Presentacion 7 Modulo 7

AREA:
Redes
CURSO:
Diseño e Implementación de Redes
Curso: Diseño e Implementación de Redes
Diseño e implementación de redes
Módulo 7: Seguridad en red

Contenido
• Seguridad lógica
• Firewall
• Sniffer de paquetes y detección de intrusos
• Seguridad de redes inalámbricas
Seguridad lógica
Consiste en la aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo se permita
acceder a ellos a las personas autorizadas para hacerlo.
Todo lo que no está permitido debe estar prohibido.

Controles de acceso
Estos controles pueden implementarse en el sistema
operativo, sobre los sistemas de aplicación, en bases de
datos, en un paquete específico de seguridad o en
cualquier otro utilitario.
• Proteger al sistema operativo de la red

• Proteger al sistema de aplicación y demás software de la
utilización o modificaciones no autorizadas.
• Mantener la integridad de la información.
• Para resguardar la información confidencial de accesos
no autorizados.
Controles de acceso
El National Institute for Standars and Technology (NIST)
define los requisitos mínimos de seguridad que se
deben considerar en cualquier sistema.
• Identificación y autenticación • Ubicación y horario
• Roles • Control de acceso interno
• Transacciones • Control de acceso externo
• Limitaciones a los servicios • Administración
• Modalidad de acceso
Controles de acceso
Identificación y autenticación
Es la primera línea de defensa para la mayoría de los
sistemas computarizados, permitiendo prevenir el
ingreso de personas no autorizadas.
Es la base para la mayor parte de los controles de
acceso y para el seguimiento de las actividades de los
usuarios.
Controles de acceso
• Identificación. Momento en que el usuario se da a

conocer en el sistema.
• Autenticación. Verificación que realiza el sistema
sobre esta identificación.
Controles de acceso
Técnicas
• Algo que solamente el individuo conoce. Password, clave
criptográfica, número de identificación personal o PIN, etc.
• Algo que la persona posee. Tarjeta magnética.
• Algo que el individuo es y que lo identifica unívocamente.
Huellas digitales o la voz.
• Algo que el individuo es capaz de hacer. Patrones de escritura.
Controles de acceso
“Single login" o sincronización de passwords.
Los usuarios son identificados y autenticados solamente una vez, pudiendo
acceder a partir de allí, a todas las aplicaciones y datos a los que su perfil les
permite.
Servidor de autenticaciones. Sobre este servidor los usuarios se

identifican, y el mismo se encarga luego de autenticar al usuario sobre
los restantes equipos a los que éste pueda acceder.
Controles de acceso
La Seguridad Informática se basa en la efectiva administración
de los permisos de acceso a los recursos informáticos.
 Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las
cuentas de usuarios.
 Identificación homogénea dentro de la organización.
 Revisiones periódicas sobre la administración de las cuentas y los
permisos de acceso establecidos.
 Detección de actividades no autorizadas.
 Procedimientos a tener en cuenta en caso de desvinculaciones de
personal con la organización.
Controles de acceso
Roles
El acceso a la información puede controlarse a través
de la función o rol del usuario que requiere dicho
acceso. Los derechos de acceso pueden agruparse de
acuerdo con el rol de los usuarios.
Controles de acceso
Transacciones
Pueden implementarse controles a través de las transacciones,
por ejemplo solicitando una clave al requerir el procesamiento
de una transacción determinada.
Limitaciones a los servicios

Estos controles se refieren a las restricciones que dependen de
parámetros propios de la utilización de la aplicación o
preestablecidos por el administrador del sistema.
Controles de acceso
Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los
recursos y a la información.
Lectura, escritura, ejecución, borrado, creación, búsqueda, todas las
anteriores.
Ubicación y horario
El acceso a determinados recursos del sistema puede estar basado en la
ubicación física o lógica de los datos o personas.
Los controles según el horario permiten limitar el acceso de los usuarios
a determinadas horas de día o a determinados días de la semana.
Controles de acceso
Control de acceso interno
Passwords
Se utilizan para realizar la autenticación del usuario y sirven para
proteger los datos y aplicaciones. Control de muy bajo costo.
Problema: cuando el usuario se ve en la necesidad de utilizar

