Desarrollo fii s3

153
-1

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
153
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Desarrollo fii s3

  1. 1. PLAN DE CAPACITACION CANAL DIRECTO FASE II Capacitación 03Concepto y Uso de FirewallsDescripción:Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada parabloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otroscriterios.Los cortafuegos pueden ser implementados en hardware o software, o una combinación deambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet noautorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets.Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, queexamina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridadespecificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zonadesmilitarizada o DMZ, en la que se ubican los servidores de la organización que debenpermanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añadeuna protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. Laseguridad informática abarca más ámbitos y más niveles de trabajo y protección.
  2. 2. Ventajas: • Establece perímetros confiables. • Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet. • Protección de información privada.- Permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tenga acceso sólo a los servicios e información que le son estrictamente necesarios. • Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad.Limitaciones:Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico.Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuegos (por usarpuertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguiráconstituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos: • Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. • El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. • El cortafuegos no puede proteger contra los ataques de ingeniería social 1. • El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. • El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.(1) En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial através de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales comoinvestigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios ensistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismocomprometido a riesgo o abusos.Políticas:Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente lafilosofía fundamental de la seguridad en la organización: • Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. • Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado.La política restrictiva es la más segura, ya que es más difícil permitir por error tráficopotencialmente peligroso, mientras que en la política permisiva es posible que no se hayacontemplado algún caso de tráfico peligroso y sea permitido por omisión.
  3. 3. Un poco de historiaEl término "firewall / fireblock" se refería originalmente una pared para confinar un incendio oriesgo potencial de incendio en un edificio.Más adelante se usa para referirse a estructuras similares, como la hoja de metal que separa elcompartimiento del motor de un vehículo o una aeronave de la cabina.La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnologíabastante nueva en cuanto a su uso global.Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados afinales de 1980, que mantenían a las redes separadas unas de otras.La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinascompatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó conuna serie de importantes violaciones de seguridad que se produjo a finales de los 80: • Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. • Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. • En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." • El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.Generaciones de CortafuegosPrimera generación – Cortafuegos de Red: filtrado de paquetesEl primer documento publicado para la tecnología firewall data de 1988, cuando el equipo deingenieros de Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidoscomo cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primerageneración de lo que se convertiría en una característica más técnica y evolucionada de laseguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban susinvestigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propiaempresa, con base en su arquitectura original de la primera generación.El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan launidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincidecon el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o serárechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo defiltrado de paquetes no presta atención a si el paquete es parte de una secuencia existente detráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenidaen el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la direcciónde destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCPy UDP comprenden la mayor parte de comunicación a través de Internet, utilizando porconvención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro depaquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresiónremota, envío y recepción de correo electrónico, transferencia de archivos…).
  4. 4. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas delmodelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capasfísicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste últimocomprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazandoel paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra elpaquete mediante un protocolo y un número de puerto base (GSS):Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso “Telnet”, bloquearáel protocolo IP para el número de puerto 23.Segunda generación - Cortafuegos de aplicaciónSon aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de uncortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (porejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar siun protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de unprotocolo de forma perjudicial.Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con uncortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo dereferencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferenciade que también podemos filtrar el contenido del paquete.Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP,TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organizaciónquiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarseel filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos deaplicación resultan más lentos que los de estado.Tercera generación – Cortafuegos de estadoDurante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, JanardanSharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Estatercera generación de cortafuegos tiene en cuenta además la colocación de cada paqueteindividual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como lainspección de estado de paquetes, ya que mantiene registros de todas las conexiones quepasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de unanueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo decortafuegos puede ayudar a prevenir ataques contra conexiones en curso o ciertos ataques dedenegación de servicio.
