Aspectos avanzados en_seguridad_en_redes_modulospre
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Aspectos avanzados en_seguridad_en_redes_modulospre

  • 508 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
508
On Slideshare
508
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
32
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Software libreJordi Herrera Joancomartí (coord.) Joaquín García Alfaro Xavier Perramón Tornil XP04/90789/00892 Aspectos avanzados de seguridad en redes UFormación de Posgrado
  • 2. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresIntroducci´ n oEn esta asignatura se presenta la problem´ tica de la seguridad en las redes de acomputadores y, m´ s concretamente, en las redes TCP/IP. aLa estructuraci´ n sigue el siguiente modelo. En primer lugar, se presenta la oproblem´ tica de la seguridad en las redes TCP/IP. Cabe destacar que esta asig- anatura se centra en la problem´ tica de la seguridad en las redes y, por lo tanto aalgunos temas de seguridad que hacen referencia a procesos m´ s espec´ficos a ıde los propios sistemas inform´ ticos s´ lo los estudiaremos sumariamente co- a omo consecuencia de la problem´ tica de la seguridad en las redes. aUna vez hayamos visto cu´ les son los eventuales problemas de seguridad en aeste tipo de redes, nos centraremos en los mecanismos de prevenci´ n que oexisten para a intentar minimizar la realizaci´ n de los ataques descritos en el oprimer m´ dulo. Veremos que, fundamentalmente, las t´ cnicas de prevenci´ n o e ose basan en el filtraje de informaci´ n. o ´Posteriormente pondremos enfasis en las t´ cnicas espec´ficas de protecci´ n e ı oexistentes. En particular, introduciremos las nociones b´ sicas de criptograf´a a ıque nos permitir´ n entender el funcionamiento de distintos mecanismos y apli- acaciones que permiten protegerse frente los ataques. En concreto nos cen-traremos en los mecanismos de autentificaci´ n y en la fiabilidad que nos pro- oporcionan los diferentes tipos, veremos qu´ mecanismos de protecci´ n existen e oa nivel de red y a nivel de transporte y veremos c´ mo podemos crear redes pri- ovadas virtuales. Por otro lado, tambi´ n veremos c´ mo funcionan algunas apli- e ocaciones seguras, como el protocolo SSH o est´ ndares de correo electr´ nico a oseguro.Finalmente, y partiendo de la base que no todos los sistemas de prevenci´ n oy protecci´ n de las redes TCP/IP son infalibles, estudiaremos los diferentes omecanismos de detecci´ n de intrusos que existen y cu´ les son sus arquitecturas o ay funcionalidades.
  • 3. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 4 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresObjetivosGlobalmente, los objetivos b´ sicos que se deben alcanzar son los siguientes: a1. Entender los distintos tipos de vulnerabilidades que presentan las redes TCP/IP.2. Ver qu´ t´ cnicas de prevenci´ n existen contra los ataques m´ s frecuentes. e e o a3. Alcanzar unos conocimientos b´ sicos del funcionamiento de las herramien- a tas criptogr´ ficas m´ s utilizadas. a a4. Conocer los sistemas de autentificaci´ n m´ s importantes, identificando sus o a caracter´sticas. ı5. Ver diferentes propuestas existentes para ofrecer seguridad tanto a nivel de red, de transporte o de aplicaci´ n. o6. Conocer los diferentes sistemas de detecci´ n de intrusos. o
  • 4. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 5 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresContenidosM´ dulo did´ ctico 1 o aAtaques contra les redes TCP/IP1. Seguridad en redes TCP/IP2. Actividades previas a la realizaci´ n de un ataque o3. Escuchas de red4. Fragmentaci´ n IP o5. Ataques de denegaci´ n de servicio o6. Deficiencias de programaci´ n oM´ dulo did´ ctico 2 o aMecanismos de prevenci´ n o1. Sistemas cortafuegos2. Construcci´ n de sistemas cortafuegos o3. Zones desmilitarizadas4. Caracter´sticas adicionales de los sistemas cortafuegos ıM´ dulo did´ ctico 3 o aMecanismos de protecci´ n o1. Conceptos b´ sicos de criptograf´a a ı2. Sistemas de autentificaci´ n o3. Protecci´ n a nivel de red: IPsec o4. Protecci´ n a nivel de transporte: SSL/TLS/WTLS o5. Redes privadas virtuales (VPN)
  • 5. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 6 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresM´ dulo did´ ctico 4 o aAplicaciones seguras1. El protocolo SSH2. Correo electr´ nico seguro oM´ dulo did´ ctico 5 o aMecanismos para la detecci´ n de ataques e intrusiones o1. Necessidad de mecanismos adicionales en la prevenci´ n y protecci´ n o o2. Sistemas de detecci´ n de intrusos o3. Esc´ ners de vulnerabilidades a4. Sistemas de decepci´ n o5. Prevenci´ n de intrusos o6. Detecci´ n de ataques distribuidos oApéndiceGNU Free Documentation License
  • 6. Ataques contra redesTCP/IPJoaqu´n Garc´a Alfaro ı ı
