INSTITUTO TECNOLOGICO DE ORIZABA

MATERIA: 61H I. CONFIGURACION SERVICIOS WEB TEMA: REDES MILITARIZADAS Y DESMILITARIZADAS CATEDRTICO:
M.C. PELAEZ CAMARENA SILVESTRE GUSTAVO

PRESENTA: Domnguez Espritu Key

ORIZABA, VER. A

18

DE MAYO DEL

2012

 Actualmente, las redes informticas son parte fundamental de los entornos de trabajo, siendo de vital importancia el contar con los elementos necesarios para su buen funcionamiento.

 Una de las funciones que ejecuta el router, es la de bloquear los puertos de ingreso a la red, para mantenerla segura de conexiones externas. Existen mltiples elementos relacionados con esta funcin del router, como por ejemplo, la DMZ.

REDES DESMILITARIZADAS (DMZ)

HISTORIA BREVE DE DMZ

El trmino zona desmilitarizada aplicado a la seguridad informtica procede probablemente de la franja de terreno neutral que separa a los pases inmersos en un conflicto blico. En la Guerra de Corea, an vigente y en tregua desde 1953. Paradjicamente, a pesar de que esta zona desmilitarizada es terreno neutral, es una de las ms peligrosas del planeta, y por ello da nombre al sistema DMZ. Igualmente, el uso en informtica no tiene que ver con la Guerra de Corea

 La DMZ que significan Demilitarized Zone por sus siglas en ingls, se traduce en algo as como zona desmilitarizada. Es una red local, que se encuentra ubicada entre la red interna de cualquier organizacin y la red externa a ella (Internet). Tambin es conocida como red perimetral.

 Es el servidor de seguridad interno y la red interna que incorpora segmentos de red para los servidores de infraestructura, los servidores de bases de datos y administracin, y los servidores corporativos.

 La DMZ acta como una especie de filtro entre la conexin a Internet y la red de ordenadores particulares en donde opera, teniendo como objetivo principal verificar que las conexiones entre ambas redes sean permitidas.

 Una red de rea de almacenamiento (SAN, Storage Area Network) se encarga de centralizar el almacenamiento e implementar una solucin de copia de seguridad y restauracin a alta velocidad que no interfiera con la red de produccin.

 La zona desmilitarizada (DMZ) se encuentra entre la red de permetro y la red interna, y est separada de ellas por servidores de seguridad a ambos lados.

Esta red contiene servidores que proporcionan dos grupos bsicos de servicios.

El primero es el servicio Web de aplicaciones para el usuario, formado por servidores en los que se ejecuta Internet Information Server (IIS).

Este grupo ofrece los servicios Web fundamentales y se comunica con los clientes de Internet a travs de los protocolos de transporte estndar de Internet, como HTTP o HTTPS. Estos servidores se renen en clsteres con el servicio Equilibrio de la carga en la red.

 El segundo grupo de servidores proporciona servicios de red como el Sistema de nombres de dominio (DNS, Domain Naming System). Todos los servidores de la red DMZ tambin pueden comunicarse con recursos internos, como los servidores de bases de datos y otros componentes adicionales que formen parte de la red interna.

 los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada.

Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.

FUNCION DE LA DMZ
La principal funcin de la DMZ ,es permitir que los equipos (Hosts), puedan prestar algunos servicios a la red externa, como por ejemplo, servicios de correo electrnico y funcionar como un filtro protector para la red interna, protegindola de intrusiones maliciosas que puedan comprometer su seguridad

 Las DMZ son utilizadas por lo general, para ubicar los equipos que se usarn como servidores, los cuales deben ser accedidos por conexiones externas.

CONFIGURACION HABITUAL DE LA DMZ

Las DMZ son configuradas habitualmente con dos Firewall, adicionndole una seguridad sorprendente a la red a la cual protegen. Generalmente, se colocan entre un corta fuegos que protege de las conexiones externas y otro cortafuegos, que se ubica a la entrada de la red interna o Firewall de subred.

