Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Manuel Carrasco Moñino




                    Seguridad en redes de
                            computadores
            ...
Seguridad en
Redes de
Computadores
                                                     Seguridad
Necesidad de seguridad

...
Seguridad en
Redes de
Computadores
                                                              Seguridad
Necesidad de se...
Seguridad en
Redes de
Computadores
                                                                       Seguridad
Políti...
Seguridad en
Redes de
Computadores
                                                                          Seguridad
Pol...
Seguridad en
Redes de
Computadores
                                                                                   Segu...
Seguridad en
Redes de
Computadores
                                                                           Seguridad
Po...
Seguridad en
Redes de
Computadores
                                                     Seguridad
Políticas de seguridad

...
Seguridad en
Redes de
Computadores
                                                                    FIREWALLS
Función d...
Seguridad en
Redes de
Computadores
                                                         FIREWALLS
Tipos de firewalls
 ...
Seguridad en
Redes de
Computadores
                                                FIREWALLS
Packet filtering firewalls

 ...
Seguridad en
Redes de
Computadores
                                                  FIREWALLS
Proxy firewalls

          ...
Seguridad en
Redes de
Computadores
                                                                   FIREWALLS
Implementa...
Seguridad en
Redes de
Computadores
                                           FIREWALLS
Implementaciones reales
          ...
Seguridad en
Redes de
Computadores
                                                   FIREWALLS
Implementaciones reales
  ...
Seguridad en
Redes de
Computadores
                                                                                   FIRE...
Seguridad en
Redes de
Computadores
                                                           FIREWALLS
Implementaciones r...
Seguridad en
Redes de
Computadores
                 SISTEMAS DE AUTENTIFICACIÓN
Sistemas de autentificación

             ...
Seguridad en
Redes de
Computadores
                 SISTEMAS DE AUTENTIFICACIÓN
Sistemas de autentificación

             ...
Seguridad en
Redes de
Computadores
                 SISTEMAS DE AUTENTIFICACIÓN
Administración de password
             La...
Seguridad en
Redes de
Computadores
                         SISTEMAS DE ENCRIPTACIÓN
Sistemas de encriptación

           ...
Seguridad en
Redes de
Computadores
                         SISTEMAS DE ENCRIPTACIÓN
Sistemas de encriptación

           ...
Seguridad en
Redes de
Computadores
                         SISTEMAS DE ENCRIPTACIÓN
CLAVE PRIVADA

             Utiliza a...
Seguridad en
Redes de
Computadores
                         SISTEMAS DE ENCRIPTACIÓN
CLAVE PÚBLICA
             Utiliza al...
Seguridad en
Redes de
Computadores
                         SISTEMAS DE ENCRIPTACIÓN
CLAVE PÚBLICA
             Proceso de...
Seguridad en
Redes de
Computadores
                         SISTEMAS DE ENCRIPTACIÓN
PROTOCOLOS SEGUROS I
             Pro...
Seguridad en
Redes de
Computadores
                         SISTEMAS DE ENCRIPTACIÓN
SSL
             SSL es una capa de s...
Upcoming SlideShare
Loading in …5
×

