seguridad en redes

SEGURIDAD EN REDES

Seguridad Informática

Seguridad de Redes.

Seguridad de Software.

Seguridad con Agentes.

Confidencialidad

Integridad Disponibilidad

Autentificación

Autorización

Control de Acceso

Seguridad

Conceptos

• ―seguridad de una red‖ implica la seguridad de cada uno de las computadoras de la red

• ―hacker‖: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador

• ―cracker‖: no es un programado y utiliza sus ataques para sacar beneficio económico

• “Amenaza o ataque”: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso)

Tipos de amenazas • Compromiso: la entidad atacante obtiene el

control de algún elemento interno de la red, por ejemplo utilizando cuentas con password trivial o errores del sistema

• Modificación: la entidad atancante modifica el contenido de algún mensaje o texto

• Suplantación: la entidad atacante se hace pasar por otra persona

• Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto

• Denegación de servicio: la entidad atacante impide que un elemento cumpla su función

Servicios ofrecidos por la

―seguridad‖ Autenticación: ¿es realmente quien dice ser?

Control de Acceso: ¿tiene derechos a hacer lo que pide?

No repudio: ¿ha enviado/recibido esto realmente?

Integridad: ¿puedo asegurar que este mensaje esta intacto?

Confidencialidad: ¿lo ha interceptado alguien más?

Auditoria: ¿qué ha pasado aquí?

Alarma: ¿qué está pasando ahora?

Disponibilidad: El servicio debe estar accesible en todo momento

Fundamentos de la Seguridad

SEGURIDAD = PROCESO PERMANENTE

(HOLÍSTICO)

•Prevenir

•Detectar

•Evaluar

•Responder

•Corregir

Los Tres Pilares de una Red

Saludable

3Com Confidential 8

Aplicaciones

Operan en Clientes y servidores Elementos:

Sistemas Operativos

Aplicaciones en

Microsoft

Oracle, DB2, MS SQL

Linux O/S

VoIP

Bases de Datos

IVR

Facturación

E-mail

Navegación

Video Conferencias

Infraestructura

Aplicaciones

Rendimiento

Elementos vitales para

la salud de la red

Infraestructura

Aplicaciones

Infraestructura

Rendimiento


la salud de la red

Elementos:

Routers (e.g. Cisco IOS)

Switches

Firewalls (e.g. Netscreen OS,

CheckPoint FW1)

Wireless

IP Telephony

PDA

Celular

Rendimiento

Aplicaciones

Rendimiento

Infraestructura


la salud de la red

Elementos:

Ancho de banda

Capacidad de

Servidores

Tráfico de Misión Crítica

The Channels’ Value!

VPN

IDS

Firewall

Policy Manager

Administración de Red

Seguridad

Red de Socios

Certificados en

Seguridad

Switches

Ruteadores

El Valor de

los socios!

¿ Por qué invertir en soluciones de

seguridad ? • Problemas de seguridad pueden comprometer seriamente los resultados

de una Compañía:

– Un ataque de virus tiene un costo promedio de $61.729 por año

– Una pérdida de servicio por intrusión tiene un costo promedio de

$108.717

– Las pérdidas totales del año 2000: $265 millones

• En el año 2000, el 70% de las organizaciones encuestadas reportó

incidentes de seguridad; en 1996 solo el 42% lo había hecho

– Los expertos consideran que estas cifras son bajas, ya que hay

motivaciones comerciales para no denunciar la mayoría de problemas

• Gracias a importantes reducciones en costo, las organizaciones han

colocado información crítica de negocios en la red

– Desafortunadamente cuando los hackers comprometen esa

información, también logran acceso a TODA la información corporativa

• Asegúrese de considerar el riesgo por la pérdida de datos debido al envío

de información desde dentro de la compañía

Qué Son los Intrusos

• Son sistemas que explotan vulnerabilidades y afectan las

APLICACIONES, INFRAESTRUCTURA Y RENDIMIENTO de la red

• Objetivos:

– Provocar negación o retrasos en servicios

– Adquirir información sin autorización

– Aprovechar recursos ajenos

Seguridad • Las amenazas y herramientas se vuelven más sofisticadas

• El número de ataques y atacantes está incrementando

• Las regulaciones, dispositivos móviles y aplicaciones IP aumentan los riesgos

Datos de intrusos en empresas

ecuatorianas

• Cada computador en promedio

genera o recibe más de 200

incidentes sobre la red cada

semana

• Más del 50% de incidentes

críticos mutan hasta

sobrepasar las seguridades de

los firewalls

• Más del 90% de los intrusos

de la red entran o salen por

puertos abiertos por los

firewalls

CSI/FBI 2,001 U.S. Security Survey Pérdidas Económicas por tipo de Ataque

Theft of Information: $151,230,100

Financial Fraud: $92,935,500

Virus: $45,288,150

Insider Net Abuse: $35,001,650

System Penetration: $19,066,600

Telecom Fraud: $9,041,000

Laptop Theft: $8,849,000

Unauthorized Insider Access: $6,064,000

Sabotage: $5,183,100

Denial of Service: $4,283,600

Telecom Eavesdropping: $886,000

TOTAL US$ 378 Millones 43% de INCREMENTO respecto al 2000

¿Cómo justificar la necesidad de

programar inversiones en seguridad? • Haga un análisis de riesgo para determinar la exposición de

sus activos

• Pruebe que la red tiene un riesgo, use un ―sniffer‖ o contrate

una empresa que intente violar sus seguridades

• Explique en detalle el impacto de la seguridad en la

reputación, ventas y beneficios si se ven comprometidos en

problemas de seguridad

• Identifique las implicaciones para el negocio de una pérdida

de servicio por esta causa

• Asegúrese de considerar el riesgo por la pérdida de datos

debido al envío de información desde dentro de la compañía

o el acceso no autorizado desde fuera de la misma

La Importancia de Asegurar las

Redes Corporativas • “70 % de la destrucción, robos y alteración de la

información son hechas dentro de las redes LAN”

Fuente: META Group

• De cada 700 empleados 1 trabaja activamente contra la empresa y 10 trabajan contra la empresa por razones diversas

Fuente: META Group

Ataques Pasivos.

Ataques Activos.

Tipos de Ataques

Principales Ataques

• Virus

• Caballo de Troya

• Gusanos (Worms)

• Bugs

• Trapdoors

• Stack overflow

• Pepena

• Bombas lógicas

• Dedos inexpertos

• Falsificación

• Usurpación

• Sniffers

• Spoofing

• Spam

• Grafiti

• Ingeniería Social

• Negación de servicio

Principales páginas

• Security Focus: www.securityfocus.com

• CERT : www.cert.org

• SANS: www.sans.org

• Dpto. Seguridad ITESM-CEM: dsc01.cem.itesm.mx

• Securiteam: www.securiteam.com

• Snort: www.snort.com

• ISS: www.iss.net

• Página seguridad RSA: www.rsasecurity.com

• Cypherpunks: www.vnunet.com

• Bruce Scheneider: www.counterpane.com

• Security Space: www.securityspace.com

• Ernst&Young: www.esecurityonline.com

Más páginas

• Linux Security: www.linuxsecurity.com

• Diccionario del hacker: www.hack.gr/jargon/

• Defaced pages: www.attrition.org/

(deshabilitada)

• Defaced pages: www.alldas.org/

• Criptologia: www.criptored.upm.es

ATAQUES MÁS COMUNES

Denial of Service - DOS

(Denegación de Servicio)

• SYN Flood

• PING de la Muerte

– Windows 95:

• PING -T -L 65500 xxx.xxx.xxx.xxx; hacer

15 sesiones

– La estación se va a congelar o

reiniciar

Exploits (abusos)

• IP spoofing

• SMURF

• Buffer Overflows

– Ejemplo: Mayoría de los logins permiten

apenas 256 caracteres

– Si los 300 caracteres son enviados en el

password que sera ejecutado, el sistema

sera vulnerable al ataque

– Común en programas C/C++, raro en

programas Java.

