1. Empresas INGENIERIA DE VENTASPlan de Capacitacin Canal Directo 2. Fase II: Sesin 03 EmpresasAgenda de hoy:- Concepto y Uso de Firewalls- Seguridad en una Red GSM 3. Concepto y Uso de FirewallsEmpresasFirewall:Parte de un sistema diseado para bloquear el acceso no autorizado.Dispositivo(s) configurado(s) para permitir, limitar, cifrar y descifrar el trfico entre losdiferentes mbitos sobre la base de un conjunto de normas y criterios.Pueden ser implementados en hardware o software, o una combinacin de ambos.Se utilizan con frecuencia para evitar queusuarios de Internet no autorizados accedana redes privadas conectadas a Internet.Todo mensaje que entre o salga de laintranet pasa a travs del firewall queexamina cada mensaje y bloquea aquellosque no cumplen los criterios de seguridadespecificados.Es frecuente conectar al firewall una redllamada DMZ, en la que se ubican losservidores de la organizacin que sonaccesibles desde la red exterior. 4. Concepto y Uso de FirewallsEmpresasVentajas: Establece permetros confiables. Protege de intrusiones.- El acceso a ciertos segmentos de la red slo se permitedesde mquinas autorizadas de otros segmentos. Protege la informacin privada.- Permite definir niveles de acceso a lainformacin, de manera que cada grupo de usuarios definido tenga acceso sloa los servicios e informacin que le son estrictamente necesarios. Optimizacin de acceso.- Identifica los elementos de la red internos y optimizaque la comunicacin entre ellos sea ms directa. Esto ayuda a reconfigurar losparmetros de seguridad.Limitaciones:Las limitaciones se desprenden de la misma definicin del firewall: filtro detrfico. Cualquier tipo de ataque informtico que use trfico aceptado por elfirewall o que sencillamente no use la red, seguir constituyendo una amenaza: 5. Concepto y Uso de FirewallsEmpresas.. Limitaciones: La siguiente lista muestra algunas de estas amenazas: Un firewall no puede proteger contra ataques cuyo trfico no pase a travs de l. El firewall no puede proteger de amenazas a las que est sometido por ataques internos o usuarios negligentes. El firewall no puede prohibir a espas corporativos copiar datos sensibles en medios fsicos de almacenamiento y sustraerlas del edificio. El firewall no puede proteger contra ataques de ingeniera social(*). El firewall no puede proteger contra ataques a la red interna por virus informticos a travs de archivos y software. El firewall no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido: Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet. 6. Concepto y Uso de Firewalls EmpresasPolticas:Hay dos polticas bsicas en la configuracin de un firewall que cambianradicalmente la filosofa fundamental de la seguridad en la organizacin:Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El firewall obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten.Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado.La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trficopotencialmente peligroso, mientras que en la poltica permisiva es posible que no sehaya contemplado algn caso de trfico peligroso y sea permitido por omisin. 7. Concepto y Uso de FirewallsEmpresasUn poco de historia: El trmino "firewall / fireblock" se refera originalmente una pared para confinarun incendio o riesgo potencial de incendio en un edificio. Ms adelante se us para referirse a estructuras similares, como la hoja demetal que separa el compartimiento del motor de un vehculo o una aeronavede la cabina. La tecnologa de los firewalls surgi a finales de 1980, cuando Internet era unatecnologa bastante nueva en cuanto a su uso global. Los predecesores de los firewalls para la seguridad de la red fueron los routersutilizados a finales de 1980, que mantenan a las redes separadas unas de otras. El concepto o visin de Internet como una comunidad relativamente pequeade usuarios con mquinas compatibles, que valoraba la predisposicin para elintercambio y la colaboracin, termin con una serie de importantes violacionesde seguridad que se produjo a finales de los 80: 8. Concepto y Uso de FirewallsEmpresas.. Un poco de historia: Clifford Stoll, que descubri la forma de manipular el sistema de espionaje alemn. Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para observar a un atacante. En 1988, un empleado del Centro de Investigacin Ames de la NASA, en California, envi una nota por correo electrnico a sus colegas que deca: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en las mquinas de la poca. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. 