Perimetral: 1.1.- Concepto de seguridad perimetral. 1.2.- Objetivos de la seguridad perimetral. 1.3.- Permetro de la red: o 1.3.1.- Routers frontera. o 1.3.2.- Cortafuegos (firewalls). o 1.3.3.- Sistemas de Deteccin de Intrusos. o 1.3.4.- Redes Privadas Virtuales. o 1.3.5.- Software y servicios. Host Bastion. o 1.3.6.- Zonas desmilitarizadas (DMZ) y subredes controladas.
2.- Arquitecturas de Cortafuegos: 2.1.1.- Cortafuego de filtrado de paquetes. 2.1.2.- Cortafuego Dual-Homed Host. 2.1.3.- Screened Host. 2.1.4.- Screened Subnet (DMZ). 2.1.5.- Otras arquitecturas.
3.- Polticas de Defensa en Profundidad: 3.1.- Defensa perimetral. o 3.1.1.- Interaccin entre zona perimetral (DMZ) y zona externa. o 3.1.2.- Monitorizacin del permetro: deteccin y prevencin de intrusos
3.2.- Defensa interna. o 3.2.1.- Interaccin entre zona perimetral (DMZ) y zonas de seguridad interna). o 3.2.2.- Routers y cortafuegos internos. o 3.2.3.- Monitorizacin interna. o 3.2.4.- Conectividad externa (Enlaces dedicados y redes VPN). o 3.3.5.- Cifrados a nivel host.
3.3.- Factor Humano. 4.- Redes Privadas Virtuales. VPN: 4.1.- Beneficios y desventajas con respecto a las lneas dedicadas.
4.2.- Tipos de conexin VPN: o VPN de acceso remoto. o VPN sitio a sitio (tunneling). o VPN sobre LAN.
4.3.- Protocolos que generan una VPN: PPTP, L2F, L2TP.
5.- Tcnicas de cifrado. Clave Pblica y Clave Privada: 5.1.- Pretty Good Privacy (PGP). GNU Privacy Good (GPG).
5.2.- Seguridad a nivel de aplicacin: SSH (Secure Shell).
5.3.- Seguridad en IP (IPSEC).
5.4.- Seguridad en Web : o 5.4.1.- SSL ("Secure Socket Layer). o 5.4.2.- TLS ("Transport Layer Security).
6.- Servidores de Acceso Remoto: 6.1.- Protocolos de autenticacin. o - Protocolos PPP, PPoE, PPPoA o - Autenticacin de contrasea: PAP o - Autenticacin por desafo mutuo: CHAP o - Autenticacin extensible: EAP. Mtodos. o - PEAP. o - Kerberos. o - Protocolos AAA: Radius y TACACS+.
6.2.- Configuracin de parmetros de acceso.
6.3.- Servidores de autenticacin.
Jorge Garca Delgado
1.1.- Concepto de seguridad perimetral. La seguridad perimetral es un mtodo de defensa de red, que se basa en el establecimiento de recursos de seguridad en el permetro de la red y a diferentes niveles, permitiendo definir niveles de confianza, el acceso de usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
Los sistemas de seguridad perimetral pueden clasificarse segn la geometra de su cobertura (volumtricos, superficiales, lineales, etc.), segn el principio fsico de actuacin (cable de fibra ptica, cable de radiofrecuencia, cable de presin, cable microfnico, etc.) o bien por el sistema de suportacin (autosoportados, soportados, enterrados, deteccin visual, etc.).
Tambin cabe destacar la clasificacin dependiendo del medio de deteccin. En esta se clasificaran en:
Sistemas Perimetrales Abiertos: Los que dependen de las condiciones ambientales para detectar. Como ejemplo de estos son la video vigilancia, las barreras infrarrojas, las barreras de microondas. Esta caracterstica provoca falsas alarmas o falta de sensibilidad en condiciones ambientales adversas.
Sistemas Perimetrales Cerrados: Los que no dependen del medio ambiente y controlan exclusivamente el parmetro de control. Como ejemplo de estos son los antiguos cables microfnicos, la fibra ptica y los pieza-sensores. Este tipo de sensores suelen ser de un coste ms elevado.
Su aplicacin destaca principalmente en Seguridad Nacional (instalaciones militares y gubernamentales, fronteras, aeropuertos, etc.) e instalaciones privadas de alto riesgo (centrales nucleares, sedes corporativas, residencias VIP, etc.).
1.2.- Objetivos de la seguridad perimetral.
Rechazar conexiones a servicios comprometidos. Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos. Proporcionar un nico punto de interconexin con el exterior. Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet. Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet. Auditar el trfico entre el exterior y el interior. Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red, cuentas de usuarios internos.
1.3.- Permetro de la red. Se conoce como permetro de la red a la frontera entre el exterior y las computadoras y servidores internas. Este se forma por los equipos que brindan conexin a Internet a las computadoras de la red, as como aquellos que las protegen de accesos externos. Equipos como los gateways, proxys y firewalls forman parte de este permetro.
Contar con proteccin antivirus a este nivel es importante dado que brinda una capa adicional de proteccin a las que nombramos en series anteriores, protegiendo a nivel de servidores varias de las entradas ms comunes de los virus informticos, antes de que puedan ingresar en la red interna.
Un antivirus en el permetro de la red debe ser capaz de revisar por la existencia de virus los protocolos ms utilizados (HTTP, FTP, POP3, SMTP, IMAP, entre otros). Jorge Garca Delgado
1.3.1.- Routers frontera. Es un dispositivo situado entre la red interna y las redes de otros proveedores que se encarga de dirigir el trfico de datos de un lado a otro. El ltimo router frontera es la primera y ltima lnea de defensa de red y de filtrado inicial y final.
1.3.2.- Cortafuegos (firewalls). Un cortafuegos (firewall) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.
Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.