Ataque: Análisis de paquetes

m-y-p-a-s-s-w-o-r-d d-a-n

telnet foo.bar.org

username: dan

password:

Ataques Comunes - Reconnaissance

(reconocimiento)

Trojan Horse

Alarmtool - Email, Pager, SNMP

Traps

Internet

Firewall

Asegurado

DMZ

Switch

Asegurado

Arquitectura de ―Mejores Prácticas‖

Intrusion Detection

Systems

Router

Asegurado

Se administra por

Interface Web

NIDS NIDS NIDS

NIDS

Red

Interna

HIDS

HIDS

Autenticación de Usuarios en

la Red

IEEE 802.1x : Reconfigura el switch basado en el usuario

802.1x

EAP login

Equipos de Acceso de Capa 4

IP

User: unknown

Password : any

VLAN Isolated

Radius y

DHCP

Server

Servidor

De Aplicaciones

Internet

VLAN Ventas

SA

P

SN

MP

IP

VLAN Ingenieros

SN

MP

SN

MP

WE

B

WE

B

VLAN Ingenieros

User: jose

Password : 123

User: Douglas

Password : xqfszx User: Mariano

Password : xeYs&

DOOM

Equipos de acceso capa 2

Radius y

DHCP

Server Servidor

De Aplicaciones

Internet

User: unknown

Password : any

VLAN Isolated

IP

VLAN Ventas

User: jose

Password : 123

VLAN Ingenieros

User: Douglas

Password : xqfszx

SA

P

SN

MP

W

EB

Reducción de Riesgos

Reducción de Riesgos

Contramedidas orientadas a riesgos y vulnerabilidades específicas Administrativas, operacionales y técnicas

No previenen todos los ataques, pero reducen los riesgos

Tolerancia varía entre organizaciones Sensibilidad de la información, costo, equipo

adicional, mantenimiento, flexibilidad

Equilibrio entre seguridad e inversión

Contramedidas Administrativas

Política de seguridad comprensiva Fundamento de las otras contramedidas Política debe:

Identificar a los usuarios de la LAN Definir si es necesario acceso a Internet Quien puede instalar AP y otros equipos Limitar localización y seguridad física de

equipos Definir tipo de información a transmitir Condiciones para permitir dispositivos inalámb.

Contramedidas Administrativas

Política... Definir configuraciones de seguridad Limitaciones de uso de dispositivos inalámbricos Configuraciones de HW y SW de dispositivos Guías para reportar pérdida u otros problemas Guías para la protección de dispositivos Guías de uso y manejo de llaves de criptografía Definir frecuencia y alcance de evaluaciones de

seguridad

Entrenamiento de personal y usuarios

Contramedidas Operacionales

Seguridad física es una etapa fundamental Seguridad física combina:

Control de acceso Identificación de personal Protección de fronteras

Control de acceso Identificación de fotografías, lectores de

tarjetas, dispositivos biométricos, etc.

Identificación de personal Registro y asignación de áreas de acceso

Contramedidas Operacionales

Protección de fronteras Vías de acceso con seguros y cámaras de vigilancia Estudio del alcance de los AP’s Consideraciones similares para “bridges” entre

edificios Uso de herramientas para estudio del sitio Antenas direccionales

Site survey tools Miden y aseguran la cobertura de AP’s Mapeamiento no garantiza seguridad

Contramedidas Técnicas

Uso de soluciones en HW y SW

Contramedidas en software Correcta configuración de los equipos,

parches y actualizaciones de SW, autenticación, sistemas de detección de intrusión, criptografía

Contramedidas en hardware Tarjetas inteligentes, redes privadas

virtuales, infraestructura de llave pública, dispositivos biométricos, etc.

Soluciones de Software

Configuración de AP’s de acuerdo a políticas y requisitos de seguridad Actualización de passwords predeterminados Establecer características de criptografía Controlar funciones de “reset” y conexión

automática Uso de la funcionalidad MAC ACL Modificación y control del SSID Manejo de llaves compartidas Uso de agentes SNMP y DHCP


Parches y Actualizaciones de Software Vulnerabilidades de SW son corregidas

por parches o actualizaciones

Administradores deben verificar periódicamente listas de parches y actualizaciones

Ejemplo: “fast packet keying” de RSA


Autenticación Soluciones incluyen passwords, tarjetas

inteligentes, biométrica, PKI o combinaciones

Passwords deben cumplir con tamaño, caracteres requeridos y expiración periódica

Tarjetas inteligentes y PKI tienen sus propios requisitos

Sin embargo autenticación no resuelve todos los problemas

Equilibrar costos y flexibilidad con seguridad


Firewalls personales Firewalls personales residen en estaciones

cliente

Pueden ser administrados por el cliente o en forma centralizada

Administración centralizada ofrece mayor protección (capacidad de crear una VPN)

Protección contra AP’s maliciosos

No protegen contra ataques avanzados

Niveles de protección adicional son requeridos


Sistemas de detección de intrusión Herramienta para determinar accesos

desautorizados y comprometimiento de la red

Puede ser host-based, network-based o híbrido

Host-based IDS es instalado en sistemas individuales y monitora comportamientos sospechosos o cambios en archivos

Network-based IDS monitora el tráfico de red en tiempo real buscando patrones de ataques

Ejemplo: Ataque “TearDrop DoS”


IDS’s... En conexiones criptografiadas el esquema host-

based tiene ventajas sobre el esquema network-based

IDS para redes cableadas pueden tener algunas limitaciones cuando protege WLAN’s

1. Sensores IDS en la red cableada no detectan ataques entre clientes o intentos de desasociar clientes

2. Tecnología IDS solo detecta ataques cuando la WLAN ha sido ya comprometida, no identifica ubicación física, no detecta comunicaciones P2P


IDS’s... Expansión de redes cableadas con redes inalámbricas

introduce riesgos no manejables por IDS’s Soluciones IDS inalámbricas deben proveer: 1. Identificación de la ubicación física 2. Detección de comunicaciones P2P no autorizadas 3. Detección del aparecimiento de AP’s maliciosos 4. Detectar cambios de configuración en dispositivos 5. Percibir intentos de desasociación o inundación 6. Monitoreo centralizado y administración integrada


IDS’s... Organizaciones con requisitos elevados de

seguridad deben implementar IDS’s

Proveen un nivel adicional de seguridad

Migración de IDS’s a WLAN’s debe considerar recomendaciones mencionadas

IDS involucra un costo y requiere personal experimentado

Debe considerarse el uso de máquinas de correlación: IDS, firewall, sistemas antivirus


