Documente Academic
Documente Profesional
Documente Cultură
ORGANIZACIN
Introduccin *
Definicin Beneficios Riesgos Seguridad
Controles de Acceso
Filtros Gateway Firewall
Seguridad en la Comunicacin
Protocolo TCP/IP
* Definicin
Intranet: es una red de computadoras privada que utiliza internet para compartir de forma segura cualquier informacin y para evitar que cualquier usuario no autorizado pueda ingresar. Podra proporcionar una comunicacin privada y exitosa en una organizacin.
* Beneficios
Fcil acceso y entrega inmediata Multiplicidad de plataformas: no es dependiente del sistema operativo. Reduccin de costos de distribucin: con respecto a impresin de memorndums, documentos, etc. Escalabilidad: crece segn las necesidades de la organizacin. Incremento de la comunicacin interna: simplifica la comunicacin dentro de la organizacin.
* Riesgos
de la Intranet. Virus, Troyanos. Acceso a datos confidenciales. Ataques Pasivos (Writetapping, Traffic Analysis). Ataques Activos (Denegacin del Servicio, Degradacin del Servicio, Spoofing).
* Seguridad
ORGANIZACIN
Introduccin *
Definicin Beneficios Riesgos Seguridad
Controles de Acceso
Filtros * Gateway Firewall
Seguridad en la Comunicacin
Protocolo TCP/IP
* Filtros
+ Definicin
Los protocolos de transporte como TCP o UDP agregan informacin acerca de la fuente y el destino de cada datagrama como parte del encabezado. Esta informacin puede ser usada para selectivamente filtrar paquetes IP.
Filtro: Es un dispositivo multipuerto que trabaja con internet y que aplica un conjunto de reglas a cada paquete IP entrante para decidir si debe ser reenviado o descartado. Hoy en da los router comerciales proveen capacidad de filtrar paquetes IP de acuerdo a un conjunto de reglas de filtrado que implementan una determinada poltica de servicio de acceso. Estos routers son conocidos como routers de pantalla o screening routers.
+ Reglas de Filtrado
Block/Deny: el paquete debe ser rechazado y descartado. Permit/Allow: el paquete debe ser aceptado y enviado hacia su IP destino.
El filtrado de paquetes puede usarse para bloquear trafico desde o hacia IP especficas.
Filtrado Esttico de Paquetes: los filtros de paquetes no tienen estado, es decir, cada paquete es examinado independientemente de lo que haya pasado anteriormente. Contrariamente a esto se crea el Filtrado dinmico de paquetes. Filtrado Dinmico de Paquetes: se refiere a una tecnologa en donde un filtro de paquetes mantiene informacin de estado acerca de los IP de los paquetes pasados, para tomar decisiones ms inteligentes acerca de IP de paquetes futuros.
+ Ventajas
El filtrado de paquetes, tanto esttico como dinmico es ampliamente utilizado debido a tres razones o ventajas:
El
filtrado de paquetes tiene un costo bajo. El filtrado de paquetes es transparente a aplicaciones y usuarios. Los vendedores han promovido esta tecnologa para hacerla disponible mundialmente.
- Desventajas
Si un datagrama es muy grande, puede ser enviado en pequeos paquetes por los protocolos de transporte. Con respecto al filtrado de paquetes esto es un problema ya que el encabezado slo se encuentra en el primer paquete. Esto hace que solo se aplique a ste las reglas de filtrado y reenviando el resto de los paquetes sin descartarlos, debido a que se asume que el datagrama no podr ser rearmado sin el primer paquete. Algunos filtros se sobreponen a esta desventaja permitiendo almacenar el primer paquete del datagrama para aplicar la regla de filtrado al resto.
- Desventajas
FTP usa dos conexiones TCP (control/datos), una iniciada por el cliente y la otra por el servidor. Si alguna de las partes se encuentra fuera de la intranet, puede haber problemas para establecer la conexin. Los protocolos y servicios TCP/IP que son inherentemente vulnerables a abusos son generalmente bloqueados por el filtro.
- Desventajas
Existen algunos protocolos y servicios TCP/IP que pueden no ser adecuadamente direccionados con filtros:
Protocolos
y servicios que utilizan UDP son generalmente difciles de manejar con filtros. Esto es porque UDP no establece conexin, y es utilizado por muchas aplicaciones en tiempo real. Protocolos y servicios que utilizan puertos asignados dinmicamente son difciles de manejar con filtros.
