Seguridad en redes
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
606
On Slideshare
604
From Embeds
2
Number of Embeds
1

Actions

Shares
Downloads
34
Comments
0
Likes
2

Embeds 2

http://umet.plataforma-virtual.org 2

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. SEGURIDAD EN REDES
  • 2. Seguridad InformáticaSeguridad de Redes.Seguridad de Software.Seguridad con Agentes.
  • 3. ConfidencialidadIntegridad DisponibilidadAutentificaciónAutorizaciónControl de AccesoSeguridad
  • 4. Conceptos• ―seguridad de una red‖ implica la seguridadde cada uno de las computadoras de la red• ―hacker‖: cualquier barrera es susceptible deser superada y tiene como finalidad la desalir de un sistema informático (tras unataque) sin ser detectado. Es unprogramador• ―cracker‖: no es un programado y utiliza susataques para sacar beneficio económico• “Amenaza o ataque”: intento de sabotearuna operación o la propia preparación parasabotearla (poner en compromiso)
  • 5. Tipos de amenazas• Compromiso: la entidad atacante obtiene elcontrol de algún elemento interno de la red,por ejemplo utilizando cuentas con passwordtrivial o errores del sistema• Modificación: la entidad atancante modificael contenido de algún mensaje o texto• Suplantación: la entidad atacante se hacepasar por otra persona• Reenvío: la entidad atacante obtiene unmensaje o texto en tránsito y más tarde loreenvía para duplicar su efecto• Denegación de servicio: la entidad atacanteimpide que un elemento cumpla su función
  • 6. Servicios ofrecidos por la―seguridad‖Autenticación: ¿es realmente quien dice ser?Control de Acceso: ¿tiene derechos a hacer lo que pide?No repudio: ¿ha enviado/recibido esto realmente?Integridad: ¿puedo asegurar que este mensaje esta intacto?Confidencialidad: ¿lo ha interceptado alguien más?Auditoria: ¿qué ha pasado aquí?Alarma: ¿qué está pasando ahora?Disponibilidad: El servicio debe estar accesible en todo momento
  • 7. Fundamentos de la SeguridadSEGURIDAD = PROCESO PERMANENTE(HOLÍSTICO)•Prevenir•Detectar•Evaluar•Responder•Corregir
  • 8. Los Tres Pilares de una RedSaludable3Com Confidential 8
  • 9. AplicacionesOperan en Clientes y servidoresElementos: Sistemas Operativos Aplicaciones enMicrosoft Oracle, DB2, MS SQL Linux O/S VoIP Bases de Datos IVR Facturación E-mail Navegación Video ConferenciasInfraestructuraAplicacionesRendimientoElementosvitales parala salud de lared
  • 10. InfraestructuraAplicacionesInfraestructuraRendimientoElementosvitales parala salud de laredElementos: Routers (e.g. Cisco IOS) Switches Firewalls (e.g. Netscreen OS,CheckPoint FW1) Wireless IP Telephony PDA Celular
  • 11. RendimientoAplicacionesRendimientoInfraestructuraElementosvitales parala salud de laredElementos: Ancho de banda Capacidad deServidores Tráfico de Misión Crítica
  • 12. The Channels’ Value!VPNIDSFirewallPolicy ManagerAdministración de RedSeguridadRed de SociosCertificados enSeguridadSwitchesRuteadoresEl Valor delos socios!
  • 13. ¿ Por qué invertir en soluciones deseguridad ?• Problemas de seguridad pueden comprometer seriamente los resultadosde una Compañía:– Un ataque de virus tiene un costo promedio de $61.729 por año– Una pérdida de servicio por intrusión tiene un costo promedio de$108.717– Las pérdidas totales del año 2000: $265 millones• En el año 2000, el 70% de las organizaciones encuestadas reportóincidentes de seguridad; en 1996 solo el 42% lo había hecho– Los expertos consideran que estas cifras son bajas, ya que haymotivaciones comerciales para no denunciar la mayoría de problemas• Gracias a importantes reducciones en costo, las organizaciones hancolocado información crítica de negocios en la red– Desafortunadamente cuando los hackers comprometen esainformación, también logran acceso a TODA la información corporativa• Asegúrese de considerar el riesgo por la pérdida de datos debido al envíode información desde dentro de la compañía
  • 14. Qué Son los Intrusos• Son sistemas que explotan vulnerabilidades y afectan lasAPLICACIONES, INFRAESTRUCTURA Y RENDIMIENTO de la red• Objetivos:– Provocar negación o retrasos en servicios– Adquirir información sin autorización– Aprovechar recursos ajenosSeguridad • Las amenazas y herramientas sevuelven más sofisticadas• El número de ataques y atacantes estáincrementando• Las regulaciones, dispositivos móviles yaplicaciones IP aumentan los riesgos
  • 15. Datos de intrusos en empresasecuatorianas• Cada computador en promediogenera o recibe más de 200incidentes sobre la red cadasemana• Más del 50% de incidentescríticos mutan hastasobrepasar las seguridades delos firewalls• Más del 90% de los intrusosde la red entran o salen porpuertos abiertos por losfirewalls
  • 16. CSI/FBI 2,001 U.S. Security SurveyPérdidas Económicas por tipo de AtaqueTheft of Information: $151,230,100Financial Fraud: $92,935,500Virus: $45,288,150Insider Net Abuse: $35,001,650System Penetration: $19,066,600Telecom Fraud: $9,041,000Laptop Theft: $8,849,000Unauthorized Insider Access: $6,064,000Sabotage: $5,183,100Denial of Service: $4,283,600Telecom Eavesdropping: $886,000TOTAL US$ 378 Millones43% de INCREMENTO respecto al 2000
  • 17. ¿Cómo justificar la necesidad deprogramar inversiones en seguridad?• Haga un análisis de riesgo para determinar la exposición desus activos• Pruebe que la red tiene un riesgo, use un ―sniffer‖ o contrateuna empresa que intente violar sus seguridades• Explique en detalle el impacto de la seguridad en lareputación, ventas y beneficios si se ven comprometidos enproblemas de seguridad• Identifique las implicaciones para el negocio de una pérdidade servicio por esta causa• Asegúrese de considerar el riesgo por la pérdida de datosdebido al envío de información desde dentro de la compañíao el acceso no autorizado desde fuera de la misma
  • 18. La Importancia de Asegurar lasRedes Corporativas• “70 % de la destrucción, robos y alteración de lainformación son hechas dentro de las redes LAN”Fuente: META Group• De cada 700 empleados 1 trabaja activamente contra laempresa y 10 trabajan contra la empresa por razonesdiversasFuente: META Group
  • 19. Ataques Pasivos.Ataques Activos.Tipos de Ataques
  • 20. Principales Ataques• Virus• Caballo de Troya• Gusanos (Worms)• Bugs• Trapdoors• Stack overflow• Pepena• Bombas lógicas• Dedos inexpertos• Falsificación• Usurpación• Sniffers• Spoofing• Spam• Grafiti• Ingeniería Social• Negación de servicio
  • 21. Principales páginas• Security Focus: www.securityfocus.com• CERT : www.cert.org• SANS: www.sans.org• Dpto. Seguridad ITESM-CEM: dsc01.cem.itesm.mx• Securiteam: www.securiteam.com• Snort: www.snort.com• ISS: www.iss.net• Página seguridad RSA: www.rsasecurity.com• Cypherpunks: www.vnunet.com• Bruce Scheneider: www.counterpane.com• Security Space: www.securityspace.com• Ernst&Young: www.esecurityonline.com
  • 22. Más páginas• Linux Security: www.linuxsecurity.com• Diccionario del hacker: www.hack.gr/jargon/• Defaced pages: www.attrition.org/(deshabilitada)• Defaced pages: www.alldas.org/• Criptologia: www.criptored.upm.es
  • 23. ATAQUES MÁS COMUNES
  • 24. Denial of Service - DOS(Denegación de Servicio)• SYN Flood• PING de la Muerte– Windows 95:• PING -T -L 65500 xxx.xxx.xxx.xxx; hacer15 sesiones– La estación se va a congelar oreiniciar
  • 25. Exploits (abusos)• IP spoofing• SMURF• Buffer Overflows– Ejemplo: Mayoría de los logins permitenapenas 256 caracteres– Si los 300 caracteres son enviados en elpassword que sera ejecutado, el sistemasera vulnerable al ataque– Común en programas C/C++, raro enprogramas Java.
