04 - Telecommunications and Network Security - Bootcamp v2

CISSP Security Training Telecommunications and Network Security
Telecommunications and Network

Security
Agenda
Modelo de Referencia OSI

Redes de Datos
Protocolos de Transmisin
Topologas y Mtodos de Acceso
TCP/IP
Dispositivos LAN
Redes Privadas Virtuales (VPN)
Wireless LAN
Referencias y Lecturas Complementarias
Preguntas
CISSP Security Training - Telecommunications and Network Security 2

Copyright SIClabs

Security

(Open System Interconnection)
1
El inicio del desarrollo de las redes fue en cierto modo

catico. A comienzos de la dcada de 1980 se
produjo una tremenda expansin en esta rea.
A mediados de esa dcada comenzaron a sentirse las

primeras preocupaciones producto de esa expansin.
Cada vez era ms difcil que las redes que utilizaban
diferentes especificaciones pudieran comunicarse
entre s sin la necesidad de Gateways interlocutores.

Copyright SIClabs
Principios de Definicin de OSI
Para abordar este problema, la Organizacin

Internacional para la Normalizacin (ISO) investig
esquemas de redes existentes tales como SNA,
DECNET y TCP/IP.
Como resultado de esta investigacin, ISO reconoci la
necesidad de crear un modelo de red que pudiera
ayudar a los fabricantes a crear redes que pudieran
trabajar en forma compatible e interoperable con otras
redes.

Copyright SIClabs
Principios de Definicin de OSI (Cont.)
Modelo conceptual compuesto por siete capas

diferentes.
Desarrollado en 1984.
Describe la comunicacin entre dos aplicaciones
localizadas en computadoras diferentes, conectadas
entre s a travs de un medio fsico compartido.
Cada capa debe desarrollar una funcin bien definida.

Copyright SIClabs
2
Cada capa brinda servicios a la capa superior.

Las capas correspondientes a entidades pares (Capa
N de un computador con la Capa N de otro
computador) se comunican a travs de protocolos.
Un protocolo es un conjunto de reglas o normas que
establecen la forma en que dos computadores
conectados en red se comunicarn (Formatos,
Tcnicas de transmisin, etc.)

Copyright SIClabs
Cada capa, utiliza su propio protocolo para comunicar-

se con su capa par del otro sistema.
El protocolo de cada capa intercambia informacin,
llamada unidad de datos de protocolo (PDU) entre las
capas pares.
Una capa determinada puede utilizar un nombre ms
especfico para su PDU.

Copyright SIClabs

Copyright SIClabs
3
El modelo de referencia OSI se convirti rpidamente

en el modelo principal para las comunicaciones de red.
El modelo no es algo tangible. Se trata de un marco
conceptual que especifica las funciones de red que se
producen en cada capa.
En trminos simples, el modelo es una manera de
imaginar la forma en que la informacin (Encapsulada)
viaja a travs de las redes.

Copyright SIClabs

Copyright SIClabs

Security
Redes de Datos
4
Tipos de Redes de Datos
Local Area Network (LAN)

Wide Area Network (WAN)
Metropolitan Area Network (MAN)
Internet
Intranet
Extranet

Copyright SIClabs
Tecnologas
Local Area Networks (LAN).

Comprenden las dos primeras capas del modelo OSI:
capa fsica y capa de enlace de datos.
Abarcan un espacio geogrfico limitado.
Presentan Velocidades de Tx elevadas.
La organizacin es duea del medio fsico.
Utilizan su propio espacio de direccionamiento para
ubicar dispositivos. El sistema de direccionamiento es
plano. Medium Access Control (MAC).
Posee una Tasa de Errores (BER) baja.

Copyright SIClabs
Tecnologas (Cont.)
Wide Area Network (WAN).

Comprenden las tres primeras capas del modelo OSI:
capa fsica, capa de enlace de datos y capa de red.
Abarcan un espacio geogrfico amplio.
Presentan Velocidades de TX bajas en comparacin
con las LAN.
La organizacin no es duea del medio fsico, ste es
alquilado a una prestataria.
Sistema de direccionamiento jerrquico. Ej: IP.
Su Tasa de Errores (BER) es ms elevada que la de
una LAN.

Copyright SIClabs
5
Tecnologa LAN
El Instituto de Ingeniera Elctrica y Electrnica (IEEE)

es una organizacin profesional que define los
estndares de red.
Los estndares IEEE abarcan slo las dos capas
inferiores del modelo OSI, dividiendo la capa de
enlace de datos en dos partes:
Estndar LLC 802.2 (Control de Enlace Lgico)
independiente de la tecnologa.
Las partes especficas que dependen de la tecnologa de
acceso al medio fsico (Control de Acceso al Medio -
MAC).

Copyright SIClabs
Tecnologa LAN
Direcciones MAC
Capa de Enlace de Datos

Copyright SIClabs
Direcciones MAC
48 bits / 12 dgitos hexadecimales.

Los primeros 6 dgitos hexadecimales (24 bits de
mayor peso), se denominan Organization Unique
Identifier (OUI). Representan el proveedor del
dispositivo que lleva la direccin MAC y es asignado
por el IEEE.
Los ltimos 6 hexadecimales representan el nmero
de serie asignado por el fabricante.
Hay dos formatos para las direcciones MAC:
0000.0c12.3456 / 00-00-0c-12-34-56
Las direcciones MAC pueden ser enmascaradas.

Copyright SIClabs
6
Direcciones MAC (Cont.)
El esquema de direccionamiento es plano.

No puede haber dos direcciones fsicas iguales.
Esta direccin se encuentra almacenada en la Tarjeta
de Interfaz de Red o NIC.
La direccin se programa en un chip dentro de la
tarjeta NIC. Si se cambiara la tarjeta NIC de una
computadora, la direccin fsica de la estacin debera
cambiar por la de la nueva direccin MAC.

