Seguridad en redes de computadores
-
Upload
manuel-carrasco-monino -
Category
Documents
-
view
14.202 -
download
2
Transcript of Seguridad en redes de computadores
Manuel Carrasco Moñino
UAH
Ciclos de conferencias
El futuro está en las aulas
Abril-2003
Seguridad en redes de computadores
2Manuel Carrasco Moñino
Seguridad en Redes de Computadores
Seguridad
La seguridad es una preocupación importante en las empresas.
Controles de acceso, credenciales, procedimientos, guardias, alarmas...múltiples actuaciones con un objetivo: PROTECCIÓN DE LA INFORMACIÓN.
La seguridad va más allá de la seguridad en el tránsito o almacenamiento de los datos en la red.
Necesidad de seguridad
3Manuel Carrasco Moñino
Seguridad en Redes de Computadores
Seguridad
Las posibles amenazas para nuestros datos son muy variadas:
• Integridad de los datos.
• Robo de información.
• Integridad de los sistemas y equipos ....
El anonimato provisto por las redes (Internet) facilita la acción de hackers y otros delincuentes.
La solución es la implementación de POLITICAS DE SEGURIDAD.
Necesidad de seguridad
4Manuel Carrasco Moñino
Seguridad en Redes de Computadores
Seguridad
Todas las empresas deben contar con una política general de seguridad.
Su diseño se basa en:• Evaluación de riesgos.• Creación de planes acordes con el nivel de seguridad a implementar.
Toda política de seguridad debe ser proporcional a la jerarquía de los datos que vamos a proteger.
Políticas de de seguridad
5Manuel Carrasco Moñino
Seguridad en Redes de Computadores
Seguridad
Evaluación de riesgos en SERVIDORES:• Mantenerlos en operación continua.• Que la información en ellos no sea alterada sin autorización.• Que sólo sea visible por quien debe verla.
Evaluación de riesgos en la RED:• La información no debe ser observada ni modificada en la red.• La identidad de la estación cliente o servidor no debe ser suplantada.• La identidad del usuario no debe ser suplantada.
Evaluación de riesgos en ESTACIONES CLIENTE:• Las estaciones clientes son quizás el punto más débil en la seguridad• No importa cuan segura sea la red o los servidores, en las estaciones
clientes la información está completamente abierta.
Políticas de de seguridad
6Manuel Carrasco Moñino
Seguridad en Redes de Computadores
Seguridad
La seguridad se opone muchas veces a la fluidez operativa de una empresa pero .....
La implementación parcial de seguridad puede dar una impresión de FALSA seguridad
• Ejemplo: La instalación de un firewall, sin medidas anexas
El objetivo de una politica de seguridad no es solo evitar intrusos en nuestra red.
• El principal riesgo de una red viene de los usuarios internos!
Políticas de de seguridad
7Manuel Carrasco Moñino
Seguridad en Redes de Computadores
Seguridad
Conclusión: en nuestra política de seguridad tenemos que evaluar aspectos tales como:
• Asegurar el acceso físico a los servidores.• Almacenar respaldos en medios protegidos (técnicas de backup).• Usar los elementos de seguridad provistos por los S.O.• Usar elementos de seguridad, tales como firewalls, técnicas de
encriptación, servidores de autentificación.• Verificar la identidad del usuario que accede al servidor.• Verificar la identidad del servidor hacia el usuario.• Restringir accesos a servicios no autorizados, basados en la identidad
delos usuarios.• Mantener registro de las transacciones, para la no repudiación de las
transacciones.• Utilizar antivirus en estaciones cliente o servidores.
Políticas de de seguridad
8Manuel Carrasco Moñino
Seguridad en Redes de Computadores
Seguridad
Una vez definidas las políticas y procedimientos, existen varias tecnologías de uso muy frecuente.
TECNOLOGÍAS DE SEGURIDAD:
• FIREWALLS.• SISTEMAS DE AUTENTIFICACIÓN.• SISTEMAS DE ENCRIPTACIÓN.• ANTIVIRUS.
Políticas de seguridad
9Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Un firewalls es un host con varios interfaces de red que es capaz de filtrar el tráfico de datos en bases a diversos criterios (reglas).
Se utilizan para definir segmentos protegidos en una red. Separan a los hots sin privilegios, de los servicios y estaciones (normalmente servidores) considerados como protegidos.
Las reglas o criterios de filtrado se dan por protocolos, direcciones IP y tipos de servicio (nº de puerto).
• Ejemplo: una posible regla puede ser permitir sólo la salida de FTP, pero no FTP desde el exterior hacia la empresa.
Función del firewall
10Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Un buen firewall, tiene por defecto la regla de bloquear todo lo que no sea explícitamente autorizado.
Pueden consistir en un software corriendo en un servidor, o en un dispositivo hard dedicado exclusivamente al filtrado.
Si son servidores, se recomienda que sean dedicados, y ‘hardened’.
Los ‘appliances’ son considerados más seguros.
