Documente Academic
Documente Profesional
Documente Cultură
Tema
Tema 1 Introduccin
Tema 2 Protocolos de Transporte
Tema 3 Protocolos de Aplicacin
Tema 4 Seguridad en Redes
Tema 5 Redes Wifi
Contenidos de la Asignatura Teora y Laboratorios
Servicios de seguridad:
Confidencialidad.
Integridad.
Autenticacin.
No repudio.
Control de acceso.
Disponibilidad.
Alarma.
Auditoria.
Seguridad en redes
Peligros y modos de ataque
Peligros y modos de ataque
Sniffing
Consiste en escuchar los datos que atraviesan la red, sin
interferir con la conexin a la que corresponden,
principalmente para obtener passwords, y/o informacin
confidencial.
Proteccin: emplear mecanismos de autenticacin y
encriptacin.
Barrido de puertos
Utilizado para la deteccin de servicios abiertos en una
mquina.
Proteccin: filtrado de puertos permitidos y gestin de logs y
alarmas.
Peligros y modos de ataque
Caballo de Troya
Programa que se enmascara como algo que no es, realizando
tareas adicionales a las publicitadas con el objetivo de obtener
informacin o acceso al equipo atacado.
Proteccin: Antivirus, instalacin de programas fiables.
Ataques dirigidos por datos
Son ataques que tienen lugar en modo diferido, sin la
participacin activa del atacante.
El atacante hacer llegar a la vctima una serie de datos que al
ser interpretados ejecutarn el ataque propiamente dicho,
como por ejemplo un virus a travs del correo electrnico.
Proteccin: Antivirus, formacin del usuario.
Peligros y modos de ataque
Ingeniera social
Ataques que aprovechan la buena voluntad de los usuarios de
los sistemas atacados.
Proteccin: Formacin del usuario.
Adivinacin de passwords
La mala eleccin de passwords por parte de los usuarios
permiten que sean fciles de adivinar (o por fuerza bruta) o
bien que el propio sistema operativo tenga passwords por
defecto.
Proteccin: Polticas de seguridad, formacin del usuario.
Peligros y modos de ataque
Acceso fsico
A los recursos del sistema y pudiendo entrar en consola,
adquirir informacin escrita, etc.
Proteccin: Acceso restringido a las salas de servidores,
Formacin del usuario.
Exploit
Aprovechan errores del software para obtener acceso al
sistema y/o a informacin sensible. (Ejemplo: buffers overflow).
Proteccin: Correcta programacin y prueba de los programas,
instalacin de parches seguridad.
Peligros y modos de ataque
Denegacin de servicio
El objetivo de estos ataques es impedir que el usuario pueda
usar un determinado servicio.
Syn flooding: realiza mltiples conexiones a un puerto para
bloquearlo.
Mail bombing: envo masivo de correos para saturar el servidor de
correo.
Pings: pings a direcciones broadcast para generar mucho trfico
dirigido a un servidor o mquina para saturarlo.
Proteccin:
Aumentar el lmite de conexiones simultneas, detectar conexiones
medio-abiertas y cerrarlas.
Mecanismos de filtrado y descarta de correos, limitar tamao
mximo del correo.
Deshabilitar el trfico broadcast, limitar el procesado de paquetes
icmp.
Peligros y modos de ataque
Cortafuegos:
Consiste en un dispositivo formado por uno o varios equipos
que se sitan entre la red de la empresa y la red exterior
(normalmente la Internet).
Analizan todos los paquetes que transitan entre ambas redes y
filtran los que no deben ser reenviados, de acuerdo con un
criterio establecido de antemano, de forma simple.
Para que no se convierta en cuello de botella en la red, deben
de procesar los paquetes a una velocidad igual o superior al
router.
Cortafuegos y deteccin de intrusos
Tipo de filtrado:
A nivel de red, con direcciones IP y la interfaz por la que llega el
paquete, generalmente a travs de listas de acceso (en los
routers).