9. Concepto y Uso de FirewallsEmpresasGeneraciones de Firewalls:Primera generacin Firewall de Red: filtrado de paquetesEl primer documento publicadoa cabo por un firewall acta en de 1988,primeras filtrado de paquetes llevado para la tecnologa firewall data las tres cuandocapas del de ingenieros que significa que todo el trabajo (DEC) desarroll losel equipo modelo OSI, lo de Digital Equipment Corporationlo realiza entre la redy las capas filtro conocidos como firewall de filtrado de paquetes. Este sistema,sistemas de fsicas.bastante bsico, fue la primera generacin de lo que se convertira en unaCuando el emisor origina un paquete y de la seguridad de Internet.caracterstica ms tcnica y evolucionada es filtrado por el firewall, ste ltimocomprueba las reglas de filtrado de paquetes que lleva configuradas,aceptando o paquetes acta mediante la inspeccinEl filtrado de rechazando el paquete en consecuencia. de los paquetes (querepresentan la unidad bsica de transferencia de datos entre ordenadores enCuando Si un paquete coincide del firewall, ste filtra el paquete mediante unInternet).el paquete pasa a travscon el conjunto de reglas del filtro, el paqueteprotocolo y (descarte silencioso) o ser rechazado (desprendindose de l yse reducir un nmero de puerto base:enviando una respuesta de error al emisor).Por ejemplo, si existe una norma en el firewall para bloquear el accesoEste Telnet,no presta atencin a si el paquete es parte de una secuenciafiltrado bloquear el protocolo IP para el nmero de puerto 23.existente de trfico, se filtra cada paquete basndose nicamente en lainformacin contenida en el paquete en s. El protocolo TCP comprende la mayorparte de comunicacin a travs de Internet, utilizando puertos bien conocidospara determinados tipos de trfico, por lo que un filtro de paquetes puededistinguir entre ambos tipos de trfico (ya sean navegacin web, impresinremota, envo y recepcin de correo electrnico, transferencia de archivos). 10. Concepto y Uso de Firewalls EmpresasGeneraciones de Firewalls:Segunda generacin Firewall de AplicacinActan sobre la capa de aplicacin del modelo OSI. La clave de un firewall deaplicacin es que puede entender aplicaciones y protocolos, y permite detectarsi un protocolo no deseado se col a travs de un puerto no estndar o si seest abusando de un protocolo de forma perjudicial.Un firewall de aplicacin es mucho ms seguro y fiable cuando se compara conuno de filtrado de paquetes, ya que repercute en las siete capas del modelo OSI.En esencia es similar a un firewall de filtrado de paquetes, con la diferencia deque tambin podemos filtrar el contenido en s del paquete.Un firewall de aplicacin puede filtrar protocolos de capas superiores tales comoFTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si unaorganizacin quiere bloquear toda la informacin relacionada con una palabraen concreto, puede habilitarse el filtrado de contenido para bloquear esapalabra en particular. No obstante, los firewalls de aplicacin resultan ms lentosque los de estado. 11. Concepto y Uso de Firewalls EmpresasGeneraciones de Firewalls:Tercera generacin Firewall de EstadoDurante 1989 y 1990, tres colegas de los laboratorios AT&T Bell (Dave Presetto,Janardan Sharma, y Nigam Kshitij), desarrollaron la tercera generacin deservidores de seguridad.Esta tercera generacin de firewalls tiene en cuenta adems, la colocacin decada paquete individual dentro de una serie de paquetes.Esta tecnologa se conoce generalmente como la inspeccin de estado depaquetes, ya que mantiene registros de todas las conexiones que pasan por elfirewall, siendo capaz de determinar si un paquete indica el inicio de una nuevaconexin, es parte de una conexin existente, o es un paquete errneo.Este tipo de firewall puede ayudar a prevenir ataques contra conexiones encurso o ciertos ataques de denegacin de servicio. 12. Seguridad en una Red GSMEmpresashttp://www.elmundo.es/elmundo/2009/12/29/navegante/1262094278.html 13. Seguridad en una Red GSM EmpresasAntecedentes:En 1982de estos tres nuevo grupo de estandarizacin dentro delque presenta GSMAparte se cre un grandes objetivos, las principales ventajas CEPT (Confrencesobre los de Postes et Tlcommunications), cuya tarea sera la especificacin deEuropenesistemas analgicos de primera generacin son fundamentalmente lasun sistema europeo nico de radiocomunicaciones en la banda de 900MHz.siguientes: Disminucin de costos de fabricacin por un mayor tamao del mercado.Tres fueron los objetivos fundamentales que empujaron a emprender esta tarea:Disponer de de voz y datos gracias a la digitalizacin de las transmisiones de Integracin un sistema de comunicaciones mviles comn a toda Europapermitiendo la movilidad internacional y la reduccin de costos gracias a la granradio.extensin del mercado. Mejora de parmetros, tales como calidad de voz y handover.Superar la capacidad de los sistemas mviles precedentes desbordados poruna demanda infravalorada. Roaming Internacional automticoAprovechar el estado del arte de la electrnica digital. cualquier terminal por Acceso por tarjeta inteligente. Permite la utilizacin departe de cualquier usuario introduciendo el concepto de movilidad personal. Compatibilidad RDSI Menor consumo del terminal. Permite utilizar terminales ms ligeros. 