570 likes | 836 Views
SEGURIDAD EN REDES DE DATOS. Hector Fernando Vargas Montoya. Obstáculos y desafíos en seguridad . Obstáculos. Falta de apoyo directivo. Inexistencia de políticas de seguridad. Falta presupuesto. Falta de tiempo. Falta de formación técnica. Complejidad tecnológica.
E N D
SEGURIDAD EN REDES DE DATOS Hector Fernando Vargas Montoya
Obstáculos y desafíos en seguridad Obstáculos • Falta de apoyo directivo. • Inexistencia de políticas de seguridad. • Falta presupuesto. • Falta de tiempo. • Falta de formación técnica. • Complejidad tecnológica. • Poco entendimiento de la seguridad. • Falta de conciencia de los usuarios/clientes finales.
Obstáculos y desafíos en seguridad Desafíos • Definiciónadecuada de los procesos/procedimientos • Muchosdatos de seguridad • Priorización de los eventos • Reducción de costos a causa de los incidentes • Sensibilización a empleados, contratistas y clientes. • Introducirelementos de seguridaddiferenciadores en los productos.
Factores de riesgos Un factor de riesgo es una agrupación de eventos, elementos o circunstancias con similares características.
Naturales/Ambientales: Son riesgos propios de la naturaleza o medio ambiente. Factores de riesgos
Tecnológicas: Se derivan del peligro originado por una inadecuada interacción del ser humano con el desarrollo tecnológico. Factores de riesgos
Humano: Asociados a la persona Factores de riesgos
Estratégicas, Administrativas y Financieros: Toma de decisiones y administración general de las organizaciones. Factores de riesgos
Socio-culturales: Fenómenos impactados por la sociedad o a la cultura en general. Factores de riesgos
Proyectos: Asociados de la ejecución de los proyectos. Factores de riesgos
Biológicos ó Bioriesgo: Factor asociados con la presencia de organismos o sustancias derivadas de estos. Factores de riesgos
Seguridad de la Información Son aquellas acciones que están encaminadas al establecimiento de directrices que permitan alcanzar la confidencialidad, integridad y disponibilidad de la información independiente del medio donde se encuentre, así como la continuidad de las operaciones ante un evento que las interrumpa. No debe confundirse con SEGURIDAD INFORMÁTICA: Que es la protección de los elementos tecnológicos (Equipos de comunicación, servidores, portátiles, etc.)
Enlaces • http://www.antiphishing.org • http://www.commtouch.com • http://www.sans.org • http://www.cert.org/
Riesgos • Amenaza: Factor externo que puede causar potencial daño. • Vulnerabilidad: Hueco o debilidad de seguridad. • Riesgo:Probabilidad de que una amenaza explote una vulnerabilidad en un sistema. • Control: Cualquier medida de seguridad que se defina para mitigar riesgo.
Tipos de Amenaza • Físicas • Robo, alteración o destrucción de activos. • Medio Ambiente: • Sismos, inundaciones, incendios, huracanes. • Asociadas a las tecnologías: • En redes, sistemas operativos, aplicaciones. • Sociales y humanas: Huelgas, disturbios, asonadas, errores de operación, crímenes informáticos, etc.
