SSL
NAT Control de Acceso. Cortafuegos (Firewalls). Seguridad en intranet/extranet. Fundamentos de seguridad en redes TCP/IP: Sniffing, Spoffing y Buffer overflow.
Conceptos preliminares, repaso bsico de redes. Redes privadas virtuales. Tipos de ataques de redes. SSL NAT Control de Acceso.
Cortafuegos (Firewalls).
Proxys Seguridad en intranet/extranet.
QU ES UNA RED?
Una red es una interconexin de dos o ms computadoras con el propsito de compartir informacin y recursos a travs de un medio de comunicacin, como puede ser el cable coaxial.
El propsito ms importante de cualquier red es enlazar entidades similares al utilizar un conjunto de reglas que aseguren un servicio confiable. Estas normas podran quedar de la siguiente manera:
consistente. La red debe ser capaz de determinar hacia dnde se dirige la informacin.
Tipos de Redes.
Es un conjunto de computadoras que se
comunican entre s por un canal comn nico para toda la red. Si bien su uso es frecuente, suele presentar problemas, como por ejemplo puede saturarse por el flujo de informacin, ya que todas las computadoras utilizan el misma canal.
BUS
Estrella
Mixta
Anillo
Doble Anillo
Totalmente Conexa
rbol
Malla
Topologa de Bus.
Topologa de bus lineal. Existe un backbone que soporta todos los dispositivos de red. La palabra backbone se refiere a las principales conexiones troncales de Internet Comnmente se utiliza un cable coaxial. 2 puntos simples de falla: el servidor y el backbone, si estos fallan todas las estaciones pierden la conexin. La tolerancia a fallas depende adems de los SO, y el tener aplicaciones de misin critica. Altamente sensible a la intervencin electronica.
Ventajas: El utilizar un tamao de paquete grande en una red LAN supone una mayor utilizacin por que se reduce el tiempo de guarda y la duracin de los intervalos de contienda por byte de datos. Tambin el rendimiento de la red ser mejor, por que se tendr menor porcentaje del paquete dedicado a cabeceras de protocolos y por tanto, mayor porcentaje del paquete dedicado a la transmisin de datos tiles.
Ventajas e inconvenientes que tiene utilizar un tamao de paquete grande en una red LAN.
Inconvenientes: Al aumentar el tamao del paquete se produce un mayor retardo medio. Si un nodo transmite continuamente, el resto de nodos tendr que esperar ms para poder hacer uso del canal. Este hecho se agudiza en casos de utilizacin alta de la red porqu adems se le sumarn fenmenos como la existencia de coaliciones.
Topologa de anillo
Un alimentador nico de red, al cual todas las maquinas estn interconectadas. Dos puntos de fallas: El servidor El cable La falla de estaciones incide en el funcionamiento ya que tienen el rol de repetidores.
Topologa de Estrella
Su distincin es la centralizacin. Todas las estaciones de un segmento estn conectadas a un dispositivo de comunicaciones (tpicamente un switch y hub) Puede sobrevivir a falla de mltiples estaciones.
Software local en estaciones de trabajo. SO de red utilizados. Protocolos utilizados por la red Ancho de banda y requerimientos de distancia.
Elegir una topologa de red que centralice la administracin y control de errores. Romper la red en segmentos , mejora la administracin y limita el alcance de ataques.
Disea tu sistema con tolerancia a fallas y con fallas en mente. Minimiza el nmero de puntos nicos de fallas. Asla el hardware fuera de reas comunes.
Asla el cableado fuera de la red principal. Si es posible usa encriptacin.
Se utilizan medidas de sentido comn. Las vulnerabilidades de hardware son mucho menores que las de software. Causas ms comunes. Cifrado desactivado Falla de mantenimiento Password por defecto no cambiadas Acceso fisico
Hardware de red
Tecnologas LAN
Si se dispone de dos estaciones (PCA y PCB)
Ejemplo
conectadas a travs de un puente, Cules sern las direcciones MAC origen y destino de los paquetes que circulen por esa red?
que las direcciones MAC que nos encontraremos en los paquetes que circulan por esa red sern los correspondientes a las direcciones MAC de las propias estaciones PCA y PCB como direcciones MAC origen y destino.
