Beruflich Dokumente
Kultur Dokumente
Seguridad y Alta Implantacin de tcnicas de seguridad remota. Disponibilidad Seguridad perimetral. NDICE:
1- Elementos bsicos de la seguridad perimetral: - Concepto de seguridad perimetral. - Objetivos de la seguridad perimetral. - Permetro de la red: - Routers frontera. - Cortafuegos (firewalls). - Sistemas de Deteccin de Intrusos. - Redes Privadas Virtuales. - Software y servicios. Host Bastion. - Zonas desmilitarizadas (DMZ) y subredes controladas. 2- Arquitecturas de cortafuegos: - Cortafuegos de filtrado de paquetes. - Cortafuegos Dual-Homed Host. - Screened Host. - Screened Subnet (DMZ). - Otras arquitecturas 3- Polticas de defensa en profundidad: - Defensa perimetral. Interaccin entre zona perimetral (DMZ) y zona externa. Monitorizacin del permetro: deteccin y prevencin de intrusos - Defensa interna. Interaccin entre zona perimetral (DMZ) y zonas de seguridad interna). Routers y cortafuegos internos Monitorizacin interna Conectividad externa (Enlaces dedicados y redes VPN) Cifrados a nivel host - Factor Humano. 4- Redes privadas virtuales. VPN. - Beneficios y desventajas con respecto a las lneas dedicadas. - Tipos de conexin VPN: VPN de acceso remoto, VPN sitio a sitio (tunneling) VPN sobre LAN. - Protocolos que generan una VPN: PPTP, L2F, L2TP. 5- Tcnicas de cifrado. Tcnicas de cifrado. Clave pblica y clave privada: - Pretty Good Privacy (PGP). GNU Privacy Good (GPG). - Seguridad a nivel de aplicacin: SSH (Secure Shell). - Seguridad en IP (IPSEC). -Seguridad en Web : SSL ("Secure Socket Layer). (TLS "Transport Layer Security) 6- Servidores de acceso remoto: - Protocolos de autenticacin. - Protocolos PPP, PPoE, PPPoA
2
RBtec Perimeter Solutions (EE.UU) Magal Security Systems (Israel), Senstar Corporation (Canada), Opgal Optronic Systems (Israel), Delta Scientific (EE.UU.) y Allied Tube & Conduit (EE.UU.).
La seguridad perimetral es uno de los mtodos posibles de defensa de una red, basado en el establecimiento de recursos de segurizacin en el permetro externo de la red y a diferentes niveles. Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
- Permetro de la red:
Se conoce como permetro de la red a la frontera entre el exterior y las computadoras y servidores internas. Este se forma por los equipos que brindan conexin a Internet a las computadoras de la red, as como aquellos que las protegen de accesos externos. Equipos como los gateways, proxys y firewalls forman parte de este permetro. Contar con proteccin antivirus a este nivel es importante dado que brinda una capa adicional de proteccin a las que nombramos en series anteriores, protegiendo a nivel de servidores varias de las entradas ms comunes de los virus informticos, antes de que puedan ingresar en la red interna. Un antivirus en el permetro de la red debe ser capaz de revisar por la existencia de virus los protocolos ms utilizados (HTTP, FTP, POP3, SMTP, IMAP, entre otros).
5
Seguridad y Alta Implantacin de tcnicas de seguridad remota. Disponibilidad Seguridad perimetral. - Routers frontera.
Un router de frontera es un dispositivo situado entre la red interna de y las redes de otros proveedores que intercambian el trfico con nosotros y que se encarga de dirigir el trfico de datos de un lado a otro. El ltimo router que controlamos antes de Internet. Primera y ltima lnea de defensa. Filtrado inicial y final.
- Cortafuegos (firewalls).
Los firewalls o cortafuegos son una de las herramientas bsicas de la seguridad informtica. Permiten controlar las conexiones de red que acepta o emite un dispositivo, ya sean conexiones a travs de Internet o de otro sistema. Existen infinidad de variantes de cortafuegos (dedicados, de tipo appliance, gestionados, etc.). Este artculo se centrar exclusivamente en los cortafuegos personales (tambin conocidos como firewalls) y cmo sacarles el mayor provecho. Los cortafuegos personales son habitualmente programas que, o bien estn integrados en el sistema operativo, o bien son aplicaciones de terceros que pueden ser instaladas en ellos.
Para qu sirve un cortafuegos? El cortafuegos se encarga de controlar puertos y conexiones, es decir, de permitir el paso y el flujo de datos entre los puertos, ya sean clientes o servidores. Es como un semforo que, en funcin de la direccin IP y el puerto (entre otras opciones), dejar establecer la conexin o no siguiendo unas reglas establecidas.
De este modo, el firewall controla qu combinaciones "IP Cliente:puerto + IP Servidor:puerto" son vlidas o no. Por ejemplo, si el administrador del servidor 222.222.222.222 decide que no quiere que el cliente con direccin IP 111.111.111.111 vea su pgina web desde casa, podra indicarle a su cortafuegos en el servidor que bloquee esa direccin IP y no le permita acceder a su puerto 80. Bsicamente, el cortafuegos personal es un programa que se interpone entre el sistema operativo y las aplicaciones en la red, y comprueba una serie de parmetros antes de permitir que se establezca una conexin. Cuando se instala un firewall, el sistema operativo le cede el control de la gestin de esos puertos virtuales y de las conexiones de red en general, y har lo que tenga definido como reglas. Las comprobaciones del cortafuegos estn asociadas a unas reglas (que le indican qu debe hacer con esas conexiones). Estas reglas son normalmente "bloquear", "permitir" o "ignorar". Bsicamente, cuando un programa quiere establecer una conexin o reservar un puerto para volcar datos en la red, el firewall pregunta: De qu IP proviene este intento de conexin? Desde qu puerto proviene? A qu IP va destinada este intento de conexin? A qu puerto? Qu debo hacer con ella? (Bloquear, permitir o ignorar)
Tipos de cortafuegos Aunque existen sistemas o mquinas especficamente diseadas para hacer de cortafuegos, nos centramos en este caso en los cortafuegos personales, habitualmente integrados en los sistemas operativos. Entrante
7
Ejemplo de conexin entre cliente y servidor, pasando por un cortafuegos del lado del cliente Saliente El cortafuegos de tipo saliente controla las conexiones que "salen" del sistema, esto es, las que acuden a un servidor. Est pensado en mayor medida para clientes, para comprobar hacia qu direcciones IP o qu puertos se conecta nuestro ordenador. Este tipo de cortafuegos es mucho menos usado que el entrante, aunque es ms seguro, puesto que nos permite tener control total de hacia dnde intentan conectarse los programas y, por tanto, nuestros datos. Con un cortafuegos saliente se podra, por ejemplo, establecer reglas como estas:
Ejemplo de reglas de un cortafuegos desde el punto de vista del cliente, para el trfico saliente Con esta regla, se estara indicando al cortafuegos saliente que, siempre que Internet Explorer se intente conectar desde nuestra direccin IP, desde cualquier puerto y
8
pretenda a ir a cualquier direccin IP de destino, al puerto 81, lo bloquee. Sin embargo, si pretende ir al puerto 80 del servidor, permitir la conexin normalmente.