ORGANIZACIN
Introduccin *
Definicin Beneficios Riesgos Seguridad
Controles de Acceso
Filtros * Gateway * Firewall
Seguridad en la Comunicacin
Protocolo TCP/IP
* Gateway
Definicin + Gateway a Nivel de Circuito + Gateway a Nivel de Aplicacin + Servidor Proxy + Autenticacin y Autorizacin de Usuarios + Ventajas y Desventajas +
+ Definicin
Gateway: (puerta de enlace) es un dispositivo, con frecuencia una computadora, que permite interconectar redes con protocolos y arquitecturas diferentes a todos los niveles de comunicacin. Su propsito es traducir la informacin del protocolo utilizado en una red fuente al protocolo usado en la red de destino. El gateway es normalmente configurado para dotar de un acceso hacia una red exterior. Puede operar en:
La capa de Transporte: gateway a nivel de circuito La capa de Aplicacin: gateway a nivel de aplicacin
Gateway a Nivel de Circuito: En esencia es un servidor proxy para TCP. Realiza las siguientes tres tareas cuando un cliente desea establecer una conexin TCP con un servidor destino:
Recibe el requerimiento de conexin TCP que es enviado por el cliente. Autentica y posiblemente autoriza al cliente o usuario. Establece una segunda conexin TCP con el servidor destino en representacin del cliente.
Una vez que se estableci la conexin, el gateway simplemente enva los datos entre las dos conexiones, sin interferir con el stream de datos. Un ejemplo de Gateway a Nivel de Circuitos son SOCKS
Gateway a Nivel de Aplicacin: a diferencia del gateway a nivel de circuito, puede interferir y controlar el stream de datos. Un ejemplo de gateway a nivel de aplicacin es el utilizado en una comunicacin Telnet.
+ Servidor Proxy
Servidor Proxy: sirve para permitir el acceso a Internet a todos los equipos de una organizacin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direccin IP.
+ Ventajas y Desventajas
Las ventajas del Servidor Proxy estn relacionadas a la autenticacin y autorizacin, protocolo de control de aplicacin, logueo, y contabilidad. Las desventajas son:
Un servidor proxy debe estar construido especficamente para cada protocolo de aplicacin. Gateways (a nivel de circuito y a nivel de aplicacin) manejan notoriamente mal los protocolos basados en UDP. Para codificar y setear un servidor proxy, uno debe saber el protocolo de aplicacin. Consecuentemente, los protocolos de aplicacin propietarios son inherentemente difciles de manejar con gateways a nivel de aplicacin.
ORGANIZACIN
Introduccin *
Definicin Beneficios Riesgos Seguridad
Controles de Acceso
Filtros * Gateway * Firewall *
Seguridad en la Comunicacin
Protocolo TCP/IP
* Firewall
+ Definicin
Firewall: es un programa, usualmente un gateway que protege los recursos de una red de accesos no autorizados de usuarios de otras redes. Tpicamente, una organizacin con una Intranet que permite que sus empleados accedan a Internet utiliza el Firewall para prevenir el acceso del exterior hacia sus propios recursos privados.
* Firewall
+ Funciones
El Firewall monitorea el trfico de la red y valida el flujo de la informacin entre la Intranet y las redes externas. La principal meta del firewall es proteger del acceso no deseado. El firewall realiza diferentes funciones: Como un Controlador Como un Filtro Como un Monitor Como un Guardia de Seguridad Como una Pantalla
+ Funciones
Como un Controlador:
Controla
el acceso a los programas y utilidades. Controla el acceso a los archivos de dato, evitando ediciones directas sobre stos. Controla el mbito de autoridad a un conjunto de acciones predefinidas para separar funciones (administradores de firewall, auditores, administradores de seguridad, administradores del sistema).
+ Funciones
Como un Filtro:
Emplea
tcnicas de filtrado para permitir o denegar servicios a hosts especficos cuando es necesario. Filtra la mayor cantidad de atributos posibles, incluyendo direcciones de IP fuente y destino, puertos TCP-UDP fuente y destino, tipos de protocolos, interfaces de entrada/salida. Tiene la habilidad de concentrar y filtrar accesos entrantes.
+ Funciones
Como un Monitor: Contiene mecanismos para loguear trfico y reducciones en el log de forma entendible. Registra los sitios que son visitados y los usuarios que los visitan a travs de la Intranet e Internet. El propsito es mantener el uso apropiado de los recursos de la organizacin. Registra acciones como: configuracin y cambio de los archivos de log, archivos de acceso, inicio o apagado del firewall, cambios en las polticas o reglas de seguridad y lectura del archivo de auditora. Monitorea cualquier actividad sospechosa e informa al administrador de la red via e-mail, pager, fax o alarma de consola. Detecta intrusiones.
