El documento proporciona información sobre conceptos y uso de firewalls, seguridad en redes GSM y capacitación sobre ingeniería de ventas. En resumen: 1) Los firewalls son dispositivos de seguridad que filtran el tráfico de red según reglas de seguridad para proteger redes. 2) La seguridad en GSM incluye autenticación del usuario, protección de identidad y cifrado de comunicaciones. 3) La sesión de capacitación cubre estos temas de seguridad de redes.
1. Empresas
INGENIERIA DE VENTAS
Plan de Capacitación – Canal Directo
2. Fase II: Sesión 03
Empresas
Agenda de hoy:
- Concepto y Uso de Firewalls
- Seguridad en una Red GSM
3. Concepto y Uso de Firewalls
Empresas
Firewall:
Parte de un sistema diseñado para bloquear el acceso no autorizado.
Dispositivo(s) configurado(s) para permitir, limitar, cifrar y descifrar el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y criterios.
Pueden ser implementados en hardware o software, o una combinación de ambos.
Se utilizan con frecuencia para evitar que
usuarios de Internet no autorizados accedan
a redes privadas conectadas a Internet.
Todo mensaje que entre o salga de la
intranet pasa a través del firewall que
examina cada mensaje y bloquea aquellos
que no cumplen los criterios de seguridad
especificados.
Es frecuente conectar al firewall una red
llamada DMZ, en la que se ubican los
servidores de la organización que son
accesibles desde la red exterior.
4. Concepto y Uso de Firewalls
Empresas
Ventajas:
• Establece perímetros confiables.
• Protege de intrusiones.- El acceso a ciertos segmentos de la red sólo se permite
desde máquinas autorizadas de otros segmentos.
• Protege la información privada.- Permite definir niveles de acceso a la
información, de manera que cada grupo de usuarios definido tenga acceso sólo
a los servicios e información que le son estrictamente necesarios.
• Optimización de acceso.- Identifica los elementos de la red internos y optimiza
que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los
parámetros de seguridad.
Limitaciones:
Las limitaciones se desprenden de la misma definición del firewall: “filtro de
tráfico”. Cualquier tipo de ataque informático que use tráfico aceptado por el
firewall o que sencillamente no use la red, seguirá constituyendo una amenaza:
5. Concepto y Uso de Firewalls
Empresas
.. Limitaciones:
La siguiente lista muestra algunas de estas amenazas:
• Un firewall no puede proteger contra ataques cuyo tráfico no pase a través de
él.
• El firewall no puede proteger de amenazas a las que está sometido por
ataques internos o usuarios negligentes. El firewall no puede prohibir a “espías
corporativos” copiar datos sensibles en medios físicos de almacenamiento y
sustraerlas del edificio.
• El firewall no puede proteger contra ataques de ingeniería social(*).
• El firewall no puede proteger contra ataques a la red interna por virus
informáticos a través de archivos y software.
• El firewall no protege de los fallos de seguridad de los servicios y protocolos
cuyo tráfico esté permitido: Hay que configurar correctamente y cuidar la
seguridad de los servicios que se publiquen en Internet.
6. Concepto y Uso de Firewalls
Empresas
Políticas:
Hay dos políticas básicas en la configuración de un firewall que cambian
radicalmente la filosofía fundamental de la seguridad en la organización:
Política restrictiva:
Se deniega todo el tráfico excepto el que está explícitamente permitido. El
firewall obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los
servicios que se necesiten.
Política permisiva:
Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada
servicio potencialmente peligroso necesitará ser aislado básicamente caso por
caso, mientras que el resto del tráfico no será filtrado.
La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico
potencialmente peligroso, mientras que en la política permisiva es posible que no se
haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.
7. Concepto y Uso de Firewalls
Empresas
Un poco de historia:
• El término "firewall / fireblock" se refería originalmente una pared para confinar
un incendio o riesgo potencial de incendio en un edificio.
• Más adelante se usó para referirse a estructuras similares, como la hoja de
metal que separa el compartimiento del motor de un vehículo o una aeronave
de la cabina.
• La tecnología de los firewalls surgió a finales de 1980, cuando Internet era una
tecnología bastante nueva en cuanto a su uso global.
• Los predecesores de los firewalls para la seguridad de la red fueron los routers
utilizados a finales de 1980, que mantenían a las redes separadas unas de otras.
• El concepto o visión de Internet como una comunidad relativamente pequeña
de usuarios con máquinas compatibles, que valoraba la predisposición para el
intercambio y la colaboración, terminó con una serie de importantes violaciones
de seguridad que se produjo a finales de los 80:
8. Concepto y Uso de Firewalls
Empresas
.. Un poco de historia:
• Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje
alemán.
• Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para
observar a un atacante.
• En 1988, un empleado del Centro de Investigación Ames de la NASA, en
California, envió una nota por correo electrónico a sus colegas que decía:
"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San
Diego, Lawrence Livermore, Stanford y la NASA Ames."