Otros tipos de cortafuegos: Hasta ahora se han visto las funciones bsicas de los firewalls y el concepto original para el que fueron creados. Sin embargo, los cortafuegos personales y de servidores han evolucionado para ofrecer funcionalidades avanzadas que han ayudado a proteger an ms los servidores. Veamos algunos ejemplos: Controlar el tipo de conexin
Las conexiones y flujos de datos entre puertos y direcciones IP pueden establecerse de forma errnea o malintencionada. Existen programas destinados a manipular este tipo de conexiones e intentar confundir al servidor para violar su seguridad o hacer que deje de responder. As, pueden intentar establecer conexiones incompletas, confusas, sin sentido, etc. Dependiendo del programa destino, el sistema actuar de una manera u otra. La mayora de los cortafuegos ya estn preparados para manejar este tipo de conexiones extraas y no dejarlas pasar para que no causen problemas. Muchos estn cargados por defecto con reglas de ataques conocidos que impiden que cualquier establecimiento de conexin que no sea conforme a los estndares, sea descartado. Controlar la denegacin de servicio
La denegacin de servicio es un efecto bloqueo que ocurre cuando muchos sistemas intentan acceder a un mismo puerto de un servidor, saturndolo. El programa que escucha en el puerto puede manejar un nmero limitado de conexiones al mismo tiempo, y si ese nmero se supera, no permitir que nuevas conexiones se establezcan. As, si alguien consigue saturar al servidor e impedir que otras conexiones se establezcan, a travs de conexiones que genere l mismo u otros sistemas, estaremos ante una denegacin de servicio. Sera como organizar a un grupo de personas para que compren en una misma tienda al mismo tiempo, pero que retrasen el pedido distrayendo al comerciante. Clientes legtimos que quieran comprar algo no podrn realmente acceder a la tienda y por tanto, sta tendr un perjuicio. Los cortafuegos permiten controlar tambin el nmero de conexiones que se estn produciendo, y en cuanto detectan que se establecen ms de las normales desde un mismo punto (o que estas se establecen con demasiada velocidad) pueden aadir reglas automticamente para bloquearlas y mantener el servicio a salvo. Controlar las aplicaciones que acceden a Internet
Otros cortafuegos permiten controlar, adems de qu direcciones IP se conectan a qu puertos, cules son las aplicaciones que lo estn haciendo. As, es posible indicar que un programa deje de conectarse a un puerto o una IP en concreto.
9
Un cortafuegos en el sistema puede tambin detectar cundo una aplicacin desea hacer uso de un puerto no para establecer una conexin, sino para ponerse a or en l y esperar conexiones. Este es un comportamiento habitual de los troyanos de hace algunos aos. Se conectaban a un puerto (o sea, convertan a la vctima en un servidor) y el atacante, como cliente, se conectaba a ese puerto. Por tanto, los cortafuegos tambin advierten al usuario cuando una aplicacin quiere utilizar un puerto para esperar conexiones entrantes, puesto que puede suponer un riesgo de seguridad. El firewall de Windows advierte de esta manera de que, en este ejemplo el programa Ccproxy, quiere ponerse a or en un puerto. Da la oportunidad al usuario de permitir la conexin o no.
Cortafuegos en los distintos tipos operativos: Configuracin bsica del cortafuegos de Windows en Vista y 7 Windows cuenta con un cortafuegos integrado, tanto entrante como saliente. Su interfaz bsica es muy sencilla.
Cortafuegos con configuracin tpica en Mac OS Mac OS X cuenta con un cortafuegos integrado, slo para conexiones entrantes.
10
Interfaz grfica para cortafuegos en Ubuntu Para sistemas Linux, es necesario utilizar la lnea de comando. Se utilizan reglas llamadas iptables, que estn implementadas en todos los kernel2 de todos los Linux. Son configurables a travs de lneas de comando, y permiten total control de puertos y direcciones (tanto entrantes como salientes). Sin embargo, existen diferentes "interfaces" grficas que pueden ser instaladas para manejar de forma ms cmoda el cortafuegos y sus reglas iptables.
11
Un IDS puede compartir u obtener informacin de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar las caractersticas de la red de acuerdo a los eventos que se generan. Tambin permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. Esta caracterstica de los IDS recibe el nombre de interoperabilidad.
Bsicamente hay tres tipos de IDS: Network Intrusion Detection System (NIDS): Es el ms comn. Su misin principal es vigilar la red (en realidad,el segmento de red que es capaz de ver). Bsicamente, pone el interfaz en modopromiscuo y absorbe todo el trfico, analizndolo posteriormente o en tiempo real. Network Node Intrusion Detection System (NNIDS): Este es un IDS destinado a vigilar el trfico destinado a un nico Host, y no a una subred entera. Por
12
ejemplo, puede servir como vigilante externo de un HoneyPot o para vigilar la actividad de una VPN (Virtual Private Network). Dado que solo analiza un host, se puede permitir un anlisis mucho ms exhaustivo de los paquetes.
Host Intrusion Detection System(HIDS): Permiten tomar una instantnea del sistema, para comprobar ms adelante la integridad de la maquina. Entre las tcnicas ms comunes estn las firmas MD5 de los archivos crticos y las copias del registro. Cortafuegos vs IDS:
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusin a toda actividad no autorizada o no que no debera ocurrir en ese sistema. Segn esta definicin, muchos podran pensar que ese trabajo ya se realiza mediante los cortafuegos o firewalls. Pero ahora veremos las diferencias entre los dos componentes y como un IDS es un buen complemento de los cortafuegos. La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicacin de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques tunneling(saltos de barrera) a los ataques basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten su paso o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra una base de datos que determina si est permitido un protocolo determinado y permite o no el paso del paquete basndose en atributos tales como las direcciones de origen y de destino, el nmero de puerto, etc... Esto se convierte en un problema cuando un atacante enmascara el trfico que debera ser analizado por el cortafuegos o utiliza un programa para comunicarse directamente con una aplicacin remota. Estos aspectos se escapan a las funcionalidades previstas en el diseo inicial de los cortafuegos. Es aqu donde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.
14
Definida la cantidad de bastin hosts, se debe ahora analizar que se instalar en cada uno de ellos, para esto se proponen distintas estrategias:
Que la plataforma de hardware del bastin host ejecute una versin segura de su sistema operativo, diseado especficamente para proteger al sistema operativo de sus vulnerabilidades y asegurar la integridad del firewall Instalar slo los servicios que se consideren esenciales. La razn de esto es que si el servicio no est instalado, ste no puede ser atacado. En general, una limitada cantidad de aplicaciones proxy son instaladas en un bastin host. El bastin host podra requerir autentificacin adicional antes de que un usuario ingrese a sus servicios.
En caso de alojar un proxy, este puede tener variadas configuraciones que ayuden a la seguridad del bastion host, tales como: configurados para soportar slo un subconjunto de aplicaciones, permitiendo el acceso a determinados hosts y/o proveyendo toda la informacin de los clientes que se conecten.
2- Arquitecturas de cortafuegos:
- Cortafuegos de filtrado de paquetes.
El modelo de cortafuegos ms antiguo consiste en un dispositivo capaz de filtrar paquetes, lo que se denomina choke. Est basado simplemente en aprovechar la capacidad que tienen algunos routers para bloquear o filtrar paquetes en funcin de su protocolo, su servicio o su direccin IP. Esta arquitectura es la ms simple de implementar y la ms utilizada en organizaciones que no precisan grandes niveles de seguridad, donde el router acta como depasarela de la subred y no hay necesidad de utilizar proxies, ya que los accesos desde la red interna al exterior no bloqueados son directos. Resulta recomendable bloquear todos los servicios que no se utilicen desde el exterior, as como el acceso desde mquinas que no sean de confianza hacia la red interna. Sin embargo, los chokes presentan ms desventajas que beneficios para la red protegida, puesto que no disponen de un sistema de monitorizacin sofisticado y el administrador no distingue entre si el router est siendo atacado o si su seguridad se ha visto comprometida. Por otra parte, las reglas de filtrado pueden llegar a ser complejas de establecer y por lo tanto, se hace difcil comprobar su correcin.
16
- Screened Host.
