Professional Documents
Culture Documents
Medios de transmission
- Twisted pair, baseband & broadband coaxial cable, fibra ptica, radio
transmission, microwave transmission, cellular radio, satellite.
- Bandwidth, delay, cost, installation and maintenance.
Protocolos
- X.25, X.75 (orientado a conexin)
- IP, SLIP, PPP, TCP/UDP, SNA/SDLC/DIC, ISDN, CHAP, PAP, ARP,
ICMP, Frame delay, (conexin y no conexin)
Modelo ISO/OSI
- IEEE estndar 802 para LANs y MANs
(ethernet.3, token ring.5, MAN.6)
Quin es el responsable?
Empleados
Hackers (curiosos, vndalos y criminales)
Operadores de telfono
Criminales de cmputo profesionales
IP
La parte fundamental de los servicios ofrecidos por Internet consiste en el sistema
de entrega de paquetes. Este servicio est definido como:
-No confiable
-Mejor esfuerzo
-Sin conexin
El protocolo que define los mecanismos de entrega poco confiable y sin conexin
se conoce como Protocolo Internet (IP).
TCP (Transmisin Control Protocol)
Es un protocolo de transporte de propsito general, puede ser usado sobre
cualquier sistema de entrega de paquetes, no necesariamente sobre IP. TCP no
supone caractersticas de la red subyacente.
TCP/IP
Suite de protocolos de comunicaciones para redes de tipo abierto utilizados en un
modelo de 4 capas desarrollado por la Advanced Research Projects Agency del
DoD y tomando como referencia el modelo OSI.
4.2 INTERNET/EXTRANET/INTRANET
Dispositivos de conectividad en las comunicaciones
Arquitectura Internet
Los procesos tienen puertos: la combinacin de un puerto ID y el IP destino
(address) del host es un Socket: las conexiones son un set de sockets.
Algunos ejemplos son: puertos TELNET, FTP, TCP, UDP.
Protocol Relationship Tables son los diferentes servicios que dan los protocolos y
en que puertos se realizan.
Caractersticas de Internet
Red de redes
Topologa mundial (malla)
Broadcast packet-switched
Peer connected (interconexin entre capas)
Conexin de cualquiera con cualquiera (no restriccin)
Interoperatibilidad en incremento
Autoridad NO centralizada
SEGURIDAD EN INTERNET.
El fenmeno de la extensin de la Internet ha adquirido una velocidad tan rpida y
unas proporciones, que el panorama actual y muchos de los efectos que se dan
en su seno resultan sorprendentes y difcilmente imaginables hace slo una
dcada.
Inicialmente Internet nace como una serie de redes que promueven el intercambio
de informacin entre investigadores que colaboran en proyectos conjuntos o
comparten resultados usando los recursos de la red. En esta etapa inicial, la
informacin circulaba libremente y no exista una preocupacin por la privacidad
de los datos ni por ninguna otra problemtica de seguridad. Estaba totalmente
desaconsejado usarla para el envo de documentos sensibles o clasificados que
pudieran manejar los usuarios, situacin esta muy comn, pues hay que recordar
que la Internet nace como un contrato del Departamento de Defensa Americano
-ao 1968- para conectar entre s tanto las Universidades como los Centros de
Investigacin que colaboran de una manera u otra con las Fuerzas Armadas
Norteamericanas.
Los protocolos de Internet fueron diseados de una forma deliberada para que
fueran simples y sencillos. El poco esfuerzo necesario para su desarrollo y
verificacin jug eficazmente a favor de su implantacin generalizada, pero tanto
las aplicaciones como los niveles de transporte carecan de mecanismos de
seguridad que no tardaron en ser echados en falta.
Ms recientemente, la conexin a Internet del mundo empresarial se ha producido
a un ritmo vertiginoso muy superior a la difusin de ninguna otra tecnologa
anteriormente ideada. Ello ha significado que esta red de redes se haya convertido
en "la red" por excelencia. Esto es, el medio ms popular de interconexin de
recursos informticos y embrin de las anunciadas autopistas de la informacin.