• El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las
máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer
ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni
estaba preparada para hacer frente a su ataque.
9. Concepto y Uso de Firewalls
Empresas
Generaciones de Firewalls:
Primera generación – Firewall de Red: filtrado de paquetes
El primer documento publicadoa cabo por un firewall actúa en de 1988,primeras
filtrado de paquetes llevado para la tecnología firewall data las tres cuando
capas del de ingenieros que significa que todo el trabajo (DEC) desarrolló los
el equipo modelo OSI, lo de Digital Equipment Corporationlo realiza entre la red
y las capas filtro conocidos como firewall de filtrado de paquetes. Este sistema,
sistemas de físicas.
bastante básico, fue la primera generación de lo que se convertiría en una
Cuando el emisor origina un paquete y de la seguridad de Internet.
característica más técnica y evolucionada es filtrado por el firewall, éste último
comprueba las reglas de filtrado de paquetes que lleva configuradas,
aceptando o paquetes actúa mediante la inspección
El filtrado de rechazando el paquete en consecuencia. de los paquetes (que
representan la unidad básica de transferencia de datos entre ordenadores en
Cuando Si un paquete coincide del firewall, éste filtra el paquete mediante un
Internet).el paquete pasa a travéscon el conjunto de reglas del filtro, el paquete
protocolo y (descarte silencioso) o será rechazado (desprendiéndose de él y
se reducirá un número de puerto base:
enviando una respuesta de error al emisor).
Por ejemplo, si existe una norma en el firewall para bloquear el acceso
Este “Telnet”,no presta atención a si el paquete es parte de una secuencia
filtrado bloqueará el protocolo IP para el número de puerto 23.
existente de tráfico, se filtra cada paquete basándose únicamente en la
información contenida en el paquete en sí. El protocolo TCP comprende la mayor
parte de comunicación a través de Internet, utilizando puertos bien conocidos
para determinados tipos de tráfico, por lo que un filtro de paquetes puede
distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión
remota, envío y recepción de correo electrónico, transferencia de archivos…).
10. Concepto y Uso de Firewalls
Empresas
Generaciones de Firewalls:
Segunda generación – Firewall de Aplicación
Actúan sobre la capa de aplicación del modelo OSI. La clave de un firewall de
aplicación es que puede entender aplicaciones y protocolos, y permite detectar
si un protocolo no deseado se “coló” a través de un puerto no estándar o si se
está abusando de un protocolo de forma perjudicial.
Un firewall de aplicación es mucho más seguro y fiable cuando se compara con
uno de filtrado de paquetes, ya que repercute en las siete capas del modelo OSI.
En esencia es similar a un firewall de filtrado de paquetes, con la diferencia de
que también podemos filtrar el contenido en sí del paquete.
Un firewall de aplicación puede filtrar protocolos de capas superiores tales como
FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una
organización quiere bloquear toda la información relacionada con una palabra
en concreto, puede habilitarse el filtrado de contenido para bloquear esa
palabra en particular. No obstante, los firewalls de aplicación resultan más lentos
que los de estado.
11. Concepto y Uso de Firewalls
Empresas
Generaciones de Firewalls:
Tercera generación – Firewall de Estado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell (Dave Presetto,
Janardan Sharma, y Nigam Kshitij), desarrollaron la tercera generación de
servidores de seguridad.
Esta tercera generación de firewalls tiene en cuenta además, la colocación de
cada paquete individual dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la inspección de estado de
paquetes, ya que mantiene registros de todas las conexiones que pasan por el
firewall, siendo capaz de determinar si un paquete indica el inicio de una nueva
conexión, es parte de una conexión existente, o es un paquete erróneo.
Este tipo de firewall puede ayudar a prevenir ataques contra conexiones en
curso o ciertos ataques de denegación de servicio.
12. Seguridad en una Red GSM
Empresas
http://www.elmundo.es/elmundo/2009/12/29/navegante/1262094278.html
13. Seguridad en una Red GSM
Empresas
Antecedentes:
En 1982de estos tres nuevo grupo de estandarización dentro delque presenta GSM
Aparte se creó un grandes objetivos, las principales ventajas CEPT (Conférence
sobre los de Postes et Télécommunications), cuya tarea sería la especificación de
Européenesistemas analógicos de primera generación son fundamentalmente las
un sistema europeo único de radiocomunicaciones en la banda de 900MHz.
siguientes:
• Disminución de costos de fabricación por un mayor tamaño del mercado.
Tres fueron los objetivos fundamentales que empujaron a emprender esta tarea:
•Disponer de de voz y datos gracias a la digitalización de las transmisiones de
• Integración un sistema de comunicaciones móviles común a toda Europa
permitiendo la movilidad internacional y la reducción de costos gracias a la gran
radio.
extensión del mercado.
• Mejora de parámetros, tales como calidad de voz y handover.
•Superar la capacidad de los sistemas móviles precedentes desbordados por
una demanda infravalorada.