  • 26. Ataque: Análisis de paquetesm-y-p-a-s-s-w-o-r-d d-a-ntelnet foo.bar.orgusername: danpassword:
  • 27. Ataques Comunes - Reconnaissance(reconocimiento)
  • 28. Ataques Comunes - Reconnaissance(reconocimiento)
  • 29. Trojan Horse
  • 30. Trojan Horse
  • 31. Alarmtool - Email, Pager, SNMPTraps
  • 32. InternetFirewallAseguradoDMZSwitchAseguradoArquitectura de ―Mejores Prácticas‖Intrusion DetectionSystemsRouterAseguradoSe administra porInterface WebNIDS NIDSNIDSNIDSRedInternaHIDSHIDS
  • 33. Autenticación de Usuarios enla RedIEEE 802.1x : Reconfigura el switch basado en el usuario802.1xEAP login
  • 34. Equipos de Acceso de Capa 4IPUser: unknownPassword : anyVLAN IsolatedRadius yDHCPServerServidorDe AplicacionesInternetVLAN VentasSAPSNMPIPVLAN IngenierosSNMPSNMPWEBWEBVLAN IngenierosUser: josePassword : 123User: DouglasPassword : xqfszxUser: MarianoPassword : xeYs&DOOM
  • 35. Equipos de acceso capa 2Radius yDHCPServerServidorDe AplicacionesInternetUser: unknownPassword : anyVLAN IsolatedIPVLAN VentasUser: josePassword : 123VLAN IngenierosUser: DouglasPassword : xqfszxSAPSNMPWEB
  • 36. Reducciónde Riesgos
  • 37. Reducción de Riesgos Contramedidas orientadas a riesgos yvulnerabilidades específicas Administrativas, operacionales y técnicas No previenen todos los ataques, peroreducen los riesgos Tolerancia varía entre organizaciones Sensibilidad de la información, costo, equipoadicional, mantenimiento, flexibilidad Equilibrio entre seguridad e inversión
  • 38. ContramedidasAdministrativas Política de seguridad comprensiva Fundamento de las otras contramedidas Política debe: Identificar a los usuarios de la LAN Definir si es necesario acceso a Internet Quien puede instalar AP y otros equipos Limitar localización y seguridad física deequipos Definir tipo de información a transmitir Condiciones para permitir dispositivos inalámb.
  • 39. ContramedidasAdministrativas Política... Definir configuraciones de seguridad Limitaciones de uso de dispositivos inalámbricos Configuraciones de HW y SW de dispositivos Guías para reportar pérdida u otros problemas Guías para la protección de dispositivos Guías de uso y manejo de llaves de criptografía Definir frecuencia y alcance de evaluaciones deseguridad Entrenamiento de personal y usuarios
  • 40. ContramedidasOperacionales Seguridad física es una etapa fundamental Seguridad física combina: Control de acceso Identificación de personal Protección de fronteras Control de acceso Identificación de fotografías, lectores detarjetas, dispositivos biométricos, etc. Identificación de personal Registro y asignación de áreas de acceso
  • 41. ContramedidasOperacionales Protección de fronteras Vías de acceso con seguros y cámaras de vigilancia Estudio del alcance de los AP’s Consideraciones similares para “bridges” entreedificios Uso de herramientas para estudio del sitio Antenas direccionales Site survey tools Miden y aseguran la cobertura de AP’s Mapeamiento no garantiza seguridad
  • 42. Contramedidas Técnicas Uso de soluciones en HW y SW Contramedidas en software Correcta configuración de los equipos,parches y actualizaciones de SW,autenticación, sistemas de detección deintrusión, criptografía Contramedidas en hardware Tarjetas inteligentes, redes privadasvirtuales, infraestructura de llave pública,dispositivos biométricos, etc.
  • 43. Soluciones de Software Configuración de AP’s de acuerdo apolíticas y requisitos de seguridad Actualización de passwords predeterminados Establecer características de criptografía Controlar funciones de “reset” y conexiónautomática Uso de la funcionalidad MAC ACL Modificación y control del SSID Manejo de llaves compartidas Uso de agentes SNMP y DHCP
  • 44. Soluciones de Software Parches y Actualizaciones deSoftware Vulnerabilidades de SW son corregidaspor parches o actualizaciones Administradores deben verificarperiódicamente listas de parches yactualizaciones Ejemplo: “fast packet keying” de RSA
  • 45. Soluciones de Software Autenticación Soluciones incluyen passwords, tarjetasinteligentes, biométrica, PKI o combinaciones Passwords deben cumplir con tamaño,caracteres requeridos y expiración periódica Tarjetas inteligentes y PKI tienen suspropios requisitos Sin embargo autenticación no resuelve todoslos problemas Equilibrar costos y flexibilidad con seguridad
  • 46. Soluciones de Software Firewalls personales Firewalls personales residen en estacionescliente Pueden ser administrados por el cliente o enforma centralizada Administración centralizada ofrece mayorprotección (capacidad de crear una VPN) Protección contra AP’s maliciosos No protegen contra ataques avanzados Niveles de protección adicional son requeridos
  • 47. Soluciones de Software Sistemas de detección de intrusión Herramienta para determinar accesosdesautorizados y comprometimiento de la red Puede ser host-based, network-based o híbrido Host-based IDS es instalado en sistemasindividuales y monitora comportamientossospechosos o cambios en archivos Network-based IDS monitora el tráfico de reden tiempo real buscando patrones de ataques Ejemplo: Ataque “TearDrop DoS”
  • 48. Soluciones de Software IDS’s... En conexiones criptografiadas el esquema host-based tiene ventajas sobre el esquema network-based IDS para redes cableadas pueden tener algunaslimitaciones cuando protege WLAN’s1. Sensores IDS en la red cableada no detectanataques entre clientes o intentos de desasociarclientes2. Tecnología IDS solo detecta ataques cuando laWLAN ha sido ya comprometida, no identificaubicación física, no detecta comunicaciones P2P
  • 49. Soluciones de Software IDS’s... Expansión de redes cableadas con redes inalámbricasintroduce riesgos no manejables por IDS’s Soluciones IDS inalámbricas deben proveer:1. Identificación de la ubicación física2. Detección de comunicaciones P2P no autorizadas3. Detección del aparecimiento de AP’s maliciosos4. Detectar cambios de configuración en dispositivos5. Percibir intentos de desasociación o inundación6. Monitoreo centralizado y administración integrada
  • 50. Soluciones de Software IDS’s... Organizaciones con requisitos elevados deseguridad deben implementar IDS’s Proveen un nivel adicional de seguridad Migración de IDS’s a WLAN’s debe considerarrecomendaciones mencionadas IDS involucra un costo y requiere personalexperimentado Debe considerarse el uso de máquinas decorrelación: IDS, firewall, sistemas antivirus
  • 51. Soluciones de Software Criptografía Tres opciones: 0, 40, 104 bits (128) 0 bits crea el mayor riesgo a la seguridad 40 bits pueden ser descifrados por fuerzabruta en computadores personales 104 o 128 bits ofrece mejores condiciones Pobre diseño de WEP no garantiza laseguridad mismo con llaves de mayortamaño
  • 52. Soluciones de Software Evaluación de seguridad Auditorias son esenciales para mantener laseguridad de WLAN’s Utilización de analizadores de red y otrasherramientas Analizador de red permite auditar la red yresolver problemas Chequeo de canales, AP’s maliciosos, accesosdesautorizados Recomendable usar consultores externos No olvidar la parte cableada de la red
  • 53. Soluciones de Hardware Tarjetas inteligentes (smart cards) Pueden adicional otro nivel de protección(y complejidad) Almacenan certificados de usuario yotras informaciones Usuario solo necesita recordar un PIN Son portátiles (ventajas y desventajas) Pueden usarse solas o combinadas conpasswords, autenticación de 2 factores,dispositivos biométricos, etc.