Se ha incrementado la variedad y cantidad de usuarios que usan la red para fines
tan diversos como el aprendizaje, la docencia, la investigacin, la bsqueda de
socios o mercados, la cooperacin altruista, la prctica poltica o, simplemente, el
juego. En medio de esta variedad han ido aumentando las acciones poco
respetuosas con la privacidad y con la propiedad de recursos y sistemas. Hackers,
frackers, crakers... y dems familias han hecho aparicin en el vocabulario
ordinario de los usuarios y de los administradores de las redes.
La propia complejidad de la red es una dificultad para la deteccin y correccin de
los mltiples y variados problemas de seguridad que van apareciendo. Adems de
las tcnicas y herramientas criptogrficas antes citadas, es importante recalcar
que una componente muy importante para la proteccin de los sistemas consiste
en la atencin y vigilancia continua y sistemtica por parte de los gestores de la
red. Como ejemplo, en la tabla ms abajo se recoge una lista exhaustiva de
problemas detectados, extrada del libro: "Firewalls and Internet Security. (...)".
LISTA DE PELIGROS MS COMUNES EN SISTEMAS CONECTADOS A INTERNET
2.-
3.-
4.-
Los paquetes ICMP pueden interrumpir todas las comunicaciones entre dos
nodos.
5.-
6.-
7.-
8.-
El rbol inverso del DNS se puede usar para conocer nombres de mquinas.
9.-
18.-
26.- Los servidores WWW deben tener cuidado con los punteros de ficheros.
27.- Se puede usar ftp para crear informacin de control del gopher.
28.-
35.- Las X11 son muy peligrosas incluso a travs de una pasarela.
Las herramientas de monitorizacin de red son muy peligrosas si alguien
36.- accede
ilegtimamente a la mquina en que residen.
37.- Es peligroso hacer peticiones de finger a mquinas no fiables.
38.-
Enlaces Cliente-Red:
En estos enlaces se encapsula, tpicamente, PPP (Point-to-Point Protocol).
Las tramas del cliente se encapsulan en PPP, y el PPP resultante se
encapsula para crear el VPN. Se emplean, entre otras muchas cosas, para:
Enlaces Red-Red:
En estos casos se est encapsulando el trfico de una red local, por lo que
nos ahorramos el paso PPP anterior. Las tramas de la LAN se encapsulan
directamente para crear el VPN. Se utiliza para:
o
Fundir dos redes locales a travs de Internet, para que parezcan una
sola.
Dado que la configuracin que est teniendo mas fuerza es la de tener un router
para que de acceso a Internet a todos los ordenadores de la red, nos centraremos
en esta.
Evidentemente toda la teora e implementacin de VPNs tambin funciona sobre
routers RDSI con acceso a Internet, los agujeros a crear en el router son los
mismos.
En primer lugar tenemos que crear dos agujeros en unos puertos de estos routers,
esto es necesario ya que las redes privadas virtuales generan peticiones de
entrada y salida sobre los puertos y adems le tenemos que decir al router a que
ordenador local tiene que redireccionar estas peticiones. El router al conectarse a
Internet recibe una IP del proveedor de acceso, en cambio a nivel local tiene un IP
reservada para redes locales, por lo que el router tiene que saber a que ordenador
local tiene que reenviar los paquetes que lleguen con una peticin a los puertos
DATOS ENCRIPTADOS
IP-H
IP-H
KEY-ID
DATOS
DATOS
DATOS ENCRIPTADOS
NLSP (Capa 3)
Objetivos de SSL:
1. Seguridad criptogrfica. Se sugiere el uso de SSL para establecer
conexiones seguras entre dos partes.
2. Interoperabilidad. Programadores independienvtes deben poder desarrollar
aplicaciones basadas en SSL, que intercambien parmetros criptogrficos
sin tener conocimiento de los cdigos de los programas de cada uno.
APLICACIN
SSL
TCP/IP
autorizados para realizar o aceptar un pago electrnico, fue desarrollado por Visa
y Master Card.
