M5 Securización de Redes
-
Upload
javiblan -
Category
Technology
-
view
180 -
download
0
Transcript of M5 Securización de Redes
Aseguramiento de las
comunicaciones IP
Instalación, Configuración y Aseguramiento.
Redes de Comunicaciones
IP
M5
1
Redes de Comunicación IP
Aseguramiento de redes IP M5
En la comunicación lo único importante no es que el mensaje llegue, sino que llegue íntegro, sin alteraciones, que su origen y su destino estén asegurados y que nadie más que a quien vaya dirigido pueda leerlo.
Se precisa por tanto privacidad, integridad, autenticidad y disponibilidad
2
Redes de Comunicación IP
Aseguramiento de redes IP
¿Porqué se espían las redes? ?En la RED está:• La situación económico-financiera del mundo• Los planes estratégicos de las empresas• Los efectivos militares de los países• Los secretos de los gobiernosY además…• Nuestra identidad.• Nuestros datos bancarios.• Nuestros antecedentes penales.• Nuestros gustos.• Nuestra red de amistades.• Nuestros secretos.
M5
3
Redes de Comunicación IP
Aseguramiento de redes IP M5
Interrupción Escucha
Manipulación Suplantación
A lo largo de la infraestructura de telecomunicaciones que separa al emisor del receptor, las comunicaciones están sometidas a multitud de vulnerabilidades.
4
Redes de Comunicación IP
Aseguramiento de redes IP M5
Sniffers: Captura de contraseñas y nombres de usuario de la red para realizar intrusiones.
Spoofing: Consiste en suplantar la identidad del destinatario o el emisor.
Ataque de Contraseña: Consiste en averiguar la contraseña de un usuario por distintos métodos.
Envío de información: Reenvío no autorizado de información hacia el exterior.
Man in the middle: Interceptación, especialmente en intercambio de claves iniciales.
Denegación de servicio: Interrupción de un servicio por saturación de solicitudes.
Nivel de Aplicación: Aprovechando bugs o vulnerabilidades del software de aplicación
Trojanos: Software malicioso que permite el control remoto del equipo que lo contiene
Hoy en día los ataques que producían un dañoinmediato en la infraestructura han sido sustituidos por aquellos que obtienen información y causan un beneficioeconómico o funcional al atacante a medio-largo plazo.
5
Redes de Comunicación IP
Aseguramiento de redes IP M5
Identificación: Mecanismos para garantizar la identidad de los emisores / receptores
Acceso: Mecanismos de control de acceso a la infraestructura lógica o física.
Separación: Física, lógica, temporal o funcional de las telecomunicaciones.
Encriptación: Cifrado de las comunicaciones de datos a través de la red.
IDS: Sistemas automáticos de detección de intrusos.
Salvaguardias: Copias de seguridad de la información.
Análisis forense: Averiguar qué paso, cómo entró, qué hizo el atacante.
Las contramedidas pueden ser de tres tipos:
Prevención: para impedir el ataque.
Detección: para descubrir un ataque en el momento en que se está produciendo.
Recuperación: para minimizar el efecto de un ataque y aprender de él para el futuro.
6
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Barreras Físicas
• Ocultando los dispositivos de red de la vista.
• Aislando los dispositivos de red del acceso físico.
• Impidiendo su administración desde la red.
• Estableciendo credencialesseguras para su configuración.
Siguiendo la pila OSI podemos ir estableciendo las primeras medidas de seguridad desde abajo, desde el nivel físico:.
7
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Los usuarios se comunican libremente a través de la red física sólo con los pertenecientes a su red virtual.
Los routers controlan la comunicación entre VLANS.
Cada VLAN es un dominio de broadcast separado.
La pertenencia a una VLAN no viene determinada por la conexión física.
VLAN
8
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Las Listas de Control de Acceso son sencillas reglas que se establecen en los routers para limitar el tipo de tráfico entre direcciones de emisión y recepción.
Posibilitan definir los protocolos de capa superior permitidos actuando sobre los puertos asociados a ellos.
ACL
9
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Utilizable en varios niveles de la pila OSI, es el mecanismo más utilizado para proporcionar seguridad a la redes de comunicaciones.
Permite crear conexiones seguras a través de canales inseguros.
