Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN

REDES Y TELECOMUNICACIONES
Ing. CIP Jack Daniel Cáceres Meza
SEGURIDAD EN LA LAN-WAN
TEMA 14

2
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Temas a tratar
Unidad de aprendizaje 4
 Tema 14:
 Seguridad en la LAN-WAN

3
Factores
 Acceso no autorizado
 Soborno
 Robo
 Mala intención
 Equipamiento de seguridad
 Entrenamiento / capacitación
 Difusión
 Normativas / políticas
 Permisos
 Otros

4
Conceptos básicos
Seguridad de infraestructura
Seguridad lógica
Seguridad física
¿Qué protege?Concepto

5
Conceptos básicos
• Resolución que establece los derechos y
obligaciones específicos para la prestación
de servicios
Acreditación
• Autorizaciones concedidas a un usuario para
la utilización de los diversos recursos
Accesos
autorizados
• Acción de hacer uso de los recursos de un
sistema
Acceso
DescripciónTérmino

6
Conceptos básicos
• Persona física titular de los datos que sean objeto
del tratamiento
Afectado
• Acción que puede violar los sistemas y
mecanismos de seguridad de un sistema de
información
• Según el efecto que producen, se pueden dividir
en: interrupción; interceptación y modificación
• Por su modo de actuación pueden ser:
• pasivos, si no modifican el estado del sistema
• activos, si lo alteran
Ataque

7
Conceptos básicos
• Conjunto de reglas establecidas por la Autoridad
de Seguridad
• Gobiernan el uso y suministro de servicios de
seguridad y las instalaciones seguras
Política de
seguridad
• Violación potencial de la seguridad del sistemaAmenaza
• Estudio y evaluación de las pérdidas por un
ataque real simulado
Análisis de
impacto

8
Conceptos básicos
• Acuerdos documentados que contienen
especificaciones técnicas o criterios precisos
para ser usados consistentemente como
reglas, guías, o definiciones de características
• Aseguran que los materiales, productos,
procesos y servicios son apropiados para
lograr el fin para el que se concibieron
Normas

9
Conceptos básicos
• Forma especificada para llevar a cabo una
actividad o un conjunto de actividades
mutuamente relacionadas, que utilizan
recursos para transformar entradas en
salidas
Procedimiento
• Conjunto de reglas establecidas por la
Autoridad de Seguridad
• Gobiernan el uso y suministro de servicios
de seguridad y las instalaciones seguras
Política de
seguridad

10
Servicios de seguridad
Protección ante
el uso no
autorizado de
recursos
Confirmar la
identidad de una
o más de las
entidades en la
conexión
Descripción MecanismosServicio
• Listas de control de acceso
• Etiquetas de seguridad (nivel y
categoría)
• Roles
• Barreras físicas y lógicas
Control de
acceso
• Nombre de usuario y contraseña
• Tickets de acceso (temporales)
• Certificados digitales
• Tarjetas inteligentes
• Tokens (fichas, qué tengo y que
conozco)
• Dispositivos biométricos
Autenticación

11
Garantía de que los
campos en los datos
transmitidos o
almacenados no son
modificados, borrados o
reproducidos
Protección de los datos
de lectura no autorizada
• Checksums
• CRC
• Algoritmos hash
• Programas anti-
virus
Integridad de datos
• CifradoConfidencialidad

12
Asociar la identidad
de un individuo con
su participación en
un proceso
No rechazo Acuse de recibo/depósito
(Delivery Status
Notification -DSN)
Acuse de lectura
(Message Disposition
Notification -MDN)
ISO 7498-2:1989,
Information processing
systems -- Open Systems
Interconnection -- Basic
Reference Model -- Part
2: Security Architecture

13
Desarrollo de la norma
 ISO/IEC 7498-2:1989
 Sistemas de procesamiento de la información - Interconexión de
sistemas abiertos - Modelo de referencia de base - Parte 2:
Arquitectura de la seguridad
 Normas adicionales de interés:
 ITU-T Rec. X.803(1994) | ISO/IEC 10745:1995, Information technology -
Open systems interconnection - Upper layers security model
 ITU-T Rec. X.810(1995) | ISO/IEC 10181:1996, Information technology -
Open systems interconnection - Security frameworks for open systems
 ISO/IEC TR 13594:1995, Information technology -- Lower layers security
http://www.ausejo.net/seguridad/politicas.htm

