Professional Documents
Culture Documents
Seguridad y protección en redes de comunicaciones.
Sistemas de cortafuegos.
Redes Privadas Virtuales (VPN).
Seguridad en el puesto de usuario.
1. Seguridad y Protección en redes de comunicaciones
Definición: la capacidad de una red de resistir, con un nivel de confianza, las acciones que comprometan
la confidencialidad, integridad, disponibilidad y autenticidad de la información almacenada o
transmitida y de los servicios que se ofrecen.
Estudio de la Seguridad por Niveles OSI ‐ Tipos:
• FÍSICA: Nivel de la arquitectura de protocolos de una red
• LÓGICA
1.1. Nivel Físico Æ Ataque al nivel físico del modelo OSI con:
• Software por monitorización de tráfico de red con programas de análisis de tráfico como
rastreadores o “sniffers”.
• Analizadores de red físicos por acceso físico al cable o al equipo de red (switch, router).
o Medidas de protección: Instalación de programas “antisniffers” y la segmentación de LAN
(creación de VLAN).
• Redes inalámbricas (Wifi): Protección a nivel lógico por restricción de direcciones de red, filtrado
MAC, emisión de menor potencia, etc.
1.2. Nivel Enlace Æ Ataque al protocolo ARP (Address Resolution Protocol), rigen la forma de relacionar
direcciones MAC con direcciones IP.
Ataque típico: Man In The Middle (MITM), usa el protocolo ARP. Ataque de modificación: Hace
corresponder direcciones IP con direcciones MAC que no son correctas, el emisor envíe la información al
intruso, que a su vez la retransmitirá al receptor legítimo, con acceso a la información transmitida.
Defensa:
• Utilización de “switches”,
• Segmentación red,
• Creación tablas ARP estáticas (difícil mantenimiento),
• DHCP “snooping”,
• Programas que detectan estos ataques.
Ataques a “switches” por:
• Desbordamientos de tablas ARP o
• Vulnerabilidades del protocolo STP (protocolo de “árbol de expansión”). Se evitan configurando
indicaciones del fabricante.
1.3. Nivel Interred Æ Consiste en explotar las debilidades de los protocolos (en particular IP).
Ataques Nivel Interred:
• “SNIFFING” o monitorización: Analiza el tráfico de una red. Interceptación contraseñas
• “SPOOFING” o falsificación: Falsificación de algún parámetro
• “DENIAL OF SERVICE (DoS)” y/o “FLOODING” (Denegación de servicio y/o ataques de inundación):
Ataque MITM falsifica una dirección MAC o IP.
Seguridad y protección en redes de comunicaciones. 1
Bloque IV – Tema 9
Robo o secuestro de una sesión (Hijacking – Falsificación IP): Analiza conversación entre 2 máquinas y
fabricar paquetes con su dirección IP falsificada y otros parámetros del protocolo para quedarse con la
conversación
Denegación de servicio (DoS) y de Denegación Distribuida: evita que una máquina ofrezca el servicio para el
que trabaja. Expulsa a una organización de la red y afecta a la reputación.
Tipos Ataques DoS:
• Fragmentación: debilidades programación protocolos ante paquetes mal construidos
o Ejemplo: “ping” de la muerte y “teardrop”.
• Inundación: consisten en enviar mucho tráfico inútil y al intento de responder, se satura. No da
servicio
o Ejemplo: “smurf”, “fraggle”, “echo‐chargen”.
• Denegación de servicio distribuida (DDoS): El atacante domina numerosos equipos con troyanos o
coordinación, sincronizan y lanzan el ataque, generando ruido y evita que preste servicio.
Solución muy documentada. Los SO están programados para evitarlos. Los dispositivos red deben
configurarse, deshabilitando el broadcast.
1.4. Nivel Transporte Æ Los puertos son los puntos de entrada más comunes de los ataques de red.
Tipos de Ataque:
• OS fingerprint o huella del puerto (Escaneo de puertos): realizar peticiones de conexión, si contesta
existirá un servicio e identifica la contestación de un SO. No contesta no hay servicio o esta filtrado.
