Seguridad en redes de computadores

Manuel Carrasco Moñino

UAH

Ciclos de conferencias

El futuro está en las aulas

Abril-2003

Seguridad en redes de computadores

[email protected]

mailto:[email protected]

2Manuel Carrasco Moñino

Seguridad en Redes de Computadores

Seguridad

La seguridad es una preocupación importante en las empresas.

Controles de acceso, credenciales, procedimientos, guardias, alarmas...múltiples actuaciones con un objetivo: PROTECCIÓN DE LA INFORMACIÓN.

La seguridad va más allá de la seguridad en el tránsito o almacenamiento de los datos en la red.

Necesidad de seguridad



Seguridad

Las posibles amenazas para nuestros datos son muy variadas:

• Integridad de los datos.

• Robo de información.

• Integridad de los sistemas y equipos ....

El anonimato provisto por las redes (Internet) facilita la acción de hackers y otros delincuentes.

La solución es la implementación de POLITICAS DE SEGURIDAD.

Necesidad de seguridad



Seguridad

Todas las empresas deben contar con una política general de seguridad.

Su diseño se basa en:• Evaluación de riesgos.• Creación de planes acordes con el nivel de seguridad a implementar.

Toda política de seguridad debe ser proporcional a la jerarquía de los datos que vamos a proteger.

Políticas de de seguridad



Seguridad

Evaluación de riesgos en SERVIDORES:• Mantenerlos en operación continua.• Que la información en ellos no sea alterada sin autorización.• Que sólo sea visible por quien debe verla.

Evaluación de riesgos en la RED:• La información no debe ser observada ni modificada en la red.• La identidad de la estación cliente o servidor no debe ser suplantada.• La identidad del usuario no debe ser suplantada.

Evaluación de riesgos en ESTACIONES CLIENTE:• Las estaciones clientes son quizás el punto más débil en la seguridad• No importa cuan segura sea la red o los servidores, en las estaciones

clientes la información está completamente abierta.




Seguridad

La seguridad se opone muchas veces a la fluidez operativa de una empresa pero .....

La implementación parcial de seguridad puede dar una impresión de FALSA seguridad

• Ejemplo: La instalación de un firewall, sin medidas anexas

El objetivo de una politica de seguridad no es solo evitar intrusos en nuestra red.

• El principal riesgo de una red viene de los usuarios internos!




Seguridad

Conclusión: en nuestra política de seguridad tenemos que evaluar aspectos tales como:

• Asegurar el acceso físico a los servidores.• Almacenar respaldos en medios protegidos (técnicas de backup).• Usar los elementos de seguridad provistos por los S.O.• Usar elementos de seguridad, tales como firewalls, técnicas de

encriptación, servidores de autentificación.• Verificar la identidad del usuario que accede al servidor.• Verificar la identidad del servidor hacia el usuario.• Restringir accesos a servicios no autorizados, basados en la identidad

delos usuarios.• Mantener registro de las transacciones, para la no repudiación de las

transacciones.• Utilizar antivirus en estaciones cliente o servidores.




Seguridad

Una vez definidas las políticas y procedimientos, existen varias tecnologías de uso muy frecuente.

TECNOLOGÍAS DE SEGURIDAD:

• FIREWALLS.• SISTEMAS DE AUTENTIFICACIÓN.• SISTEMAS DE ENCRIPTACIÓN.• ANTIVIRUS.

Políticas de seguridad



FIREWALLS

Un firewalls es un host con varios interfaces de red que es capaz de filtrar el tráfico de datos en bases a diversos criterios (reglas).

Se utilizan para definir segmentos protegidos en una red. Separan a los hots sin privilegios, de los servicios y estaciones (normalmente servidores) considerados como protegidos.

Las reglas o criterios de filtrado se dan por protocolos, direcciones IP y tipos de servicio (nº de puerto).

• Ejemplo: una posible regla puede ser permitir sólo la salida de FTP, pero no FTP desde el exterior hacia la empresa.

Función del firewall



FIREWALLS

Un buen firewall, tiene por defecto la regla de bloquear todo lo que no sea explícitamente autorizado.

Pueden consistir en un software corriendo en un servidor, o en un dispositivo hard dedicado exclusivamente al filtrado.

Si son servidores, se recomienda que sean dedicados, y ‘hardened’.

Los ‘appliances’ son considerados más seguros.

Desde el punto de vista funcional hay dos tipos básicos de firewalls:

• Packet Filtering.• Proxy Firewalls.