Las funciones principales de un firewall son:
1.- Control de acceso 2.- Traslacin de direcciones 3.- Autenticacin 4.- Balanceo de carga 5.- Seguridad de Contenido 6.- Encriptacin (para permitir establecer VPNs en el Internet)
Un firewall permite proteger una red privada contra cualquier accin hostil, al limitar su exposicin a una red no confiable aplicando mecanismos de control para restringir el acceso desde y hacia ella al nivel definido en la poltica de seguridad. Generalmente un firewall es utilizado para hacer de intermediario entre una red de una organizacin e Internet u otra red no confiable.
Estos mecanismos de control actan sobre los medios de comunicacin entre las dos redes, en particular, sobre la familia de protocolos utilizada para la comunicacin de sistemas remotos. La ms comnmente usada es TCP/IP ya que dispone de amplios desarrollos de mecanismos estndares para su uso en varios aspectos, incluyendo en seguridad
Jorge Garca Delgado
Tipos de cortafuegos personales: Aunque existen sistemas o mquinas especficamente diseadas para hacer de cortafuegos, nos centramos en este caso en los cortafuegos personales, habitualmente integrados en los sistemas operativos.
Entrante: El cortafuegos de tipo entrante es el que controla las conexiones que "entran" en el sistema. Esto quiere decir que est pensado en mayor medida para servidores, para comprobar desde qu direcciones IP se quieren establecer conexiones a sus servicios.
Saliente: El cortafuegos de tipo saliente controla las conexiones que "salen" del sistema, esto es, las que acuden a un servidor. Est pensado en mayor medida para clientes, para comprobar hacia qu direcciones IP o qu puertos se conecta nuestro ordenador. Este tipo de cortafuegos es mucho menos usado que el entrante, aunque es ms seguro, puesto que nos permite tener control total de hacia dnde intentan conectarse los programas y, por tanto, nuestros datos.
Otros tipos de cortafuegos: Hasta ahora se han visto las funciones bsicas de los firewalls y el concepto original para el que fueron creados. Sin embargo, los cortafuegos personales y de servidores han evolucionado para ofrecer funcionalidades avanzadas que han ayudado a proteger an ms los servidores. Veamos algunos ejemplos:
Controlar el tipo de conexin: Las conexiones y flujos de datos entre puertos y direcciones IP pueden establecerse de forma errnea o malintencionada. Existen programas destinados a manipular este tipo de conexiones e intentar confundir al servidor para violar su seguridad o hacer que deje de responder. As, pueden intentar establecer conexiones incompletas, confusas, sin sentido, etc. Dependiendo del programa destino, el sistema actuar de una manera u otra. La mayora de los cortafuegos ya estn preparados para manejar este tipo de conexiones extraas y no dejarlas pasar para que no causen problemas. Muchos estn cargados por defecto con reglas de ataques conocidos que impiden que cualquier establecimiento de conexin que no sea conforme a los estndares, sea descartado.
Controlar la denegacin de servicio: La denegacin de servicio es un efecto bloqueo que ocurre cuando muchos sistemas intentan acceder a un mismo puerto de un servidor, saturndolo. El programa que escucha en el puerto puede manejar un nmero limitado de conexiones al mismo tiempo, y si ese nmero se supera, no permitir que nuevas conexiones se establezcan. As, si alguien consigue saturar al servidor e impedir que otras conexiones se establezcan, a travs de conexiones que genere l mismo u otros sistemas, estaremos ante una denegacin de servicio. Los cortafuegos permiten controlar tambin el nmero de conexiones que se estn produciendo, y en cuanto detectan que se establecen ms de las normales desde un mismo punto (o que estas se establecen con demasiada velocidad) pueden aadir reglas automticamente para bloquearlas y mantener el servicio a salvo.
Controlar las aplicaciones que acceden a Internet: Otros cortafuegos permiten controlar, adems de qu direcciones IP se conectan a qu puertos, cules son las aplicaciones que lo estn haciendo. As, es posible indicar que un programa deje de conectarse a un puerto o una IP en concreto. Si se realiza una lista blanca de programas que pueden conectarse a ciertos puertos, basados en el uso habitual del sistema, es posible conseguir un nivel de seguridad muy alto. Con esta tcnica, se impedir que programas a los que no hemos permitido explcitamente acceso a Internet, puedan enviar informacin interna al exterior.
Controlar las aplicaciones que acceden a un puerto: Un cortafuegos en el sistema puede tambin detectar cundo una aplicacin desea hacer uso de un puerto no para establecer una conexin, sino para ponerse a or en l y esperar conexiones. Los cortafuegos tambin advierten al usuario cuando una aplicacin quiere utilizar un puerto para esperar conexiones entrantes, puesto que puede suponer un riesgo de seguridad. Jorge Garca Delgado
1.3.3.- Sistemas de Deteccin de Intrusos. Es un sistema para monitorizar los eventos que ocurren en un sistema informtico, o escucha el trfico en la red para detectar actividades sospechosas, y accesos no autorizados a un sistema u ordenador de una red; y de este modo, reducir el riesgo de intrusin. Existen dos tipos de sistemas de deteccin de intrusos:
N-IDSes (basados en red): Un IDS basado en red monitoriza los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el trfico (como un HUB o un enrutador). Est donde est, monitorizar diversas mquinas y no una sola: esta es la principal diferencia con los sistemas de deteccin de intrusos basados en host.
H-IDSes (basados en host): Mientras que los sistemas de deteccin de intrusos basados en red operan bajo todo un dominio de colisin, los basados en mquina realizan su funcin protegiendo un nico sistema; de una forma similar - guardando las distancias, por supuesto - a cmo acta un escudo antivirus residente en MS-DOS, el IDS es un proceso que trabaja en background (o que despierta peridicamente) buscando patrones que puedan denotar un intento de intrusin y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado.
Las funciones de un IDS se pueden resumir de la siguiente forma:
Deteccin de ataques en el momento que estn ocurriendo o poco despus.
Automatizacin de la bsqueda de nuevos patrones de ataque, gracias a herramientas estadsticas de bsqueda, y al anlisis de trfico anmalo.
Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer los servicios que usan los usuarios, y estudiar el contenido del trfico, en busca de elementos anmalos.
Auditora de configuraciones y vulnerabilidades de determinados sistemas.
Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del trfico y de los logs.
Anlisis de comportamiento anormal. Si se detecta una conexin fuera de hora, reintentos de conexin fallidos y otros, existe la posibilidad de que se est en presencia de una intrusin. Un anlisis detallado del trfico y los logs puede revelar una mquina comprometida o un usuario con su contrasea al descubierto.
Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la configuracin de cortafuegos y otros.
Jorge Garca Delgado
1.3.4.- Redes Privadas Virtuales Es una red privada construida dentro de una infraestructura de red pblica, que se utilizan para conectar de forma segura a un recurso de la red privada a los usuarios remotos a travs de accesos a Internet proporcionados por ISP, en lugar de lneas dedicadas.
Por lo tanto, el sistema VPN brinda una conexin segura a un bajo costo, ya que todo lo que se necesita es el hardware de ambos lados de las redes conectadas. Sin embargo, no garantiza una calidad de servicio comparable con una lnea dedicada, ya que la red fsica es pblica y por lo tanto no est garantizada.
1.3.5.- Software y servicios. Host Bastion. Es una aplicacin que se instala en un servidor para ofrecer seguridad a la red interna, ya que est configurado especialmente para la recepcin de ataques. Normalmente un servidor con Host Bastion provee un solo servicio.
A diferencia del filtro realizado a travs de un router, que permite o no el flujo directo de paquetes desde el interior al exterior de una red, los bastin host (tambin llamados en ingls application-levelgateways) permiten un flujo de informacin pero no un flujo de paquetes, lo que permite una mayor seguridad de las aplicaciones del host. El diseo del bastin consiste en decidir qu servicios ste incluir. Se podra tener un servicio diferente por host, pero esto involucrara un costo muy elevado, pero en caso de que se pueda abordar, se podran llegar a tener mltiples bastin host para mantener seguros mltiples puntos de ataque.
Definida la cantidad de bastin hosts, se debe ahora analizar que se instalar en cada uno de ellos, para esto se proponen distintas estrategias:
Que la plataforma de hardware del bastin host ejecute una versin segura de su sistema operativo, diseado especficamente para proteger al sistema operativo de sus vulnerabilidades y asegurar la integridad del firewall
Instalar slo los servicios que se consideren esenciales. La razn de esto es que si el servicio no est instalado, ste no puede ser atacado. En general, una limitada cantidad de aplicaciones proxy son instaladas en un bastin host.
El bastin host podra requerir autentificacin adicional antes de que un usuario ingrese a sus servicios.
En caso de alojar un proxy, este puede tener variadas configuraciones que ayuden a la seguridad del bastion host, tales como: configurados para soportar slo un subconjunto de aplicaciones, permitiendo el acceso a determinados hosts y/o proveyendo toda la informacin de los clientes que se conecten.
Jorge Garca Delgado
8.- Zonas desmilitarizadas (DMZ) y subredes controladas. Una zona desmilitarizada (DMZ) es una red local que se ubica entre una red interna (intranet) y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir los equipos (hosts) en la DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrnico, Web y DNS. Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).
Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta a un puerto distinto de ste. Esta configuracin se llama cortafuegos en tipo (three-legged firewall). Un planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa.
Jorge Garca Delgado
2.1.1.- Cortafuego de filtrado de paquetes. Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router puedo bloquear o permitir la comunicacin mediante las listas de control de acceso (ACL) en funcin de las caractersticas de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. La desventaja de este cortafuegos es que no dispone de un sistema de monitorizacin sofisticado y el administrador no distingue entre si el router est siendo atacado o si su seguridad se ha visto comprometida.
2.1.2.- Cortafuego Dual-Homed Host. Es un cortafuegos que se instala en un host con dos tarjetas de red que acta como router entre dos redes. Tiene la funcin de permitir directamente la comunicacin de una red a (red privada por ejemplo) a otra red B (red pblica por ejemplo); pero la comunicacin de la red B a la red A no se permite directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall tambin pueden comunicarse con l, pero los sistemas no pueden comunicarse directamente entre ellos. En la estructura se implementa entre la red interna y la externa junto a un host bastion.
2.1.3.- Screened Host. Cortafuegos que se combina con un host bastion, situado entre la red externa y el host bastion situado en la red interna. El cortafuegos filtra los paquetes de modo que el host bastion es el nico sistema accesible desde la red externa, y se permite a los host de la red interna establecer conexiones con la red externa de acuerdo con unas polticas de seguridad.
Jorge Garca Delgado
2.1.4.- Screened Subnet (DMZ). Este cortafuegos se realiza en una estructura DMZ donde se emplean dos routers exterior e interior, entre los router se incluye el host bastin. El router exterior bloquea el trfico no deseado en ambos sentidos, por otro lado el router interior bloquea el trfico no deseado tanto hacia la red DMZ como hacia la red interna. De este modo, para atacar la red protegida se tendra que romper la seguridad de ambos routers.
2.1.5.- Otras arquitecturas. Una manera de incrementar en gran medida el nivel de seguridad de la red interna y al mismo tiempo facilitar la administracin de los cortafuegos consiste en emplear un host bastin distinto para cada protocolo o servicio en lugar de un nico host bastin. Muchas organizaciones no pueden adoptar esta arquitectura porque presenta el inconveniente de la cantidad de mquinas necesarias para implementar el cortafuegos. Una alternativa la constituye el hecho de utilizar un nico bastin pero distintos servidores proxy para cada uno de los servicios ofrecidos.
Otra posible arquitectura se da en el caso en que se divide la red interna en diferentes subredes, lo cual es especialmente aplicable en organizaciones que disponen de distintas entidades separadas. En esta situacin es recomendable incrementar los niveles de seguridad de las zonas ms comprometidas situando cortafuegos internos entre dichas zonas y la red exterior. Aparte de incrementar la seguridad, los firewalls internos son especialmente recomendables en zonas de la red desde la que no se permite a priori la conexin con Internet.
