Introduccin
Qu Proteger?
De qu Proteger?
Hardware
Software
Datos
Personas
Amenazas Lgicas
Problemas Fsicos
Catstrofes
SEGURIDAD
Qu Conseguir?
Autenticacin
Autorizacin
Disponibilidad
Confidencialidad
Integridad
No repudio
Cmo Proteger?
Prevencin
Deteccin
Recuperacin
Auditora
Internet
Ataque
Interno
Ataque
Acceso
Remoto
Soluciones
Firewalls (cortafuegos)
Proxies (o pasarelas)
Control de Acceso
Cifrado (protocolos
seguros)
Seguridad del edificio
Hosts, Servidores
Routers/Switches
Deteccin de Intrusiones
Intrusin
Externa
Intrusin
Interna
Soluciones de seguridad
Conectividad
Perimetro
Cortafuegos
VPN
Deteccin de
intruso
Identidad
Administracin
de Seguridad
Autenficacin
Control de acceso
Poltica de
seguridad
PKI
Herramientas de seguridad:
protocolos seguros (IPsec, SSL, SSH)
almacenamiento de claves (tarjetas inteligentes)
certificados (X.509, PGP)
8
Proteccin:
Limitar en los routers el trfico ICMP, incluso se analiza la
secuencia de fragmentacin.
Parchear el SSOO
12
14
15
16
17
Acceso fsico:
a los recursos del sistema y pudiendo entrar en consola, adquirir informacin
escrita, etc
Proteccin: polticas de seguridad, dejar servidores bajo llave y guardia de
seguridad, tal como se vigila alguna cosa de valor.
Adivinacin de passwords:
la mala eleccin de passwords por parte de los usuarios permiten que sean fciles
de adivinar (o por fuerza bruta) o bien que el propio sistema operativo tenga
passwords por defecto.
Ejemplo
Ejemplo: muchos administradores utilizan de password administrador
Proteccin: polticas de seguridad
18
Proteccin:
Introduccin de autenticacin y cifrado de las conexiones.
configurar que el host o switch aprenda MACs slo de paquetes ARP unicast.
19
20
21
Ataque
Ataque:
En un momento determinado, el intruso se adelanta
una respuesta en la conexin TCP (con los ISN
correctos, lo cual lo obtiene por sniffing).
El que estaba conectado no cumple con los ISN
debido a que el intruso mand informacin vlida y
queda excluido de la conexin (su conexin TCP
aparente se ha colgado), tomando el control el
intruso.
Otra accin adicional, sera inutilizar al suplantado
con una ataque DoS.
23
Proteccin:
Los mensajes redirect deben obedecerlos slo los hosts, no los
routers, y slo cuando estos provengan de un router de una red
directamente conectada.
Filtrado de paquetes.
24
25
26
Tneles: qu es un tnel?
Permiten conectar un protocolo a travs de otro
Ejemplos:
Tnel SNA para enviar paquetes IP
MBone: tneles multicast sobre redes unicast
6Bone: tneles IPv6 sobre redes IPv4
Tneles IPv4 para hacer enrutamiento desde el
origen
27
Ejemplo de un tunel
Encapsulador
Encapsulador
Red TCP/IP
Red SNA
Red SNA
Paquete
IP
Paquete SNA
29
30
Tecnologas VPN
VPN en capa 7
(S/MIME), especfico de
la aplicacin y capa 4
(SSL/TSL), que no es
muy flexible
31
199.1.1.69
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
ISP 2
199.1.1.245
199.1.1.10
Servidor de Tneles
Rango 199.1.1.245-254
ISP 1
Origen: 200.1.1.20
Destino: 199.1.1.10
200.1.1.20
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
Red 199.1.1.0/24
Ping 199.1.1.69
Ping 199.1.1.69
199.1.1.69
200.1.1.20
199.1.1.245
Tnel VPN
Internet
199.1.1.193
199.1.1.246
Subred 199.1.1.192/26
Red oficina
remota
199.1.1.1
A 199.1.1.192/26 por 200.1.1.20
199.1.1.50
Subred 199.1.1.0/25
Origen: 200.1.1.20
Destino: 199.1.1.1
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
Red oficina
principal
Puede ir encriptado
(si se usa IPSec ESP)
33
Seguridad en Internet
34
IPSec Introduccin
Es una ampliacin de IP, diseada para funcionar de
modo transparente en redes existentes
Usa criptografa para ocultar datos
Independiente de los algoritmos de cifrado
Aplicable en IPv4 y obligatorio en IPv6
Est formado por:
Una Arquitectura (RFC 2401)
Un conjunto de protocolos
Una serie de mecanismos de autenticacin y encriptado (DES,
3DES y mejor por hardware)
35
37
Internet
Router o cortafuego
con IPSec
Router o cortafuego
con IPSec
Internet
Tnel IPSec
38
Encapsulado de IPSec
Modo transporte
Cabecera IP
Cabecera IP
Datos
Cabecera
IPSec
Datos
Modo tnel
Cabecera
IP Tnel
Cabecera
IPSec
Cabecera
IP
Datos
Cabecera
IP
Datos
40
Tendencias de seguridad
42
43
Cortafuegos
Consiste en un dispositivo formado por uno o varios equipos que
se sitan entre la red de la empresa y la red exterior
(normalmente la Internet), que analiza todos los paquetes que
transitan entre ambas redes y filtra los que no deben ser
reenviados, de acuerdo con un criterio establecido de
antemano, de forma simple.