Combina un router con un host bastin, y donde el principal nivel de seguridad proviene del filtrado de paquetes (es decir, el router es la primera y ms importante lnea de defensa). En la maquina bastin, nico sistema accesible desde el exterior, se ejecutan los proxies de las aplicaciones, mientras que el choke se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo nicamente la comunicacin con un reducido nmero de servicios. La mayora de los autores recomiendan situar el router entre la red exterior y el host bastin, pero otros defienden justo lo contrario: situar el bastin en la red exterior no provoca aparentemente una degradacin de la seguridad, y adems ayuda al administrador a comprender la necesidad de un elevado nivel de fiabilidad en esta mquina, ya que est sujeta a ataques extern0os y no tiene por qu ser un host fiable; de cualquier forma, la `no degradacin de la seguridad mediante esta aproximacin es ms discutible, ya que habitualmente es ms fcil de proteger un router que una maquina con un sistema operativo de propsito general, que adems por definicin ha de ofrecer ciertos servicios: no tenemos ms que fijarnos en el numero de problemas de seguridad que afectan a los IOS de los routers cisco, es muy reducido frente a los que afectan a diferentes flavorus de unix. En todo caso, aparte de por estos matices, asumiremos la primera opcin por considerarla mayoritaria entre los expertos en seguridad informtica; as, cuando una maquina de la red interna desea comunicarse con el exterior existen dos posibilidades: El choke permite la salida de algunos servicios a todas o a parte de las maquinas internas a travs de un simple filtrado de paquetes. El choke prohbe todo el trfico entre mquinas de la red interna y el exterior, permitiendo slo la salida de ciertos servicios que provienen de la mquina bastin y que han sido autorizados por la poltica de seguridad de la organizacin. As, estamos obligando a los usuarios a que las conexiones con el exterior se realicen a travs de los servidores proxy situados en el bastin.
La primera aproximacin entraa un mayor nivel de complejidad a la hora de configurar las listas de control de acceso del router, mientras que si elegimos la segunda la dificultad est en configurar los servidores proxy (recordemos que no todas las aplicaciones soportan bien estos mecanismos) en el host bastin. Desde el punto de vista de la seguridad es ms recomendable la segunda opcin, ya que la probabilidad de dejar escapar trfico no deseado es menor. Por supuesto, en funcin de la poltica de seguridad que definamos en nuestro entorno, se pueden combinar ambas aproximaciones, por ejemplo permitiendo el trfico entre las mquinas internas y el exterior de ciertos protocolos difciles de encaminar a travs de un proxy o sencillamente que no entraen mucho riesgo para nuestra seguridad (tpicamente, NTP, DNS...), y obligando para el resto de servicios a utilizar el host bastin.
17
Seguridad y Alta Implantacin de tcnicas de seguridad remota. Disponibilidad Seguridad perimetral. - Screened Subnet (DMZ).
En este diseo se intenta aislar la mquina ms atacada y vulnerable del Firewall, el Nodo Bastin. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta mquina no consiga el acceso total a la subred protegida. En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos: hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno). Es posible definir varios niveles de DMZ agregando ms Routers, pero destacando que las reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificaran a uno solo.
Como puede apreciarse la Zona Desmilitarizada aslafsicamentelos servicios internos, separndolos de los servicios pblicos. Adems, n o existe una conexin directa entre la red interna y la externa. Los sistemas Dual-Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo que puede dar lugar, paradjicamente, a importantes agujeros de seguridad en toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de proteccin y ciertas ventajas: 1. Ocultamiento de la informacin: los sistemas externos no deben conocer el nombre de los sistemas internos. El Gateway de aplicaciones es el nico autorizado a conectarse con el exterior y el encargado de bloquear la informacin no solicitada o sospechosa. 2. Registro de actividades y autenticacin robusta: El Gateway requiere de autenticacin cuando se realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes. 3. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router sern menos compleja dado a que l slo debe atender las solicitudes del Gateway. As mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que generalmente este debe instalar algn tipo de aplicacin especializada para lograr
18
la comunicacin. Se suma a esto que generalmente son ms lentos porque deben revisar todo el trfico de la red.
- Otras arquitecturas
Algo que puede incrementar en gran medida nuestra seguridad y al mismo tiempo facilitar la administracin de los cortafuegos es utilizar un bastin diferente para cada protocolo o servicio en lugar de uno slo; sin embargo, esta arquitectura presenta el grave inconveniente de la cantidad de mquinas necesarias para implementar el firewall, lo que impide que muchas organizaciones la puedan adoptar. Una variante ms barata consistira en utilizar un nico bastin pero servidores proxy diferentes para cada servicio ofertado. Cada da es ms habitual en todo tipo de organizaciones dividir su red en diferentes subredes; esto es especialmente aplicable en entornos de I+D o empresas medianas, donde con frecuencia se han de conectar campus o sucursales separadas geogrficamente, edificios o laboratorios diferentes, etc. En esta situacin es recomendable incrementar los niveles de seguridad de las zonas ms comprometidas (por ejemplo, un servidor donde se almacenen expedientes o datos administrativos del personal) insertando cortafuegos internos entre estas zonas y el resto de la red. Aparte de incrementar la seguridad, firewalls internos son especialmente recomendables en zonas de la red desde la que no se permite a priori la conexin con Internet, como laboratorios de prcticas: un simple PC con Linux o FreeBSD que deniegue cualquier conexin con el exterior del campus va a ser suficiente para evitar que los usuarios se dediquen a conectar a pginas web o chats desde equipos no destinados a estos usos. Concretamente en el caso de redes de universidades sera muy interesante filtrar las conexiones a IRC o a MUDs, ya sea a nivel de aulas o laboratorios o a nivel de todo el campus, denegando en el router de salida de la red hacia INet cualquier trfico a los puertos 6667, 8888 y similares; aunque realmente esto no evitara que todos los usuarios siguieran jugando desde los equipos de la universidad - por ejemplo a travs de un servidor que disponga de conexin en otros puertos -, s conseguira que la mayor parte de ellos dejara de hacerlo.
Interaccin entre zona perimetral (DMZ) y zona externa. Una zona desmilitarizada o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. La red exterior slo permite el trfico hacia los servidores semi-pblicos alojados en la DMZ. La red interior se rige por el "pesimismo", esto es, solo acepta paquetes si responden a una peticin originada en el interior de la red o que provienen de uno de los servidores alojados en la DMZ (por defecto guarda toda la informacin sobre las transacciones).
Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informtico en busca de intentos de comprometer la seguridad de dicho sistema. Breve introduccin a los sistemas IDS y Snort
20
Un IDS o Sistema de Deteccin de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informtico o red informtica en busca de intentos de comprometer la seguridad de dicho sistema. Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host. Los IDS aportan a nuestra seguridad una capacidad de prevencin y de alerta anticipada ante cualquier actividad sospechosa. No estn diseados para detener un ataque, aunque s pueden generar ciertos tipos de respuesta ante stos. Los IDS: aumentan la seguridad de nuestro sistema, vigilan el trfico de nuestra red, examinan los paquetes analizndolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el anlisis de nuestra red, barrido de puertos, etc.
- Defensa interna.
Interaccin entre zona perimetral (DMZ) y zonas de seguridad interna).
En seguridad informtica, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrnico, Web y DNS. Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT). Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta a un puerto distinto de ste. Esta configuracin se llama cortafuegos en trpode (three-legged firewall). Un planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir configuraciones errneas accidentales que permitan el acceso desde la red
21
Aunque el router por defecto trae todos los puertos cerrados conviene tener activado el firewall del router para garantizar la seguridad de nuestro PC.
22
Aqu tenemos 3 terminales en una red con un servidor a la cabeza al cul le hemos implementado un Firewall y un Router. Ahora vienen todas las preguntas, pero antes hay que decir que cada terminal de esta LAN, incluido el Servidor tiene una direccin IP personal que la va a identificar en la Red y slo en la red, pero el Firewall tendr otra que ser la que haga posible una identificacin con el exterior. Al instalar el Firewall (Cortafuegos) debemos dotar al ordenador servidor con las dos direcciones IP: una para que se puedan conectar los terminales de la LAN a l y otra real de identificacin con el exterior. Qu puede realmente hacer un Firewall? Lo primero la organizacin, es decir, toda la red est sujeta a ste, y la red slo podr acceder a los parmetros que el Firewall tenga permitido o posibilite mediante su configuracin. Por ejemplo, si un terminal de la red intenta enviar un paquete a una direccin IP no autorizada, el Firewall rechazar ste envo impidiendo realizar sta transmisin. Con el Firewall podemos definir tamaos de paquetes, IP con las que no interesa comunicacin, deshabilitacin de envos o recogida de paquetes por determinados puertos, imposibilitar el uso del comando Finger, etc. Cmo es el acceso desde el exterior? Bien, si el Firewall no valida nuestra IP no podremos conectarlo con la LAN, aunque cmo la IP podemos falsificarla hoy en da se implementan tambin Servidores Proxys, ante los cules deberemos identificarnos antes, protegiendo as tambin al Firewall. Y entonces, Cmo es el acceso desde el interior de la LAN al exterior? Para el usuario la LAN es transparente, es decir, si desde cualquier estacin enviamos un paquete a una IP y el Firewall nos valida el tamao, IP de destino, puerto, etc (Estos parmetros varan segn las necesidades de seguridad cada red, y por tanto del nivel de configuracin del Firewall), nosotros no veremos proceso alguno, sera como si no hubiera nada vigilando por nuestra seguridad, aunque si lo hay.