Mostramos un ejemplo de arquitectura hibrida:
Jorge Garca Delgado 3.- Polticas de defensa en profundidad. La seguridad de la organizacin es el resultado de operaciones realizadas por personas y soportadas por la tecnologa, para ello se realizan polticas de defensa.
3.1.- Defensa perimetral. La seguridad perimetral es uno de los mtodos posibles de defensa de una red, basado en el establecimiento de recursos de seguridad en el permetro externo de la red y a diferentes niveles.
3.1.1.- Interaccin entre zona perimetral (DMZ) y zona externa. Una DMZ se define como una red local que se ubica entre la red interna de una organizacin y una red externa como Internet.
Su objetivo es el de permitir conexiones desde la red interna hacia la red externa, pero limitar las conexiones desde el exterior hacia el interior.
Los equipos de la DMZ no pueden conectar con la red interna, por lo tanto para cualquier intruso de una red exterior que se tope con una DMZ, lo que consigue es acceder a un callejn sin salida.
Por lo general la DMZ se utiliza para ofrecer servicios que necesitan ser accedidos desde el exterior, como ser servidores de email, servidores web, FTP o DNS.
3.1.2.- Monitorizacin del permetro: deteccin y prevencin de intrusos. Implementar sistema de monitorizacin para la prevencin de incidencias y detectar los sistemas crticos (tanto mquinas como servicios) para el buen funcionamiento del sistema. Los objetivos principales de la monitorizacin son: mantener las medidas de seguridad existentes, minimizar el impacto en el propio sistema a estudiar, y minimizar el nmero de sistemas intermedios entre el sistema de monitorizacin y los sistemas crticos.
3.2.- Defensa interna. La seguridad tambin es muy importante, implementando diferentes recursos de seguridad en toda la red interna y a diferentes niveles.
3.2.1.- Interaccin entre zona perimetral (DMZ) y zonas de seguridad interna). El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e- mail, Web y DNS.
Jorge Garca Delgado
3.2.2.- Routers y cortafuegos internos. Activar el firewall del router, para permitir o no aplicaciones y coneciones, adems de las implementaciones contra ataque que tenga el firewall del router, como es el escaneo de la red interna o ping desde equipos de internet. Activar tambin un/unos firewall internos determinados con unas polticas de acceso. Activar logs de acceso y registro de sucesos.
3.2.3.- Monitorizacin interna. Implementar sistema de monitorizacin para la prevencin de incidencias y detectar los sistemas crticos (tanto mquinas como servicios) para el buen funcionamiento del sistema. Los objetivos principales de la monitorizacin son: mantener las medidas de seguridad existentes, minimizar el impacto en el propio sistema a estudiar, y minimizar el nmero de sistemas intermedios entre el sistema de monitorizacin y los sistemas crticos.
3.2.4.- Conectividad externa (Enlaces dedicados y redes VPN). Implementacin de conexiones privadas virtuales para permitir conexiones seguras a la red interna desde un equipo en internet.
3.3.5.- Cifrados a nivel host. Implementar medidas de cifrado de extremo a extremo, en cual el host o terminal fuente cifra los datos antes de transmitirlos hacia el destino. Esto evita la optencin de informacin no cifrada si se escucha la red
3.3.- Factor Humano. Implementar un conjunto de polticas y directrices individuales a los usuarios y sistemas fsicos en la red que permiten la seguridad y el uso adecuado de tecnologa y sistema.
Jorge Garca Delgado VPN o red privada virtual: Es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
4.1.- Beneficios y desventajas con respecto a las lneas dedicadas.
Beneficios: Ahorro econmico: Permite conectar redes fsicamente separadas sin necesidad de usar una red dedicada, sino a travs de internet Transparencia: interconectar distintas sedes en transparente para el usuario final, ya que la configuracin se puede hacer solo a nivel de pasarela. Seguridad: se pueden asegurar mltiples servicios a travs de un nico mecanismo. Movilidad: nos permite asegurar la conexin entre usuarios mviles y nuestra red fija. Simplicidad: este tipo de soluciones permite simplificar la administracin de la conexin de servidores y aplicaciones entre diferentes dominios.
Desventajas: Fiabilidad: Pues que depende del ISP no es 100% fiable, y fallos en la red pueden dejar incomunicados recursos de nuestra VPN. Confianza entre sedes: si la seguridad de un nodo o subred involucrada en una VPN se viese comprometida, eso afectara a la seguridad de todos los componentes de la VPN. Interoperabilidad: Al implementar una VPN, podemos encontrar incompatibilidades entre las usadas en los distintos nodos de la VPN.
4.2.- Tipos de conexin VPN:
- VPN de acceso remoto: Consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etctera) utilizando Internet como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnologa su infraestructura dial-up (mdems y lneas telefnicas).
- VPN sitio a sitio (tunneling): Se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vnculos punto a puntos tradicionales (realizados comnmente mediante conexiones de cable fsicas entre los nodos), sobre todo en las comunicaciones internacionales.
Jorge Garca Delgado
Tunneling: Consiste en encapsular un protocolo de red sobre otro creando un tnel dentro de una red de computadoras. El establecimiento de dicho tnel se implementa incluyendo un PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del tnel sin que sea necesaria una interpretacin intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El tnel queda definido por los puntos extremos y el protocolo de comunicacin empleado, que entre otros, podra ser SSH.
- VPN sobre LAN: Es una variante del tipo "acceso remoto" pero, en lugar de utilizar Internet como medio de conexin, emplea la misma red de rea local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalmbricas (WIFI).
4.3.- Protocolos que generan una VPN: PPTP, L2F, L2TP.
