x, 10.x.x.x, 172.x.x.x, 192.x.x.x, que engloban o se reservan a las redes locales. Adems, debe notarse que un equipo que haga de puerta de enlace en una red debe tener necesariamente dos tarjetas de red. Ntese que existen varios usos con cierta semejanza, pero diferentes, de la misma palabra en idioma ingls : gateway.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

109

Conmutador
Un switch (conmutador) es un dispositivo electrnico de interconexin de redes de computadoras que opera en la capa 2, nivel de enlace de datos, del modelo OSI. Un switch interconecta dos o ms segmentos de red, funcionando de manera similar a los puentes (bridges), pasando datos de un segmento a otro, de acuerdo con la direccin MAC de destino de los datagramas en la red.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

110

Concentrador (Hub)
Un concentrador es un dispositivo que permite centralizar el cableado de una red. Tambin conocido con el nombre de hub. Un concentrador funciona repitiendo cada paquete de datos en cada uno de los puertos con los que cuenta, excepto en el que ha recibido el paquete, de forma que todos los puntos tienen acceso a los datos. Tambin se encarga de enviar una seal de choque a todos los puertos si detecta una colisin. Son la base para las redes de topologa tipo estrella. Como alternativa, existen los sistemas en los que los equipos estn conectados en serie: a una lnea que une varios o todos entre s, antes de llegar al central. Llamado tambin repetidor multipuerto, existen 3 clases:
Pasivo: No necesita energa elctrica. Activo: Necesita alimentacin. Inteligente: Tambin llamados smart hubs son hubs activos que incluyen microprocesador.

Dentro del modelo OSI el concentrador opera a nivel de la capa fsica, al igual que los repetidores, y puede ser implementado utilizando nicamente tecnologa analgica. Simplemente une conexiones y no altera las tramas que le llegan. Los concentradores fueron muy populares hasta que se abarataron los switch que tienen una funcin similar pero proporcionan ms seguridad contra programas como los sniffer. La disponibilidad de switches ethernet de bajo precio ha dejado obsoletos a los hubs, pero an se pueden encontrar en instalaciones antiguas y en aplicaciones especializadas.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
111

Puente de red
Un puente o bridge es un dispositivo de interconexin de redes que opera en la capa 2, nivel de enlace de datos, del modelo OSI. Este interconecta dos segmentos de red, o divide una red en segmentos, haciendo el pasaje de datos de una red para otra, con base en la direccin fsica de destino de cada paquete. Un bridge conecta dos redes como una sola red usando el mismo protocolo de establecimiento de red. Funciona a travs de una tabla de direcciones MAC detectadas en cada segmento a que est conectado. Cuando detecta que un nodo de uno de los segmentos est intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred. Por utilizar este mecanismo de aprendizaje automtico, los puentes no necesitan configuracin manual. La principal diferencia entre un puente y un concentrador es que el segundo pasa cualquier trama con cualquier destino para todos los otros nodos conectados, en cambio el primero slo pasa las tramas pertenecientes a cada segmento. Esta caracterstica mejora el rendimiento de las redes al disminuir el trfico intil. Para hacer el bridging o interconexin de ms de 2 redes, se utilizan los switches.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
112

Red privada virtual - VPN


El concepto de Red Privada Virtual (Virtual Private Network - VPN) aparece frecuentemente asociado a los de conectividad, Internet y seguridad. Una VPN permite extender la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos:
Posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet. Permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo. Lograr que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel.

Todo esto utilizando la infraestructura de Internet.


2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
113

Necesidades sobre una VPN


Para hacer posibles de manera segura las conexiones anteriores, es necesario proveer los medios para garantizar la autenticacin, integridad y confidencialidad de toda la comunicacin:

Autenticacin y autorizacin: Quin est del otro lado? Usuario/equipo y qu nivel de acceso debe tener. Integridad: La garanta de que los datos enviados no han sido alterados. Confidencialidad: Dado que los datos viajan a travs de un medio potencialmente hostil como Internet, los mismos son susceptibles de interceptacin, por lo que es fundamental el cifrado de los mismos. De este modo, la informacin no debe poder ser interpretada por nadie ms que los destinatarios de la misma. No repudio, es decir un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envi l.

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

114

Requerimientos Bsicos de una VPN


Identificacin de Usuario:
Las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.

Codificacin de Datos:
Los datos que se van a transmitir a travs de la red publica (Internet), deben ser encriptados antes, para que no puedan ser ledos por personas no autorizadas.

Administracin de claves:
Las VPNs deben actualizar las claves de codificacin para los usuarios.