Seguridad en redes de computadores

20,044 views

Published on

  • Be the first to comment

Seguridad en redes de computadores

  1. 1. Manuel Carrasco Moñino Seguridad en redes de computadores UAH Ciclos de conferencias El futuro está en las aulas Abril-2003 manolo@hotelsearch.com
  2. 2. Seguridad en Redes de Computadores Seguridad Necesidad de seguridad La seguridad es una preocupación importante en las empresas. Controles de acceso, credenciales, procedimientos, guardias, alarmas...múltiples actuaciones con un objetivo: PROTECCIÓN DE LA INFORMACIÓN. La seguridad va más allá de la seguridad en el tránsito o almacenamiento de los datos en la red. Manuel Carrasco Moñino 2
  3. 3. Seguridad en Redes de Computadores Seguridad Necesidad de seguridad Las posibles amenazas para nuestros datos son muy variadas: • Integridad de los datos. • Robo de información. • Integridad de los sistemas y equipos .... El anonimato provisto por las redes (Internet) facilita la acción de hackers y otros delincuentes. La solución es la implementación de POLITICAS DE SEGURIDAD. Manuel Carrasco Moñino 3
  4. 4. Seguridad en Redes de Computadores Seguridad Políticas de de seguridad Todas las empresas deben contar con una política general de seguridad. Su diseño se basa en: • Evaluación de riesgos. • Creación de planes acordes con el nivel de seguridad a implementar. Toda política de seguridad debe ser proporcional a la jerarquía de los datos que vamos a proteger. Manuel Carrasco Moñino 4
  5. 5. Seguridad en Redes de Computadores Seguridad Políticas de de seguridad Evaluación de riesgos en SERVIDORES: • Mantenerlos en operación continua. • Que la información en ellos no sea alterada sin autorización. • Que sólo sea visible por quien debe verla. Evaluación de riesgos en la RED: • La información no debe ser observada ni modificada en la red. • La identidad de la estación cliente o servidor no debe ser suplantada. • La identidad del usuario no debe ser suplantada. Evaluación de riesgos en ESTACIONES CLIENTE: • Las estaciones clientes son quizás el punto más débil en la seguridad • No importa cuan segura sea la red o los servidores, en las estaciones clientes la información está completamente abierta. Manuel Carrasco Moñino 5
  6. 6. Seguridad en Redes de Computadores Seguridad Políticas de de seguridad La seguridad se opone muchas veces a la fluidez operativa de una empresa pero ..... La implementación parcial de seguridad puede dar una impresión de FALSA seguridad • Ejemplo: La instalación de un firewall, sin medidas anexas El objetivo de una politica de seguridad no es solo evitar intrusos en nuestra red. • El principal riesgo de una red viene de los usuarios internos! Manuel Carrasco Moñino 6
  7. 7. Seguridad en Redes de Computadores Seguridad Políticas de de seguridad Conclusión: en nuestra política de seguridad tenemos que evaluar aspectos tales como: • Asegurar el acceso físico a los servidores. • Almacenar respaldos en medios protegidos (técnicas de backup). • Usar los elementos de seguridad provistos por los S.O. • Usar elementos de seguridad, tales como firewalls, técnicas de encriptación, servidores de autentificación. • Verificar la identidad del usuario que accede al servidor. • Verificar la identidad del servidor hacia el usuario. • Restringir accesos a servicios no autorizados, basados en la identidad delos usuarios. • Mantener registro de las transacciones, para la no repudiación de las transacciones. • Utilizar antivirus en estaciones cliente o servidores. Manuel Carrasco Moñino 7
  8. 8. Seguridad en Redes de Computadores Seguridad Políticas de seguridad Una vez definidas las políticas y procedimientos, existen varias tecnologías de uso muy frecuente. TECNOLOGÍAS DE SEGURIDAD: • FIREWALLS. • SISTEMAS DE AUTENTIFICACIÓN. • SISTEMAS DE ENCRIPTACIÓN. • ANTIVIRUS. Manuel Carrasco Moñino 8