Criptografía Tres opciones: 0, 40, 104 bits (128)

0 bits crea el mayor riesgo a la seguridad

40 bits pueden ser descifrados por fuerza bruta en computadores personales

104 o 128 bits ofrece mejores condiciones

Pobre diseño de WEP no garantiza la seguridad mismo con llaves de mayor tamaño


Evaluación de seguridad Auditorias son esenciales para mantener la

seguridad de WLAN’s Utilización de analizadores de red y otras

herramientas Analizador de red permite auditar la red y

resolver problemas Chequeo de canales, AP’s maliciosos, accesos

desautorizados Recomendable usar consultores externos No olvidar la parte cableada de la red

Soluciones de Hardware

Tarjetas inteligentes (smart cards) Pueden adicional otro nivel de protección

(y complejidad)

Almacenan certificados de usuario y otras informaciones

Usuario solo necesita recordar un PIN

Son portátiles (ventajas y desventajas)

Pueden usarse solas o combinadas con passwords, autenticación de 2 factores, dispositivos biométricos, etc.


Redes privadas virtuales Tecnología que provee transmisión de datos segura

a través de infraestructura de red pública Usadas en 3 principales escenarios: acceso de

usuarios remotos, conectividad LAN-to-LAN y extranets

Usa técnicas criptográficas para proteger los datos

Un túnel VPN es creado para aislar la información Provee confidencialidad, integridad y otros

servicios de seguridad


VPN

AP AP

VPN Internet


VPN’s... Mayoria de VPN’s usan protocolos IPSec (IETF)

IPSec provee protección robusta en: integridad, confidencialidad, autenticación de origen, protección de “replay” y análisis de tráfico

Integridad sin conexión garantiza que el mensaje no ha sido modificado

Confidencialidad garantiza que terceros no pueden leer la información

Autenticación de origen impide impersonamiento


VPN’s... Protección de replay asegura mensajes únicos

y en orden Protección de análisis de tráfico impide

determinar quien se comunica, su frecuencia o volumen de Tx

Elementos de seguridad: ESP, AH, IKE IPSec provee seguridad al nivel de red

(independiente del nivel 2 – WEP) El túnel IPSec va desde el cliente hasta el

dispositivo VPN en la red corporativa


AP AP

VPN Internet

IPSec

WEP


VPN’s... Estaciones sólo necesitan el software cliente

IPSec/VPN

Autenticación por llaves pre-compartidas, RADIUS o OTP (one-time-passwords)

VPN gateways integran servicios de firewall

Registro cronológico para auditoria puede también ser útil

No resuelve autenticación de acceso a las aplicaciones corporativas


Infraestructura de llave pública PKI provee el marco y servicios para la generación,

producción, distribución, control y contabilidad de certificados de llave pública

Aplicaciones disponen autenticación y codificación seguras, integridad de datos, y no-rechazo

WLAN’s integran PKI para autenticación y transacciones de red seguras

Integración con tarjetas inteligentes mejora su utilidad

Desventajas: costo y complejidad


Dispositivos biométricos Proveen nivel adicional de protección (solos

o combinados) Lectores de huellas digitales, geometría de

las palmas, lectores ópticos (iris, retina), reconocimiento facial, reconocimiento de voz, dinámica de firmas, etc.

Integración con tarjetas inteligentes o dispositivos inalámbricos más passwords proveen alta seguridad

También pueden combinarse con VPN

Soluciones

Parte Práctica

Seguridad desde el principio

• Haz ―seguro‖ un servidor antes de

conectarlo a una Red.

• Incluye cosas asi: – Apagar servicios no necesario.

– Usa un “tcpwrapper” con los servicios de red.

– Planificar y instalar reglas de netfilter.

– Instalar paquetes de controlar usuarios (cuotas, chequeos de contraseñas).

– Aplicar parches a servicios que va a correr y al sistema operativo.

– cont.-->

Seguridad desde el principio

cont. – Instalar sistema de detectar intrusion.

– Instalar biblioteca encontra ataques de buffer overflow.

– Configurar como va a correr y usar los logs.

– Determinar su sistema de respaldo.

– Seguridad de clientes.

– Seguridad fisico! No lo olvido.

– Inscribe en las listas de correo acerca seguridad y tu sistema operative.

Apagar servicios no necesarios

Esto es clave por la seguridad de tu sistema.

Usa los comandos asi:

– ps -aux | more

– lsof -i

– netstat -natup

Despues investigaciones si necesario

usando /etc/services, man nombre,

/etc/rc.d/init.d/, /etc/xinetd.d

Apagar servicios no seguros

Se puede discutir cual servicios son, pero

tipicamente hablamos de:

– telnet

– ftp

– rpc

– nfs

– sendmail

Correr servicios con tcpwrapper

• Un tcpwrapper es un programa como

xinetd.

• Antes usamos inetd.

• /etc/rc.d/init.d/xinetd

• /etc/xinetd.d

• Se configura servicios dentro este

directorio.

• Se lo apaga con ―disable = yes‖

• Que provee xinetd? -->

Para que correr xinetd?

• El servicio (daemon) de xinetd ―escucha‖

por los paquetes por todo los servicios

mencionados en los archivos de

configuracion en /etc/xinetd.d

• Se ahora memoria y recursos. Pero, por un

servicio cargado (como httpd) mejor no

usar xinetd.

• Se puede controlar varios aspetos de

connecion usando el ―super servidor‖

xinetd.

Algunos parametros de xinetd • Disable: si el servicio corre o no cuando xinetd esta

en uso.

• Wait: si o no corre multiple daemons si hay mas de

una connecion.

• User: bajor que usuario corre el servicio.

• Instances: Numero maximo de connecions permitido

al servicio. Si wait = nowait el defecto es ―no limite‖

por instantes.

• Server: El nombre del programa de correr cuando

esta conectado el servicio.

• only_from: Especifica de donde se accepta

conecciones.

• no_access: Especifica de dondes no se accepta

conecciones.

Parametros de xinetd cont.

• Interface: puede decir en que dispositivo de ethernet

va a responder el servicio.

• cps: “cps = 10 30” significa accepta hasta 10

conecciones y si hay mas apaga el servicio por 30

segundos.

• Tambien hay los parametros Id, Type,

socket_type, Protocol, Group, server_args,

log_type, log_on_success, Port.

• Xinetd permite bastante control al nivel de

aplicacion para controlar algunos servicios de red.

• Solamente tiene que especificar los parametros

“socket_type”, “user”, “server”, y “wait” en un

archivo de configuracion por xinetd.

Correr reglas de Netfilter?

Netfilter es iptables es ―firewall‖ en la mente

de la mayoria de las personas.

Si tienes un servidor que no esta pasando

paquetes de IP a un red privado, no es

necesario correr una tabla tan grande de

Netfilter.

Se puede correr reglas para proteger

encontra paquetes no muy bien formados,

etc.

Rechazar icmp? (ping)

Controlar los usuarios

Bueno, esto es imposible :-) Pero, tal vez se puede restringir las contraseñas que usan y el espacio que toman.