• Negociación de sesión o el intercambio de números de secuencia: Se aprovechan debilidades de los
protocolos. Hay sistemas que generan números de secuencia no del todo aleatorios, e intentar
adivinar esos números y hacerse pasar por la víctima (robos de sesión).
• Ataques de repetición: Observando el tráfico de la red podría repetir la información y generar un
grave perjuicio a la víctima. Se evita en el software con mejoras de parches (actualizaciones), tapan
agujeros.
Medidas de Seguridad:
• A Nivel Cuatro el equipo o “software” es el
“firewall”, realiza la función de filtro o control de la
comunicación. Herramienta básica: las listas de
control de acceso o ACL (conjunto de comandos
que definen reglas de filtrado de tráfico en un
interfaz y en un sentido (entrada o salida)).
• La inclusión de “firewallls” en la red, define una
estructura de seguridad llamada la zona
desmilitarizada o DMZ. Allí se encontrarán los
servidores web, de correo, de aplicaciones, etc.
(activos más importantes)
Se limita al menos con un “firewall” y el tráfico de acceso a los servidores y a la red interna de la organización
está controlado. Este permite comunicar la zona interna con la DMZ y esta con el exterior, pero no
directamente.
• “Honeypots” y “honeynets” (anzuelos o señuelos): Consisten en exponer un equipo (“honeypot”,
tarro de miel) a ataques y descubrir patrones de ataque. (“honeynet”, mismo concepto, red dulce,
real o virtual).
Seguridad y protección en redes de comunicaciones. 2
Bloque IV – Tema 9
│ S.O.
1.5. Nivel Aplicación Æ Tres ámbitos de seguridad (condicionamientos): │Aplicaciones
│ Internet
• S.O.:
o SO y servidores, configurar con seguridad básica, limitando al máximo los permisos.
o Políticas de filtrado restrictivas, deben filtrar todos los puertos y configurar registros (logs) para
análisis de la huella del intruso (análisis forense).
o SO y “software” actualizado con “parches” y actualizaciones de los fabricantes.
o Medidas transversales de seguridad (copias de seguridad, contraseñas fuertes en acceso).
• Aplicaciones:
o Vulnerabilidades ejecución de programas con agujeros de seguridad o transmisión de programas
tipo virus
o Tipos de virus:
Bombas lógicas, se activan al darse una condición. (“barrotes”)
Troyanos, inst. serv. remoto y realizará peticiones a ese servidor, obtiene control
máquina infectada.
Gusanos, virus que se duplican utilizando procesos del SO infectado
o Propagación:
Embebidos en archivos comunes
dispositivos de almacenamiento extraíbles tipo “usb”
Clientes de correo electrónico, virus camuflados en archivos de bromas o juegos
Programas P2P
o Protección:
Tener y actualizar el Antivirus (compara con un patrón o firma).
Configuración correcta los clientes y servidores de correo electrónico
Ej.: “mail‐bombing” (envío masivo de correo) o generar “spam”
• Internet.
o El “software” de Internet o la conexión a redes no seguras son vía de infección o inseguridad.
o Los programas que aprovechan vulnerabilidades (exploits).
o Ejemplos las debilidades NetBios en consola remota. En software son la inyección SQL
(sentencias SQL en formularios o consultas “web”).
o Programas como los “keyloggers” (captura de pulsaciones)
1.6. Nivel Meta Aplicación Æ Es algo más allá del software, se refieren a aspectos más humanos que
técnicos.
• Dos conceptos:
o Ingeniería social
o Criptografía.
Ingeniería social:
• Conjunto de técnicas basadas en relaciones humanas, que usa un intruso para generar una situación
de inseguridad.
• Los ataques se apoyan en la interacción humana.
• Ejemplo: “phising”.
Criptografía:
• Podría hablarse de cifrado.
• Técnicas de reescriben la información para que no leerse fácilmente.
• Conceptos verticales, afectan a toda la comunicación y pueden implementarse en una o en cada capa
de la pila OSI.
Seguridad y protección en redes de comunicaciones. 3
Bloque IV – Tema 9
Tipos de cifrado:
• Simétrico: una clave secreta que comparten emisor y receptor. El emisor y el receptor cifran y
descifra con la misma clave.
o Cifrado simétrico, para el mismo número de “bits” de la clave, es más robusto que el
asimétrico y más rápido
• Asimétrico: dos claves, una privada y otra pública (llave y candado).
o Emisor envía un mensaje cifrado con el candado del receptor, su clave pública. Cuando el
mensaje llega al receptor éste lo descifra con su clave privada, la llave del candado.
o La clave pública, cifra, no descifra, conociendo la clave pública no se conoce la privada. Esto
significa que un mensaje cifrado con clave pública, sólo se descifra con la privada.
o Usar cifrado asimétrico se intercambian certificados digitales de confianza, que son una clave
pública, emitida por una autoridad de certificación (FNMT).
o Se utiliza al comienzo de la comunicación para establecer una clave secreta válida para una
sesión.
Ámbitos de aplicación:
• Cifrado de las comunicaciones
o Nivel dos cifrado simétrico, con protocolos como PPTP, L2F o L2TP y cifrado PAP o CHAP.
o Nivel 3 se utiliza IPSEC
o Niveles superiores SSL o TLS.
• Creación de redes privadas virtuales (VPN)
o Cifrado virtual entre dos equipos
o Modos de trabajo
Modo Túnel: Túnel entre dos equipos intermedios de la red
Modo Extremo a Extremo: conexión cifrada de emisor a receptor
• Firma digital.
o garantizar la autenticidad (no repudio) y la integridad
o Un emisor genera un mensaje, que es resumido. El resumen se cifra con la clave privada del
emisor. Se podrá descifrar con la clave pública del emisor. Qué información se obtiene:
ninguna, sólo un resumen, 256 “bits”. Aporta conocer al firmante, si el resumen es correcto,
el origen es correcto, porque sólo se puede descifrar con su clave pública.
o Por otro lado, se envía el mensaje original, junto con la firma, cifrados con la clave pública del
receptor. El receptor descifra dos cosas: el mensaje original y la firma (el resumen cifrado).
Con el mensaje descifrado, se calcula un resumen candidato. Con la clave pública del emisor,
se descifra el resumen de la firma. Si coinciden, la comunicación es correcta, el mensaje
original es íntegro y el autor, es el firmante.
1.7. Seguridad de red por objetivo Æ Visión horizontal de la seguridad en redes, relaciona la defensa del
sistema en función de su objeto, con los niveles de la arquitectura.
• Confidencialidad. Antivirus, conexiones seguras (SSL, IPSec, SSH…), técnicas de resumen y cifrado,
redes privadas virtuales (VPN).
• Disponibilidad. Sistemas de cortafuegos, antivirus, acceso remoto, redes privadas virtuales (VPN),
servicios de respaldo y recuperación, técnicas de monitorización, etc.
• Autenticidad. Sistemas de gestión de dominios y usuarios, sistemas de IDS–IPS, antivirus, técnicas
biométricas, técnicas de resumen y cifrado, firma digital.
• Integridad. Técnicas de resumen y cifrado, firma digital.
Seguridad y protección en redes de comunicaciones. 4
Bloque IV – Tema 9
2. Sistemas de Cortafuegos
• Es una estrategia de defensa basada en limitar los puntos críticos de entrada a lo que defender.
• Los sistemas cortafuegos son pieza clave de la seguridad perimetral.
Funciones: distinguir de zonas de una red según sus requisitos de seguridad o nivel de riesgo y el control del
tráfico entre esas zonas.
Definición: “Un conmutador de nivel 4”, siguiendo el modelo OSI, el nivel de transporte define un punto de
acceso al servicio (SAP), puerto. Es un dispositivo o aplicación (o su combinación) que hace
cumplir una política de control de acceso en las comunicaciones entre equipos de red según una
política de seguridad.
Características:
• Política de control de acceso: Acción de permitir o denegar el acceso a un recurso de red a un ente.
• Se identificará con un NSAP o número de identificación del punto de acceso al servicio (Nº de
puerto).
• Servicio con un nivel de privilegio, definido con una ACL (Lista Control Acceso).
• ACL: juegos de reglas (rulesets) que realizan el filtrado
• Tener en cuenta parámetros el rendimiento, disponibilidad o su facilidad de uso y gestión.
Criterio estudio/planificación:
• Ubicación
• Funcionalidad
• Inteligencia inspección del tráfico,
• Servicios añadidos (traducción direcciones)
• RPV (redes privadas virtuales)
• Integración mecanismos autenticación.
2.1. Tipos de cortafuegos
2.1.1. Por ubicación
• Cortafuegos de red:
o Controlan el tráfico de la red
o Dispositivo activo.
o Gestión centralizada de seguridad.
• Cortafuegos de sistema:
o Forma parte de un equipo de red.
o Ámbito es local
o Controla el tráfico de ese equipo.
o Difuminan las fronteras
o Mayor implementación, permite gestión centralizada.
2.1.2. Por función
Tipos cortafuegos en la torre de protocolos OSI:
¾ Nivel de enlace. Filtran direcciones MAC.
¾ Nivel de red. Filtran direcciones IP.
¾ Nivel de transporte. Filtran por protocolo (TCP, UDP) y puertos. Suelen permitir NAT,
añadiendo seguridad.
¾ Nivel de aplicación. Filtran por características propias protocolo peticiones DNS o URLs.
Tareas de Proxy.
Seguridad y protección en redes de comunicaciones. 5
Bloque IV – Tema 9
2.2. Criterios de seguridad
2.2.1. Zonas de actuación
Zonas a dividir una red por criterios de nivel de seguridad exigibles, son:
• “Intranet” (red interna organización),
• “Extranet” (red pública de recursos o servicios)
• “DMZ” (zona desmilitarizada, De‐Militarized Zone)
o Zona entre el cortafuego y la intranet.
o Redes nivel de protección especial, equipos críticos
o Una DMZ puede referirse a varias subredes.
o Un Cortafuego pueden definir varias DMZ con requisitos de seguridad distintos.
La segregación redes afecta a la arquitectura, forma estructurar la red
Correcto diseño de seguridad perimetral implica: compromiso entre el servicio de seguridad y la operatividad
del sistema (política seguridad).
Criterios comunes de seguridad para la identificación de redes con DMZ pueden ser los siguientes:
2.2.2. En profundidad o multicapa
Política seguridad ‐ tener en cuenta que:
• Ninguna tecnología es infalible,
• Existir errores de configuración,
• Operatividad que relaje configuraciones de seguridad
• Posibilidad de compromiso o intrusión.
Posibilidad de compromiso solución de seguridad estructurada (reducir intrusión o el impacto), debe
combinar:
• Seguridad de los SO (servidores),
• Separación de servicios en distintas máquinas (DNS, SMTP, web, BBDD),
• Aplicaciones de mínimo privilegio,
• Seguridad de los dispositivos de red,
• Cifrado de las comunicaciones,
• IDS, IPS u otros.
• Coste de implantación de seguridad
• Identificar un mínimo de recursos críticos donde centrar la seguridad.
2.2.3. Diversidad tecnológica
• Buscar tecnologías que se adapten a los criterios o necesidades de seguridad marcados por la
organización.
• Exigirá compatibilidad de uso de distintos fabricantes.
• Diversidad tecnológica aplicarse también a SO, servidores u otros.
• Con lleva coste en formación y mantenimiento.
• La diversidad tecnológica es redundancia con la perspectiva de la arquitectura, limitará faltas de
disponibilidad.
2.2.4. Mínimo privilegio
• Conceder privilegios estrictamente necesarios
• Establecer control de acceso.
Seguridad y protección en redes de comunicaciones. 6
Bloque IV – Tema 9
2.2.5. Sencillez‐ KISS (Keep It Simple, Stupid)
• Solución Sencilla es Correcta.
• Estructuras complejas dificultan el análisis y la administración, incrementa las vulnerabilidades.
• Denominación: KISS (Keep It Simple, Stupid).
• Seguridad interferir lo menos posible con la operatividad,
• Operatividad no debe relajar los criterios y requisitos de seguridad.
• Favorece la escalabilidad. Buena decisión un sobredimensionado de capacidad de equipos.
2.3. Arquitecturas Æ Describe su organización lógica y física de sus componentes.
Tipos de modelos:
• Funcionales o de caja negra: describen la función del sistema con relación al entorno.
• Estructurales o de caja transparente: describen el sistema detallando sus partes y relaciones.
Arquitecturas cortafuego:
2.3.1. SOHO. DMZ. Multizona con varios cortafuegos, evolución:
1) SOHO (Small Office‐Home Office).
o Red de pequeña oficina o doméstica
o No ofrece servicios externos.
o “Router” funciones de cortafuego.
2) Organización que ofrece servicios en Internet
o Separar los servicios públicos del resto de la red
interna con una DMZ
o En la intranet separación entre servidores y
estaciones de trabajo.
3) Diseño arquitectura por atacante interno
o Añade un nuevo nivel que identifica recursos más críticos.
2.3.2. Multi‐DMZ con un cortafuego, varios y por VLAN
Seguridad y protección en redes de comunicaciones. 7
Bloque IV – Tema 9
2) Varias DMZ con redes multizona,
o Usar varios cortafuegos añade un nivel adicional de seguridad.
o Facilita la gestión de redes complejas
o Configuración de los equipos se complica.
o Se incrementan los puntos de fallo, lo que en principio
robustece la red.
3) Service LEG: el router de acceso actúa como primera línea de defensa apoyando al primer cortafuego
o Diseño infraestructura multicapa de
distintos fabricantes,
o El “router” no implemente funciones
del primer cortafuego
o Distintos cortafuegos sean gestio‐
nados por distintos administradores
o Equilibrar el número de máquinas y
redes por dispositivo,
o Cumplir los requisitos de separación
en zonas de seguridad, prevenir daños
críticos en caso de compromiso
o Si el Cortafuego gestiona VLAN, la
arquitectura Multi‐DMZ, permite aislar servidores en un mismo nivel de seguridad.
2.4. Topologías Æ La topología de una red es la forma física que dibuja la forma de conexión de sus
elementos.
Tipos de topología cortafuegos:
2.4.1. Host Bastión. Screening router. Dual‐Homed‐Host
o Topología cortafuego en que un equipo conecta la red externa con la interna.
o SOHO, DMZ y multi‐DMZ con un cortafuego dibujan esta topología.
o Diferencias: lógica de funcionamiento.
Tipos:
1) “Screening router” o “router” de filtrado.
o Router configuran filtros o el “sw” de cortafuegos
o Los filtros en el router están limitados y afecta a su rendimiento.
o Diferencia reglas de filtrado con bloqueo del tráfico de una red o nodos específicos.
Seguridad y protección en redes de comunicaciones. 8
Bloque IV – Tema 9
2) Topología “dual‐homed‐host” o “dual‐homed‐gateway”,
o Un equipo cortafuego sin “screening router” y varios “interfaces” de red.
o Cortafuego puede ser un “host” bastión e implementar otros servidores.
o Diferencia a nivel lógico (funciones de “proxy”), haciendo de pasarela de aplicación (reglas
definidas) impidiendo el reenvío de tráfico directo entre la red interna y la externa.
o Mayor seguridad
o Administración acceso usuarios con:
¾ Pasarelas para las aplicaciones: no se permite explícitamente, se deniega. Permiso
aplicación habilitar con “sw” de “proxy”.
¾ Cuentas en el host bastión: Acceso usuarios a Internet más sencillo.
¾ Más fácil de actualizar su “sw”.
2.4.2. Screened host. Screened subnet
Topologías más complejas. P.e.: Una multizona o multi‐DMZ con varios cortafuegos, un “host” y dos
“routers” en una LAN protegida son topologías
• “Screened host”: un “firewall” apantallado tras un “router”.
• “Sscreened subnet”: una “subred” apantallada (“firewall” entre dos “routers”) formando entre
los 3 una LAN. El firewall implementaría un “proxy”, y esa LAN sería una zona o DMZ.