Para que no se convierta en cuello de botella en la red, deben de
procesar los paquetes a una velocidad igual o superior al router.
Crea un permetro de seguridad y defensa de la organizacin
que protege.
Su diseo ha de ser acorde con los servicios que se necesitan
tanto privados como pblicos (WWW, FTP, Telnet,...) as como
conexiones por remotas.
Al definir un permetro, el cortafuegos opera tambin como NAT
(Network Address Traslation) y Proxy (servidor multipasarela).
44
45
Listas de acceso
Son una tcnica de filtrado de paquetes, que consiste en una lista de
rdenes ejecutadas secuencialmente a la llegada/salida de cada
paquete en las interfaces del router, con las opciones de permit o deny
al cumplir la condicin especificada en la secuencia segn la informacin
de la cabecera del paquete IP y de transporte.
Al realizarse en el propio router, suelen ser rpidas frente a otra tcnica
de filtrado.
Ejemplo:
permit tcp 192.168.0.0 0.0.255.255 host 172.16.1.2 eq 443
deny any any
Incoveniente:
al procesarse los paquetes de forma independiente, no se guarda informacin de
contexto (no se almacenan histricos de cada paquete).
No se puede analizar a nivel de capa de aplicacin, dado que est implementado en
los routers.
Son difciles de monitorizar en ejecucin
Recomendaciones:
Situar los filtros lo ms cerca posible del elemento a proteger
No filtrar el mismo trfico ms de una vez
46
47
Configuraciones de cortafuegos
1.- un router separando la red Intranet de Internet,
tambin conocido como Screened Host Firewall, que
puede enviar el trfico de entrada slo al host bastin
2.- un host bastin o pasarela para las aplicaciones
permitidas separando la red Intranet de Internet,
tambin conocido como Dual Homed Gateway. Permite
filtrado hasta la capa de aplicacin
3.- con dos routers separando la red Intranet e Internet
y con el host bastin dentro de la red formada por
ambos routers, tambin conocida como Screened
Subnet, esta red interna es conocida como zona neutra
de seguridad o zona desmilitarizada (DMZ Demilitarized
Zone)
49
Screened host
Se trata de un router que bloquea todo el trfico hacia la red interna,
excepto al bastin.
Soporta servicios mediante proxy (bastin).
Soporta filtrado de paquetes (router).
No es complicada de implementar.
Si el atacante entra en el bastin, no hay ninguna seguridad.
Bastin
Red
Externa
Router
Red
Interna
50
Servidor
Proxy/cache
Servidor web
Filtro en el router
permit tcp host 147.156.1.18 any eq www
deny tcp 147.156.0.0 0.0.255.255 any eq www
Internet
Cliente web
Router
Servidor web
Red interna
147.156.0.0/16
Red
perimetral
Internet
Bastion host/
router exterior
Router
interior
Cortafuego
Mantener el bastion fuera del router, implica mayor seguridad para la red interna,
pero el bastin va a estar sometido a ms ataques que el router.
52
Cortafuego
Red
perimetral
Internet
Router
exterior
Bastion host/
router interior
Cortafuego
Red
perimetral
Routers
interiores
Bastion host
Internet
Router
exterior
Dual-homed gateway
Se trata de un host (bastin) con dos tarjetas de red, conectadas a
redes diferentes.
En esta configuracin, el bastin puede filtrar hasta capa de
aplicacin.
Son sistemas muy baratos y fciles de implementar.
Slo soportan servicios mediante proxy externos.
Red
Externa
Red
Interna
Bastin
55
Screened subnet
56
Screened subnet
Configuracin: consistente en implementar un permetro con 2
routers y un host bastin, es la arquitectura ms segura y tiene
las ventajas:
En ningn momento el exterior puede saturar la red interna, ya que
estn separadas
En ningn momento se puede monitorizar (sniffer) la red interna en el
caso de que el host bastin fuera saboteado
Bastin
Router
Red
Externa
Red
Interna
Router
DMZ
57
Red
perimetral
Internet
Router exterior
Router interior
Bastion host
DNS, Mail
Web
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)
58
Router exterior
Internet
Router interior
Red
perimetral
DNS, Mail
Web
Bastion host
4-61
4-62