A nivel de transporte, con los puertos y tipo de conexin, a
travs de listas de acceso (en los routers).
A nivel de aplicacin, con los datos, a travs de pasarelas para
las aplicaciones permitidas analizando el contenidos de los
paquetes y los protocolos de aplicacin.
Cortafuegos y deteccin de intrusos
Configuraciones de cortafuegos:
Screened Host Firewall.
Dual Homed Gateway.
DMZ (Demilitarized Zone) o Screened Subnet.
Bastin
Un host bastin es un equipo diseado y configurado para
resistir ataques que puedan comprometer la seguridad de la
red. Este equipo reduce al mnimo las aplicaciones que ejecuta
para reducir las amenazas.
Cortafuegos y deteccin de intrusos
Red Red
Externa Interna
Router
Dual-homed gateway
Un host bastin o pasarela con dos tarjetas de red separando la
red Intranet de Internet. Permite filtrado hasta la capa de
aplicacin.
Red Red
Externa Interna
Bastin
Cortafuegos y deteccin de intrusos
Red
Interna
Router
Red
Externa
Router
Uso de VLANs
Diferentes VLANS en funcin del tipo de trfico
Diseo LAN segura
Uso de VLANs
VLANS separadas por routers o distribuidas.
Diseo LAN segura
VPNs e IPSec
Podemos obligar a los equipos de la red wireless a autenticarse frente
a una pasarela VPN para el acceso interno
Adems siempre es conveniente el uso de un firewall hardware para
proteger de ataques los servidores
Diseo LAN segura
10.0.0.100 DATOS
10.0.0.5 IP
DHCP
10.0.0.100 -
10.0.0.200 RADIUS
10.0.0.100
147.156.0.1
Diseo LAN segura
Mecanismos de cifrado
Necesidad de mantener la informacin que circula por la red
fuera de las manos de usuarios no autorizados.
La solucin empleada es la de cifrar la informacin enviada.
Los mecanismos de encriptacin habituales en redes son de
dos tipos: de clave pblica o de clave privada.
DES - Esquema
Cifrado de Clave Privada
DES - Seguridad
Dado un trozo pequeo de texto normal y el texto cifrado
correspondiente, se puede encontrar la clave en unas horas con
el hardware del DES, mediante una bsqueda exhaustiva del
espacio de claves de 256.
DES no es seguro
Doble DES: Ejecutar el DES 2 veces, con 2 claves de 56 bits
distintas. Esto proporciona un espacio de claves de 2112
Se ha desarrollado un mtodo de ataque llamado encuentro a
la mitad que lo hace tambin vulnerable con 257 operaciones.
Cifrado de Clave Privada
Triple DES
IDEA Esquema
DB EB
P = Mi cuenta bancaria es 0000-111
Usuario A Usuario B
EB(P)
DB(EB(P)) = P
La clave pblica consiste en el par (e,n) y la clave privada ser el par (d,n).
Cifrado de Clave Pblica
RSA - Seguridad
RSA - Velocidad
Sin embargo, el algoritmo RSA es demasiado lento para poder cifrar grandes
volmenes de datos, por lo cual suele usarse para distribuir claves de sesin
de una sola vez para su uso con los algoritmos DES, 3DES, IDEA, AES u otros
semejantes.
Clave pblica y privada
DA EA DB EB
P1 = Soy A y quiero hablar
con B, usando la clave K
Usuario A Usuario B
EB(P1)
DB(EB(P1)) = P1
P2 = ok A, soy B y la clave
privada que vamos a usar es K
EA(P2)
DA(EA(P2)) = P2
A y B se comunicarn usando
un cifrado de clave privada con
la clave negociada K
Mecanismos de cifrado
3620/40 NM 4 Mbps
Network Module
MD5 - Algoritmo
1.- Se coge todo el mensaje original y se rellena hasta alcanzar una longitud de 448
mdulo 512 bits.
La longitud del mensaje en bits al ser dividirla por 512 debe dar como resto 448.