3. Redes Privadas Virtuales (VPN)
VPN (Virtual Private Network, Redes Privadas Virtuales, RPV), concepto:
• Redes compartidas por varios usuarios todos identificados tal que el tráfico cursado es
independiente.
• Proporcionar acceso seguro, en un entorno inseguro, a los recursos de una organización.
• Acceso de delegación remota o usuario móvil.
• Cortafuegos ofrecen funcionalidad VPN y control de acceso.
• VPN usa cifrado, considerar carga de proceso.
3.1. Tipos
¾ PPTP. (Point‐to‐Point Tunneling Protocol).
o Para VPN en WS.
o Vulnerabilidad a ataques MITM.
o Protocolo autenticación sólo contraseñas.
o Se aconseja el uso de L2TP o IPSec.
Seguridad y protección en redes de comunicaciones. 9
Bloque IV – Tema 9
¾ L2TP. (Layer 2 Tunneling Protocol).
o Extensión de PPP (Point‐to‐Point Protocol)
o Funciona a nivel 2 OSI
o Permite tunelizar tráfico de nivel 3 (red).
o No soporta cifrado de mensajes
o Combinar con IPSec para ofrecer confidencialidad.
¾ SSH tunneling. SSH (Secure SHell)
o Posibilidad de tunelizar tráfico TCP con canal cifrado.
o Correspondencias entre puertos locales y remotos
o Establecimiento sigue la arquitectura cliente‐servidor.
¾ SSL.
o Más simplicidad que IPSec para una VPN
o No instalación sw en cliente.
o Conexión con navegador web.
o La organización que gestiona SSL ‐Æ proporcionar acceso a los recursos.
o Versiones avanzadas permite tunelizar puertos o redes.
o Control de acceso fuerte y flexible y registro de eventos.
¾ IPSec. (Internet Protocol Security)
o Protocolos nivel 3 entre un nodo y uno o dos “gateways”.
o IPv4 IPSec optativo y obligatorio en IPv6.
o 2005 ‐Æ IPSec.v3 Æ considerada segura, se detalla en RFC 4301 y 4309.
¾ MPLS. (MultiProtocol Label Switching)
o Protocolo WAN que trabaja en niveles 2 y 3 de OSI.
o Versatilidad = opción más usada.
o Funcionamiento en RFC 3031: etiquetado tráfico de nivel 2 (tramas).
o Paquetes nivel 3 al entrar en una red MPLS por Ingress Label Switched Router (Ingress
LER), se encapsulan o etiquetan como tramas MPLS de nivel 2.
Tramas MPLS viajan por un túnel entre el Ingress LER y Egress LER (salida)
Routers intermedios red MPLS se denominan Transit Label Switched Routers
(TLSR).
Al llegar al final se desetiquetan y siguen su ruta.
3.2. Arquitecturas
• Para aliviar la carga de proceso del cifrado se usa concentradores VPN.
• Dos tipos:
o Soluciones Cerradas (hw para cifrar)
Cortafuego Æ punto de entrada a la red externa.
Servidor generalista con concentrador VPN Æ situar en otro sitio, no frontera de
red (cerca).
Habitual posición: entre cortafuego y red externa, en la red interna, tras el
cortafuego o una DMZ dedicada.
No situar concentrador entre el cortafuego y la red externa Æ no estaría
protegido (fuera perímetro seguridad).
Tampoco detrás del cortafuego (red interna) Æel tráfico del concentrador está
cifrado al cruzar el cortafuego Æ no se puede analizar.
Sólo si las redes conectadas poseen = nivel de seguridad y no es posible situarlo
en otra posición.
Seguridad y protección en redes de comunicaciones. 10
Bloque IV – Tema 9
o Servidores generalistas (sw de gestión y establecimiento de la VPN)
SOLUCION: situar el concentrador en una DMZ dedicada:
— Estaría protegido por el cortafuego
— Se controla el tráfico del concentrador hacia el interior.
— Algunas configuraciones VPN pueden tener problemas con la traducción
de direcciones
— Tener en cuenta al elegir la posición del concentrador
Seguridad y protección en redes de comunicaciones. 11
Bloque IV – Tema 9