+ Funciones
que usuarios autorizados o no autorizados manipulen el sistema. Previene intentos no autorizados de apagar el sistema, lo que colocara a la red en un estado vulnerable a ataques y accesos no autorizados. Protege los procesos/demonios, archivos de configuracin, archivos de dato y utilidades administrativas.
+ Funciones
el trfico interno a la red por virus, applets maliciosos y Toyanos. Eventos sensibles son controlados, auditados y puestos a prueba de manipulaciones.
* Firewall
+ Tipos
La topologa del Firewall depende de los servicios necesitados y de la estructura de la Intranet. Hay cuatro tipos bsicos de configuraciones de firewall:
Gateway
+ Tipos
Gateway Dual-Home: El host anfitrin es el nico punto de conexin entre la red privada e Internet, deshabilitando el forwarding TCP/IP por el sistema. Todo el trfico entre las redes privadas y pblicas debe pasar a travs de una aplicacin (proxy) en el gateway. La red privada es ocultada al exterior. La desventaja es que ningn servicio puede pasar a menos que el proxy lo permita.
+ Tipos
Gateway Screened-Host: Utiliza tanto router como host anfitrin. El router permite el trfico slo hacia el host anfitrin, que reside en la red privada. Es un sistema flexible debido al hecho que puede ser rpidamente reconfigurado para permitir nuevos servicios sin tener que crear una aplicacin proxy. El diseo es ms complejo comparado con el gateway dual-homed y el router requiere una administracin ms cuidadosa.
+ Tipos
Subred Screened: consiste de una subred que es monitoreada con un host anfitrin singlehomed. El router externo debe asegurar que todos (o al menos la mayora) de los datos pasan por el gateway de aplicacin corriendo en el host anfitrin. La red privada e Internet tienen accesos a los hosts en este modelo, pero el trfico entre Internet y la red privada es bloqueado. Este diseo permite mltiples hosts en la red.
+ Tipos
Routers Dual-Homed: Estos sistemas desarrollan un router interno a la red privada que inicia un mensaje de intercambio con el router exterior en la red expuesta. Este router exterior se conecta con Internet, y ambos routers implementan reglas de seguridad.
* Firewall
+ Hbridos
En un principio, los firewalls caan en categoras dependiendo del tipo de control de acceso que utilizaban:
Firewall
Hoy en da, la mayora de los productos son hbridos que se expanden a travs de las clases tradicionales.
+ Hbridos
Firewall de Filtrado de Paquetes: cada tipo de paquete es identificado. Cada servicio o direccin fuente o destino es examinada. Es el tipo ms fcil de control para administrar, pero el ms vulnerable para penetrar. En la mayora de los productos, el filtrado de paquetes aparece como una opcin o forma parte de un paquete hbrido.
+ Hbridos
Gateways de Aplicacin: usa un SW de propsito especial que restringe el trfico de aplicaciones como e-mails. Un cdigo especializado es utilizado por el gateway para cada aplicacin particular. El acceso es provisto slo a aquellas aplicaciones que tienen permitido pasar. No se puede utilizar cdigo de propsito general, ya que no es especfico de la aplicacin que est siendo usada, esto crea ms seguridad.
+ Hbridos
Gateways a Nivel de Circuito: conectan un destino interno a un puerto TCP/IP externo (como por ejemplo una impresora en red). La funcin de estos gateways es la de filtros inteligentes para separar UDP de TCP. La aplicacin que est siendo usada no es idententificada.
+ Hbridos
Servidores Proxy: pueden ser tambin firewalls. Pueden ser seteados como espacio de almacenamiento para informacin ms sensible, la cual es guardada de forma segura (de forma similar a como trabaja un servidor proxy web).
* Firewall
+ Limitaciones
No son la respuesta a una proteccin total, no pueden proteger al sistema de abusos de los usuarios internos. Agujeros de seguridad pueden ser encontrados en el cdigo del firewall. Existen tambin tormentas SYN (o inundaciones SYN), ataques denial-of-service, que bombardean el firewall con requerimientos para sincronizar conexiones TCP. Esto hace que los buffers del firewall se llenen y no haya capacidad para aceptar conexiones legtimas.
* Firewall
+ Implementacin
Consideraciones de Implementacin: Hay muchos aspectos que una organizacin debe examinar en el desarrollo de firewalls. Los tres principales aspectos de un firewall son:
la
poltica de seguridad. las personas que ejecutan y mantienen la poltica. la tecnologa empleada para soportar la operacin.
+ Implementacin
Para tomar decisiones en la implementacin y operacin del firewall la organizacin debe tener en cuenta lo siguiente:
Establecer una gua de cmo el firewall ser testeado. Determinar quin verificar la performance del firewall. Determinar quin realizar el mantenimiento del firewall, como backups y reparaciones. Determinar quin realizar el soporte y entrenamiento. Determinar quin instalar actualizaciones al firewall. Examinar si la seguridad relacionada con los parches y problemas puede ser corregida en tiempo y forma.