  9. 9. Seguridad en Redes de Computadores FIREWALLS Función del firewall Un firewalls es un host con varios interfaces de red que es capaz de filtrar el tráfico de datos en bases a diversos criterios (reglas). Se utilizan para definir segmentos protegidos en una red. Separan a los hots sin privilegios, de los servicios y estaciones (normalmente servidores) considerados como protegidos. Las reglas o criterios de filtrado se dan por protocolos, direcciones IP y tipos de servicio (nº de puerto). • Ejemplo: una posible regla puede ser permitir sólo la salida de FTP, pero no FTP desde el exterior hacia la empresa. Manuel Carrasco Moñino 9
  10. 10. Seguridad en Redes de Computadores FIREWALLS Tipos de firewalls Un buen firewall, tiene por defecto la regla de bloquear todo lo que no sea explícitamente autorizado. Pueden consistir en un software corriendo en un servidor, o en un dispositivo hard dedicado exclusivamente al filtrado. Si son servidores, se recomienda que sean dedicados, y ‘hardened’. Los ‘appliances’ son considerados más seguros. Desde el punto de vista funcional hay dos tipos básicos de firewalls: • Packet Filtering. • Proxy Firewalls. Manuel Carrasco Moñino 10
  11. 11. Seguridad en Redes de Computadores FIREWALLS Packet filtering firewalls Un firewall de packet filtering analiza los paquetes que ‘transitan’ entre sus interfaces de red y, de acuerdo a sus reglas, deja proseguir al paquete o lo descarta. Las estaciones, para los paquetes autorizados, están conectados extremo a extremo. Packet filtering es más simple, menos seguro, e implementable como función adicional en algunos routers (listas de acceso en routers Cisco, por ejemplo). Manuel Carrasco Moñino 11
  12. 12. Seguridad en Redes de Computadores FIREWALLS Proxy firewalls Un software en el firewall emula a la estación final, respondiendo por ella a la red. Permite analizar reglas de capas más altas, y filtrar tráfico por conceptos más complejos. Los proxys están asociados a servicios específicos: proxy de email, de telnet, de ftp,etc Un proxy de email, por ejemplo puede analizar el contenido de un email, buscando elementos de riesgo, como comandos peligrosos, o attachments no autorizados (por ejemplo archivos .exe, macros de Excel etc.). Manuel Carrasco Moñino 12
  13. 13. Seguridad en Redes de Computadores FIREWALLS Implementaciones reales Los firewall reales son una combinación de proxys y packet filtering. Diseño de tres zonas controladas por el firewall: • ZONA EXPUESTA (WAN): es directamente accesible desde Internet, por lo que no debe instalarse en ella ningún servidor o aplicación. • ZONA DESMILITARIZADA (DMZ): sólo ciertos servicios son directamente accesibles desde Internet. Es una zona parcialmente protegida por el firewall, y es potencialmente susceptible de ataque. Sus servicios deben de ser securizados y auditados. • ZONA PROTEGIDA (LAN): no se permite ningún tipo de entrada, con lo que es imposible que sufra ataques. Los firewall reales son una combinación de proxys y packet filtering. Manuel Carrasco Moñino 13
  14. 14. Seguridad en Redes de Computadores FIREWALLS Implementaciones reales WAN, Internet WAN, Internet CORTAFUEGOS FIREWALL DMZ DMZ Prohibido Controlado Permitido LAN LAN Manuel Carrasco Moñino 14
  15. 15. Seguridad en Redes de Computadores FIREWALLS Implementaciones reales Un aspecto importante es la configuración correcta del protocolo NAT (Network Address Translation). La secuencia de filtrado sería la siguiente: FILTRADO FORWARD Mangle/Nat Mangle/Nat PRE POST ROUTING FILTRADO FILTRADO ROUTING IN OUT Manuel Carrasco Moñino 15