  • 54. Soluciones de Hardware Redes privadas virtuales Tecnología que provee transmisión de datos seguraa través de infraestructura de red pública Usadas en 3 principales escenarios: acceso deusuarios remotos, conectividad LAN-to-LAN yextranets Usa técnicas criptográficas para proteger losdatos Un túnel VPN es creado para aislar la información Provee confidencialidad, integridad y otrosservicios de seguridad
  • 55. Soluciones de HardwareVPNAP APVPNInternet
  • 56. Soluciones de Hardware VPN’s... Mayoria de VPN’s usan protocolos IPSec (IETF) IPSec provee protección robusta en: integridad,confidencialidad, autenticación de origen,protección de “replay” y análisis de tráfico Integridad sin conexión garantiza que el mensajeno ha sido modificado Confidencialidad garantiza que terceros no puedenleer la información Autenticación de origen impide impersonamiento
  • 57. Soluciones de Hardware VPN’s... Protección de replay asegura mensajes únicosy en orden Protección de análisis de tráfico impidedeterminar quien se comunica, su frecuenciao volumen de Tx Elementos de seguridad: ESP, AH, IKE IPSec provee seguridad al nivel de red(independiente del nivel 2 – WEP) El túnel IPSec va desde el cliente hasta eldispositivo VPN en la red corporativa
  • 58. Soluciones de HardwareAP APVPNInternetIPSecWEP
  • 59. Soluciones de Hardware VPN’s... Estaciones sólo necesitan el software clienteIPSec/VPN Autenticación por llaves pre-compartidas,RADIUS o OTP (one-time-passwords) VPN gateways integran servicios de firewall Registro cronológico para auditoria puedetambién ser útil No resuelve autenticación de acceso a lasaplicaciones corporativas
  • 60. Soluciones de Hardware Infraestructura de llave pública PKI provee el marco y servicios para la generación,producción, distribución, control y contabilidad decertificados de llave pública Aplicaciones disponen autenticación y codificaciónseguras, integridad de datos, y no-rechazo WLAN’s integran PKI para autenticación ytransacciones de red seguras Integración con tarjetas inteligentes mejora suutilidad Desventajas: costo y complejidad
  • 61. Soluciones de Hardware Dispositivos biométricos Proveen nivel adicional de protección (soloso combinados) Lectores de huellas digitales, geometría delas palmas, lectores ópticos (iris, retina),reconocimiento facial, reconocimiento devoz, dinámica de firmas, etc. Integración con tarjetas inteligentes odispositivos inalámbricos más passwordsproveen alta seguridad También pueden combinarse con VPN
  • 62. SolucionesParte Práctica
  • 63. Seguridad desde el principio• Haz ―seguro‖ un servidor antes deconectarlo a una Red.• Incluye cosas asi:– Apagar servicios no necesario.– Usa un “tcpwrapper” con los servicios dered.– Planificar y instalar reglas de netfilter.– Instalar paquetes de controlar usuarios(cuotas, chequeos de contraseñas).– Aplicar parches a servicios que va a correry al sistema operativo.– cont.-->
  • 64. Seguridad desde el principiocont.– Instalar sistema de detectar intrusion.– Instalar biblioteca encontra ataques de bufferoverflow.– Configurar como va a correr y usar los logs.– Determinar su sistema de respaldo.– Seguridad de clientes.– Seguridad fisico! No lo olvido.– Inscribe en las listas de correo acercaseguridad y tu sistema operative.
  • 65. Apagar servicios no necesariosEsto es clave por la seguridad de tu sistema.Usa los comandos asi:– ps -aux | more– lsof -i– netstat -natupDespues investigaciones si necesariousando /etc/services, man nombre,/etc/rc.d/init.d/, /etc/xinetd.d
  • 66. Apagar servicios no segurosSe puede discutir cual servicios son, perotipicamente hablamos de:– telnet– ftp– rpc– nfs– sendmail
  • 67. Correr servicios con tcpwrapper• Un tcpwrapper es un programa comoxinetd.• Antes usamos inetd.• /etc/rc.d/init.d/xinetd• /etc/xinetd.d• Se configura servicios dentro estedirectorio.• Se lo apaga con ―disable = yes‖• Que provee xinetd? -->
  • 68. Para que correr xinetd?• El servicio (daemon) de xinetd ―escucha‖por los paquetes por todo los serviciosmencionados en los archivos deconfiguracion en /etc/xinetd.d• Se ahora memoria y recursos. Pero, por unservicio cargado (como httpd) mejor nousar xinetd.• Se puede controlar varios aspetos deconnecion usando el ―super servidor‖xinetd.
  • 69. Algunos parametros de xinetd• Disable: si el servicio corre o no cuando xinetd estaen uso.• Wait: si o no corre multiple daemons si hay mas deuna connecion.• User: bajor que usuario corre el servicio.• Instances: Numero maximo de connecions permitidoal servicio. Si wait = nowait el defecto es ―no limite‖por instantes.• Server: El nombre del programa de correr cuandoesta conectado el servicio.• only_from: Especifica de donde se acceptaconecciones.• no_access: Especifica de dondes no se acceptaconecciones.
  • 70. Parametros de xinetd cont.• Interface: puede decir en que dispositivo de ethernetva a responder el servicio.• cps: “cps = 10 30” significa accepta hasta 10conecciones y si hay mas apaga el servicio por 30segundos.• Tambien hay los parametros Id, Type,socket_type, Protocol, Group, server_args,log_type, log_on_success, Port.• Xinetd permite bastante control al nivel deaplicacion para controlar algunos servicios de red.• Solamente tiene que especificar los parametros“socket_type”, “user”, “server”, y “wait” en unarchivo de configuracion por xinetd.