14
Estructura
tri-dimensional
ISO 7498-2

15
Administración,
control, y auditoría
de la seguridad
Administrar la directiva global
de seguridad, los mecanismos
de seguridad específicos
(claves criptograficas,
mecanismos de autenticación y
otros mecanismos de control),
los sucesos de seguridad, las
auditorias de seguridad y la
restauración de la seguridad
Gestión de
seguridad

16
Conceptos vulnerabilidad-amenaza-riesgo-desastre
Después del aporte conceptual de la escuela de la ecología humana y particularmente de
White (1945/64/73), Kates (1962/71/78) y Burton (1962/68/78), la UNDRO y la UNESCO
promovieron una reunión de expertos con el fin de proponer una unificación de definiciones.
El informe de dicha reunión, Natural Disasters and Vulnerability Analysis (UNDRO 1979)
incluyó las siguientes definiciones:
• Amenaza, peligro o peligrosidad (Hazard - H). Es la probabilidad de ocurrencia de un suceso
potencialmente desastroso durante cierto período de tiempo en un sitio dado.
• Vulnerabilidad (Vulnerability -V). Es el grado de pérdida de un elemento o grupo de
elementos bajo riesgo resultado de la probable ocurrencia de un suceso desastroso,
expresada en una escala desde 0 o sin daño a 1 o pérdida total.
• Riesgo específico (Specific Risk - Rs). Es el grado de pérdidas esperadas debido a la
ocurrencia de un suceso particular y como una función de la amenaza y la vulnerabilidad.
• Elementos en riesgo (Elements at Risk - E). Son la población, los edificios y obras civiles, las
actividades económicas, los servicios públicos, las utilidades y la infraestructura expuesta en
un área determinada.
• Riesgo total (Total Risk - Rt). Se define como el número de pérdidas humanas, heridos,
daños a las propiedades y efectos sobre la actividad económica debido a la ocurrencia de un
desastre, es decir el producto del riesgo específico Rs, y los elementos en riesgo E.

17
Vulnerabilidades
 Ataque -> amenaza
 Externos
 Internos
 Reducir riesgos
 Confidencialidad
 Integridad
 Disponibilidad
Evitar
Interrupción
Intercepción
Fraguado / modificación
Fabricación

18
Vulnerabilidades
 Tests
 Escaneo de vulnerabilidades
 Test de penetración
 Preparación
-> Descubrimiento
-> Exploración
->Intrusión

19
Análisis
 Reportes
 Vulnerabilidades y soluciones
 Por nivel de riesgo
 Impacto y simplicidad del ataque
 Por tipo de decisión
 Sólo hacer o hacer y comprar

20
Implementación
 Hacer, no hacer, investigar o esperar
 Actualización de políticas y procedimientos
 Análisis de vulnerabilidades
 Evaluación de resultados

21
Mantenimiento
 Nuevas vulnerabilidades
 Mantenimiento de sistemas
 Análisis programado de vulnerabilidades
 Monitoreo en tiempo real
Lo único seguro es que la seguridad informática es dinámica

22
Preparación
Pruebas, control, políticas, normas,
procedimentos
Prevención
Dimensionar la pérdida o riesgoValoración
Ordenada y priorizadaRecuperación
A quien conoce el funcionamiento o la operación
de los servicios
Escalamiento
De intrusosDetección
DetalleAcciones

23
Metodología sugerida (parcial)
 Analizar logs
 Buscar archivos ocultos o inusuales
 Comprobar que binarios no han sido sustituídos
 Revisar programadores de tareas y programas que se ejecutan
 Asegurar servicios, su ejecución y cantidad
 Buscar alteraciones en cuentas, contraseñas, archivos