23
alternativas comerciales, destacando especialmente su inmensa flexibilidad para poder monitorizar todo lo que queramos en el modo en que as lo necesitemos. Conectividad externa (Enlaces dedicados y redes VPN)
Los enlaces dedicados son enlaces digitales dedicados de diferente velocidad que permiten la conexin de distintas localidades o sitios del cliente para su uso exclusivo, sin lmite de utilizacin y sin restriccin de horarios. Los enlaces dedicados se utilizan para la transmisin bidireccional de voz, datos y video entre 2 ms puntos asignados por el cliente. Se pueden hacer de diversas tecnologas:
Frame Relay: servicio de infraestructura de fibra ptica Inalmbrico: implementacin de conectividad inalmbrica Satelital: servicio de infraestructura satelital VPN: implementacin de creacin de enlace virtual para mejoramiento de la comunicacin
Tipos de conexin.
Conexin Punto a punto: Es la conexin directa de una sucursal a otra Conexin de Punto a Multipunto: Una sucursal es la central y conecta a diversas sucursales Conexin de Mall: Conexin de sucursales interconectadas entre ella y no dependen de una central
Ventajas:
Fcil Administracin
Cifrados a nivel host Los servidores web y los navegadores web emplean el protocolo Secure Sockets Layer (SSL) para crear un canal con un cifrado nico para las comunicaciones privadas a travs de la Internet pblica. Los certificados SSL constan de una clave pblica y una clave privada. La clave pblica se utiliza para cifrar la informacin y la privada para descifrarla. Cuando un navegador web visita un dominio protegido, se establece un nivel de cifrado segn el tipo de certificado SSL, as como el navegador web cliente, el sistema operativo y las capacidades del servidor host. Por esta razn, los certificados SSL incluyen varios niveles de cifrado, como por ejemplo "hasta 256 bits". Un cifrado potente, a 128 bits, puede calcular 288 veces ms combinaciones que un cifrado de 40 bits. Eso es ms de un billn por un billn de veces ms potente. A la velocidad de los ordenadores actuales, un pirata con tiempo, herramientas y motivacin para atacar utilizando la fuerza bruta necesitara un billn de aos para entrar en una sesin protegida por un certificado con SGC. Para que la mayora de los visitantes del sitio puedan utilizar un cifrado potente, elija un certificado SSL que permita como mnimo un cifrado de 128 bits para el 99,9% de los visitantes del sitio web. Certificados SSL de 128 bits reales.
- Factor Humano.
La poltica de seguridad corporativa se refiere al conjunto de polticas y directrices individuales existentes que permiten dirigir la seguridad y el uso adecuado de tecnologa y procesos dentro de la organizacin. Este rea cubre polticas de seguridad de todo tipo, como las destinadas a usuarios, sistemas o datos. Formacin Los empleados deberan recibir formacin y ser conscientes de las polticas de seguridad existentes y de cmo la aplicacin de esas polticas puede ayudarles en sus actividades diarias. De esta forma no expondrn inadvertidamente a la compaa a posibles riesgos. Concienciacin Los requisitos de seguridad deberan ser entendidos por todas las personas con capacidad de decisin, ya sea en cuestiones de negocio como en cuestiones tcnicas, de forma que tanto unos como otros contribuyan a mejorar la seguridad en lugar de pelearse con ella. Llevar a cabo regularmente una evaluacin por parte de terceras partes puede ayudar a la compaa a revisar, evaluar e identificar las reas que necesitan mejorar.
26
Disponer de unos procedimientos claros y prcticos en la gestin de relaciones con vendors o partners puede evitar que la compaa se exponga a posibles riesgos. Si se aplican tambin estos procedimientos en los procesos de contratacin y terminacin de contrato de empleados se puede proteger a la empresa de posibles empleados poco escrupulosos o descontentos.
Una de las ventajas ms significativas es el hecho de que las VPN permiten la integridad, confidencialidad y seguridad de los datos. Reduccin de costes, frente a lneas dedicadas. Sencilla de usar, una vez conectados a la VPN, se trabaja como si fuera una LAN. Control de Acceso basado en polticas de la organizacin Herramientas de diagnstico remoto. Los algoritmos de compresin optimizan el trfico del cliente.
Desventajas
28
El uso de redes VPN no tiene apenas desventajas, sin embargo cabe sealar que como toda la informacin se enva a travs de Internet, es necesario tener una buena conexin. Con una conexin a Internet ms bsica, se pueden experimentar problemas y lentitud.
Integridad, confidencialidad y seguridad de datos. Las VPN reducen los costos y son sencillas de usar. Facilita la comunicacin entre dos usuarios en lugares distantes.
30
Una conexin VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexin, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambin sirve para la intranet. Conexin VPN firewall a firewall Una conexin VPN firewall a firewall es realizada por uno de ellos, y ste a su vez se conecta a una red privada. En este tipo de conexin, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica ante el que responde y ste a su vez se autentifica ante el llamante.
PPTP (Point to Point Tunneling Protocol), es un protocolo de comunicaciones desarrollado por Microsoft, U.S. Robotics, Ascend Communications, 3Com/Primary Access, ECI Telematics conocidas colectivamente como PPTP Forum, para implementar redes privadas virtuales o VPN. Una VPN es una red privada de computadores que usa Internet para conectar sus nodos. Especificacin PPTP La especificacin para PPTP fue publicada por el RFC 2637, aunque no ha sido ratificada como estndar por el IETF. Introduccion: Point-To-Point Tunneling Protocol (PPTP) permite el seguro intercambio de datos de un cliente a un servidor formando una Red Privada Virtual (VPN por el anglicismo Virtual Private Network), basado en una red de trabajo va TCP/IP. El punto fuerte del PPTP es su habilidad para proveer en la demanda, multi-protocolo soporte existiendo una infraestructura de rea de trabajo, como INTERNET. Esta habilidad permitir a una compaa usar Internet para establecer una red privada virtual (VPN) sin el gasto de una lnea alquilada.
31
como Frame Relay o ATM. Como PPTP, L2F utiliza el protocolo PPP para la autenticacin del usuario remoto, pero tambin implementa otros sistemas de autenticacin como TACACS+ (Terminal Access Controller Access Control System) y RADIUS (Remote Authentication Dial-In User Service). L2F tambin difiere de PPTP en que permite que los tneles contengan ms de una conexin. Hay dos niveles de autenticacin del usuario, primero por parte del ISP (proveedor de servicio de red), anterior al establecimiento del tnel, y posteriormente, cuando se ha establecido la conexin con la pasarela corporativa. Como L2F es un protocolo de Nivel de enlace de datos segn el Modelo de Referencia OSI, ofrece a los usuarios la misma flexibilidad que PPTP para manejar protocolos distintos a IP, como IPX o NetBEUI. L2TP L2TP (Layer 2 Tunneling Protocol) fue diseado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F, creado para corregir las deficiencias de estos protocolos y establecerse como un estndar aprobado por el IETF (RFC 2661). L2TP utiliza PPP para proporcionar acceso telefnico que puede ser dirigido a travs de un tnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de tneles, basado en L2F. El transporte de L2TP est definido para una gran variedad de tipos de paquete, incluyendo X.25, Frame Relay y ATM. Al utilizar PPP para el establecimiento telefnico de enlaces, L2TP incluye los mecanismos de autenticacin de PPP, PAP y CHAP. De forma similar a PPTP, soporta la utilizacin de estos protocolos de autenticacin, como RADIUS. A pesar de que L2TP ofrece un acceso econmico, con soporte multiprotocolo y acceso a redes de rea local remotas, no presenta unas caractersticas criptogrficas especialmente robustas. Por ejemplo:
Slo se realiza la operacin de autenticacin entre los puntos finales del tnel, pero no para cada uno de los paquetes que viajan por l. Esto puede dar lugar a suplantaciones de identidad en algn punto interior al tnel. Sin comprobacin de la integridad de cada paquete, sera posible realizar un ataque de denegacin del servicio por medio de mensajes falsos de control que den por acabado el tnel L2TP o la conexin PPP subyacente. L2TP no cifra en principio el trfico de datos de usuario, lo cual puede dar problemas cuando sea importante mantener la confidencialidad de los datos. A pesar de que la informacin contenida en los paquetes PPP puede ser cifrada, este protocolo no dispone de mecanismos para generacin automtica de claves, o refresco automtico de claves. Esto puede hacer que alguien que escuche en la red y descubra una nica clave tenga acceso a todos los datos transmitidos.