  • 71. Correr reglas de Netfilter?Netfilter es iptables es ―firewall‖ en la mentede la mayoria de las personas.Si tienes un servidor que no esta pasandopaquetes de IP a un red privado, no esnecesario correr una tabla tan grande deNetfilter.Se puede correr reglas para protegerencontra paquetes no muy bien formados,etc.Rechazar icmp? (ping)
  • 72. Controlar los usuariosBueno, esto es imposible :-) Pero, tal vezse puede restringir las contraseñas queusan y el espacio que toman.Implentar reglas de contraseñas. Unejemplo:– Contraseñas nuevas deberian tener entre 6a 14 caracteres.– No se puede eligir una palabra, nombres,lugares, o datos personales.– Una contraseña segura deberia contener,por lo minimo, dos numeros, dos letras, yunz mezcla de mayuscalas y minuscalas.
  • 73. Controlar los usuarios cont.Implementar cuotas a los usuarios. EnRed Hat ya esta instalado el aporte paraimplementar las cuotas.– /etc/fstab usrquota y/o grpquota– /part/quota.user y /part/quota.group– edquota -u usuario para congigurar lascuotas.• edquota -p artc awk -F: $3 >> 499 print $1/etc/passwd– quotacheck -avug– quotaon -avug– quotacheck, repquota, quota
  • 74. Controlar los usuarios cont.Para que los usuarios tienen que usar unacontraseña bastante buena se puede usar PAM(Pluggable Authenticion Module) y cracklib.– PAM con cracklib (PAM ya esta en Red Hat 9)Quebrar las contraseña despues que existen:– John the Ripper:http://www.openwall.com/john/– Crack: http://www.crypticide.org/users/alecm– Slurpie:http://www.ussrback.com/docs/distributed/
  • 75. Aparchar y actualizar softwareAparchar o aplicar los mejoramientos alsoftware que va a correr y a tu kernel.En el mundo Red Hat busca el directorio―udpates‖Desde que Red Hat 9 ha salido hay 500MBde updates.Revisa los updates y decide cuales tiene queaplicar.Por servicios importante vaya a su sitio deweb y inscribe en listas de correo parasaber siempre cuando sale un update –especialmente por seguridad.
  • 76. Sistemas de detectar intrusosTambien, se dice ―Sistemas de probar laintegridad de sistemas.‖En este caso estamos hablando de sistemaspor tu servidor y sus archivos, no por lared.Hay tres sistemas bien populares hoy en dia.Son:– tripwire: http://www.tripwire.org/– AIDE: http://www.cs.tut.fi/~rammer/aide.html– Snort: http://www.snort.org/
  • 77. Ataques de Buffer OverflowAprovechando del estado de memoria de unprograma. Usando mas memoria temporiaque hay, y el programa no lo atrapa bieneste condicion. Se falla en una forma quepermite el intruso tomar el proceso con lospermisos del usuario de que pertenece alprograma.El proyecto libsafe(http://www.research.avayalabs.com/project/libsafe/) tiene unasolucion sensible. Se lo instala su softwarey esto es todo.
  • 78. Ataques de Buffer Overflow contOtro software encontra este tipo de ataqueincluyen:– Openwall: http://www.openwall.com/– Stackguard:http://www.cse.ogi.edu/DISC/projects/immunix/StackGuard/linux.html– WireX: http://immunix.org/Son mas complicado para instalar, peropueden ser mas completo, o util por losservidores que tienen que ser paranoiacospara mantenar seguro datos.
  • 79. Logging y Reportajes• Red Hat Server ya tienen /etc/syslog.confbien hecho. Lea ―man syslog.conf‖ por masdetallas.• Red Hat Server 9 corre cada dia el servicio―logwatch‖ que manda un mensaje al rootcon un reportaje hecho de los logs en/var/log.• Vea /etc/log.d/logwatch.conf.• Donde van los logs es importante.• Respaldos de los logs es importante.
  • 80. Sistema de respaldoTecnicamente no es seguridad, pero sinrespaldo de los datos que haces si hay unintruso?• Que tienes que respaldar?• Cuantas veces tienes que correr un respaldo?• Donde va la media de respaldo en caso dedesastre?• Que pasa en caso de desastre (terremoto?).• Que herramientas vas a usar (tar? arkeia?cpio?)
  • 81. Seguridad de los clientesEsto es supremamente importante!Mucha gente olvida esto. Pero un cliente(usuario que tiene acceso a tu sistema)que no es seguro es un riesgo y oyo deseguridad grande a tu servidor.Insiste en pop/imap por ssl, ssh, scp,sftp, https, contraseñas buenas.No use pop/imap sin ssl, webmail porhttp, ftp (menos anymous), ni telnet.
  • 82. Seguridad fisicoTodo la seguridad en el mundo no te va aayudar si alguien tiene acceso fisico a tuservidor y si este persona quiere causardaño.Considera quien tiene acceso. Llaves. Elespacio fisico. Donde estan los respaldos?Los logs?Tienes una contraseña en el bootloader y unsistema de archivos encifriado? Noimporta, la persona puede llevar tucomputador!
  • 83. Detectando un intrusoQue pasa si, ya, alguien entro tu sistema yhico cambios? Como va a saber?– Tal vez nunca vas a saber. Sin un sistemade detection de intruso, como Tripwire, esdificil saber.– Si un programa como ―ls‖ no corre.– Si ―netstat -natup‖ muestra algo comoBASH escuchando a un puerto de tcp.– Si, de repente, vea mucho mas actividad enel disco duro, por el camando ―top‖ o en lared.– Si esta corriendo un proceso de redescuchando por un puerto > 1024
  • 84. ―Seguridad por osbscuridad‖―Security from obscurity‖¡No funciona!Monitorea tu red y ve cuanta gente estaprobando los puertos de tcp/udp en tured publica – es impresionante!
  • 85. ResumenEn resumen, para hacer ―seguro‖ tuservidor haz lo siguiente:– Apagar servicios no necesarios– Apagar servicios peligrosos– Usa contraseñas seguras– Considera sistemas de detectar intrusos.– Considera sistemas de chequear integridadde sistema.– Usa logs. Protega tus logs.– Aplica los parches encontra los ataques debuffer overflow.
  • 86. Resumen cont.• Aplicar los parches a los servicios que corresy al kernel.• Usa un servicio de tcpwrapper, como xinetd.• Corre respaldos!• Considera usando reglas de netfilter.• Inscribe al listas de correo como bugtraq ycert.• Instala software para controlar tus usuarioscomo cuotas y chequeo de contraseñas.• Insiste en clientes seguros que usan metodosde criptografia (ssh, scp, sftp, https,pop/imap/ssl) .• Seguridad fisico de tus servidores.
  • 87. Entiendes que haces• Una solucion de seguridad mala es peor que nosolucion.• Entiendes que haces:● Lea toda la documentacion● Lea las configuraciones de muestras● Construye maquinas de pruebas● Haz preguntas● Inscribe en las listas de correo de anunciospor tu sistema operativo y por las aplicacionesque corres.● Trata de conectar desde afuera tu propia red.● Trata de evitar tus propias reglas.
  • 88. ConclusionHay una regla en el mundo de seguridad:– Mas seguro = mas molestiaCada tapa de seguridad que impones, engeneral, lo hace mas dificil para hacer tutrabajo.Hay otra regla en el mundo de seguridad:– Menos seguro = desastre esperandoSolo requiere una quebrada de seguridadpara que tus datos pueden serdestruidos, tu negocio puede fallar, o tutrabajo puede estar en peligro.
