universidad nacional abierta ya distancia escuela de
Anuncio
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS E INGENIERÍA SEGURIDAD AVANZADA EN REDES DE DATOS JORGE IVÁN MORALES SALAZAR Acreditador MSC. ING, CARLOS ALBERTO AMAYA TARAZONA Medellín Julio de 2013 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO El presente módulo fue diseñado en el año 2013 por el Ing. Jorge Iván Morales, el Ing. Morales es Ingeniero de Sistemas, y especialista en Seguridad Informática, se ha desempeñado como programador y asesor en seguridad informática en diversas empresas de tecnología en Colombia, actualmente trabaja como desarrollador y asesor de ciberseguridad en la ciudad de Medellín. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 INTRODUCCIÓN Se plantea en este artículo el concepto de Educación a Distancia así como sus ventajas dentro de los procesos de enseñanza-aprendizaje. Los cambios producidos en la transmisión de la información y el nacimiento de la Telemática que se define como métodos, técnicas y herramientas de la Informática aplicados. Se presentan algunos conceptos y técnicas relacionadas con la telemática. Como modalidades de comunicación: la comunicación directa y estructurada por computadora, el correo electrónico, la teleconferencia informática así como el acceso a bases de datos. Actualmente la seguridad se ha convertido en uno de los principales problemas de los sistemas de acceso inalámbrico. Varios elementos han contribuido a ello: el hecho de que se utilice un medio de transmisión compartido sin control de las personas o dispositivos con capacidad de acceso a dicho medio, la rápida implantación de esta tecnología en la sociedad, la novedad de la tecnología empleada, y una política en su desarrollo, que ha primado su expansión y ha dejado de lado aspectos relativos a su seguridad. Hoy en día se está realizando un gran esfuerzo en el desarrollo de estándares y tecnologías que eviten estos problemas de seguridad, manteniendo la filosofía de una conexión móvil. Por las características de la tecnología inalámbrica, ésta posee una serie de puntos débiles y ataques característicos a nivel de seguridad que es importante conocer. Por un lado, de cara a facilitar la rápida generalización de este tipo de tecnología entre los usuarios y evitar en lo posible la carga del soporte, se implantan soluciones con configuraciones de arranque en el que prácticamente todas las medidas de seguridad están deshabilitadas: dispositivos cliente que se activan de manera automática, una WLAN (wireless LAN) operativa, software cliente que detecta y conecta de manera automática con una WLAN, etc. Por otro lado, los límites del medio de transmisión resultan difusos y se extienden más allá de lo que puede, en muchos casos, ser controlado. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 INDICE DE CONTENIDO PRIMERA UNIDAD: INTRODUCCIÓN A LAS REDES DE DATOS 1 Capitulo 1: Generalidades globales en las redes de datos 4 Lección 1: Componentes de un sistema de transmisión de datos 5 Lección 2: Criterios de redes 8 Lección 3: Modelo OSI 10 Lección 4: Firewalls 13 Lección 5: Topologías y tipos de redes 22 Capitulo 2: Conceptos básicos en las redes inalámbricas 30 Lección 6: Inicios de las redes WLAN 31 Lección 7: Arquitectura lógica de las WLAN 36 Lección 8: Métodos de acceso 41 Lección 9: Rangos Inalámbricos 48 Lección 10: Servicios 51 Capitulo 3: Mecánicas básica de Seguridad 53 Lección 11: Pilares de la seguridad y mecanismos 54 Lección 12: Estándares WLAN 56 Lección 13: Autenticación y privacidad 61 Lección 14: Ataques y vulnerabilidades 72 Lección 15: Procesos de seguridad 80 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 SEGUNDA UNIDAD: MÉTRICAS Y ASPECTOS TÉCNICOS DE SEGURIDAD ORIENTADAS A LAS REDES DE DATOS 84 Capitulo 4: Riesgos, Vulnerabilidades y, amenazas en redes de datos 87 Lección 16: Valoración y análisis de riesgos en redes 88 Lección 17: Diversificación de herramientas de análisis de intrusos 91 Lección 18: Errores constantes de seguridad en las redes 97 Lección 19: Arquitectura de seguridad en redes 102 Lección 20: Políticas y procedimientos 109 Capitulo 5: Aspectos técnicos orientados a la seguridad en redes de datos 113 Lección 21: Telnet 114 Lección 22: IPV6 y su tipo de direccionamiento 119 Lección 23: Seguridad enfocada a IPV6 123 Lección 24: Puertos 128 Lección 25: Firma Digital y Certificado Digital 132 Capitulo 6: Conceptos avanzados en redes 138 Lección 26: IPSec (Internet Protocol Security) 139 Lección 27: NIDS (Network Intrusion Detection System) 144 Lección 28: Seguridad DNS 147 Lección 29: Socks5 y SSL 153 Lección 30: TLS, ISAKMP1 157 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 LISTADO DE TABLAS Tabla 1. Tabla comparativa entre los diversos estándares propuestos por la IEEE, acá se puede comparar, velocidad, frecuencia y, radio de cobertura. 31 Tabla 2. Métodos de autenticación de cada estándar. 69 Tabla 3. Tabla comparativa de los protocolos de seguridad. 71 Tabla 4. Dimensiones de la seguridad. 103 Tabla 5. Descripción general de las capas de seguridad. 104 Tabla 6. Planos de la seguridad. 105 Tabla 7. Versus entre seguridad, amenazas. 107 Tabla 8. RFC Relacionado con Telnet. 116 Tabla 9. Opciones negociadas de Telnet. 117 Tabla 10. Ipv6 versus Ipv4. 120 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 LISTADO DE GRÁFICOS Y FIGURAS Figura 1: Proceso de transmisión de datos y sus componentes. 6 Figura 2: Capas del modelo OSI y su aplicabilidad en cada capa. 10 Figura 3: Visión general sobre una red domestica con un firewall y sin un firewall. 13 Figura 4: Ilustración de un Dual-Homed Gateway. 16 Figura 5: Ilustración de un screened subnet con un sistema adicional. 17 Figura 6: Topología BUS. 22 Figura 7: Topología anillo. 23 Figura 8: Topología Estrella. 23 Figura 9: Topología Árbol. 24 Figura 10: Topología Malla Completa. 25 Figura 11: Red típica LAN (Red de Área Local). 26 Figura 12: Red Wan (Red de Área Amplia). 27 Figura 13: Red MAN (Red de Área Metropolitana). 28 Figura 14: Red PAN (Red de Área Personal). 29 Figura 15: Cobertura y diversificación de usos en las redes Wlan. 34 Figura 16: Ilustración de un BSS. 37 Figura 17: Ilustración de un IBSS. 38 Figura 18: Ilustración de DS combinado con un ESS. 39 Figura 19: Ilustración de una conexión Ad Hoc. 40 Figura 20: Pasos para asegurar una red Wlan. 42 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 21: Paso 1, Sonde de 802.11. 43 Figura 22: Paso 2, autenticación de 802.11. 44 Figura 23: Paso 3, asociación de 802.11. 45 Figura 24: Métodos para controlar el acceso a las redes Wlan. 46 Figura 25: Evolución de las redes Wlan. 47 Figura 26: Rangos inalámbricos Indoors. 49 Figura 27: Rangos inalámbricos outdoor. 50 Figura 28: Logo, Comisión Federal de Comunicaciones. 56 Figura 29: Logo, Instituto de Ingenieros Eléctricos y Electrónicos. 56 Figura 30: Logo, Instituto Europeo de Normas de Telecomunicaciones. 57 Figura 31: 12 canales con frecuencia de 10 MHz. 57 Figura 32: 14 canales de secuencia directa (DS). 58 Figura 33: Autenticación de clave compartida SKA. 61 Figura 34: Difusión del SSID. 62 Figura 35: Interfaz para posterior configuración de direcciones MAC. 63 Figura 36: Proceso de Encripción utilizando TKIP o AES. 65 Figura 37: Diagrama de la seguridad en Wireless. 66 Figura 38: Leap. 67 Figura 39: Eap – Tls. 67 Figura 40: Eap - Md5. 68 Figura 41: Inconvenientes y ventajas del Eap - Md5. 69 Figura 42: Signos para interpretar el Warchalking. 73 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 43: Ataques a las redes Wifi desde un auto, a esto se le denomina WarDriving. 74 Figura 44: Ataque de Rouge Acces. 76 Figura 45: Ataque de suplantación, Spoofing. 77 Figura 46: Ataque ARP, Conocido como MITM. 78 Figura 47: Ataque DDoS, Denegación de servicios Distribuida. 79 Figura 48: Interfaz de acunetix web. 94 Figura 49: Planos de seguridad. 105 Figura 50: Evaluación de una política de seguridad. 111 Figura 51: Función principal de un protocolo Telnet. 114 Figura 52: Encabezados de Ipv6 vs Ipv4. 122 Figura 53: Túnel IPSEC. 126 Figura 54: Proceso de cifrado normal. 132 Figura 55: Proceso de cifrado simétrico. 133 Figura 56: Proceso de clave pública asimétrica. 134 Figura 57: Proceso de un envió con firma digital. 135 Figura 58: Proceso de un envió con certificado digital. 137 Figura 59: Modo transporte y modo túnel. 140 Figura 60: IKE escenario de ejemplo. 140 Figura 61: Arquitectura IPESEC. 141 Figura 62: Modos de encapsulado en IPESEC. 142 Figura 63: Formatos de paquetes en IPESEC. 142 Figura 64: Topología de red haciendo uso de los NIDS. 145 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 65: Seguridad DNS. 148 Figura 66: Protocolo Sock. 153 Figura 67: Establecimientos de sesión SSL. 156 Figura 68: Capas TLS. 157 Figura 69: ISAKMP. 159 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Nombre de la Unidad Introducción Seguridad Avanzada en redes de datos: 233015 UNIDAD 1 Introducción a las redes de datos Las redes de datos actualmente juegan un papel importante en el desarrollo tecnológico del mundo; quizás hay que observar la magnitud de contribución en cada una de las empresas y hogares. Las redes de datos están compuestas por un sin número de piezas físicas y lógicas, las cuales ayudarán al análisis de los factores de seguridad que emergen en ellas. Hay que recordar que inicialmente las redes de datos se integraban solo a redes cableadas, con el paso del tiempo todo avanzó, desde sus componentes hardware hasta los lógicos, todo ello hizo que la humanidad enfocara y centralizará toda su información, haciendo uso de estos canales de comunicación, no obstante a este factor tecnológico, consigo llego la inseguridad en estos canales de comunicación, llevando la información transmitida en ellos a un punto inestable y peligroso. Al pasar el tiempo, las redes de datos tomaron cartas en el asunto e iniciaron labores referentes al tema de seguridad de la información, encontrando importantes soluciones y dando pasos agigantados en estos procesos, pero sin saber que los delincuentes informáticos ‘’Hackers’’ siempre irían un paso delante de ellos, de esta forma la seguridad en las redes de una forma u otra siempre va a ser vulnerada, en lo único que afecta la seguridad de las redes a los delincuentes informáticos es en el tiempo del ataque, solo tardarán unos minutos o quizás unas horas más en vulnerar cualquier sistema de información. Es importante contextualizar todo el entorno de redes, y tener en cuenta cada proceso que se lleva a cabo con ellas, para así lograr entender y elaborar normas enfocadas al bien de la seguridad de las redes de datos. Justificación La necesidad de la seguridad de la información se hace mucho mayor con el pasar del tiempo, ello obliga a los profesionales a centralizar su conocimientos y esfuerzo en la seguridad de los datos. El módulo se enfoca al proceso básico que maneja cada red de datos en cuanto a sus componentes lógicos y 1 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 físicos, para garantizar un debido proceso en análisis de seguridad de las mismas. Intencionalidades Formativas El módulo se desarrolla de una forma concreta y gráfica ya que el campo de la seguridad tiene enfoques bastante difíciles en cuanto a su teoría, de tal