Implentar reglas de contraseñas. Un ejemplo: – Contraseñas nuevas deberian tener entre 6

a 14 caracteres.

– No se puede eligir una palabra, nombres, lugares, o datos personales.

– Una contraseña segura deberia contener, por lo minimo, dos numeros, dos letras, y unz mezcla de mayuscalas y minuscalas.

Controlar los usuarios cont. Implementar cuotas a los usuarios. En

Red Hat ya esta instalado el aporte para

implementar las cuotas.

– /etc/fstab usrquota y/o grpquota

– /part/quota.user y /part/quota.group

– edquota -u usuario para congigurar las cuotas.

• edquota -p artc 'awk -F: '$3 >> 499 print $1' /etc/passwd'

– quotacheck -avug

– quotaon -avug

– quotacheck, repquota, quota

Controlar los usuarios cont.

Para que los usuarios tienen que usar una

contraseña bastante buena se puede usar PAM

(Pluggable Authenticion Module) y cracklib.

– PAM con cracklib (PAM ya esta en Red Hat 9)

Quebrar las contraseña despues que existen:

– John the Ripper:

http://www.openwall.com/john/

– Crack: http://www.crypticide.org/users/alecm

– Slurpie:

http://www.ussrback.com/docs/distributed/

Aparchar y actualizar software

Aparchar o aplicar los mejoramientos al software que va a correr y a tu kernel.

En el mundo Red Hat busca el directorio ―udpates‖

Desde que Red Hat 9 ha salido hay 500MB de updates.

Revisa los updates y decide cuales tiene que aplicar.

Por servicios importante vaya a su sitio de web y inscribe en listas de correo para saber siempre cuando sale un update – especialmente por seguridad.

Sistemas de detectar intrusos

Tambien, se dice ―Sistemas de probar la

integridad de sistemas.‖

En este caso estamos hablando de sistemas

por tu servidor y sus archivos, no por la

red.

Hay tres sistemas bien populares hoy en dia.

Son:

– tripwire: http://www.tripwire.org/

– AIDE: http://www.cs.tut.fi/~rammer/aide.html

– Snort: http://www.snort.org/

Ataques de Buffer Overflow Aprovechando del estado de memoria de un

programa. Usando mas memoria temporia

que hay, y el programa no lo atrapa bien

este condicion. Se falla en una forma que

permite el intruso tomar el proceso con los

permisos del usuario de que pertenece al

programa.

El proyecto libsafe

(http://www.research.avayalabs.com/project/libsafe/) tiene una

solucion sensible. Se lo instala su software

y esto es todo.

Ataques de Buffer Overflow cont

Otro software encontra este tipo de ataque

incluyen:

– Openwall: http://www.openwall.com/

– Stackguard: http://www.cse.ogi.edu/DISC/projects/immunix/StackGuard/linux.

html

– WireX: http://immunix.org/

Son mas complicado para instalar, pero

pueden ser mas completo, o util por los

servidores que tienen que ser paranoiacos

para mantenar seguro datos.

Logging y Reportajes

• Red Hat Server ya tienen /etc/syslog.conf

bien hecho. Lea ―man syslog.conf‖ por mas

detallas.

• Red Hat Server 9 corre cada dia el servicio

―logwatch‖ que manda un mensaje al root

con un reportaje hecho de los logs en

/var/log.

• Vea /etc/log.d/logwatch.conf.

• Donde van los logs es importante.

• Respaldos de los logs es importante.

Sistema de respaldo Tecnicamente no es seguridad, pero sin

respaldo de los datos que haces si hay un

intruso?

• Que tienes que respaldar?

• Cuantas veces tienes que correr un respaldo?

• Donde va la media de respaldo en caso de

desastre?

• Que pasa en caso de desastre (terremoto?).

• Que herramientas vas a usar (tar? arkeia?

cpio?)

Seguridad de los clientes

Esto es supremamente importante!

Mucha gente olvida esto. Pero un cliente

(usuario que tiene acceso a tu sistema)

que no es seguro es un riesgo y oyo de

seguridad grande a tu servidor.

Insiste en pop/imap por ssl, ssh, scp,

sftp, https, contraseñas buenas.

No use pop/imap sin ssl, webmail por

http, ftp (menos anymous), ni telnet.

Seguridad fisico Todo la seguridad en el mundo no te va a

ayudar si alguien tiene acceso fisico a tu

servidor y si este persona quiere causar

daño.

Considera quien tiene acceso. Llaves. El

espacio fisico. Donde estan los respaldos?

Los logs?

Tienes una contraseña en el bootloader y un

sistema de archivos encifriado? No

importa, la persona puede llevar tu

computador!

Detectando un intruso

Que pasa si, ya, alguien entro tu sistema y

hico cambios? Como va a saber? – Tal vez nunca vas a saber. Sin un sistema

de detection de intruso, como Tripwire, es dificil saber.

– Si un programa como ―ls‖ no corre.

– Si ―netstat -natup‖ muestra algo como BASH escuchando a un puerto de tcp.

– Si, de repente, vea mucho mas actividad en el disco duro, por el camando ―top‖ o en la red.

– Si esta corriendo un proceso de red escuchando por un puerto > 1024

―Seguridad por osbscuridad‖

―Security from obscurity‖

¡No funciona!

Monitorea tu red y ve cuanta gente esta

probando los puertos de tcp/udp en tu

red publica – es impresionante!

Resumen

En resumen, para hacer ―seguro‖ tu servidor haz lo siguiente: – Apagar servicios no necesarios

– Apagar servicios peligrosos

– Usa contraseñas seguras

– Considera sistemas de detectar intrusos.

– Considera sistemas de chequear integridad de sistema.

– Usa logs. Protega tus logs.

– Aplica los parches encontra los ataques de buffer overflow.

Resumen cont. • Aplicar los parches a los servicios que corres

y al kernel.

• Usa un servicio de tcpwrapper, como xinetd.

• Corre respaldos!

• Considera usando reglas de netfilter.

• Inscribe al listas de correo como bugtraq y cert.

• Instala software para controlar tus usuarios como cuotas y chequeo de contraseñas.

• Insiste en clientes seguros que usan metodos de criptografia (ssh, scp, sftp, https, pop/imap/ssl) .

• Seguridad fisico de tus servidores.

Entiendes que haces • Una solucion de seguridad mala es peor que no solucion.

• Entiendes que haces:

● Lea toda la documentacion

● Lea las configuraciones de muestras

● Construye maquinas de pruebas

● Haz preguntas

● Inscribe en las listas de correo de anuncios por tu sistema operativo y por las aplicaciones que corres.

● Trata de conectar desde afuera tu propia red.

● Trata de evitar tus propias reglas.

Conclusion Hay una regla en el mundo de seguridad:

– Mas seguro = mas molestia

Cada tapa de seguridad que impones, en

general, lo hace mas dificil para hacer tu

trabajo.

Hay otra regla en el mundo de seguridad:

– Menos seguro = desastre esperando

Solo requiere una quebrada de seguridad

para que tus datos pueden ser

destruidos, tu negocio puede fallar, o tu

trabajo puede estar en peligro.

Conclusion cont.

Con un poco trabajo se puede mejorar el

nivel de seguridad de un servidor mucho.