Copyright SIClabs

Security
Topologas
Topologas LAN
Bus
Todos los nodos estn conectados al mismo medio
fsico.
Anillo
Todos los nodos estn conectados
unidireccionalmente a un nodo vecino.
Estrella
Todos los nodos estn conectados directamente a un
dispositivo central.
Copyright SIClabs
7
Topologas LAN (Cont.)
rbol
Todos los nodos se conectan a un nodo padre y
pueden tener varios nodos hijos conectados a ellos.
Malla
Todos los nodos se conectan a todos los dems
nodos.
Malla Parcial
Similar a la malla, pero no todos los nodos se
conectan a todos los dems.
Copyright SIClabs
Topologas LAN Bus

Copyright SIClabs
Topologas LAN Anillo
Computadora
Anillo
Computadora Computadora
Computadora

Copyright SIClabs
8
Topologas LAN Estrella

Copyright SIClabs
Topologas LAN rbol

Copyright SIClabs
Topologas LAN Malla

Copyright SIClabs
9
Topologas LAN Malla Parcial

Copyright SIClabs

Security
Mtodos de Acceso
Mtodos de Acceso al Medio LAN
Ethernet
Estndares de Cable
Coaxial
10Base2 (Thinnet) cable coaxial
(185mts), 10 Mbps
10Base5 (Thicknet) cable coaxial
(500mts), 10 Mbps
UTP
nBaseT (10/100/1000 Mbps)
Fibra ptica (>1 Gbps)

Copyright SIClabs
10
Mtodos de Acceso al Medio LAN (Cont.)
Ethernet
IEEE 802.3
CSMA/CD
Diferentes velocidades:
10 Mbps (Ethernet clsica)
100 Mbps (Fast Ethernet)
1 Gbps (Gigabit Ethernet)
10 Gbps (10 Gigabit Ethernet)
Acceso no determinstico.
Se transmite por tramas.
El bus es asincrnico.

Copyright SIClabs
Frame Ethernet
PREAMBLE DEST SRC TYPE DATA FCS

(8) (6) (6) (2) (>46 <1500) (4)
PREAMBLE: 8 octetos compuestos por 0 y 1 intercalados

utilizados para sincronizar una trama.
DESTINATION ADDRESS: Direccin Ethernet hacia donde est
dirigida la trama.
SOURCE ADDRESS: Direccin Ethernet desde donde se origina
la trama.
TYPE: Indica el protocolo del nivel superior. Los cdigos estn
definidos en estndares.
DATA: Datos a transmitir. Debe superar los 46 bytes para que la
trama no sea considerada basura.
FRAME CHECK SEQUENCE (FCS): CRC de 32 bits que controla
la integridad de todos los campos excepto PREAMBLE.

Copyright SIClabs
Token Ring
IEEE 802.5
Token-passing
Todos los dispositivos estn conectados a un MSAU
(Multistation Access Unit), a veces referida como MAU
(Multiple Access Unit)
Dos velocidades diferentes: 4 Mbps / 16 Mbps
Acceso determinstico.
Se transmite durante un tiempo denominado Token
Holding Time.
El anillo es sincrnico.

Copyright SIClabs
11
Fiber Distributed Data Interface (FDDI)

Surge como necesidad para redes de alta velocidad.
LAN Token Ring Dual operando a 100 Mbps
Medio fsico: Fibra ptica
Un anillo activo, el otro se utiliza como respaldo.
Variante sobre cobre (CDDI).

Copyright SIClabs

Security
TCP/IP
Conceptos de TCP/IP
Transmission Control Protocol/ Internet Protocol.

TCP/IP refiere una suite completa de protocolos de
networking, desarrollados para el uso de Internet.
TCP y IP son dos de los protocolos ms importantes
de la suite.
TCP/IP provee los servicios necesarios para
interconectar dispositivos sobre redes heterogneas.
Independencia de la topologa de red subyacente, del
hardware de red y del sistema operativo.
Protocolos estandarizados (RFC).

Copyright SIClabs
12
Capas de Arquitectura de TCP/IP
Aplicaciones
Aplicacin
de Red
Servicios
Transporte
End to End
Ruteo Internet
Transmisin Acceso a la
fsica Red

Copyright SIClabs
Capa de Aplicacin
Corresponde a las 3 capas superiores del modelo de

referencia OSI (Sesin, Presentacin y Aplicacin).
Administra las funciones requeridas por los programas
de usuario.
Ejemplos: FTP (Transferencia de archivos), HTTP
(Web), SMTP (Correo), TELNET (Acceso remoto), etc.

Copyright SIClabs
Capa Transporte
Corresponde a la capa de Transporte de la OSI.

Provee conectividad extremo a extremo entre el
origen de datos y el destino.
Asegura la entrega de datos libre de errores.
Realiza control de flujo.
Maneja el secuenciamiento de los datos.
Mantiene la integridad de los datos.

Copyright SIClabs
13
Capa Internet
Corresponde a la capa de Red del modelo OSI.

Define el esquema de direccionamiento lgico del
conjunto de protocolos (Direcciones de 32 bits).
Provee servicio de enrutamiento entre sistemas
intermedios.

Copyright SIClabs
Capa de Acceso a la Red
Se corresponde con las dos capas ms bajas del

modelo de referencia OSI (Fsica y Enlace de Datos).
Define el acceso fsico y lgico a la red.

Copyright SIClabs
OSI y TCP/IP
Aplicacin
Presentacin Aplicacin
Sesin
Transporte Transporte
Red Internet
Enlace de Datos
Acceso a la Red
Fsica

Copyright SIClabs
14
Protocolos Principales de TCP/IP
FTP TELNET SMTP

TFTP NFS NTP
Aplicacin SNMP NNTP DNS
BOOTP DHCP HTTP
X-windows
Host-a-Host TCP UDP
Internet IP
Ethernet
Acceso a la Red Token Ring
FDDI

Copyright SIClabs
Direccionamiento IP
Separa la direccin en dos campos

Direccin de Red (parte del camino usado para rutear).
Direccin del Host (dispositivo especfico en la red).
Se usa el concepto de mscara para definir cuntos
bits se dedican para cada parte.
La notacin que se emplea para representar la mscara
comprende tanto al sistema decimal como al sistema
Bits Count.
La mscara se escribe indicando con 1 cuntos bits de
la direccin le corresponden a la direccin de red.
255.255.255.0 es equivalente a escribir /24, 255.128.0.0
es equivalente a /9.