forma que se centraliza en la comprensión fácil y, total de cada tema que se menciona, esto logrará capturar la mayor atención y, entusiasmo del profesional que desee indagar y aprender sobre el tema. Lo que se busca es brindar elementos conceptuales necesarios frente a la sociedad del conocimiento, en busca de desarrollar una mejor adaptación de los nuevos entornos de enseñanza/aprendizaje, al igual que la adopción de un papel más activo de los estudiantes, como protagonistas de su formación en un ambiente rico en información y de entornos fluidos y mediáticos de comunicación, no solo entre profesores y alumnos, sino también con múltiples redes de conocimiento. Todo esto se concreta en los propósitos, objetivos, metas y competencias propuestas en este módulo. Las competencias que desarrollará el estudiante frente al desarrollo de esta unidad son: ° Conceptos básicos y fundamentales de las redes de datos. ° Funcionamiento secuencial de cada una de ellas, ordenamiento y componentes de cada red. ° Destreza y conocimiento de los procesos utilizados en las redes de datos. Estas competencias lograrán que el profesional en seguridad informática pueda avanzar con el paso de la tecnología en la gran línea del tiempo, siempre teniendo claro la conceptualización de los temas. Capítulo 1 Lección 1 Generalidades globales en las redes de datos Componentes de un sistema de transmisión de datos 2 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Lección 2 Lección 3 Lección 4 Lección 5 Capítulo 2 Lección 6 Lección 7 Lección 8 Lección 9 Lección 10 Capítulo 3 Lección 11 Lección 12 Lección 13 Lección 14 Lección 15 Seguridad Avanzada en redes de datos: 233015 Criterios de redes Modelo OSI Firewalls Topologías y modelos de redes Conceptos básicos de las redes inalámbricas Inicios de las redes WLAN Arquitectura lógica de las WLAN Métodos de acceso Rangos Inalámbricos Servicios Mecánicas básicas de seguridad Pilares de la seguridad y mecanismos Estándares WLAN Autenticación y privacidad Ataques y vulnerabilidades Procesos de seguridad 3 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 1: GENERALIDADES GLOBALES EN LAS REDES DE DATOS Introducción Las redes de datos hacen parte fundamental en el desarrollo tecnologico e industrial del mundo desde tiempos memrables; la invesión y, desarrollo de este tipo de tecnologia, a revolucionado los aspectos cotidianos de los seres humanos, de esta forma llegando a la cuspide de los avances y maximización de producción y minimización de tiempos en el desarrollo de actividades. Es importante tener conocimiento sobre las estructuras más básicas de las redes de datos para lograr entender sus vulnerabilidades y posibles riesgos, ya sea en los hogares, o en empresas. En estos últimos años se ha vuelto un proceso tedioso indagar sobre las vulnerabilidades o amenazas de las redes en un futuro, ya que sus componentes bases o iniciales han variado de forma drastica en la delgada línea del tiempo. Al tener conocimiento del daño se puede generar el plan de mitigación de dicho daño, esta frase fundamenta en que el conocimiento previo de toda la estructura global e interna de las redes deben ser conocidas o por lo menos mencionadas para no generar ignorancia de los procesos que se apliquen a la contribución de la seguridad en redes de datos. La actualización de los componentes presetes en las redes es importante, tanto que de ello depende toda la planeación e implementación de métricas de seguridad para mitigar los riesgos, y , amenazas presentes en las redes de datos de una organización. Muchas organizaciones a nivel mundial ignoran pasos importantes para establecer métricas correctas que ayuden al enfoque de la seguridad aplicado a la organización de recursos software y hardware de una empresa o negocio, desconociendo los componentes de una red se vuelve posiblemente un trabajo bastante extenso y desorganizado el poder lograr aplicar seguridad. 4 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 1: Componentes de un sistema de transmisión de datos Un sistema de transmisión de datos se constituye en el canal que permite la transmisión de información entre dos terminales o más terminales. Para transmitir información entre computadoras se hace necesario la instalación previa de redes para cumplir dicha misión. Para que la transmisión de datos sea posible es necesario tener en cuenta los siguientes elementos: Elementos Hardware: Se basa en todos los componentes finales e intermediarios o equipos inalámbricos y, cableados. Elementos Software: Programas que se basan en la administración y funcionamiento entre hardware y usuarios finales. Es el intercambio de ceros y unos, entre 2 dispositivos a través de alguna forma de medio de transmisión, la transmisión de datos se considera local si los dispositivos de comunicación están en el mismo edificio o en un área geográfica restringida y remota si los dispositivos están conectados a una distancia que supera el área geográfica de la local. Para que la transmisión de datos sea posible los dispositivos de comunicación deben ser parte de un sistema de comunicación formado por Hardware y Software. La efectividad depende de: Entrega: Dispositivo correcto Exactitud: Datos sin alterar Puntualidad: Sin retardos considerables en la transmisión de datos Retardo Variable Jitter: Es el cambio o la variación referente a la cantidad de latencia entre paquetes de datos que se reciben. Para comprender los componentes presentes en un sistema de transmisión de datos es preciso ilustrarlo, por ende ello se ve claramente en la Figura 1. 5 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Mensaje Señal Codificador Origen del mensaje Seguridad Avanzada en redes de datos: 233015 Transmisor Señal Medio de transmisió EL CANAL Receptor Mensaje Decodificador Destino del mensaje e Origen Codificado Figura 1: Proceso de transmisión de datos y sus componentes. Fuente modificado por el Autor. Una vez ilustrado el modo en el que se transmiten datos, es importante mencionar cada uno de los factores o componentes que hacen parte de dicho sistema, a continuación se mencionan los componentes principales en la transmisión de datos [1]. • Mensaje: Es el intercambio de información o datos a transmitir, se puede dar con una diversificación de formatos entre ellos: texto, numéricos, gráficos, video y audio. • Emisor: Dispositivo el cual se encarga de enviar los datos del mensaje hacia un receptor, dicho mensajes pueden ser enviados por medio de: computadoras, teléfonos, videocámaras, etc. • Receptor: Dispositivo que recibe o recepta el mensaje que es enviado por el emisor, dicho mensaje es recibido con la ayuda de componentes tecnológicos como: computadoras, teléfonos, videocámaras, etc. • Medio: Camino físico por el cual viaja el mensaje del emisor hacia el 6 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 receptor: cable coaxial, fibra óptica y, ondas de radio. • Protocolo: Reglas que gobiernan la transmisión de datos. Representan un enlace entre los dispositivos que se comunican. Sin el protocolo no sería posible el enlace de comunicación entre dos dispositivos, ya que pueden estar conectados pero no listos para el envió de información. Profundización Lección 1: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Redes de transmisión de datos y proceso distribuido – Uyless D. Black , A. Prentice-Hall Link: http://books.google.com.co/books?id=DvzNmdo7Ef4C&pg=PA38&lpg=PA38 &dq=flujo+de+datos+simplex+duplex+semiduplex&source=bl&ots=3e3zsV7 Asu&sig=tFu6LawXtglYLirrLRWRnnita9o&hl=es&sa=X&ei=7w3GUYuKG5K K0QHd54CQBA&ved=0CD0Q6AEwAg#v=onepage&q&f=false 7 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 2: Criterios de redes Para que una red sea considerada efectiva y eficiente, debe satisfacer los siguientes criterios: Rendimiento: El rendimiento se puede medir de muchas formas, incluyendo el tiempo de tránsito y de respuesta. El tiempo de tránsito es la cantidad de tiempo necesario para que un mensaje viaje desde un dispositivo al siguiente. El tiempo de respuesta es el tiempo que transcurre entre una petición y su respuesta. El rendimiento de una red depende de varios factores, incluyendo el número de usuarios, el tipo de medio de transmisión, la capacidad del hardware conectado y la eficiencia del software. El rendimiento se mide a menudo usando dos métricas: ancho de banda y latencia. A menudo hace falta más ancho de banda y menos latencia. sin embargo, ambos criterios son a menudo contradictorios. si se intenta enviar más datos por la red, se incrementa el ancho de banda, pero también la latencia debido a la congestión de tráfico en la red. Prestaciones: Se pueden medir de muchas formas, incluyendo el tiempo de tránsito (cantidad de tiempo para que un mensaje viaje de un dispositivo a otro) y el tiempo de respuesta (Tiempo transcurrido entre una petición y su respuesta). Las prestaciones de una red dependen de un cierto número de factores como son: Número de usuarios Tipo de medio de transmisión Hardware Software Fiabilidad: Además de la exactitud de la entrega, la fiabilidad de la red se mide por: Frecuencia de fallo Tiempo de recuperación después de un fallo Protección ante catástrofes 8 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Seguridad: Los aspectos de seguridad de la red incluyen protección de datos frente a accesos no autorizados, protección de datos frente a fallos y modificaciones e implementación de políticas y procedimientos para recuperarse de interrupciones y pérdidas de datos. Accesos no autorizados Virus 9 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 3: Modelo OSI (Open System Interconnection) Un modelo está determinado por los pasos a seguir para lograr un objetivo y llegar más allá. Cuando hablamos de modelo OSI decimos que vamos agregar y agrupar todas las fases para lograr la conexión; Este estructura los procesos, fases o capas que interactúan entre si ya que envía la información la recibe y la codifica para luego almacenarla; todas las capas o fases trabajan en conjunto una sola no hace nada. El modelo OSI es un modelo abierto para arquitecturas funcionales de la red, periféricos, archivos a compartir o utilidades de red [2]. La estructura de las capas hace posible que cada una sea independiente y se puedan modificar sin afectar a las otras; para que dos capas se puedan comunicar es necesario que estén definidas las mismas funciones en ambas. A continuación se muestra en la Figura 2. las siete capas propuestas en el modelo OSI: Figura 2: Capas del modelo OSI y su aplicabilidad en cada capa. Fuente http://gargasz.info/index.php/osi-model-how-internet-works/ 10 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Capa de nivel 1 (Física): Es la que se encarga de pasar bits al medio físico y de suministrar servicios a la siguiente capa, para ello debe conocer las características eléctricas, mecánicas, funcionales y de procedimiento de las líneas. La capa 1 se encarga de codificar los bits para activar nuestro equipo físico, configura todos los equipos activos de la red. Capa de nivel 2 (Enlace de datos): Es la que se encarga de que los datos enviados por la capa 1 se envíen con seguridad a su destino, y libres de errores; esta capa cuando la conexión no es peer to peer (punto a punto) no puede asegurar su