varias palabras clave encuentra dificultoso recordarlas y
probablemente las escriba o elija palabras fácilmente deducibles,
con lo que se ve disminuida la utilidad de esta técnica.
Controles de acceso
Passwords
Sincronización de passwords: consiste en permitir que un

usuario acceda con la misma password a diferentes sistemas
interrelacionados y, su actualización automática en todos ellos
en caso de ser modificada.
Caducidad y control: este mecanismo controla cuándo pueden

y/o deben cambiar sus passwords los usuarios.
Controles de acceso
Encriptación
La encriptación puede proveer de una potente medida de
control de acceso ya que la información encriptada solamente
puede ser desencriptada por quienes posean la clave apropiada.
Listas de control de Acceso

Registro donde se encuentran los nombres de los usuarios que
obtuvieron el permiso de acceso a un determinado recurso del
sistema, así como la modalidad de acceso permitido.
Controles de acceso
Límites sobre la interfaz
Restringen a los usuarios a funciones específicas.
Pueden ser de tres tipos: menús, vistas sobre la base de datos y límites
físicos sobre la interface de usuario.
Etiquetas de Seguridad
Consiste en designaciones otorgadas a los recursos que pueden
utilizarse para varios propósitos como control de accesos,
especificación de medidas de protección, etc. Estas etiquetas no
son modificables.
Controles de acceso
Control de acceso externo
Dispositivos de control de puertos
Autorizan el acceso a un puerto determinado y pueden estar físicamente
separados o incluidos en otro dispositivo de comunicaciones.
Firewall o Puertas de seguridad

Permiten bloquear o filtrar el acceso entre dos redes, usualmente una
privada y otra externa.
Permiten que los usuarios internos se conecten a la red exterior y
previenen la intromisión de atacantes o virus a los sistemas de la
organización.
Controles de acceso
Control de acceso externo
Acceso de personal contratado o consultores
Se debe tener especial consideración en la política y administración de sus
perfiles de acceso. Estos deben ser temporarios.
Accesos públicos
Para los sistemas de información consultados por el público en general, o
los utilizados para distribuir o recibir información computarizada deben
tenerse en cuenta medidas especiales de seguridad, ya que se incrementa
el riesgo y se dificulta su administración.
Controles de acceso
Administración
Administración del personal y usuarios
Pasos para la organización del personal:
• Definición de puestos.
• Determinación de la sensibilidad del puesto.
• Elección de la persona para cada puesto.
• Entrenamiento inicial y continuo del empleado.
Sólo cuando los usuarios están capacitados y tienen una conciencia

formada respecto de la seguridad pueden asumir su responsabilidad
individual.
Niveles de seguridad
El estándar de niveles de seguridad más utilizado
internacionalmente es el TCSEC Orange Book,
desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras del Departamento de
Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del
Sistema Operativo y se enumeran desde el mínimo
grado de seguridad al máximo.
Firewall
Es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce
la una política de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
Firewall
Consideraciones:
• Sólo sirve de defensa perimetral de las redes, no defienden
de ataques o errores provenientes del interior, como tampoco
puede ofrecer protección una vez que el intruso lo traspasa.
• Algunos aprovechan esta capacidad de que toda la