Soporte a protocolos mltiples:


Las VPNs deben manejar los protocolos comunes, como son el protocolo de Internet (IP), en intercambio del paquete de Internet (IPX), etc.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

115

Tipos de VPN
Acceso remoto Punto a punto Interna VLAN

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

116

VPN de acceso remoto


Es el modelo ms usado actualmente. Consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos: oficinas comerciales, domicilios, hotel, aviones, etc.; utilizando Internet como vnculo de acceso. Una vez autenticados, tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnologa su infraestructura 'dial-up' (mdems y lneas telefnicas), aunque por razones de contingencia todava conservan sus viejos mdems.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
117

VPN punto a punto


Este esquema se utiliza para conectar oficinas remotas con la sede central de organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vnculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales... es ms comn el anterior punto. tambin llamada tecnologa de tnel o tunneling.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
118

VPN interna: VLAN


Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexin, emplea la misma red de rea local de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalmbricas (WiFi). Un ejemplo muy clsico es un servidor con informacin sensible, como las nminas de sueldos, ubicado detrs de un equipo VPN, el cual provee autenticacin adicional ms el agregado del cifrado, haciendo posible que slo el personal de RRHH habilitado pueda acceder a la informacin.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
119

Beneficios de una VPN


La principal motivacin del uso y difusin de esta tecnologa es la reduccin de los costos de comunicaciones directos, tanto en lneas dial-up como en vnculos WAN dedicados. Los costos se reducen drsticamente en estos casos:

Ancho de banda

Accesos remotos: llamadas locales a los Internet Service Provider (ISPs), en vez de llamadas de larga distancia a los servidores de acceso remoto de la organizacin. O tambin mediante servicios de banda ancha. Conexiones punto a punto, utilizando servicios de banda ancha para acceder a Internet, y desde Internet llegar al servidor VPN de la organizacin. Todo esto a un costo sensiblemente inferior al de los vnculos WAN dedicados.
Podemos encontrar otra motivacin en el deseo de mejorar el ancho de banda utilizado en conexiones dial-up. Las conexiones VPN de banda ancha mejoran notablemente la capacidad del vnculo.
120

2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy

Implementaciones de VPN
Todas las opciones disponibles en la actualidad caen en tres categoras bsicas: soluciones de hardware, soluciones basadas en cortafuegos y aplicaciones por software. El protocolo estndar de hecho es IPSEC, pero tambin se emplean PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada protocolo tiene sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados. Actualmente hay una lnea de productos en crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer ms amigable la configuracin y operacin de estas soluciones. Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de configuracin, aunque no tienen la flexibilidad de las versiones por software. Dentro de esta familia tenemos a los productos de Nortel, Cisco, Linksys, Netscreen, Symantec, Nokia, US Robotics, D-link etc.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
121

Implementaciones (2)
En el caso basado en cortafuegos, se obtiene un nivel de seguridad alto por la proteccin que brinda el cortafuegos, pero se pierde en rendimiento. Muchas veces se ofrece hardware adicional para procesar la carga VPN. Por ejemplo: Checkpoint NG, Cisco Pix. Las aplicaciones por software son las ms configurables y son ideales cuando surgen problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es menor y la configuracin ms delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Aqu tenemos por ejemplo a las soluciones nativas de Windows, Linux y los Unix en general. Por ejemplo productos Open Source como OpenSSH, OpenVPN y FreeS/Wan.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
122

Ventajas de una VPN


Una de sus ventajas ms importantes es su integridad, confidencialidad y seguridad de datos. Reducen costos y son sencillas de usar. Su instalacin es sencilla en cualquier PC. Su control de acceso esta basado en polticas de la organizacin. Los algoritmos de comprensin que utiliza una VPN optimizan el trfico del usuario. Las VPNs evitan el alto costo de las actualizaciones y mantenimiento de PCs remotas. Las VPNs ahorran en costos de comunicaciones y en costes operacionales. Los trabajadores, mediante el uso de las VNP, pueden acceder a los servicios de la compaa sin necesidad de llamadas. Una organizacin puede ofrecer servicios a sus socios mediante VPNs, ya que stas permiten acceso controlado y brindan un canal seguro para compartir la informacin de las organizaciones.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
123

Tipos de Conexin de una VPN


Conexin de Acceso Remoto Una conexin de acceso remoto es realizada por un cliente o un usuario de un computador que se conecta a una red privada, los paquetes enviados a travs de la conexin VPN son originados al cliente de acceso remoto, y este se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente. Conexin VPN Router a Router Una conexin VPN router a router es realizada por un router, quien a su vez se conecta a una red privada. En una conexin VPN router a router, los paquetes enviados desde cualquier router no se originan en ellos. El router que realiza la llamada se autentifica ante el que responde, quien se autentifica a su vez ante el router que llam.
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
124

Referencias en Internet

(Conjunto mnimo en espaol)


Red de computadoras QU ES Y ARQUITECTURA DE TCP/IP Red privada virtual Secure Socket Layer (SSL) Transport Layer Security Centro de informacin de SSL - VeriSign, Inc. Firewalls, Routers y Proxys IPTABLES: Manual prctico IPTABLES en 21 segundos BULMA: iptables y NAT para vagos
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
125

Referencias en Internet
(en Ingls)

Virtual Private Network Consortium (VPNC) RFC 1631 (rfc1631) - The IP Network Address Translator (NAT) Traditional IP Network Address Translator (Traditional NAT) Guide to IP Layer Network Administration with Linux V0.4.4 Martin A. Brown
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
126

Bibliografa en Textos
Eric Maiwald Fundamentos de Seguridad de Redes Parte III. Tecnologas de seguridad. William Stalings Fundamentos de Seguridad en Redes: Aplicaciones y Estndares Segunda Parte. Aplicaciones de seguridad en redes.
Richard Bejtlich El Tao De La Monitorizacin De La Seguridad De Redes Prentice Hall 1ra ed. 2005, ISBN: 8420546003
2006 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica Dr. Juan Jos Aranda Aboy
127