contenido es la capa superior quien lo debe hacer; esta asegura el envió de cliente a servidor. Capa de nivel 3 (Red): Esta capa se encarga de la transmisión de los paquetes y de encaminar cada uno en la dirección adecuada, no se ocupa de los errores o pérdidas de paquetes. Define la estructura de direcciones y las rutas de internet. Capa de nivel 4 (Transporte): Garantiza la fiabilidad del servicio, define cuando y como debe utilizarse la retransmisión para asegurar su llegada. Si la capa de red utiliza el protocolo IP, la capa de transporte es responsable de reordenar los paquetes recibidos fuera de secuencia. Capa de nivel 5 (Sesión): Es una extensión de la capa de transporte que nos ofrece un control de dialogo y sincronización entre los computadores que están transmitiendo datos de cualquier índole. Ofrece varios servicios como son: Control de la sesión a establecer entre el emisor y el receptor, es decir, quien transmite y quien escucha) Control de la concurrencia (que dos comunicaciones a la misma operación crítica no se efectúen al mismo tiempo). Mantener puntos de verificación (checkpoints), que sirven para que, ante una interrupción de transmisión por cualquier causa, la misma se pueda reanudar desde el último punto de verificación en lugar de repetirla desde el principio. Capa de nivel 6 (Presentación): Es la encargada de manejar la estructura de datos abstracta y realizar las conversiones de representación de los datos necesarios para la correcta interpretación de los mismos. En ella se tratan 11 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 aspectos tales como la semántica y la sintaxis de los datos transmitidos, ya que distintas computadoras pueden tener diferentes formas de manejarlas. Capa de nivel 7 (Aplicación): Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Profundización Lección 3: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Modelo OSI – Ing. William Marín Moreno Link: http://www.ie.itcr.ac.cr/marin/telematica/trd/01_modelo_OSI_v2.pdf Modelo OSI – exa argentina Link:http://www.exa.unicen.edu.ar/catedras/comdat1/material/ElmodeloOSI. pdf 12 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 4: Firewalls Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad. De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders [3]. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos: Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido. Figura 3: Visión general sobre una red domestica con un firewall y sin un firewall. Fuente http://www.novajo.ca/firewall.html 13 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer protección una vez que el intruso lo traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos deben "hablar" el mismo método de encriptación-desencriptación para entablar la comunicación. En la actualidad existen un sin numero de firewalls, que contribuyen a la seguridad tanto de hogares como de grandes organizaciones, estos son los tipos de firewalls: Filtrado por paquetes Se utilizan Routers con filtros y reglas basadas en políticas de control de acceso. El Router es el encargado de filtrar los paquetes (un Choke) basados en cualquiera de los siguientes criterios: Protocolos utilizados. Dirección IP de origen y de destino. Puerto TCP-UDP de origen y de destino. Estos criterios permiten gran flexibilidad en el tratamiento del tráfico. Restringiendo las comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre cuales máquinas la comunicación está permitida. El filtrado de paquetes mediante puertos y protocolos permite establecer que servicios estarán disponibles al usuario y por cuales puertos. Se puede permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la transferencia de archivos vía FTP (puerto 21 cerrado). Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y están conectados a ambos perímetros (interior y exterior) de la red. Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son transparentes para los usuarios conectados a la red. Sin embargo presenta debilidades como: 14 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 No protege las capas superiores a nivel OSI. Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y puertos. No son capaces de esconder la topología de redes privadas, por lo que exponen la red al mundo exterior. Sus capacidades de auditoría suelen ser limitadas, al igual que su capacidad de registro de actividades. No soportan políticas de seguridad complejas como autentificación de usuarios y control de accesos con horarios prefijados. Proxy y Gateways de aplicaciones: Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host. El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo transparente a ambas partes. Cuando un usuario desea un servicio, lo hace a través del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la misma. Dual-Homed Host: Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el "IP-Forwarding desactivado". Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse primero al Firewall, donde el Proxy atenderá su petición, y en función de la configuración impuesta en dicho Firewall, se conectará al servicio exterior solicitado y hará de puente entre este y el usuario interior. 15 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior. Figura 4: Ilustración de un Dual-Homed Gateway. Fuente http://lib.ru/SECURITY/firewall-faq/firewall-faq.txt_with-big-pictures.html Screened host: En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios. Screened subnet: Este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el acceso total a la subred protegida. En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misión de bloquear el tráfico no deseado en ambos sentidos: 16 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno). Figura 5: Ilustración de un screened subnet con un sistema adicional. Fuente http://www.vtcif.telstra.com.au/pub/docs/security/80010/_16687_figure440.gif Como puede apreciarse la Zona Desmilitarizada aísla físicamente lo s servicios internos, separándolos de los servicios públicos. Además, n o existe una conexión directa entre la red interna y la externa. Los sistemas Dual-Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo que puede dar lugar, paradójicamente, a importantes agujeros de seguridad en toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de protección y ciertas ventajas: Ocultamiento de la información: los sistemas externos no deben conocer el nombre de los sistemas internos. El Gateway de aplicaciones es el único autorizado a conectarse con el exterior y el encargado de bloquear la información no solicitada o sospechosa. 17 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Registro de actividades y autenticación robusta: El Gateway requiere de autenticación cuando se realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router serán menos compleja dado a que él sólo debe atender las solicitudes del Gateway. Así mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que generalmente este debe instalar algún tipo de aplicación especializada para lograr la comunicación. Se suma a esto que generalmente son más lentos porque deben revisar todo el tráfico de la red. Inspección de paquetes: Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas. Firewalls Personales: Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada. Políticas de Diseño de Firewalls Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura. Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios. 18 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad: ¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.). ¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir. Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros. ¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a establecer el nivel de monitorización, control y respuesta deseado en la organización. Puede optarse por alguno de los siguientes paradigmas o estrategias: Paradigmas de seguridad Se permite cualquier servicio excepto aquellos expresamente prohibidos. Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio. Estrategias de seguridad Paranoica: se controla todo, no se permite nada. Prudente: se controla y se conoce todo lo que sucede. Permisiva: se controla pero se permite demasiado. Promiscua: no se controla (o se hace poco) y se permite todo. Restricciones en el Firewall La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación: 19 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para consultar servicios de la red interna. También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro interior de la red. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo que sean necesarias. Beneficios de un Firewall Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos. Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall. Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el trafico de la red, y que procesos han influido más en ese trafico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. 20 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados. Limitaciones de un Firewall La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo deja pasar . Más peligroso aún es que ese intruso deje Back Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque original. Otra limitación es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta. El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado". Profundización Lección 4: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Thinking About Firewalls – Marcus J. Ranum Link: http://www.ie.itcr.ac.cr/marin/telematica/trd/01_modelo_OSI_v2.pdf 21 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 5: Topologías y tipos de redes La topología de una red es el arreglo físico o lógico en el cual los dispositivos de una red (computadoras, impresoras, servidores, hubs, switches, enrutadores, etc.) se interconectan entre si sobre un medio de comunicación [4]. La disposición de los diferentes componentes de una red se conoce con el nombre de topología de la red. La topología idónea para una red concreta va a depender de diferentes factores, como el número de máquinas a interconectar, el tipo de acceso al medio físico que deseemos, etc. Podemos distinguir tres aspectos diferentes a la hora de considerar una topología: La topología física, que es la disposición real de las máquinas, dispositivos de red y cableado (los medios) en la red. La topología lógica, que es la forma en que las máquinas se comunican a través del medio físico. Las más comunes son: broadcast (Ethernet) y transmisión de tokens (Token Ring). La topología matemática, mapas de nodos y enlaces, a menudo formando patrones. Topología en Bus Es aquella en la cual cada computadora que quiera conectarse a la red se une a un cable, con la cual todas las computadoras comparten el mismo cable para efectuar su tráfico, se trata de la arquitectura Cliente-Servidor o Peer to Peer. Figura 6: Topología BUS. Fuente http://tareas-laura-topologias-dered.blogspot.com/2011/06/topologia-bus.html 22 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Topología en Anillo: Corresponde a aquella configuración de red mediante la cual todas las computadoras acceden a un anillo principal o troncal (backbone) como medio de transferencia de información. Las computadoras en la red retransmiten los paquetes que reciben