  • 7. © FUOC • P03/75070/02121c FUOC· XP04/90789/00892 Ataques contra redes TCP/IP´IndiceIntroducci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 3Objectivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.1. Seguridad en redes TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.2. Actividades previas a la realizaci´ n de un ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . o 10 1.2.1. Utilizaci´ n de herramientas de administraci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . o o 10 1.2.2. B´ squeda de huellas identificativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . u 14 1.2.3. Exploraci´ n de puertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 161.3. Escuchas de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.3.1. Desactivaci´ n de filtro MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 22 1.3.2. Suplantaci´ n de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 23 1.3.3. Herramientas disponibles para realizar sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . . 251.4. Fragmentaci´ n IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 26 1.4.1. Fragmentaci´ n en redes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 27 1.4.2. Fragmentaci´ n para emmascaramiento de datagramas IP . . . . . . . . . . . . . . . . . o 321.5. Ataques de denegaci´ n de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 34 1.5.1. IP Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 1.5.2. Smurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 1.5.3. TCP/SYN Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 1.5.4. Teardrop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 1.5.5. Snork . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 1.5.6. Ping of death . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 1.5.7. Ataques distribuidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421.6. Deficiencias de programaci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 47 1.6.1. Desbordamiento de buffer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 1.6.2. Cadenas de formato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Bibliograf´a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 62
  • 8. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 3 Ataques contra redes TCP/IPIntroducci´ n oDurante los primeros a˜ os de internet, los ataques a sistemas inform´ ticos requer´an pocos n a ıconocimientos t´ cnicos. Por un lado, los ataques realizados desde el interior de la red se ebasaban en la alteraci´ n de permisos para modificar la informaci´ n del sistema. Por el o ocontrario, los ataques externos se produc´an gracias al conocimiento de las contrase˜ as ı nnecesarias para acceder a los equipos de la red.Con el paso de los a˜ os se han ido desarrollando nuevos ataques cada vez m´ s sofisticados n apara explotar vulnerabilidades tanto en el dise˜ o de las redes TCP/IP como en la confi- nguraci´ n y operaci´ n de los sistemas inform´ ticos que conforman las redes conectadas a o o ainternet. Estos nuevos m´ todos de ataque se han ido automatizando, por lo que en muchos ecasos s´ lo se necesita un conocimiento t´ cnico muy b´ sico para realizarlos. Cualquier o e ausuario con una conexi´ n a internet tiene acceso hoy en d´a a numerosas aplicaciones para o ırealizar estos ataques y las instrucciones necesarias para ejecutarlos.En la mayor parte de la bibliograf´a relacionada con la seguridad en redes inform´ ticas ı apodemos encontrar clasificadas las tres generaciones de ataques siguientes:Primera generaci´ n: ataques f´sicos. Encontramos aqu´ ataques que se centran en com- o ı ıponentes electr´ nicos, como podr´an ser los propios ordenadores, los cables o los disposi- o ıtivos de red. Actualmente se conocen soluciones para estos ataques, utilizando protocolosdistribuidos y de redundancia para conseguir una tolerancia a fallos aceptable.Segunda generaci´ n: ataques sint´ cticos.Se trata de ataques contra la l´ gica operativa o a ode los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en elsoftware, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globa-les para contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cadavez m´ s eficaces. aTercera generaci´ n: ataques sem´ nticos.Finalmente, podemos hablar de aquellos ata- o aques que se aprovechan de la confianza de los usuarios en la informaci´ n. Este tipo de oataques pueden ir desde la colocaci´ n de informaci´ n falsa en boletines informativos y o ocorreos electr´ nicos hasta la modificaci´ n del contenido de los datos en servicios de con- o ofianza, como, por ejemplo, la manipulaci´ n de bases de datos con informaci´ n p´ blica, o o usistemas de informaci´ n burs´ til, sistemas de control de tr´ fico a´ reo, etc. o a a eAntes de pasar a hablar detalladamente de como evitar estos ataques desde un punto devista m´ s t´ cnico, introduciremos en este m´ dulo algunas de las deficiencias t´picas de a e o ılos protocolos TCP/IP y analizaremos algunos de los ataques m´ s conocidos contra esta aarquitectura.