 Con este sistema, se pretende evitar configuraciones errneas que puedan comprometer la seguridad de la red y permitir que conexiones remotas de la red externa, lleguen a la interna.

 Podemos decir entonces, que las DMZ son importantes elementos de seguridad de redes diseados para mantener los datos seguros. Por lo general, se puede acceder a las DMZ desde el cortafuegos o desde la pgina de configuracin del router.

ENTORNO EMPRESARIAL
En una arquitectura de seguridad con DMZ, se denomina DMZ host al ordenador que, situado en la DMZ, est expuesto a los riesgos de acceso desde Internet. Es por ello un ordenador de sacrificio, pues en caso de ataque est ms expuesto a riesgos.

 Normalmente el DMZ host est separado de Internet a travs de un router o mejor un cortafuegos. Es aconsejable que en el cortafuegos se abran al exterior nicamente los puertos de los servicios que se pretende ofrecer con el DMZ host.

 En una arquitectura de seguridad ms simple el router estara conectado, por un lado a la red externa (usualmente Internet), por otra parte a la red interna, y en una tercera conexin estara la DMZ, donde se sita el DMZ host.

ENTORNO DOMESTICO
En el caso de un router de uso domstico, el DMZ host se refiere a la direccin IP que tiene una computadora para la que un router deja todos los puertos abiertos, excepto aquellos que estn explcitamente definidos en la seccin NAT del router. Es configurable en varios routers y se puede habilitar y deshabilitar.

 Con ello se persigue conseguir superar limitaciones para conectarse con segn qu programas, aunque es un riesgo muy grande de seguridad que conviene tener solventado instalando un firewall por software en el ordenador que tiene dicha ip en modo DMZ.

 Para evitar riesgos es mejor no habilitar esta opcin y usar las tablas NAT del router y abrir nicamente los puertos que son necesarios.

 La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de: E-mail, Web y DNS.

ARQUITECTURA DE DMZ
Cuando algunas mquinas de la red interna deben ser accesibles desde una red externa (servidores web, servidores de correo electrnico, servidores FTP), a veces es necesario crear una nueva interfaz hacia una red separada a la que se pueda acceder tanto desde la red interna como por va externa sin correr el riesgo de comprometer la seguridad de la compaa.

 El trmino "zona desmilitarizada" o DMZ hace referencia a esta zona aislada que posee aplicaciones disponibles para el pblico. La DMZ acta como una "zona de bfer" entre la red que necesita proteccin y la red hostil.

Por lo general, la poltica de seguridad para la DMZ es la siguiente:

El trfico de la red externa a la DMZ est autorizado El trfico de la red externa a la red interna est prohibido El trfico de la red interna a la DMZ est autorizado El trfico de la red interna a la red externa est autorizado El trfico de la DMZ a la red interna est prohibido El trfico de la DMZ a la red externa est denegado

 De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles de la compaa.

 La diferencia entre una red militarizada, la red desmilitarizada tiene direcciones IP validas en todas las maquinas de la red local.

 para aumentar la seguridad en nuestra red fue particionar nuestra red usando puertas (gateways). Un puerta es una computadora con dos interfaces de red y que sirve para conectar dos redes diferentes.

La Fig. 1 muestra como puede realizarse una red interna con direcciones IP no validas con una puerta.

 Esta caracterstica hace casi imposible acceder a las maquinas de la red interna, pero a su vez todas las computadoras en la red interna pueden acceder la red externa e Internet.

 La definicin de un cortafuegos es semejante a una puerta una maquina que tiene dos interfaces de red que sirve unir dos redes diferente, solo que ahora es necesario configurar reglas de acceso en cada interfaz.

 Estas reglas pueden ser por red, por direccin IP y/o por protocolo, y con esto definen lo puede pasar (o bloquear) por cada una de sus interfaces.

El esquema de uso de un cortafuegos se muestra en la Fig. 2

 El ruteador es necesario para prevenir ataques de fragmentacin de paquetes a nuestra red. Este ruteador estn inteligente que permite colocar reglas de cortafuegos en el.