y los envían a la siguiente computadora en la red. Esta topología se usa frecuentemente en redes de IBM. La información puede ir en dos direcciones hacia un equipo en particular. Figura 7: Topología anillo. Fuente http://elmundodelasredes.netne.net/organizacion.html Topología en Estrella Es aquella configuración en la que cada computadora tiene su propio cable conectado a un HUB o SWITCH, a través del cual se intercambian los mensajes que van desde un cliente a un servidor. Esta topología es la utilizada actualmente por las nuevas redes de computadoras ya que ofrece el mejor desempeño que la topología de Bus. Figura 8: Topología Estrella. Fuente http://elmundodelasredes.netne.net/organizacion.html 23 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Topología en Árbol La topología en árbol se denomina también topología en estrella distribuida. Al igual que sucedía en la topología en estrella, los dispositivos de la red se conectan a un punto que es una caja de conexiones, llamado HUB. Estos suelen soportar entre 4 y 32 equipos. Los hubs se conectan a una red en bus, formando así un árbol o pirámide de hubs y dispositivos. Esta topología reúne muchas de las ventajas de los sistemas en bus y en estrella. Figura 9: Topología Árbol . Fuente http://elmundodelasredes.netne.net/organizacion.html Topología en Malla Completa En una topología de malla completa, cada nodo se enlaza directamente con los demás nodos. Las ventajas son que, como cada nodo se conecta físicamente a los demás, si algún enlace deja de funcionar la información puede circular a través de cualquier cantidad de enlaces hasta llegar a destino. Por otro lado, esta topología permite que la información circule por varias rutas a través de la red. La desventaja física principal es que sólo funciona con una pequeña cantidad de nodos, ya que de lo contrario la cantidad de medios necesarios para los enlaces, y la cantidad de conexiones con los enlaces se torna abrumadora. 24 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 10: Topología Malla Completa. Fuente http://elmundodelasredes.netne.net/organizacion.html En toda red existe una colección de máquinas, llamadas hostales para confeccionar programas de usuario, aplicaciones. Los hostales están conectados mediante una subred de comunicación, o simplemente subred. El trabajo de la subred consiste en enviar mensajes entre hostales. Una subred consiste de dos componentes diferentes: las líneas de transmisión y los elementos de conmutación. Las líneas de transmisión, conocidas como circuitos se encargan de mover bits entre máquinas y los elementos de conmutación son ordenadores especializados que se utilizan para conectar dos o más líneas de de transmisión. Una red informática está formada por un conjunto de ordenadores intercomunicados entre sí que utilizan distintas tecnologías de hardware/software. Las tecnologías que utilizan (tipos de cables, de tarjetas, dispositivos...) y los programas o lenguajes de comunicaciones (protocolos) varían según la dimensión y función de la propia red. Normalmente, cuando los ordenadores están en red pueden utilizar los recursos que los demás pongan a su disposición en la red (impresoras, módem), o bien acceder a carpetas compartidas. El propietario (técnicamente llamado administrador) de un ordenador en red puede decidir qué recursos son accesibles en la red y quién puede utilizarlos. Por ende las redes se clasifican en los siguientes tipos: 25 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Redes LAN (Local Area Network). Se conoce a la red de área local (LAN) como la forma de normalizar las conexiones entre las máquinas que se utilizan como sistemas ofimáticos. Como su propio nombre indica, constituye una forma de interconectar una serie de equipos informáticos. La LAN más difundida, la Ethernet, utiliza un mecanismo denominado Call Sense Multiple Access-Collision Detect (CSMS-CD). Esto significa que cada equipo conectado sólo puede utilizar el cable cuando ningún otro equipo lo está utilizando. Todas las LAN comparten la característica de poseer un alcance limitado y de tener una velocidad suficiente para que la red de conexión resulte invisible para los equipos que la utilizan. LAN también proporcionan al usuario multitud de funciones avanzadas. Hay paquetes de software de gestión para controlar la configuración de los equipos en la LAN, la administración de los usuarios, y el control de los recursos de la red. Los servicios en la mayoría de las LAN son muy potentes. Los routers y los bridges son equipos especiales que permiten conectar dos o más LAN. El bridge es el equipo más elemental y sólo permite conectar varias LAN de un mismo tipo. El router es un elemento más inteligente y posibilita la interconexión de diferentes tipos de redes de ordenadores. Figura 11: Red típica LAN (Red de Área Local). Fuente http://innovando.net/por-que-instalar-una-red-lan-en-mi-negocio/ 26 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Redes WAN (Wide Area Network): Dos de los componentes importantes de cualquier red son la red de teléfono y la de datos, son enlaces para grandes distancias que amplían la LAN hasta convertirla en una red de área extensa (WAN). Casi todos los operadores de redes nacionales ofrecen servicios para interconectar redes de computadoras, que van desde los enlaces de datos sencillos y a baja velocidad que funcionan basándose en la red pública de telefonía hasta los complejos servicios de alta velocidad adecuados para la interconexión de las LAN. Estos servicios de datos a alta velocidad suelen denominarse conexiones de banda ancha. Figura 12: Red Wan (Red de Área Amplia). Fuente http://www.indaelpro.com.mx/paginas/redeswan.php Red MAN (Metropolitan Area Network) Una MAN (Red de área metropolitana) conecta diversas LAN cercanas geográficamente (en un área de alrededor de cincuenta kilómetros) entre sí a alta velocidad. Por lo tanto, una MAN permite que dos nodos remotos se comuniquen como si fueran parte de la misma red de área local. Una MAN está compuesta por conmutadores o routers conectados entre sí con conexiones de alta velocidad (generalmente cables de fibra óptica). 27 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 13: Red MAN (Red de Área Metropolitana). Fuente http://elmundodelasredes.netne.net/organizacion.html Red PAN (Personal Area Network) Se establece que las redes de área personal son una configuración básica llamada así mismo personal la cual está integrada por los dispositivos que están situados en el entorno personal y local del usuario, ya sea en la casa, trabajo, carro, parque, centro comercial, etc. Esta configuración le permite al usuario establecer una comunicación con estos dispositivos a la hora que sea de manera rápida y eficaz. Actualmente existen diversas tecnologías que permiten su desarrollo, entre ellas se encuentran la tecnología inalámbrica Bluetooth o las tecnologías de infrarrojos. Sin embargo para su completo desarrollo es necesario que estas redes garanticen una seguridad de alto nivel, que sean altamente adaptables a diversos entornos, y que sean capaces de proporcionar una alta gama de servicios y aplicaciones, tanto aplicaciones que requieran una alta calidad multimedia como pueden ser la video conferencia, la televisión digital o los videojuegos, como aplicaciones de telecontrol que requieran anchos de banda muy bajos soportados sobre dispositivos de muy reducido tamaño 28 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 14: Red PAN (Red de Área Personal). Fuente http://etecnologia.com/gadgets/funcionamiento-bluetooth Profundización Lección 5: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Redes Locales – Ma Del Carmen Romero Ernero Link: http://books.google.com.co/books?id=duk7kYoYwEC&pg=PA53&dq=topologia+de+redes&hl=es&sa=X&ei=Go3GUd7B MvS30AGX9IGACg&ved=0CDgQ6AEwAjgK#v=onepage&q=topologia%20d e%20redes&f=false 29 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 2: CONCEPTOS BÁSICOS EN LAS REDES INALÁMBRICAS Introducción Las redes Wlan (Wireless Local Area Network) o más conocidas como redes inalámbricas, son quizás unas de las mayores comodidades que se pueda disfrutar en estos momentos, pero sin que mucha gente tenga conocimiento de los grandes riesgos que se presentan en dichas redes. En la actualidad se avanza en cuanto conectividad se trata, aquellas épocas de conexiones cableadas y molestas están por terminar. Muchos de los dispositivos que se utilizan en redes PAN (Personal Area Network) como lo son: impresoras, teclados, mouse, auriculares, están disponibles en conexiones inalámbricas , generando de tal forma el rango perimetral de un ataque ya que no se tienen las medidas o el conocimiento necesario para poder administrar de forma correcta dichas redes, muchas personas desconocen el poder que pueden tener las redes Wlan y, no se percatan del daño colateral que se puede generar por el uso de dichas redes. Es bien sabido que no existe sistema informático seguro, pero si puede existir un sistema con excelentes métricas de seguridad para mitigar los posibles riesgos de ataques, y no hay mejo forma que comenzar a conocer más a fondo las redes Wlan. Es importante conocer la estructura y forma de operar de las redes Wlan, para lograr detectar y analizar los posibles agujeros de seguridad de esta forma podremos ir al mismo nivel o quizás un paso más adelante que un atacante, se debe recordar que ellos buscan siempre la oportunidad para lograr vulnerar un sistema o red informática, siempre van a buscar la forma más fácil y la que tenga menos trabajo para robar información, por lo tanto hay que conocer el terreno en su totalidad para cerrar todas las puertas que generen inseguridad en la red. Al desconocer su forma de operar y funcionar, se toman riesgos tales como: permitir que personas externas configuren de forma incorrecta los dispositivos de red, no conocer la red y dejar agujeros grandes de seguridad, permitir que un atacante engañe para capturar información confidencial de manera fácil; son muchos los peligros que se corren al no conocer este tipo de tecnología, y al igual que se debe conocer las redes Wlan también se debe conocer el gran listado de tipos de redes existentes actualmente alrededor del mundo. 