Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2009-2 (agosto/2009), 2011-0 (enero/2011).
2. 2
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Temas a tratar
Unidad de aprendizaje 4
Tema 14:
Seguridad en la LAN-WAN
3. 3
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Factores
Acceso no autorizado
Soborno
Robo
Mala intención
Equipamiento de seguridad
Entrenamiento / capacitación
Difusión
Normativas / políticas
Permisos
Otros
4. 4
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Conceptos básicos
Seguridad de infraestructura
Seguridad lógica
Seguridad física
¿Qué protege?Concepto
5. 5
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Conceptos básicos
• Resolución que establece los derechos y
obligaciones específicos para la prestación
de servicios
Acreditación
• Autorizaciones concedidas a un usuario para
la utilización de los diversos recursos
Accesos
autorizados
• Acción de hacer uso de los recursos de un
sistema
Acceso
DescripciónTérmino
6. 6
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Conceptos básicos
• Persona física titular de los datos que sean objeto
del tratamiento
Afectado
• Acción que puede violar los sistemas y
mecanismos de seguridad de un sistema de
información
• Según el efecto que producen, se pueden dividir
en: interrupción; interceptación y modificación
• Por su modo de actuación pueden ser:
• pasivos, si no modifican el estado del sistema
• activos, si lo alteran
Ataque
DescripciónTérmino
7. 7
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Conceptos básicos
• Conjunto de reglas establecidas por la Autoridad
de Seguridad
• Gobiernan el uso y suministro de servicios de
seguridad y las instalaciones seguras
Política de
seguridad
• Violación potencial de la seguridad del sistemaAmenaza
• Estudio y evaluación de las pérdidas por un
ataque real simulado
Análisis de
impacto
DescripciónTérmino
8. 8
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Conceptos básicos
• Acuerdos documentados que contienen
especificaciones técnicas o criterios precisos
para ser usados consistentemente como
reglas, guías, o definiciones de características
• Aseguran que los materiales, productos,
procesos y servicios son apropiados para
lograr el fin para el que se concibieron
Normas
DescripciónTérmino
9. 9
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Conceptos básicos
• Forma especificada para llevar a cabo una
actividad o un conjunto de actividades
mutuamente relacionadas, que utilizan
recursos para transformar entradas en
salidas
Procedimiento
• Conjunto de reglas establecidas por la
Autoridad de Seguridad
• Gobiernan el uso y suministro de servicios
de seguridad y las instalaciones seguras
Política de
seguridad
DescripciónTérmino
10. 10
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Servicios de seguridad
Protección ante
el uso no
autorizado de
recursos
Confirmar la
identidad de una
o más de las
entidades en la
conexión
Descripción MecanismosServicio
• Listas de control de acceso
• Etiquetas de seguridad (nivel y
categoría)
• Roles
• Barreras físicas y lógicas
Control de
acceso
• Nombre de usuario y contraseña
• Tickets de acceso (temporales)
• Certificados digitales
• Tarjetas inteligentes
• Tokens (fichas, qué tengo y que
conozco)
• Dispositivos biométricos
Autenticación
11. 11
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Servicios de seguridad
Garantía de que los
campos en los datos
transmitidos o
almacenados no son
modificados, borrados o
reproducidos
Protección de los datos
de lectura no autorizada
Descripción MecanismosServicio
• Checksums
• CRC
• Algoritmos hash
• Programas anti-
virus
Integridad de datos
• CifradoConfidencialidad
12. 12
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Servicios de seguridad
Asociar la identidad
de un individuo con
su participación en
un proceso
Descripción MecanismosServicio
No rechazo Acuse de recibo/depósito
(Delivery Status
Notification -DSN)
Acuse de lectura
(Message Disposition
Notification -MDN)
ISO 7498-2:1989,
Information processing
systems -- Open Systems
Interconnection -- Basic
Reference Model -- Part
2: Security Architecture
13. 13
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desarrollo de la norma
ISO/IEC 7498-2:1989
Sistemas de procesamiento de la información - Interconexión de
sistemas abiertos - Modelo de referencia de base - Parte 2:
Arquitectura de la seguridad
Normas adicionales de interés:
ITU-T Rec. X.803(1994) | ISO/IEC 10745:1995, Information technology -
Open systems interconnection - Upper layers security model