33
Firmas digitales y verificacin de la integridad de los mensajes : funcin que se basa en el uso simultneo de la funcin hash (MD5) y del sistema RSA. La funcin MD5 condensa el mensaje y produce un resultado de 128 bits que despus se cifra, gracias al algoritmo RSA, por la clave privada del emisor. Cifrado de archivos locales: funcin que utiliza el algoritmo IDEA. Generacin de claves pblicas o privadas: cada usuario cifra su mensaje mediante las claves privadas IDEA. La transferencia de las claves electrnicas IDEA utiliza el sistema RSA. Por lo tanto, PGP ofrece dispositivos para la generacin de claves adaptados al sistema. El tamao de las claves RSA se propone de acuerdo con varios niveles de seguridad: 512, 768, 1024 1280 bits. Administracin de claves: funcin responsable de la distribucin de la clave pblica del usuario a los remitentes que desean enviarle mensajes cifrados. Certificacin de claves: esta funcin permite agregar un sello digital que garantice la autenticidad de las claves pblicas. Es una caracterstica original de PGP, que basa su confianza en una nocin de proximidad social en vez de en una entidad de certificacin central.
Revocacin, desactivacin y registro de claves: funcin que permite producir certificados de revocacin. GNU Privacy Good (GPG). GNU Privacy Guard o GPG es una herramienta de cifrado y firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estndar del IETF denominado OpenPGP. GPG cifra los mensajes usando pares de claves individuales asimtricas generadas por los usuarios. Las claves pblicas pueden ser compartidas con otros usuarios de muchas maneras, un ejemplo de ello es depositndolas en los servidores de claves. Siempre deben ser compartidas cuidadosamente para prevenir falsas identidades por la corrupcin de las claves pblicas. Tambin es posible aadir una firma digital criptogrfica a un mensaje, de esta manera la totalidad del mensaje y el remitente pueden ser verificados en caso de que se desconfe de una correspondencia en particular.
35
El cliente enva una seal al servidor pidindole comunicacin por el puerto 22. El servidor acepta la comunicacin en el caso de poder mantenerla bajo encriptacin mediante un algoritmo definido y le enva la llave publica al cliente para que pueda descifrar los mensajes.
El cliente recibe la llave teniendo la posibilidad de guardar la llave para futuras comunicaciones o destruirla despus de la sesin actual.
- Seguridad en IP (IPSEC).
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms usados. Una ventaja importante de IPsec frente a SSL y otros mtodos que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo. IPsec est implementado por un conjunto de protocolos criptogrficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticacin mutua y (3) establecer parmetros criptogrficos. Como el Protocolo de Internet no provee intrnsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como: 1. Cifrar el trfico (de forma que no pueda ser ledo por nadie ms que las partes a las que est dirigido) 2. Validacin de integridad (asegurar que el trfico no ha sido modificado a lo largo de su trayecto)
37
Negociar entre las partes el algoritmo que se usar en la comunicacin Intercambio de claves pblicas y autenticacin basada en certificados digitales Cifrado del trfico basado en cifrado simtrico Durante la primera fase, el cliente y el servidor negocian qu algoritmos criptogrficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones:
Para criptografa de clave pblica: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) o Fortezza; Para cifrado simtrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES y AES (Advanced Encryption Standard); Con funciones hash: MD5 o de la familia SHA.
Funcionamiento El protocolo SSL intercambia registros; opcionalmente, cada registro puede ser comprimido, cifrado y empaquetado con un cdigo de autenticacin del mensaje (MAC). Cada registro tiene un campo de content_type que especifica el protocolo de nivel superior que se est usando. Cuando se inicia la conexin, el nivel de registro encapsula otro protocolo, el protocolo handshake, que tiene el content_type 22. El cliente enva y recibe varias estructuras handshake:
Enva un mensaje ClientHello especificando una lista de conjunto de cifrados, mtodos de compresin y la versin del protocolo SSL ms alta permitida. ste tambin enva bytes aleatorios que sern usados ms tarde (llamados Challenge de Cliente o Reto). Adems puede incluir el identificador de la sesin. Despus, recibe un registro ServerHello, en el que el servidor elige los parmetros de conexin a partir de las opciones ofertadas con anterioridad por el cliente. Cuando los parmetros de la conexin son conocidos, cliente y servidor intercambian certificados (dependiendo de las claves pblicas de cifrado seleccionadas). Estos certificados son actualmente X.509, pero hay tambin un borrador especificando el uso de certificados basados en OpenPGP. El servidor puede requerir un certificado al cliente, para que la conexin sea mutuamente autenticada. Cliente y servidor negocian una clave secreta (simtrica) comn llamada master secret, posiblemente usando el resultado de un intercambio Diffie-Hellman, o
39
Numerando todos los registros y usando el nmero de secuencia en el MAC. Usando un resumen de mensaje mejorado con una clave (de forma que solo con dicha clave se pueda comprobar el MAC). Esto se especifica en el RFC 2104). Proteccin contra varios ataques conocidos (incluyendo ataques man-in-themiddle), como los que implican un degradado del protocolo a versiones previas (por tanto, menos seguras), o conjuntos de cifrados ms dbiles. El mensaje que finaliza el protocolo handshake (Finished) enva un hash de todos los datos intercambiados y vistos por ambas partes. La funcin pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos hash diferentes (MD5 y SHA), despus realiza sobre ellos una operacin XOR. De esta forma se protege a s mismo de la eventualidad de que alguno de estos algoritmos se revelen vulnerables en el futuro.
Negociacin: Los dos extremos de la comunicacin (cliente y servidor) negocian que algoritmos criptogrficos utilizarn para autenticarse y cifrar la informacin. Actualmente existen diferentes opciones: Para criptografa de clave pblica: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm). Para cifrado simtrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES o AES (Advanced Encryption Standard). Con funciones hash: MD5 o de la familia SHA. Autenticacin y Claves: Los extremos se autentican mediante certificados digitales e intercambian las claves para el cifrado, segn lanegociacin. Transmisin Segura: los extremos pueden iniciar el trfico de informacin cifrada y autentica. OBJETIVOS DEL PROTOCOLO TLS Los objetivos del protocolo son varios:
Seguridad criptogrfica. El protocolo se debe emplear para establecer una conexin segura entre dos partes. Interoperabilidad. Aplicaciones distintas deben poder intercambiar parmetros criptogrficos sin necesidad de que ninguna de las dos conozca el cdigo de la otra. Extensibilidad. El protocolo permite la incorporacin de nuevos algoritmos criptogrficos. Eficiencia. Los algoritmos criptogrficos son costosos computacionalmente, por lo que el protocolo incluye un esquema de cache de sesionespara reducir el nmero de sesiones que deben inicializarse desde cero (usando criptografa de clave pblica). FUNCIONAMIENTO DEL PROTOCOLO TLS El protocolo est dividido en dos niveles:
Protocolo de registro TLS (TLS Record Protocol). Protocolo de mutuo acuerdo TLS (TLS Handshake Protocol). El de ms bajo nivel es el Protocolo de Registro, que se implementa sobre un protocolo de transporte fiable como el TCP. El protocolo proporcionaseguridad en la conexin con dos propiedades fundamentales:
La conexin es privada. Para encriptar los datos se usan algoritmos de cifrado simtrico. Las claves se generan para cada conexin y se basan en un secreto
41
La conexin es fiable. El transporte de mensajes incluye una verificacin de integridad. El Protocolo de mutuo acuerdo, proporciona seguridad en la conexin con tres propiedades bsicas:
La identidad del interlocutor puede ser autentificada usando criptografa de clave pblica. Esta autentificacin puede ser opcional, pero generalmente es necesaria al menos para uno de los interlocutores. La negociacin de un secreto compartido es segura. La negociacin es fiable, nadie puede modificar la negociacin sin ser detectado por los interlocutores.