información entrante y saliente debe pasar a través de ellos
para proveer servicios de seguridad adicionales, como la
encriptación del tráfico de la red.
Firewall
Tipos de firewall:
• Filtrado de paquetes.
• Proxy – Gateways de aplicaciones.
• Dual-homed host.
• Screened host
• Screened subnet
• Inspección de paquetes
• Firewalls personales.
Firewall - Tipos
Filtrado de paquetes
Se utilizan Routers con filtros y reglas basadas en políticas de control
de acceso.
Trabajan en los niveles de Transporte y de Red del Modelo OSI y están
conectados a ambos perímetros (interior y exterior) de la red.
Criterios:
• Protocolos utilizados.
• Dirección IP de origen y de destino.
• Puerto TCP-UDP de origen y de destino.
Firewall - Tipos
Filtrado de paquetes
Desventajas:
 No protege las capas superiores a nivel OSI.
 Las necesidades aplicativas son difíciles de traducir como filtros de
protocolos y puertos.
 No son capaces de esconder la topología de redes privadas.
 Sus capacidades de auditoría suelen ser limitadas.
 No soportan políticas de seguridad complejas como autentificación
de usuarios y control de accesos con horarios prefijados.
Firewall - Tipos
Proxy-Gateways de aplicaciones
Para evitar las debilidades asociadas al filtrado de paquetes, los
desarrolladores crearon software de aplicación, Servidores
Proxy.
La máquina donde se ejecuta recibe el nombre de Gateway de
Aplicación o Bastion Host.
El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario

entre el cliente y el servidor real de la aplicación, siendo
transparente a ambas partes.
Firewall - Tipos
Proxy-Gateways de aplicaciones
Firewall - Tipos
Dual-homed host
Son dispositivos que están conectados a ambos perímetros
(interior y exterior) y no dejan pasar paquetes IP (como sucede
en el caso del Filtrado de Paquetes), por lo que se dice que
actúan con el "IP-Forwarding desactivado".
Se utilizan dos conexiones. Uno desde la máquina interior hasta el

Firewall y el otro desde este hasta la máquina que albergue el servicio
exterior.
Firewall - Tipos
Dual-homed host
Firewall - Tipos
Screened host
Se combina un Router con un host bastión y el principal nivel de
seguridad proviene del filtrado de paquetes.
Firewall - Tipos
Screened subnet
En este diseño se intenta aislar la máquina más atacada y
vulnerable del Firewall, el Nodo Bastión. Para ello se establece
una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso
accede a esta máquina no consiga el acceso total a la subred
protegida.
La Zona Desmilitarizada aísla físicamente los servicios internos,
separándolos de los servicios públicos.
Firewall - Tipos
Screened subnet
Firewall - Tipos
Screened subnet
Ventajas
• Ocultamiento de la información.
• Registro de actividades y autenticación robusta.
• Reglas de filtrado menos complejas.
Desventajas
• Son intrusivos y no transparentes para el usuario.
• Son más lentos porque deben revisar todo el tráfico de la red.
Firewall - Tipos
Inspección de paquetes
Este tipo de Firewalls se basa en el principio de que cada
paquete que circula por la red es inspeccionado, así como
también su procedencia y destino.
Se aplican desde la capa de Red hasta la de Aplicaciones.

Firewall - Tipos
Firewalls personales
Estos Firewalls son aplicaciones disponibles para usuarios finales
que desean conectarse a una red externa insegura y mantener
su computadora a salvo de ataques que puedan ocasionarle
desde un simple "cuelgue" o infección de virus hasta la pérdida
de toda su información almacenada.
Firewall
Políticas de diseño
• ¿Cómo protegerse? Está orientada a establecer el nivel de
monitorización, control y respuesta deseado en la organización.
– Paradigmas de seguridad
• Se permite cualquier servicio excepto aquellos expresamente prohibidos.
• Se prohíbe cualquier servicio excepto aquellos expresamente permitidos.
– Estrategias de seguridad
• Paranoica: se controla todo, no se permite nada.
• Prudente: se controla y se conoce todo lo que sucede.
• Permisiva: se controla pero se permite demasiado.
• Promiscua: no se controla (o se hace poco) y se permite todo.
• ¿Cuánto costará? Estimando en función de lo que se desea
proteger se debe decidir cuánto es conveniente invertir.
Firewall
Ventajas
• Monitoreo de la seguridad de la red y generación de alarmas
de intentos de ataque.
• Alojar el traductor de direcciones locales (intranet) para que
los host lleguen a Internet.
• Posibilidad de llevar las estadísticas de la red.
• Se pueden usar para dividir partes de un sitio que tienen
distintas necesidades de seguridad o para albergar los
servicios WWW y FTP brindados.
Firewall
Desventajas
• La limitación más grande que tiene un Firewall sencillamente
es el hueco que no se tapa y que coincidentemente o no, es
descubierto por un intruso.
• El Firewall "NO es contra humanos“.
• No provee de herramientas contra la filtración de software o
archivos infectados con virus.
• Un Firewall es vulnerable, él NO protege de la gente que está
dentro de la red interna.
Sniffer de paquetes
Programa informático que registra toda la información que
envían los periféricos de un ordenador, así como, toda actividad
realizada por este equipo informático.
Desde el punto de vista de la administración de redes