Respuesta
Tecnologas LAN
Suponga una configuracin de red como la de
la figura y escriba la tabla final de reenvo que alcanzarn los puentes P1 y P2, si A, B, C. D, E Y G son estaciones que se intercomunican entre si todas con todas. Qu pasara si las estaciones E y G fuesen la misma, es decir, corresponderan a dos interfaces de la misma estacin? Qu ocurrira si se aadiera un tercer puerto a P1 conectado a la red de maquinas F y G?
Ejemplo
el puerto de salida para cada paquete con determinada direccin MAC destino.
P1
Resesta
P2
1 1 1 2 2 2 2
1 1 1 1 3 2 2
Resesta
Qu pasara si las estaciones E y G fuesen la misma, es decir, corresponderan a dos interfaces de la misma estacin?
Si E y G fuesen interfaces de la misma estacin no pasara nada extraordinario por que las comunicaciones se seguiran refiriendo a uno u otro interfaz, siempre que esta estacin con dos interfaces no reenviara paquetes como un puente. Si existiese un puente, entonces s podra haber problemas al forzarse un ciclo con el puente P2. Un algoritmo de reenvo correcto solucionara este problema de los ciclos.
Respuesta
Respuesta
red de las maquinas F y G podran producirse otra vez ciclos. Los puentes deberan aplicar algn algoritmo para evitarlos. (por ejemplo, intercambiarse mensajes para obtener el rbol de expansin de mnimo costo)
Las ventajas e inconvenientes de realizar la fragmentacin en el modo origen como IPV6 en lugar del encaminador con IPV4
Ventajas: Rapidez en el procesado de los paquetes en cada salto intermedio (encaminador) que se despreocupan ahora en las labores de fragmentacin. Inconvenientes: El nodo origen tiene que descubrir a priori cul es la mnima MTU en el camino mediante el correspondiente algoritmo (retraso en el comienzo de la comunicacin) o puede usar una MTU de 1.28 bytes que es la mnima MTU exigida en redes IPv6 (peor eficiencia en la utilizacin de la red si usamos una MTU menor que la realmente posee la red)
Conceptos preliminares, repaso bsico de redes. Redes privadas virtuales. Tipos de ataques de redes. SSL NAT Control de Acceso.
Cortafuegos (Firewalls).
Proxys Seguridad en intranet/extranet.
Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network.
Es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet.
Es una red privada que se extiende, mediante un proceso de encapsulacin y en su caso de encriptacin, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras pblicas de transporte.
Administracin de direcciones
Codificacin de datos Administracin de claves
La VPN debe establecer una direccin del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven as.
Los datos que se van a transmitir a traves de la red pblica deben ser previamente encriptados para que no puedan ser ledos por clientes no autorizados de la red.
La VPN debe generar y renovar las claves de codificacin para el cliente y el servidor.
La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pblica. Estos incluyen el protocolo de internet(IP), el intercambio de paquete de internet(IPX) entre otros.
Tipos de conexin
Conexin de acceso remoto Una conexin de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a travs de la conexin VPN son originados al cliente de acceso remoto, y ste se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente.
Tipos de conexin Conexin VPN router a router Una conexin VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexin, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambin sirve para la intranet.
Tipos de conexin
Conexin VPN firewall a firewall Una conexin VPN firewall a firewall es realizada por uno de ellos, y ste a su vez se conecta a una red privada. En este tipo de conexin, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica ante el que responde y ste a su vez se autentifica ante el llamante..
Ventajas VPN
Dentro de las ventajas ms significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. Reduccin de costos. Sencilla de usar. Sencilla instalacin del cliente en cualquier PC Windows. Control de Acceso basado en polticas de la organizacin Herramientas de diagnostico remoto. Los algoritmos de compresin optimizan el trfico del cliente. Evita el alto costo de las actualizaciones y mantenimiento a las PCs remotas.
Conceptos preliminares, repaso bsico de redes. Redes privadas virtuales. Tipos de ataques de redes. SSL NAT Control de Acceso.
Cortafuegos (Firewalls).
Proxys Seguridad en intranet/extranet.
Interrupcin
Intercepcin
Modificacin
Fabricacin
Interrupcin:
Intercepcin:
Modificacin:
Fabricacin:
Conceptos preliminares, repaso bsico de redes. Redes privadas virtuales. Tipos de ataques de redes. SSL NAT Control de Acceso.
