Professional Documents
Culture Documents
Redes
CURSO:
Diseño e Implementación de Redes
Curso: Diseño e Implementación de Redes
Contenido
• Seguridad lógica
• Firewall
• Sniffer de paquetes y detección de intrusos
• Seguridad de redes inalámbricas
Curso: Diseño e Implementación de Redes
Seguridad lógica
Consiste en la aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo se permita
acceder a ellos a las personas autorizadas para hacerlo.
Controles de acceso
Estos controles pueden implementarse en el sistema
operativo, sobre los sistemas de aplicación, en bases de
datos, en un paquete específico de seguridad o en
cualquier otro utilitario.
Controles de acceso
El National Institute for Standars and Technology (NIST)
define los requisitos mínimos de seguridad que se
deben considerar en cualquier sistema.
• Identificación y autenticación • Ubicación y horario
• Roles • Control de acceso interno
• Transacciones • Control de acceso externo
• Limitaciones a los servicios • Administración
• Modalidad de acceso
Curso: Diseño e Implementación de Redes
Controles de acceso
Identificación y autenticación
Es la primera línea de defensa para la mayoría de los
sistemas computarizados, permitiendo prevenir el
ingreso de personas no autorizadas.
Es la base para la mayor parte de los controles de
acceso y para el seguimiento de las actividades de los
usuarios.
Curso: Diseño e Implementación de Redes
Controles de acceso
Identificación y autenticación
Controles de acceso
Identificación y autenticación
Técnicas
• Algo que solamente el individuo conoce. Password, clave
criptográfica, número de identificación personal o PIN, etc.
• Algo que la persona posee. Tarjeta magnética.
• Algo que el individuo es y que lo identifica unívocamente.
Huellas digitales o la voz.
• Algo que el individuo es capaz de hacer. Patrones de escritura.
Curso: Diseño e Implementación de Redes
Controles de acceso
Identificación y autenticación
“Single login" o sincronización de passwords.
Los usuarios son identificados y autenticados solamente una vez, pudiendo
acceder a partir de allí, a todas las aplicaciones y datos a los que su perfil les
permite.
Controles de acceso
Identificación y autenticación
La Seguridad Informática se basa en la efectiva administración
de los permisos de acceso a los recursos informáticos.
Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las
cuentas de usuarios.
Identificación homogénea dentro de la organización.
Revisiones periódicas sobre la administración de las cuentas y los
permisos de acceso establecidos.
Detección de actividades no autorizadas.
Procedimientos a tener en cuenta en caso de desvinculaciones de
personal con la organización.
Curso: Diseño e Implementación de Redes
Controles de acceso
Roles
El acceso a la información puede controlarse a través
de la función o rol del usuario que requiere dicho
acceso. Los derechos de acceso pueden agruparse de
acuerdo con el rol de los usuarios.
Curso: Diseño e Implementación de Redes
Controles de acceso
Transacciones
Pueden implementarse controles a través de las transacciones,
por ejemplo solicitando una clave al requerir el procesamiento
de una transacción determinada.
Controles de acceso
Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los
recursos y a la información.
Lectura, escritura, ejecución, borrado, creación, búsqueda, todas las
anteriores.
Ubicación y horario
El acceso a determinados recursos del sistema puede estar basado en la
ubicación física o lógica de los datos o personas.
Los controles según el horario permiten limitar el acceso de los usuarios
a determinadas horas de día o a determinados días de la semana.
Curso: Diseño e Implementación de Redes
Controles de acceso
Control de acceso interno
Passwords
Se utilizan para realizar la autenticación del usuario y sirven para
proteger los datos y aplicaciones. Control de muy bajo costo.
Controles de acceso
Control de acceso interno
Passwords
Controles de acceso
Control de acceso interno
Encriptación
La encriptación puede proveer de una potente medida de
control de acceso ya que la información encriptada solamente
puede ser desencriptada por quienes posean la clave apropiada.
Controles de acceso
Control de acceso interno
Límites sobre la interfaz
Restringen a los usuarios a funciones específicas.
Pueden ser de tres tipos: menús, vistas sobre la base de datos y límites
físicos sobre la interface de usuario.
Etiquetas de Seguridad
Consiste en designaciones otorgadas a los recursos que pueden
utilizarse para varios propósitos como control de accesos,
especificación de medidas de protección, etc. Estas etiquetas no
son modificables.
Curso: Diseño e Implementación de Redes
Controles de acceso
Control de acceso externo
Dispositivos de control de puertos
Autorizan el acceso a un puerto determinado y pueden estar físicamente
separados o incluidos en otro dispositivo de comunicaciones.
Controles de acceso
Control de acceso externo
Acceso de personal contratado o consultores
Se debe tener especial consideración en la política y administración de sus
perfiles de acceso. Estos deben ser temporarios.
Accesos públicos
Para los sistemas de información consultados por el público en general, o
los utilizados para distribuir o recibir información computarizada deben
tenerse en cuenta medidas especiales de seguridad, ya que se incrementa
el riesgo y se dificulta su administración.
Curso: Diseño e Implementación de Redes
Controles de acceso
Administración
Administración del personal y usuarios
Pasos para la organización del personal:
• Definición de puestos.
• Determinación de la sensibilidad del puesto.
• Elección de la persona para cada puesto.
• Entrenamiento inicial y continuo del empleado.
