SEGURIDAD EN

REDES
Ing. Ismael Salazar Villavicencio
salazarvie@hotmail.com
Escuela de Ingeniera de Sistemas
Universidad Nacional del Callao (UNAC) - Per

SEGURIDAD
Seguridad en redes

Diseo con estndares

+
Materiales bajo estndares
+
Mano de obra con estndares

Existe seguridad hoy en da?

Crecimiento de:
Trfico WAN
E-commerce
Crecimiento en:
Ataques Internet
Prdidas de informacin sensible
Prdidas de ingresos

Existe seguridad hoy en da?

En 2004, el 65% de las empresas Norteamericanas sufrieron

al menos un incidente de seguridad *

Ms del 35% de estas organizaciones tardaron ms de una

semana en volver a las condiciones normales *

Aproximadamente el 90% de los firewalls instalados no estn

correctamente configurados **

Hay ms de 750.000 pginas web que ofrecen alguna clase

de herramienta de hacking **

Las herramientas automticas disponibles en la web reducen

el nivel de conocimientos requeridos para acceder a los
sistemas ***

Retos de Seguridad
Los incidentes de seguridad estn creciendo
La seguridad que nos gustara tiene
importantes compromisos de rendimiento
Firewalls
Encriptacin

Debemos alcanzar la disponibilidad 7 x 24 de

los sistemas (Business Continuity)
Hacer crecer los sistemas consume una gran
cantidad de tiempo, presupuesto y recursos
(TCO)

Servicios de Seguridad
Firewalls
VPN
NAT
Antivirus
Deteccin de Intrusin
Filtrado de Contenido
Autentificacin + PKI
Registro de Actividad
Prevencin de Denegacin de
Servicio / Gestin de Ancho de
Banda
Entrega de Contenido
Encriptacin de contenidos y SSL

ALTO
RENDIMIENTO
ALTA
DISPONIBILIDAD
SERVICIOS
ESPECIFICOS DE
CLIENTE

Problemas en los Centros de Datos

No comprometamos ...

Seguridad

Rendimiento

Conseguir seguridad es un objetivo principal en

los grandes centros de datos

Soluciones
Elementos Claves
de Seguridad
Identidad

Productos
Servidores de autenticacin, PKI

Seguridad Perimetral Firewalls, Proxyes, Routers Bastion

Monitores de
Seguridad

IDS, Antivirus, Escneres, Filtros de

Contenido

Comunicaciones
Seguras

Encriptaciones SSL, IPSec

Gestin de
Seguridad

Sistemas de Gestin de seguridad

Que es el SSL (Secure Sockets Layer )

SSL (Nivel de socket seguro) es un
protocolo de comunicacin para transmitir
informacin privada a travs de Internet.
SSL funciona mediante datos cifrados que
se transmiten a travs de la conexin
SSL. Tanto Netscape Navigator como
Internet Explorer son compatibles con
SSL.

El Nuevo SSL
V 1.0 : Aceleracin SSL

V 3.0 : Extranets SSL

eCommerce/Transaccional

Acceso remoto a aplicaciones

Alto volumen de
transacciones cortas

Bajo volumen de sesiones

largas

Autenticacin del servidor

Autenticacin de cliente

Rendimiento

Servicios de aplicacin

Coste vs. No Aceleracin

Coste vs. VPN (Virtual Private

Networks) alternativas

SSL vs. IPSec?

IPSec
Conjunto de protocolos de seguridad
operando al nivel de red
El usuario accede a todos los servicios
de la red
Requiere el despliegue de
equipamiento o software de cliente
Soluciones propietarias

Intranets de negocios, Acceso

remoto, B2B

SSL
Protocolo de seguridad, en una capa
intermedia entre TCP y HTTTP, para securizar
la aplicacin
EL usuario accede a un solo
servidor/aplicacin
Usa tecnologa embebida en el Navegador
Web

E-commerce, Portales a
Aplicacin Web, B2C/B2B

IPSec y SSL: Soluciones complementarias

Ideal

Apropiado

Soluciones
Telecommuter

SSL

Complejo

IP Sec

Inapropiado

Comentario

Ej. Empleados trabajando desde casa

IPSec proporciona acceso seguro a todos los recursos y

aplicaciones.
SSL requiere aplicaciones antiguas a migrar a HTTP, o
dar acceso a aplicaciones SSL slo