ANLSIS DE LOS NIVELES DE SEGURIDAD
NIVEL D1
El nivel D1 es la forma ms elemental de seguridad disponible. Este
estndar parte de la base que asegura, que todo el sistema no es confiable. No
hay proteccin disponible para el hardware, el sistema operativo se compromete
con facilidad, y no hay autenticidad con respecto a los usuarios y sus derecho,
para tener acceso a la informacin que se encuentra en la computadora. Este
nivel de seguridad, se refiere por lo general a los sistemas operativos como MSDOS, MS-Windows y System 7.x de Apple Macintosh.
NIVEL C1
El nivel C1 tiene dos subniveles de seguridad C1 y C2. El nivel C1, o sistema de
proteccin de seguridad discrecional, describe la seguridad disponible en un
sistema tpico UNIX. Existe algn nivel de proteccin para el hardware, puesto
que no puede comprometerse tan fcil, aunque todava es posible.
Los usuarios debern identificarse as mismos con el sistema por medio de un
nombre de usuario y una contrasea. Esta combinacin se utiliza para determinar
que derechos de acceso a los programas e informacin tiene cada usuario. Estos
derechos de acceso son permisos para archivos y directorios. Estos controles de
acceso discrecional, habilitan al dueo del archivo o directorios, o al administrador
del sistema, a evitar que algunas personas tengan acceso a los programas i
informacin de otras personas. Sin embargo, la cuenta de administracin del
sistema no est restringida a realizar cualquier actividad.
En consecuencia, un administrador del sistema sin escrpulos, puede
comprometer con facilidad la seguridad del sistema sin que nadie se entere.
NIVEL C2
El nivel C2, fue diseado para ayudar a solucionar tales hechos. Juntos
con las caractersticas de C1, el nivel C2 incluye caractersticas de seguridad
adicional, que crean un medio de acceso controlado. Este medio tiene la
capacidad de reforzar las restricciones a los usuarios en la ejecucin de algunos
comandos o el acceso a algunos archivos, basados no solo en permisos si no en
niveles de autorizacin. Adems la seguridad de este nivel requiere auditorias del
sistema.
Esto incluye a la creacin de un registro de auditoria para cada evento que
ocurre en el sistema. La auditoria se utiliza para mantener los registros de todos
los eventos relacionados con la seguridad, como aquellas actividades practicadas
por el administrador del sistema. La auditoria requiere de autenticacin adicional.
Flooding o Jamming:
Descripcin
Echo replay
Destination Unreachable
Source Quench
Redirect (cambio de ruta)
Echo Request
Time Exceded for 2 Datagram
Parameter Problem on a Datagram
Timestamp Request
Timestamp Replay
Smurfing
Metric:1
RX packets: 0 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0
Interrupt:15 Base Address:0x300
El problema de esta solucin es que se necesita tener acceso root a todas las
mquinas que deben comprobarse (otra opcin sera hacer un crontab que
compruebe el estado cada cierto tiempo, sin embargo un cracker con acceso al
sistema puede ver los trabajos en cron y deshabilitar esta verificacin).
Segn vIERJa <vIERJa@cyberdude.com>, corre el rumor de que algunas tarjetas
de red ethernet envan un broadcast al entrar en modo promiscuo; sin embargo
hasta el momento nadie ha podido confirmar este punto.
[Nota: No disponemos todava de informacin acerca de cmo detectar sniffers en
Windows NT y/o PPC. Cualquier aportacin al respecto sera de gran ayuda.]
Recursos
Algunos de los sniffers ms conocidos son:
CORREO ELECTRNICO
El correo electrnico es el servicio de envo y recepcin de mensajes entre los
usuarios que conforman una red de computadoras. Estos mensajes llegan a
cualquier parte del mundo en segundos, a lo sumo en minutos. Cada usuario tiene
su propia direccin en la red, tpicamente en la forma "nombre@conexin".
El correo electrnico es uno de los servicios ms importantes de su conexin al
usar la red.
Una vez que usted se acostumbra a utilizar seriamente este medio de
comunicacin es muy fcil depender de l. En unos meses decenas de amigos,
familiares, colegas, etc., tendrn su direccin electrnica al igual que usted la de
ellos.
Calidad
TCC est dedicada a productos y servicios de calidad. TCC est certificada por
ISO 9001. ISO 9001 otorgado por TUV es el estndar ms riguroso para sistemas
de calidad total en diseo/desarrollo, produccin, instalacin y servicios.