Al utilizar el Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol), un mecanismo de autenticacin arbitrario valida las conexiones de acceso remoto. El cliente de acceso remoto y el autenticador (el servidor de acceso remoto o el servidor del Servicio de autenticacin de Internet (IAS, Internet Authentication Service)) negocian el esquema de autenticacin exacto que se va a utilizar. Puede utilizar EAP a fin de aceptar esquemas de autenticacin como Generic Token Card, MD5-Challenge, Seguridad en el nivel de transporte (TLS, Transport Level Security) para admitir tarjetas inteligentes y S/Key, as como cualquier tecnologa de autenticacin futura. EAP permite que se establezcan conversaciones abiertas entre el cliente de acceso remoto y el autenticador. Esta conversacin se compone de las solicitudes de informacin de autenticacin realizadas por el autenticador y las respuestas del cliente de acceso remoto. Por ejemplo, si se utiliza EAP con tarjetas testigos de seguridad, el autenticador puede consultar al cliente de acceso remoto el nombre, el PIN y el valor del testigo de la tarjeta por separado. Con cada consulta realizada y respondida, el cliente de acceso remoto atraviesa otro nivel de autenticacin. Una vez que se ha
42
respondido correctamente a todas las preguntas, se autentica al cliente de acceso remoto. Los esquemas de autenticacin especficos de EAP se denominan tipos de EAP. El cliente de acceso remoto y el autenticador deben admitir el mismo tipo de EAP para que la autenticacin se lleve a cabo correctamente. Infraestructura EAP El protocolo EAP de Windows 2000 est formado por un conjunto de componentes internos que proporcionan una arquitectura compatible con cualquier tipo de EAP en forma de mdulo de complemento. Para que la autenticacin se realice correctamente, el cliente de acceso remoto y el autenticador deben tener instalado el mismo mdulo de autenticacin EAP. Windows 2000 proporciona dos tipos de EAP: EAP-MD5 CHAP y EAP-TLS. Tambin es posible instalar otros tipos de EAP adicionales. Los componentes del tipo de EAP deben estar instalados en todos los autenticadores y clientes de acceso remoto. EAP-MD5 CHAP El Protocolo de autenticacin por desafo mutuo de sntesis de mensaje 5-EAP (EAPMD5 CHAP, EAP-Message Digest 5 Challenge Handshake Authentication Protocol) es un tipo de EAP requerido que utiliza el mismo protocolo de desafo mutuo que CHAP basado en PPP, con la diferencia de que los desafos y las respuestas se envan como mensajes EAP. EAP-MD5 CHAP suele utilizarse para autenticar las credenciales de los clientes de acceso remoto mediante sistemas de seguridad que usan nombres de usuario y contraseas. Tambin puede utilizarse para probar la interoperabilidad de EAP. EAP-TLS El tipo de EAP Seguridad del nivel de transporte EAP (EAP-TLS, EAP-Transport Level Security) se utiliza en entornos de seguridad basados en certificados. Si est utilizando tarjetas inteligentes para la autenticacin de acceso remoto, debe utilizar el mtodo de autenticacin EAP-TLS. El intercambio de mensajes EAP-TLS permite la autenticacin y negociacin mutua del mtodo de cifrado y el intercambio seguro de claves cifradas entre el cliente de acceso remoto y el autenticador. EAPTLS proporciona el mtodo de intercambio de claves y autenticacin ms eficaz. EAP-TLS slo se admite en servidores de acceso remoto que ejecutan Windows 2000 y que son miembros de un dominio en modo mixto o modo nativo de Windows 2000. Los servidores de acceso remoto que ejecutan Windows 2000 de forma independiente no admiten EAP-TLS. Para obtener ms informacin acerca de cmo configurar las tarjetas inteligentes para clientes de acceso remoto, consulte Usar tarjetas inteligentes para el acceso remoto
43
MS-CHAP Windows 2000 incluye compatibilidad con el Protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol), tambin conocido comoMS-CHAP versin 1. MS-CHAP es un protocolo de autenticacin de contraseas de cifrado no reversible. El proceso de desafo mutuo funciona de la manera siguiente: 1. El autenticador (el servidor de acceso remoto o el servidor IAS) enva al cliente de acceso remoto un desafo formado por un identificador de sesin y una cadena de desafo arbitraria. 2. El cliente de acceso remoto enva una respuesta que contiene el nombre de usuario y un cifrado no reversible de la cadena de desafo, el identificador de sesin y la contrasea. 3. El autenticador comprueba la respuesta y, si es vlida, se autentican las credenciales del usuario.
44
Si utiliza MS-CHAP como protocolo de autenticacin, puede utilizar el Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption) para cifrar los datos enviados por la conexin PPP o PPTP.
MS-CHAP versin 2 Windows 2000 incluye compatibilidad con la versin 2 del Protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP v2, Microsoft Challenge Handshake Authentication Protocol), que proporciona seguridad de alto nivel para las conexiones de acceso remoto. MS-CHAP v2 resuelve algunos problemas de MS-CHAP versin 1, como se muestra en la siguiente tabla.
MS-CHAP v2 es un proceso unidireccional con contrasea cifrada y autenticacin mutua que funciona de la manera siguiente: 1. El autenticador (el servidor de acceso remoto o el servidor IAS) enva un desafo al cliente de acceso remoto que consta de un identificador de sesin y una cadena de desafo arbitraria. 2. El cliente de acceso remoto enva una respuesta que contiene: El nombre del usuario. Una cadena de desafo arbitraria del mismo nivel. Una codificacin unidireccional de la cadena de desafo recibida, la cadena de desafo del mismo nivel, el identificador de sesin y la contrasea del usuario.
3. El autenticador comprueba la respuesta del cliente y devuelve una respuesta que contiene: - Una indicacin del xito o fracaso del intento de conexin. - Una respuesta autenticada basada en la cadena de desafo enviada, la cadena de desafo del mismo nivel, la respuesta codificada del cliente y la contrasea del usuario. 4. El cliente de acceso remoto comprueba la respuesta de autenticacin y, si es correcta, utiliza la conexin. Si la respuesta de autenticacin no es correcta, el cliente de acceso remoto termina la conexin.
CHAP El Protocolo de autenticacin por desafo mutuo (CHAP, Challenge Handshake Authentication Protocol) es un protocolo de autenticacin mediante desafo y respuesta que utiliza Sntesis del mensaje 5 (MD5,Message Digest 5), un esquema de hash estndar del sector, para cifrar la respuesta. Varios fabricantes de clientes y
45
SPAP El Protocolo de autenticacin de contraseas de Shiva (SPAP, Shiva Password Authentication Protocol) es un mecanismo de cifrado reversible empleado por Shiva. Al conectarse a un equipo Shiva LAN Rover, los equipos que ejecutan Windows 2000 Professional utilizan SPAP, el mismo protocolo que emplea el cliente Shiva que conecta con el servidor de acceso remoto de Windows 2000. Esta forma de autenticacin es ms segura que el texto simple pero menos segura que CHAP o MS-CHAP. PAP El Protocolo de autenticacin de contrasea (PAP, Password Authentication Protocol) utiliza contraseas en texto simple y es el protocolo de autenticacin menos sofisticado. Se negocia, normalmente, si el cliente y el servidor de acceso remoto no pueden negociar una forma de validacin ms segura. Acceso sin autenticar Windows 2000 admite el acceso sin autenticar, lo que significa que la persona que llama no requiere las credenciales del usuario (un nombre de usuario y una contrasea). Hay algunas situaciones en las que es aconsejable utilizar el acceso sin autenticar. Esta seccin trata: Autorizacin DNIS Autenticacin ANI/CLI Autenticacin de invitados
Autenticacin. Generalmente mediante una clave de acceso. Asignacin dinmica de IP. Los proveedores de acceso cuentan con un nmero limitado de direcciones IP y cuentan con ms clientes que direcciones. Naturalmente, no todos los clientes se conectan al mismo tiempo. As, es posible asignar una direccin IP a cada cliente en el momento en que se conectan al proveedor. La direccin IP se conserva hasta que termina la conexin por PPP. Posteriormente, puede ser asignada a otro cliente.