Copyright SIClabs
Direccionamiento IP (Cont.)
Para obtener una direccin de red, se realiza una

operacin lgica AND entre la Dir IP y la mscara
correspondiente.
NETWORK HOST
ADDRESS ADDRESS
n bits n+m=32 m bits
.5 .6 .7 .10
10.1.1.0 /24 200.1.1.0 /16 INTERNET

.1

Copyright SIClabs
15
Direcciones IP
Histricamente se definieron rangos de direcciones

segn el valor del primer octeto:
Clase A: 8 bits de mscara. 1 a 126.
Clase B: 16 bits de mscara: 128 a 191.
Clase C: 24 bits de mscara: 192 a 223.
Clase D: Multicast. 224 a 239.
Clase E: Reservada. 240 a 247.

Copyright SIClabs
Direcciones IP (Cont.)
Bit 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
Clase A 0 Network ID Host ID
Clase B 1 0 Network ID Host ID
Clase C 1 1 0 Network ID Host ID
Clase D 1 1 1 0 Multicast
Clase E 1 1 1 1 0 Reservado
Bit 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Copyright SIClabs
Direcciones Especiales
Se reservaron rangos de direcciones dentro de

cada clase para la asignacin de redes privadas
(Sin conexin con Internet RFC 1918).
10.0.0.0 a 10.255.255.255 (1 Clase A).

172.16.0.0 a 172.31.255.255 (16 Clases B).
192.168.0.0 a 192.168.255.255 (256 Clases C ).

Copyright SIClabs
16
Direcciones Especiales (Cont.)
Host ID = todos 0 esta red

Host ID = todos 1 broadcast dentro de esta red
200.32.6.0 Direccin de red 200.32.6.0
200.32.6.255 Direccin de broadcast de la red
200.32.6.0
127.0.0.1 loopback
255.255.255.255 Broadcast a nivel IP

Copyright SIClabs
Subnetting
Aumenta el control sobre el espacio de direcciones IP.

Mejor performance de red.
Esconde la estructura de ruteo a los usuarios remotos.
Aumenta la seguridad.
Se forma Tomando prestados bits de hosts.
Regla para subredes:
Cant. de subredes = 2n - 2
Cant. de hosts = 2m - 2
Con n = Cant. de bits de hosts que se usaron.
Con m = Cant. de bits de hosts que quedaron.

Copyright SIClabs
Como Asignar una Subred?
Divide el Host ID en dos partes:

Direccin de la Subred Utilizado para identificar
diferentes subredes.
Direccin del Host Utilizado para identificar hosts
pertenecientes a una subred especfica.
Host ID
Network ID Direccin Subred Direccin de Host
elegir tamao apropiado

Copyright SIClabs
17
Mscara de Subred
Nmero de 32 bits, le dice al router como reconocer el

campo de subred ubicado en el Host ID de la
direccin IP. Tambin se usa la notacin Bits Count.
Regla de Subred: Los bits que cubren la parte de red
y subred de una direccin estn establecidos en 1

Copyright SIClabs
Internet Protocol (IP)
No orientado a la conexin: No asegura que los

paquetes enviados lleguen. Deja esta tarea a capas
superiores.
Maneja el ruteo de los paquetes en la red.
Direccionamiento jerrquico.
Fragmentacin.
Multiplexado de distintos protocolos de layer 3.
TOS (clase de servicio).

Copyright SIClabs
Header IP

Copyright SIClabs
18
Address Resolution Protocol
Provee el mecanismo para asociar en forma dinmica

una direccin de enlace con una direccin de red
conocida. Se utiliza generalmente para asociar MAC
con IP en redes Ethernet.
Se distribuye por broadcast. Llega a todos los hosts
en el mismo dominio de broadcast.
Las direcciones MAC que se averiguan por accin de
este protocolo, se almacenan en una tabla residente
en memoria cache durante un tiempo determinado
(ARP Cache).

Copyright SIClabs
Funcionamiento de ARP
Si la mquina .6 desea comunicarse con la .5 sigue los siguientes

pasos:
Se fija en su cache si conoce una MAC para 10.1.1.5
Si no la conoce, manda un paquete ARP pidindole a la mquina que
responda qu MAC posee.
Si existe la mquina en la misma red de broadcast, esta responde
indicando su MAC.
La respuesta de la .5 se almacena en la tabla ARP para futuro uso.
.5 .6 .7
ARP
ARP 10.1.1.0 / ARP

24
Reply

Copyright SIClabs
Internet Control Message Protocol
Funcin de ICMP
Un nodo que reconoce un problema de transmisin
genera mensajes ICMP.
ICMP provee algunos diagnsticos tiles sobre la
operacin e la red (ping, traceroute).

Copyright SIClabs
19
Tipos ICMP
tipo cdigo significado

0 0 echo reply
3 0 network is unreachable
3 1 host is unreachable
3 3 port is unreachable
4 0 source quench
5 0 redirect
8 0 echo request
9/10 0 router discovery/ advertisement
11 0 time exceeded
12 0 parameter problem
13/14 0 time stamp request
17/18 0 network mask request/ reply

Copyright SIClabs
Protocolos de Transporte
Transmission Control Protocol (TCP).

User Datagram Protocol (UDP).

Copyright SIClabs
Puertos
Una direccin de 16 bits ubicada en la capa

transporte.
UDP y TCP utilizan direccionamiento de puertos para
entregar informacin a las aplicaciones.
Asignacin de Puertos
0 No utilizado
1-255 Reservado para servicios bien
conocidos
256-1023 Otros puertos reservados
1024- 65535 Puertos libres definidos por el usuario

Copyright SIClabs
20
Sockets
Es la combinacin de una direccin IP y un nmero de

puerto, utilizando un protocolo de transporte.
Ejemplo: 53.12.1.56:21
Direccin IP 53.12.1.56
Puerto # 21 (FTP)
La direccin IP es nica.
Un puerto es nico en un nodo.

Copyright SIClabs
TCP
Orientado a conexin. Requiere una negociacin

previa antes de poder transmitir los datos (Saludo de
tres vas o Handshaking).
Existe un control de los paquetes que se envan. Se
retransmiten los paquetes perdidos, se eliminan los
paquetes duplicados y se ordenan antes de pasarle
los datos a la capa superior.
Las conexiones deben ser unicast, o sea peer to
peer. No soporta comunicacin desde o hacia
broadcast.

Copyright SIClabs
TCP (Cont.)
Maneja el concepto de puerto para multiplexar

varias conexiones entre dos hosts.
Los datos se envan en un stream, no
necesariamente en un solo paquete. Pueden
enviarse datos urgentes, que son procesados con
prioridad.
La conexin es full-duplex.

Copyright SIClabs
21
Header TCP (Cont.)

Copyright SIClabs
User Datagram Protocol (UDP)
No orientado a la conexin. Los datos se transmiten

sin un previo acuerdo entre las partes.
No existe control sobre los paquetes enviados. Los
errores de transmisin deben resolverse a nivel
aplicacin. Los paquetes UDP pueden duplicarse,
perderse o llegar en desorden.
Permite la transmisin a direcciones de broadcast.
Incorpora el concepto de puerto para multiplexar
varias conexiones independientes entre dos hosts.

Copyright SIClabs
Header UDP

Copyright SIClabs
22
Aplicaciones
Telnet
SSH
File Transfer Protocol (FTP)
Trivial File Transfer Protocol (TFTP)
Domain Name System (DNS)
Hyper-Text Transfer Protocol (HTTP)
Simple Mail Transfer Protocol (SMTP)
Simple Network Management Protocols (SNMP), etc.

Copyright SIClabs

Security
Dispositivos LAN
Dispositivos LAN
Los dispositivos de networking son productos que se

utilizan para materializar la conectividad en redes.
Conectan un nmero mayor de nodos a la red.
Aumentan la distancia sobre la cual puede extenderse
una red.
Localizan el trfico de la red.
Pueden fusionar redes existentes.
Pueden aislar problemas de red, de modo que sea
ms fcil su diagnstico.

Copyright SIClabs
23
Hub
Los repetidores multipuerto se denominan

comnmente HUBS o concentradores.
Acta como centro de una red con topologa estrella.
Al igual que los repetidores operan en la capa 1 del
modelo OSI.

Copyright SIClabs
Hub (Cont.)
La desventaja de utilizar un Hub/Repeater es que ste

no puede filtrar trfico de la red. Los datos que llegan
a un puerto salen a todos los dems puertos.
En otras palabras, los datos son transferidos por el
Hub a todos los otros segmentos de LAN de una red,
independientemente de que necesiten llegar all o no.
Si los segmentos de una red slo estn conectados
por medio de Hubs, puede dar origen a que ms de
un usuario intente enviar datos a travs de la red al
mismo tiempo, lo que originar COLISIONES.

Copyright SIClabs
Switch
Un switch opera en la capa 2 del modelo OSI.

Divide la red en segmentos por cada puerto fsico que
posee y proporciona a cada segmento un ancho de
banda dedicado.
Internamente posee un circuito de alta velocidad de
conmutacin. Cuando un nodo transmite un paquete,
el switch direcciona parte de su ancho de banda para
crear una conexin privada entre el puerto de Tx y Rx.
Como crea una conexin privada entre los puertos, un
nodo no debe esperar a que finalice la Tx de otro para
poder transmitir.
Copyright SIClabs
24
LAN Virtual (VLAN)
Los switches ofrecen una segmentacin lgica,

tambin llamada VIRTUAL LAN (VLAN).
Para crear una VLAN, se debe configurar cada puerto
del switch como miembro de una LAN virtual (802.1q).
El switch no permite el paso de broadcast entre
VLANs.
Si una mquina que est conectada a un puerto de la
VLAN A transmite un broadcast, el paquete slo
llegar a los puertos que estn configurados como
miembros de esa LAN Virtual.

Copyright SIClabs
LAN Virtual (VLAN) (Cont.)

Copyright SIClabs
Router
Estos dispositivos envan paquetes entre las redes en

base a la informacin de protocolo de la capa 3 del
modelo OSI.
Los routers tienen la capacidad de tomar decisiones
respecto de cul es la mejor ruta para entregar los
datos a travs de la red.

Copyright SIClabs
25
Router (Cont.)
Los routers se utilizan para conectar dos o ms redes.

Para que el enrutamiento sea exitoso, cada red debe
tener un nmero nico.
La informacin de enrutamiento puede ser Esttica
(Configurada por el Admin) o Dinmica (Protocolos
de Enrutamiento).
Este nmero de red nico est incorporado en la
direccin IP asignada a cada dispositivo conectado a
la red.

Copyright SIClabs
Rutas Estticas y Dinmicas
Rutas Estticas
Son rutas que un Administrador de Red configura o
define en un router.
Rutas Dinmicas
Son rutas que un protocolo de enrutamiento ajusta o
calcula automticamente debido a cambios en la
topologa de red o debido al trfico.

Copyright SIClabs
Protocolos Enrutados y de Enrutamiento
Protocolo Enrutado
Es el protocolo bajo el cual se encuentra el trfico del
usuario que se transporta entre routers (Ej. IP, IPX, etc.)
Protocolo de Enrutamiento
Es el protocolo utilizado para definir la mejor ruta de
comunicacin. (Ej. RIP, OSPF, etc.)

Copyright SIClabs
26
Mtricas de Enrutamiento
Ancho de Banda
Retardo
Confiabilidad
Carga
MTU (Unidad de Transferencia Mxima)
Hop Count
Policy
Dinero
El costo de una ruta es funcin de la mtrica:

Costo = f (mtrica)

Copyright SIClabs

Security
Firewalls
Problemtica
La mayora de las empresas sufren la problemtica de

seguridad debido a sus necesidades de acceso y
conectividad con:
Redes Pblicas
Internet
Acceso Remoto
Proveedores
Partners
Red corporativa

Copyright SIClabs
27
Permetro Interno y Externo
Cuando implementemos un Firewall, por lo menos

encontraremos dos permetros claramente definidos
Permetro interno: donde se sitan todos los

recursos sensibles a un posible ataque.
Permetro externo: donde se sitan los
recursos menos sensibles que necesitan ser
accesibles desde la red externa por motivos
funcionales.
La red interna y externa deben estar aisladas entre si, por

medio de un dispositivo que haga de firewall donde se
implementarn las reglas de acceso.
Copyright SIClabs
Firewalls
Principios de Diseo:
Todo el trfico de adentro hacia fuera, y viceversa debe
pasar a travs del Firewall.
Solamente el trfico autorizado, definido en la Poltica
de Seguridad Local, debe poder pasar por el Firewall.
El Firewall debe ser inmune a accesos no autorizados.

Copyright SIClabs
Firewalls (Cont.)
Limitaciones:
Un Firewall no protege contra ataques que no pasan por
el mismo. Ej.: lneas dial-up.
Un Firewall no protege contra lo que no sabe analizar.
Un Firewall no protege contra amenazas internas.
Un Firewall no pretege contra ataques de contenido
malicioso (Ej.: Virus, Troyanos, Keylogger, etc.).
Un Firewall no protege el robo de informacin por parte
de empleados.

Copyright SIClabs
28
Firewalls - Reglas de Configuracin
Poltica Restrictiva:
Todo aquello que no fue expresamente permitido, se

prohbe.
Se debe diferenciar de una Poltica Permisiva:
Todo aquello que no fue expresamente prohibido, se

permite.

Copyright SIClabs
Tipos de Firewalls
Firewalls de Filtrado de Paquetes (Screening router).

Primera generacin de Firewalls .
Capas 3 (Red) y 4 (Transporte) del modelo de referencia
OSI.
Utiliza direcciones de red (IP) y nmeros de puertos.

Copyright SIClabs
Tipos de Firewalls (Cont.)
Firewalls de Capa de Aplicacin (Proxy Server).

Segunda generacin de Firewalls.
Capa 7 (Aplicacin) del modelo de referencia OSI.
Acta como un intermediario (proxy) entre la un host
localizado red externa (insegura) y otro dentro de la red
interna (segura).
Uso intensivo de recursos, degrada la performance de la red.

Copyright SIClabs
29
Firewalls de Inspeccin de Estados (Stateful

Inspection).
Tercera generacin de Firewalls.
Los paquetes de datos son capturados por un motor de
inspeccin.
Todas las capas del modelo de referencia OSI.

Copyright SIClabs
Firewalls de Filtrado Dinmico de Paquetes.

Cuarta generacin de Firewalls.
Permite la modificacin de las reglas de seguridad del firewall
como respuesta a determinados eventos.
Mayormente utilizado para proveer soporte limitado a UDP.
Por un perodo corto de tiempo el firewall recuerda todos los
datagramas UDP que cruzaron el firewall y, as decide si
permite o no el paso de nuevos datagramas.

Copyright SIClabs
Arquitecturas
De acuerdo al diseo de nuestra red y los elementos de

seguridad que incorporemos, podemos definir las
siguientes arquitecturas de firewall:
Gateway de doble conexin.

Host protegido.
Subred protegida.
Todas estas arquitecturas persiguen el mismo objetivo,

controlar el acceso desde una red externa, asociada
con un ambiente inseguro y de cuyas amenazas nos
queremos proteger.

Copyright SIClabs
30
Gateway de Doble Conexin
Una implementacin de firewall a travs de un

gateway de doble conexin (dual-homed gateway) se
obtiene instalando un sistema segurizado entre la red
privada e Internet.
Debe deshabilitarse el ruteo IP.
Los host de la red interna e Internet no pueden
comunicarse si no es por el gateway.
Filtrado y anlisis en el gateway.

Copyright SIClabs
Gateway de Doble Conexin (Cont.)
Dual-Homed Host Firewall
Multi-homed
Bastion Host
Untrusted Network Trusted Network

External Router Internal Router

Copyright SIClabs
Host protegido (Bastion)
Brinda servicios a las estaciones a travs de un

sistema que est localizado en la red interna, que
generalmente se denomina Screened Host o Bastion
Host, donde se implementan proxies para las
aplicaciones autorizadas.
La arquitectura se completa agregando funciones de
filtrado al firewall o router de borde que nos conecta
con la red exterior.
Las conexiones de la red externa slo pueden ser
dirigidas al bastion host, donde pueden ser
procesadas por un proxy y controladas por reglas de
filtrado.
Copyright SIClabs
31
Host protegido (Bastion) (Cont.)
Screened-Host Firewall Systems
Bastion Host

External Router

Copyright SIClabs
Zona Desmilitarizada (DMZ)
La arquitectura Screened Subnet, tambin conocida

como red de permetro o simplemente DMZ, aade un
nivel de seguridad en las arquitecturas de firewalls,
situando una subred entre las redes externa e interna,
de forma que se consiguen reducir los efectos de un
ataque exitoso.

Copyright SIClabs
Zona Desmilitarizada (DMZ) (Cont.)
Screened-Subnet Firewalls (with a DMZ)
DMZ
Multi-homed
Bastion Host

External Router Internal Router

Copyright SIClabs
32
Firewalls Personales
Uso simple y alto nivel de proteccin.

Wizards de configuracin bsica.
Ideal para conexiones dial-up y banda ancha a
Internet.
El software va aprendiendo sobre el nuevo trfico y
preguntando al usuario (pop-up).
Informa sobre nuevas conexiones salientes o
entrantes, permitiendo la creacin de reglas.
Por defecto todo lo que no est permitido est
prohibido.

Copyright SIClabs

Security
Redes Privadas
Virtuales (VPN)
Redes Privadas Virtuales
Una Red Privada Virtual (VPN), no es ms que una

red privada de comunicaciones, implementada sobre
una infraestructura pblica o semipblica.
Valindose de diferentes tecnologas, como ser
protocolos de comunicacin, servicios de cifrado y
encapsulamiento, una VPN crea un pasillo privado a
travs de una red pblica, con el objeto de
interconectar dos extremos en forma segura.

Copyright SIClabs
33
Redes Privadas Virtuales (Cont.)
En un principio, aquellas empresas que requeran

establecer algn tipo de comunicacin de datos con
sus socios de negocio, casa matriz o sucursales,
recurran a complejas y costosas soluciones que
involucraban Enlaces Dedicados o redes del tipo
Frame Relay.
De la misma forma, aquellos agentes o empleados
que por sus tareas deban realizar conexiones
remotas a su sede central, vean en la implementacin
de sistemas del tipo Dial-Up o de acceso discado, la
solucin a su problema.

Copyright SIClabs
Ventajas
Bajo Costo.
Baja Inversin Inicial.
Accesibilidad.
Escalabilidad.
Seguridad Integrada.

Copyright SIClabs
Limitaciones
Sobrecarga del Cliente.

Complejidad de Trfico.
Dependencia de medios no fiables.

Copyright SIClabs
34
Implementaciones
Remote Access VPN

Las VPN de Acceso Remoto, suelen ser consideradas
la evolucin natural, de aquel tipo de conexiones tan
frecuentemente utilizadas.
LAN-to-LAN VPNs
Este tipo de conexin representa una evolucin
respecto de la utilizacin de Lneas Punto a Punto o
del tipo Frame Relay. De hecho, una VPN LAN-to-
LAN o Site-to-Site, suele ser referida como una
extensin de las clsicas redes WAN.

Copyright SIClabs
IPSec
Segn lo definido oportunamente por el IETF, IPSec es

un conjunto de estndares abiertos, tendientes a
asegurar la privacidad y seguridad de las
comunicaciones sobre redes IP, por medio del uso de
servicios criptogrficos.
Cuando IETF hace mencin a estndares abiertos, se
refiere a que a diferencia de otros mtodos de
comunicacin segura, IPSec no se encuentra limitado a
algn sistema o algoritmo de autentificacin o encripcin
en particular.

Copyright SIClabs
IPSec (Cont.)
El conjunto de servicios de seguridad ofrecidos por

IPSec, incluye:
Confidencialidad
Integridad
Autenticacin del origen de datos
Anti-Replay
No repudio (Cuando se utiliza Firma Digital como medio de
autenticacin)

Copyright SIClabs
35
IPSec (Cont.)
Una de las particularidades de IPSec, es que a

diferencia de alguno de los viejos conjuntos de
estndares, en los cuales la seguridad se aplicaba sobre
la capa de aplicacin del modelo OSI, IPSec hace lo
propio en la capa de red.
Al funcionar de esta forma, se convierte en una solucin
sumamente transparente en relacin a las aplicaciones.

Copyright SIClabs
IPSec (Cont.)
IPSec se ha transformado en la actualidad, en el mtodo

obligado, a la hora de implementar sistemas del tipo
VPNs.
Dependiendo de los servicios de IPSec a implementar y
del propsito de dicha implementacin, el modo indicado
para cada caso, podra variar entre:
Modo Tnel (GW a GW)
Modo Transporte (Host a Host)
Los protocolos de seguridad que pueden ser utilizados
con IPSec son:
Autentication Header (AH)
Encapsulating Security Payload (ESP)

Copyright SIClabs
Modo Tnel vs Modo Transporte
Tunnel mode
Joes PC HR Server
Transport Mode
La figura muestra la proteccin brindada por IPSec en

modo tnel y en modo transporte, sobre un escenario
bsico.

Copyright SIClabs
36
Autentication Header
AH (IP Autentication Header o Cabecera de

Autenticacin IP), definido en el RFC 2402, es utilizado
en IPSec a fin de proveer integridad y autenticacin del
origen de datos para los datagramas IP. Opcionalmente
puede proporcionar proteccin a la rplica.
Puesto que el valor de algunos campos de la cabecera
IP puede cambiar en trnsito, AH no puede protegerlos,
lo que ocasiona que el paquete en poder del receptor
puede no ser fiable.

Copyright SIClabs
Autentication Header (Cont.)
A diferencia de ESP (IP Encapsulating Security Payload),

AH no provee encripcin y por ende confidencialidad,
como parte de su funcionamiento.
AH, se identifica en IPv4, con el valor 51 en el campo
protocolo.
Los servicios de autenticacin e integridad, son
provistos por HMAC por medio de la utilizacin de MD5
o SHA

Copyright SIClabs
Encapsulating Security Payload
ESP, se encuentra definido en el RFC 2406 y es

utilizado para proveer privacidad o confidencialidad a
datagramas IP por medio de la encripcin.
Adicionalmente, puede brindar autenticacin del origen
de datos, integridad y proteccin a la rplica.
Se encuentra definido con el identificador 50 en relacin
al protocolo IP.

Copyright SIClabs
37
Encapsulating Security Payload (Cont.)
El algoritmo de encriptacin utilizado por ESP, puede

ser DES, 3DES o AES.
Los servicios opcionales de autenticacin e integridad,
son provistos por HMAC por medio de la utilizacin de
MD5 o SHA.

Copyright SIClabs
Ejemplo: ESP Modo Transporte
Un header y trailer ESP es insertado en el paquete

original.
IP HDR DATA
Encrypted
IP HDR ESP HDR DATA ESP

Copyright SIClabs
Ejemplo: ESP Modo Tnel
Un header y trailer ESP es agregado al paquete

original.
IP HDR DATA
Tunnel HDR
Encrypted
New IP HDR ESP HDR IP HDR DATA

Copyright SIClabs
38
Asociacin de Seguridad
Es sin lugar a dudas, uno de los conceptos bsicos

dentro del mundo IPSec.
Una SA representa un conjunto de polticas y claves
utilizadas para proteger los datos involucrados en una
comunicacin IPSec.
Puede ser definida como una conexin lgica
unidireccional entre dos puntos extremos.
Todo el trfico asociado a una SA recibe el mismo
procedimiento de seguridad.

Copyright SIClabs
Ejemplo de una Asociacin de Seguridad
SADB SADB
A to B; SPI=2001
A to B; SPI=2001
ESP/DES/SHA-1
ESP/DES/SHA-1
keys K1, K2, ...
keys K1, K2, ... B
lifetime=3600s
lifetime=3600s
B to A; SPI=2002
B to A; SPI=2002
ESP/DES/SHA-1
ESP/DES/SHA-1
keys K6, K7, ...
keys K6, K7, ...
lifetime=3600s
lifetime=3600s
CPE
CPE
2001
Service Provider Backbone

Copyright SIClabs
Internet Key Exchange
IKE (Internet Key Exchange - RFC 2409) permite

negociar en forma automtica las SA de IPSec,
permitiendo su utilizacin sin pre-configuracin manual.
Este esquema de manejo automtico de claves es
necesario para el servicio antireplay, ya que en el mismo
se debe cerrar la SA actual y abrir una nueva en
determinada situacin, para evitar el ciclado del
contador de secuencia.