24
Requerimientos
 Cobertura
 Probabilidad de falsos positivos
 Probabilidad de detección
 Resistencia a ataques
 Habilidad para correlacionar eventos
 Habilidad para detectar eventos no antes vistos
 Habilidad para detectar un ataque
 Habilidad para determinar el grado de éxito de un ataque
 Capacidad para verificar NIDS

25
Escáner de puertos
Al recibir un SYN/ACK se envía
inmediatamente un RST (reset) para
terminar la conexión y se registra este
puerto como abierto
Escaneo TCP SYN
determinar qué sistema operativo tiene la
computadora atacada
Fingerprinting
cuando un puerto UDP está cerrado.
Lento
Escaneo UDP ICMP port unreachable
protocolo ident permite averiguar el
nombre de usuario y el dueño de
cualquier servicio corriendo dentro de una
conexión TCP
Escaneo TCP reverse ident
Si el puerto escaneado está abierto y a la
escucha, devolverá una respuesta de
éxito
Escaneo de conexión TCPconnect ()
DescripciónTipos de escaneo

26
Escáner de puertos

27
Escáner de parches
 MBSACLI
 Windows Update
 http://www.microsoft.com/downloads/details.aspx?
familyid=b13ebd6b-e258-4625-b0a3-
64a4879f7798&displaylang=en

28
Otros escáner
 http://alerta-antivirus.red.es/utiles/ver.php?
tema=U&articulo=10&pagina=0
 http://www.ks-soft.net/ip-tools.esp/index.htm
 http://www.bitpipe.com/plist/term/Patch-Management-
Software.html
 http://www.gfi.com/lannetscan/

29
Cifrado de datos
Rivest-Shamir-
Adleman (RSA)
parejas de claves, una secreta,
conocida únicamente por su
propietario, y una pública,
libremente distribuida por su
propietario
Con clave
pública
Data Encryption
Standard (DES)
clave es conocida por el
remitente de los mensajes y
por el receptor
Con clave
secreta
EjemplosDescripciónCifrado

30

31
Cifrado de datos
RC4se encriptan los datos
realizando una operación
lógica OR-Exclusiva
entre los bytes y un
generador
pseudoaleatorio
En flujo
DESse cifran los datos en
bloques de 64 bits
En bloque
EjemplosDescripciónCifrado

32
Cifrado de datos
Integridad y autentificación para el correo
electrónico y aplicaciones de
almacenamiento de ficheros
firma digital
encriptación
compresión
compatibilización
segmentación
PGP
Pretty Good
Privacy
Transmitir documentos privados vía
Internet
Basada en criptografía
asimétrica y en el concepto de
los certificados
SSL
Secure Socket
Layer
Intranet, compartir documentos, acceso a
recursos de red, correo certificado
Clave públicaPKI
Public Key
Infraestructure
Ejemplos de aplicaciónFuncionamientoHerramientas

33
Ejemplo
 http://www.hispasec.com/unaaldia/2012/
 http://www.criptored.upm.es/descarga/genRSA.zip
 n = p*q la clave pública
 p y q primos grandes
 en cualquier sistema RSA existen siempre al menos 9 mensajes no
cifrables
 elegir la clave e de forma que:
 mcd (e - 1, p - 1) = 2
 mcd (e - 1, q - 1) = 2
 http://www.lookuptables.com/
 Tabla ASCII

34
Firmas digitales
Propiciar confianza entre el
emisor y el receptor de una
comunicación
Genera certificados
digitales
Autoridad
Certificadora
Certificación de autenticidad
de un sitio web
Validación y emisiónVerisign
Ejemplos de aplicaciónFuncionamientoHerramientas

35
Firmas digitales
Sitios web, mensajes
de correo
Garantiza que la información
intercambiada no ha sido
robada, alterada o leída por
terceras personas
Certificado digital
Obtención de
certificados digitales
Utiliza sistema PKI (dos claves).
Mensaje enviado a una CA con
datos y clave pública
CSR
Certificate signing
request
Ejemplos de
aplicación
FuncionamientoHerramientas

36

37
Biometría

38
Tipos de biometría
 Biometría Estática
Mide la anatomía del usuario
 Huellas Digitales
 AFIS (Automated Fingerprint Identification System)
 Geometría de la mano
 Termografía
 Análisis del iris
 Análisis de retina
 Venas del dorso de la mano
 Reconocimiento Facial