+ Implementacin
trfico desde el interior hacia el exterior o desde el exterior hacia el interior debe pasar por ste. Debe permitir que slo el trfico autorizado, definido por la poltica de seguridad, pase. Debe ser inmune a cualquier forma de penetracin.
ORGANIZACIN
Introduccin *
Definicin Beneficios Riesgos Seguridad
Controles de Acceso
Filtros * Gateway * Firewall *
Seguridad en la Comunicacin
Protocolo TCP/IP *
* Protocolo TCP/IP
Definicin + Capas +
Capa
+ Definicin
TCP/IP: Conjunto de protocolos de red en los que se basa internet:
Protocolo de Control de Transmisin (TCP) Protocolo de Internet (IP) Otros (HTTP, FTP, POP, SMTP)
Permite enlazar computadoras que utilizan diferentes sistemas operativos, tanto en redes locales como redes amplias.
+ Capas
Existe una pila de capas que lo componen Cada capa interacta con las capas vecinas arriba y abajo Cada capa puede ser definida independientemente Complejidad de la red no es visible por la aplicacin
+ Capas
Bsicamente, se encarga de dividir los datos en datagramas, y que estos paquetes IP sean ruteados individualmente a travs de la/s red/es.
Espacio de Direcciones
Para permitir que cada paquete IP sea ruteado individualmente, debe incluir informacin sobre las direcciones originen y destino en un nico espacio de direcciones. Este espacio de direcciones, nos permite construir intraredes, concatenadas por muchas redes fsicas distintas. Cada una de estas redes, puede usar su propio protocolo de capa de red y su propio esquema de direcciones. IP provee un espacio de direcciones lgico y su correspondiente esquema de direcciones sobre esta.
La aplicacin debe elegir los servicios que requiere de la capa de transporte. Hay limitaciones en las combinaciones: por ejemplo, sin conexin permanente y transporte seguro son invlidos.
Datos de la aplicacion Capa aplicacion Carga de transporte Capa transporte Capa intraredes Capa transporte Capa aplicacion
Host A
Router
Router
Host B
+ Seguridad
Donde implementar seguridad?: Depende de los requerimientos de seguridad de las aplicaciones y del usuario Servicios bsicos: que deben ser implementados:
Velocidad
Desventajas:
No
escalable. Solo trabaja bien en enlaces dedicados. Dos dispositivos de hardware tienen que estar fsicamente conectados.
Ventajas:
No
Desventajas:
Es
difcil obtener informacin del contexto del usuario. Implementado en un host final. Especifico a un protocolo Necesita ser duplicado para cada protocolo de la capa Necesita mantener el estado de la conexion (no esta implementado actualmente para UDP)
SSL-TLS
SSL (Protocolo de Capa de Conexin Segura) y su sucesor TLS (Seguridad de la Capa de Transporte) son protocolos criptogrficos que proporcionan comunicaciones seguras por una red, comnmente Internet.
SSL-TLS
SSL consiste en una capa intermedia, entre la capa de aplicaciones y la capa de transporte Es capaz de proveer servicios de seguridad para cualquier aplicacin basada en TCP (no solo HTTP) Es fuertemente orientado a conexiones cliente-servidor (no alcanza los requerimientos de los protocolos de aplicaciones peer-to-peer)
SSL-TLS
Como funciona?:
2) Intercambio de claves pblicas y autenticacin basada en certificados digitales 3) Cifrado del trfico basado en cifrado simtrico
SSL-TLS
SSL no protege contra ataques de anlisis de trfico:
examinando ip origen y destino sin encriptar y puertos, o examinando el volumen de datos se puede determinar que partes interactan, que tipos de servicios se usan, etc.
No soporta UDP No trabaja bien con gateways (MitM) Usa un protocolo especial de tnel
Ventajas:
en el contexto del usuario facil acceso a las credenciales del usuario Acceso completo a los datos facil de asegurar el no repudio Las aplicaciones pueden ser extendidas para proveer seguridad (no dependen del sistema operativo) La aplicacin conoce sus datos Seguridad ajustada finamente
Ejecuta
Desventajas:
Implementado
en hosts finales Los mecanismos de seguridad deben ser implementados para cada aplicacin:
Costoso Alta probabilidad de generar errores
Bibliografa
Wikipedia http://www.drj.com/articles/wint99/woo.htm http://www.intranetjournal.com/features/isecurit y.shtml Internet and Intranet Security, Second Edition Rolf