Desde el punto de vista funcional hay dos tipos básicos de firewalls:
• Packet Filtering.• Proxy Firewalls.
Tipos de firewalls
11Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Un firewall de packet filtering analiza los paquetes que ‘transitan’ entre sus interfaces de red y, de acuerdo a sus reglas, deja proseguir al paquete o lo descarta.Las estaciones, para los paquetes autorizados, están conectados extremo a extremo.Packet filtering es más simple, menos seguro, e implementable como función adicional en algunos routers (listas de acceso en routers Cisco, por ejemplo).
Packet filtering firewalls
12Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Un software en el firewall emula a la estación final, respondiendo por ella a la red. Permite analizar reglas de capas más altas, y filtrar tráfico por conceptos más complejos.Los proxys están asociados a servicios específicos: proxy de email, de telnet, de ftp,etcUn proxy de email, por ejemplo puede analizar el contenido de un email, buscando elementos de riesgo, como comandos peligrosos, o attachments no autorizados (por ejemplo archivos .exe, macros de Excel etc.).
Proxy firewalls
13Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Los firewall reales son una combinación de proxys y packet filtering.Diseño de tres zonas controladas por el firewall:
• ZONA EXPUESTA (WAN): es directamente accesible desde Internet, por lo que no debe instalarse en ella ningún servidor o aplicación.
• ZONA DESMILITARIZADA (DMZ): sólo ciertos servicios son directamente accesibles desde Internet. Es una zona parcialmente protegida por el firewall, y es potencialmente susceptible de ataque. Sus servicios deben de ser securizados y auditados.
• ZONA PROTEGIDA (LAN): no se permite ningún tipo de entrada, con lo que es imposible que sufra ataques.
Los firewall reales son una combinación de proxys y packet filtering.
Implementaciones reales
14Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Implementaciones reales
WAN, InternetWAN, Internet
DMZDMZ
LANLAN
CORTAFUEGOS
ProhibidoControladoPermitido
WAN, InternetWAN, Internet
DMZDMZ
LANLAN
CORTAFUEGOS
ProhibidoControladoPermitido
FIREWALL
15Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Implementaciones reales
Un aspecto importante es la configuración correcta del protocolo NAT (Network Address Translation).
La secuencia de filtrado sería la siguiente:
Mangle/Nat PRE
ROUTING FILTRADO
INFILTRADO
OUT
Mangle/Nat POST
ROUTING
FILTRADO
FORWARD
16Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Ejemplo de tabla NAT en un firewall
Implementaciones reales
Descripción Antes de aplicar NAT Después de aplicar NAT
Origen Destino Origen Destino
Entrada InternetDMZ (desde Internet cambiamos destino)
WWW Dir. Publica: Dir. Publica:80 Dir. Publica Dir.Privada:80
SMTP Dir. Publica Dir. Publica:25 Dir. Publica Dir.Privada:25
FTP Dir. Publica Dir. Publica:21 Dir. Publica Dir.Privada:21
IMAP4 Dir. Publica Dir. Publica:145 Dir. Publica Dir.Privada:145
Salida (hacia Internet cambiamos origen)
LAN Internet Dir. Privada Dir. Publica Dir. Publica Dir. Publica
DMZ Internet Dir. Privada Dir. Publica Dir. Publica Dir. Publica
17Manuel Carrasco Moñino
Seguridad en Redes de Computadores
FIREWALLS
Ejemplo de tabla de filtrado en un firewall:
Implementaciones reales
ORIGEN DESTINO POLÍTICA
RUTAS PROHIBIDAS
INTERNET FIREWALL PROHIBIDO
INTERNET LAN PROHIBIDO
DMZ LAN PROHIBIDO ***
DMZ FIREWALL PROHIBIDO
LAN INTERNET PROHIBIDO
RUTAS PERMITIDAS
DMZ INTERNET PERMITIDO
LAN DMZ PERMITIDO
RUTAS CONTROLADAS
LAN FIREWALL CONTROLADOSSH, GESTION FIREWALL
INTERNET DMZ CONTROLADO SMTP, HTTP, HTTPS, SSH
18Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE AUTENTIFICACIÓN
Permiten identificar a quién accede a un servicio, sistema o recurso. Así, al acceder a un servicio, los privilegios del usuario estarán dados por su identidad.
Hay distintos grados de calidad del servicio de autentificación, dependiendo de la cantidad de factores:
• 1 FACTOR: Saber algo (login y passwords).• 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).
Sistemas de autentificación
19Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE AUTENTIFICACIÓN
Permiten identificar a quién accede a un servicio, sistema o recurso. Así, al acceder a un servicio, los privilegios del usuario estarán dados por su identidad.
Hay distintos grados de calidad del servicio de autentificación, dependiendo de la cantidad de factores:
• 1 FACTOR: Saber algo (login y passwords). Este sistema es el mas usado, ya que es fácil y económico de implementar. También es el mas vulnerable.
• 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).