Es una molestia, pero desafortunadamente

es una molestia necesaria.

Pero, Linux esta hecho en una forma bien

modular que lo hice mucho mas facil de

hacer seguro. Y, mientras que haces

seguro tu servidor, tambien, haces tu

servidor ordenado y mas facil de

administrar.

Que es un IDS?

• IDS (Intrusion Detection System)

• Sistema de Detección de Intrusos

Necesidad de un IDS

• Perdidas reportadas, mas de

$1,004,135,495 Dlls.

• 57% de ataques a través de un ISP

• Proteger la Información.

Consideraciones de un IDS

• Debe reforzar una política de seguridad.

• Resistente a un ataque.

• Documentación y Soporte.

• Lightweight

• Respuesta a Incidente.

Acciones en un IDS

• Analiza el trafico en la Red y compara

patrones de ataques conocidos, tomando

acciones de acuerdo a su configuración (

envío de mensajes de alerta, reseteando

conexiones, etc)

• Reacciona de acuerdo a Reglas.

NIDS vs HIDS

• Network

– Examina ataques a la

red, analizando el trafico en la misma.

– Se pueden distribuir sensores a través de la red y reportar incidentes a un host central

– Es posible detectar ataques distribuidos.

– Necesidad de personal dedicado a la lectura de reportes

• Host

– El Host es el único

protegido en la red.

– Examina un numero menor de firmas

– Requiere mínima configuración.

– El software debe ser instalado en cada host para ser monitoreado.

Limitaciones en IDS

• Distinguir entre ―self y non-self‖

• Falsos Positivos

• Falsos Negativos

• Tiempo

Algunos IDS comerciales

• DRAGON

• Intruder Alert

• NetProwler

• ISS RealSecure

• Cisco NetRanger

• Cyber Cop

• OMNIGUARD Intruder Alert

http://www.axent.com/product/ita/ita.htm

Cont.

• POLYCENTER Security Intrusion Detector

• G-Server

• Watch Dog

• CMDS (Computer Misuse and Detection

System)

• INTOUCH NSA (Network Security Agent)

IDS Gratuitos

• Shadow

• Network Flight Recorder

• Tripwire

• Snort

Proyectos de IDS

• AID (Adaptive Intrusion Detection system)

• EMERALD (Event Monitoring Enabling

Responses to Anomalous Live

Disturbances)

• ANT

• LISYS

• IDS basado en el Control de Procesos

Conclusión

• Un IDS debe contar con las siguientes

características:

– Ser distribuido, lightweight, confiable, robusto,

escalable y distinguir de lo que es un ataque

a un comportamiento normal del sistema.

SNORT

• Marty Roesch

• Distribución Gratuita

• LightWeight

• Mas de 700 firmas

• Análisis de trafico en tiempo real

SNORT

• Puede guardar paquetes que pasan en la

Red, Analizar paquetes o ambos.

• Uso de Filtros.

• Detección de Strings o Hosts Arbitrarios.

Ejemplo de Regla

• IMAP Buffer Overflow

• alert tcp any any -> 192.168.1.0/24 143

(content:"|E8C0 FFFF FF|/bin/sh";

msg:"New IMAP Buffer Overflow

detected!";)

Donde Obtenerlo

• http://www.snort.org

Conclusiones.

• Snort, cumple con el requisito de ser

Lightweight es compacto y flexible. Es una

buena alternativa si no se tiene un IDS

comercial o bien puede ser un excelente

apoyo para un comercial. Tiende a ser

comercial.

Sistemas de

Prevención de Intrusos

IPS

3Com Confidential 117

¿Qué es un IPS? • Intrusion Prevention System (IPS) de

es un elemento para proteger proactivamente una red a velocidad de wirespeed.

• El IPS debe ser un elemento in-line que puede ser colocado de forma transparente e invisible en la red

• Todos los paquetes que pasen por el segmento de red protegido son inspeccionados de manera completa a fin de determinar si son legítimos o maliciosos. Este método instantáneo de protección es el más efectivo de prevenir ataques evitando que lleguen a su objetivo.

• Debe proveer Application Protection, Performance Protection e Infrastructure Protection a través de inspección total de paquetes

DNS FTP HTTP

SNMP SMB Telnet

Web Services DMZ

IBM DB2 MS SQL

Applicaciones

Sistemas Operativos

Wireless

Infraestructura

VIRUS WORM TROJAN BUFFER OVERFLOW

PHISHING SPYWARE KAZAA

Aplicación y

usuarios

válidos

Tráfico bueno pasa

Switch

Router

Firewall

Ver Animación

http://www.tippingpoint.com/products_IPS3.html




http://www.microsoft.com/windowsxp/default.asp

../../../3Com/presentaciones/infosecurity/show16.exe

Criterios para tomar una decisión

adecuada

No todo equipo que dice ser un

IPS es en realidad un IPS

Elegir mal un IPS puede provocar:

•Degradación en la velocidad de la Red

•Aumento en la complejidad para asegurar la red

•Mayores brechas de seguridad

Administración de Ancho de

banda • Capacidad de manejar Rate Shaping

• Protección al rendimiento de la red

• Descubre Kazaa, e-donkey, gnutella en cualquier

puerto

Qué tipo de IPS no poseen

Administración de Ancho de

Banda?

Respuesta: Aquellos que no

poseen filtros de performance ni

pueden manejar Rate Limiting

orientado a anomalía de tráfico

Seguridad en aplicaciones de

futuro

• VoIP Protection

• Protección DDoS

Qué tipo de IPS no poseen

seguridad sobre la

convergencia?

Respuesta: Aquellos que no

poseen filtros específicos para

VoIP

Clients

Safe Zone

SMS

RADIUS

Core

1

2

3

Switch SAP

STREAMING DE ÁUDIO

WEB

BLASTER VIRUS

LOTUS NOTES

E-MAIL

BLOCKED

BLOCKED

Autenticación & Policy

Intrusion Prevention

Policy-Enabled Access

Safe Zone

SMS

RADIUS

6

5 4

7

3

Intrusion Prevention & Quarentena

REMEDIATION PAGE

Intrusion Prevention

Clients

Policy-Enabled Access

Core

Antisniffers

Que es un antisniff?

• Antisniff es una nueva clase de

herramienta de monitoreo de seguridad

proactivo. Tiene la habilidad de explorar

redes y detectar si alguna computadora se

encuentra en modo promiscuo.

Cómo trabaja un sniffer?

• Cuando un atacante compromete

satisfactoriamente una computadora, instala lo que se conoce como un sniffer, una herramienta que pone a la computadora en modo promiscuo, permitiendole monitorear y grabar todas las comunicaciones de la red.

• Antes de que esta herramienta existiera era imposible para los administradores de redes el detectar remotamente si las computadoras estuvieran escuchando todas las comunicaciones de red.

Antisniff

• Antisniff fue diseñado para detectar

máquinas comprometidas con pilas de IP

que un atacante remoto pudiera utilizar

para ―sniffear” el tráfico de la red.

Beneficio

• Proporcionar a los administradores y a

profesionales en la seguridad de la

informacíon la habilidad de detectar

remotamente computadoras que estan

“snifeando” paquetes

independientemente del sistema operativo

.