30 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 6: Inicios de las redes Wlan El origen de la WLAN se remonta a la publicación en 1979 de los resultados de un experimento realizado por ingenieros de IBM en Suiza, que utiliza enlaces infrarrojos para crear una red local en una fábrica. Estos resultados, pueden considerarse como el punto de partida en la línea evolutiva de esta tecnología [5]. Las investigaciones siguieron adelante tanto con infrarrojos como con microondas, donde se utilizaba el esquema del “spread-spectrum”(frecuencias altas), siempre a nivel de laboratorio. En mayo de 1985, y tras cuatro años de estudios, el FCC (Federal Communications Comission), la agencia federal del Gobierno de Estados Unidos encargada de regular y administrar en materia de telecomunicaciones, asignó las bandas IMS (Industrial, Scientific and Medical) 902-928 MHz, 2,4002,4835 GHz, 5,725-5,850 GHz a las comunicaciones inalámbricas basadas en “spread-spectrum”. IMS es una banda para uso comercial sin licencia, es decir, el FCC simplemente la establece las directrices de utilización, pero no se involucra ni decide sobre quién debe transmitir en ella. A continuación se podrá observar un cuadro comparativo entre los diversos estándares de IEEE, Tabla 1. Tabla 1. Tabla comparativa entre los diversos estándares propuestos por la IEEE, acá se puede comparar, velocidad, frecuencia y, radio de cobertura. Fuente http://blogcmt.com/2010/05/28/conceptos-basicos-de-telecos-redesinalambricas-fijas-y-en-bandas-de-uso-comun/ 31 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La asignación de una banda de frecuencias propició una mayor actividad en el seno de la industria. Ese respaldo hizo que las WLAN empezaran a dejar ya el laboratorio para iniciar el camino hacia el mercado. Desde 1985 hasta 1990 se siguió trabajando ya más en la fase de desarrollo, hasta que en mayo de 1991 se publicaron varios trabajos referentes a WLAN operativas que superaban la velocidad de 1 Mbps, el mínimo establecido por el IEEE 802 para que la red sea considerada realmente una LAN. WLAN (Wireless Local Area Networks) es una tecnología de acceso inalámbrico a redes de comunicaciones electrónicas de ámbito reducido o de área local. El término WiFi (Wireless Fidelity) surge como marca de certificación de conformidad con estándares el cual es la importancia de converger hacia un patrón único que logre cubrir el ámbito de las WLAN. Entre las principales prestaciones de las redes WLAN se encuentran: Alta disponibilidad Escalabilidad Gestionabilidad Arquitectura abierta WIFI En lo que se refiere al Wi-Fi es un conjunto de estándares para redes inalámbricas basados en las especificaciones IEEE 802.11. Creado para ser utilizado en entornos sin cables, el uso más frecuente en la actualidad es el acceso a Internet, aunque su empleo en el ámbito audiovisual está creciendo rápidamente [6]. Wi-Fi es una marca de la Wi-Fi Alliance, la organización comercial que adopta, prueba y certifica que los equipos cumplen los estándares 802.11. El problema principal que pretende resolver la normalización es la compatibilidad. No obstante, existen distintos estándares que definen diferentes tipos de redes inalámbricas. Esta variedad produce confusión en el mercado y descoordinación en los fabricantes. Para resolver este inconveniente, los principales vendedores de soluciones inalámbricas (3com, Airones, Intersil, Lucent Technologies, Nokia y Symbol Technologies) crearon en 1999 una asociación conocida como WECA (Wireless Ethernet Compability Aliance, Alianza de Compatibilidad Ethernet Inalámbrica). El objetivo de ésta fue crear una marca que permitiese fomentar más fácilmente la tecnología inalámbrica y asegurase la compatibilidad de equipos. 32 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 De esta forma, en abril de 2000, WECA certifica la interoperatibilidad de equipos según la norma IEEE 802.11b bajo la marca Wi-Fi (Wireless Fidelity, Fidelidad Inalámbrica). Esto quiere decir que el usuario tiene la garantía de que todos los equipos que tengan el sello Wi-Fi pueden trabajar juntos sin problemas, independientemente del fabricante de cada uno de ellos. En el año 2002 eran casi 150 miembros en la asociación WECA. Como la norma 802.11b ofrece una velocidad máxima de transferencia de 11 Mbps, ya existen estándares que permiten velocidades superiores, WECA no se ha querido quedar atrás. Por ese motivo, anunció que empezaría a certificar también los equipos IEEE 802.11a de la banda de 5 Ghz mediante la marca Wi-Fi5. La norma IEEE.802.11 fue diseñada para sustituir a las capas físicas y MAC de la norma 802.3 (Ethernet). Esto quiere decir que en lo único que se diferencia una Wi-Fi de una Ethernet es en la forma en la que los ordenadores y terminales en general acceden a ésta; el resto es idéntico. Por tanto, una red local inalámbrica 802.11 es completamente compatible con todos los servicios de las de cable 802.3 (Ethernet). Las redes Wlan cuentan con tres estados que son: Uso privado, cuando se limita el uso de esta tecnología a un entorno privado (empresa u hogar) y limitado el uso a las personas de ese hogar, empresa u organización. Uso público, cuando se utiliza para dar un servicio público de acceso a Internet, redes de telefonía, ...., al que se puede conectar cualquier persona que haya contratado ese servicio o que cumpla los requisitos exigidos para ello. Hot-spots, hoteles, centros de convenciones, cibercafés,.. son algunos ejemplos de este uso. Uso comunitario, se utiliza la tecnología para compartir en una comunidad concreta de hogares o de empresas el acceso a determinados recursos. ¿Qué sucede con l seguridad en las redes Wlan? Uno de los problemas más graves a los cuales se enfrenta actualmente la tecnología Wi-Fi es la seguridad. Un muy elevado porcentaje de redes son instaladas por administradores de sistemas y redes por su simplicidad de 33 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 implementación sin tener en consideración la seguridad y, por tanto, convirtiendo sus redes en redes abiertas, sin proteger la información que por ellas circulan. Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP y el WPA que se encargan de codificar la información transmitida para proteger su confidencialidad Elementos de una red Wlan Estaciones cliente (tarjetas de red inalámbricas) APs Antenas Dispositivos No estándar en 802.11* APs repetidores Clientes universales y Workgroup bridges Wireless bridges A continuación se ilustra en la Figura 15. el uso de las redes Wlan con tecnología Wifi. Figura 15: Cobertura y diversificación de usos en las redes Wlan. Fuente http://karcos4.blogspot.com/ 34 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Profundización Lección 6: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Configuración y conceptos Inalámbricos Básicos - Blog Redes Cisco III Link: http://ciscoccna3.blogspot.com/2012/08/configuracion-y-conceptosinalambricos.html Redes inalámbricas, comunicación total - revista cec Link: http://www.revistacec.com/articulo.asp?idart=441 35 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 7: Arquitectura lógica de las redes Wlan Modos de Operaciones Wlan Un “Service set (SS)” es una agrupación lógica de dispositivos. Las WLANs proveen acceso a la red por medio de una señal de broadcast a través de una portadora de radio frecuencia (RF). Una estación puede estar dentro de un rango de transmisores, los cuales utilizan un “service set identifier” (SSID). La estación usa el SSID como filtro entre las señales recibidas y localiza la que desea escuchar. Las redes Wireless tienen diversos modos de operación, entre ellos se encuentran: BSS (Basic Service Set): El modo BSS es el que se utiliza normalmente. Este modo también se denomina modo infraestructura. En esta configuración se conectan un determinado número de puntos de acceso a una red cableada. Cada red ³wireless´ posee su propio nombre. Este nombre es el SSID de la red. Los clientes ³wireless´ se conectan a estos puntos de acceso. El estándar IEEE 802.11define el protocolo que se utiliza para realizar esta conexión. Un cliente ³wireless´puede asociarse con una determinada red ³wireless´ especificando el SSID. Un cliente³wireless´ también puede asociarse a cualquier red que se encuentre disponible; bastacon no especificar ningún SSID. Sus elementos son: El Punto de Acceso (AP) Funciona como un concentrador inalámbrico de la red WLAN: Todo el tráfico pasa a su través Extienden una red LAN Hace de Puente entre la LAN y las estaciones inalámbricas Puede servir como repetidor en la conectividad de las dos redes WLAN Roaming: Brinda la posibilidad de que una estación se asocie a otros AP Interfaz web para su configuración Desplegando varios se puede cubrir un gran área Estaciones: 36 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 PCs, portátiles, PDAs, etc Figura 16: Ilustración de un BSS. Fuente http://es.scribd.com/doc/57037191/38/IBSS-Independent-BSS IBSS (Independent Basic Service Set): El modo IBSS, también conocido como modo ad-hoc, se ha diseñado para facilitar las conexiones punto a punto. En realidad existen dos tipos distintos de modos ad-hoc.Uno es el modo IBSS, también conocido como modo ad-hoc o modo ad-hoc del IEEE. Este modo se encuentra especificado en el estándar IEEE 802.11. El segundo tipo se denomina modo ad-hoc de demostración o modo ad-hoc de Lucent (y algunas veces, también se le llama simplemente modo ad-hoc, lo cual es bastante confuso). Este es el modo de funcionamiento antiguo, anterior al estándar 802.11, del modo adhoc debería utilizarse sólo en instalaciones propietarias. Es un conjunto de estaciones que no tienen una infraestructura de conexión y que está compuesto por más de dos estaciones inalámbricas. Es una BSS sin puntos de acceso Sin conexiones a otras redes 37 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Las redes ad-hoc satisfacen las necesidades de usuarios que ocupan un área de cobertura pequeña como un aula de clases, un piso de un hospital, etc. Los ordenadores se comunican directamente Figura 17: Ilustración de un IBSS. Fuente http://es.scribd.com/doc/57037191/38/IBSS-Independent-BSS Sistemas de Distribución (DS) - Servicios Extendidos (ESS): Otra alternativa de comunicación inalámbrica es el esquema de comunicación de equipos internos con la incorporación de un Punto de Acceso (AP), el cual se encarga de registrar todos los equipos de la red así como también de manejar la conmutación de los paquetes. Es importante destacar que los Puntos de Acceso normalmente cumplen funciones de Puentes (Bridge) debido a que permiten interconectar redes cableadas con los equipos inalámbricos, además de agregar un conjunto de características de administración y seguridad a los dispositivos de la red. En esencia esta topología se basa en la integración de dos o más Conjuntos de Servicios Extendidos, para lo cual es necesario la realización de enlaces de 38 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 interconexión entre los diferentes Puntos de Acceso de la red. Estos enlaces en algunas ocasiones son realizados a través de puertos de red cableada con tecnología Ethernet, sin embargo, algunos puntos de acceso permiten establecer estos enlaces con los mismos canales de radio con los que se conectan los usuarios finales. Figura 18: Ilustración de DS combinado con un ESS. Fuente http://www.oocities.org/es/carlosaguirrelinarez/teg/ftegcapituloII.html AD HOC Peer to Peer: También conocidas como MANET “Mobile ad hoc networks”. AD HOC viene del latín y se refiere a algo improvisado, mientras que en comunicaciones el propósito de ad hoc es proporcionar flexibilidad y autonomía aprovechando los principios de auto-organización. Una red móvil ad hoc es una red formada sin ninguna administración central o no hay un nodo central, sino que consta de nodos móviles que usan una interface inalámbrica para enviar paquetes de datos. Los ordenadores están en igualdad de condiciones. La conexión es establecida por la duración de una sección. Los artefactos descubren otros artefactos cercanos o en rango para formar el “network”. Los artefactos pueden buscar nodos que están fuera del área de alcance conectándose con otros artefactos que estén conectados a la red y estén a su alcance. Las conexiones son posibles por múltiples nodos. 