Se implementa usando algunos protocolos preestablecidos o mediante la utilización de herramientas ad-hoc.
CIFRADO
10
Redes de Comunicación IP
Aseguramiento de redes IP M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
Krb
PGPSSH
Rad
Al depender de la aplicación, la seguridad no queda atada al Sistema Operativo.
Facilita el uso del concepto de no repudio (el receptor no puede decir que no ha recibido el mensaje)
Cada aplicación tiene su propio mecanismo de seguridad diseñado exprofeso
Mayor probabilidad de errores o bugs de seguridad.
SMi SET
IPSTAC
11
Redes de Comunicación IP
Aseguramiento de redes IP M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
SSL
Es transparente a la aplicación y no requiere en teoría su modificación o adaptación.
Es difícil contextualizar la seguridad con un usuario determinado.
TLS sí requiere modificar las aplicaciones.
TLS
12
Redes de Comunicación IP
Aseguramiento de redes IP M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
IPSec
Disminuye el flujo de negociación de claves. Las aplicaciones no requieren ninguna modificación.Permite la creación de VPNs e Intranets.
Es difícil contextualizar la seguridad con un usuario determinado.Dificultades para el manejo del no repudio.
NLSPPTP
L2TP
13
Redes de Comunicación IP
Aseguramiento de redes IP M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
LEAP
Es con diferencia el mecanismo más rápido para unas comunicaciones seguras.
Funcionan sólo con enlaces dedicados.
Los dispositivos deben estar físicamente conectados entre sí.
SILSATM
CHAP
PAP14
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Algunos de los protocolos de cifrado son muy populares, como el SSHpara conexión remota con otros ordenadores, el Radius para autenticación en IP móvil o el SSLpara autenticación de servidores.
CIFRADO
15
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Consiste en enviar los datos encriptados a través de la red insegura formando una conexión o “túnel” inaccesible.
Sobre él se puede desplegar una Red Privada Virtual que garantiza un uso totalmente seguro de la comunicación dentro de un ambiente tan inseguro como INTERNET con un retardo inapreciable.
TUNNELING
16
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Consiste en enviar los datos encriptados a través de la red insegura formando una conexión o “túnel” inaccesible.
Sobre él se puede desplegar una Red Privada Virtual que garantiza un uso totalmente seguro de la comunicación dentro de un ambiente tan inseguro como INTERNET con un retardo inapreciable.
TUNNELING
17
El mecanismo es muy sencillo. En origen, el datagrama es encriptado y encapsulado en otro que es el que viaja por la red. En el destino se realiza la operación contraria.
Redes de Comunicación IP
Aseguramiento de redes IP M5
Protocolos de tunneling
18
TUNNELING
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
IPsec
L2F
PPTP
L2PT
GRE
MPOA
La mayoría de los protocolos de tunneling trabajan en las capas 2 o 3 de la pila OSI
Algunos han sido diseñados por empresas (como PPTP de Microsoft) y otros son estándares (como L2PT de IETF)
Redes de Comunicación IP
Aseguramiento de redes IP M5
Protocolos de tunneling
19
TUNNELING
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
IPsec
L2F
PPTP
L2PT
GRE
MPOA
PPPT Es un protocolo orientado a usuario y
transparente al proveedor de internet
LPT2 Es un protocolo del proveedor y es
transparente al usuario
Redes de Comunicación IP
Aseguramiento de redes IP M5
Protocolos de tunneling
20
TUNNELING
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
IPsec
L2F
PPTP
L2PT
GRE
MPOA
L2PT e IPsec, usados conjuntamente, dan una gran robustez al túnel y
son la esencia de muchas Redes Privadas Virtuales
La Red Corporativa de la Junta de Andalucía usa
esta solución, a través del software FORTINET, para prestar servicios de VPN
Redes de Comunicación IP
Aseguramiento de redes IP M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Con las tecnologías de cifrado y encapsulación adecuadas, una VPN constituye un túnel (generalmente túnel IP) cifrado y/o encapsulado a través de Internet para:
Dar conexión interna a entidades con sedes alejadas físicamente.
Permitir el teletrabajo
Dar acceso a proveedores externos a la red interna de una entidad.
VPN
21