Antisniff

• AntiSniff trabaja corriendo un número de

pruebas no-intruso que puede determinar

si una computadora se encuentra

escuchando todas las comunicaciones de

la red.

Antisniff

• AntiSniff ejecuta 3 clases de pruebas:

• Prueba del sistema operativo

• Prueba DNS

• Prueba de red en estado latente

•

Antisniff

• Todas las pruebas pueden correr juntas

para brindar un alto grado de seguridad

acerca de que si una computadora esta

snifeando paquetes o no. El programa

cuenta con una interfaz gráfica que nos

permite configurar y agendar pruebas de

red, generar reportes e instalar alarmas

Antisniff puede ser derrotado?

• Sí, cualquier cosa puede ser derrotada.

Actualmente los métodos para evadir un

Antisniff se encargan de crear una interfaz

no direccionable o en la lógica que utiliza

el programa de monitoreo de redes

promiscuas para dejar de monitorear la

red cuando se presenten señales de que

algun antisniff se encuentre corriendo

Recomendaciones

• Se recomienda que esta herramienta se

encuentre corriendo con la mayor

frecuencia posible

Detalles técnicos

• Antisniff realiza tres tipos de puebas: (sistema operativo, DNS, latencia en red)

• Antisniff esta diseñado para trabajar en segmentos de redes locales en un ambiente no switcheado

• La herramienta podrá trabajar en un ambiente switcheado pero con algunas limitaciones

Firewalls

¿ Que es un Firewall ?

• Existen 2 Tipos básicos de Firewall

– Hardware Firewall: Normalmente es un ruteador, tiene ciertas reglas para dejar o no dejar pasar los paquetes.

– Software Firewall: Es un programa que esta corriendo preferentemente en un bastioned host, que verifica los paquetes con diferentes criterios para dejarlos pasar o descartarlos.

Hardware Firewall

Software Firewall

¿ Que hace un Firewall ?

• Basicamente examina el trafico en la red,

tanto entrante como saliente y lo examina

en base a ciertos criterios, para

determinar si lo deja pasar o lo descarta.

Si detectan algo anormal pueden tener

procedimientos a seguir o poner en aviso

al administrador.

Operación básica de un Firewall

Análisis de la información de un paquete

• Actualmente - la mayoría de los cortafuegos comprueban solamente la información básica del paquete

• Equivalente en el mundo real a mirar el número y el destino de un autobús - y de no mirar a los pasajeros

¿En que capa trabaja el

Firewall?

Información general sobre las conexiones

de perímetro

Internet

Sucursales

Socios comerciales

Usuarios remotos

Redes inalámbricas

Aplicaciones de Internet

Los perímetros de red

incluyen conexiones a:

Socio comercial

LAN

Oficina principal

LAN

Sucursal

LAN

Red

inalámbrica Usuario remoto

Internet

Diseño del servidor de seguridad: de triple

interfaz

Subred protegida Internet

LAN

Servidor de seguridad

Diseño del servidor de seguridad: de tipo

opuesto con opuesto o sándwich

Internet

Externa

Servidor de seguridad LAN Interna

Servidor de seguridad

Subred protegida

• Tráfico peligroso que atraviesa los puertos abiertos y no

es inspeccionado en el nivel de aplicación por el servidor

de seguridad

• Tráfico que atraviesa un túnel o sesión cifrados

• Ataques que se producen una vez que se ha entrado en

una red

• Tráfico que parece legítimo

• Usuarios y administradores que intencionada o

accidentalmente instalan virus

• Administradores que utilizan contraseñas poco seguras

Contra qué NO protegen los servidores de

seguridad

Servidores de seguridad de software y de

hardware Factores de

decisión Descripción

Flexibilidad La actualización de las vulnerabilidades y revisiones más recientes

suele ser más fácil con servidores de seguridad basados en software.

Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una

capacidad de personalización limitada.

Elección de

proveedores

Los servidores de seguridad de software permiten elegir entre

hardware para una amplia variedad de necesidades y no se depende de

un único proveedor para obtener hardware adicional.

Costo

El precio de compra inicial para los servidores de seguridad de

hardware podría ser inferior. Los servidores de seguridad de software

se benefician del menor costo de las CPU. El hardware se puede

actualizar fácilmente y el hardware antiguo se puede reutilizar.

Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.

Disponibilidad

global

El factor de decisión más importante es si un servidor de seguridad

puede realizar las tareas necesarias. Con frecuencia, la diferencia entre

los servidores de hardware y de software no resulta clara.

Tipos de funciones de los servidores de

seguridad

• Filtrado de paquetes

• Inspección de estado

• Inspección del nivel de aplicación

Inspección multinivel

(Incluido el filtrado del nivel de aplicación)

Internet

Tipos de Firewalls

• Packet filters

• Circuit Level Gateways

• Aplication Level Gateways

• Stateful Multilayer Inspection

Firewall

Paquet Filters

Circuit Level Gateways

Aplication Level Gateways

Stateful Multilayer Inspection

Firewall

Como Implementar un Firewall

• Determinar el nivel de Seguridad

requerido.

• Determinar el trafico que va a entrar a la

red.

• Determinar el trafico que va a salir de la

red.

• Alternativas.

Interfaces de Red

• Dos tipos

– Interna

– Externa

• Dos tipos de externa

– Interfaz-Internet

– DMZ

Interfaces Internas

• Puede tener más de una

• Definida por la LAN

– Cualquier interfaz cuya dirección IP está en la

LAN es una interfaz interna

Interfaces externa • Interfaz-Internet

– Puede tener sólo una

– Debe ser la frontera

– Sólo una interfaz con una puerta de enlace por

defecto

– Está conectada a Internet

– Más de una no está soportada y no trabaja

• DMZ

– El resto de las interfaces en el ordenador

• No incluida en la LAN, no conectada a Internet

Comportamiento del tráfico Internet

DMZ LAN

publicación de servidores

publicación de web

NAT

inspección de aplicación filtrado de paquetes

enrutamiento


publicación de web

NAT

inspección de aplicación

Diseño Subóptimo

• El tráfico entrante y saliente de la DMZ no está bien protegido – El filtrado de paquetes es igual al de cualquier otro

cortafuegos

– No reconoce lo protocolos de aplicaciones

– No puede inspeccionar para cumplir con las reglas

– No utiliza filtros de Web o aplicaciones

• Recomendación — – No utilice diseños de triple interfaz

– Si lo utiliza descargue la seguridad sobre los propios servicios de la DMZ

Publicación opuesto-con-opuesto

• En la DMZ

– Método de publicación normal

• En la red corporativa

– Publicación de recursos sobre el servidor interno

– Publicación del servidor interno sobre el servidor externo

• Usar tarjetas SSL para HTTPS

– http://www.microsoft.com/isaserver/partners/ssl.asp

– AEP Crypto — ¡rápido y barato!

Alternativa Interesante

• Diseño de triple interfaces

• No interfaz de ―DMZ‖

• Dos interfaces internas

– Inspección de aplicaciones entre Internet y

todas las interfaces internas

– Necesidad de proteger la comunicación a

través de las interfaces — ¿Cómo?