- Protocolo PPTP: El principio del PPTP (Protocolo de tnel punto a punto) consiste en crear tramas con el protocolo PPP y encapsularlas mediante un datagrama de IP. Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes de rea local se conectan con una conexin de igual a igual (con un sistema de autenticacin/cifrado) y el paquete se enva dentro de un datagrama de IP. De esta manera, los datos de la red de rea local (as como las direcciones de los equipos que se encuentran en el encabezado del mensaje) se encapsulan dentro de un mensaje PPP, que a su vez est encapsulado dentro de un mensaje IP.
- Protocolo de tnel punto a punto: Consiste en crear tramas con el protocolo PPP y encapsularlas mediante un datagrama de IP. Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes de rea local se conectan con una conexin de igual a igual (con un sistema de autenticacin/cifrado) y el paquete se enva dentro de un datagrama de IP. De esta manera, los datos de la red de rea local (as como las direcciones de los equipos que se encuentran en el encabezado del mensaje) se encapsulan dentro de un mensaje PPP, que a su vez est encapsulado dentro de un mensaje IP.
- Protocolo L2F Layer 2 Forwarding: La principal diferencia entre PPTP y L2F es que el establecimiento de tneles de L2F no depende del protocolo IP, es capaz de trabajar directamente con otros medios, como Frame Relay o ATM. Al igual que PPTP, L2F utiliza el protocolo PPP para la autenticacin del usuario remoto, pero tambin implementa otros sistemas de autenticacin como TACACS+ y RADIUS. L2F permite que los tneles contengan ms de una conexin. Hay dos niveles de autenticacin del usuario, primero por parte del ISP (proveedor de servicio de red), anterior al establecimiento del tnel, y posteriormente, cuando se ha establecido la conexin con la pasarela corporativa. Como L2F es un protocolo de Nivel de enlace de datos segn el Modelo de Referencia OSI, ofrece a los usuarios la misma flexibilidad que PPTP para manejar protocolos distintos a IP, como IPX o NetBEUI.
- Protocolo L2TP: L2TP es un protocolo de tnel estndar muy similar al PPTP. L2TP encapsula tramas PPP, que a su vez encapsulan otros protocolos (como IP, IPX o NetBIOS).
Jorge Garca Delgado 5.1.- Pretty Good Privacy (PGP). GNU Privacy Good (GPG).
PGP es una herramienta de cifrado de texto plano a comprimido. La compresin de los datos ahorra espacio en disco, tiempos de transmisin y, ms importante an, fortalece la seguridad criptogrfica. Despus de comprimir el texto, PGP crea una clave de sesin secreta que solo se emplear una vez. Esta clave es un nmero aleatorio generado a partir de los movimientos del ratn y las teclas que se pulsen durante unos segundos con el propsito especfico de generar esta clave.
GPG es una herramienta de cifrado y firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estndar del IETF denominado OpenPGP.
5.2.- Seguridad a nivel de aplicacin: SSH (Secure Shell). SSH es un protocolo que permite a los equipos establecer una conexin segura que hace posible que un cliente (un usuario o incluso un equipo) abra una sesin interactiva en una mquina remota (servidor) para enviar comandos o archivos a travs de un canal seguro.
Los datos que circulan entre el cliente y el servidor estn cifrados y esto garantiza su confidencialidad (nadie ms que el servidor y el cliente pueden leer la informacin que se enva a travs de la red). El cliente y el servidor se autentifican uno a otro para asegurarse que las dos mquinas que se comunican son, de hecho, aquellas que las partes creen que son. El hacker ya no puede adoptar la identidad del cliente o de su servidor (falsificacin).
Una conexin SSH se establece en varias fases: Primero, se determina la identidad entre el servidor y el cliente para establecer un canal seguro (capa segura de transporte). Segundo, el cliente inicia sesin en el servidor.
5.3.- Seguridad en IP (IPSEC). IPSEC es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado.
Para decidir qu proteccin se va a proporcionar a un paquete saliente, IPsec utiliza el ndice de parmetro de seguridad (SPI), un ndice a la base de datos de asociaciones de seguridad (SADB), junto con la direccin de destino de la cabecera del paquete, que juntos identifican de forma nica una asociacin de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificacin y descifrado de la base de datos de asociaciones de seguridad.
Jorge Garca Delgado
5.4.- Seguridad en Web: SSL ("Secure Socket Layer) y TLS ("Transport Layer Security) son protocolos criptogrficos que proporcionan comunicaciones de seguridad en el Internet. TLS y SSL cifra los segmentos de conexiones de red por encima de la capa de transporte, utilizando criptografa asimtrica de clave cambio, el cifrado simtrico de la vida privada, y los cdigos de autenticacin de mensajes para la integridad del mensaje.
5.4.1.- SSL ("Secure Socket Layer). SSL proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de criptografa. Habitualmente, slo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar.
Funcionamiento:
Durante la primera fase, el cliente y el servidor negocian qu algoritmos criptogrficos se van a usar. El cliente enva y recibe varias estructuras handshake: Enva un mensaje ClientHello especificando una lista de conjunto de cifrados, mtodos de compresin y la versin del protocolo SSL ms alta permitida. ste tambin enva bytes aleatorios que sern usados ms tarde (llamados Challenge de Cliente o Reto). Adems puede incluir el identificador de la sesin. Despus, recibe un registro ServerHello, en el que el servidor elige los parmetros de conexin a partir de las opciones ofertadas con anterioridad por el cliente. Cuando los parmetros de la conexin son conocidos, cliente y servidor intercambian certificados (dependiendo de las claves pblicas de cifrado seleccionadas). Estos certificados son actualmente X.509, pero hay tambin un borrador especificando el uso de certificados basados en OpenPGP. El servidor puede requerir un certificado al cliente, para que la conexin sea mutuamente autenticada. Cliente y servidor negocian una clave secreta (simtrica) comn llamada master secret, posiblemente usando el resultado de un intercambio Diffie-Hellman, o simplemente cifrando una clave secreta con una clave pblica que es descifrada con la clave privada de cada uno. Todos los datos de claves restantes son derivados a partir de este master secret (y los valores aleatorios generados en el cliente y el servidor), que son pasados a travs una funcin pseudoaleatoria cuidadosamente elegida.