  • 89. Conclusion cont.Con un poco trabajo se puede mejorar elnivel de seguridad de un servidor mucho.Es una molestia, pero desafortunadamentees una molestia necesaria.Pero, Linux esta hecho en una forma bienmodular que lo hice mucho mas facil dehacer seguro. Y, mientras que hacesseguro tu servidor, tambien, haces tuservidor ordenado y mas facil deadministrar.
  • 90. Que es un IDS?
  • 91. • IDS (Intrusion Detection System)• Sistema de Detección de Intrusos
  • 92. Necesidad de un IDS• Perdidas reportadas, mas de$1,004,135,495 Dlls.• 57% de ataques a través de un ISP• Proteger la Información.
  • 93. Consideraciones de un IDS• Debe reforzar una política de seguridad.• Resistente a un ataque.• Documentación y Soporte.• Lightweight• Respuesta a Incidente.
  • 94. Acciones en un IDS• Analiza el trafico en la Red y comparapatrones de ataques conocidos, tomandoacciones de acuerdo a su configuración (envío de mensajes de alerta, reseteandoconexiones, etc)• Reacciona de acuerdo a Reglas.
  • 95. NIDS vs HIDS• Network– Examina ataques a lared, analizando el traficoen la misma.– Se pueden distribuirsensores a través de lared y reportar incidentesa un host central– Es posible detectarataques distribuidos.– Necesidad de personaldedicado a la lectura dereportes• Host– El Host es el únicoprotegido en la red.– Examina un numeromenor de firmas– Requiere mínimaconfiguración.– El software debe serinstalado en cada hostpara ser monitoreado.
  • 96. Limitaciones en IDS• Distinguir entre ―self y non-self‖• Falsos Positivos• Falsos Negativos• Tiempo
  • 97. Algunos IDS comerciales• DRAGON• Intruder Alert• NetProwler• ISS RealSecure• Cisco NetRanger• Cyber Cop• OMNIGUARD Intruder Alert
  • 98. Cont.• POLYCENTER Security Intrusion Detector• G-Server• Watch Dog• CMDS (Computer Misuse and DetectionSystem)• INTOUCH NSA (Network Security Agent)
  • 99. IDS Gratuitos• Shadow• Network Flight Recorder• Tripwire• Snort
  • 100. Proyectos de IDS• AID (Adaptive Intrusion Detection system)• EMERALD (Event Monitoring EnablingResponses to Anomalous LiveDisturbances)• ANT• LISYS• IDS basado en el Control de Procesos
  • 101. Conclusión• Un IDS debe contar con las siguientescaracterísticas:– Ser distribuido, lightweight, confiable, robusto,escalable y distinguir de lo que es un ataquea un comportamiento normal del sistema.
  • 102. SNORT• Marty Roesch• Distribución Gratuita• LightWeight• Mas de 700 firmas• Análisis de trafico en tiempo real
  • 103. SNORT• Puede guardar paquetes que pasan en laRed, Analizar paquetes o ambos.• Uso de Filtros.• Detección de Strings o Hosts Arbitrarios.
  • 104. Ejemplo de Regla• IMAP Buffer Overflow• alert tcp any any -> 192.168.1.0/24 143(content:"|E8C0 FFFF FF|/bin/sh";msg:"New IMAP Buffer Overflowdetected!";)
  • 105. Donde Obtenerlo• http://www.snort.org
  • 106. Conclusiones.• Snort, cumple con el requisito de serLightweight es compacto y flexible. Es unabuena alternativa si no se tiene un IDScomercial o bien puede ser un excelenteapoyo para un comercial. Tiende a sercomercial.
  • 107. Sistemas dePrevención de IntrusosIPS3Com Confidential 117
  • 108. ¿Qué es un IPS?• Intrusion Prevention System (IPS) dees un elemento para protegerproactivamente una red a velocidadde wirespeed.• El IPS debe ser un elemento in-lineque puede ser colocado de formatransparente e invisible en la red• Todos los paquetes que pasen por elsegmento de red protegido soninspeccionados de manera completaa fin de determinar si son legítimos omaliciosos. Este método instantáneode protección es el más efectivo deprevenir ataques evitando quelleguen a su objetivo.• Debe proveer ApplicationProtection, PerformanceProtection e InfrastructureProtection a través de inspeccióntotal de paquetesDNSFTPHTTPSNMPSMBTelnetWeb Services DMZIBM DB2MS SQLApplicacionesSistemas OperativosWirelessInfraestructuraVIRUSWORMTROJANBUFFEROVERFLOWPHISHINGSPYWAREKAZAAAplicación yusuariosválidosTráficobueno pasaSwitchRouterFirewallVer Animación
  • 109. Criterios para tomar una decisiónadecuadaNo todo equipo que dice ser unIPS es en realidad un IPSElegir mal un IPS puede provocar:•Degradación en la velocidad de la Red•Aumento en la complejidad para asegurar la red•Mayores brechas de seguridad
  • 110. Administración de Ancho debanda• Capacidad de manejar Rate Shaping• Protección al rendimiento de la red• Descubre Kazaa, e-donkey, gnutella en cualquierpuerto Qué tipo de IPS no poseenAdministración de Ancho deBanda?Respuesta: Aquellos que noposeen filtros de performance nipueden manejar Rate Limitingorientado a anomalía de tráfico
  • 111. Seguridad en aplicaciones defuturo• VoIP Protection• Protección DDoSQué tipo de IPS no poseenseguridad sobre laconvergencia?Respuesta: Aquellos que noposeen filtros específicos paraVoIP
  • 112. ClientsSafeZoneSMSRADIUSCore123SwitchSAPSTREAMING DE ÁUDIOWEBBLASTER VIRUSLOTUS NOTESE-MAILBLOCKEDBLOCKEDAutenticación & PolicyIntrusion PreventionPolicy-Enabled Access
  • 113. SafeZoneSMSRADIUS65 473Intrusion Prevention & QuarentenaREMEDIATION PAGEIntrusion PreventionClientsPolicy-Enabled AccessCore
  • 114. Antisniffers
  • 115. Que es un antisniff?• Antisniff es una nueva clase deherramienta de monitoreo de seguridadproactivo. Tiene la habilidad de explorarredes y detectar si alguna computadora seencuentra en modo promiscuo.
  • 116. Cómo trabaja un sniffer?• Cuando un atacante comprometesatisfactoriamente una computadora, instala loque se conoce como un sniffer, una herramientaque pone a la computadora en modo promiscuo,permitiendole monitorear y grabar todas lascomunicaciones de la red.• Antes de que esta herramienta existiera eraimposible para los administradores de redes eldetectar remotamente si las computadorasestuvieran escuchando todas lascomunicaciones de red.
  • 117. Antisniff• Antisniff fue diseñado para detectarmáquinas comprometidas con pilas de IPque un atacante remoto pudiera utilizarpara ―sniffear” el tráfico de la red.
  • 118. Beneficio• Proporcionar a los administradores y aprofesionales en la seguridad de lainformacíon la habilidad de detectarremotamente computadoras que estan“snifeando” paquetesindependientemente del sistema operativo.
  • 119. Antisniff• AntiSniff trabaja corriendo un número depruebas no-intruso que puede determinarsi una computadora se encuentraescuchando todas las comunicaciones dela red.