• Bueno para presupuestos limitados

Alternativa interesante

Internet

interna 1

Subred

apantallada

interna 2

Red

corporativa

RRAS filtros de paquetes


publicación de Web

NAT



publicación de Web

NAT


Protección de los clientes

Método Descripción

Funciones de

proxy

Procesa todas las solicitudes para los clientes y nunca

permite las conexiones directas.

Clientes

admitidos

Se admiten todos los clientes sin software especial. La

instalación del software de servidor de seguridad ISA en

clientes Windows permite utilizar más funciones.

Reglas

Las reglas de protocolo, reglas de sitio y contenido, y

reglas de publicación determinan si se permite el

acceso.

Complementos

El precio de compra inicial para los servidores de

seguridad de hardware podría ser inferior. Los

servidores de seguridad de software se benefician

del menor costo de las CPU. El hardware se puede

actualizar fácilmente

y el hardware antiguo se puede reutilizar.

Protección de los servidores Web

• Reglas de publicación en Web – Para proteger de ataques externos a los servidores

Web que se encuentran detrás de los servidores de

seguridad, inspeccione el tráfico HTTP y compruebe

que su formato es apropiado y cumple los estándares

• Inspección del tráfico SSL – Descifra e inspecciona las solicitudes Web entrantes

cifradas para comprobar que su formato es apropiado

y que cumple los estándares

– Si se desea, volverá a cifrar el tráfico antes de

enviarlo al servidor Web

Una visión para una Red Segura

Internet

Enrutadores Redundantes

Cortafuegos

VLAN

VLAN

DC + Infrastructure

NIC teams/2 switches

VLAN

Front-end

VLAN

Backend

Detección de Intrusión

Primer nivel de Cortafuegos

Filtros URL

La implementación de uno o más Switches VLANs controlan el tráfico Inter-VLAN como

lo hacen los cortafuegos – Las VLANs no están a prueba de bala (pero tampoco son

servidores)

Se permite o bloquea el tráfico basado en los requisitos de uso de las aplicaciones, los

filtros entienden y hacen cumplir estos requisitos .

Detección de Intrusión Detección de Intrusión

Información general sobre el cortafuegos

de Windows • Cortafuegos de Windows en Microsoft

Windows XP y Microsoft Windows Server

2003

• Ayuda a detener los ataques basados en la

red, como Blaster, al bloquear todo el

tráfico entrante no solicitado

• Los puertos se pueden abrir para los

servicios que se ejecutan en el equipo

• La administración corporativa se realiza a

través de directivas de grupo

Qué es

Qué hace

Características

principales

• Se puede habilitar:

– Al activar una

casilla de verificación

– Con el Asistente para

configuración de red

– Con el Asistente para

conexión nueva

• Se habilita de forma

independiente en

cada conexión de red

Habilitar el cortafuegos de Windows

• Servicios de red

• Aplicaciones

basadas en Web

Configuración avanzada del cortafuegos

de Windows

• Opciones de

registro

• Opciones del

archivo de registro

Registro de seguridad del cortafuegos

de Windows

Cortafuegos de Windows en la compañía

• Configure el cortafuegos de Windows

mediante directivas de grupo

• Combine el cortafuegos de Windows con

Control de cuarentena de acceso a la red

• Utilice el cortafuegos de Windows en las oficinas domésticas y en las pequeñas compañías con el fin de proporcionar protección a los equipos que estén conectados directamente a Internet

• No active el cortafuegos de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente)

• Configure las definiciones de servicio para cada conexión de cortafuegos de Windows a través de la que desee que funcione el servicio

• Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de servicio

Recomendaciones

REDES PRIVADAS VIRTUALES

Esquema WAN convencional

Oficina Principal

Usuario

Intinerante

Oficina

Regional

Acceso

desde el hogar

Lineas Privadas

Frame Relay

Oficina

Estatal

RAS

Redes WAN Clasicas: Nuevos

Retos

Cambios en marcha

Añadir nuevos sitios

Acceso a usuarios

remotos via dial up

Conectividad a socios de

negocios

Costo de la infraestructu-

ra y ancho de Banda

Fortalezas

Uso dedicado.

Ancho de Banda predecible

Seguridad definida

Ampliamente disponible

Oficina Principal

Usuarios

Intinerantes

Socios

De

Negocios

?

Acceso

desde el Hogar

Oficina

Regional

Red Wan Clasica

Oficina

Estatal

Oficinas Remotas

y/o

Internacionales

?

? Miles ó cientos

de

usuarios

remotos

Redes WAN Clasicas: Ahora

existen nuevos retos

• Que es una Red Privada Virtual ?

– Es una red de comunicaciones, construida para el uso privado de una

organización, sobre una infraestructura pública compartida.

– ―Canales privados de comunicación que usan una red pública como el

transporte básico para conectar centros corporativos de datos, oficinas

remotas, empleados nomadas, empleados ―caseros‖, clientes , proveedores

y socios de negocio‖.

– Una Red Privada Virtual es la emulación de una red privada sobre

infraestructura compartida.

Tipos de VPN´S

Provider VPNs:

– VPN Dedicado: MPLS

Edge VPNs

– Site to Site IPSEC

– Client to Site IPSEC

Integrated VPNs

– IPSEC dedicado – MPLS

– IPSEC móvil – MPLS

INTRODUCION A REDES

VPN -MPLS

• Una infraestructura de red IP capaz de entregar servicios privados de red con prioritizaciòn sobre una infraestructura publica (ISP)

VPN - MPLS

Conceptos MPLS

• MPLS: Multi Protocol Label

Switching

• Desarrollado para integrar

redes IP y ATM

• El ―forwardeo‖ de paquetes es

realizado en base a etiquetas

UNA VPN MPLS (VIRTUAL PRIVATE NETWORK)

PERMITE CONECTIVIDAD DE MÚLTIPLES SITIOS A

TRAVÉS DE UNA RED COMPARTIDA, CON LOS

MISMOS ATRIBUTOS QUE UNA RED PRIVADA

LAS REDES ESTÁN EVOLUCIONANDO HACIA IP QUE ES EL

PROTOCOLO QUE HA DOMINADO EN LAS REDES Y

APLICACIONES ( INTERNET, E-BUSINESS, E-MAIL, INTRANET,

EXTRANET, B2B, B2C, VOIP )

Frame

Relay / ATM

VPN MPLS

VPN IPSEC

MPLS

Internet

INTEGRA TODOS LOS SERVICIOS Y APLICACIONES EN UNA

SOLA CONEXIÓN (VOZ, DATOS, VIDEO E INTERNET).

Video

Internet

Datos

Voz

Video

Datos

Voz

Internet

MECANISMOS DE CALIDAD DE SERVICIO QOS QUE PERMITE

DAR PRIORIDAD AL TRAFICO SENSIBLE AL RETRASO COMO

VOZ Y VIDEO O APLICACIONES DE MISIÓN CRÍTICA

Voz y Video

Internet Datos

TECNOLOGIA VPN - MPLS

Core

Oficina Regional

Oficina Estatal

Oficina Corporativa

MPLS

MPLS

México

VPN

Aguascalientes Monterrey

VPN

INTERNET

TECNOLOGIA VPN - MPLS

VPN - IPSEC

INTERNET

IPSEC

- NO ES UN SOLO PROTOCOLO, ES UNA COLECCIÓN DE

PROTOCOLOS ( MAS DE 40 ) DEFINIDOS MEDIANTE RFCs Y POR

IETF´s IPSEC WORKING GROUP.