39
Tipos de biometría
 Biometría Dinámica
 Mide el comportamiento del usuario
 Patrón de Voz
 ¿Reconocimiento de voz?
(ASR –Automatic Speech Recognition)
 Firma manuscrita
 Dinámica de tecleo
 Cadencia del paso
 Análisis gestual

40
Proxy
 Uso:
 Comunicar a los clientes de un componente a través de una
entidad intermedia
 Motivos de uso:
 Eficiencia
 Coste
 Seguridad
 Transparencia de ubicación
 Interfaz simple y homogénea
 Pre y post procesamiento de datos
 Otros

41
Proxy

42
Proxy

43
Proxy
 Aplicación:
 Conoce el aplicativo
 Provee servicio específico
 Circuito
 Circuito virtual entre servidor real y cliente
 Anónimo
 Transparente
 http://megawx.aws.com/support/faq/software/ip.asp
 http://www.slac.stanford.edu/cgi-bin/nph-traceroute.pl

44
Proxy
 Control de registro y acceso
 Filtro URL
 Filtro de contenido
 Caché
 Forward
 Reverse
 Transparente

45
Gestión del ancho de banda
 Problemas:
 Costos por incrementos continuos de ancho de banda
 Tráfico de aplicativos compite con el recreacional
 VoIP (Voice over Internet Protocol)
 Fácil acceso a los aplicativos Web pero con pobre rendimiento
 Aplicaciones críticas afectadas por envío de correo electrónico

46
 Beneficios:
 Determinar qué aplicativos, usuarios y locaciones son
consumidores del ancho de banda
 Asegurar la prioridad de acceso a la red para aplicativos
diferenciados
 Bloquear o contener el tráfico malicioso o recreacional no deseado,
o el menos urgente (correo)
 Aplicar compresión y aceleración
 Incrementar y proteger el rendimiento de aplicativos críticos y
urgentes

47
 Opciones:
 Imponer límites en la transferencia TCP
 Utilidad solamente para tráfico TCP
 Requiere periodo de adaptación por cada sesión
 Ocasiona sobrecarga en recursos
 No limita efectivamente al usuario que trabaja a la vez con varias
sesiones http
 No funciona con datos encriptados

48
 Opciones:
 Manipular la ventana TCP
 Ventanas < 1500 bytes sobrecargan la red
 Emplear algoritmos de encolamiento
 Class Based Queuing
 Introduce retardo
 Sólo tráfico de salida
 Sobrecarga con muchas clases
 Fair queueing (sólo sobre flujo de datos)

49
 Packeteer (Modelador de tráfico)
 http://www.packeteer.com/
 http://www.packeteer.com/program/demoroom/presentps.html
 ET/BWMGR (Gestor de tráfico)
 http://www.etinc.com/
 Allot (Control de tráfico)
 http://www.allot.com/
 http://www.allot.com/pages/Demo.asp?intGlobalId=36

50

51

52

53

54

55
IDS
Tipos Funcionamiento Ejemplo
Basado en red
(NIDS)
monitoreo en información recolectada
de la red
Sniffer
(capa de red)
Basado en host
(HIDS)
monitoreo y análisis de información, que
refleja el estado del host donde reside el
IDS
Log
(Capas superiores)
Distribuidos combinación de los anteriores auditores
Honeypot es un servicio pero sin ¿utilidad? real simuladores

56
Técnica de detección Operación Detección
Patrones anómalos recolección y análisis de
información de diferentes fuentes
cambio en los patrones de
utilización o en el
comportamiento de un servicio
Firmas observar cualquier proceso que
intente explotar los puntos
débiles de un sistema específico
cadenas de caracteres, estructuras
de memoria o bits, vectores ó
expresiones matemáticas
IDS

57
Metodología sugerida (parcial)
 Analizar logs
 Buscar archivos ocultos o inusuales
 Comprobar que binarios no han sido sustituidos
 Revisar programadores de tareas y programas que se ejecutan
 Asegurar servicios, su ejecución y cantidad
 Buscar alteraciones en cuentas, contraseñas, archivos