Niveles de seguridad
El estándar de niveles de seguridad más utilizado
internacionalmente es el TCSEC Orange Book,
desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras del Departamento de
Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del
Sistema Operativo y se enumeran desde el mínimo
grado de seguridad al máximo.
Curso: Diseño e Implementación de Redes
Firewall
Es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce
la una política de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
Curso: Diseño e Implementación de Redes
Firewall
Consideraciones:
• Sólo sirve de defensa perimetral de las redes, no defienden
de ataques o errores provenientes del interior, como tampoco
puede ofrecer protección una vez que el intruso lo traspasa.
Firewall
Tipos de firewall:
• Filtrado de paquetes.
• Proxy – Gateways de aplicaciones.
• Dual-homed host.
• Screened host
• Screened subnet
• Inspección de paquetes
• Firewalls personales.
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Filtrado de paquetes
Se utilizan Routers con filtros y reglas basadas en políticas de control
de acceso.
Trabajan en los niveles de Transporte y de Red del Modelo OSI y están
conectados a ambos perímetros (interior y exterior) de la red.
Criterios:
• Protocolos utilizados.
• Dirección IP de origen y de destino.
• Puerto TCP-UDP de origen y de destino.
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Filtrado de paquetes
Desventajas:
No protege las capas superiores a nivel OSI.
Las necesidades aplicativas son difíciles de traducir como filtros de
protocolos y puertos.
No son capaces de esconder la topología de redes privadas.
Sus capacidades de auditoría suelen ser limitadas.
No soportan políticas de seguridad complejas como autentificación
de usuarios y control de accesos con horarios prefijados.
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Proxy-Gateways de aplicaciones
Para evitar las debilidades asociadas al filtrado de paquetes, los
desarrolladores crearon software de aplicación, Servidores
Proxy.
La máquina donde se ejecuta recibe el nombre de Gateway de
Aplicación o Bastion Host.
Firewall - Tipos
Proxy-Gateways de aplicaciones
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Dual-homed host
Son dispositivos que están conectados a ambos perímetros
(interior y exterior) y no dejan pasar paquetes IP (como sucede
en el caso del Filtrado de Paquetes), por lo que se dice que
actúan con el "IP-Forwarding desactivado".
Firewall - Tipos
Dual-homed host
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Screened host
Se combina un Router con un host bastión y el principal nivel de
seguridad proviene del filtrado de paquetes.
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Screened subnet
En este diseño se intenta aislar la máquina más atacada y
vulnerable del Firewall, el Nodo Bastión. Para ello se establece
una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso
accede a esta máquina no consiga el acceso total a la subred
protegida.
La Zona Desmilitarizada aísla físicamente los servicios internos,
separándolos de los servicios públicos.
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Screened subnet
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Screened subnet
Ventajas
• Ocultamiento de la información.
• Registro de actividades y autenticación robusta.
• Reglas de filtrado menos complejas.
Desventajas
• Son intrusivos y no transparentes para el usuario.
• Son más lentos porque deben revisar todo el tráfico de la red.
Curso: Diseño e Implementación de Redes
Firewall - Tipos
Inspección de paquetes
Este tipo de Firewalls se basa en el principio de que cada
paquete que circula por la red es inspeccionado, así como
también su procedencia y destino.
Firewall - Tipos
Firewalls personales
Estos Firewalls son aplicaciones disponibles para usuarios finales
que desean conectarse a una red externa insegura y mantener
su computadora a salvo de ataques que puedan ocasionarle
desde un simple "cuelgue" o infección de virus hasta la pérdida
de toda su información almacenada.
Curso: Diseño e Implementación de Redes
Firewall
Políticas de diseño
• ¿Cómo protegerse? Está orientada a establecer el nivel de
monitorización, control y respuesta deseado en la organización.
– Paradigmas de seguridad
• Se permite cualquier servicio excepto aquellos expresamente prohibidos.
• Se prohíbe cualquier servicio excepto aquellos expresamente permitidos.
– Estrategias de seguridad
• Paranoica: se controla todo, no se permite nada.
• Prudente: se controla y se conoce todo lo que sucede.
• Permisiva: se controla pero se permite demasiado.
• Promiscua: no se controla (o se hace poco) y se permite todo.
• ¿Cuánto costará? Estimando en función de lo que se desea
proteger se debe decidir cuánto es conveniente invertir.
Curso: Diseño e Implementación de Redes
Firewall
Ventajas
• Monitoreo de la seguridad de la red y generación de alarmas
de intentos de ataque.
• Alojar el traductor de direcciones locales (intranet) para que
los host lleguen a Internet.
• Posibilidad de llevar las estadísticas de la red.
• Se pueden usar para dividir partes de un sitio que tienen
distintas necesidades de seguridad o para albergar los
servicios WWW y FTP brindados.
Curso: Diseño e Implementación de Redes
Firewall
Desventajas
• La limitación más grande que tiene un Firewall sencillamente
es el hueco que no se tapa y que coincidentemente o no, es
descubierto por un intruso.
• El Firewall "NO es contra humanos“.
• No provee de herramientas contra la filtración de software o
archivos infectados con virus.
• Un Firewall es vulnerable, él NO protege de la gente que está
dentro de la red interna.
Curso: Diseño e Implementación de Redes
Sniffer de paquetes
Programa informático que registra toda la información que
envían los periféricos de un ordenador, así como, toda actividad
realizada por este equipo informático.