PPP tambin tiene otros usos, por ejemplo, se utiliza para establecer la comunicacin entre un mdem ADSL y la pasarela ATM del operador de telecomunicaciones. Tambin se ha venido utilizando para conectar a trabajadores desplazados (p. ej. ordenador porttil) con sus oficinas a travs de un centro de acceso remoto de su empresa. Aunque est aplicacin se est abandonando en favor de las redes privadas virtuales, ms seguras.
PPOE: PPPoE (Point-to-Point Protocol over Ethernet o Protocolo Punto a Punto sobre Ethernet) es un protocolo de red para la encapsulacin PPP sobre una capa de Ethernet. Es utilizada mayoritariamente para proveer conexin de banda ancha mediante servicios de cable mdem y xDSL. Este ofrece las ventajas del protocolo PPP como son la autenticacin, cifrado, mantencin y compresin. Significa "Protocolo de Punto a Punto sobre Ethernet", e implementa una capa IP sobre dos puertos Ethernet, dando la posibilidad de transferir paquetes de datos entre los dispositivos que estn conectados.
47
PPPoA Igual que PPPoE pero, en vez de ser un protocolo sobre una capa Ethernet, se realiza sobre una capa ATM. Gracias a este protocolos, las seales del router pueden negociar los parmetros de conexin o de red entre el router y el ISP, con lo que slo necesitas saber tu Identificador de Usuario y tu clave de acceso para poder comenzar a navegar, puesto que el resto de datos se obtienen automticamente en el momento en que se efecta la conexin. Con PPPoE, el router efecta el encaminamiento IP con Network Address Translation (NAT) para la LAN. El router que cuente con PPPoE tambin es compatible con la asignacin dinmica de direcciones IP a nodos de red local. Cuando se use la asignacin dinmica, el router actuar como servidor DHCP.
48
2.- El Cliente enva un paquete Response (Respuesta) al Servidor. Al igual que en el paquete Request, el paquete Response contiene un campo de Tipo, el cual corresponde al campo de Tipo en el paquete de Request. 3.- El Servidor de autenticacin enva un paquete Request adicional, al cual el cliente enva un Response. La secuencia de Request y Response continua segn sea necesario. Como se mencion, EAP es un protocolo lock-step, por lo que no se puede enviar el siguiente paquete sin haber recibido uno vlido antes. El servidor es responsable de transmitir las solicitudes de retrasmisin, dichos mtodos se describen en el RFC de EAP, el RFC 3748. Despus de un nmero de retransmisiones, el Servidor PUEDE terminar la conversacin EAP. El Servidor NO PUEDE enviar un paquete de Success o Failure cuando se retransmite o cuando falla en recibir una respuesta a dichos paquetes por parte del cliente. 4.-La conversacin contina hasta que el Servidor no puede autenticar al cliente, y en dicho caso el Servidor DEBE trasmitir un mensaje de Failure. Como alternativa, la conversacin de autenticacin puede continuar hasta que el Servidor determina que se ha cumplido con una autenticacin satisfactoriamente, para dicho caso, el Servidor DEBE enviar un paquete de Success.
- PEAP.
El Protocolo de autenticacin extensible protegido (PEAP) es un nuevo miembro de la familia de protocolos de Protocolo de autenticacin extensible (EAP). PEAP utiliza Seguridad de nivel de transporte (TLS) para crear un canal cifrado entre un cliente de autenticacin PEAP, como un equipo inalmbrico, y un autenticador PEAP, como un Servicio de autenticacin de Internet (IAS) o un servidor del Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS). PEAP no especifica un mtodo de autenticacin, sino que proporciona seguridad adicional para otros protocolos de autenticacin de EAP, como EAP-MSCHAPv2, que pueden operar a travs del canal cifrado de TLS que proporciona PEAP. PEAP se utiliza como mtodo de autenticacin para los equipos cliente inalmbricos 802.11, pero no se admite en clientes de red privada virtual (VPN) u otros clientes de acceso remoto.
51
Proteccin de la negociacin del mtodo EAP que se produce entre el cliente y el servidor mediante un canal TLS. Esto ayuda a impedir que un intruso inserte paquetes entre el cliente y el servidor de acceso a la red (NAS) para provocar la negociacin de un mtodo EAP menos seguro. El canal TLS cifrado tambin ayuda a evitar ataques por denegacin de servicio contra el servidor IAS. Compatibilidad con la fragmentacin y el reensamble de mensajes, lo que permite el uso de tipos de EAP que no lo proporcionan. Clientes inalmbricos con la capacidad de autenticar el servidor IAS o RADIUS. Como el servidor tambin autentica al cliente, se produce la autenticacin mutua. Proteccin contra la implementacin de un punto de acceso inalmbrico (WAP) no autorizado cuando el cliente EAP autentica el certificado que proporciona el servidor IAS. Adems, el secreto principal TLS creado por el autenticador y el cliente PEAP no se comparte con el punto de acceso. Como consecuencia, el punto de acceso no puede descifrar los mensajes protegidos por PEAP. Reconexin rpida de PEAP, que reduce el tiempo de retraso entre la solicitud de autenticacin de un cliente y la respuesta del servidor IAS o RADIUS, y que permite a los clientes inalmbricos moverse entre puntos de acceso sin solicitudes de autenticacin repetidas. De esta forma, se reducen los requisitos de recursos del cliente y el servidor.
Proceso de autenticacin PEAP El proceso de autenticacin PEAP entre el cliente y el autenticador PEAP tiene lugar en dos etapas. En la primera etapa se configura un canal seguro entre el cliente PEAP y el servidor de autenticacin. En la segunda se proporciona la autenticacin EAP entre el cliente y el autenticador EAP. Para habilitar la reconexin rpida de PEAP:
El cliente PEAP (el cliente inalmbrico 802.11) y el autenticador PEAP (el servidor RADIUS) deben tener habilitada la caracterstica de reconexin rpida. Todos los puntos de acceso a los que se mueve el cliente PEAP deben estar configurados como clientes RADIUS de un servidor RADIUS (el autenticador PEAP) en el que PEAP est configurado como mtodo de autenticacin de las conexiones inalmbricas. Todos los puntos de acceso con los que se asocia el cliente PEAP deben estar configurados para que prefieran el mismo servidor RADIUS (el autenticador
52
PEAP) con el fin de evitar que cada servidor RADIUS pida las credenciales. Si no se puede configurar el punto de acceso para que prefiera un servidor RADIUS, puede configurar un proxy RADIUS de IAS con un servidor RADIUS preferido.
- Kerberos.