39 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 19: Ilustración de una conexión Ad Hoc. Fuente http://www.eusso.com/Models/Wireless/UGL2454-01XR/UGL2454-01XR.htm Profundización Lección 7: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Fundamentals of Wireless Lans Versión - stk1.1 - By Stake Link: http://es.scribd.com/doc/19370287/Fundamentos-de-WLAN-RedesInalambricasen-Espanol Arquitectura de la solución de LAN inalámbrica segura - Microsoft Tech Net Link: http://www.microsoft.com/latam/technet/articulos/wireless/pgch03.mspx Redes Inalámbricas Ad Hoc - Armando Mercado, Rafael gil Link: http://facultad.bayamon.inter.edu/cgonzalezr/ELEN4618/Adhoc.pdf 40 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 8: Métodos de acceso El método de acceso fundamental del MAC IEEE 802.11 [7], acceso múltiple con detección de portadora y colisión evitable (CSMA/CA), se denomina Función de Coordinación Distribuida (DCF). La DCF se implementa en todas las STAs, para su uso tanto en configuraciones de red ad hoc como de infraestructura. El MAC IEEE 802.11 MAC también puede incorporar un método de acceso opcional, denominado Función de Coordinación de Punto (PCF), que crea un acceso libre de contención (CF). La PCF sólo puede utilizarse en configuraciones de red de infraestructura Tramas de datos: Una trama de datos, viene a ser lo mismo que un paquete de datos (la información se envía por trozos, no entera).Estos paquetes constan de cabecera (donde van los protocolos de enlace), datos (la información) y cola donde suelen ir un chequeo de errores). Para delimitar estos paquetes se emplean cuatro métodos: Por conteo de caracteres: en la cabecera se pone el número de bytes que compone el paquete. Por caracteres de principio y fin: Se emplea códigos ASCII para delimitar el principio y fin. Al principio se pone STX (Star of Transmisión) y al final del paquete, ETX(End of Transmisión). Por secuencias de bits: Se emplea una secuencia de bits para indicar el principio y fin de una trama. Se suele emplear el “guión”, 01111110. Por violación del nivel físico: Se trata de introducir una señal, o nivel de señal, que no se corresponda ni con un uno ni con un cero. Por ejemplo si la codificación física es bipolar se puede usar el nivel de 0 voltios, o en Codificación Manchester se puede tener la señal a nivel alto o bajo durante todo el tiempo de bit (evitando la transición de niveles característica de este sistema 41 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Tramas de control: Son tramas que dan asistencia a la transferencia entre estaciones inalámbricas Tramas RTS: implementan la función RTS para salvaguardar la presencia de nodos ocultos. Tramas CTS: implementan la función CTS para salvaguardar la presencia de nodos ocultos Trama ACK : implementan la función de confirmación de recepción de tramas de datos sin error. Figura 20: Pasos para asegurar una red Wlan. Fuente http://technet.microsoft.com/es-es/library/dd458733.aspx 42 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Asociación punto de acceso y cliente Una parte clave del proceso de 802.11 es descubrir una Wlan y, luego conectarse a ella. Los componentes principales de este proceso son los siguientes: Beacons: Tramas que utiliza la red Wlan para comunicar su presencia. Sondas: Tramas que utilizan los clientes de l red Wlan para encontrar sus redes. Autenticación: Proceso que funciona como instrumento del estándar original 802.11, que el estándar todavía exige. Asociación: Proceso para establecer la conexión de datos entre un punto de acceso y un cliente Wlan. Figura 21: Paso 1, Sonda de 802.11. Fuente http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf 43 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Si el cliente Wlan sólo quiere conocer las redes Wlan disponibles, puede enviar un pedido de sondeo sin SSID, y todos los puntos de acceso que estén configurados para responder este tipo de consulta, responderían. Las Wlan con la característica de Broadcast SSID deshabilitada no responderán. Figura 22: Paso 2, autenticación de 802.11. Fuente http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf 802.11 se desarrolló originalmente con dos mecanismos de autenticación. El primero, llamada autenticación abierta, es fundamentalmente una autenticación NULL donde el cliente dice ''autentícame'', y el punto de acceso responde con ''si''. Este es el mecanismo utilizado en casi todas las implementaciones de 802.11. Un segundo mecanismo de autenticación se basa en una clave que es compartida por la estación del cliente y el punto de acceso llamado protección de equivalencia por cable (Cable WEP) 44 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La idea de la clave WEP compartida es que le permita a una conexión inalámbrica la privacidad equivalente a una conexión por cable, pero cuando originalmente se implementó este método de autenticación resultó deficiente. A pesar de que la clave de autenticación compartida necesita estar incluida en las implementaciones de cliente y de punto de acceso para el cumplimiento general de los estándares, no se utiliza ni se recomienda. Figura 23: Paso 3, asociación de 802.11. Fuente http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf En esta etapa finaliza la seguridad y las opciones de tasa de bit, y establece el enlace de datos entre el cliente Wlan y el punto de acceso. Como parte de esta etapa, el cliente aprende el BSSID, que es la dirección MAC del punto de acceso, y el punto de acceso traza un camino a un puerto lógico conocido como el identificador de asociación (AID) al cliente Wlan. El AID es equivalente a un puerto en un switch. 45 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El proceso de asociación permite al switch de infraestructura seguir la pista de las tramas destinadas para el cliente Wlan, de modo que puedan ser reenviadas. Una vez que un cliente Wlan se asoció con un punto de acceso, el tráfico puede viajar de un dispositivo a otro. Figura 24: Métodos para controlar el acceso a las redes Wlan. Fuente http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf Hoy en día las redes WiFi se han convertido en algo esencial para todo aquel usuario que se conecta desde su ordenador a ellas esté donde esté, y por ello siempre es práctico disponer de una herramienta que te detecte cuántas redes WiFi existen a tu alrededor. Y eso es lo que hace NetStumbler, el cual es una práctica herramienta que te permite detectar y localizar redes inalámbricas WiFi, tanto para comprobar si te puedes conectar a alguna de ellas (viendo si hay cobertura) como para verificar si están entorpeciendo de algún modo en tu conexión (con accesos no autorizados a tu red si ésta no estuviese protegida). 46 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Ni el SSID camuflado ni el filtrado de direcciones MAC se consideran medios válidos para proteger a una Wlan, por los siguientes motivos: Se puede suplantar la identidad de las direcciones MAC fácilmente. Los SSID se descubren con facilidad, incluso si los puntos de acceso no los transmiten. Figura 25: Evolución de las redes Wlan. Fuente http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf Profundización Lección 8: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Arquitectura de la solución de LAN inalámbrica segura - Microsoft Tech Net Link: http://technet.microsoft.com/es-es/library/dd458733.aspx Estándar IEEE 802.11 X de las WLAN - Ing. Pablo Jara Link:http://www.edutecne.utn.edu.ar/monografias/standard_802_11.pdf 47 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 9: Rangos Inalámbricos La tecnología inalámbrica ofrece muchas ventajas en comparación con las tradicionales redes conectadas por cable. Una de las principales ventajas es la capacidad de brindar conectividad en cualquier momento y lugar. La implementación extendida de la conexión inalámbrica en lugares públicos, conocidos como puntos de conexión, permite a las personas conectarse a Internet para descargar información e intercambiar mensajes de correo electrónico y archivos. La instalación de la tecnología inalámbrica es simple y económica. El costo de dispositivos inalámbricos domésticos y comerciales continúa disminuyendo. Sin embargo, a pesar de la disminución del costo, las capacidades y la velocidad de transmisión de datos han aumentado, lo que permite conexiones inalámbricas más confiables y rápidas. La tecnología inalámbrica permite que las redes se amplíen fácilmente, sin limitaciones de conexiones de cableado. Los usuarios nuevos y los visitantes pueden unirse a la red rápida y fácilmente. pesar de la flexibilidad y los beneficios de la tecnología inalámbrica, existen algunos riesgos y limitaciones. Primero, las tecnologías LAN inalámbricas (WLAN, Wireless LAN) utilizan las regiones sin licencia del espectro de RF. Dado que estas regiones no están reguladas, muchos dispositivos distintos las utilizan. Como resultado, estas regiones están saturadas y las señales de distintos dispositivos suelen interferir entre sí. Además, muchos dispositivos, como los hornos de microondas y los teléfonos inalámbricos, utilizan estas frecuencias y pueden interferir en las comunicaciones WLAN. En segundo lugar, un área problemática de la tecnología inalámbrica es la seguridad. La tecnología inalámbrica brinda facilidad de acceso, ya que transmite datos de manera que otorga a todos los usuarios la capacidad de acceder a ella. Sin embargo, esta misma característica también limita la cantidad de protección que la conexión inalámbrica puede brindar a los datos. Permite a cualquier persona interceptar la corriente de comunicación, incluso a los receptores accidentales. Para tratar estas cuestiones de seguridad se han desarrollado técnicas para ayudar a proteger las transmisiones inalámbricas, por ejemplo la encriptación y la autenticación. Indoor (Varias Obstrucciones): Las antenas están integradas a la Tarjeta de Red Inalámbrica y la distancia entre 48 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 el CPE (Customer Premise Equipment - dispositivo instalado en el lado del abonado) y el AP (Access Point) puede llegar a los 300m cuando no existen paredes / obstáculos en la trayectoria entre el CPE y el AP. Cuando existen obstáculos en la trayectoria, estas distancias se achican acorde a cuán grande sea el obstáculo en cuestión. Valores típicos pueden ubicarse dentro los 100m. Aplicaciones para oficinas, aulas, etc. Algunas Características específicas del rango indoor son: Aplicaciones para oficinas, casas, salas de reuniones, etc.. Las antenas integradas a la Tarjeta de Red Inalámbrica) Distancias hasta 300 mts sin obstáculos y 100 mts con. Figura 26: Rangos inalámbricos Indoors. Fuente http://dspace.ups.edu.ec/bitstream/123456789/221/3/Capitulo%202.pdf Outdoor (Sin obstrucciones): En este rango se necesita tener “Línea de Vista”, entre los puntos en donde se encuentra la antena externa del CPE y la antena del AP (nodo de la red). En estas 49 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 aplicaciones los rangos de cobertura pueden llegar a varios kilómetros (10Km, Aplicaciones para oficinas remotas, etc.) según la configuración total de la red. Figura 27: Rangos inalámbricos outdoor. Fuente http://dspace.ups.edu.ec/bitstream/123456789/221/3/Capitulo%202.pdf