ITU-T Rec. X.810(1995) | ISO/IEC 10181:1996, Information technology -
Open systems interconnection - Security frameworks for open systems
ISO/IEC TR 13594:1995, Information technology -- Lower layers security
http://www.ausejo.net/seguridad/politicas.htm
15. 15
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Servicios de seguridad
Administración,
control, y auditoría
de la seguridad
Descripción MecanismosServicio
Administrar la directiva global
de seguridad, los mecanismos
de seguridad específicos
(claves criptograficas,
mecanismos de autenticación y
otros mecanismos de control),
los sucesos de seguridad, las
auditorias de seguridad y la
restauración de la seguridad
Gestión de
seguridad
16. 16
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Conceptos vulnerabilidad-amenaza-riesgo-desastre
Después del aporte conceptual de la escuela de la ecología humana y particularmente de
White (1945/64/73), Kates (1962/71/78) y Burton (1962/68/78), la UNDRO y la UNESCO
promovieron una reunión de expertos con el fin de proponer una unificación de definiciones.
El informe de dicha reunión, Natural Disasters and Vulnerability Analysis (UNDRO 1979)
incluyó las siguientes definiciones:
• Amenaza, peligro o peligrosidad (Hazard - H). Es la probabilidad de ocurrencia de un suceso
potencialmente desastroso durante cierto período de tiempo en un sitio dado.
• Vulnerabilidad (Vulnerability -V). Es el grado de pérdida de un elemento o grupo de
elementos bajo riesgo resultado de la probable ocurrencia de un suceso desastroso,
expresada en una escala desde 0 o sin daño a 1 o pérdida total.
• Riesgo específico (Specific Risk - Rs). Es el grado de pérdidas esperadas debido a la
ocurrencia de un suceso particular y como una función de la amenaza y la vulnerabilidad.
• Elementos en riesgo (Elements at Risk - E). Son la población, los edificios y obras civiles, las
actividades económicas, los servicios públicos, las utilidades y la infraestructura expuesta en
un área determinada.
• Riesgo total (Total Risk - Rt). Se define como el número de pérdidas humanas, heridos,
daños a las propiedades y efectos sobre la actividad económica debido a la ocurrencia de un
desastre, es decir el producto del riesgo específico Rs, y los elementos en riesgo E.
18. 18
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Vulnerabilidades
Tests
Escaneo de vulnerabilidades
Test de penetración
Preparación
-> Descubrimiento
-> Exploración
->Intrusión
19. 19
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Análisis
Reportes
Vulnerabilidades y soluciones
Por nivel de riesgo
Impacto y simplicidad del ataque
Por tipo de decisión
Sólo hacer o hacer y comprar
20. 20
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Implementación
Hacer, no hacer, investigar o esperar
Actualización de políticas y procedimientos
Análisis de vulnerabilidades
Evaluación de resultados
21. 21
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Mantenimiento
Nuevas vulnerabilidades
Mantenimiento de sistemas
Análisis programado de vulnerabilidades
Monitoreo en tiempo real
Lo único seguro es que la seguridad informática es dinámica
22. 22
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Preparación
Pruebas, control, políticas, normas,
procedimentos
Prevención
Dimensionar la pérdida o riesgoValoración
Ordenada y priorizadaRecuperación
A quien conoce el funcionamiento o la operación
de los servicios
Escalamiento
De intrusosDetección
DetalleAcciones
23. 23
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Metodología sugerida (parcial)
Analizar logs
Buscar archivos ocultos o inusuales
Comprobar que binarios no han sido sustituídos
Revisar programadores de tareas y programas que se ejecutan
Asegurar servicios, su ejecución y cantidad
Buscar alteraciones en cuentas, contraseñas, archivos
24. 24
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Requerimientos
Cobertura
Probabilidad de falsos positivos
Probabilidad de detección
Resistencia a ataques
Habilidad para correlacionar eventos
Habilidad para detectar eventos no antes vistos
Habilidad para detectar un ataque
Habilidad para determinar el grado de éxito de un ataque
Capacidad para verificar NIDS
25. 25
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Escáner de puertos
Al recibir un SYN/ACK se envía
inmediatamente un RST (reset) para
terminar la conexión y se registra este
puerto como abierto
Escaneo TCP SYN
determinar qué sistema operativo tiene la
computadora atacada
Fingerprinting
cuando un puerto UDP está cerrado.