  • 120. Antisniff• AntiSniff ejecuta 3 clases de pruebas:• Prueba del sistema operativo• Prueba DNS• Prueba de red en estado latente•
  • 121. Antisniff• Todas las pruebas pueden correr juntaspara brindar un alto grado de seguridadacerca de que si una computadora estasnifeando paquetes o no. El programacuenta con una interfaz gráfica que nospermite configurar y agendar pruebas dered, generar reportes e instalar alarmas
  • 122. Antisniff puede ser derrotado?• Sí, cualquier cosa puede ser derrotada.Actualmente los métodos para evadir unAntisniff se encargan de crear una interfazno direccionable o en la lógica que utilizael programa de monitoreo de redespromiscuas para dejar de monitorear lared cuando se presenten señales de quealgun antisniff se encuentre corriendo
  • 123. Recomendaciones• Se recomienda que esta herramienta seencuentre corriendo con la mayorfrecuencia posible
  • 124. Detalles técnicos• Antisniff realiza tres tipos de puebas:(sistema operativo, DNS, latencia en red)• Antisniff esta diseñado para trabajar ensegmentos de redes locales en unambiente no switcheado• La herramienta podrá trabajar en unambiente switcheado pero con algunaslimitaciones
  • 125. Firewalls
  • 126. ¿ Que es un Firewall ?• Existen 2 Tipos básicos de Firewall– Hardware Firewall: Normalmente es unruteador, tiene ciertas reglas para dejar o nodejar pasar los paquetes.– Software Firewall: Es un programa que estacorriendo preferentemente en un bastionedhost, que verifica los paquetes con diferentescriterios para dejarlos pasar o descartarlos.
  • 127. Hardware Firewall
  • 128. Software Firewall
  • 129. ¿ Que hace un Firewall ?• Basicamente examina el trafico en la red,tanto entrante como saliente y lo examinaen base a ciertos criterios, paradeterminar si lo deja pasar o lo descarta.Si detectan algo anormal pueden tenerprocedimientos a seguir o poner en avisoal administrador.
  • 130. Operación básica de un Firewall
  • 131. Análisis de la información de un paquete• Actualmente - la mayoría de los cortafuegoscomprueban solamente la información básica delpaquete• Equivalente en el mundo real a mirar el número y eldestino de un autobús - y de no mirar a los pasajeros
  • 132. ¿En que capa trabaja elFirewall?
  • 133. Información general sobre las conexionesde perímetro Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de InternetLos perímetros de redincluyen conexiones a:Socio comercialLANOficina principalLANSucursalLANRedinalámbricaUsuario remotoInternet
  • 134. Diseño del servidor de seguridad: de tripleinterfazSubred protegidaInternetLANServidor de seguridad
  • 135. Diseño del servidor de seguridad: de tipoopuesto con opuesto o sándwichInternetExternaServidor de seguridadLANInternaServidor de seguridadSubred protegida
  • 136. • Tráfico peligroso que atraviesa los puertos abiertos y noes inspeccionado en el nivel de aplicación por el servidorde seguridad• Tráfico que atraviesa un túnel o sesión cifrados• Ataques que se producen una vez que se ha entrado enuna red• Tráfico que parece legítimo• Usuarios y administradores que intencionada oaccidentalmente instalan virus• Administradores que utilizan contraseñas poco segurasContra qué NO protegen los servidores deseguridad
  • 137. Servidores de seguridad de software y dehardwareFactores dedecisiónDescripciónFlexibilidadLa actualización de las vulnerabilidades y revisiones más recientessuele ser más fácil con servidores de seguridad basados en software.ExtensibilidadMuchos servidores de seguridad de hardware sólo permiten unacapacidad de personalización limitada.Elección deproveedoresLos servidores de seguridad de software permiten elegir entrehardware para una amplia variedad de necesidades y no se depende deun único proveedor para obtener hardware adicional.CostoEl precio de compra inicial para los servidores de seguridad dehardware podría ser inferior. Los servidores de seguridad de softwarese benefician del menor costo de las CPU. El hardware se puedeactualizar fácilmente y el hardware antiguo se puede reutilizar.Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.DisponibilidadglobalEl factor de decisión más importante es si un servidor de seguridadpuede realizar las tareas necesarias. Con frecuencia, la diferencia entrelos servidores de hardware y de software no resulta clara.
  • 138. Tipos de funciones de los servidores deseguridad• Filtrado de paquetes• Inspección de estado• Inspección del nivel de aplicaciónInspección multinivel(Incluido el filtrado del nivel de aplicación)Internet
  • 139. Tipos de Firewalls• Packet filters• Circuit Level Gateways• Aplication Level Gateways• Stateful Multilayer InspectionFirewall
  • 140. Paquet Filters
  • 141. Circuit Level Gateways
  • 142. Aplication Level Gateways
  • 143. Stateful Multilayer InspectionFirewall
  • 144. Como Implementar un Firewall• Determinar el nivel de Seguridadrequerido.• Determinar el trafico que va a entrar a lared.• Determinar el trafico que va a salir de lared.• Alternativas.
  • 145. Interfaces de Red• Dos tipos– Interna– Externa• Dos tipos de externa– Interfaz-Internet– DMZ
  • 146. Interfaces Internas• Puede tener más de una• Definida por la LAN– Cualquier interfaz cuya dirección IP está en laLAN es una interfaz interna
  • 147. Interfaces externa• Interfaz-Internet– Puede tener sólo una– Debe ser la frontera– Sólo una interfaz con una puerta de enlace pordefecto– Está conectada a Internet– Más de una no está soportada y no trabaja• DMZ– El resto de las interfaces en el ordenador• No incluida en la LAN, no conectada a Internet
  • 148. Comportamiento del tráficoInternetDMZ LAN publicación de servidores publicación de web NAT inspección de aplicación filtrado de paquetes enrutamiento publicación de servidores publicación de web NAT inspección de aplicación
  • 149. Diseño Subóptimo• El tráfico entrante y saliente de la DMZ no estábien protegido– El filtrado de paquetes es igual al de cualquier otrocortafuegos– No reconoce lo protocolos de aplicaciones– No puede inspeccionar para cumplir con las reglas– No utiliza filtros de Web o aplicaciones• Recomendación —– No utilice diseños de triple interfaz– Si lo utiliza descargue la seguridad sobre los propiosservicios de la DMZ
  • 150. Publicación opuesto-con-opuesto• En la DMZ– Método de publicación normal• En la red corporativa– Publicación de recursos sobre el servidorinterno– Publicación del servidor interno sobre elservidor externo• Usar tarjetas SSL para HTTPS– http://www.microsoft.com/isaserver/partners/ssl.asp– AEP Crypto — ¡rápido y barato!
  • 151. Alternativa Interesante• Diseño de triple interfaces• No interfaz de ―DMZ‖• Dos interfaces internas– Inspección de aplicaciones entre Internet ytodas las interfaces internas– Necesidad de proteger la comunicación através de las interfaces — ¿Cómo?• Bueno para presupuestos limitados
  • 152. Alternativa interesanteInternetinterna 1Subredapantalladainterna 2Redcorporativa RRAS filtros de paquetes publicación de servidores publicación de Web NAT inspección de aplicación publicación de servidores publicación de Web NAT inspección de aplicación
  • 153. Protección de los clientesMétodo DescripciónFunciones deproxyProcesa todas las solicitudes para los clientes y nuncapermite las conexiones directas.ClientesadmitidosSe admiten todos los clientes sin software especial. Lainstalación del software de servidor de seguridad ISA enclientes Windows permite utilizar más funciones.ReglasLas reglas de protocolo, reglas de sitio y contenido, yreglas de publicación determinan si se permite elacceso.ComplementosEl precio de compra inicial para los servidores deseguridad de hardware podría ser inferior. Losservidores de seguridad de software se beneficiandel menor costo de las CPU. El hardware se puedeactualizar fácilmentey el hardware antiguo se puede reutilizar.