Sistemas de autentificación
20Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE AUTENTIFICACIÓN
Las passwords se gestionan desde servidores de autentificación, mediante una base de datos única, con los datos de los usuarios, sus password y sus privilegios (ejemplo: LDAP).El servidor de autentificación es consultado por el resto de los servidores o equipos de acceso.Pueden usarse bases de usuarios de S.S.O.O. estándares (ejemplos: Novell o un servidor de dominios de NT).Se han creado protocolos para interactuar entre la estación cliente, y el servidor de autentificación. (PAP, CHAP, TACACS+, RADIUS).Los protocolos incluyen alguna técnica de encriptación, para evitar que las passwords puedan ser observadas mientras viajan por la red o cuando están almacenados en el server.
Administración de password
21Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE ENCRIPTACIÓN
La criptografía es un conjunto de técnicas de protección de datos basadas en hacer “ilegibles” los datos ante accesos no autorizados a ellos.
Para encriptar, se usa una ‘clave’ de encriptación.
El propósito de la criptografía es hacer que la tarea de descifrar los datos sea tecnológicamente inasequible para un acceso no autorizado (que no conoce la clave).
Sistemas de encriptación
INFORMACIÓNFUENTE
ENCRIPTACIÓNINFORMACIÓN
CIFRADA
22Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE ENCRIPTACIÓN
Existen dos tipos de técnicas criptográficas para cifrar datos:
• Algoritmos de CLAVE PRIVADA (algoritmos SIMÉTRICOS).• Algoritmos de CLAVE PÚBLICA (algoritmos ASIMÉTRICOS).
Normalmente se utilizan de forma conjunta para realizar transmisión de datos segura, ya que las cualidades de ambos son complementarias.
Sistemas de encriptación
23Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE ENCRIPTACIÓN
Utiliza algoritmos de encriptación simétricos.
La clave que utilizamos para cifrar los datos es la única que es capaz de descifrarlos.
Por lo tanto, toda su seguridad se basa en la privacidad de la clave de encriptación.
Son simples y rápidos
Adolecen de una debilidad: debe compartirse de alguna forma segura la clave entre las partes que intervienen en la transmisión de datos.
Ejemplos: DES, triple DES, RC2, RC4...
CLAVE PRIVADA
24Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE ENCRIPTACIÓN
Utiliza algoritmos de encriptación simétricos.La clave que utilizamos para cifrar los datos NO ES LA MISMA que es capaz de descifrarlos.Matemáticamente se basan en la dificultad de factorizar números primos muy grandes. Los algoritmos de llave pública son bastante lentos de calcular, lo que limita su uso.Se usan esquemas mixtos, en que se usa la clave pública para transferirse la clave secreta, que se usará durante la sesión para encriptar los datos.Proporcionan integridad en los datos y AUTENTICACIÓN del origen de los datos.
CLAVE PÚBLICA
25Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE ENCRIPTACIÓN
Proceso de dotar de integridad a los datos:• Quien desee recibir mensajes cifrados, puede publicar una de las llaves,
que pasa a ser su llave pública.• Quién desee enviar un mensaje a esta persona, cifra los datos con su llave
pública.• Sólo la clave secreta descifra este mensaje.• De esta manera, se elimina el problema de tener que comunicar la llave.
Proceso de autentificación del origen de los datos:• Si encripto un mensaje con mi clave secreta, y alguien lo abre con mi clave
pública, este mensaje no será particulármente seguro, pero él estará seguro que yo fuí quién generó el mensaje.
• Las llaves públicas pueden utilizarse para crear ‘firmas digitales’, que son una forma segura de autentificación.
Ejemplos:RSA, DSS...
CLAVE PÚBLICA
26Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE ENCRIPTACIÓN
Protocolos de transmisión de datos segura basados en la encriptación:Para correo electrónico:
• PGP (Pretty Good Privacy) para email (usa IDEA).• S/MIME (Secure/Multipurpouse Internet Mail Extensions).
Para confidencialidad, autentificación, integridad y no repudio, se han desarrollado:
• SSL (Secure Sockets Layer)• PCT desarrollado por Microsoft (Private Communications Technology)• S-HTTP (Secure Http): No se usa, por falta de soporte en los browsers.• SET: Desarrollado por los administradores de tarjetas de crédito, para
encriptar los datos de la tarjeta. No ofrece seguridad para el resto de los datos en la comunicación.
• IPSEC: Desarrollado por el IETF (Internet Engineering Task Force) para proveer confidencialidad extremo a extremo, del tipo VPN. Es parte integral de IPv6.
PROTOCOLOS SEGUROS I
27Manuel Carrasco Moñino
Seguridad en Redes de Computadores
SISTEMAS DE ENCRIPTACIÓN
SSL es una capa de software entre TCP/IP y la capa de aplicación.
SSL provee• Autentificación y no repudiación del server, usando firmas digitales.• Autentificación del cliente, usando firmas digitales.• Confidencialidad de los datos usando encriptación.• Integridad de los datos, usando codigos de autentificación.
SSL está integrada en los web browsers, y en los security enabled web servers.
SSL negocia el protocolo de encriptación.
Es el protocolo más usado.
SSL