Kerberos es un protocolo de autenticacin de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseadores se concentraron primeramente en un modelo de clienteservidor, y brinda autenticacin mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticacin estn protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen extensiones del protocolo para poder utilizar criptografa de clave asimtrica. La funcin de Kerberos Kerberos realiza la autenticacin como un servicio de autenticacin de confianza de terceras partes utilizando el convencional cifrado de clave secreta compartida. Kerberos proporciona un modo de comprobar las identidades de los sujetos, sin confiar en la autenticacin por parte del sistema operativo del sistema principal, sin tener que basar la confianza en direcciones del sistema principal, sin que sea necesaria una seguridad fsica de todos los sistemas principales de la red y asumiendo que los paquetes que viajan por la red pueden leerse, modificarse e insertarse a voluntad. El proceso de autenticacin El proceso de autenticacin incluye los siguientes pasos principales: 1. El cliente solicita credenciales. Los dos mtodos para obtener credenciales, el intercambio de ticket inicial y el intercambio de ticket que otorga tickets, utilizan protocolos algo distintos y requieren rutinas de interfaz de programacin de aplicaciones (API) diferentes. La diferencia bsica para un programador de aplicaciones es que el intercambio de ticket inicial no requiere un ticket que otorga tickets (TGT), sino que requiere la clave secreta del cliente. Normalmente, el intercambio de ticket inicial se utiliza para TGT y los intercambios de TGT se utilizan a partir de
53
54
El servicio de autenticacin de red utiliza el protocolo Kerberos junto con las API GSS (Generic Security Services) para la autenticacin. El protocolo Kerberos proporciona un medio de verificar la identidad de un sujeto, ya sea un usuario o una aplicacin, en una red sin proteccin. Cuando el sujeto solicita un servicio, un servidor centralizado de confianza, conocido como Centro de distribucin de claves (KDC), verifica su identidad. Las presunciones del entorno de seguridad El protocolo Kerberos asume que todos los intercambios de datos se producen en un entorno en el que pueden insertarse, modificarse o interceptarse paquetes a voluntad. Utilice Kerberos como uno de los niveles de un plan de seguridad global. A pesar de que el protocolo Kerberos le permite autenticar usuarios y aplicaciones en la red, debe tener en cuenta ciertas restricciones al definir sus objetivos de seguridad de la red:
El protocolo Kerberos no protege contra ataques de denegacin de servicio. Existen lugares en estos protocolos donde un intruso puede evitar que una aplicacin participe en los pasos de autenticacin apropiados. Es preferible dejar la deteccin y solucin de dichos ataques en manos de administradores y usuarios humanos. El proceso de compartir claves o el robo de claves puede permitir ataques de imitacin. Si de algn modo los intrusos logran robar la clave de un sujeto, podrn hacerse pasar por dicho usuario o servicio. Para minimizar esta amenaza, prohba a los usuarios compartir sus claves e incluya esta poltica en sus normas de seguridad. El protocolo Kerberos no protege contra las vulnerabilidades tpicas de las contraseas, como el adivinar una contrasea. Si un usuario escoge una contrasea sencilla, un pirata podra montar con xito un ataque de diccionario fuera de lnea intentando repetidamente descifrar mensajes que se han cifrado bajo una clave derivada a partir de la contrasea del usuario. Para garantizar que los usuarios seleccionan una contrasea segura, defina directrices para la eleccin de contraseas e inclyalas en su poltica de seguridad de la empresa. Para obtener ms detalles, consulte "Establecer reglas para las contraseas " en Consejos y herramientas iSeries 400 para proteger su iSeries 400.
Los archivos del protocolo Kerberos El protocolo Kerberos utiliza este tipo de archivos durante el procesamiento:
- Protocolos AAA:
55
Radius
56
RADIUS (acrnimo en ingls de Remote Authentication Dial-In User Server). Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812UDP para establecer sus conexiones. Cuando se realiza la conexin con un ISP mediante mdem, DSL, cablemdem, Ethernet o Wi-Fi, se enva una informacin que generalmente es un nombre de usuario y una contrasea. Esta informacin se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la peticin a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de red como una direccin IP, y otros parmetros como L2TP, etc. Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propsitos estadsticos. Las prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracin centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes)....
TACACS+
TACACS+ (acrnimo de Terminal Access Controller Access Control System, en ingls sistema de control de acceso del controlador de acceso a terminales) es un protocolo de autenticacin remota que se usa para gestionar el acceso (proporciona servicios separados de autenticacin, autorizacin y registro) a servidores y dispositivos de comunicaciones.
57
de la direccin IP del equipo, de la red de equipos del nombre del dominio del equipo del nombre de domnio que engloba a todos los equipos que le pertenecen.
Limitar el nmero de conexiones al servicio. Limitae el nmero de conexiones al servicio haciendo distincin entre mquinas y/o usuarios.
Contolar el tiempo mximo de inactividad Controlar el tiempo mximo de conexin activa en caso de atascos o bloqueos Controlar el tiempo mximo que se puede estar sin transferencias de informacin.
Auditora Nos permite llevar el control de las acciones sobre el servidor FTP. Se puede auditar:
58
Es posible tener sitios mixtos, para ello se mantiene el bloque descriptivo de los usuarios annimos y se elimina la directiva que evita todo acceso al servicio por parte de los usuarios del sistema.
- Servidores de autenticacin.
Un servidor de autenticacin es un dispositivo que controla quin puede acceder a una red informtica. Los objetivos son la autorizacin de autenticacin, la privacidad y no repudio. La autorizacin determina qu objetos o datos de un usuario puede tener acceso a la red, si los hubiere. Privacidad mantiene la informacin se divulgue a personas no autorizadas. No repudio es a menudo un requisito legal y se refiere al hecho de que el servidor de autenticacin puede registrar todos los accesos a la red junto con los datos de identificacin, de manera que un usuario no puede repudiar o negar el hecho de que l o ella ha tenido o modificado el datos en cuestin. Servidores de autenticacin vienen en muchas formas diferentes. El software de control de la autenticacin puede residir en un servidor de acceso a la red informtica, una pieza de router o de otro tipo de hardware para controlar el acceso a la red, o algn otro punto de acceso de red. Independientemente del tipo de mquina que aloja el software de autenticacin, el trmino servidor de autenticacin sigue siendo generalmente utilizado para referirse a la combinacin de hardware y software que cumple la funcin de autenticacin. Adems de las variaciones en el hardware, hay un nmero de diferentes tipos de algoritmos lgicos que pueden ser utilizados por un servidor de autenticacin. El ms simple de estos algoritmos de autenticacin es generalmente considerado como el uso de contraseas. En una aplicacin sencilla, el servidor de autenticacin slo puede almacenar una lista de nombres de usuario vlido y la contrasea correspondiente, y autenticar todos los usuarios que intentan conectarse a la red de acuerdo a esta lista. Kerberos es otro tipo de protocolo de autenticacin utilizado en muchos sistemas de Windows Server de autenticacin, por ejemplo, y en algunos de seguridad en lnea o sistemas de seguridad de Internet. Hay tres aspectos principales para la autenticacin Kerberos: la autenticacin de la identidad del usuario, el envasado seguro del nombre del usuario, y la transmisin segura de las credenciales del usuario en la red.
59
60
http://www-gris.det.uvigo.es/wiki/pub/Main/PaginaNST/SEC_III_NST.pdf http://www.inteco.es/Seguridad/Observatorio/Articulos/UD_Cortafuegos http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos www.it.uc3m.es/~lmiguel/ids2.pdf http://technet.microsoft.com/es-es/library/cc757996%28WS.10%29.aspx http://es.kioskea.net/contents/protect/dmz-cloisonnement.php3 http://seguinfo.wordpress.com/2010/01/07/zonas-desmilitarizadas-y-sistemas-decontrol/ http://www.solusan.com/que-es-una-dmz.html http://es.wikipedia.org/wiki/Protocolo_AAA http://es.wikipedia.org/wiki/TACACS%2B http://www.verisign.es/ssl/ssl-information-center/how-ssl-security-works/index.html http://technet.microsoft.com/es-es/library/cc759573.aspx http://es.tech-faq.com/tls-transport-layer-security.shtml http://www.wikilearning.com/articulo/protocolos_seguros_para_el_web http://leibniz.iimas.unam.mx/~yann/Crypto/Clase08.pdf http://foro.code-makers.es http://es.wikipedia.org/wiki/Transport_Layer_Security http://www.stunnel.org http://www.ekontsulta.net/ekontsulta/wiki/index.php/VPN#Ventajas_y_desventajas http://www.angelfire.com/stars4/alemzamayoa/presentacion.htm http://lular.es/a/Internet/2010/08/Que-es-un-servidor-de-autenticacion.html
61