  • 154. Protección de los servidores Web• Reglas de publicación en Web– Para proteger de ataques externos a los servidoresWeb que se encuentran detrás de los servidores deseguridad, inspeccione el tráfico HTTP y compruebeque su formato es apropiado y cumple los estándares• Inspección del tráfico SSL– Descifra e inspecciona las solicitudes Web entrantescifradas para comprobar que su formato es apropiadoy que cumple los estándares– Si se desea, volverá a cifrar el tráfico antes deenviarlo al servidor Web
  • 155. Una visión para una Red SeguraInternetEnrutadores RedundantesCortafuegosVLANVLANDC + InfrastructureNIC teams/2 switchesVLANFront-endVLANBackendDetección de IntrusiónPrimer nivel de CortafuegosFiltros URLLa implementación de uno o más Switches VLANs controlan el tráfico Inter-VLAN comolo hacen los cortafuegos – Las VLANs no están a prueba de bala (pero tampoco sonservidores)Se permite o bloquea el tráfico basado en los requisitos de uso de las aplicaciones, losfiltros entienden y hacen cumplir estos requisitos.Detección de IntrusiónDetección de Intrusión
  • 156. Información general sobre el cortafuegosde Windows• Cortafuegos de Windows en MicrosoftWindows XP y Microsoft Windows Server2003• Ayuda a detener los ataques basados en lared, como Blaster, al bloquear todo eltráfico entrante no solicitado• Los puertos se pueden abrir para losservicios que se ejecutan en el equipo• La administración corporativa se realiza através de directivas de grupoQué esQué haceCaracterísticasprincipales
  • 157. • Se puede habilitar:– Al activar unacasilla de verificación– Con el Asistente paraconfiguración de red– Con el Asistente paraconexión nueva• Se habilita de formaindependiente encada conexión de redHabilitar el cortafuegos de Windows
  • 158. • Servicios de red• Aplicacionesbasadas en WebConfiguración avanzada del cortafuegosde Windows
  • 159. • Opciones deregistro• Opciones delarchivo de registroRegistro de seguridad del cortafuegosde Windows
  • 160. Cortafuegos de Windows en la compañía• Configure el cortafuegos de Windowsmediante directivas de grupo• Combine el cortafuegos de Windows conControl de cuarentena de acceso a la red
  • 161. • Utilice el cortafuegos de Windows en las oficinasdomésticas y en las pequeñas compañías con el finde proporcionar protección a los equipos que esténconectados directamente a Internet• No active el cortafuegos de Windows en unaconexión VPN (aunque debe habilitarlo en laconexión LAN o de acceso telefónico subyacente)• Configure las definiciones de servicio para cadaconexión de cortafuegos de Windows a través de laque desee que funcione el servicio• Establezca el tamaño del registro de seguridad en 16megabytes para impedir el desbordamiento quepodrían ocasionar los ataques de denegación deservicioRecomendaciones
  • 162. REDES PRIVADAS VIRTUALES
  • 163. Esquema WAN convencionalOficina PrincipalUsuarioIntineranteOficinaRegionalAccesodesde el hogarLineas PrivadasFrame RelayOficinaEstatalRAS
  • 164. Redes WAN Clasicas: NuevosRetosCambios en marchaAñadir nuevos sitiosAcceso a usuariosremotos via dial upConectividad a socios denegociosCosto de la infraestructu-ra y ancho de BandaFortalezasUso dedicado.Ancho de Banda predecibleSeguridad definidaAmpliamente disponible
  • 165. Oficina PrincipalUsuariosIntinerantesSociosDeNegocios?Accesodesde el HogarOficinaRegionalRed Wan ClasicaOficinaEstatalOficinas Remotasy/oInternacionales??Miles ó cientosdeusuariosremotosRedes WAN Clasicas: Ahoraexisten nuevos retos
  • 166. • Que es una Red Privada Virtual ?– Es una red de comunicaciones, construida para el uso privado de unaorganización, sobre una infraestructura pública compartida.– ―Canales privados de comunicación que usan una red pública como eltransporte básico para conectar centros corporativos de datos, oficinasremotas, empleados nomadas, empleados ―caseros‖, clientes , proveedoresy socios de negocio‖.– Una Red Privada Virtual es la emulación de una red privada sobreinfraestructura compartida.
  • 167. Tipos de VPN´SProvider VPNs:– VPN Dedicado: MPLSEdge VPNs– Site to Site IPSEC– Client to Site IPSECIntegrated VPNs– IPSEC dedicado – MPLS– IPSEC móvil – MPLS
  • 168. INTRODUCION A REDESVPN -MPLS
  • 169. • Una infraestructura de red IPcapaz de entregar serviciosprivados de red conprioritizaciòn sobre unainfraestructura publica (ISP)VPN - MPLS
  • 170. Conceptos MPLS• MPLS: Multi Protocol LabelSwitching• Desarrollado para integrarredes IP y ATM• El ―forwardeo‖ de paquetes esrealizado en base a etiquetas
  • 171. UNA VPN MPLS (VIRTUAL PRIVATE NETWORK)PERMITE CONECTIVIDAD DE MÚLTIPLES SITIOS ATRAVÉS DE UNA RED COMPARTIDA, CON LOSMISMOS ATRIBUTOS QUE UNA RED PRIVADA
  • 172. LAS REDES ESTÁN EVOLUCIONANDO HACIA IP QUE ES ELPROTOCOLO QUE HA DOMINADO EN LAS REDES YAPLICACIONES ( INTERNET, E-BUSINESS, E-MAIL, INTRANET,EXTRANET, B2B, B2C, VOIP )FrameRelay / ATMVPN MPLSVPN IPSECMPLSInternet
  • 173. INTEGRA TODOS LOS SERVICIOS Y APLICACIONES EN UNASOLA CONEXIÓN (VOZ, DATOS, VIDEO E INTERNET).VideoInternetDatosVozVideoDatosVozInternet
  • 174. MECANISMOS DE CALIDAD DE SERVICIO QOS QUE PERMITEDAR PRIORIDAD AL TRAFICO SENSIBLE AL RETRASO COMOVOZ Y VIDEO O APLICACIONES DE MISIÓN CRÍTICAVoz yVideoInternetDatos
  • 175. TECNOLOGIA VPN - MPLSCoreOficinaRegionalOficinaEstatalOficinaCorporativaMPLS
  • 176. MPLSMéxicoVPNAguascalientesMonterreyVPNINTERNETTECNOLOGIA VPN - MPLS
  • 177. VPN - IPSECINTERNET