SEGURIDAD EN LAS REDES

 Hoy en da, usuarios con conocimientos tcnicos y un equipamiento adecuado pueden causar graves daos a infraestructuras informticas, pero los ataques ms sofisticados no son indiscriminados ni utilizan la llamada fuerza bruta, como puede ser el caso de un ataque DDoS.

 Normalmente, las redes que necesitan una alta seguridad, como pueden ser las que utilizan los bancos o las que controlan el transporte pblico, no estn conectadas a Internet con el objetivo de aumentar su seguridad, fiabilidad y por cuestiones econmicas.

TIPOS DE REDES MILITARES CONOCIDAS

 El Pentgono usa diferentes redes informticas propias, desconectadas de Internet, para la transmisin de informacin. Dos de las ms conocidas son NIPRNet, para el trfico sin clasificar, y SIPRNet, que utiliza un entorno ms seguro en las comunicaciones, para los documentos clasificados. Esta red es la que emplean las embajadas de Estados Unidos para el envo de cables diplomticos y es una de las redes a las que se supone que accedi el sargento Bradley Manning para copiar los cables diplomticos publicados en 2010 por WikiLeaks. Otra de ellas es JWICS, para transmisin de documentos clasificados como "Top Secret".

NIPRNet
El Protocolo de clasificar, pero sensible de Internet (IP) de red del router ( abreviado como "NIPRNet", pero comnmente escrito "NIPRNET" ), pero predominantemente a que se refiere como el "no clasificado de red IP del router," se utiliza para intercambiar sensible pero no clasificado de informacin entre los "internos" los usuarios, as como proporcionar a los usuarios el acceso a la Internet . NIPRNet se compone de Protocolo de Internet routers de propiedad del Departamento de Defensa (DOD).Fue creado en la dcada de 1980 y administrado por la Agencia de Sistemas de Informacin de Defensa (DISA) para reemplazar a la anterior MILNET . [NIPRNET es la mayor red privada en el mundo. En las ltimas dcadas ha crecido ms rpido que el EE.UU. Departamento de Defensa puede controlar,

SIPRNet
El secreto del protocolo de Internet Router Network ( SIPRNet pronuncia SipperNet) es "un sistema de interconexin delas redes de ordenadores utilizados por el Departamento de Defensa de Estados Unidos y el Departamento de Estado de EE.UU. para transmitir informacin clasificada (hasta e incluyendo la informacin clasificada SECRET) por conmutacin de paquetes ms el TCP / IP protocolos en un "completamente seguro" medio ambiente ". Adems, presta servicios tales como el hipertexto y el acceso a los documentos por correo electrnico . Como tal, es SIPRNet versin clasificada del Departamento de Defensa de la poblacin civil de Internet .

JWICS
El Conjunto de Inteligencia en todo el mundo Sistema de Comunicaciones ( JWICS pronunciada JAYwicks), es un sistema de interconexin de redes informticas utilizadas principalmente por el Departamento de Defensa estadounidense , Seguridad Nacional y el Departamento Federal de Justicia para transmitir informacin clasificada por la conmutacin de paquetes sobre TCP / IP en un entorno seguro.

 Tambin ofrece servicios tales como hipertexto documentos y correo electrnico. En otras palabras, el JWICS es la versin de Top Secret del Departamento de Defensa de la Internet .

CASO DE EL GOBIERNO ESTONIO

En abril de 2007, una serie de ataques informticos contra sitios de Internet del Gobierno estonio dejaron fuera de servicio numerosas pginas, incluidas las militares, de partidos polticos y de algunas de las principales empresas del pas, como conglomerados mediticos y bancos.

 Este ataque, realizado mediante DDoS, est considerado como uno de los mayores realizados contra un pas.

ATAQUE DE DENEGACIN DE SERVICIO

En seguridad informtica, un ataque de denegacin de servicio, tambin llamado ataque DoS ( Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos.

 Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima.

