REDES 2 T2-t2 Unidad II.

SEGURIDAD
Facilitadora:
Esp. Ing. Nelma Uzctegui de Barreto http://sites.google.com/site/pnfiredes/

UNIDAD II. SEGURIDAD DE REDES

Configuracin de un proxy Configuracin de un firewall (ipchains, iptables)
Restriccin de acceso a servicios (TCP_wrappers) Identificacin de usuarios mediante PAM

Configuracin de un servidor kerberos, VPNs con IPsec.

UNIDAD II. SEGURIDAD DE REDES

Servidor Proxy: es un programa o dispositivo que realiza una

accin en representacin de otro esto es, si una hipottica mquina a solicita un recurso a una c, lo har mediante una peticin a b; C entonces no sabr que la peticin procedi originalmente de a.
a b c

Sirve para permitir el acceso a Internet a todos los equipos de una organizacin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direccin IP.

UNIDAD II. SEGURIDAD DE REDES

Firewall: Un cortafuego, es una parte de un sistema o una red

que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos de la red.

Zona desmilitarizada o DMZ

UNIDAD II. SEGURIDAD DE REDES

Zona desmilitarizada o DMZ

es una zona de la red que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa.

UNIDAD II. SEGURIDAD DE REDES

Restriccin de acceso a servicios (TCP_wrappers)

es un excelente sistema para filtrar el acceso de red a servicios de protocolos de internet, es til para restringir los servicios TCP con "wrappers". El tcpwrapper (tcpd) viene ya includo en algunas distribuciones de linux. El wrapper acta de intermediario entre el servidor inetd y los servicios controlados por inetd definidos en /etc/inetd.conf (telnet, ftp,...), permitiendo el acceso slo a las mquinas que configuremos, y por supuesto haciendo registro de todos los accesos a estos servicios.

UNIDAD II. SEGURIDAD DE REDES

Identificacin de usuarios mediante PAM
es el acto de establecimiento o confirmacin de algo (o alguien) como autntico, es decir que reclama hecho por, o sobre la cosa son verdadero. La autenticacin de un objeto puede significar (pensar) la confirmacin de su procedencia, mientras que la autenticacin de una persona a menudo consiste en verificar su identidad. La autenticacin depende de uno o varios factores. PAM (Pluggable Authentication Module) Modulo de Autenticacin Conectable, no es un modelo de autenticacin en s, se trata de un mecanismo que proporciona una interfaz entre las aplicaciones de usuario y diferentes mtodos de autenticacin. Mediante PAM podemos comunicar a nuestras aplicaciones con los mtodos de autenticacin que deseemos de una forma transparente.

UNIDAD II. SEGURIDAD DE REDES

Identificacin de usuarios mediante PAM

PAM trabaja con administracin:

cuatro

tipos

separados

de

tareas

de

Authentication, Account, Session, y Password

LDAP: Protocolo Ligero de Acceso a Direcctorios

UNIDAD II. SEGURIDAD DE REDES

Servidor Kerberos es un servicio de autenticacin de redes que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticacin mutua: tanto al cliente como al servidor y se encarga de verificar la identidad del uno con el otro. Los mensajes de autenticacin estn protegidos.

Segn Stallings 2003, Kerberos proporciona un servidor centralizado de autenticacin cuya funcin es la de autenticar los usuarios al servidor y los servidores a los usuarios

UNIDAD II. SEGURIDAD DE REDES

VPNs con IPsec Con las VPN IPSec, las empresas pueden conectar entre s las redes LAN de oficinas remotas a travs de Internet con el cifrado fuerte y la seguridad ofrecida por el protocolo IPSec. IPSec es un estndar de seguridad que se trata bsicamente de varios protocolos de comunicacin que ofrecen seguros por caminos seguros. Por tanto, es ideal para conectar de forma segura las redes LAN a distancia a travs de una Internet insegura.

UNIDAD II. SEGURIDAD DE REDES

VPNs con IPsec Tenemos dos tipos de VPN IPSEC: LAN-to-LAN (o de sitio a sitio) cifrado VPN y VPN de acceso remoto. La primera es ampliamente utilizada para conectar de forma segura las redes de oficina a distancia y la segunda para permitir a los usuarios remotos teletrabajadores acceder a los recursos en una red de sitio central.

UNIDAD II. SEGURIDAD DE REDES

VPNs con IPsec IPsec consta de dos sub-protocolos:
Encapsulated Security Payload (ESP), que protege los datos del paquete IP de interferencias de terceros, cifrando el contenido utilizando algoritmos de criptografa simtrica (como Blowfish, 3DES). Authentication Header (AH), que protege la cabecera del paquete IP de interferencias de terceros as como contra la falsificacin (spoofing), calculando una suma de comprobacin criptogrfica y aplicando a los campos de cabecera IP una funcin hash segura. Detrs de todo esto va una cabecera adicional que contiene el hash para permitir la validacin de la informacin que contiene el paquete.

IPSec ayuda a proporcionar una defensa en profundidad contra: - Ataques en red de ordenadores que no son de confianza. - Robo de datos - Control administrativo de red, servidores, otros equipos, etc.

UNIDAD II. BIBLIOGRAFA RECOMENDADA

FUNDAMENTOS DE SEGURIDAD APLICACIONES Y ESTNDARES AUTOR: WILLIAM STALLINGS COTA: TK5105.59 S83

EN

REDES