-SOPORTADO PARA IPV4 E IPV6.

-CUMPLE CON LOS 3 ELEMENTOS BÁSICOS DE VPN :

AUTENTICACION (AH), ENCRIPCION(ESP) Y ADMINISTRACIÓN DE

LLAVES.

-ALGORITMOS DE ENCRIPCIÓN DISPONIBLES PARA IPSEC :

DES (DATA ENCRYPTION STANDARD)

3 DES

RC4 Integridad

Confidencialidad

Autenticación

ALGORITMOS Y ESTANDARES DE ENCRIPCION

TIPO TAMAÑO DE LA LLAVE FUENTE FUERZA RELATIVA

DES SIMETRICO 40 o 56 NSA, ANSI Moderada

3DES SIMETRICO 112 NSA, ANSI Fuerte

RC2 SIMETRICO Variable RSA Se presume fuerte

IDEA SIMETRICO 128 Ascom-Tech AG Fuerte

RSA Public Key 512 o 2,048 RSA Fuerte

ECC Public Key 160 Certicom Fuerte

DSA Firma Digital 1.024 NIST Fuerte

MD5 Resumido N/A RSA Desconocido

MD4 Resumido N/A RSA Debil

MD2 Resumido N/A RSA Desconocido

SHA Resumido N/A NIST, NSA Desconocido

SkipJack SIMETRICO 80 NSA Se presume fuerte

RC4 SIMETRICO Variable RSA Fuerte

RC5 SIMETRICO Variable RSA Fuerte

TUNELES

QUE ES UN TUNEL ?

-UN TUNEL ES LA ENCAPSULACIÓN DE PAQUETES O FRAMES

DENTRO DE OTROS PAQUETES O FRAMES.

CUALES SON LOS PROTOCOLOS PARA GENERAR TUNELES ?

-IPSEC

-PPTP

-L2TP

-L2F

Intranet

Red IP Compartida BN

Tunel seguro IP 1

IPSEC

PPTP

L2TP

L2F

Tuneles

Media

IP

140.100.20.101

179.10.1.1

Encaps. Encripción

Autenticación

PPP

IP

192.100.10.101

192.100.10.230

Datos

Media

IP

192.100.10.101

192.100.10.230

Datos

Encripción Desencripción

Media

IP

192.100.10.101

192.100.10.230

Datos

Cómo funciona?

Corporativo

Internet

Datos

Encapsulado

Encriptado y

encapsulado

Tipos de VPNs IPSEC • Intranet

– Red corporativa de área amplia (WAN, Wide Area

Network) con administración de tráfico a nivel

aplicación

• Extranet

– Extiende la infraestructura de conectividad corporativa

(WAN) a proveedores, clientes y socios.

Principalmente para transporte de transacciones en

modelos Business to Business (B2B)

• Acceso Remoto

– Brinda acceso (dial up, broadband, wireless, etc) a

personal que requiere de alta movilidad, tanto nacional

como internacional.

Tipos de VPN IP-SEC ?

Acceso

Extranet – Acceso Extranet

Acceso

Oficina

– Acceso Remoto

Acceso Remoto

– Acceso Oficinas

• Tres tipos diferentes de VPNs

Corporativo

Corporativo

Internet

Acceso Remoto

Usuarios Remotos

Internet

VPN

Gateway

Oficina Central

RADIUS (AAA)

BASES DE DATOS

Usuarios Institucionales

/Socios

Intranet RPV

Esquema Funcional

Internet

Oficina Regional

Oficina Estatal

Oficina Estatal

Internet

VPN

Gateway

Oficina Central

Acceso Sucursal y ―Extranet‖

Proveedor

De Servicio

CONEXIÓN SITE - SITE

México D.F.

Servidor de

Autenticación FW

PC

Boston

Servidor de

Autenticación FW

VPN Gateway

PC

VPN Gateway

Internet

IDS IDS

Seguridad en redes inalámbricas

Lan (WLan)

Acces Point

11 Mbps

Switch Lan

Computadoras

Desktop

Computadoras

Notebook Dispositivos Mobiles

PDA

Equipos 802.11b con cliente VPN-IPSEC

VPN

http://www.att.com.mx/negocios/Pages/Mains/Datos/Internet/Redip/diagramaGde.html

Seguridad en acceso inalámbricos

via ISP

Acces Point

(((( ))

))

Notebook con clientes VPN-IPSEC

Palm con clientes VPN-IPSEC

VPN

Internet

INTRANET

EXTRANET

INTERNET

VPN

Remplazo de enlaces Wan

utilizando Site-to-Site IPSec VPN

POP

DSL

CABLE

SITIO

PRINCIPAL

Internet VPN

PSTN/ISDN

ADSL

Enlaces Dedicados

Frame Relay

Oficina Corporativa

Extranet

B2B

Intranet

Oficinas Regionales y

Estatales

Respaldo de enlaces Wan

utilizando Site-to Site Vpn IPSEC

Proxy Server

¿ Qué es un Proxy Server ?

• Es un intermediario entre la red interna y

el internet, puede implementar ciertos

criterios de seguridad, asi como tambien

cache, lo que significa que si el proxy

tiene una petición, lo primero que hace es

buscar en su cache, si lo encuentra

responde a la petición.

Proxy Cache Server

SECURITY ENHANCED

LINUX

¿Por qué SELINUX?

• ¿Cuáles son las razones por las cuales la

NSA decide publicar una distribución de

Linux?

DE ACUERDO A POLITICA DE ASEGURAMIENTO DE

INFORMACION DE LA NSA ES BUSCAR UN SISTEMA

OPERATIVO QUE SEPARE LA INFORMACION

CONFIDENCIAL DE LA INFORMACION PUBLICA

¿Por qué SELINUX?

El resultado de varias investigaciones

dio como resultado el uso de varias

herramientas que resultaron en

la aplicación de un parche con ciertas

funciones que garantizan la seguridad.

Se escogió Linux POR SU ÉXITO AL

SER PLATAFORMA ABIERTA Y

PERMITIR DESARROLLO EN UN

ALTO NIVEL

¿Qué es SELINUX?

ES UN NUCLEO DE SISTEMA OPERATIVO

MODIFICADO CON FUNCIONES ADICIONALES

A LAS NORMALES QUE LE PERMITEN

TENER CONTROL SOBRE VARIAS VARIABLES

TALES COMO:

Entrada y Salida de Usuarios

Perfil de Usuarios

Políticas de uso y de Acceso

Instalación

• Se pueden obtener del sitio http://www.nsa.gov/selinux el fuente

parchado del kernel 2.x con todas las

herramientas ya incorporadas.

• 1. Descomprimir todo en un directorio por

separado del fuente original del kernel.

http://www.nsa.gov/selinux

IPTABLES

Qué es iptables

• IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programación(esto es una pequeña mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables esta integrado con el kernel, es parte del sistema operativo. ¿Cómo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall.

Cómo Funciona

Figura 5: cuando un paquete u otra comunicación llega al kernel con iptables se sigue este camino

Implementación ……

seguridad en redes

Education