Diagrama de un ataque DDoS usando el software Stacheldraht

El software Stacheldraht
En el ao 2007 el pentgono dio a conocer que sufri un peligroso ataque que como consecuencias dejo sin comunicacin y sin contra uno de sus satlites militares por mas de 15 minutos esto se genero debido a que un hacker penetro la seguridad de sus redes ocupando una versin de el conocido stacheldraht

Stacheldraht
Su origen es alemn y la palabra significa alambre de pas , es un programa malicioso creado Por un Hacker conocido con el alias de Randomizer a mediados de 1999, que oculta la pista entre los sistemas comprometidos y el Atacante a travs del Cifrado simtrico de datos y un Master, el Atacante puede controlar miles de computadoras con escribir un simple comando,

CMO EST COMPUESTO STACHELDRAHT?

Stacheldraht Fue diseado para trabajar bajo sistemas Solaris, pero funciona Perfectamente sobre Sistemas GNU/Linux tambin Stacheldraht est compuesto por 3 partes bsicas, las cuales son: Cliente (Client) Master (Handler) Agente (Agent)

El Cliente
El cliente (Client) es un programa parecido a Telnet llamado en Stacheldraht "Client.c", que Cifra los datos en sus conexiones mediante el Algoritmo de cifrado simtrico Blowfish. El Cliente es el programa utilizado por el Atacante para conectarse y comunicarse con los Masters de Agentes (Handlers), y se encuentra dentro del directorio.

El Master (Handler)
El Master de Agentes (Handler) Es un programa Controlado por el Cliente, que tiene la capacidad de controlar 1 ms Agentes Instalados en servidores Zombie, En Stacheldraht es llamado "mserv.c" y no se encuentra dentro de ningn directorio,est "Suelto".

 Antes de Instalar un Master en un servidor, ste debe ser previamente Configurado para establecer la contrasea que deber introducir el Cliente (Atacante) para poder conectarse y comunicarse con l, a travs de un programa llamado "Setup", el cul se encuentra "Suelto" en el mismo directorio que el Master (mserv.c), La contrasea por defecto del Master en el Stacheldraht Original es "Sicken".

 En el cdigo del programa del Master hay un lmite para Agentes, el cul es de un mximo de 1000, no se conoce el por qu de ste lmite, pero el cdigo dice claramente que slo "1000 sockets son Permitidos".

El Agente (Agent)
El Agente (Agent) es un programa que es controlado directamente por los Masters de Agentes (Handlers), y es el programa el cul al ser instalado en algn servidor, lo compromete y lo conecta directamente con el Master, Dndole el control total al Atacante y convirtindose en un Zombie ms para nuestra lista.

 El Agente es llamado en Stacheldraht y se encuentra dentro de la carpeta "Client", antes de instalar un Agente, Este tiene que ser previamente configurado para indicrsele las direcciones IP de los Masters a los cuales deber conectarse una vez que haya sido instalado en alguna mquina, utilizando el programa "Setup", el cual se encuentra en su mismo directorio Cada Agente tiene capacidad para conectarse a 2 Masters, no ms.

Por qu no establecer la Conexin directa entre el Cliente y el Agente?

La conexin de tipo Cliente/Master/Agente brinda bastantes beneficios, uno de ellos es que el Atacante (Cliente), puede Spoofear su Direccin IP verdadera al conectarse con el Master, haciendo as que la conexin entre el Master/Agente sea Totalmente Annima.

Spoofing
En trminos de seguridad de redes hace referencia al uso de tcnicas de suplantacin de identidad generalmente con usos maliciosos o de investigacin.

IP Spoofing
Suplantacin de IP. Consiste bsicamente en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar.

Funcionamiento de Stacheldraht

Explicacin
Vemos que hay 2 Clientes (Atacantes), los cuales se conectan a los servidores Masters (Handlers) y la comunicacin entre stos est cifrada simtricamente con Blowfish, vemos que los Agentes (Agents) se han conectado a los Masters que se les asign previamente al configurarlos, y estn esperando las rdenes del Atacante (Client), ste ordena el ataque, y todos los Agentes atacan sistemticamente a la Vctima especificada por el atacante.

POR SU ATENCION

GRACIAS