Beruflich Dokumente
Kultur Dokumente
Agenda de seguridad
1.- Secretos: criptografa 2.- Protocolos de seguridad 3.- Aplicaciones y seguridad 4.- Redes y seguridad
Redes y seguridad
Introduccin: tipos de ataque y poltica de seguridad Proteccin del permetro (cortafuegos) y deteccin de intrusos
Internet
Soluciones
Firewalls (cortafuegos) Proxies (o pasarelas) Control de Acceso Cifrado (protocolos seguros) Seguridad del edificio Hosts, Servidores Routers/Switches
Intrusin Externa
Intrusin Interna
Deteccin de Intrusiones
5
Soluciones de seguridad
Conectividad Permetro Deteccin de intruso Identidad Administracin de Seguridad
Autenficacin
VPN
Cortafuegos
Poltica de seguridad
Herramientas de seguridad: protocolos seguros (IPSec, SSL, SSH) almacenamiento de claves (tarjetas inteligentes) certificados (X.509, PGP)
10
TENER EN CUENTA
A qu nivel se gestiona la seguridad?
1. Sistema operativo: contraseas, permisos de archivos, criptografa 2. Protocolos y aplicaciones de red: permisos de acceso, filtrado de datos, criptografa 3. Identificacin de personal: dispositivos de identificacin personal, criptografa
11
Gestin de Seguridad
2) ASEGURAR Cortafuegos Software fiable IPSec PKI
1) POLITICA de SEGURIDAD
Muchos!
13
14
Puertos abiertos
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-14 11:36 CEST Interesting ports on laetitia.irobot.uv.es (147.156.222.45): (The 1654 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE 25/tcp open smtp 80/tcp open http 111/tcp closed rpcbind 443/tcp open https 3456/tcp closed vat 44334/tcp open tinyfw
SO
Device type: general purpose Running: FreeBSD 2.X|3.X|4.X, Microsoft Windows 95/98/ME|NT/2K/XP OS details: FreeBSD 2.2.1 - 4.1, Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP Nmap run completed -- 1 IP address (1 host up) 15 scanned in 22.486 seconds
16
Redes y seguridad
Introduccin: tipos de ataque y poltica de seguridad Proteccin del permetro (cortafuegos) y deteccin de intrusos
17
Tendencias de seguridad
Todas las lneas actuales de investigacin en seguridad de redes comparten una idea: la concentracin de la seguridad en un punto, obligando a todo el trfico entrante y saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall, permitiendo concentrar todos los esfuerzos en el control de trfico a su paso por dicho punto
18
Cortafuegos (1/2)
Consiste en un dispositivo formado por uno o varios equipos que se sitan entre la red de la empresa y la red exterior (normalmente la Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple.
Para que no se convierta en cuello de botella en la red, deben de procesar los paquetes a una velocidad igual o superior al router.
19
Cortafuegos (2/2)
Crea un permetro de seguridad y defensa de la organizacin que protege.
Su diseo ha de ser acorde con los servicios que se necesitan tanto privados como pblicos (WWW, FTP, Telnet,...) as como conexiones por remotas.
Al definir un permetro, el cortafuegos opera tambin como NAT (Network Address Traslation) y Proxy (servidor multipasarela).
20
Configuraciones de cortafuegos
1.- un router separando la red Intranet de Internet, tambin conocido como Screened Host Firewall, que puede enviar el trfico de entrada slo al host bastin 2.- un host bastin o pasarela para las aplicaciones permitidas separando la red Intranet de Internet, tambin conocido como Dual Homed Gateway 3.- con dos routers separando la red Intranet e Internet y con el host bastin dentro de la red formada por ambos routers, tambin conocida como Screened Subnet, esta red interna es conocida como zona neutra de seguridad o zona desmilitarizada (DMZ Demilitarized Zone)
22
Screened host
Router bloquea todo el trfico hacia la red interna, excepto al bastin Servicios va proxy desde el bastin Filtrado desde router Si el atacante entra en bastin se acab la seguridad!
Bastin
Red Externa
Router
Red Interna
Esta arquitectura permite mantener la conectividad transparente cuando est justificado, obligando a pasar por el bastion host el resto 23
Filtro en el router
Servidor Proxy/cache
permit tcp host 147.156.1.18 any eq www deny tcp 147.156.0.0 0.0.255.255 any eq www
Internet
Servidor web
Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 que slo l puede realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior 24
Red perimetral
Internet
Bastion host/ router exterior Router interior
Cortafuego Mantener el bastin fuera del router, implica mayor seguridad para la red 25 interna, pero el bastin va a estar sometido a ms ataques que el router.
Son sistemas muy baratos y fciles de implementar Slo soportan servicios mediante proxy El filtrado de paquetes, puede realizarse en Linux a travs de iptables
26
Red Interna
29
30
Red interna
Web
31
Internet
Router interior
Red perimetral
DNS, Mail
32
35
36
39
DNS Atacado
2 1 7 4 6 8
www.banco.com?
www.banco.com?
DNS
5
almacena en cache www.banco.com=147.156.222.65
DNS
www.malos.com (147.156.222.65)
147.156.222.65
www.banco.com
10
bueno
41
Ejemplo:
www.google.com?
Mi PC
resolver
42
Ejemplo:
www.google.com?
Mi PC
resolver
43
Ejemplo:
www.google.com?
Mi PC
209.85.135.99
resolver
.com
Firmado (209.85.135.99)
www.google.com
google.com
44