Tipos de firewalls



FIREWALLS

Un firewall de packet filtering analiza los paquetes que ‘transitan’ entre sus interfaces de red y, de acuerdo a sus reglas, deja proseguir al paquete o lo descarta.Las estaciones, para los paquetes autorizados, están conectados extremo a extremo.Packet filtering es más simple, menos seguro, e implementable como función adicional en algunos routers (listas de acceso en routers Cisco, por ejemplo).

Packet filtering firewalls



FIREWALLS

Un software en el firewall emula a la estación final, respondiendo por ella a la red. Permite analizar reglas de capas más altas, y filtrar tráfico por conceptos más complejos.Los proxys están asociados a servicios específicos: proxy de email, de telnet, de ftp,etcUn proxy de email, por ejemplo puede analizar el contenido de un email, buscando elementos de riesgo, como comandos peligrosos, o attachments no autorizados (por ejemplo archivos .exe, macros de Excel etc.).

Proxy firewalls



FIREWALLS

Los firewall reales son una combinación de proxys y packet filtering.Diseño de tres zonas controladas por el firewall:

• ZONA EXPUESTA (WAN): es directamente accesible desde Internet, por lo que no debe instalarse en ella ningún servidor o aplicación.

• ZONA DESMILITARIZADA (DMZ): sólo ciertos servicios son directamente accesibles desde Internet. Es una zona parcialmente protegida por el firewall, y es potencialmente susceptible de ataque. Sus servicios deben de ser securizados y auditados.

• ZONA PROTEGIDA (LAN): no se permite ningún tipo de entrada, con lo que es imposible que sufra ataques.

Los firewall reales son una combinación de proxys y packet filtering.

Implementaciones reales



FIREWALLS


WAN, InternetWAN, Internet

DMZDMZ

LANLAN

CORTAFUEGOS

ProhibidoControladoPermitido

WAN, InternetWAN, Internet

DMZDMZ

LANLAN

CORTAFUEGOS

ProhibidoControladoPermitido

FIREWALL



FIREWALLS


Un aspecto importante es la configuración correcta del protocolo NAT (Network Address Translation).

La secuencia de filtrado sería la siguiente:

Mangle/Nat PRE

ROUTING FILTRADO

INFILTRADO

OUT

Mangle/Nat POST

ROUTING

FILTRADO

FORWARD



FIREWALLS

Ejemplo de tabla NAT en un firewall


Descripción Antes de aplicar NAT Después de aplicar NAT

Origen Destino Origen Destino

Entrada InternetDMZ (desde Internet cambiamos destino)

WWW Dir. Publica: Dir. Publica:80 Dir. Publica Dir.Privada:80

SMTP Dir. Publica Dir. Publica:25 Dir. Publica Dir.Privada:25

FTP Dir. Publica Dir. Publica:21 Dir. Publica Dir.Privada:21

IMAP4 Dir. Publica Dir. Publica:145 Dir. Publica Dir.Privada:145

Salida (hacia Internet cambiamos origen)

LAN Internet Dir. Privada Dir. Publica Dir. Publica Dir. Publica

DMZ Internet Dir. Privada Dir. Publica Dir. Publica Dir. Publica



FIREWALLS

Ejemplo de tabla de filtrado en un firewall:


ORIGEN DESTINO POLÍTICA

RUTAS PROHIBIDAS

INTERNET FIREWALL PROHIBIDO

INTERNET LAN PROHIBIDO

DMZ LAN PROHIBIDO ***

DMZ FIREWALL PROHIBIDO

LAN INTERNET PROHIBIDO

RUTAS PERMITIDAS

DMZ INTERNET PERMITIDO

LAN DMZ PERMITIDO

RUTAS CONTROLADAS

LAN FIREWALL CONTROLADOSSH, GESTION FIREWALL

INTERNET DMZ CONTROLADO SMTP, HTTP, HTTPS, SSH



SISTEMAS DE AUTENTIFICACIÓN

Permiten identificar a quién accede a un servicio, sistema o recurso. Así, al acceder a un servicio, los privilegios del usuario estarán dados por su identidad.

Hay distintos grados de calidad del servicio de autentificación, dependiendo de la cantidad de factores:

• 1 FACTOR: Saber algo (login y passwords).• 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).

Sistemas de autentificación




Permiten identificar a quién accede a un servicio, sistema o recurso. Así, al acceder a un servicio, los privilegios del usuario estarán dados por su identidad.

Hay distintos grados de calidad del servicio de autentificación, dependiendo de la cantidad de factores:

• 1 FACTOR: Saber algo (login y passwords). Este sistema es el mas usado, ya que es fácil y económico de implementar. También es el mas vulnerable.

• 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).