  • 178. IPSEC- NO ES UN SOLO PROTOCOLO, ES UNA COLECCIÓN DEPROTOCOLOS ( MAS DE 40 ) DEFINIDOS MEDIANTE RFCs Y PORIETF´s IPSEC WORKING GROUP.-SOPORTADO PARA IPV4 E IPV6.-CUMPLE CON LOS 3 ELEMENTOS BÁSICOS DE VPN :AUTENTICACION (AH), ENCRIPCION(ESP) Y ADMINISTRACIÓN DELLAVES.-ALGORITMOS DE ENCRIPCIÓN DISPONIBLES PARA IPSEC :DES (DATA ENCRYPTION STANDARD)3 DESRC4IntegridadConfidencialidadAutenticación
  • 179. ALGORITMOS Y ESTANDARES DE ENCRIPCIONTIPO TAMAÑO DE LA LLAVE FUENTE FUERZA RELATIVADES SIMETRICO 40 o 56 NSA, ANSI Moderada3DES SIMETRICO 112 NSA, ANSI FuerteRC2 SIMETRICO Variable RSA Se presume fuerteIDEA SIMETRICO 128 Ascom-Tech AG FuerteRSA Public Key 512 o 2,048 RSA FuerteECC Public Key 160 Certicom FuerteDSA Firma Digital 1.024 NIST FuerteMD5 Resumido N/A RSA DesconocidoMD4 Resumido N/A RSA DebilMD2 Resumido N/A RSA DesconocidoSHA Resumido N/A NIST, NSA DesconocidoSkipJack SIMETRICO 80 NSA Se presume fuerteRC4 SIMETRICO Variable RSA FuerteRC5 SIMETRICO Variable RSA Fuerte
  • 180. TUNELESQUE ES UN TUNEL ?-UN TUNEL ES LA ENCAPSULACIÓN DE PAQUETES O FRAMESDENTRO DE OTROS PAQUETES O FRAMES.CUALES SON LOS PROTOCOLOS PARA GENERAR TUNELES ?-IPSEC-PPTP-L2TP-L2F
  • 181. IntranetRed IP CompartidaBNTunel seguro IP1IPSECPPTPL2TPL2FTunelesMediaIP140.100.20.101179.10.1.1Encaps. EncripciónAutenticaciónPPPIP192.100.10.101192.100.10.230DatosMediaIP192.100.10.101192.100.10.230DatosEncripciónDesencripciónMediaIP192.100.10.101192.100.10.230Datos
  • 182. Cómo funciona?CorporativoInternetDatosEncapsuladoEncriptado yencapsulado
  • 183. Tipos de VPNs IPSEC• Intranet– Red corporativa de área amplia (WAN, Wide AreaNetwork) con administración de tráfico a nivelaplicación• Extranet– Extiende la infraestructura de conectividad corporativa(WAN) a proveedores, clientes y socios.Principalmente para transporte de transacciones enmodelos Business to Business (B2B)• Acceso Remoto– Brinda acceso (dial up, broadband, wireless, etc) apersonal que requiere de alta movilidad, tanto nacionalcomo internacional.
  • 184. Tipos de VPN IP-SEC ?AccesoExtranet– Acceso ExtranetAccesoOficina– Acceso RemotoAcceso Remoto– Acceso Oficinas• Tres tipos diferentesde VPNsCorporativoCorporativoInternet
  • 185. Acceso RemotoUsuarios RemotosInternetVPNGatewayOficina Central
  • 186. RADIUS (AAA)BASES DE DATOSUsuarios Institucionales/SociosIntranet RPVEsquema FuncionalInternet
  • 187. Oficina RegionalOficina EstatalOficina EstatalInternetVPNGatewayOficina CentralAcceso Sucursal y ―Extranet‖ProveedorDe Servicio
  • 188. CONEXIÓN SITE - SITEMéxico D.F.Servidor deAutenticaciónFWPCBostonServidor deAutenticaciónFWVPN GatewayPCVPN GatewayInternetIDS IDS
  • 189. Seguridad en redes inalámbricasLan (WLan)Acces Point11 MbpsSwitch LanComputadorasDesktopComputadorasNotebookDispositivos MobilesPDAEquipos 802.11b con cliente VPN-IPSECVPN
  • 190. Seguridad en acceso inalámbricosvia ISPAcces Point(((())))Notebook con clientes VPN-IPSECPalm con clientes VPN-IPSECVPNInternet
  • 191. INTRANETEXTRANETINTERNETVPNRemplazo de enlaces Wanutilizando Site-to-Site IPSec VPNPOPDSLCABLESITIOPRINCIPAL
  • 192. Internet VPNPSTN/ISDNADSLEnlaces DedicadosFrame RelayOficina CorporativaExtranetB2BIntranetOficinas Regionales yEstatalesRespaldo de enlaces Wanutilizando Site-to Site Vpn IPSEC
  • 193. Proxy Server
  • 194. ¿ Qué es un Proxy Server ?• Es un intermediario entre la red interna yel internet, puede implementar ciertoscriterios de seguridad, asi como tambiencache, lo que significa que si el proxytiene una petición, lo primero que hace esbuscar en su cache, si lo encuentraresponde a la petición.
  • 195. Proxy Cache Server
  • 196. SECURITY ENHANCEDLINUX
  • 197. ¿Por qué SELINUX?• ¿Cuáles son las razones por las cuales laNSA decide publicar una distribución deLinux?DE ACUERDO A POLITICA DE ASEGURAMIENTO DEINFORMACION DE LA NSA ES BUSCAR UN SISTEMAOPERATIVO QUE SEPARE LA INFORMACIONCONFIDENCIAL DE LA INFORMACION PUBLICA
  • 198. ¿Por qué SELINUX?El resultado de varias investigacionesdio como resultado el uso de variasherramientas que resultaron enla aplicación de un parche con ciertasfunciones que garantizan la seguridad.Se escogió Linux POR SU ÉXITO ALSER PLATAFORMA ABIERTA YPERMITIR DESARROLLO EN UNALTO NIVEL
  • 199. ¿Qué es SELINUX?ES UN NUCLEO DE SISTEMA OPERATIVOMODIFICADO CON FUNCIONES ADICIONALESA LAS NORMALES QUE LE PERMITENTENER CONTROL SOBRE VARIAS VARIABLESTALES COMO:Entrada y Salida de UsuariosPerfil de UsuariosPolíticas de uso y de Acceso
  • 200. Instalación• Se pueden obtener del sitiohttp://www.nsa.gov/selinux el fuenteparchado del kernel 2.x con todas lasherramientas ya incorporadas.• 1. Descomprimir todo en un directorio porseparado del fuente original del kernel.
  • 201. IPTABLES
  • 202. Qué es iptables• IPtables es un sistema de firewall vinculado al kernel delinux que se ha extendido enormemente a partir delkernel 2.4 de este sistema operativo. Al igual que elanterior sistema ipchains, un firewall de iptables no escomo un servidor que lo iniciamos o detenemos o quese pueda caer por un error de programación(esto es unapequeña mentira, ha tenido alguna vulnerabilidad quepermite DoS, pero nunca tendrá tanto peligro como lasaplicaciones que escuchan en determinado puerto TCP):iptables esta integrado con el kernel, es parte delsistema operativo. ¿Cómo se pone en marcha?Realmente lo que se hace es aplicar reglas. Para ellosse ejecuta el comando iptables, con el que añadimos,borramos, o creamos reglas. Por ello un firewall deiptables no es sino un simple script de shell en el que sevan ejecutando las reglas de firewall.
  • 203. Cómo FuncionaFigura 5: cuando un paquete u otra comunicación llega al kernel con iptables se sigue este camino
  • 204. Implementación ……