Lento
Escaneo UDP ICMP port unreachable
protocolo ident permite averiguar el
nombre de usuario y el dueño de
cualquier servicio corriendo dentro de una
conexión TCP
Escaneo TCP reverse ident
Si el puerto escaneado está abierto y a la
escucha, devolverá una respuesta de
éxito
Escaneo de conexión TCPconnect ()
DescripciónTipos de escaneo
27. 27
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Escáner de parches
MBSACLI
Windows Update
http://www.microsoft.com/downloads/details.aspx?
familyid=b13ebd6b-e258-4625-b0a3-
64a4879f7798&displaylang=en
28. 28
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Otros escáner
http://alerta-antivirus.red.es/utiles/ver.php?
tema=U&articulo=10&pagina=0
http://www.ks-soft.net/ip-tools.esp/index.htm
http://www.bitpipe.com/plist/term/Patch-Management-
Software.html
http://www.gfi.com/lannetscan/
29. 29
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Cifrado de datos
Rivest-Shamir-
Adleman (RSA)
parejas de claves, una secreta,
conocida únicamente por su
propietario, y una pública,
libremente distribuida por su
propietario
Con clave
pública
Data Encryption
Standard (DES)
clave es conocida por el
remitente de los mensajes y
por el receptor
Con clave
secreta
EjemplosDescripciónCifrado
31. 31
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Cifrado de datos
RC4se encriptan los datos
realizando una operación
lógica OR-Exclusiva
entre los bytes y un
generador
pseudoaleatorio
En flujo
DESse cifran los datos en
bloques de 64 bits
En bloque
EjemplosDescripciónCifrado
32. 32
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Cifrado de datos
Integridad y autentificación para el correo
electrónico y aplicaciones de
almacenamiento de ficheros
firma digital
encriptación
compresión
compatibilización
segmentación
PGP
Pretty Good
Privacy
Transmitir documentos privados vía
Internet
Basada en criptografía
asimétrica y en el concepto de
los certificados
SSL
Secure Socket
Layer
Intranet, compartir documentos, acceso a
recursos de red, correo certificado
Clave públicaPKI
Public Key
Infraestructure
Ejemplos de aplicaciónFuncionamientoHerramientas
33. 33
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Ejemplo
http://www.hispasec.com/unaaldia/2012/
http://www.criptored.upm.es/descarga/genRSA.zip
n = p*q la clave pública
p y q primos grandes
en cualquier sistema RSA existen siempre al menos 9 mensajes no
cifrables
elegir la clave e de forma que:
mcd (e - 1, p - 1) = 2
mcd (e - 1, q - 1) = 2
http://www.lookuptables.com/
Tabla ASCII
34. 34
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Firmas digitales
Propiciar confianza entre el
emisor y el receptor de una
comunicación
Genera certificados
digitales
Autoridad
Certificadora
Certificación de autenticidad
de un sitio web
Validación y emisiónVerisign
Ejemplos de aplicaciónFuncionamientoHerramientas
35. 35
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Firmas digitales
Sitios web, mensajes
de correo
Garantiza que la información
intercambiada no ha sido
robada, alterada o leída por
terceras personas
Certificado digital
Obtención de
certificados digitales
Utiliza sistema PKI (dos claves).