  • 9. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 4 Ataques contra redes TCP/IPObjectivosEn este m´ dulo did´ ctico el estudiante encontrar´ los recursos necesarios para alcanzar los o a asiguientes objetivos:1) Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplosde vulnerabilidades en sus protocolos b´ sicos. a2) Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IPpara conseguir sus objetivos.3) Aprender c´ mo funcionan las t´ cnicas de sniffing en redes TCP/IP para comprender el o epeligro que comportan en la seguridad de una red local.4) Estudiar con m´ s detalle algunos ataques concretos contra redes TCP/IP, como pueden aser los ataques de denegaci´ n de servicio y las deficiencias de programaci´ n. o o
  • 10. Mecanismos deprevenci´ n oJoaqu´n Garc´a Alfaro ı ı
  • 11. © FUOC • P03/75070/02122c FUOC· XP04/90789/00892 ´ Mecanismos de prevencion´IndiceIntroducci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 3Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.1. Sistemas cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2. Construcci´ n de sistemas cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 6 2.2.1. Encaminadores con filtrado de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2.2. Pasarelas a nivel de aplicaci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 11 2.2.3. Pasarelas a nivel de circuito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.3. Zonas desmilitarizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.4. Caracter´sticas adicionales de los sistemas cortafuegos . . . . . . . . . . . . . . . . . . . . . ı 19Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Ejercicios de autoevaluaci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 22Soluciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Bibliograf´a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 26
  • 12. FUOC · P03/75070/02122© FUOC • XP04/90789/00892 3 Mecanismos de prevenci´ n oIntroducci´ n oCuando un equipo se conecta a una red inform´ tica, se pueden identificar cualquiera de las a ´tres areas de riesgo siguientes:Primero, se incrementa el n´ mero de puntos que se pueden utilizar como origen para reali- uzar un ataque contra cualquier componente de la red. En un sistema aislado (sin conexi´ n), oun requisito necesario para que sea atacado es forzosamente la existencia de un accesof´sico hacia el equipo. Pero en el caso de un sistema en red, cada uno de los equipos que ıpueda enviar informaci´ n hacia la v´ctima podr´ ser utilizado por un posible atacante. o ı aAlgunos servicios (como, por ejemplo Web y DNS) necesitan permanecer p´ blicamente uabiertos, de forma que cualquier equipo conectado a internet podr´a ser el origen de una ac- ıtividad maliciosa contra los servidores de estos servicios. Esto hace que sea muy probablela existencia de ataques regulares contra dichos sistemas. ´La segunda area de riesgo abarca la expansi´ n del per´metro f´sico del sistema inform´ tico o ı ı aal que el equipo acaba de ser conectado. Cuando la m´ quina est´ aislada, cualquier ac- a atividad se puede considerar como interna en el equipo (y por lo tanto, de confianza). Elprocesador trabaja con los datos que encuentra en la memoria, que al mismo tiempo hansido cargados desde un medio de almacenamiento secundario. Estos datos est´ n realmente abien protegidos contra actos de modificaci´ n, eliminaci´ n, observaci´ n maliciosa, . . . al o o oser transferidos entre diferentes componentes de confianza.Pero esta premisa no es cierta cuando los datos se transfieren a trav´ s de una red. La in- eformaci´ n transmitida por el medio de comunicaci´ n es retransmitida por dispositivos que o oest´ n totalmente fuera de control del receptor. La informaci´ n podria ser le´da, almace- a o ınada, modificada y, posteriormente, retransmitida al receptor leg´timo. En grandes redes, ıy en especial internet, no es trivial la autenticaci´ n del origen que se presenta como el de oemisor de un mensaje. ´ ´Por ultimo, la tercera area de riesgo se debe al aumento en el n´ mero de servicios de uautenticaci´ n (generalmente, un servicio de login-password) que un sistema conectado a ouna red deber´ ofrecer, respecto a un sistema aislado. Estos servicios no dejan de ser asimples aplicaciones (con posibles deficiencias de programaci´ n o de dise˜ o) que protegen o nel acceso a los recursos de los equipos del sistema. Una vulnerabilidad en algunos de estosservicios podr´a comportar el compromiso del sistema al completo. ıLa prevenci´ n de ataques supondr´ la suma de todos aquellos mecanismos de seguridad o a ´que proporcionen un primer nivel de defensa y tratar´ n de evitar el exito de los ataques adirigidos contra la red que est´ bajo su protecci´ n. a o