Sistemas de autentificación




Las passwords se gestionan desde servidores de autentificación, mediante una base de datos única, con los datos de los usuarios, sus password y sus privilegios (ejemplo: LDAP).El servidor de autentificación es consultado por el resto de los servidores o equipos de acceso.Pueden usarse bases de usuarios de S.S.O.O. estándares (ejemplos: Novell o un servidor de dominios de NT).Se han creado protocolos para interactuar entre la estación cliente, y el servidor de autentificación. (PAP, CHAP, TACACS+, RADIUS).Los protocolos incluyen alguna técnica de encriptación, para evitar que las passwords puedan ser observadas mientras viajan por la red o cuando están almacenados en el server.

Administración de password



SISTEMAS DE ENCRIPTACIÓN

La criptografía es un conjunto de técnicas de protección de datos basadas en hacer “ilegibles” los datos ante accesos no autorizados a ellos.

Para encriptar, se usa una ‘clave’ de encriptación.

El propósito de la criptografía es hacer que la tarea de descifrar los datos sea tecnológicamente inasequible para un acceso no autorizado (que no conoce la clave).

Sistemas de encriptación

INFORMACIÓNFUENTE

ENCRIPTACIÓNINFORMACIÓN

CIFRADA




Existen dos tipos de técnicas criptográficas para cifrar datos:

• Algoritmos de CLAVE PRIVADA (algoritmos SIMÉTRICOS).• Algoritmos de CLAVE PÚBLICA (algoritmos ASIMÉTRICOS).

Normalmente se utilizan de forma conjunta para realizar transmisión de datos segura, ya que las cualidades de ambos son complementarias.

Sistemas de encriptación




Utiliza algoritmos de encriptación simétricos.

La clave que utilizamos para cifrar los datos es la única que es capaz de descifrarlos.

Por lo tanto, toda su seguridad se basa en la privacidad de la clave de encriptación.

Son simples y rápidos

Adolecen de una debilidad: debe compartirse de alguna forma segura la clave entre las partes que intervienen en la transmisión de datos.

Ejemplos: DES, triple DES, RC2, RC4...

CLAVE PRIVADA




Utiliza algoritmos de encriptación simétricos.La clave que utilizamos para cifrar los datos NO ES LA MISMA que es capaz de descifrarlos.Matemáticamente se basan en la dificultad de factorizar números primos muy grandes. Los algoritmos de llave pública son bastante lentos de calcular, lo que limita su uso.Se usan esquemas mixtos, en que se usa la clave pública para transferirse la clave secreta, que se usará durante la sesión para encriptar los datos.Proporcionan integridad en los datos y AUTENTICACIÓN del origen de los datos.

CLAVE PÚBLICA




Proceso de dotar de integridad a los datos:• Quien desee recibir mensajes cifrados, puede publicar una de las llaves,

que pasa a ser su llave pública.• Quién desee enviar un mensaje a esta persona, cifra los datos con su llave

pública.• Sólo la clave secreta descifra este mensaje.• De esta manera, se elimina el problema de tener que comunicar la llave.

Proceso de autentificación del origen de los datos:• Si encripto un mensaje con mi clave secreta, y alguien lo abre con mi clave

pública, este mensaje no será particulármente seguro, pero él estará seguro que yo fuí quién generó el mensaje.

• Las llaves públicas pueden utilizarse para crear ‘firmas digitales’, que son una forma segura de autentificación.

Ejemplos:RSA, DSS...

CLAVE PÚBLICA




Protocolos de transmisión de datos segura basados en la encriptación:Para correo electrónico:

• PGP (Pretty Good Privacy) para email (usa IDEA).• S/MIME (Secure/Multipurpouse Internet Mail Extensions).

Para confidencialidad, autentificación, integridad y no repudio, se han desarrollado:

• SSL (Secure Sockets Layer)• PCT desarrollado por Microsoft (Private Communications Technology)• S-HTTP (Secure Http): No se usa, por falta de soporte en los browsers.• SET: Desarrollado por los administradores de tarjetas de crédito, para

encriptar los datos de la tarjeta. No ofrece seguridad para el resto de los datos en la comunicación.

• IPSEC: Desarrollado por el IETF (Internet Engineering Task Force) para proveer confidencialidad extremo a extremo, del tipo VPN. Es parte integral de IPv6.

PROTOCOLOS SEGUROS I




SSL es una capa de software entre TCP/IP y la capa de aplicación.

SSL provee• Autentificación y no repudiación del server, usando firmas digitales.• Autentificación del cliente, usando firmas digitales.• Confidencialidad de los datos usando encriptación.• Integridad de los datos, usando codigos de autentificación.

SSL está integrada en los web browsers, y en los security enabled web servers.

SSL negocia el protocolo de encriptación.

Es el protocolo más usado.

SSL

Documents

Seguridad en redes de computadores