Mensaje enviado a una CA con
datos y clave pública
CSR
Certificate signing
request
Ejemplos de
aplicación
FuncionamientoHerramientas
38. 38
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Tipos de biometría
Biometría Estática
Mide la anatomía del usuario
Huellas Digitales
AFIS (Automated Fingerprint Identification System)
Geometría de la mano
Termografía
Análisis del iris
Análisis de retina
Venas del dorso de la mano
Reconocimiento Facial
39. 39
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Tipos de biometría
Biometría Dinámica
Mide el comportamiento del usuario
Patrón de Voz
¿Reconocimiento de voz?
(ASR –Automatic Speech Recognition)
Firma manuscrita
Dinámica de tecleo
Cadencia del paso
Análisis gestual
40. 40
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Proxy
Uso:
Comunicar a los clientes de un componente a través de una
entidad intermedia
Motivos de uso:
Eficiencia
Coste
Seguridad
Transparencia de ubicación
Interfaz simple y homogénea
Pre y post procesamiento de datos
Otros
43. 43
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Proxy
Aplicación:
Conoce el aplicativo
Provee servicio específico
Circuito
Circuito virtual entre servidor real y cliente
Anónimo
Transparente
http://megawx.aws.com/support/faq/software/ip.asp
http://www.slac.stanford.edu/cgi-bin/nph-traceroute.pl
44. 44
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Proxy
Control de registro y acceso
Filtro URL
Filtro de contenido
Caché
Forward
Reverse
Transparente
45. 45
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión del ancho de banda
Problemas:
Costos por incrementos continuos de ancho de banda
Tráfico de aplicativos compite con el recreacional
VoIP (Voice over Internet Protocol)
Fácil acceso a los aplicativos Web pero con pobre rendimiento
Aplicaciones críticas afectadas por envío de correo electrónico
46. 46
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión del ancho de banda
Beneficios:
Determinar qué aplicativos, usuarios y locaciones son
consumidores del ancho de banda
Asegurar la prioridad de acceso a la red para aplicativos
diferenciados
Bloquear o contener el tráfico malicioso o recreacional no deseado,
o el menos urgente (correo)
Aplicar compresión y aceleración
Incrementar y proteger el rendimiento de aplicativos críticos y
urgentes
47. 47
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión del ancho de banda
Opciones:
Imponer límites en la transferencia TCP
Utilidad solamente para tráfico TCP
Requiere periodo de adaptación por cada sesión
Ocasiona sobrecarga en recursos
No limita efectivamente al usuario que trabaja a la vez con varias
sesiones http
No funciona con datos encriptados
48. 48
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión del ancho de banda
Opciones:
Manipular la ventana TCP
Ventanas < 1500 bytes sobrecargan la red
Emplear algoritmos de encolamiento
Class Based Queuing
Introduce retardo
Sólo tráfico de salida
Sobrecarga con muchas clases
Fair queueing (sólo sobre flujo de datos)
49. 49
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión del ancho de banda
Packeteer (Modelador de tráfico)
http://www.packeteer.com/
http://www.packeteer.com/program/demoroom/presentps.html
ET/BWMGR (Gestor de tráfico)
http://www.etinc.com/
Allot (Control de tráfico)
http://www.allot.com/
http://www.allot.com/pages/Demo.asp?intGlobalId=36
55. 55
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
IDS
Tipos Funcionamiento Ejemplo
Basado en red
(NIDS)
monitoreo en información recolectada
de la red
Sniffer
(capa de red)
Basado en host
(HIDS)
monitoreo y análisis de información, que
refleja el estado del host donde reside el
IDS
Log
(Capas superiores)
Distribuidos combinación de los anteriores auditores
Honeypot es un servicio pero sin ¿utilidad? real simuladores