Algunas Características especificas del rango outdoor son: Para oficinas remotas Libre de obstáculos (“Línea de Vista”) Rangos de cobertura: pueden llegar a varios kilómetros según la configuración total de la red. Profundización Lección 9: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Topologías y requerimientos Wlan - UPS - Cuenca Link: http://dspace.ups.edu.ec/bitstream/123456789/221/3/Capitulo%202.pdf 50 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 10: Servicios IEEE 802,11 define los servicios que proporcionan las funciones que requiere la capa LLC para el envío de Unidades de Datos de Servicio MAC (MSDUs) entre dos entidades en la red. Estos servicios pueden clasificarse en dos categorías: Servicios Lógicos: Servicios de Distribución (DSS): se relacionan con la administración de membrecías dentro de la celda y con la interacción con estaciones que están fuera de la celda. Asociación, Disociación, Reasociación, Distribución e Integración Servicios de Estación (SS): se relacionan con la actividad dentro de una sola celda. Ambas categorías son utilizadas por la subcapa MAC. Autenticación, Desautenticación, Privacidad y Entrega de datos Servicios de Distribución: Asociación: El servicio es utilizado por las estaciones para conectarse ellas mismas al AP. Por lo general, se utiliza después de que una estación se mueve dentro del alance de radio del AP. Una vez que llega, anuncia su identidad y sus capacidades. Estas incluyen las tasas de datos soportadas y los requerimientos de administración de energía. Disociación: Elimina una asociación existente. Una estación podría utilizar este servicio antes de apagarse o de salir, asimismo el AP podría utilizarlo antes de su mantenimiento. Reasociación: Establece una asociación (entre el AP y una estación STA) para ser trasladados de un AP a otro o el mismo AP. Distribución: Proporciona transmisión de MSDU de los Access Points a las estaciones asociadas con ellos. Las Unidades de datos de servicio MAC (MSDUs) pueden ser transmitidas a destinos inalámbricos o a redes cableadas (Ethernet) o ambos a través del concepto de "Sistema de Distribución". 51 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Integración: Traduce los MSDU recibidos del sistema de distribución a un no formato 802.11 y viceversa. Cualquier MSDU que se recibe del Sistema de Distribución DS invoca la «integración» de los servicios de DSS antes de la "distribución" de servicios. El punto de conexión entre el DS y la red LAN se denomina “Portal”. Servicios de Estación Autenticación: Establece la identidad de una estación como miembro del conjunto de estaciones que están autorizadas a asociarse unos con otros. Des-autenticación: Eliminación de una relación existente de autenticación. Confidencialidad: Evita que el contenido de los mensajes puedan ser leídos por personas distintas de los destinatarios. Este servicio maneja la codificación y decodificación. Un algoritmo especificado es RC4. Entrega MSDU: Entrega de unidades de datos de servicio MAC (MSDU) para las estaciones. Profundización Lección 10: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Lan Inalámbricas - UCLM Albacete Link: http://pablodeolavide.dynalias.com/adeubeda/apuntes%20de%20telefon%C 3%ADa/MATERIAL%20DID%C3%81CTICO%20%20ALUMNOS%20STI/08%20%20TELEFON%C3%8DA%20M%C3%93VIL/ARCHIVOS%20PDF/cap7.pdf 52 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 3: MECÁNICAS BÁSICAS DE SEGURIDAD Introducción La seguridad se ha convertido en factor importante en las grandes organizaciones a nivel mundial, ya que de ello depende defender el good will que otorga el rango de confiabilidad de cada organización. La seguridad va avanzando al ritmo del crecimiento tecnológico, dejando atrás mecanismos ambiguos y obsoletos que no contribuirán de la misma forma que lo hicieron en épocas anteriores. Un mecanismo mal administrado, o mal desarrollado, sería un punto débil de grandes dimensiones en una organización llevándola al desprestigio, cuando se piensa en seguridad de la información se tiene que pensar más allá de los aspectos técnicos y centralizarse en el objetivo principal que sería resguardar los activos ya que son la base solidad de cualquier organización o persona. Los mecanismos de seguridad se despliegan desde los aspectos técnicos ingenieriles, hasta los administrativos y de gestión, este conjunto de procesos harán normas o métricas más robustas o fuertes en las empresas u organizaciones. Todo mecanismo debe estar actualizado y no obsoleto, sumándole personal capacitado y multidisciplinar para tener cargos como oficiales de seguridad. El avance de la tecnología conlleva a grandes retos e iniciativas de ataques informáticos, cada segundo que pasa en el mundo siempre va a existir una mente criminal e ingeniosa detrás de un teclado, buscando cada error que se genere dentro y fuera de la organización; Los errores pueden ser técnicos y de gestión administrativa, de tal forma que siempre deben existir mecanismos por parte y parte para lograr una seguridad perimetral adecuada para cada organización, persona, o empresa. Es importante recalcar que para generar mecanismos de gran autonomía se hace necesario tener conocimiento de las estructuras informáticas sobre las cuales se van a trabajar, ya que sin conocerlas sería el fracaso total, y ello demarca el estudio teórico práctico de los diversos campos de la informática. 53 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 11: Pilares de la seguridad y mecanismos A la hora de analizar la seguridad de un sistema informático, hay que tener en cuenta una serie de criterios. Generalmente, al describir estos criterios se hace una analogía con la transmisión de un mensaje, si bien el concepto es aplicable a la información almacenada, el acceso a recursos, etc. Confidencialidad: Capacidad de enviar (y recibir) datos sin divulgarlos a ninguna entidad no autorizada durante la transmisión de estos. • Mecanismos: Encripción (simétrica – asimétrica) Integridad: Capacidad de enviar (y recibir) datos de tal forma que una entidad no autorizada no pueda cambiar ninguna parte de los datos sin que el receptor o transmisor pueda detectar el cambio. • Mecanismos: firmas digitales usando funciones hash. Disponibilidad: Capacidad de enviar o recibir datos. Ejemplo : bajo un ataque de negación de servicio un sistema no estará disponible para enviar o recibir datos. • Mecanismos: en su mayoría mecanismos de defensa para detectar ataques DoS. Autenticación: Establece la identidad de transmisor o receptor de la información. • Mecanismos: múltiples protocolos como 802.1x, RADIUS, PAP/CHAP, MSCHAP, etc. Autorización: Establece que tiene permitido hacer una vez que se ha identificado. (Control de acceso, capacidades y permisos). Va de la mano con la autenticación. Mecanismos: múltiples protocolos 54 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Control de acceso: Capacidad de controlar el acceso de las entidades a los recursos basados en diferentes propiedades: atributos, autenticación, políticas, etc [8]. Mecanismos: En un AP basado en la autenticación o conocimiento de una clave WEP o WPA. Encripción: Capacidad de transformar datos (o texto plano) en bytes insignificantes (texto cifrado) basado en algún algoritmo. Mecanismos: WEP, CKIP y TKIP Administración de clave: Un clave es un código digital que puede ser usado para encriptar, desencriptar y firmar información. La administración de claves (key management) es el proceso de distribución de claves. Mecanismos: Distribución de claves Profundización Lección 11: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Conceptos en seguridad de los sistemas de información: confidencialidad, integridad, disponibilidad y trazabilidad - Jesús Jiménez Herranz Link: http://oposcaib.wikispaces.com/file/view/38++Conceptes+en+seguretat+dels+sistemes+d%27informaci%C3%B3.+Confi dencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf 55 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 12: Estándares Wlan Organizaciones Wlan: FCC (Federal Communications Commission): es una agencia estatal independiente de Estados Unidos, bajo responsabilidad directa del Congreso. La FCC fue creada en 1934 con la Ley de Comunicaciones y es la encargada de la regulación (incluyendo censura) de telecomunicaciones interestatales e internacionales por radio, televisión, redes inalámbricas, teléfonos, satélite y cable. Regula las bandas ISM 900 Mhz, 2.4 Mhz, 5.8 Mhz Figura 28: Logo, Comisión Federal http://transition.fcc.gov/cgb/spanish/ de Comunicaciones. Fuente IEEE (Institute of Electrical and Electronics Engineers): Es una asociación técnico-profesional mundial dedicada a la estandarización, entre otras cosas. Con cerca de 425.000 miembros y voluntarios en 160 países, es la mayor asociación internacional sin ánimo de lucro formada por profesionales de las nuevas tecnologías, como ingenieros eléctricos, ingenieros en electrónica, científicos de la computación, ingenieros en informática, matemáticos aplicados, ingenieros en biomédica, ingenieros en telecomunicación e ingenieros en Mecatrónica .Desarrolla los estándares para WLANs [9]. Figura 29: Logo, Instituto de Ingenieros Eléctricos y Electrónicos. Fuente http://www.ieee.org.co/portal/ ETSI – IEEE (European Telecommunications Standards Institute): Instituto Europeo de Normas de Telecomunicaciones es una organización de estandarización de la industria de las telecomunicaciones (fabricantes de 56 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 equipos y operadores de redes) de Europa, con proyección mundial. El ETSI ha tenido gran éxito al estandarizar el sistema de telefonía móvil GSM. Figura 30: Logo, Instituto Europeo de Normas de Telecomunicaciones. Fuente https://www.certigna.fr/bonnes-raisons-choisir-certigna-ssl.xhtml IEEE 802 es un estudio de estándares elaborado por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) que actúa sobre Redes de ordenadores. Concretamente y según su propia definición sobre redes de área local (RAL, en inglés LAN) y redes de área metropolitana (MAN en inglés). También se usa el nombre IEEE 802 para referirse a los estándares que proponen, algunos de los cuales son muy conocidos: Ethernet (IEEE 802.3), o Wi-Fi (IEEE 802.11). Está, incluso, intentando estandarizar Bluetooth en el 802.15 (IEEE 802.15). IEEE 802.11a: Estándar superior al 802.11b, pues permite velocidades teóricas máximas de hasta 54 Mbps, apoyándose en la banda de los 5GHz. A su vez, elimina el problema de las interferencias múltiples que existen en la banda de los 2,4 GHz (hornos microondas, teléfonos digitales DECT, BlueTooth). Figura 31: 12 canales con frecuencia de 10 MHz. http://andersonramirez.tripod.com/ieee802.htm#IEEE%20802.11a Fuente Es aplicada a una LANs inalámbrica. La especificación esta aplicada a los sistemas de ATM inalámbricos 57 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 IEEE 802.11b: Extensión de 802.11 para proporcionar 11 Mbps usando DSSS. También conocido comúnmente como Wi-Fi (Wireless Fidelity): Término registrado promulgado por la WECA para certificar productos IEEE 802.11b capaces de ínter operar con los de otros fabricantes. Es el estándar más utilizado en las comunidades inalámbricas. Figura 32: 14 canales de