VPN Site-to-Site

IPSec provee tneles seguros entre localizaciones fijas

Ej. Oficina remota conectada a WAN corporativa

Webmail Remoto
Ej. Outlook Web, Lotus iNotes

Seguridad interna de aplicacin

Ej. HR Self-service

Extranet para Partners

SSL permite acceso seguro desde cualquier navegador

web

SSL proporciona seguridad de la aplicacin dentro de la

VPN

Ej. Acceso a sistema de inventario

SSL no requiere instalacin de software en el partner pero

no da seguridad en la workstation
IPSec puede requerir configuracin adicional del firewall,
pero da mejor control en la seguridad de la estacin

Portales de aplicacin

SSL es la eleccin ms simple IPSec es muy complejo

Ej. iPlanet, aplicaciones web corporativas

Seguridad VOIP
Ej. Ethernet siteto-site o telecommuter con
VoIP

Seguridad en Wireless LAN

Ej. Securizar la WLAN con autenticacin y
encriptacin fuerte

VOIP no puede transportarse en SSL

IPSec es LA solucin para encriptacin de VoIP

IPSec proporciona acceso seguro a todos los recursos

de la red.
SSL requiere traducir aplicaciones a HTTP

STANDARES

STANDARES
ISO/IEC 11801:2002

Information Technology Generic Cabling for Customer Premises

ISO/IEC TR 14763-1
Administracin

ISO/IEC TR 14763-2
Planeacin e Instalacin

ISO/IEC TR 14763-3

Pruebas de Cableado de Fibra ptica

ISO/IEC 18010
Canalizaciones y espacios

IEC 61935-1

Especificaciones para las pruebas de cableado balanceado

ISO-IEC 15018
Cableado Residencial

ISO-IEC 24704

Cableado para Puntos de Acceso Inalmbricos

STANDARES
NOM-001-SEDE
Norma Oficial Mexicana de instalaciones elctricas (utilizacin)

NMX-I-248-NYCE-2005
Norma Mexicana de Telecomunicaciones Cableado Cableado Estructurado
Genrico Cableado de Telecomunicaciones para Edificios Comerciales
Especificaciones y mtodos de Prueba

NMX-I-115-NYCE
Cables multipares para telefona y/o datos - Mtodos de prueba para caractersticas
elctricas

NMX-I-236/01-NYCE
Cables multipares de uso interior Especificaciones y Mtodos de Prueba Parte 01:
Caractersticas bsicas

NMX-I-236/02-NYCE
Cables multipares de uso interior Especificaciones y Mtodos de Prueba Parte 02:
Caractersticas para comunicaciones digitales

STANDARES
NMX-I-237-NYCE
Cables de fibra ptica para uso interior Especificaciones y mtodos de prueba

NMX-I-238-NYCE
Cables telefnicos Pruebas pticas para fibras pticas Mtodos de prueba

NMX-I-274-NYCE
Cables de fibra pticas para uso exterior Especificaciones y mtodos de prueba

NMX-I-279-NYCE
Telecomunicaciones Cableado Cableado estructurado Canalizacin y espacios
para cableados de telecomunicaciones en edificios comerciales

STANDARES
TIA/EIA-526-7 (OFSTP-7)
Measurements of Optical Power Loss of Installed Singlemode Fiber Cable Plant

TIA/EIA-526-14 (OFSTP-14)
Optical Power Loss Measurements of Installed Multimode Fiber Cable Plant

TIA/EIA-568-B.1
Commercial Building Telecommunications Cabling Standard Part 1: General
Requirements

TIA/EIA-568-B.2
Commercial Building Telecommunications Cabling Standard Part 2: Balanced TwistedPair Cabling Components

TIA/EIA-568-B.3
Optical Fiber Cabling Componets Standard

STANDARES
TIA/EIA-569
Commercial Building Standard for Telecommunications Pathways and Spaces

TIA/EIA-570
Residential Telecommunications Wiring Standard

TIA/EIA-598
Optical Fiber Cable Color Coding

TIA/EIA-606
The Administration Standard for Telecommunications Infraestructure of Commercial
Buildings

TIA/EIA-607
Commercial Building Grounding and Bonding Requirements for Telecommunications

TIA/EIA-758
Customer-Owned Outside Plant Telecommunications Cabling Standard

Clasificacin de los cables segn el estndar y

propiedades de la cubierta

Qu es Firebarrier o FireStopping ?
Es un material, dispositivo, accesorio o parte instalada en
la trayectoria de un cables en piso o pared que constituye
un sistema de proteccin pasiva para prevenir la
propagacin de fuego, humos o gases a travs de las
reas de cableado. (por ej. Entre cubculos, cuartos a reas
cableadas). Que se instala en cualquier abertura, ducto o
pasante hecha en paredes o techos
Por que?:
Previene el paso del fuego
Proporciona una barrera efectiva contra humo y gases txicos
Sello resistente al agua
Aislante trmico que retrase la transmisin del calor

Qu es Firebarrier o FireStopping ?