56. 56
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Técnica de detección Operación Detección
Patrones anómalos recolección y análisis de
información de diferentes fuentes
cambio en los patrones de
utilización o en el
comportamiento de un servicio
Firmas observar cualquier proceso que
intente explotar los puntos
débiles de un sistema específico
cadenas de caracteres, estructuras
de memoria o bits, vectores ó
expresiones matemáticas
IDS
57. 57
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Metodología sugerida (parcial)
Analizar logs
Buscar archivos ocultos o inusuales
Comprobar que binarios no han sido sustituidos
Revisar programadores de tareas y programas que se ejecutan
Asegurar servicios, su ejecución y cantidad
Buscar alteraciones en cuentas, contraseñas, archivos
58. 58
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Requerimientos
Cobertura
Probabilidad de falsos positivos
Probabilidad de detección
Resistencia a ataques
Habilidad para correlacionar eventos
Habilidad para detectar eventos no antes vistos
Habilidad para detectar un ataque
Habilidad para determinar el grado de éxito de un ataque
Capacidad para verificar NIDS
59. 59
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP
PING NMAP"; dsize:0; itype:8; reference:arachnids,162;
classtype:attempted-recon; sid:469; rev:3;)
alert udp $EXTERNAL_NET any -> $SQL_SERVERS any (msg:"MS-
SQL probe response overflow attempt"; content:"|05|"; depth:1;
byte_test:2,>,512,1; content:"|3B|"; distance:0; isdataat:512,relative;
content:!"|3B|"; within:512; reference:bugtraq,9407;
reference:cve,2003-0903;
reference:url,www.microsoft.com/technet/security/bulletin/MS04-
003.mspx; classtype:attempted-user; sid:2329; rev:6;)
http://www.snort.org/rules/why_subscribe.html
How to decipher the Oinkcode
Ejemplos
60. 60
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
IPS
inline NIDS
application-based firewalls/IDS
layer seven switches
network-based application IDSs
deceptive applications
61. 61
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Inline Network Intrusion Detection Systems
ISS Guard
Netscreen
TippingPoint
Layer Seven Switches
Radware
Foundry
Application Firewalls/IDS
Okena
Entercept
Hybrid Switches
Appshild
Kavado
Deceptive Applications
Forescout
62. 62
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Calidad de servicio
Aplicacions diferentes poseen requerimientos diferentes
Aplicaciones cuantitativas
Video streaming
Telefonía IP
Aplicaciones cualitativas
Transacciones
Cliente/servidor
63. 63
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Calidad de servicio
Parámetros QoS:
Bandwidth. Tasa para transporte de datos
Latencia. Retardo al enviar datos
Desvío (Jitter). Variación en la latencia
Confiabilidad. Porcentaje de paquetes descartados
64. 64
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Implementaciones
Mecanismos para provisionamiento y configuración
Por acción de un programa administrador:
Simple Network Management Protocol (SNMP)
Command Line Interface (CLI).
Por acción de cambios en la demanda de los recursos:
Resource Reservation Protocol (RSVP, L3).
65. 65
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Implementaciones
Mecanismos para manipulación de tráfico
Diffserv L3
Agrega flujos diferentes de tráfico a clases específicas de servicio
802.1p L2
Marcado de paquetes por prioridad
Por flujo (RSVP)
ATM
Integrated Services Over Slow Links (ISSLOW)
Políticas: Admission Control Service (ACS)
67. 67
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Sistema de acceso remoto
• Servidor que permite el ingreso de usuarios externos a una red,
a través de conexiones especiales
• Usuarios externos:
•Usuarios desde un local remoto (teletrabajadores, personas
que viajan, etc.)