• Roaming Internacional automático
•Aprovechar el estado del arte de la electrónica digital. cualquier terminal por
• Acceso por tarjeta inteligente. Permite la utilización de
parte de cualquier usuario introduciendo el concepto de movilidad personal.
• Compatibilidad RDSI
• Menor consumo del terminal. Permite utilizar terminales más ligeros.
14. Seguridad en una Red GSM
Empresas
Esquema de Seguridad:
Los servicios de datos son una parte integral del sistema por el carácter digital del
enlace de radio. Esto permite garantizar confidencialidad de la información del
usuario mediante cifrado en el enlace de radio.
También se garantiza el control de acceso a los servicios mediante el uso de técnicas
criptográficas y se permite independizar el terminal y la suscripción del usuario
gracias a la utilización de un módulo de personalización (SIM).
Las funcionalidades de seguridad presentes en un sistema GSM se pueden clasificar
en cuatro apartados:
•Autentificación del usuario para prevenir el acceso de usuarios no registrados.
•Protección de la identidad del usuario para imposibilitar el seguimiento de su
localización por parte de terceros.
•Cifrado en el radioenlace de toda la información del usuario, y de algunos
elementos de señalización, para prevenir escuchas por parte de un tercero.
15. Seguridad en una Red GSM
Empresas
Conceptos Generales (1):
Al abonado se le identifica de forma única utilizando la Identidad de Abonado Móvil
Internacional (IMSI).
Esta información, junto con la clave individual de autenticación de abonado (Ki)
constituyen las "credenciales de identificación sensibles".
El diseño de los esquemas de cifrado y autenticación es tal que esta información
sensible nunca se transmite por el canal de radio.
En su lugar se utiliza un mecanismo de "desafio-respuesta" para realizar la
autenticación.
Las conversaciones reales se cifran utilizando una clave temporal de cifrado
generada aleatoriamente (Kc).
Los mecanismos de seguridad de GSM se implementan en tres elementos diferentes
del sistema:
• El Modulo de Identidad del Abonado (SIM)
• El Aparato portátil GSM también denominado Estación Móvil (MS)
• La Red GSM
16. Seguridad en una Red GSM
Empresas
Distribución de Credenciales de Seguridad:
Identidad Abonado Móvil Internacional (IMSI)
Clave Individual de Autenticación (Ki)
Algoritmo Generación Claves de Cifrado (A8)
Algoritmo de Autenticación (A3)
Número de Identificación Personal (PIN)
Algoritmo de cifrado (A5)
Algoritmos de cifrado A3, A5 y A8
17. Seguridad en una Red GSM
Empresas
.. Conceptos Generales (2):
La red GSM autentifica la identidad del abonado utilizando un mecanismo de
"desafio-respuesta". Se envía a la estación móvil un número aleatorio de 128 bits
(RAND). La estación móvil (MS) calcula la respuesta firmada que es de 32 bits
(SRES) basándose en el cifrado del número aleatorio (RAND) con el algoritmo de
autenticación (A3) utilizando la clave individual de autenticación de abonado
(Ki).
Al recibir del abonado la respuesta firmada, la red GSM repite el cálculo para verificar
la identidad del abonado. La clave individual de autenticación de abonado (Ki)
nunca se transmite sobre el canal de radio; está presente en el SIM del abonado,
así como en las Bases de Datos del AUC, HLR y VLR.
Si el RAND recibido coincide con el valor calculado, la estación móvil ha sido
autentificada con éxito y puede continuar. Si los valores no coinciden la conexión
se termina y se indica un fallo de autenticación a la estación móvil. El cálculo de
la respuesta firmada se realiza dentro del SIM. Esto proporciona mayor seguridad,
debido a que la información del abonado confidencial como la IMSI o la clave
individual de autenticación del abonado (Ki) nunca salen del SIM durante el
proceso de autenticación.
18. Seguridad en una Red GSM
Empresas
Conceptos Generales (3):
Toda SIM contiene el algoritmo de generación de claves de cifrado (A8) que se utiliza
para producir la clave de cifrado (Kc).
La clave de cifrado se calcula aplicando el mismo número aleatorio (RAND) utilizado
en el proceso de autenticación, con el algoritmo de generación de la clave de
cifrado (A8) con la clave individual de autenticación de abonado (Ki).
La clave de cifrado (Kc) se utiliza para cifrar y descifrar los datos transmitidos entre la
estación móvil y la estación base.
La clave de cifrado puede cambiarse a intervalos regulares según lo requieran las
consideraciones de seguridad y diseño de red. De una manera similar al proceso
de autenticación, el cálculo de la clave de cifrado (Kc) tiene lugar internamente
dentro del SIM. Por tanto, la información sensible como la clave individual de
autenticación de abonado (Ki) nunca la revela la SIM. Las comunicaciones de
datos y voz cifradas entre la estación móvil y la red se realizan utilizando el
algoritmo de cifrado A5.
Los algoritmos A3 y A8 de GSM son funciones dependientes de la clave y se
implementan como un único algoritmo denominado COMP128.