Una vez terminado el clculo, el buffer de 128 bits (16 bytes) contiene el valor del
compendio de mensaje.
Firma digital y certificados
El algoritmo procede igual que MD5, salvo que manipula un buffer de 160
bits.
Adems X lee todos los mensajes firmados, por ello, los candidatos
ms lgicos para operar el servidor X son el gobierno, los bancos, ...
DA EA Usuario A Usuario B DB EB
DA(P)
EB(DA(P))
DB(EB(DA(P))) = DA(P)
EA(DA(P)) = P
Firma digital y certificados
Certificado digital
Un vnculo entre una clave pblica y una identidad de usuario,
que se consigue mediante una firma digital por una tercera
parte o autoridad de certificacin en la que TODOS confan.
La autoridad de certificacin (CA: Certificacion Authority) es
una entidad de confianza que es reconocida y aceptada por
todos, imposible de suplantar.
La Fbrica Nacional de Moneda y Timbre (FNMT) es una CA.
Certificados raz: es un certificado emitido por la CA para s
misma con su clave pblica, para comprobar certificados
emitidos por ella.
Instalados por defecto en los navegadores y sistemas operativos.
Firma digital y certificados
Redes de confianza
En muchas ocasiones no se dispone de CA. Una solucin a este
problema estriba en la confianza de los propios usuarios entre
s.
Por ejemplo, si Juan confa plenamente en Luis y Luis ha
aceptado la identificacin de Pedro, Juan podra inicialmente
aceptar a Pedro, porque Luis es de su confianza.
En una red de confianza, una identificacin (clave nueva) se
considerar vlida si viene firmada por suficientes claves
vlidas.
Firma digital y certificados
Correo Seguro
Confidencialidad del correo electrnico
Un correo electrnico tradicional (SMTP) transitar por varias
mquinas en el camino.
Cualquiera puede leer y registrar el mensaje (no hay
confidencialidad).
En otras ocasiones, los usuarios quieren que su correo vaya
firmado, cifrado en ocasiones y no sean suplantados por otra
persona.
Sistemas de correo electrnico seguro de amplio uso en
Internet: PGP(Pretty Good Privacy) y PEM (Privacy Enhanced
Mail).
Firma digital y certificados
PGP naci con la idea de que cada usuario era su propia CA, cualquier
usuario poda firmar a otro y decir cul era el nivel de confianza en las
firmas de otros usuarios.
Firma digital y certificados
P1 comprimido
Concatenacin de
Concatenacin de P1.Z cifrado con
Mensaje en
P y la dispersin IDEA y KM
texto normal
firmada de P cifrado con EB
original de A
Firmado Cifrado
Firma digital y certificados
P1 comprimido
Clave RSA privada Concatenacin de
Mensaje en de A, DA P y la dispersin
texto normal
firmada de P
original de A
A quiere enviar P
1.- Lo primero que A hace es dispersar P usando MD5, firmando la
dispersin resultante con su clave RSA privada, DA
2.- La dispersin firmada y el mensaje original se concatenan en un solo
mensaje P1, y son comprimidos mediante el programa ZIP, obteniendo a
la salida P1.Z
Firma digital y certificados
KM RSA
Texto ASCII
P1.Z a la red
IDEA Base64
P1 comprimido
Concatenacin de
P1.Z cifrado con
IDEA y K M
cifrado con EB
3.- PGP solicita a A una entrada al azar, que junto con el contenido y la velocidad
de tecleo se usan para generar una clave de mensaje IDEA de 128 bits, KM (clave
de sesin) que se utiliza para cifrar P1.Z con IDEA. KM se cifra con la clave pblica
de B, EB.
4.- estos dos componentes (P1.Z y KM) se concatenan y convierten a base64
(codificacin MIME) que puede ponerse en un cuerpo RFC 822 (Correo
electrnico).
Firma digital y certificados
3.- PGP solicita a A una entrada al azar, que junto con el contenido y la velocidad
Firma digital y certificados
Cuestionario Socrative
https://b.socrative.com/login/student