58
Requerimientos
 Cobertura
 Probabilidad de falsos positivos
 Probabilidad de detección
 Resistencia a ataques
 Habilidad para correlacionar eventos
 Habilidad para detectar eventos no antes vistos
 Habilidad para detectar un ataque
 Habilidad para determinar el grado de éxito de un ataque
 Capacidad para verificar NIDS

59
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP
PING NMAP"; dsize:0; itype:8; reference:arachnids,162;
classtype:attempted-recon; sid:469; rev:3;)
alert udp $EXTERNAL_NET any -> $SQL_SERVERS any (msg:"MS-
SQL probe response overflow attempt"; content:"|05|"; depth:1;
byte_test:2,>,512,1; content:"|3B|"; distance:0; isdataat:512,relative;
content:!"|3B|"; within:512; reference:bugtraq,9407;
reference:cve,2003-0903;
reference:url,www.microsoft.com/technet/security/bulletin/MS04-
003.mspx; classtype:attempted-user; sid:2329; rev:6;)
http://www.snort.org/rules/why_subscribe.html
How to decipher the Oinkcode
Ejemplos

60
IPS
 inline NIDS
 application-based firewalls/IDS
 layer seven switches
 network-based application IDSs
 deceptive applications

61
Inline Network Intrusion Detection Systems
ISS Guard
Netscreen
TippingPoint
Layer Seven Switches
Radware
Foundry
Application Firewalls/IDS
Okena
Entercept
Hybrid Switches
Appshild
Kavado
Deceptive Applications
Forescout

62
Calidad de servicio
 Aplicacions diferentes poseen requerimientos diferentes
 Aplicaciones cuantitativas
 Video streaming
 Telefonía IP
 Aplicaciones cualitativas
 Transacciones
 Cliente/servidor

63
Calidad de servicio
 Parámetros QoS:
 Bandwidth. Tasa para transporte de datos
 Latencia. Retardo al enviar datos
 Desvío (Jitter). Variación en la latencia
 Confiabilidad. Porcentaje de paquetes descartados

64
Implementaciones
 Mecanismos para provisionamiento y configuración
 Por acción de un programa administrador:
 Simple Network Management Protocol (SNMP)
 Command Line Interface (CLI).
 Por acción de cambios en la demanda de los recursos:
 Resource Reservation Protocol (RSVP, L3).

65
Implementaciones
 Mecanismos para manipulación de tráfico
 Diffserv L3
 Agrega flujos diferentes de tráfico a clases específicas de servicio
 802.1p L2
 Marcado de paquetes por prioridad
 Por flujo (RSVP)
 ATM
 Integrated Services Over Slow Links (ISSLOW)
 Políticas: Admission Control Service (ACS)

66
64 Kbps64
Kbps
128 Kbps
A

67
Sistema de acceso remoto
• Servidor que permite el ingreso de usuarios externos a una red,
a través de conexiones especiales
• Usuarios externos:
•Usuarios desde un local remoto (teletrabajadores, personas
que viajan, etc.)
•Corporaciones
• Conexiones especiales:
•Conexión telefónica dial-up
•Pools de módem
•Servidores de terminales
•Encaminamiento y capacidades para traducción de
protocolo

68
• Actúa en capa 2
• Se deriva de:
– Layer 2 Forwarding (L2F) de Cisco
– Point-to-Point Tunneling Protocol
(PPTP) de Microsoft
• Se utiliza principalmente en Internet
• Se utiliza en combinación con IPSec
Un túnel de
datos entre
dos equipos
Layer 2
Tunneling
Protocol L2TP‑
(IETF RFC 2661,
RFC 2888)
CaracterísticasProveeEste concepto

69
• Actúa en la capa 3
• Obligatorio en IPv6
• Utiliza:
–Internet key exchange (IKE)
–Encapsulating Security Payload
(ESP) (autenticación,
confidencialidad de datos,
integridad del mensaje)
Cifrado y
autenticación
para todos los
paquetes IP
IP Security –
IPSec (IETF
RFC 2401)
CaracterísticasProveeEste concepto