podemos decir que es un programa diseñado para
capturar datos dentro de una red informática.
Sniffer de paquetes - Usos

Son utilizados para capturar cualquier tipo de información que pueda
transitar a través de una red LAN.
• Para administrar y gestionar la información que pasa a través de

una red LAN.
• Realizar auditoría de redes.
• Identificar estabilidad y vulnerabilidades de las redes LAN.
• Verificar el tráfico de una red y monitorear su desempeño.
• Prevenir actividades de espionaje industrial.
• Monitorear las actividades de los usuarios de una red.
• Identificar paquetes de datos.
Sniffer de paquetes - Ejemplos

Tcpdump
Es una herramienta en línea de comandos cuya utilidad principal
es analizar el tráfico que circula por la red.
Permite al usuario capturar y mostrar a tiempo real los paquetes

transmitidos y recibidos en la red a la cual el ordenador está
conectado.

Tcpdump

Wireshark
La funcionalidad que provee es similar a la de tcpdump, pero
añade una interfaz gráfica y muchas opciones de organización y
filtrado de información.
Permite ver todo el tráfico que pasa a través de una red
estableciendo la configuración en modo promiscuo.

Wireshark
Seguridad de redes inalámbricas

Las redes inalámbricas son específicamente vulnerables a
varias amenazas, incluido lo siguiente:
• Intrusos inalámbricos
• Aplicaciones no autorizadas
• Intercepción de datos
• Ataques DoS

Ataques DoS
Pueden ser provocados por:

• Dispositivos mal configurados.
• Un usuario malintencionado interfiere en la comunicación
inalámbrica intencionalmente.
• Interferencia accidental.

Ataques DoS
• Para minimizar el riesgo de un ataque DoS debido a
dispositivos mal configurados o ataques malintencionados,
proteja todos los dispositivos y las contraseñas, cree copias de
seguridad y asegúrese de que todos los cambios de
configuración se incorporen fuera del horario de operación.
• La interferencia accidental solo ocurre cuando se agrega otro
dispositivo inalámbrico. La mejor solución consiste en controlar
la WLAN para detectar cualquier problema de interferencia y
abordarlo cuando aparezca.

Puntos de acceso no autorizados
Se denomina así a un punto de acceso (AP) que:
• Se conectó a una red empresarial sin autorización explícita o
en contra de la política de la empresa.
• Un atacante lo conectó o habilitó para capturar datos de
clientes
Para evitar la instalación de AP no autorizados, las

organizaciones deben usar software de supervisión
para supervisar activamente el espectro de radio en
busca de AP no autorizados.

Ataque man-in-the-middle (MITM)
Un popular ataque MITM inalámbrico se denomina “ataque con
AP de red intrusa”, en el que un atacante introduce un AP no
autorizado y lo configura con el mismo SSID que el de un AP
legítimo.
Las ubicaciones que ofrecen Wi-Fi gratuito, como los aeropuertos,

los cafés y los restaurantes, son focos para este tipo de ataque,
debido a la autenticación abierta.



Vencer un ataque MITM depende de la sofisticación de la
infraestructura WLAN y la vigilancia de la actividad de monitoreo
de red.
• Identificación de los dispositivos legítimos en la WLAN.

• Autenticación de los usuarios.
• Una vez que se conocen todos los dispositivos legítimos
– Se puede monitorear la red para detectar los dispositivos o el
tráfico anormales.