  • 13. FUOC · P03/75070/02122© FUOC • XP04/90789/00892 4 Mecanismos de prevenci´ n oObjetivosLos objetivos que se deben alcanzar con el estudio de este m´ dulo son: o1) Entender el funcionamiento de las tecnolog´as cortafuegos. ı2) Ver los distintos m´ todos existentes para el filtrado de tr´ fico TCP/IP. e a3) Comprender las distintas posibilidades de configuraci´ n de los sistemas cortafuegos. o
  • 14. ·© FUOC • XP04/90789/00892 FUOC P03/75070/02123 Mecanismos de protección 5.1 Definición y tipos de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5.2 Configuraciones y protocolos utilizados en VPN . . . . . . . . . . . . . . 72Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Ejercicios de autoevaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Soluciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
  • 15. ·© FUOC • XP04/90789/00892 FUOC P03/75070/02123 5 Mecanismos de protecciónIntroducciónPara proteger las redes de comunicaciones, la criptografía es la herramientaque nos permite evitar que alguien intercepte, manipule o falsifique los datostransmitidos. Dedicaremos la primera parte de este módulo a introducir losconceptos de criptografía necesarios para entender cómo se aplica a la protec-ción de las comunicaciones.La finalidad básica de la criptografía es el envío de información secreta. Siaplicamos una transformación, conocida como cifrado, a la información quequeremos mantener en secreto, aunque un adversario consiga ver qué datosestamos enviando le serán completamente ininteligibles. Sólo el destinatariolegítimo será capaz de realizar la transformación inversa y recuperar los datosoriginales.Pero más allá de mantener la información en secreto, existen otros serviciosque pueden ser igualmente necesarios, como, por ejemplo, la autenticación.Debemos evitar, de esta forma, que después de tomar todas las medidas nece-sarias para que sólo el destinatario final pueda leer la información, resulte queeste destinatario sea un impostor que haya conseguido hacerse pasar por elauténtico destinatario. En la segunda parte del módulo veremos algunos sis-temas para garantizar la autenticidad en las comunicaciones, la mayoría deellas basadas en técnicas criptográficas.En el resto de este módulo didáctico estudiaremos ejemplos de protocolos decomunicación que, aplicado los mecanismos anteriores, permiten proteger lainformación que se transmite entre ordenadores. Esta protección se puedeobtener en distintos niveles de la arquitectura de comunicaciones. A nivelred, el mecanismo principal en un entorno de interconexión basado en IP esel conjunto de protocolos conocido como IPsec.Alternativamente, se puede implementar la protección a nivel de transporte,aprovechando así la infraestructura IP existente, principalmente los encami-nadores o routers. Como ejemplo de protección a nivel de transporte veremosla familia de protocolos SSL/TLS/WTLS.Para finalizar el módulo, introduciremos la tecnología de redes privadas vir-tuales o VPN, que permite utilizar una red pública ampliamente extendidacomo es Internet para comunicaciones seguras, como si fuera una red privadadedicada.
  • 16. ·© FUOC • XP04/90789/00892 FUOC P03/75070/02123 6 Mecanismos de protecciónObjetivosLos conceptos presentados en el presente módulo didáctico deben permitir alestudiante alcanzar los siguientes objetivos:1. Saber qué funciones nos ofrece la criptografía, tanto las técnicas de clave simétrica como las de clave pública.2. Conocer los distintos algoritmos de cifrado, integridad y autenticación disponibles y sus posibles usos.3. Conocer el uso de los certificados X.509 y las listas de revocación, su estructura y la utilidad de los distintos campos.4. Reconocer la necesidad de los sistemas de autentificación, qué técnicas concretas utilizan, y cómo estas técnicas permiten contrarrestar los inten- tos de suplantación.5. Comprender las posibilidades de protección de los protocolos de comuni- cación a distintos niveles, y en particular, el nivel de red y el de transporte.6. Conocer los protocolos que forman la arquitectura IPsec, y qué protec- ciones ofrece cada uno de ellos.7. Entender el mecanismo general de funcionamiento de los protocolos de transporte seguro SSL/TLS, y cómo estos protocolos pueden ser utiliza- dos por otros niveles superiores, como HTTP o TELNET.8. Introducir la tecnología de las redes privadas virtuales, y cómo se pueden usar para conectar intranets de forma segura mediante una red de acceso público, como es el caso de Internet.