•Corporaciones
• Conexiones especiales:
•Conexión telefónica dial-up
•Pools de módem
•Servidores de terminales
•Encaminamiento y capacidades para traducción de
protocolo
68. 68
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Sistema de acceso remoto
• Actúa en capa 2
• Se deriva de:
– Layer 2 Forwarding (L2F) de Cisco
– Point-to-Point Tunneling Protocol
(PPTP) de Microsoft
• Se utiliza principalmente en Internet
• Se utiliza en combinación con IPSec
Un túnel de
datos entre
dos equipos
Layer 2
Tunneling
Protocol L2TP‑
(IETF RFC 2661,
RFC 2888)
CaracterísticasProveeEste concepto
69. 69
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Sistema de acceso remoto
• Actúa en la capa 3
• Obligatorio en IPv6
• Utiliza:
–Internet key exchange (IKE)
–Encapsulating Security Payload
(ESP) (autenticación,
confidencialidad de datos,
integridad del mensaje)
Cifrado y
autenticación
para todos los
paquetes IP
IP Security –
IPSec (IETF
RFC 2401)
CaracterísticasProveeEste concepto
71. 71
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Red privada virtual -VPN
Enlaza una o más empresas u organizaciones a través de la red
pública
Utiliza protocolos estándar de comunicaciones
Utiliza cifrado para proveer (prevenir):
Confidencialidad (snooping)
Autenticación (identity spoofing)
Integridad del mensaje (alteración)
El objeto es proveer comunicaciones seguras sobre redes
inseguras
72. 72
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Configuraciones VPN
VPN de Servidor a Workstation (End to End):
VPN instalado en todos los PC's
La ruta completa desde el servidor al cliente está encriptada.
VPN de Sitio a Sitio (Site to Site):
VPN instalado en un Gateway de cada LAN
El tráfico en redes públicas (entre las redes) está encriptado
El tráfico dentro de la red está en PlainText (texto legible)
VPN de Servidor/Workstation a Gateway (End to Gateway):
VPN instalado en un Gateway de la red y en todas las estaciones
remotas
El tráfico en las redes públicas está encriptado (tráfico entre la red y
las estaciones remotas)
El tráfico en el interior de la red en PlainText (texto legible)
74. 74
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
SSL VPN
VPN:
Rígido –debe instalarse o configurarse
Curva de aprendizaje
Consume recursos
SSL:
Utiliza cualquier navegador
Posee mejor rendimiento
Se determina la identidad del usuario remoto
No se certifica que el dispositivo remoto sea seguro
77. 77
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Autenticación,
autorización y
accounting
(contabilización) de
usuarios remotos
78. 78
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Nombre de usuario y contraseña se
transfieren a un dispositivo NAS (Servidor
de Acceso a la Red)
– La transferencia utiliza el protocolo
PPP
– Se transfiere a un servidor RADIUS
(protocolo RADIUS)
Autentificación,
Autorización y
Accounting
(Contabilización)
Remote
Authentication
Dial-In User
Service
RADIUS (IETF‑
RFC 2139, RFC
2865)
Perfiles de usuario con atributos:
– CHECK-LIST: ciertos usuarios pueden
utilizar conexiones ISDN
– RETURN-LIST: asignar a
determinados usuarios una dirección
IP específica, establecer un tiempo
límite permitido de conexión, otros
Personalización y
control del
servicio
Atributos
RADIUS
CaracterísticaProveeEste concepto
79. 79
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
• La contraseña no sólo se exige al
empezar la conexión sino también
durante la conexión
• Contraseña codificada
• Mensaje de desafío MD5
Autenticación
segura
Microsoft Challenge
Handshake
Authentication
Protocol –MSCHAP
V2 (IETF RFC 2759)
• Solicita credenciales (usuario y
contraseña)
• Credenciales se transmiten en
texto plano
Autenticación
básica
Password
Authentication
Protocol –PAP
(IETF RFC1334,
RFC 1994)
CaracterísticaProveeEste concepto
80. 80
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
• Mecanismo estándar para aceptar
métodos de autenticación
adicionales junto con PPP
• Ejemplos: tarjetas de
identificación, contraseñas de un
sólo uso, autenticación por clave
pública mediante tarjetas
inteligentes, certificados, otros
• Más seguro
Autenticación
segura en VPN
Extensible
Authentication
Protocol –EAP
(IETF RFC 2284)
CaracterísticaProveeEste concepto
81. 81
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
• Define paquetes, parámetros y
procedimientos de negociación
para la alta y baja de un
número determinado de
enlaces pertenecientes a un
conglomerado de enlaces
Control sobre el
número de enlaces
disponibles para
una comunicación
multi enlace
Bandwidth Allocation
Protocol BAP,‑
Bandwidth Allocation
Control Protocol –
BAPC (IETF RFC
2125)
CaracterísticaProveeEste concepto