5.4.2.- TLS ("Transport Layer Security). TLS (Transport Layer Security) es una evolucin del protocolo SSL (Secure Sockets Layer), es un protocolo mediante el cual se establece una conexin segura por medio de un canal cifrado entre el cliente y servidor. As el intercambio de informacin se realiza en un entorno seguro y libre de ataques. Normalmente el servidor es el nico que es autenticado, garantizando as su identidad, pero el cliente se mantiene sin autenticar, ya que para la autenticacin mutua se necesita una infraestructura de claves pblicas (o PKI) para los clientes. Estos protocolos permiten prevenir escuchas (eavesdropping), evitar la falsificacin de la identidad del remitente y mantener la integridad del mensaje en una aplicacin cliente-servidor.
Jorge Garca Delgado Coincidiendo con la aparicin del concepto del teletrabajo, y de la necesidad de interconectar tanto redes locales, por ejemplo de diversas delegaciones de una misma empresa, como puestos de trabajo autnomos o mviles con la oficina o de buscar mecanismos de acceso a bases de datos y otras redes de informacin (Internet e Infova), se determina la aparicin de un nuevo tipo de dispositivo de "internetworking": los servidores de comunicaciones, tambin denominados servidores de acceso remoto. Un servidor de acceso remoto es una combinacin de hardware y software que permite el acceso remoto a herramientas o informacin que residen en una red de dispositivos. En otras palabras, un servidor remoto es un equipo que permite a otros conectarse a ste (puede ser a travs de una lnea telefnica por mdem, por ejemplo). Los servidores de acceso remoto tambin son llamados servidores de comunicaciones o, en ingls, Remote Access Server/Service, abreviado RAS.
6.1.- Protocolos de autenticacin. Un protocolo de autentificacin (o autenticacin) es un tipo de protocolo criptogrfico que tiene el propsito de autentificar entidades que desean comunicarse de forma segura. Los protocolos de autenticacin se negocian inmediatamente despus de determinar la calidad del vnculo y antes de negociar el nivel de red.
- Protocolos PPP, PPoE, PPPoA. PPP: Point-to-Point Protocol: Es un protocolo de nivel de enlace, permite establecer una conexin entre dos computadoras. Se utiliza para establecer la conexin a Internet de un particular con su proveedor de acceso a travs de un mdem telefnico. Adems del simple transporte de datos, PPP facilita dos funciones importantes:
PPOE: Protocolo Punto a Punto sobre Ethernet: Es un protocolo de red para la encapsulacin PPP sobre una capa de Ethernet, que permite implementar una capa IP sobre una conexin entre dos puertos Ethernet, lo que es utilizado para virtualmente "marcar" a otra mquina dentro de la red Ethernet, logrando una conexin "serial" con ella, con la que se pueden transferir paquetes IP, basado en las caractersticas del protocolo PPP.
PPPOA: Protocolo de Punto a Punto (PPP) sobre ATM: Es un protocolo de red para la encapsulacin PPP en capas ATM AAL5, que se utiliza principalmente en conexiones de banda ancha sixto. Este ofrece las principales funciones PPP como autenticacin, cifrado y compresin de datos. Actualmente tiene alguna ventaja sobre PPPoE debido a que reduce la prdida de calidad en las transmisiones. Al igual que PPPoE, PPPoA puede usarse en los modos VC-MUX y LLC.
- Autenticacin de contrasea: PAP PAP es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea se envan al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseas pueden leerse fcilmente en los paquetes del PPP intercambiados durante el proceso de autenticacin. PAP suele utilizarse nicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten mtodos de autenticacin ms seguros.
Jorge Garca Delgado
- Autenticacin por desafo mutuo: CHAP Es un mtodo de autenticacin muy utilizado en el que se enva una representacin de la contrasea del usuario, no la propia contrasea. Con CHAP, el servidor de acceso remoto enva un desafo al cliente de acceso remoto. El cliente de acceso remoto utiliza un algoritmo hash (tambin denominado funcin hash) para calcular un resultado hash de MD5 basado en el desafo y un resultado hash calculado con la contrasea del usuario.
El cliente de acceso remoto enva el resultado hash MD5 al servidor de acceso remoto. El servidor de acceso remoto, que tambin tiene acceso al resultado hash de la contrasea del usuario, realiza el mismo clculo con el algoritmo hash y compara el resultado con el que envi el cliente.
Si los resultados coinciden, las credenciales del cliente de acceso remoto se consideran autnticas. El algoritmo hash proporciona cifrado unidireccional, lo que significa que es sencillo calcular el resultado hash para un bloque de datos, pero resulta matemticamente imposible determinar el bloque de datos original a partir del resultado hash.
- Autenticacin extensible: EAP. Mtodos. (EAP) es una autenticacin framework usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede ser usado para autenticacin en redes cableadas. Recientemente los estndares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticacin. Estos mecanismos son llamados mtodos EAP, de los cuales se conocen actualmente unos 40. Adems de algunos especficos de proveedores comerciales, los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, y EAP-AKA.
Los mtodos modernos capaces de operar en ambientes inalmbricos incluyen EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP y EAP-TTLS.
Cuando EAP es invocada por un dispositivo NAS (Network Access Server) capacitado para 802.1X, como por ejemplo un punto de acceso 802.11 a/b/g, los mtodos modernos de EAP proveen un mecanismo seguro de autenticacin y negocian un PMK (Pair-wise Master Key) entre el dispositivo cliente y el NAS. En esas circunstancias, la PMK puede ser usada para abrir una sesin inalmbrica cifrada que usa cifrado TKIP o AES.
Proceso de Intercambio de Autenticacin EAP 1.- El Servidor de Autenticacin enva un Request (Solicitud) de Autenticacin al cliente, el mensaje de Request tiene un campo de Tipo, en el cual el cliente debe responder que es lo que est solicitando, los tipos existentes son: Identidad, Notificacin, Nak, MD5-Challenge, One-Time Password (OTP), GenericToken-Card (GTC), Tipos Expandidos y Experimental.