  16. 16. Seguridad en Redes de Computadores FIREWALLS Implementaciones reales Ejemplo de tabla NAT en un firewall Descripción Antes de aplicar NAT Después de aplicar NAT Origen Destino Origen Destino Entrada InternetDMZ (desde Internet cambiamos destino) WWW Dir. Publica: Dir. Publica:80 Dir. Publica Dir.Privada:80 SMTP Dir. Publica Dir. Publica:25 Dir. Publica Dir.Privada:25 FTP Dir. Publica Dir. Publica:21 Dir. Publica Dir.Privada:21 IMAP4 Dir. Publica Dir. Publica:145 Dir. Publica Dir.Privada:145 Salida (hacia Internet cambiamos origen) LANInternet Dir. Privada Dir. Publica Dir. Publica Dir. Publica DMZInternet Dir. Privada Dir. Publica Dir. Publica Dir. Publica Manuel Carrasco Moñino 16
  17. 17. Seguridad en Redes de Computadores FIREWALLS Implementaciones reales Ejemplo de tabla de filtrado en un firewall: ORIGEN DESTINO POLÍTICA RUTAS PROHIBIDAS INTERNET  FIREWALL PROHIBIDO INTERNET  LAN PROHIBIDO DMZ  LAN PROHIBIDO *** DMZ  FIREWALL PROHIBIDO LAN  INTERNET PROHIBIDO RUTAS PERMITIDAS DMZ  INTERNET PERMITIDO LAN  DMZ PERMITIDO RUTAS CONTROLADAS LAN  FIREWALL CONTROLADO SSH, GESTION FIREWALL INTERNET  DMZ CONTROLADO SMTP, HTTP, HTTPS, SSH Manuel Carrasco Moñino 17
  18. 18. Seguridad en Redes de Computadores SISTEMAS DE AUTENTIFICACIÓN Sistemas de autentificación Permiten identificar a quién accede a un servicio, sistema o recurso. Así, al acceder a un servicio, los privilegios del usuario estarán dados por su identidad. Hay distintos grados de calidad del servicio de autentificación, dependiendo de la cantidad de factores: • 1 FACTOR: Saber algo (login y passwords). • 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso). Manuel Carrasco Moñino 18
  19. 19. Seguridad en Redes de Computadores SISTEMAS DE AUTENTIFICACIÓN Sistemas de autentificación Permiten identificar a quién accede a un servicio, sistema o recurso. Así, al acceder a un servicio, los privilegios del usuario estarán dados por su identidad. Hay distintos grados de calidad del servicio de autentificación, dependiendo de la cantidad de factores: • 1 FACTOR: Saber algo (login y passwords). Este sistema es el mas usado, ya que es fácil y económico de implementar. También es el mas vulnerable. • 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso). Manuel Carrasco Moñino 19
  20. 20. Seguridad en Redes de Computadores SISTEMAS DE AUTENTIFICACIÓN Administración de password Las passwords se gestionan desde servidores de autentificación, mediante una base de datos única, con los datos de los usuarios, sus password y sus privilegios (ejemplo: LDAP). El servidor de autentificación es consultado por el resto de los servidores o equipos de acceso. Pueden usarse bases de usuarios de S.S.O.O. estándares (ejemplos: Novell o un servidor de dominios de NT). Se han creado protocolos para interactuar entre la estación cliente, y el servidor de autentificación. (PAP, CHAP, TACACS+, RADIUS). Los protocolos incluyen alguna técnica de encriptación, para evitar que las passwords puedan ser observadas mientras viajan por la red o cuando están almacenados en el server. Manuel Carrasco Moñino 20
  21. 21. Seguridad en Redes de Computadores SISTEMAS DE ENCRIPTACIÓN Sistemas de encriptación La criptografía es un conjunto de técnicas de protección de datos basadas en hacer “ilegibles” los datos ante accesos no autorizados a ellos. Para encriptar, se usa una ‘clave’ de encriptación. El propósito de la criptografía es hacer que la tarea de descifrar los datos sea tecnológicamente inasequible para un acceso no autorizado (que no conoce la clave). INFORMACIÓN INFORMACIÓN ENCRIPTACIÓN FUENTE CIFRADA Manuel Carrasco Moñino 21