Seguridad en los forros de los

cables
Tanto el NEC (National Electrical Code) de USA, como la
NOM-001-SEDE son leyes o normas oficiales para
minimizar el riesgo de choque elctrico, fuego o
explosiones causadas por el aislamiento elctrico.
Del compuesto con que estn fabricados los forros de los
cables, depende el tiempo que las victimas, en un
incendio, tienen para huir.
Los gases txicos que genera el forro de los cables,
pueden envenenar a las victimas en un incendio.
Los gases halgenos daan la capa de Ozono

SISTEMA DE SEGURIDAD
INTERDEPARTAMENTAL PARA
UPC

CONTEXTO
UPC y UPCNet han alcanzado un acuerdo de
colaboracin en el que UPCNet toma la
responsabilidad de administrar los equipos
informticos de la Universidad.
Como consecuencia de este convenio, UPCNet y
esCERT han llegado a un compromiso bajo el cual
esCERT se responsabiliza de la gestin de
incidentes de UPC y en general de la Seguridad de la
Universidad.

ESTADO INICAL DE LA SEGURIDAD EN UPC:

Seguridad reactiva
ADMINISTRADOR
esCERT

Un hacker ataca a una red de UPC

INTERNET
El administrador de
esCERT abre una
incidencia e informa
a UPCNET

Una Red de UPC

El administrador de
la red detecta el
incidente y avisa a
los tcnicos de
esCERT

Justificacin
El antiguo Sistema de Seguridad ofrece:
Seguridad reactiva.
Se acta contra un incidente concreto una vez localizado.
En un porcentaje elevado de casos la nica solucin una vez
producido el ataque es reinstalar la mquina:
Coste de tiempo.
Parada de servicio.
El administrador es el nico responsable de la red.
Personal poco especializado en seguridad y con saturacin de trabajo.
Imposibilidad de disponer de un equipo de seguridad para cada una
de los departamentos.
El sistema no ofrece ninguna posibilidad de mejora.

Nuevo sistema de seguridad perimetral:

Esquema general
ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

INTERNET

Nuevo sistema de seguridad perimetral

El nuevo Sistema de Seguridad ofrece:
Seguridad Proactiva.
Deteccin:

Posibilita la deteccin de un ataque antes de producirse

Ofrece informacin del trfico total de cada red.

Proteccin:

Restriccin de accesos que pueden ser posibles objetivos de un

ataque.

Disponibilidad de personal especializado.

Gestin remota del Sistema de Seguridad con lo que el
administrador no debe preocuparse de la seguridad de su red.
Mejora del servicio ofrecido por los administradores de cada red.
El nuevo sistema permite futuras mejoras en las que se est
trabajando.

Nuevo sistema de seguridad perimetral

El nuevo sistema de seguridad esta
dividido en dos grandes fases:
Sistema de Deteccin
IDS (Intrusion Detection System)

Sistema de Proteccin
Firewall

Evolucin del proceso de implantacin:

SISTEMA DE DETECCIN

La primera fase del proceso es la deteccin de ataques,

con ese fin se colocar un IDS en la red.
El objetivo es dotar a la red de un sistema de deteccin
para localizar cualquier tipo de ataque en tiempo real.
Una vez instalado el IDS podremos obtener un anlisis
del trfico de la red.
La informacin recogida por el IDS es enviada a una
base de datos centralizada desde donde visualizamos
las alertas de trfico malicioso.

Evolucin del proceso de implantacin:

SISTEMA DE DETECCIN
ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

INTERNET
Captura el trfico
de la red interna.
Se envan las
alertas a la consola
central.

IDS

El administrador de esCERT
consulta la consola central
para gestionar las alertas
producidas por el trfico de la
red.
En caso de detectar trfico
sospechoso se procede al
anlisis y verificacin.

RED
INTERNA

Evolucin del proceso de implantacin:

SISTEMA DE DETECCIN
ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

INTERNET

IDS

CONCLUSIN
Ahora podemos adelantarnos
al incidente, antes slo
podamos reaccionar ante l.
El sistema es transparente al
administrador y a los usuarios.
Por otra parte es un elemento
pasivo y no ofrece solucin,
ser necesario aadir un sistema
de proteccin.