2.- El Cliente enva un paquete Response (Respuesta) al Servidor. Al igual que en el paquete Request, el paquete Response contiene un campo de Tipo, el cual corresponde al campo de Tipo en el paquete de Request.
3.- El Servidor de autenticacin enva un paquete Request adicional, al cual el cliente enva un Response. La secuencia de Request y Response continua segn sea necesario. Como se mencion, EAP es un protocolo lock-step, por lo que no se puede enviar el siguiente paquete sin haber recibido uno vlido antes. El servidor es responsable de transmitir las solicitudes de retrasmisin, dichos mtodos se describen en el RFC de EAP. Despus de un nmero de retransmisiones, el Servidor PUEDE terminar la conversacin EAP. Jorge Garca Delgado
El Servidor NO PUEDE enviar un paquete de Success o Failure cuando se retransmite o cuando falla en recibir una respuesta a dichos paquetes por parte del cliente.
4.-La conversacin contina hasta que el Servidor no puede autenticar al cliente, y en dicho caso el Servidor DEBE trasmitir un mensaje de Failure. Como alternativa, la conversacin de autenticacin puede continuar hasta que el Servidor determina que se ha cumplido con una autenticacin satisfactoriamente, para dicho caso, el Servidor DEBE enviar un paquete de Success.
- PEAP. PEAP El Protocolo de autenticacin extensible protegido, que utiliza seguridad a nivel de transporte (TLS) para crear un canal cifrado entre un cliente de autenticacin PEAP, como un equipo inalmbrico, y un autenticador PEAP, como un Servicio de autenticacin de Internet (IAS) o un servidor del Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS). PEAP no especifica un mtodo de autenticacin, sino que proporciona seguridad adicional para otros protocolos de autenticacin de EAP, como EAP-MSCHAPv2, que pueden operar a travs del canal cifrado de TLS que proporciona PEAP. PEAP se utiliza como mtodo de autenticacin para los equipos cliente inalmbricos 802.11, pero no se admite en clientes de red privada virtual (VPN) u otros clientes de acceso remoto.
Proceso de autenticacin PEAP El proceso de autenticacin PEAP entre el cliente y el autenticador PEAP tiene lugar en dos etapas. En la primera etapa se configura un canal seguro entre el cliente PEAP y el servidor de autenticacin. En la segunda se proporciona la autenticacin EAP entre el cliente y el autenticador EAP.
- Kerberos. Kerberos es un protocolo de autenticacin de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Los mensajes de autenticacin estn protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen extensiones del protocolo para poder utilizar criptografa de clave asimtrica.
1. Un usuario ingresa su nombre de usuario y password en el cliente 2. El cliente genera una clave hash a partir del password y la usar como la clave secreta del cliente.
3. El cliente enva un mensaje en texto plano al AS solicitando servicio en nombre del usuario. Nota: ni la clave secreta ni el password son enviados, solo la peticin del servicio.
4. El AS comprueba si el cliente est en su base de datos. Si es as, el AS genera la clave secreta utilizando la funcin hash con la password del cliente encontrada en su base de datos. Entonces enva dos mensajes al cliente:
1. Mensaje A: Client/TGS sessionkey cifrada usando la clave secreta del usuario 2. Mensaje B: Ticket-Granting Ticket (que incluye el ID de cliente, la direccin de red del cliente, el perodo de validez y el Client/TGS sessionkey) cifrado usando la clave secreta del TGS.
Jorge Garca Delgado
5. Una vez que el cliente ha recibido los mensajes, descifra el mensaje A para obtener el client/TGS sessionkey. Esta sessionkey se usa para las posteriores comunicaciones con el TGS. (El cliente no puede descifrar el mensaje B pues para cifrar ste se ha usado la clave del TGS). En este momento el cliente ya se puede autenticar contra el TGS.
6. Entonces el cliente enva los siguientes mensajes al TGS:
1. Mensaje C: Compuesto del Ticket-Granting Ticket del mensaje B y el ID del servicio solicitado. 2. Mensaje D: Autenticador (compuesto por el ID de cliente y una marca de tiempo), cifrado usando el client/TGS sessionkey.
7. Cuando recibe los mensajes anteriores, el TGS descifra el mensaje D (autenticador) usando el client/TGS sessionkey y enva los siguientes mensajes al cliente:
1. Mensaje E: Client-to-server ticket (que incluye el ID de cliente, la direccin de red del cliente, el perodo de validez y una Client/Server sessionkey) cifrado usando la clave secreta del servicio. 2. Mensaje F: Client/server session key cifrada usando el client/TGS session key.
8. Cuando el cliente recibe los mensajes E y F, ya tiene suficiente informacin para autenticarse contra el SS. El cliente se conecta al SS y enva los siguientes mensajes:
1. Mensaje E del paso anterior. 2. Mensaje G: un nuevo Autenticador que incluye el ID de cliente, una marca de tiempo y que est cifrado usando el client/server sessionkey.
9. El SS descifra el ticket usando su propia clave secreta y enva el siguiente mensaje al cliente para confirmar su identidad: 1. Mensaje H: la marca de tiempo encontrada en el ltimo Autenticador recibido del cliente ms uno, cifrado el client/server sessionkey.
10. El cliente descifra la confirmacin usando el client/server sessionkey y chequea si la marca de tiempo est correctamente actualizada. Si esto es as, el cliente confiar en el servidor y podr comenzar a usar el servicio que este ofrece.
11. El servidor provee del servicio al cliente.
- Protocolos AAA:
Serie de protocolos combinados que realizan tres funciones: Autenticacin, Autorizacin y Contabilizacin.
Autenticacin La Autenticacin es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La Autenticacin se consigue mediante la presentacin de una propuesta de identidad (vg. un nombre de usuario) y la demostracin de estar en posesin de las credenciales que permiten comprobarla.