70

71
Red privada virtual -VPN
 Enlaza una o más empresas u organizaciones a través de la red
pública
 Utiliza protocolos estándar de comunicaciones
 Utiliza cifrado para proveer (prevenir):
 Confidencialidad (snooping)
 Autenticación (identity spoofing)
 Integridad del mensaje (alteración)
 El objeto es proveer comunicaciones seguras sobre redes
inseguras

72
Configuraciones VPN
 VPN de Servidor a Workstation (End to End):
 VPN instalado en todos los PC's
 La ruta completa desde el servidor al cliente está encriptada.
 VPN de Sitio a Sitio (Site to Site):
 VPN instalado en un Gateway de cada LAN
 El tráfico en redes públicas (entre las redes) está encriptado
 El tráfico dentro de la red está en PlainText (texto legible)
 VPN de Servidor/Workstation a Gateway (End to Gateway):
 VPN instalado en un Gateway de la red y en todas las estaciones
remotas
 El tráfico en las redes públicas está encriptado (tráfico entre la red y
las estaciones remotas)
 El tráfico en el interior de la red en PlainText (texto legible)

73
Red privada virtual

74
SSL VPN
 VPN:
 Rígido –debe instalarse o configurarse
 Curva de aprendizaje
 Consume recursos
 SSL:
 Utiliza cualquier navegador
 Posee mejor rendimiento
 Se determina la identidad del usuario remoto
 No se certifica que el dispositivo remoto sea seguro

75
SSL
explorer

76

77
Autenticación,
autorización y
accounting
(contabilización) de
usuarios remotos

78
Nombre de usuario y contraseña se
transfieren a un dispositivo NAS (Servidor
de Acceso a la Red)
– La transferencia utiliza el protocolo
PPP
– Se transfiere a un servidor RADIUS
(protocolo RADIUS)
Autentificación,
Autorización y
Accounting
(Contabilización)
Remote
Authentication
Dial-In User
Service
RADIUS (IETF‑
RFC 2139, RFC
2865)
Perfiles de usuario con atributos:
– CHECK-LIST: ciertos usuarios pueden
utilizar conexiones ISDN
– RETURN-LIST: asignar a
determinados usuarios una dirección
IP específica, establecer un tiempo
límite permitido de conexión, otros
Personalización y
control del
servicio
Atributos
RADIUS
CaracterísticaProveeEste concepto

79
• La contraseña no sólo se exige al
empezar la conexión sino también
durante la conexión
• Contraseña codificada
• Mensaje de desafío MD5
Autenticación
segura
Microsoft Challenge
Handshake
Authentication
Protocol –MSCHAP
V2 (IETF RFC 2759)
• Solicita credenciales (usuario y
contraseña)
• Credenciales se transmiten en
texto plano
Autenticación
básica
Password
Authentication
Protocol –PAP
(IETF RFC1334,
RFC 1994)

80
• Mecanismo estándar para aceptar
métodos de autenticación
adicionales junto con PPP
• Ejemplos: tarjetas de
identificación, contraseñas de un
sólo uso, autenticación por clave
pública mediante tarjetas
inteligentes, certificados, otros
• Más seguro
Autenticación
segura en VPN
Extensible
Authentication
Protocol –EAP
(IETF RFC 2284)

81
• Define paquetes, parámetros y
procedimientos de negociación
para la alta y baja de un
número determinado de
enlaces pertenecientes a un
conglomerado de enlaces
Control sobre el
número de enlaces
disponibles para
una comunicación
multi enlace
Bandwidth Allocation
Protocol BAP,‑
Bandwidth Allocation
Control Protocol –
BAPC (IETF RFC
2125)

82

REDES Y TELECOMUNICACIONES
Ing. CIP Jack Daniel Cáceres Meza

Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Viewers also liked

Viewers also liked (15)

Similar to Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN

Similar to Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN (20)

More from Jack Daniel Cáceres Meza

More from Jack Daniel Cáceres Meza (20)

Recently uploaded

Recently uploaded (10)

Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN