Beruflich Dokumente
Kultur Dokumente
Seguridad Informática
Seguridad de Redes.
Seguridad de Software.
Confidencialidad
Integridad Disponibilidad
Autentificación
Autorización
Control de Acceso
Conceptos
• ―seguridad de una red‖ implica la seguridad
de cada uno de las computadoras de la red
• ―hacker‖: cualquier barrera es susceptible de
ser superada y tiene como finalidad la de
salir de un sistema informático (tras un
ataque) sin ser detectado. Es un
programador
• ―cracker‖: no es un programado y utiliza sus
ataques para sacar beneficio económico
• “Amenaza o ataque”: intento de sabotear
una operación o la propia preparación para
sabotearla (poner en compromiso)
Tipos de amenazas
• Compromiso: la entidad atacante obtiene el
control de algún elemento interno de la red,
por ejemplo utilizando cuentas con password
trivial o errores del sistema
• Modificación: la entidad atancante modifica
el contenido de algún mensaje o texto
• Suplantación: la entidad atacante se hace
pasar por otra persona
• Reenvío: la entidad atacante obtiene un
mensaje o texto en tránsito y más tarde lo
reenvía para duplicar su efecto
• Denegación de servicio: la entidad atacante
impide que un elemento cumpla su función
Servicios ofrecidos por la
―seguridad‖
Autenticación: ¿es realmente quien dice ser?
3Com Confidential 8
Aplicaciones
Operan en Clientes y servidores
Elementos:
Aplicaciones
Sistemas Operativos
Aplicaciones en
Microsoft
Elementos
Oracle, DB2, MS SQL
vitales para Infraestructura
Linux O/S
la salud de la
VoIP
red
Bases de Datos
Rendimiento IVR
Facturación
E-mail
Navegación
Video Conferencias
Infraestructura
Elementos:
Aplicaciones Routers (e.g. Cisco IOS)
Switches
Elementos Firewalls (e.g. Netscreen OS,
vitales para
CheckPoint FW1)
Infraestructura Wireless
la salud de la
IP Telephony
red PDA
Rendimiento Celular
Rendimiento
Elementos:
Aplicaciones
Ancho de banda
Capacidad de
Elementos Servidores
vitales para Tráfico de Misión Crítica
Infraestructura
la salud de la
red
Rendimiento
VPN
IDS
Firewall
The Channels’ Value! Policy Manager
Switches Administración de Red
Ruteadores Seguridad
Red de Socios
Certificados en
Seguridad
El Valor de
los socios!
¿ Por qué invertir en soluciones de
seguridad ?
• Problemas de seguridad pueden comprometer seriamente los resultados
de una Compañía:
– Un ataque de virus tiene un costo promedio de $61.729 por año
– Una pérdida de servicio por intrusión tiene un costo promedio de
$108.717
– Las pérdidas totales del año 2000: $265 millones
• En el año 2000, el 70% de las organizaciones encuestadas reportó
incidentes de seguridad; en 1996 solo el 42% lo había hecho
– Los expertos consideran que estas cifras son bajas, ya que hay
motivaciones comerciales para no denunciar la mayoría de problemas
• Gracias a importantes reducciones en costo, las organizaciones han
colocado información crítica de negocios en la red
– Desafortunadamente cuando los hackers comprometen esa
información, también logran acceso a TODA la información corporativa
• Asegúrese de considerar el riesgo por la pérdida de datos debido al envío
de información desde dentro de la compañía
Qué Son los Intrusos
• Son sistemas que explotan vulnerabilidades y afectan las
APLICACIONES, INFRAESTRUCTURA Y RENDIMIENTO de la red
• Objetivos:
– Provocar negación o retrasos en servicios
– Adquirir información sin autorización
– Aprovechar recursos ajenos
Ataques Pasivos.
Ataques Activos.
Principales Ataques
• Virus • Dedos inexpertos
• Caballo de Troya • Falsificación
• Gusanos (Worms) • Usurpación
• Bugs • Sniffers
• Trapdoors • Spoofing
• Stack overflow • Spam
• Pepena • Grafiti
• Bombas lógicas • Ingeniería Social
• Negación de servicio
Principales páginas
• Security Focus: www.securityfocus.com
• CERT : www.cert.org
• SANS: www.sans.org
• Dpto. Seguridad ITESM-CEM: dsc01.cem.itesm.mx
• Securiteam: www.securiteam.com
• Snort: www.snort.com
• ISS: www.iss.net
• Página seguridad RSA: www.rsasecurity.com
• Cypherpunks: www.vnunet.com
• Bruce Scheneider: www.counterpane.com
• Security Space: www.securityspace.com
• Ernst&Young: www.esecurityonline.com
Más páginas
• Linux Security: www.linuxsecurity.com
• Diccionario del hacker: www.hack.gr/jargon/
• Defaced pages: www.attrition.org/
(deshabilitada)
• Defaced pages: www.alldas.org/
• Criptologia: www.criptored.upm.es
ATAQUES MÁS COMUNES
Denial of Service - DOS
(Denegación de Servicio)
• SYN Flood
• PING de la Muerte
– Windows 95:
• PING -T -L 65500 xxx.xxx.xxx.xxx; hacer
15 sesiones
– La estación se va a congelar o
reiniciar
Exploits (abusos)
• IP spoofing
• SMURF
• Buffer Overflows
– Ejemplo: Mayoría de los logins permiten
apenas 256 caracteres
– Si los 300 caracteres son enviados en el
password que sera ejecutado, el sistema
sera vulnerable al ataque
– Común en programas C/C++, raro en
programas Java.
Ataque: Análisis de paquetes
telnet foo.bar.org
username: dan
password:
m-y-p-a-s-s-w-o-r-d d-a-n
Ataques Comunes - Reconnaissance
(reconocimiento)
Ataques Comunes - Reconnaissance
(reconocimiento)
Trojan Horse
Trojan Horse
Alarmtool - Email, Pager, SNMP
Traps
Arquitectura de ―Mejores Prácticas‖
Intrusion Detection
Systems
Firewall
Red Asegurado
Internet
Interna
HIDS
Autenticación de Usuarios en
802.1x
la Red
EAP login
DOOM
WEB
SNMP
WEB
SNMP
SNMP
SAP
Internet
IP
IP
User: unknown
Password : any
User: jose User: Douglas User: Mariano
Password : 123 Password : xqfszx Password : xeYs&
VLAN Isolated
VLAN Ventas VLAN Ingenieros VLAN Ingenieros
Equipos de acceso capa 2
Radius y
DHCP
Server
Servidor
De Aplicaciones
Internet
SNMP
SAP
WEB
IP
User: unknown
Password : any User: jose User: Douglas
Password : 123 Password : xqfszx
Uso de soluciones en HW y SW
Contramedidas en software
Correcta configuración de los equipos,
parches y actualizaciones de SW,
autenticación, sistemas de detección de
intrusión, criptografía
Contramedidas en hardware
Tarjetas inteligentes, redes privadas
virtuales, infraestructura de llave pública,
dispositivos biométricos, etc.
Soluciones de Software
Parches
y Actualizaciones de
Software
Vulnerabilidades de SW son corregidas
por parches o actualizaciones
Administradores deben verificar
periódicamente listas de parches y
actualizaciones
Ejemplo: “fast packet keying” de RSA
Soluciones de Software
Autenticación
Soluciones incluyen passwords, tarjetas
inteligentes, biométrica, PKI o combinaciones
Passwords deben cumplir con tamaño,
caracteres requeridos y expiración periódica
Tarjetas inteligentes y PKI tienen sus
propios requisitos
Sin embargo autenticación no resuelve todos
los problemas
Equilibrar costos y flexibilidad con seguridad
Soluciones de Software
Firewalls personales
Firewalls personales residen en estaciones
cliente
Pueden ser administrados por el cliente o en
forma centralizada
Administración centralizada ofrece mayor
protección (capacidad de crear una VPN)
Protección contra AP’s maliciosos
No protegen contra ataques avanzados
Niveles de protección adicional son requeridos
Soluciones de Software
IDS’s...
En conexiones criptografiadas el esquema host-
based tiene ventajas sobre el esquema network-
based
IDS para redes cableadas pueden tener algunas
limitaciones cuando protege WLAN’s
1. Sensores IDS en la red cableada no detectan
ataques entre clientes o intentos de desasociar
clientes
2. Tecnología IDS solo detecta ataques cuando la
WLAN ha sido ya comprometida, no identifica
ubicación física, no detecta comunicaciones P2P
Soluciones de Software
IDS’s...
Expansión de redes cableadas con redes inalámbricas
introduce riesgos no manejables por IDS’s
Soluciones IDS inalámbricas deben proveer:
1. Identificación de la ubicación física
2. Detección de comunicaciones P2P no autorizadas
3. Detección del aparecimiento de AP’s maliciosos
4. Detectar cambios de configuración en dispositivos
5. Percibir intentos de desasociación o inundación
6. Monitoreo centralizado y administración integrada
Soluciones de Software
IDS’s...
Organizaciones con requisitos elevados de
seguridad deben implementar IDS’s
Proveen un nivel adicional de seguridad
Migración de IDS’s a WLAN’s debe considerar
recomendaciones mencionadas
IDS involucra un costo y requiere personal
experimentado
Debe considerarse el uso de máquinas de
correlación: IDS, firewall, sistemas antivirus
Soluciones de Software
Criptografía
Tres opciones: 0, 40, 104 bits (128)
0 bits crea el mayor riesgo a la seguridad
40 bits pueden ser descifrados por fuerza
bruta en computadores personales
104 o 128 bits ofrece mejores condiciones
Pobre diseño de WEP no garantiza la
seguridad mismo con llaves de mayor
tamaño
Soluciones de Software
Evaluación de seguridad
Auditorias son esenciales para mantener la
seguridad de WLAN’s
Utilización de analizadores de red y otras
herramientas
Analizador de red permite auditar la red y
resolver problemas
Chequeo de canales, AP’s maliciosos, accesos
desautorizados
Recomendable usar consultores externos
No olvidar la parte cableada de la red
Soluciones de Hardware
Internet
VPN VPN
AP AP
Soluciones de Hardware
VPN’s...
Mayoria de VPN’s usan protocolos IPSec (IETF)
IPSec provee protección robusta en: integridad,
confidencialidad, autenticación de origen,
protección de “replay” y análisis de tráfico
Integridad sin conexión garantiza que el mensaje
no ha sido modificado
Confidencialidad garantiza que terceros no pueden
leer la información
Autenticación de origen impide impersonamiento
Soluciones de Hardware
VPN’s...
Protección de replay asegura mensajes únicos
y en orden
Protección de análisis de tráfico impide
determinar quien se comunica, su frecuencia
o volumen de Tx
Elementos de seguridad: ESP, AH, IKE
IPSec provee seguridad al nivel de red
(independiente del nivel 2 – WEP)
El túnel IPSec va desde el cliente hasta el
dispositivo VPN en la red corporativa
Soluciones de Hardware
Internet
VPN
IPSec
AP AP
WEP
Soluciones de Hardware
VPN’s...
Estaciones sólo necesitan el software cliente
IPSec/VPN
Autenticación por llaves pre-compartidas,
RADIUS o OTP (one-time-passwords)
VPN gateways integran servicios de firewall
Registro cronológico para auditoria puede
también ser útil
No resuelve autenticación de acceso a las
aplicaciones corporativas
Soluciones de Hardware
Dispositivos biométricos
Proveen nivel adicional de protección (solos
o combinados)
Lectores de huellas digitales, geometría de
las palmas, lectores ópticos (iris, retina),
reconocimiento facial, reconocimiento de
voz, dinámica de firmas, etc.
Integración con tarjetas inteligentes o
dispositivos inalámbricos más passwords
proveen alta seguridad
También pueden combinarse con VPN
Soluciones
Parte Práctica
Seguridad desde el principio
• Haz ―seguro‖ un servidor antes de
conectarlo a una Red.
• Incluye cosas asi:
– Apagar servicios no necesario.
– Usa un “tcpwrapper” con los servicios de
red.
– Planificar y instalar reglas de netfilter.