14. Seguridad en una Red GSM EmpresasEsquema de Seguridad:Los servicios de datos son una parte integral del sistema por el carcter digital delenlace de radio. Esto permite garantizar confidencialidad de la informacin delusuario mediante cifrado en el enlace de radio.Tambin se garantiza el control de acceso a los servicios mediante el uso de tcnicascriptogrficas y se permite independizar el terminal y la suscripcin del usuariogracias a la utilizacin de un mdulo de personalizacin (SIM).Las funcionalidades de seguridad presentes en un sistema GSM se pueden clasificaren cuatro apartados:Autentificacin del usuario para prevenir el acceso de usuarios no registrados.Proteccin de la identidad del usuario para imposibilitar el seguimiento de sulocalizacin por parte de terceros.Cifrado en el radioenlace de toda la informacin del usuario, y de algunoselementos de sealizacin, para prevenir escuchas por parte de un tercero. 15. Seguridad en una Red GSM EmpresasConceptos Generales (1):Al abonado se le identifica de forma nica utilizando la Identidad de Abonado MvilInternacional (IMSI).Esta informacin, junto con la clave individual de autenticacin de abonado (Ki)constituyen las "credenciales de identificacin sensibles".El diseo de los esquemas de cifrado y autenticacin es tal que esta informacinsensible nunca se transmite por el canal de radio.En su lugar se utiliza un mecanismo de "desafio-respuesta" para realizar la autenticacin.Las conversaciones reales se cifran utilizando una clave temporal de cifrado generada aleatoriamente (Kc).Los mecanismos de seguridad de GSM se implementan en tres elementos diferentesdel sistema: El Modulo de Identidad del Abonado (SIM) El Aparato porttil GSM tambin denominado Estacin Mvil (MS) La Red GSM 16. Seguridad en una Red GSM EmpresasDistribucin de Credenciales de Seguridad:Identidad Abonado Mvil Internacional (IMSI)Clave Individual de Autenticacin (Ki)Algoritmo Generacin Claves de Cifrado (A8)Algoritmo de Autenticacin (A3)Nmero de Identificacin Personal (PIN) Algoritmo de cifrado (A5)Algoritmos de cifrado A3, A5 y A8 17. Seguridad en una Red GSMEmpresas.. Conceptos Generales (2):La red GSM autentifica la identidad del abonado utilizando un mecanismo de "desafio-respuesta". Se enva a la estacin mvil un nmero aleatorio de 128 bits (RAND). La estacin mvil (MS) calcula la respuesta firmada que es de 32 bits (SRES) basndose en el cifrado del nmero aleatorio (RAND) con el algoritmo de autenticacin (A3) utilizando la clave individual de autenticacin de abonado (Ki).Al recibir del abonado la respuesta firmada, la red GSM repite el clculo para verificarla identidad del abonado. La clave individual de autenticacin de abonado (Ki)nunca se transmite sobre el canal de radio; est presente en el SIM del abonado,as como en las Bases de Datos del AUC, HLR y VLR.Si el RAND recibido coincide con el valor calculado, la estacin mvil ha sidoautentificada con xito y puede continuar. Si los valores no coinciden la conexinse termina y se indica un fallo de autenticacin a la estacin mvil. El clculo dela respuesta firmada se realiza dentro del SIM. Esto proporciona mayor seguridad,debido a que la informacin del abonado confidencial como la IMSI o la claveindividual de autenticacin del abonado (Ki) nunca salen del SIM durante elproceso de autenticacin. 18. Seguridad en una Red GSMEmpresasConceptos Generales (3):Toda SIM contiene el algoritmo de generacin de claves de cifrado (A8) que se utiliza para producir la clave de cifrado (Kc).La clave de cifrado se calcula aplicando el mismo nmero aleatorio (RAND) utilizadoen el proceso de autenticacin, con el algoritmo de generacin de la clave decifrado (A8) con la clave individual de autenticacin de abonado (Ki).La clave de cifrado (Kc) se utiliza para cifrar y descifrar los datos transmitidos entre laestacin mvil y la estacin base.La clave de cifrado puede cambiarse a intervalos regulares segn lo requieran las consideraciones de seguridad y diseo de red. De una manera similar al proceso de autenticacin, el clculo de la clave de cifrado (Kc) tiene lugar internamente dentro del SIM. Por tanto, la informacin sensible como la clave individual de autenticacin de abonado (Ki) nunca la revela la SIM. Las comunicaciones de datos y voz cifradas entre la estacin mvil y la red se realizan utilizando el algoritmo de cifrado A5.Los algoritmos A3 y A8 de GSM son funciones dependientes de la clave y se implementan como un nico algoritmo denominado COMP128. 19. Empresas