  • 17. Aplicaciones segurasXavier Perramon
  • 18. ·© FUOC • XP04/90789/00892 FUOC P03/75070/02124 Aplicaciones segurasÍndiceIntroducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51. El protocolo SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.1 Características del protocolo SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.2 La capa de transporte SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.2.1 El protocolo de paquetes SSH . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.2.2 El protocolo de capa de transporte SSH . . . . . . . . . . . . . . . . 11 1.2.3 El protocolo de autenticación de usuario . . . . . . . . . . . . . . . 13 1.2.4 El protocolo de conexión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.3 Ataques contra el protocolo SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.4 Aplicaciones que utilizan el protocolo SSH . . . . . . . . . . . . . . . . . . . 192. Correo electrónico seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.1 Seguridad en el correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2.1.1 Confidencialidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2.1.2 Autenticación de mensaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.1.3 Compatibilidad con los sistemas de correo no seguro . . . 26 2.2 S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 2.2.1 El formato PKCS #7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.2.2 Formato de los mensajes S/MIME . . . . . . . . . . . . . . . . . . . . . 33 2.2.3 Distribución de claves con S/MIME . . . . . . . . . . . . . . . . . . . 37 2.3 PGP y OpenPGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 2.3.1 Formato de los mensajes PGP . . . . . . . . . . . . . . . . . . . . . . . . . 40 2.3.2 Distribución de claves PGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 2.3.3 El proceso de certificación PGP . . . . . . . . . . . . . . . . . . . . . . . 45 2.3.4 Integración de PGP con el correo electrónico . . . . . . . . . . . 46Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Ejercicios de autoevaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Solucionario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
  • 19. ·© FUOC • XP04/90789/00892 FUOC P03/75070/02124 4 Aplicaciones segurasIntroducciónEn este módulo se describen aplicaciones que utilizan técnicas de seguridaden las comunicaciones para proteger los datos intercambiados.Un ejemplo de aplicaciones que hay que proteger son las que permiten es-tablecer sesiones de trabajo interactivas con un servidor remoto. En la primeraparte del módulo veremos una aplicación de este tipo, llamada SSH, que de-fine su propio protocolo para que los datos de la aplicación se transmitan cifra-dos. El mismo protocolo proporciona también mecanismos de autenticacióndel servidor frente al usuario, y del usuario frente al servidor. Como vere-mos, el protocolo SSH se puede utilizar para otras aplicaciones aparte de lassesiones interactivas, ya que permite el encapsulamiento de conexiones TCP acualquier puerto dentro de una conexión SSH.La segunda parte de este módulo la dedicaremos a otra de las principales apli-caciones que suele ser necesario proteger: el correo electrónico. Con losmecanismos de protección adecuados se puede garantizar la confidencialidad,es decir, que nadie más que el destinatario o destinatarios legítimos puedan verel contenido de los mensajes, y la autenticidad, es decir que los destinatariospuedan comprobar que nadie ha falsificado un mensaje. Los sistemas actualesde correo electrónico normalmente utilizan las firmas digitales para propor-cionar el servicio de autenticación de mensaje.Una particularidad del correo electrónico seguro respecto a otras aplicacionescomo SSH es que la protección se realiza preferentemente sobre los mensajesenviados, más que sobre los protocolos de comunicación utilizados. Esto esasí porque la confidencialidad y la autenticidad se tiene que garantizar no sólodurante la transmisión de los mensajes, sino también en cualquier otro mo-mento posterior, ya que el destinatario puede guardar los mensajes que recibey volverlos a leer cuando le convenga.En este módulo veremos dos de los principales sistemas utilizados actualmentepara proteger los mensajes de correo electrónico, S/MIME y PGP.
  • 20. ·© FUOC • XP04/90789/00892 FUOC P03/75070/02124 5 Aplicaciones segurasObjetivosCon los materiales asociados a este módulo didáctico alcanzareis los siguien-tes objetivos:1. Conocer el mecanismo general de funcionamiento del protocolo SSH y las principales aplicaciones que lo utilizan.2. Comprender las funciones de seguridad que pueden proporcionar los sis- temas de correo electrónico seguro y los mecanismos para alcanzarlas.3. Identificar el estándar S/MIME como aplicación de la especificación MIME al correo seguro, y conocer el uso que se hace del estándar PKCS #7 y de los certificados digitales X.509.4. Conocer el método de representación de información segura en PGP y el modelo de confianza mutua del sistema PGP.