Jorge Garca Delgado
Autorizacin Autorizacin se refiere a la concesin de privilegios especficos (incluyendo "ninguno") a una entidad o usuario basndose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden tambin estar basadas en restricciones, tales como restricciones horarias, sobre la localizacin de la entidad solicitante, la prohibicin de realizar logins mltiples simultneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio.
Contabilizacin La Contabilizacin se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta informacin puede usarse posteriormente para la administracin, planificacin, facturacin, u otros propsitos. La contabilizacin en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. En contraposicin la contabilizacin por lotes (en ingls "batch accounting") consiste en la grabacin de los datos de consumo para su entrega en algn momento posterior. La informacin tpica que un proceso de contabilizacin registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenz a usarlo, y cuando termin.
-RADIUS: Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812UDP para establecer sus conexiones. Cuando se realiza la conexin con un ISP mediante mdem, DSL, cable, mdem, Ethernet o Wi-Fi, se enva una informacin que generalmente es un nombre de usuario y una contrasea.
Esta informacin se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la peticin a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de red como una direccin IP, y otros parmetros como L2TP, etc.
Actualmente existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto. Las prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracin centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes).... RADIUS es extensible; la mayora de fabricantes de software y hardware RADIUS implementan sus propios dialectos.
-TACACS+: TACACS+ (acrnimo de Terminal Access Controller Access Control System, en ingls sistema de control de acceso del controlador de acceso a terminales) es un protocolo de autenticacin remota que se usa para gestionar el acceso (proporciona servicios separados de autenticacin, autorizacin y registro) a servidores y dispositivos de comunicaciones.
TACACS+ est basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS.
Jorge Garca Delgado
6.2.- Configuracin de parmetros de acceso.
-Limitar el acceso determinadas mquinas: Para especificar un equipo podemos hacer uso: de la direccin IP del equipo, de la red de equipos del nombre del dominio del equipo del nombre de dominio que engloba a todos los equipos que le pertenecen.
-Controlar el nmero mximo de conexiones: Es importante para prevenir ataques de DoS: Limitar el nmero de conexiones al servicio. Limitar el nmero de conexiones al servicio haciendo distincin entre mquinas y/o usuarios.
-Controlar el tiempo de conexin Controlar el tiempo mximo de inactividad Controlar el tiempo mximo de conexin activa en caso de atascos o bloqueos Controlar el tiempo mximo que se puede estar sin transferencias de informacin:
-Auditora: Nos permite llevar el control de las acciones sobre el servidor FTP. Se puede auditar: Qu usuarios establecieron conexin, en qu momento se estableci la conexin Qu operaciones se llevaron a cabo
-Combinacin de sitio annimo y no annimo Es posible tener sitios mixtos, para ello se mantiene el bloque descriptivo de los usuarios annimos y se elimina la directiva que evita todo acceso al servicio por parte de los usuarios del sistema.
6.3.- Servidores de autenticacin. Son servidores que controlan quin puede acceder, o no, a una red informtica. Los objetivos son la autorizacin de autenticacin, la privacidad y no repudio. La autorizacin determina qu objetos o datos de un usuario puede tener acceso a la red, si los hubiere. Privacidad mantiene la informacin se divulgue a personas no autorizadas. No repudio es a menudo un requisito legal y se refiere al hecho de que el servidor de autenticacin puede registrar todos los accesos a la red junto con los datos de identificacin, de manera que un usuario no puede repudiar o negar el hecho de que l o ella ha tenido o modificado el datos en cuestin.
Servidores de autenticacin vienen en muchas formas diferentes. El software de control de la autenticacin puede residir en un servidor de acceso a la red informtica, una pieza de router o de otro tipo de hardware para controlar el acceso a la red, o algn otro punto de acceso de red. Independientemente del tipo de mquina que aloja el software de autenticacin, el trmino servidor de autenticacin sigue siendo generalmente utilizado para referirse a la combinacin de hardware y software que cumple la funcin de autenticacin.
Adems de las variaciones en el hardware, hay un nmero de diferentes tipos de algoritmos lgicos que pueden ser utilizados por un servidor de autenticacin. El ms simple de estos algoritmos de autenticacin es generalmente considerado como el uso de contraseas. En una aplicacin sencilla, el servidor de autenticacin slo puede almacenar una lista de nombres de usuario vlido y la contrasea correspondiente, y autenticar todos los usuarios que intentan conectarse a la red de acuerdo a esta lista. Jorge Garca Delgado
Algunos servidores de autenticacin son:
OpenLDAP: Es una implementacin libre y de cdigo abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP. LDAP es un protocolo de comunicacin independiente de la plataforma. LDAP es un protocolo a nivel de aplicacin el cual permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa informacin en un entorno de red. LDAP tambin es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas.
Active Directory: Es el nombre utilizado por Microsoft como almacn centralizado de informacin de uno de sus dominios de administracin.
Novell Directory Services: Tambin conocido como eDirectory es la implementacin de Novell utilizada para manejar el acceso a recursos en diferentes servidores y computadoras de una red.
iPlanet - Sun ONE Directory Server: Basado en la antigua implementacin de Netscape.
OpenLDAP: Se trata de una implementacin libre del protocolo que soporta mltiples esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP. Tiene su propia licencia, la OpenLDAP Public License.
Red Hat Directory Server: Directory Server es un servidor basado en LDAP que centraliza configuracin de aplicaciones, perfiles de usuarios, informacin de grupos, polticas as como informacin de control de acceso dentro de un sistema operativo independiente de la plataforma.
Apache Directory Server : Apache Directory Server (ApacheDS).
Open DS: Basado en los estndares LDAPv3 y DSMLv2, OpenDS surgi como un proyecto interno de SUN, aunque posteriormente se puso a disposicin de la comunidad.
KERBEROS: servidor que se conoce como KDC (Key Distribution Center), que utiliza un sistema de criptografa simtrica (por defecto, Kerberos emplea el algoritmo de cifrado DES).