Copyright SIClabs
39
Internet Key Exchange (Cont.)
IKE se encuentra basado en:
ISAKMP (Internet Security Association and Key

Management Protocol): Provee un marco de trabajo
para la autenticacin y el intercambio de claves.
OAKLEY: Describe una serie de intercambios de claves
llamados modos.
SKEME: Proporciona una tcnica sumamente verstil
de intercambio de claves.

Copyright SIClabs
Autenticacin IKE
Los mecanismos de seguridad de IPSec, se basan en

que las entidades deben establecer una negociacin
inicial, mediante la cual ambas partes se ponen de
acuerdo en cuanto a los algoritmos criptogrficos, claves
y otros parmetros a utilizar en una comunicacin
segura.
Puesto que esta negociacin, no puede ser llevada a
cabo a nivel de la capa de red, se debe recurrir a
protocolos de nivel superior como IKE.

Copyright SIClabs
Autenticacin IKE (Cont.)
El proceso de autenticacin provisto por IKE compren-

de:
Autenticacin con clave pre-compartida
Autenticacin con encriptacin de clave pblica

Copyright SIClabs
40
IPSec
Es posible identificar dos fases que permiten establecer

un canal seguro entre dos extremos:
Fase I: Se utiliza para establecer una asociacin de
seguridad ISAKMP. Las entidades realizan una negociacin
inicial fin de asegurar el canal de datos.
Fase II: Tiene como objetivo establecer la asociacin de
seguridad IPSec. Por medio de este dilogo, se acuerda
entre las partes el tipo de protocolo a utilizar (AH o ESP), el
modo (Tnel o Transporte) y algunos de los algoritmos
involucrados (3DES, MD5, SHA, etc.)

Copyright SIClabs
Modos de Establecimiento
A lo largo de las dos fases de negociacin, es posible

identificar al menos tres modos de establecimiento
diferentes, de los cuales dos son exclusivos de la Fase I,
mientras que el tercero lo es de la Fase II:
Modo Principal: Este modo slo debe ser utilizado en la
Fase I del intercambio IKE. El modo principal, posee tres
etapas en donde se intercambian en primer lugar, los
algoritmos de autenticacin y hashing a utilizar; en segundo
lugar las claves pblicas, y por ltimo se comprueba,
mediante un secreto compartido, la autenticidad del otro
extremo. El proceso completo, utiliza 6 mensajes divididos en
3 pares.

Copyright SIClabs
Modos de Establecimiento (Cont.)
Modo Agresivo: Debe ser utilizado, al igual que el modo

principal, en la Fase I del intercambio IKE. El intercambio de
parmetros de IKE SA se realiza sin encriptacin. De esta
forma, se consigue que dicho intercambio, se realice en
forma mucho ms rpida, aunque los riesgos son mayores.
Se minimiza el nmero de mensajes transmitidos (3 contra
los 6 del Modo Principal).
Modo Rpido: Este modo debe ser utilizado slo como parte
de la Fase II, una vez establecido un canal seguro (Fase I) .
Es el utilizado a la hora de intercambiar parmetros en torno
a una Asociacin de Seguridad, como son el tipo de
protocolo a emplear (AH, ESP), as como los algoritmos
correspondientes.

Copyright SIClabs
41
Proceso de Conexin
En resumen, el proceso general de una conexin

IPSec podra verse como un circuito de tres pasos:
Se arranca una conexin ISAKMP SA utilizando el Modo
Principal o el Modo Agresivo.
Se utiliza el Modo Rpido para negociar una SA, utilizando
la IKE SA establecida.
Se utilizan los mtodos, algoritmos y claves establecidos en
la SA para la comunicacin de datos entre los puntos, hasta
la expiracin de la SA gobernante.

Copyright SIClabs

Security
Wireless LAN
Introduccin WLAN
Una red de rea local inalmbrica (WLAN) proporciona

todas las funcionalidades y beneficios de las tecnologas
LAN tradicionales, sin las limitaciones que imponen los
cables.
Sin embargo, una WLAN requiere de un medio por

donde se desplace la seal de transmisin, en lugar de
usar pares de cobre trenzados o fibra ptica, las WLAN
usan radiofrecuencias (RF) o luz infrarroja.

Copyright SIClabs
42
Introduccin WLAN (Cont.)
El uso de RF es la tcnica ms popular, alcanzando

rangos que permiten cubrir amplias zonas, contando
adems con un ancho de banda considerable para una
mejor transmisin.
WLAN utiliza las frecuencias de 2,4 Ghz y 5 Ghz, estas

porciones del espectro de RF se encuentran reservadas
en la mayor parte del mundo y no necesitan
licenciamiento.

Copyright SIClabs
Caractersticas WLAN
En la actualidad la tecnologa wireless goza de las

siguientes caractersticas:
Soporta velocidades de transferencia de datos mayores que
a sus inicios.
El costo de los dispositivos ha bajado considerablemente.
Los problemas de interoperabilidad han sido solucionados.
Por todo lo anterior, las WLAN constituyen una opcin

recomendable para resolver la conectividad entre nodos.

Copyright SIClabs
Componentes WLAN
Adaptadores para clientes.

PCI
PCMCIA
USB
Access Point (AP)
Routers Inalmbricos Banda Ancha
Antenas
Omnidireccionales
Direccionales

Copyright SIClabs
43

Security
Seguridad Bsica en
WLAN
Vulnerabilidades
Tecnologa
TCP/IP
SSID y WEP
Proceso de asociacin
Interferencia inalmbrica
Configuracin
Passwords predeterminadas
Servicios innecesarios
Pocos o ningn filtro
Polticas
Poltica de Seguridad dbil
Ninguna Poltica de Seguridad
Incumplimiento de las Polticas
Acceso fsico
Supervisin pobre o no existente
Copyright SIClabs
Amenazas
Internas
Externas
Estructuradas
No Estructuradas

Copyright SIClabs
44
Ejemplo: Reconocimiento y Acceso

Copyright SIClabs
Ejemplo: Denegacin de Servicio (DoS)

Copyright SIClabs
Consideraciones de Seguridad
Autenticacin: Slo deberan estar permitidos usuarios

y dispositivos autorizados.
Encriptacin: El trfico debera estar protegido de

accesos no autorizados.
Seguridad de la Administracin: Slo usuarios

autorizados deberan poder acceder y configurar las
distintas interfaces del AP.

Copyright SIClabs
45
Requerimientos de Seguridad para las WLANs

Primera generacin
SSID
Autenticacin MAC La tecnologa inalmbrica es como tener
un RJ45 en mi estacionamiento.
WEP esttico de 40 o 128 bits
Segunda generacin
Autenticacin centralizada en
servidores AAA (RADIUS)
WEP dinmica de 128 bits
VPN
Listas de control de acceso
Actualidad
802.1x
TKIP
MIC
AES
Deteccin de APs clandestinos
Copyright SIClabs
Service Set IDentifier
Permite conectarse a una red inalmbrica

Est compuesto por un mximo de 32 caracteres
alfanumricos
Es sensible a maysculas y minsculas (Case Sensitive)
Podemos hallarlo en:
Balizas (Beacon)
Solicitudes de sonda
Respuestas de sonda
Solicitudes de asociacin y reasociacin

Copyright SIClabs
Autenticacin MAC
Mecanismo de autenticacin dbil.

Las direcciones MAC se envan sin encriptar.
Las direcciones MAC pueden ser capturadas y
enmascaradas.

Copyright SIClabs
46
WEP
WEP usa claves.
WEP codifica las
comunicaciones entre AP y
clientes.
El AP y el cliente deben
usar las mismas claves
WEP.
Las claves WEP encriptan
unicast y broadcast
Basado en el algoritmo
simtrico RC4
WEP es atacado con
facilidad
Copyright SIClabs
Autenticacin 802.1x
Autenticacin Mutua
Radius
Server AP
EAP-TLS
EAP-Seguridad de Capa de Transporte
Implementacin de la Autenticacin Mutua
Utiliza certificados digitales
LEAP
EAP Liviano Client
Usa One Time Passwords (OTP)
Soportado por casi todos los principales SO
PEAP
EAP Protegido
Utiliza certificados o One Time Passwords (OTP)
Soportado por Cisco, Microsoft y RSA

Copyright SIClabs
Recomendaciones de Seguridad
TKIP / WPA
Sucesor de WEP
TKIP es parte de Wi-Fi Protected Access (WPA)
AES
Es el Gold Standard de la encriptacin
AES es parte del estndar 802.11i (AES se incluye en WPA2)
Incrementar la seguridad mediante el uso de filtros

(ACL)
Considerar a las VPNs como alternativa o

complemento

Copyright SIClabs
47

Security
Referencias y Lecturas
Complementarias
Referencias y Lecturas Complementarias
CISSP All-in-One Exam Guide, Third Edition (All-in-One)

By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP Exam
By Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold Edition
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training Guide
By Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.org
By Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&A
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition
By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
CISSP: Certified Information Systems Security Profesional Study Guide,
Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

Copyright SIClabs

Security
Preguntas?
48

04 - Telecommunications and Network Security - Bootcamp v2

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

04 - Telecommunications and Network Security - Bootcamp v2

Hochgeladen von

Copyright:

Verfügbare Formate

CISSP Security Training Telecommunications and Network Security

Telecommunications and Network

Modelo de Referencia OSI

CISSP Security Training - Telecommunications and Network Security 2

Telecommunications and Network

Modelo de Referencia OSI

Modelo de Referencia OSI

El inicio del desarrollo de las redes fue en cierto modo

A mediados de esa dcada comenzaron a sentirse las

CISSP Security Training - Telecommunications and Network Security 4

Principios de Definicin de OSI

Para abordar este problema, la Organizacin

CISSP Security Training - Telecommunications and Network Security 5

Principios de Definicin de OSI (Cont.)

Modelo conceptual compuesto por siete capas

CISSP Security Training - Telecommunications and Network Security 6

Principios de Definicin de OSI (Cont.)

Cada capa brinda servicios a la capa superior.

CISSP Security Training - Telecommunications and Network Security 7

Principios de Definicin de OSI (Cont.)

Cada capa, utiliza su propio protocolo para comunicar-

CISSP Security Training - Telecommunications and Network Security 8

Principios de Definicin de OSI (Cont.)

CISSP Security Training - Telecommunications and Network Security 9

Principios de Definicin de OSI (Cont.)

El modelo de referencia OSI se convirti rpidamente

CISSP Security Training - Telecommunications and Network Security 10

Principios de Definicin de OSI (Cont.)

CISSP Security Training - Telecommunications and Network Security 11

Telecommunications and Network

Tipos de Redes de Datos

Local Area Network (LAN)

CISSP Security Training - Telecommunications and Network Security 13

Local Area Networks (LAN).

CISSP Security Training - Telecommunications and Network Security 14

Wide Area Network (WAN).

CISSP Security Training - Telecommunications and Network Security 15

El Instituto de Ingeniera Elctrica y Electrnica (IEEE)

CISSP Security Training - Telecommunications and Network Security 16

CISSP Security Training - Telecommunications and Network Security 17

48 bits / 12 dgitos hexadecimales.

CISSP Security Training - Telecommunications and Network Security 18

Direcciones MAC (Cont.)

El esquema de direccionamiento es plano.

CISSP Security Training - Telecommunications and Network Security 19

Telecommunications and Network

Topologas LAN (Cont.)

Topologas LAN Bus

CISSP Security Training - Telecommunications and Network Security 23

Topologas LAN Anillo

CISSP Security Training - Telecommunications and Network Security 24

Topologas LAN Estrella

CISSP Security Training - Telecommunications and Network Security 25

Topologas LAN rbol

CISSP Security Training - Telecommunications and Network Security 26

Topologas LAN Malla

CISSP Security Training - Telecommunications and Network Security 27

Topologas LAN Malla Parcial

CISSP Security Training - Telecommunications and Network Security 28

Telecommunications and Network

Mtodos de Acceso al Medio LAN

CISSP Security Training - Telecommunications and Network Security 30

Mtodos de Acceso al Medio LAN (Cont.)