  5. 5. Seguridad en Redes GSM Un “hacker” descifra el código de cifrado del sistema GSM • Su objetivo es advertir de la debilidad en las comunicaciones móviles … • El consorcio de la industria que escribió el código dice que es ilegal …Europa Press | Berlínmartes 29/12/2009 14:47 horasKarsten Nohl, un ingeniero alemán de 28 años, ha conseguido descifrar con éxito el código deseguridad que encripta el 80% de las llamadas realizadas desde cualquier teléfono móvildel planeta. Se trata de la red GSM.Nohl afirma que su objetivo es advertir de la debilidad en las comunicaciones móviles,aunque expertos en seguridad advierten de que cualquier organización criminal podráinterceptar llamadas en cuestión de minutos al hacerse público el código."Esto demuestra que la seguridad actual del estándar GSM es inadecuada. Con esta acciónestamos intentando empujar a los operadores a que adopten mejores medidas deseguridad para las llamadas efectuadas desde teléfonos móviles", declaró Kohl durante elChaos Communication Congress, una conferencia para hackers celebrada en Berlín.…http://www.elmundo.es/elmundo/2009/12/29/navegante/1262094278.htmlEn 1982 se creó un nuevo grupo de estandarización dentro del CEPT (Conférence Européenede Postes et Télécommunications), cuya tarea sería la especificación de un sistema europeoúnico de radiocomunicaciones en la banda de 900MHz. Tres fueron los objetivosfundamentales que empujaron a emprender esta tarea: - Disponer de un sistema de comunicaciones móviles común a toda Europa permitiendo la movilidad internacional y la reducción de costos gracias a la gran extensión del mercado. - Superar la capacidad de los sistemas móviles precedentes desbordados por una demanda infravalorada. - Aprovechar el estado del arte de la electrónica digital.Aparte de estos tres grandes objetivos, las principales ventajas que presenta GSM sobre lossistemas analógicos de primera generación son fundamentalmente las siguientes: - Disminución de costos de fabricación por un mayor tamaño del mercado. - Integración de voz y datos gracias a la digitalización de las transmisiones de radio. - Mejora de parámetros, tales como calidad de voz y handover. - Roaming Internacional automático
  6. 6. - Acceso por tarjeta inteligente. Permite la utilización de cualquier terminal por parte de cualquier usuario introduciendo el concepto de movilidad personal. - Compatibilidad RDSI - Menor consumo del terminal. Permite utilizar terminales más ligeros.Los servicios de datos son una parte integral del sistema por el carácter digital del enlace deradio. Esto permite garantizar confidencialidad de la información del usuario mediante cifradoen el enlace de radio. Se garantiza el control de acceso a los servicios mediante el uso tambiénde técnicas criptográficas y se permite independizar el terminal y la suscripción del usuariogracias a la utilización de un módulo de personalización (SIM), que puede ser extraíble en laforma de tarjeta inteligente estándar.Las funcionalidades de seguridad presentes en un sistema GSM se pueden clasificar en tresapartados:Autentificación del usuario para prevenir el acceso de usuarios no registrados.Protección de la identidad del usuario para imposibilitar el seguimiento de su localización porparte de terceros.Cifrado en el radioenlace de toda la información del usuario, y de algunos elementos deseñalización, para prevenir escuchas por parte de un tercero.IdentidadAl abonado se le identifica de forma única utilizando la Identidad de Abonado MóvilInternacional (IMSI). Esta información, junto con la clave individual de autenticación deabonado (Ki) constituyen las "credenciales de identificación" sensibles.El diseño de los esquemas de cifrado y autenticación es tal que esta información sensiblenunca se transmite por el canal de radio. En su lugar se utiliza un mecanismo de "desafio-respuesta" para realizar la autenticación. Las conversaciones reales se cifran utilizando unaclave temporal de cifrado generada aleatoriamente (Kc). La Estación Móvil (MS) se identificapor medio de la Identidad Temporal de Abonado Móvil (TMSI) que emite la red y puedecambiarse periódicamente (por ejemplo durante momentos de no intervención "hand-offs") paramayor seguridad. Los mecanismos de seguridad de GSM se implementan en tres elementosdiferentes del sistema: 1. El Modulo de Identidad del Abonado (SIM) 2. El Aparato portátil GSM también denominado Estación Móvil (MS) 3. La Red GSMLa SIM contiene la IMSI, la clave individual de