Cuestiones generales
Para abordar las amenazas relacionadas con mantener alejados a
los intrusos inalámbricos y proteger los datos, en un principio se
usaron dos características de seguridad:
• Ocultamiento del SSID.
• Filtrado de direcciones MAC.
• Sistemas de autenticación y cifrado.

Tipos de Autenticación
• Autenticación de sistema abierto: cualquier cliente inalámbrico
se debe poder conectar con facilidad, y este método solo se debe
usar en situaciones en las que la seguridad no es motivo de
preocupación.
• Autenticación mediante clave compartida: proporciona

mecanismos como WEP, WPA o WPA2 para autenticar y cifrar datos
entre un cliente y un AP inalámbricos.
– Privacidad equiparable a la de redes cableadas (WEP):
– Acceso protegido Wi-Fi (WPA):
– IEEE 802.11i/WPA2:

Métodos de cifrado
El cifrado se usa para proteger datos. Si un intruso captura datos
cifrados, no podrá descifrarlos durante un período razonable.
• Protocolo de integridad de clave temporal (TKIP). Es el

método de cifrado que usa WPA. Usa WEP, pero cifra el contenido
de capa 2 mediante TKIP y realiza una comprobación de integridad
de los mensajes (MIC) en el paquete cifrado para asegurar que no
se alteró el mensaje.
• Estándar de cifrado avanzado (AES). Es el método de cifrado
que usa WPA2. AES realiza las mismas funciones que TKIP, pero es
un método de cifrado más seguro.

Métodos de autenticación
WPA y WPA2 admiten dos tipos de autenticación
• Personal. diseñada para las redes domésticas o de oficinas
pequeñas; los usuarios se autentican mediante una clave
previamente compartida (PSK). No se requiere ningún servidor de
autenticación especial.
• Enterprise (Empresarial). Diseñada para las redes empresariales,
pero requiere un servidor de servicio de autenticación remota
telefónica de usuario (RADIUS), proporciona seguridad adicional.

Presentacion 7 Modulo 7

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Presentacion 7 Modulo 7

Uploaded by

Copyright:

Available Formats

AREA:

Diseño e implementación de redes

Módulo 7: Seguridad en red

Todo lo que no está permitido debe estar prohibido.

• Proteger al sistema operativo de la red

• Identificación. Momento en que el usuario se da a

Servidor de autenticaciones. Sobre este servidor los usuarios se

Limitaciones a los servicios

Problema: cuando el usuario se ve en la necesidad de utilizar

Sincronización de passwords: consiste en permitir que un

Caducidad y control: este mecanismo controla cuándo pueden

Listas de control de Acceso

Firewall o Puertas de seguridad

Sólo cuando los usuarios están capacitados y tienen una conciencia

• Algunos aprovechan esta capacidad de que toda la

El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario

Se utilizan dos conexiones. Uno desde la máquina interior hasta el

Se aplican desde la capa de Red hasta la de Aplicaciones.

Desde el punto de vista de la administración de redes

Sniffer de paquetes - Usos

• Para administrar y gestionar la información que pasa a través de

Sniffer de paquetes - Ejemplos

Permite al usuario capturar y mostrar a tiempo real los paquetes

Sniffer de paquetes - Ejemplos

Sniffer de paquetes - Ejemplos

Sniffer de paquetes - Ejemplos

Seguridad de redes inalámbricas

Seguridad de redes inalámbricas

Pueden ser provocados por:

Seguridad de redes inalámbricas

Seguridad de redes inalámbricas

Para evitar la instalación de AP no autorizados, las

Seguridad de redes inalámbricas

Las ubicaciones que ofrecen Wi-Fi gratuito, como los aeropuertos,

Seguridad de redes inalámbricas

Seguridad de redes inalámbricas

Seguridad de redes inalámbricas

• Identificación de los dispositivos legítimos en la WLAN.

Seguridad de redes inalámbricas

Seguridad de redes inalámbricas

• Autenticación mediante clave compartida: proporciona

Seguridad de redes inalámbricas

• Protocolo de integridad de clave temporal (TKIP). Es el

Seguridad de redes inalámbricas

You might also like