  • 21. Mecanismos para ladetecci´ n de ataques oe intrusionesSistemas de detecci´ n o
  • 22. © FUOC • XP04/90789/00892 ´ Mecanismos para la deteccion de ataques e intrusiones´IndiceIntroducci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 3Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45.1. Necesidad de mecanismos adicionales en la prevenci´ n y protecci´ n . . . . . . . . o o 55.2. Sistemas de detecci´ n de intrusos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 9 5.2.1. Antecedentes de los sistemas de detecci´ n de intrusos . . . . . . . . . . . . . . . . . . . . o 10 5.2.2. Arquitectura general de un sistema de detecci´ n de intrusiones . . . . . . . . . . . o 14 5.2.3. Recolectores de informaci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 16 5.2.4. Procesadores de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 5.2.5. Unidades de respuesta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 5.2.6. Elementos de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235.3. Esc´ ners de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 24 5.3.1. Esc´ ners basados en m´ quina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a a 25 5.3.2. Esc´ ners basados en red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 275.4. Sistemas de decepci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 29 5.4.1. Equipos de decepci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 29 5.4.2. Celdas de aislamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 5.4.3. Redes de decepci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 325.5. Prevenci´ n de intrusos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 34 5.5.1. Sistemas de detecci´ n en l´nea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o ı 35 5.5.2. Conmutadores de nivel siete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5.5.3. Sistemas cortafuegos a nivel de aplicaci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 38 5.5.4. Conmutadores h´bridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 395.6. Detecci´ n de ataques distribuidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 40 5.6.1. Esquemas tradicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 5.6.2. An´ lisis descentralizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 42Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Bibliograf´a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 47
  • 23. © FUOC • XP04/90789/00892 3 Mecanismos para la detecci´ n de ataques e intrusiones oIntroducci´ n oLas redes de ordenadores se encuentran expuestas a ataques inform´ ticos con tanta fre- acuencia que es necesario imponer una gran cantidad de requisitos de seguridad para laprotecci´ n de sus recursos. oAunque las deficiencias de estos sistemas se pueden comprobar mediante herramientasconvencionales, no siempre son corregidas. En general, estas debilidades pueden provocarun agujero en la seguridad de la red y facilitar entradas ilegales en el sistema.La mayor´a de las organizaciones disponen actualmente de mecanismos de prevenci´ n y ı ode mecanismos de protecci´ n de los datos integrados en sus redes. Sin embargo, aunque oestos mecanismos se deben considerar imprescindibles, hay que estudiar c´ mo continuar oaumentando la seguridad asumida por la organizaci´ n. o ı ´As´, un nivel de seguridad unicamente perimetral (basado tan solo en la integraci´ n en la ored de sistemas cortafuegos y otros mecanismos de prevenci´ n) no deber´a ser suficiente. o ıDebemos pensar que no todos los accesos a la red pasan por el cortafuegos, y que notodas las amenazas son originadas en la zona externa del cortafuegos. Por otra parte, lossistemas cortafuegos, como el resto de elementos de la red, pueden ser objeto de ataques eintrusiones.Una buena forma de mejorar la seguridad de la red pasa por la instalaci´ n de mecanis- omos de detecci´ n, capaces de avisar al administrador de la red en el momento en que se oproduzcan estos ataques a la seguridad de la red.Una analog´a que ayuda a entender la necesidad de incorporar estos elementos podr´a ser ı ıla comparaci´ n entre la seguridad de una red inform´ tica y la seguridad de un edificio: las o apuertas de entrada ejercen un primer nivel de control de acceso, pero normalmente no nosquedamos aqu´; instalaremos detectores de movimiento o c´ maras de vigilancia en puntos ı aclaves del edificio para detectar la existencia de personas no autorizadas, o que hacen unmal uso de los recursos, poniendo en peligro la seguridad. Adem´ s, existir´ n vigilantes a ade seguridad, libros de registro en los que se apuntar´ a todo el personal que accede a aun determinado departamento que consideramos cr´tico, etc. Toda esta informaci´ n se ı oprocesa desde una oficina de control de seguridad donde se supervisa el registro de lasc´ maras y se llevan los libros de registro. aTodos estos elementos, proyectados en el mundo digital, configuran lo que se conoce en el´ambito de la seguridad de redes inform´ ticas como mecanismos de detecci´ n. a o