autenticación del abonado (Ki), el algoritmo degeneración de claves de cifrado (A8), el algoritmo de autenticación (A3) y el Número deIdentificación Personal (PIN).El aparato GSM (portátil) contiene el algoritmo de cifrado (A5).Los algoritmos de cifrado (A3, A5 y A8) también están presentes en la red GSM.El Centro de Autenticación (AUC), parte del Subsistema de Operación y Mantenimiento de lared GSM consta de una Base de Datos de Información de identificación y autenticación deabonados. Esta información consta de la IMSI, de la TMSI, de la Identidad de Área deLocalización (LAI) y de la clave individual de autenticación de abonado para cada usuario. Paraque funcionen los mecanismos de autenticación y confidencialidad se requieren tres elementos: • La SIM • El celular GSM
  7. 7. • La red GSMEsta distribución de credenciales de seguridad y de algoritmos de cifrado proporciona unamedida adicional de seguridad para asegurar la privacidad de las conversaciones telefónicascelulares y la prevención de fraude en la telefonía celular.Dentro de la red GSM, la información de seguridad se distribuye entre el AUC (AuthenticationCenter), el Registro de Localización Domestico (HLR) y el Registro de Localización delVisitante (VLR).El Centro de Autenticación (AUC) es responsable de generar los conjuntos de RAND (Numeroaleatorio), SRES (Respuesta Firmada) y Kc (clave de cifrado temporal generadaaleatoriamente) que se encuentran almacenados en el HLR y en el VLR para su utilizaciónposterior en los procesos de autenticación y cifrado.AutentificaciónLa red GSM autentifica la identidad del abonado utilizando un mecanismo de "desafio-respuesta". Se envía a la estación móvil un número aleatorio de 128 bits (RAND). La estaciónmóvil (MS) calcula la respuesta firmada que es de 32 bits (SRES) basándose en el cifrado delnúmero aleatorio (RAND) con el algoritmo de autenticación (A3) utilizando la clave individual deautenticación de abonado (Ki).Al recibir del abonado la respuesta firmada, la red GSM repite el cálculo para verificar laidentidad del abonado. La clave individual de autenticación de abonado (Ki) nunca se transmitesobre el canal de radio; está presente en el SIM del abonado, así como en las Bases de Datosdel AUC, HLR y VLR.Si el RAND recibido coincide con el valor calculado, la estación móvil ha sido autentificada conéxito y puede continuar. Si los valores no coinciden la conexión se termina y se indica un fallode autenticación a la estación móvil. El cálculo de la respuesta firmada se realiza dentro delSIM. Esto proporciona mayor seguridad, debido a que la información del abonado confidencialcomo la IMSI o la clave individual de autenticación del abonado (Ki) nunca salen del SIMdurante el proceso de autenticación.
  8. 8. ConfidencialidadToda SIM contiene el algoritmo de generación de claves de cifrado (A8) que se utiliza paraproducir la clave de cifrado (Kc) que es de 64 bits.La clave de cifrado se calcula aplicando el mismo número aleatorio (RAND) utilizado en elproceso de autenticación con el algoritmo de generación de la clave de cifrado (A8) con laclave individual de autenticación de abonado (Ki).La clave de cifrado (Kc) se utiliza para cifrar y descifrar los datos transmitidos entre la estaciónmóvil y la estación base. Se proporciona un nivel adicional de seguridad al haber medios paracambiar la clave de cifrado, haciendo al sistema más resistente contra posibles "escuchasilegales".La clave de cifrado puede cambiarse a intervalos regulares según lo requieran lasconsideraciones de seguridad y diseño de red. De una manera similar al proceso deautenticación, el cálculo de la clave de cifrado (Kc) tiene lugar internamente dentro del SIM. Portanto, la información sensible como la clave individual de autenticación de abonado (Ki) nuncala revela la SIM. Las comunicaciones de datos y voz cifradas entre la estación móvil y la red serealizan utilizando el algoritmo de cifrado A5.La comunicación cifrada se inicia por un comando de "petición de modo de cifrado" desde lared GSM. Al recibir este comando, la estación móvil empieza el cifrado y descifrado de datosutilizando el algoritmo de cifrado (A5) y la clave de cifrado (Kc).En un principio el algoritmo A5 tuvo una longitud de clave "efectiva" de 40 bits, posteriormente64 bits y en un futuro próximo y nada lejano 128 bits. Los algoritmos A3 y A8 de GSM sonfunciones unidireccionales "hash" dependientes de la clave y se implementan como un únicoalgoritmo denominado COMP128.

×