Cortafuegos (Firewalls).
Proxys Seguridad en intranet/extranet.
SSL proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de criptografa. Habitualmente, slo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar. SSL implica una serie de fases bsicas:
Negociar entre las partes el algoritmo que se usar en la comunicacin Intercambio de claves pblicas y autenticacin basada en certificados digitales Cifrado del trfico basado en cifrado simtrico Durante la primera fase, el cliente y el servidor negocian qu algoritmos criptogrficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones: Para criptografa de clave pblica: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) o Fortezza;
Para cifrado simtrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES o AES (Advanced Encryption Standard); Con funciones hash: MD5 o de la familia SHA.
Arquitectura SSL
Usa TCP para proveer un servicio confiable extremo-a-extremo SSL tiene dos niveles de protocolos Record Protocol provee servicios de seguridad bsicos a varios protocolos de nivel superior En particular, HTTP puede operar sobre SSL Tres protocolos de nivel superior: Handshake Protocol Change Cipher Spec Protocol Alert Protocol Usados para el manejo de intercambios SSL
SSL SSl Chance SSl Alert Handshake Cipher Spec Protocol Protocol Protocol
HTTP
conexin SSL
Transporte que provee un conveniente tipo de servicio un enlace de comunicacin transite, peer-to-peer cada conexin asociada con una sesin
sesin SSL
una asociacin entre cliente & servidor creada por el protocolo Handshake define un conjunto de parmetros de seguridad criptogrficos que pueden ser compartidos entre mltiples conexiones SSL usada para evitar negociacin de nuevos parmetros
Integridad de mensaje. Handshake Protocolo define clave secreta compartida usada para formar un cdigo de autenticacin de mensaje MAC, el cul es similar a HMAC Confidencialidad Handshake Protocolo define clave secreta compartida usada para encriptacin simtrica de la carga SSL. AES, IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128 cada mensaje de nivel superior se fragmenta, 2^14 bytes o menos mensaje es comprimido antes de ser concatenado con el MAC y encriptado Agrega cabecera
Major Version (8 bits) SSL v3 is 3 Minor Version (8 bits) - SSLv3 value is 0 Compressed Length (16 bits)
Mximo 2^14 + 2048
Record Protocol transmite en segmento TCP Datos recibidos son desencriptados, verificados, descomprimidos, y reensamblados y entonces entregados a las aplicaciones
Lleva alertas relacionadas con SSL a la entidad par Mensaje consiste de dos bytes, el primero indica la severidad del mensaje y el segundo un cdigo que indica la alerta especfica Severidad
warning o fatal, si el nivel es fatal SSL inmediatamente
Alerta especfica
termina la conexin
descompresin, falla de handshake, parmetro ilegal warning: notificacin de cierre, no hay certificado, certificado malo, certificado no soportado, certificado revocado, certificado expirado, certificado desconocido
Trmino
Versin
Random
Sesin ID
Estructura aleatoria generada por el Cliente 32-bits timestamp y 28 bytes del generador de nmeros aleatorios Usado durante el intercambio de claves para prevenir replay
CipherSuite
Nonzero indica que el cliente desea actualizar conexin existente o crear nueva conexin sobre la sesin Zero indica que el cliente desea establecer nueva conexin sobre nueva sesin Lista de algoritmos criptogrficos soportados por el cliente Cada elemento define algoritmo de intercambio de clave y CipherSpec
Mtodo de Compresin
Fase 3
Requerido
certificado si se requiere y chequea parmetros del server_hello cliente enva mensajes al servidor, dependiendo del esquema de clave-pblica subyacente
Completa establecimiento Cliente enva change_cipher_spec Copia pendiente CipherSpec en actual CipherSpec
Cliente enva mensaje de trmino bajo nuevo algoritmo, claves, y secretos Mensaje de trmino verifica intercambio de clave y autenticacin exitosa Servidor enva su propio mensaje de change_cipher_spec Transfiere pendiente CipherSpec a actual Enva su mensaje de trmino Se completa Handshake
no se considera parte del Handshake Protocol se enva usando Change Cipher Spec Protocol
Conceptos preliminares, repaso bsico de redes. Redes privadas virtuales. Tipos de ataques de redes. SSL NAT Control de Acceso.