ELEMENTOS DE SEGURIDAD ¿Que protege la seguridad? Confidencialidad SEGURIDAD Integridad Disponibilidad
Ataques a las redes MAC FLOODING ATTACK Hoax SCANNING PASSWORD CRAKING SQL INJECTION DEFACE Ingeniería social CROSS-SITE SCRIPTING Dumpster Diving ShoulderSurfing Exploit Theman in themiddle Spoofing – “hacerse pasar por otro” – En nombre de otros BackDoors Ping of Death – ping de la muerte JAMMING O FLOODING Piggybacking Buffer Overflow Phishing Spam Suplantación Esteganografía Héctor Fernando Vargas Montoya
Troyanos Worms Spyware Rootkits Adware Backdoor Cookies Dialers Exploit Hijacker keyloggers Pornware Código Malicioso DEMO Home KeyLogger Héctor Fernando Vargas Montoya
Herramientas de protección Criptografía. • La criptografía provee un conjunto de técnicas para codificar mensajes de forma tal que dichos mensajes pueden ser almacenados y transmitidos en forma segura. • La criptografía provee los siguientes servicios : • Confidencialidad • Integridad • Autenticidad • No repudio
Herramientas de protección ENCRIPCIÓN. Usando criptografía, un mensaje original se codifica para que parezca un mensaje compuesto por bits aleatorios y que es muy difícil de volver a convertir al mensaje original sin una clave secreta. • Algoritmos de encripción: • Simétricos, donde la clave para encriptar es la misma que para desencriptar (DES, Triple DES, IDEA, RC-5, FEAL , LOKI’91, DESX, Blowfish, CAST, GOST)
Herramientas de protección Algoritmos de encripción: Asimétricos o de claves públicas: Donde las claves para encriptar y desencriptar son distintas. RSA( Rivest, Shamir y Adleman ). El de Rabin Williams RW. Diffie Hellman DH de intercambio de claves. El el sistema DSA para firma digital. DHE (Diffie Hellman Elíptico). DSAE, (Nyberg-Rueppel) NRE, (Menezes, Qu, Vanstone) MQV. CCE (curvas elípticas definidas en un campo finito).
Internet Clave Clave Encripcion Simetrica “Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs” “Este memo describe nuestro plan final...” “Este memo describe nuestro plan final...” Texto ilegible Encripción Desencripción Usa la clave secreta Usa la clave secreta Ambos comparten la misma clave secreta
Clave Clave Encripcion Asimetrica “Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs” Clave Encriptada User2 User1 Desencripta Encripta Internet Privada Publica User1 encripta usando la clave pública de User2 User2 desencripta usando su clave Privada User1 y User2 usan diferentes claves
Ejercicio • 2 Personas: A y B • Punto en común: G =8 • Cada persona escoge un número al azar (de 4 dígitos)::: Ka=2345 y Kb= 5851 • Cada persona genera su clave pública Px= K*G • Pa=Ka*G = 2345*8=18760 • Pb=Kb*G = 5851*8=46808 • Todos deben tener 2 claves. • Las persona se intercambian sus claves públicas. • Se escoge un mensaje: M= 34 • Persona A: Encripta = Ka*Pb= • = 2345*46808=3732001840 y envía a B. • Persona B: E=Kb*Pa=5851*18760=109764760 • Persona B: Recibido/E = 3732001840/109764760=34
VPN Virtual Private Network Red segura que es implementada sobre redes públicas, como Internet. Es el establecimiento de un túnel seguro por la red. Integridad: Para ello se utiliza funciones de Hash: Es una función o método para generar claves o llaves que representen de manera casi unívoca a un documento o archivo. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).
VPN Virtual Private Network Confidencialidad: Para evitar interceptación de datos, es fundamental el cifrado de los mismos. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES). EJERCICIO: Bajar MD5sum.exe y verificar integridad. http://etree.org/md5com.html
VPN Virtual Pivate Network PROTOCOLOS El protocolo estándar es el IPSEC AH - Authentication Header ESP - Encapsulating Security Payload :Carga útil de seguridad encapsulada La principal diferencia entre la autenticación provista entre ESP y AH tiene que ver con la cobertura, ESP no protege los campos del encabezado IP, a menos que sean encapsulados por ESP (modo tunel). IKE: Intercambio de claves de Internet
VPN Virtual Private Network PPTP:Point-to-Point Tunneling Protocol L2F:Layer 2 Forwarding – puede establecerse en FR y ATM L2TP:Layer 2 Tunneling Protocol SSL:Secure Socket Layer - cifrado simétrico TLS: Transport Layer Security SSH:Secure SHell
VPN Virtual Private Network • SSL/TLS: - Seguridad de la Capa de Transporte • SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. • Para criptografía: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) • Para cifrado simétrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES o AES (Advanced Encryption Standard); • Utiliza Certificados digitales X.509 • SSL: Versiones 2.0 y 3.0 • TSL: Versión 1.1
SSH: Secure Shell Sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos. Permite copiar datos de forma segura Crea llaves simetricas que almacena en un directorio. Soporta subsistemas. Por ejemplo SCP o SFTP SSH1: Usa RSA, BlowFish, IDEA (default), 3DES. Autenticación: .rhosts, RSA, password. SSH2 (Recomendado): Usa: DSA, DiffieHellman, Blowfish, 3DES (default), CAST128, 128AES, 256AES. Integridad con: HMAC-SHA1, HMAC-MD5. Autenticación: Llave publica, Challenge-Response, Password convencional.