RED
INTERNA

Evolucin del proceso de implantacin:

SISTEMA DE PROTECCIN

La segunda fase consiste en implantar el

sistema de proteccin o firewall.
El firewall se coloca entre la red a proteger e
Internet y complementa al IDS formando un
sistema de seguridad activo.
Por ello adems de proteger se deben
enrutar los paquetes.

Firewall
Un firewall es un dispositivo que funciona
como
cortafuegos
entre
redes,
permitiendo
o
denegando
las
transmisiones de una red a la otra. Un uso
tpico es situarlo entre una red local y la
red Internet, como dispositivo de
seguridad para evitar que los intrusos
puedan
acceder
a
informacin
confidencial.
Un firewall puede ser un dispositivo software o hardware, es decir,
un aparatito que se conecta entre la red y el cable de la conexin a
Internet, o bien un programa que se instala en la mquina que
tiene el modem que conecta con Internet. Incluso podemos
encontrar ordenadores computadores muy potentes y con
softwares especficos que lo nico que hacen es monitorizar las
comunicaciones entre redes.

Evolucin del proceso de implantacin:

SISTEMA DE PROTECCIN
ENRUTADO DE PAQUETES
Al colocar en firewall entre el router y la red interna se deben
hacer cambios de configuracin en ambas partes.
El enrutado cambia segn el tipo de direcciones IP:
IP PBLICAS ARPPROXY
-Arpproxy engaa tanto al router como a las mquinas internas
hacindoles creer que estn en las misma red.

IP PRIVADAS RECONFIGURACIN + NAT (traduccion de

direcciones de red)
La solucin Arpproxy no funciona.
Es necesario avisar a UPCNET para que cambien la configuracin del
router.
El firewall traduce las ip privadas a pblicas.

Evolucin del proceso de implantacin:

SISTEMA DE PROTECCIN
FILTRADO DE PAQUETES
El

firewall controla los paquetes que entran y salen de la red

que protegen, siguiendo una serie de reglas.

Estas

reglas se basan en los siguientes patrones:

Direccin
Puerto

origen y destino.

origen y destino.

Protocolo.
Estado
Las

de la conexin.

reglas se generan desde las instalaciones de esCERT con la

aplicacin FWBUILDER y mediante un script se envan al
firewall.Tambin se enva una copia a la consola central.

Evolucin del proceso de implantacin:

SISTEMA DE PROTECCIN
ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

INTERNET

IDS

RED
INTERNA

Evolucin del proceso de implantacin:

SISTEMA DE PROTECCIN
ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

Envo de reglas

INTERNET
En
v
o

de
r

eg

las

El administrador de
esCERT enva las reglas
del firewall de forma
automtica.
Se guarda una copia de las
reglas en la consola central

FW/IDS

RED
INTERNA

Evolucin del proceso de implantacin:

SISTEMA DE PROTECCIN (DMZ)
ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

INTERNET

FW/IDS

RED
INTERNA

Evolucin del Proceso de implantacin:

SISTEMA DE PROTECCIN (DMZ)
ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

INTERNET

FW/IDS

DMZ
(Zona
desmilitarizada)

RED
INTERNA

Arquitectura DMZ

La arquitectura Screened Subnet, tambin conocida como red perimtrica

o De-Militarized Zone (DMZ) es con diferencia la ms utilizada e
implantada hoy en da, ya que aade un nivel de seguridad en las
arquitecturas de cortafuegos situando una subred (DMZ) entre las redes
externa e interna, de forma que se consiguen reducir los efectos de un
ataque exitoso al host bastin

Evolucin del Proceso de implantacin:

Auditoria de la red
Una vez instalado el sistema de seguridad
comprobamos que el funcionamiento es correcto.
Se realiza una auditoria externa:
Escaneo de puertos:
Slo deben ser visibles las mquinas que dan servicios al
exterior.
Los servidores nicamente deben ofrecer los servicios
correspondientes a su funcin.

Anlisis de vulnerabilidades:
Garantizamos que
vulnerabilidades.

los

servicios

visibles

no

presentan

Proceso completo. Gestin remota

ADMINISTRADOR
esCERT

CONSOLA
CENTRAL

INTERNET

Fuente:
www.bicsi.org.mx
http://escert.upc.es
http://www.iec.csic.es/criptonomicon/consejos/instalarssl.html
http://www.compendianet.com/firewall-software.htm
http://www.1st-to-see.com/index.php?to=firewall

Gracias