– Instalar paquetes de controlar usuarios
(cuotas, chequeos de contraseñas).
– Aplicar parches a servicios que va a correr
y al sistema operativo.
– cont.-->
Seguridad desde el principio
cont.
– Instalar sistema de detectar intrusion.
– Instalar biblioteca encontra ataques de buffer
overflow.
– Configurar como va a correr y usar los logs.
– Determinar su sistema de respaldo.
– Seguridad de clientes.
– Seguridad fisico! No lo olvido.
– Inscribe en las listas de correo acerca
seguridad y tu sistema operative.
Apagar servicios no necesarios
Esto es clave por la seguridad de tu sistema.
Usa los comandos asi:
– ps -aux | more
– lsof -i
– netstat -natup
Despues investigaciones si necesario
usando /etc/services, man nombre,
/etc/rc.d/init.d/, /etc/xinetd.d
Apagar servicios no seguros
Se puede discutir cual servicios son, pero
tipicamente hablamos de:
– telnet
– ftp
– rpc
– nfs
– sendmail
Correr servicios con tcpwrapper
• Un tcpwrapper es un programa como
xinetd.
• Antes usamos inetd.
• /etc/rc.d/init.d/xinetd
• /etc/xinetd.d
• Se configura servicios dentro este
directorio.
• Se lo apaga con ―disable = yes‖
• Que provee xinetd? -->
Para que correr xinetd?
• El servicio (daemon) de xinetd ―escucha‖
por los paquetes por todo los servicios
mencionados en los archivos de
configuracion en /etc/xinetd.d
• Se ahora memoria y recursos. Pero, por un
servicio cargado (como httpd) mejor no
usar xinetd.
• Se puede controlar varios aspetos de
connecion usando el ―super servidor‖
xinetd.
Algunos parametros de xinetd
• Disable: si el servicio corre o no cuando xinetd esta
en uso.
• Wait: si o no corre multiple daemons si hay mas de
una connecion.
• User: bajor que usuario corre el servicio.
• Instances: Numero maximo de connecions permitido
al servicio. Si wait = nowait el defecto es ―no limite‖
por instantes.
• Server: El nombre del programa de correr cuando
esta conectado el servicio.
• only_from: Especifica de donde se accepta
conecciones.
• no_access: Especifica de dondes no se accepta
conecciones.
Parametros de xinetd cont.
• Interface: puede decir en que dispositivo de ethernet
va a responder el servicio.
• cps: “cps = 10 30” significa accepta hasta 10
conecciones y si hay mas apaga el servicio por 30
segundos.
• Tambien hay los parametros Id, Type,
socket_type, Protocol, Group, server_args,
log_type, log_on_success, Port.
• Xinetd permite bastante control al nivel de
aplicacion para controlar algunos servicios de red.
• Solamente tiene que especificar los parametros
“socket_type”, “user”, “server”, y “wait” en un
archivo de configuracion por xinetd.
Correr reglas de Netfilter?
Netfilter es iptables es ―firewall‖ en la mente
de la mayoria de las personas.
Si tienes un servidor que no esta pasando
paquetes de IP a un red privado, no es
necesario correr una tabla tan grande de
Netfilter.
Se puede correr reglas para proteger
encontra paquetes no muy bien formados,
etc.
Rechazar icmp? (ping)
Controlar los usuarios
Bueno, esto es imposible :-) Pero, tal vez
se puede restringir las contraseñas que
usan y el espacio que toman.
Implentar reglas de contraseñas. Un
ejemplo:
– Contraseñas nuevas deberian tener entre 6
a 14 caracteres.
– No se puede eligir una palabra, nombres,
lugares, o datos personales.
– Una contraseña segura deberia contener,
por lo minimo, dos numeros, dos letras, y
unz mezcla de mayuscalas y minuscalas.
Controlar los usuarios cont.
Implementar cuotas a los usuarios. En
Red Hat ya esta instalado el aporte para
implementar las cuotas.
– /etc/fstab usrquota y/o grpquota
– /part/quota.user y /part/quota.group
– edquota -u usuario para congigurar las
cuotas.
• edquota -p artc 'awk -F: '$3 >> 499 print $1'
/etc/passwd'
– quotacheck -avug
– quotaon -avug
– quotacheck, repquota, quota
Controlar los usuarios cont.
Para que los usuarios tienen que usar una
contraseña bastante buena se puede usar PAM
(Pluggable Authenticion Module) y cracklib.
– PAM con cracklib (PAM ya esta en Red Hat 9)
Quebrar las contraseña despues que existen:
– John the Ripper:
http://www.openwall.com/john/
– Crack: http://www.crypticide.org/users/alecm
– Slurpie:
http://www.ussrback.com/docs/distributed/
Aparchar y actualizar software
Aparchar o aplicar los mejoramientos al
software que va a correr y a tu kernel.
En el mundo Red Hat busca el directorio
―udpates‖
Desde que Red Hat 9 ha salido hay 500MB
de updates.
Revisa los updates y decide cuales tiene que
aplicar.
Por servicios importante vaya a su sitio de
web y inscribe en listas de correo para
saber siempre cuando sale un update –
especialmente por seguridad.
Sistemas de detectar intrusos
Tambien, se dice ―Sistemas de probar la
integridad de sistemas.‖
En este caso estamos hablando de sistemas
por tu servidor y sus archivos, no por la
red.
Hay tres sistemas bien populares hoy en dia.
Son:
– tripwire: http://www.tripwire.org/
– AIDE: http://www.cs.tut.fi/~rammer/aide.html
– Snort: http://www.snort.org/
Ataques de Buffer Overflow
Aprovechando del estado de memoria de un
programa. Usando mas memoria temporia
que hay, y el programa no lo atrapa bien
este condicion. Se falla en una forma que
permite el intruso tomar el proceso con los
permisos del usuario de que pertenece al
programa.
El proyecto libsafe
(http://www.research.avayalabs.com/project/libsafe/) tiene una
solucion sensible. Se lo instala su software
y esto es todo.
Ataques de Buffer Overflow cont
Otro software encontra este tipo de ataque
incluyen:
– Openwall: http://www.openwall.com/
– Stackguard:
http://www.cse.ogi.edu/DISC/projects/immunix/StackGuard/linux.
html
– WireX: http://immunix.org/
Son mas complicado para instalar, pero
pueden ser mas completo, o util por los
servidores que tienen que ser paranoiacos
para mantenar seguro datos.
Logging y Reportajes
• Red Hat Server ya tienen /etc/syslog.conf
bien hecho. Lea ―man syslog.conf‖ por mas
detallas.
• Red Hat Server 9 corre cada dia el servicio
―logwatch‖ que manda un mensaje al root
con un reportaje hecho de los logs en
/var/log.
• Vea /etc/log.d/logwatch.conf.
• Donde van los logs es importante.
• Respaldos de los logs es importante.
Sistema de respaldo
Tecnicamente no es seguridad, pero sin
respaldo de los datos que haces si hay un
intruso?
• Que tienes que respaldar?
• Cuantas veces tienes que correr un respaldo?
• Donde va la media de respaldo en caso de
desastre?
• Que pasa en caso de desastre (terremoto?).
• Que herramientas vas a usar (tar? arkeia?
cpio?)
Seguridad de los clientes
Esto es supremamente importante!
Mucha gente olvida esto. Pero un cliente
(usuario que tiene acceso a tu sistema)
que no es seguro es un riesgo y oyo de
seguridad grande a tu servidor.
Insiste en pop/imap por ssl, ssh, scp,
sftp, https, contraseñas buenas.
No use pop/imap sin ssl, webmail por
http, ftp (menos anymous), ni telnet.
Seguridad fisico
Todo la seguridad en el mundo no te va a
ayudar si alguien tiene acceso fisico a tu
servidor y si este persona quiere causar
daño.
Considera quien tiene acceso. Llaves. El
espacio fisico. Donde estan los respaldos?
Los logs?
Tienes una contraseña en el bootloader y un
sistema de archivos encifriado? No
importa, la persona puede llevar tu
computador!
Detectando un intruso
Que pasa si, ya, alguien entro tu sistema y
hico cambios? Como va a saber?
– Tal vez nunca vas a saber. Sin un sistema
de detection de intruso, como Tripwire, es
dificil saber.
– Si un programa como ―ls‖ no corre.
– Si ―netstat -natup‖ muestra algo como
BASH escuchando a un puerto de tcp.
– Si, de repente, vea mucho mas actividad en
el disco duro, por el camando ―top‖ o en la
red.
– Si esta corriendo un proceso de red
escuchando por un puerto > 1024
―Seguridad por osbscuridad‖
―Security from obscurity‖
¡No funciona!
Monitorea tu red y ve cuanta gente esta
probando los puertos de tcp/udp en tu
red publica – es impresionante!
Resumen
● Haz preguntas
• Proteger la Información.
Consideraciones de un IDS
• Debe reforzar una política de seguridad.
• Resistente a un ataque.
• Documentación y Soporte.
• Lightweight
• Respuesta a Incidente.
Acciones en un IDS
• Analiza el trafico en la Red y compara
patrones de ataques conocidos, tomando
acciones de acuerdo a su configuración (
envío de mensajes de alerta, reseteando
conexiones, etc)
• Falsos Positivos
• Falsos Negativos
• Tiempo
Algunos IDS comerciales
• DRAGON
• Intruder Alert
• NetProwler
• ISS RealSecure
• Cisco NetRanger
• Cyber Cop
• OMNIGUARD Intruder Alert
Cont.
• POLYCENTER Security Intrusion Detector
• G-Server
• Watch Dog
• CMDS (Computer Misuse and Detection
System)
• INTOUCH NSA (Network Security Agent)
IDS Gratuitos
• Shadow
• Tripwire
• Snort
Proyectos de IDS
• AID (Adaptive Intrusion Detection system)
• EMERALD (Event Monitoring Enabling
Responses to Anomalous Live
Disturbances)
• ANT
• LISYS
• IDS basado en el Control de Procesos
Conclusión
• Distribución Gratuita
• LightWeight
• Uso de Filtros.
• http://www.snort.org
Conclusiones.
• Snort, cumple con el requisito de ser
Lightweight es compacto y flexible. Es una
buena alternativa si no se tiene un IDS
comercial o bien puede ser un excelente
apoyo para un comercial. Tiende a ser
comercial.
Sistemas de
Prevención de Intrusos
IPS
Ver Animación
Criterios para tomar una decisión
adecuada
2
SMS
Safe 1
Zone
Core
Intrusion Prevention
Policy-Enabled Access
Clients
Switch
SAP
STREAMING DE ÁUDIO
BLOCKED
BLASTER VIRUS
BLOCKED
WEB
REMEDIATION PAGE
RADIUS
SMS
5 4
Safe
Zone
3
Core
Intrusion Prevention 6
Policy-Enabled Access 7
Clients
LAN LAN
Internet
Servidor de seguridad
LAN
Diseño del servidor de seguridad: de tipo
opuesto con opuesto o sándwich
Internet Subred protegida
Externa
Servidor de seguridad
Interna LAN
Servidor de seguridad
Contra qué NO protegen los servidores de
seguridad
• Tráfico peligroso que atraviesa los puertos abiertos y no
es inspeccionado en el nivel de aplicación por el servidor
de seguridad
• Tráfico que atraviesa un túnel o sesión cifrados
• Ataques que se producen una vez que se ha entrado en
una red
• Tráfico que parece legítimo
• Usuarios y administradores que intencionada o
accidentalmente instalan virus
• Administradores que utilizan contraseñas poco seguras
Servidores de seguridad de software y de
hardware
Factores de
Descripción
decisión
La actualización de las vulnerabilidades y revisiones más recientes
Flexibilidad suele ser más fácil con servidores de seguridad basados en software.
Muchos servidores de seguridad de hardware sólo permiten una
Extensibilidad capacidad de personalización limitada.
Los servidores de seguridad de software permiten elegir entre
Elección de
hardware para una amplia variedad de necesidades y no se depende de
proveedores un único proveedor para obtener hardware adicional.
El precio de compra inicial para los servidores de seguridad de
hardware podría ser inferior. Los servidores de seguridad de software
Costo se benefician del menor costo de las CPU. El hardware se puede
actualizar fácilmente y el hardware antiguo se puede reutilizar.
Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.
El factor de decisión más importante es si un servidor de seguridad
Disponibilidad
puede realizar las tareas necesarias. Con frecuencia, la diferencia entre
global los servidores de hardware y de software no resulta clara.
Tipos de funciones de los servidores de
seguridad
• Filtrado de paquetes
• Inspección de estado
• Inspección del nivel de aplicación
Internet
Inspección multinivel
(Incluido el filtrado del nivel de aplicación)
Tipos de Firewalls
• Packet filters
• Circuit Level Gateways
• Aplication Level Gateways
• Stateful Multilayer Inspection
Firewall
Paquet Filters
Circuit Level Gateways
Aplication Level Gateways
Stateful Multilayer Inspection
Firewall
Como Implementar un Firewall
• Determinar el nivel de Seguridad
requerido.
• Determinar el trafico que va a entrar a la
red.
• Determinar el trafico que va a salir de la
red.
• Alternativas.
Interfaces de Red
• Dos tipos
– Interna
– Externa
• Dos tipos de externa
– Interfaz-Internet
– DMZ
Interfaces Internas
• Puede tener más de una
• Definida por la LAN
– Cualquier interfaz cuya dirección IP está en la
LAN es una interfaz interna
Interfaces externa
• Interfaz-Internet
– Puede tener sólo una
– Debe ser la frontera
– Sólo una interfaz con una puerta de enlace por
defecto
– Está conectada a Internet
– Más de una no está soportada y no trabaja
• DMZ
– El resto de las interfaces en el ordenador
• No incluida en la LAN, no conectada a Internet
Comportamiento del tráfico
publicación de servidores
Internet
publicación de web
DMZ LAN
interna 1 interna 2
Subred Red
apantallada corporativa
RRAS filtros de paquetes
Protección de los clientes
Método Descripción
Funciones de Procesa todas las solicitudes para los clientes y nunca
proxy permite las conexiones directas.
Se admiten todos los clientes sin software especial. La
Clientes
instalación del software de servidor de seguridad ISA en
admitidos clientes Windows permite utilizar más funciones.
Las reglas de protocolo, reglas de sitio y contenido, y
Reglas reglas de publicación determinan si se permite el
acceso.
El precio de compra inicial para los servidores de
seguridad de hardware podría ser inferior. Los
servidores de seguridad de software se benefician
Complementos
del menor costo de las CPU. El hardware se puede
actualizar fácilmente
y el hardware antiguo se puede reutilizar.
Protección de los servidores Web
• Reglas de publicación en Web
– Para proteger de ataques externos a los servidores
Web que se encuentran detrás de los servidores de
seguridad, inspeccione el tráfico HTTP y compruebe
que su formato es apropiado y cumple los estándares
• Inspección del tráfico SSL
– Descifra e inspecciona las solicitudes Web entrantes
cifradas para comprobar que su formato es apropiado
y que cumple los estándares
– Si se desea, volverá a cifrar el tráfico antes de
enviarlo al servidor Web
Una visión para una Red Segura
Internet
Enrutadores Redundantes
Filtros URL
Cortafuegos
NIC teams/2 switches
VLAN
Oficina Principal
Lineas Privadas
Frame Relay
RAS
Oficina
Estatal
Oficina
Regional
Acceso Usuario
desde el hogar Intinerante
Redes WAN Clasicas: Nuevos
Retos
Oficina Principal
? ?
Miles ó cientos
de ?
usuarios
remotos
Red Wan Clasica
Oficina
Estatal
Oficina
Regional
Acceso Usuarios
desde el Hogar Intinerantes
• Que es una Red Privada Virtual ?
y socios de negocio‖.
infraestructura compartida.
Tipos de VPN´S
Provider VPNs:
– VPN Dedicado: MPLS
Edge VPNs
– Site to Site IPSEC
– Client to Site IPSEC
Integrated VPNs
– IPSEC dedicado – MPLS
– IPSEC móvil – MPLS
INTRODUCION A REDES
VPN -MPLS
VPN - MPLS
Frame
Relay / ATM
Internet
VPN IPSEC
INTEGRA TODOS LOS SERVICIOS Y APLICACIONES EN UNA
SOLA CONEXIÓN (VOZ, DATOS, VIDEO E INTERNET).
Internet
Internet
Video
Video
Voz
Voz
Datos
Datos
MECANISMOS DE CALIDAD DE SERVICIO QOS QUE PERMITE
DAR PRIORIDAD AL TRAFICO SENSIBLE AL RETRASO COMO
VOZ Y VIDEO O APLICACIONES DE MISIÓN CRÍTICA
Voz y Internet
Video Datos
TECNOLOGIA VPN - MPLS
Oficina Oficina
Estatal Corporativa
Core
MPLS
Oficina
Regional
TECNOLOGIA VPN - MPLS
VPN
México INTERNET
VPN
MPLS
Aguascalientes
Monterrey
VPN - IPSEC
INTERNET
IPSEC
- NOES UN SOLO PROTOCOLO, ES UNA COLECCIÓN DE
PROTOCOLOS ( MAS DE 40 ) DEFINIDOS MEDIANTE RFCs Y POR
IETF´s IPSEC WORKING GROUP.
QUE ES UN TUNEL ?
-IPSEC
-PPTP
-L2TP
-L2F
Tuneles
IPSEC
PPTP
L2TP
L2F
Intranet
Red IP Compartida
BN
Tunel seguro IP
1
Media
IP
140.100.20.101
179.10.1.1
Encaps. Encripción
Autenticación
Media
PPP Media
IP
IP IP
192.100.10.101 Encripción 192.100.10.101 192.100.10.101
192.100.10.230 Desencripción
192.100.10.230 192.100.10.230
Datos
Datos Datos
Cómo funciona?
Corporativo
Datos
Encapsulado
Internet
Encriptado y
encapsulado
•
Tipos
Intranet
de VPNs IPSEC
– Red corporativa de área amplia (WAN, Wide Area
Network) con administración de tráfico a nivel
aplicación
• Extranet
– Extiende la infraestructura de conectividad corporativa
(WAN) a proveedores, clientes y socios.
Principalmente para transporte de transacciones en
modelos Business to Business (B2B)
• Acceso Remoto
– Brinda acceso (dial up, broadband, wireless, etc) a
personal que requiere de alta movilidad, tanto nacional
como internacional.
Tipos de VPN IP-SEC ?
Acceso Remoto
Corporativo
Corporativo
Acceso Remoto
Oficina Central
Internet
VPN
Gateway
Usuarios Remotos
Esquema Funcional
Usuarios Institucionales
/Socios
BASES DE DATOS
RADIUS (AAA)
Acceso Sucursal y ―Extranet‖
Proveedor
De Servicio
Oficina Central
Oficina Regional
Internet
VPN
Gateway
Oficina Estatal
Oficina Estatal
CONEXIÓN SITE - SITE
PC PC
Seguridad en redes inalámbricas
Lan (WLan)
VPN
Switch Lan
Acces Point
11 Mbps
Internet
))
((((
Acces Point
))
INTERNET
VPN
EXTRANET POP
SITIO
DSL PRINCIPAL
CABLE
Respaldo de enlaces Wan
utilizando Site-to Site Vpn IPSEC
Oficina Corporativa
Enlaces Dedicados
Frame Relay
Intranet
Oficinas Regionales y
Estatales
Internet VPN
PSTN/ISDN
ADSL
Extranet
B2B
Proxy Server
¿ Qué es un Proxy Server ?
• Es un intermediario entre la red interna y
el internet, puede implementar ciertos
criterios de seguridad, asi como tambien
cache, lo que significa que si el proxy
tiene una petición, lo primero que hace es
buscar en su cache, si lo encuentra
responde a la petición.
Proxy Cache Server
SECURITY ENHANCED
LINUX
¿Por qué SELINUX?
• ¿Cuáles son las razones por las cuales la
NSA decide publicar una distribución de
Linux?
Figura 5: cuando un paquete u otra comunicación llega al kernel con iptables se sigue este camino
Implementación ……