VNP: Formas de implementar Acceso remoto Red a Red
ELEMENTOS DE SEGURIDAD FIREWALL • Es un elemento de hardware o software utilizado en una red de datos para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. controla todas las comunicaciones que pasan de una red a la otra • TIPOS: • De capa de red o de filtrado de paquetes: • Funciona a nivel de red (capa 3 del modelo OSI) como filtro de paquetes IP. A este nivel se pueden realizar filtros por dirección IP • A nivel de transporte: Puede filtrar a nivel de direcciones IP y de puertos (origen y destino).
ELEMENTOS DE SEGURIDAD FIREWALL 2. De capa de aplicación: Trabaja en el nivel de aplicación (nivel 7) de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. HTTP , URI determinado por el Proxy. Servidor PROXY: Programa o dispositivo que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.
ELEMENTOS DE SEGURIDAD 3. Firewall personal Se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa FIREWALL • VENTAJAS • Protege de intrusiones. • Protección de información privada • Optimización de acceso
ELEMENTOS DE SEGURIDAD • LIMITANTES • No puede proteger de las amenazas a que esta sometido por ataques internos o usuarios negligentes. • No puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software . • No protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. FIREWALL POLÍTICAS Restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. Permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado.
Firewall Packet filtering Emplea listas de control de acceso. Se inspecciona cada paquete de entrada o salida. Busca en el encabezado del paquete para filtrar.
Proxy-Gateways de Aplicaciones • Los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. • Estas aplicaciones son conocidas como Servidores Proxy. • Actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo transparente a ambas partes. • Opera en la capa 7 del modelo OSI. • Es un elemento que es intermediario entre las redes, para la comunicación deben pasar a través de éste. Héctor Fernando Vargas Montoya
VENTAJAS - Proxy • Control: Sólo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy. • Ahorro: Sólo el proxy hace el trabajo real y/o utiliza el recurso de conexión final (ancho de banda, número de conexiones, etc). • Velocidad: Si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché y entregarla más rápido.
VENTAJAS - Proxy • Filtrado: El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas. • Modificación: Como intermediario que es, un proxy puede falsificar información, o modificarla siguiendo un algoritmo. • Anonimato: Si todos los usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos (puede ser malo, cuando hay que hacer identificación única por IP).
DESVENTAJAS - Proxy • Abuso: Es posible que haga trabajo adicional al que habitualmente debería atender. Se debe controlar quién tiene acceso y quién no a sus servicios. • Carga: Un proxy ha de hacer el trabajo de muchos usuarios con recursos más limitados. • Intromisión: Es un paso más entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy.
DESVENTAJAS - Proxy • Incoherencia: Si hace caché, es posible que entregue una respuesta antigua cuando hay una más reciente en el recurso de destino. • Irregularidad: Como representa a más de un usuario, da problemas en muchos escenarios donde se supone una comunicación directa entre 1 emisor y 1 receptor (como ciertas aplicaciones TCP/IP).