Cortafuegos (Firewalls).
Proxys Seguridad en intranet/extranet.
Clase A
10.0.0.0/8 -> (10.255.255.255)
Clase B
172.16.0.0/12 -> (172.31.255.255)
Clase C
192.168.0.0/16 -> (192.168.255.255)
IP Privada Las direcciones privadas son rangos especiales de direcciones ip que se reservan para ser utilizadas en redes locales, se llaman as o no enrutables por que no pueden ser usadas en internet. Los router intermedios que componen todo internet, no entienden este tipo de direcciones y no las encaminan.
Ejemplo: Una red local del tipo 192.168.0.0 y mi vecino tambin, pero como ests direcciones no salen de la red local no hay ningn confligto. Esto no pasa con las direcciones pblicas, que son las que usan internet y han de pertenecer a un unico equipo (host); no puede haber varios con la misma IP publica.
No hemos dicho antes que estas direcciones (privadas) no pueden ser usadas en internet ?
Solucin NAT!!!
Bsicamente traducir las IPs Privadas de la red en una IP publica para que la red pueda enviar paquetes al exterior y traducir luego IP pblica, de nuevo a la IP privada del PC que envo el paquete, para que pueda recibirlo una vez llegada la respuesta.
Todas las variantes de los dispositivos NAT tienen las siguientes caractersticas:
Asignacin transparente de asignaciones. Encaminamiento transparente mediante la traduccin de direcciones (reenvo de paquetes, no intercambio de informacin) Traduccin de la carga til de los paquetes de error ICMP.
Cuando los PC de la red local quiere enviar un paquete a internet, se lo enva al router ( o a la puerta de enlace gateway)
Internet
Conceptos preliminares, repaso bsico de redes. Redes privadas virtuales. Tipos de ataques de redes. SSL NAT Control de Acceso.
Cortafuegos (Firewalls).
Proxys Seguridad en intranet/extranet.
servicios que no tenga intencin de usar. Muchas distribuciones vienen configuradas con todo tipo de servicios que se inician automticamente Se deben emplear controles de acceso lgico a los programas y aplicaciones, es decir las aplicaciones deben estar desarrolladas de tal manera que prevean el acceso no autorizado a la informacin a la que tienen acceso
Limitar el acceso del usuario nicamente a los recursos que requiere para desarrollar su trabajo Se debe contar con procedimientos de registro de altas, bajas y cambios de usuarios con acceso a los sistemas y a la red Crear y mantener perfiles de seguridad para todos los usuarios con base en sus roles y responsabilidades Solicitar a todos los usuarios firmar un Acuerdo de uso apropiado antes de que tengan acceso al equipo, red y sus recursos Los derechos de acceso de usuarios deben ser revisados peridicamente La pantalla de acceso al sistema debe notificar al usuario e incluso a los atacantes que el sistema est siendo vigilado y que cualquier actividad no autorizada ser castigada No proporcionar ningn tipo de informacin referente al equipo, red o institucin antes de que el usuario se autentique en el sistema
Instruir a los usuarios para que no divulguen informacin a cualquier persona que la solicite en nombre del responsable de Informtica (ingeniera social) slo el responsable de informtica est autorizado a proporcionar informacin en determinados casos y bajo ciertos trminos Instalar mecanismos que limiten el nmero de intentos fallidos para autenticarse en el sistema Limitar los lugares desde donde el usuario puede conectarse Los usuarios deben entrar a la red y sus recursos empleando su clave de acceso propia Emplear autenticacin fuerte para acceso a sistemas crticos Deshabilitar cuentas de usuario despus de un periodo establecido de inactividad y eliminarlas despus de un periodo ms largo establecido
Establecer una longitud mnima de password as- como la combinacin de letras (maysculas y minsculas), nmeros y signos Cambiar los passwords peridicamente por ejemplo cada 30 das Emplear herramientas para probar la fortaleza de los passwords Cambiar los passwords por omisin de las instalaciones de sistemas operativos, software y aplicaciones Segmentar las redes para prevenir la intercepcin de informacin Emplear un firewall como parte de la solucin de seguridad y debe ser el nico punto de acceso entre la red interna y redes externas