  22. 22. Seguridad en Redes de Computadores SISTEMAS DE ENCRIPTACIÓN Sistemas de encriptación Existen dos tipos de técnicas criptográficas para cifrar datos: • Algoritmos de CLAVE PRIVADA (algoritmos SIMÉTRICOS). • Algoritmos de CLAVE PÚBLICA (algoritmos ASIMÉTRICOS). Normalmente se utilizan de forma conjunta para realizar transmisión de datos segura, ya que las cualidades de ambos son complementarias. Manuel Carrasco Moñino 22
  23. 23. Seguridad en Redes de Computadores SISTEMAS DE ENCRIPTACIÓN CLAVE PRIVADA Utiliza algoritmos de encriptación simétricos. La clave que utilizamos para cifrar los datos es la única que es capaz de descifrarlos. Por lo tanto, toda su seguridad se basa en la privacidad de la clave de encriptación. Son simples y rápidos Adolecen de una debilidad: debe compartirse de alguna forma segura la clave entre las partes que intervienen en la transmisión de datos. Ejemplos: DES, triple DES, RC2, RC4... Manuel Carrasco Moñino 23
  24. 24. Seguridad en Redes de Computadores SISTEMAS DE ENCRIPTACIÓN CLAVE PÚBLICA Utiliza algoritmos de encriptación simétricos. La clave que utilizamos para cifrar los datos NO ES LA MISMA que es capaz de descifrarlos. Matemáticamente se basan en la dificultad de factorizar números primos muy grandes. Los algoritmos de llave pública son bastante lentos de calcular, lo que limita su uso. Se usan esquemas mixtos, en que se usa la clave pública para transferirse la clave secreta, que se usará durante la sesión para encriptar los datos. Proporcionan integridad en los datos y AUTENTICACIÓN del origen de los datos. Manuel Carrasco Moñino 24
  25. 25. Seguridad en Redes de Computadores SISTEMAS DE ENCRIPTACIÓN CLAVE PÚBLICA Proceso de dotar de integridad a los datos: • Quien desee recibir mensajes cifrados, puede publicar una de las llaves, que pasa a ser su llave pública. • Quién desee enviar un mensaje a esta persona, cifra los datos con su llave pública. • Sólo la clave secreta descifra este mensaje. • De esta manera, se elimina el problema de tener que comunicar la llave. Proceso de autentificación del origen de los datos: • Si encripto un mensaje con mi clave secreta, y alguien lo abre con mi clave pública, este mensaje no será particulármente seguro, pero él estará seguro que yo fuí quién generó el mensaje. • Las llaves públicas pueden utilizarse para crear ‘firmas digitales’, que son una forma segura de autentificación. Ejemplos:RSA, DSS... Manuel Carrasco Moñino 25
  26. 26. Seguridad en Redes de Computadores SISTEMAS DE ENCRIPTACIÓN PROTOCOLOS SEGUROS I Protocolos de transmisión de datos segura basados en la encriptación: Para correo electrónico: • PGP (Pretty Good Privacy) para email (usa IDEA). • S/MIME (Secure/Multipurpouse Internet Mail Extensions). Para confidencialidad, autentificación, integridad y no repudio, se han desarrollado: • SSL (Secure Sockets Layer) • PCT desarrollado por Microsoft (Private Communications Technology) • S-HTTP (Secure Http): No se usa, por falta de soporte en los browsers. • SET: Desarrollado por los administradores de tarjetas de crédito, para encriptar los datos de la tarjeta. No ofrece seguridad para el resto de los datos en la comunicación. • IPSEC: Desarrollado por el IETF (Internet Engineering Task Force) para proveer confidencialidad extremo a extremo, del tipo VPN. Es parte integral de IPv6. Manuel Carrasco Moñino 26
  27. 27. Seguridad en Redes de Computadores SISTEMAS DE ENCRIPTACIÓN SSL SSL es una capa de software entre TCP/IP y la capa de aplicación. SSL provee • Autentificación y no repudiación del server, usando firmas digitales. • Autentificación del cliente, usando firmas digitales. • Confidencialidad de los datos usando encriptación. • Integridad de los datos, usando codigos de autentificación. SSL está integrada en los web browsers, y en los security enabled web servers. SSL negocia el protocolo de encriptación. Es el protocolo más usado. Manuel Carrasco Moñino 27

×