TIPOS DE PROXIES • Proxies de web sin caché • Tambiénconocidoscomo proxies de NAT • Proxy paraespecíficamente el acceso a la web. • Recibe la petición del cliente, revisasuscontroles, revisasidebereescribir URL’s y hacenuevapetición al servidor de destino. • Porúltimoentrega al cliente la información. • Proxies de web con caché • Proxy para el acceso a la web. • Recibe la petición del cliente, revisasuscontroles, revisasidebereescribir URL’s y busca la URL resultante en sucaché local. • Si la encuentra, devuelve el documentoinmediatamente • Si no esasí, lo descarga del servidorremoto, lo entrega al cliente y guardaunacopia en sucaché.
TIPOS DE PROXIES Proxies transparentes • Combina un servidor proxy con NAT de maneraquelasconexiones son enrutadasdentro del proxy sin configuraciónpor parte del cliente. • Generalmente el clientedesconocesuexistencia Proxies reversos Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.
TIPOS DE PROXIES Proxies anónimos • Son los servidores proxy que no envían la variable de identificación del host destino. • El destino NUNCA sabrá que el proxy es realmente un proxy… ni tampoco el proxy mismo guardará ningún dato sobre cuando te conectaste, ni quien es… (no loguea datos de tu pc). • La finalidad más habitual es la de un servidor proxy, es permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP. O bien; la función más habitual en Internet, es mantener el anonimato nuestra dirección IP real, utilizando sin costo la dirección de un servidor proxy anónimo • Ejemplo: http://www.proxyforall.com/
EJEMPLOS DE PROXIES • Microsoft ISA Server • Squid (free) • Dansguardian (free) • Delegate (free) • Wingate • KerioWinroute Firewall • Winproxy • Jana Server (free)
ELEMENTOS DE SEGURIDAD • NAT: Network Address Translation • Se diseño para conservar las direcciones IP y habilitar a las redes a usar direcciones privadas en las redes internas. • Esas direcciones privadas internas, son traducidas a direcciones publicas enrutables. • NAT es usado para permitir a los hosts que son identificadas • privadamente acceder a Internet. • La traduccion NAT puede ocurrir estaticamente o dinamicamente. • La traducción es uno-a-uno. • NAT provee de conectividad transparente, escalable y bidireccional entre distintas oficinas de la misma empresa. • NAT elimina la necesidad de reasignar números a los hosts al cambiar de ISP o de esquemas de direccionamiento. • NAT fortalece la prvacidad de red puesto que las direcciones asignadas se encuentran ocultas. Evita el escaneo de puertos en la red.
ELEMENTOS DE SEGURIDAD PAT: Port Address Translation Modifica el puerto origen TCP/UDP para el seguimiento de la direccion de host interna. Con PAT múltiples direcciones IP privadas pueden ser traducidas a una única direccion publica (many-to-one translation), asociando el puerto origen con cada flujo. Un número único de puerto orígen identifica cada sesión Utiliza un pool de dir. IP Puede utilizar un nombre de interfaz Cuando hay un número insuficiente de dir. IP disponibles para traducir todos las dir. Internas (inside addresses).
ELEMENTOS DE SEGURIDAD • Radius - Remote Authentication Dial-In User Service AUTENTICACIÓN DE USUARIOS • Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones. • Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. • RADIUS es un protocolo de autentificación comúnmente utilizado por el estándar de seguridad del 802.1x (usado en redes inalámbricas).
ELEMENTOS DE SEGURIDAD DETECCIÓN DE INTRUSOS Un programa usado para detectar accesos no autorizados desautorizados a las redes o computadores. Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. TIPOS: HIDS (HostIDS): NIDS (NetworkIDS): DIDS (DistributedIDS: Sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes)
ELEMENTOS DE SEGURIDAD DETECCIÓN DE INTRUSOS NIDS (NetworkIDS): La fuente es el tráfico que viaja por la red. Revisa cada paquete buscando anomalías , violaciones de protocolos, paquetes mal formados o patrones de ataques que coinciden con listas o firmas predefinidas. HIDS Vela por la integridad de los sistemas de archivos Se instala en cada PC Povee detenciión y prevención individual No requiere de hardware, solo software.