secuencia directa (DS). http://andersonramirez.tripod.com/ieee802.htm#IEEE%20802.11b Fuente Son 14 canales de secuencia directa (DS). Cada canal DS transmite en 22 MHz, pero la separación entre ellos es solamente de 5 MHz. Debido al traslape hay interferencia entre los canales vecinos. De los 14 canales solamente 3 no se solapan: 1, 6 y el 11. IEEE 802.11g: Utiliza la banda de 2,4 GHz, pero permite transmitir sobre ella a velocidades teóricas de 54 Mbps. Se consigue cambiando el modo de modulación de la señal, pasando de 'Complementary Code Keying' a 'Orthogonal Frequency Division Multiplexing'. Así, en vez de tener que adquirir tarjetas inalámbricas nuevas, bastaría con cambiar su firmware interno. IEEE 802.11n: Es un nuevo estándar para dispositivos Wireless que llega a soportar hasta 600 Mbps y puede dar cobertura a pequeñas oficinas. • • • • Norma aún no ha salido definitivamente Inició trabajos en Enero de 2004 Banda de 2,4 GHz Velocidades: Hasta 600 Mbps 58 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática • • • • Seguridad Avanzada en redes de datos: 233015 OFDM + MIMO (Multiple Input Multiple Output) Varios arreglos de antenas para transmitir y recibir Explota multiplexión y diversidad espaciales Actualmente hay equipos que manejan hasta 300Mbps (80-100 estables) IEEE 802.11f: Define los servicios primitivos y protocolos para que los Aps de diferentes fabricantes puedan intercambiar información. Estándar relativamente desconocido y poco complejo. IAPP (Inter-Access Point Protocol) puede ser usado también entre switches y bridges que requieran intercambiar información WLAN. Adiciona posibilidad de rápido roaming de clientes. IEEE 802.11e: Nombre literal: “Media Access Control Quality of Service Enhancements”; Adiciona QoS y características básicas para soporte de multimedia en WLANs requeridas para aplicaciones de audio, voz y video. No se garantizan niveles determinísticos de throughput o retardos, así que el resultado final es el de “Mejor esfuerzo”. IEEE 802.11k: Nombre literal: “Specification for Radio Resource Measurement”. Adiciona funciones de medidas y reportes de un STA (Station client). Los factores medidos incluyen: carga, ruido, beacons, nodos escondidos, ambiente y rendimiento de los radios. Estipula los mecanismos para mejorar la selección dinámica de la frecuencia mediante un umbral de detección de interferencia, tiempos de chequeo de disponibilidad de los canales, entre otros y define las frecuencias y los canales. Protocolos de Seguridad 802.11i : En enero de 2001, el grupo de trabajo “i task group” fue creado en IEEE para mejorar la seguridad en la autenticación y la encripción de datos a nivel inalámbrico. En junio de 2004, la edición final del estándar 802.11i fue adoptada y recibió el nombre comercial WPA2 por parte de la alianza Wi-Fi. • Cambios fundamentales de IEEE 802.11i: La separación de la autenticación de usuario de la integridad y privacidad de los 59 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 mensajes, proporcionando una arquitectura robusta y escalable, que sirve igualmente para las redes locales domésticas como para los grandes entornos de red corporativos. TKIP: Inicia el proceso mediante una clave semilla de 128 bits compartida temporalmente entre los usuarios y los puntos de acceso. Después esa clave temporal se combina con la dirección MAC del usuario y se le añade un vector de inicialización de 16 bits para originar la clave que cifrará los datos, asegurando así que cada usuario manejará diferentes claves para la encripción. TKIP se requiere para la certificación WPA y se incluye como parte de RSN 802.11i como una opción. Profundización Lección 12: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. IEEE y los Standares 802.X (II) - Segu - Info Link: http://www.segu-info.com.ar/articulos/67-ieee-standares-802-2.htm Estándares IEEE 802 - AIS Link: http://estandaresieee802redes.blogspot.com/ 60 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 13: Autenticación y Privacidad Seguridad en el Estándar 802.11: La seguridad en el estándar IEEE 802.11 se define en la forma de autenticación: Sistemas Abiertos y Sistemas de Clave Compartida. La autenticación del Sistema Abierto es la opción por defecto que se utiliza en todo dispositivo estandarizado bajo IEEE 802.11. Este tipo de autenticación permite que cualquier cliente forme parte de la red. La seguridad que nos proporciona un Sistema abierto es nula, por lo que cualquier cliente puede acceder la red sin ningún problema. La autenticación de Clave Compartida (SKA). se requiere también la implementación del mecanismo de seguridad. Este mecanismo de seguridad utiliza una única clave secreta para todos los miembros de la red, la cual fue conocida por los miembros antes de entrar en la red. Figura 33: Autenticación de clave compartida SKA . Fuente http://www.expresionbinaria.com/seguridad-en-redes-wireless/ Mecanismos de Seguridad El hecho de tener un Punto de Acceso irradiando señal, se convierte en una vulnerabilidad si no se toman las acciones necesarias para garantizar la seguridad. Cualquier persona que detecte la señal y logre ingresar a la red podrá navegar gratis por Internet, en el mejor de los casos, o podrá robar información sensible, insertar un virus informático, bloquear servidores, entre otros. En general, algunos mecanismos son: 61 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 SSID: Como uno de los primeros niveles de seguridad que se pueden definir en una red inalámbrica se cita al SSID (“Service Set Identifier” o identificador del servicio). Aunque se trata de un sistema muy básico (normalmente no se tiene por un sistema de seguridad), este identificador permite establecer o generar, tanto en la estación cliente como en el Punto de Acceso, redes lógicas que interconectarán a una serie de clientes. Normalmente, los puntos de acceso difunden su SSID para que cada cliente pueda ver los identificadores disponibles y realizar la conexión a alguno de ellos simplemente seleccionándolos. Pero también se puede inhabilitar la difusión de este SSID en el punto de acceso, para dificultar el descubrimiento de la red inalámbrica por parte de personas ajenas a su uso. Figura 34: Difusión del SSID - Fuente http://www.draytek.com/index.php?option=com_k2&view=item&id=4012:vigor21 10n&Itemid=1436&lang=es Filtrado de direcciones MAC o ACL (Access Control List): Este método consiste en la creación de una tabla de datos en cada uno de los Puntos de Acceso de la red inalámbrica. 62 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Ventajas: Sencillez de implementación, por lo cual se puede usar para redes caseras o pequeñas. Desventajas: Es necesario modificar las tablas en cada AP El formato de una dirección MAC no es amigable, puede llevar a cometer errores en la manipulación de las listas. Las direcciones MAC viajan sin cifrar por el aire. En caso de robo de un equipo inalámbrico, el ladrón dispondrá de un dispositivo que la red reconoce como válido. No garantiza la confidencialidad de la información transmitida, ya que no prevé ningún mecanismo de cifrado. Figura 35: Interfaz para posterior configuración de direcciones MAC Fuente http://wiki.ubnt.com/images/c/ce/Mac_acl.png Protocolo WEP (Wired Equivalent Privacy): Forma parte de la especificación 802.11, y se diseñó con el fin de proteger los datos que se transmiten en una conexión inalámbrica mediante cifrado [10]. WEP utiliza una misma clave simétrica y estática en las estaciones y el Punto de Acceso; y no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de la red. algoritmo de cifrado utilizado es RC4 con claves, según el estándar, de 64 bits. Estos 64 bits (24 bits correspondientes al vector de inicialización + 40 bits de la clave secreta). Los 40 bits son los que se deben distribuir manualmente. 63 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El vector de inicialización (IV) es predecible. WEP no ofrece servicio de autenticación. El cliente no puede autenticar la red, ni al contrario; basta con que el equipo móvil y el Punto de Acceso compartan la clave WEP para que la comunicación pueda llevarse a cabo. Los protocolos WEP tienen las siguientes ventajas: Encripción WEP Clave compartida y secreta Usa algoritmo de encripción RC4 Autenticación WEP Autenticación abierta Autenticación de clave compartida Administración de Claves Comparte la misma clave en ambos sentidos Tamaño de la Clave entre 64 y 128 bits Se puede utilizar con filtrado MAC Protocolo de seguridad WPA (Wi-Fi Protected Access): Es un estándar propuesto por los miembros de la Wi-Fi Alliance en colaboración con la IEEE. Este estándar busca subsanar los problemas de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticación. Para solucionar el problema de cifrado de los datos, WPA propone un nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity Protocol - Protocolo de Clave Temporal de Integridad). cambiando la clave compartida entre Punto de Acceso y cliente cada cierto tiempo con una longitud 128 bits en lugar de 40 bits como WEP. La clave pasa de ser única y estática a ser generada de forma dinámica. TKIP utiliza el algoritmo “Michael” para garantizar la integridad, generando un bloque de 4 bytes denominado MIC a partir de la dirección MAC de origen, de destino y de los datos, añadiendo el MIC calculado a la unidad de datos a enviar. Metodos de autenticación WPA: Los métodos de autenticación definidos en WPA son: EAP-TLS, EAP-TTLS y PEAP. Estos métodos se basan en la infraestructura de clave pública (PKI) para autenticar al usuario y al servidor de autenticación, utilizando certificados digitales. 64 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La premisa es la existencia de una Autoridad de Certificación (CA) de confianza para la organización, que emita certificados para los usuarios y el servidor de autenticación. La CA puede ser privada (empresarial) o pública (basada en CAs de Internet como Verisign). Figura 36: Proceso de Encripción utilizando TKIP o AES - Fuente http://palizine.plynt.com/issues/2007May/wpa-security/ PEAP : PEAP fue diseñado por Microsoft, Cisco y RSA. Cuando el cliente ha validado el certificado del servidor de autenticación y creado el túnel, usando TLS se inicia una nueva autenticación donde negocian un método, por ejemplo MS-CHAP v2, tras autentificar el servidor al cliente, ambos generan la clave de sesión. PEAP y EAP-TTLS: EAP-TLS exige que todos los clientes dispongan de un certificado digital lo que puede ser, en muchos casos, un inconveniente técnico y económico. Para evitar esta necesidad aparecen 2 métodos: Protected EAP (PEAP) y EAPTunneled TLS (EAP-TTLS), que requieren únicamente del certificado en el servidor de autenticación. La idea subyacente es que si el servidor de autenticación dispone de un certificado digital, el cliente podrá enviarle datos cifrados, creándose un “túnel de seguridad” por donde el cliente podrá enviar sus datos de autenticación. 65 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 A continuación un diagrama donde se especifican de forma general cada uno de los protocolos utilizados en Wireless: Figura 37: Diagrama de la seguridad en Wireless - Fuente el autor. Leap: EAP Liviano [Lightweight EAP (LEAP)] es también llamado EAP-Cisco. LEAP es la versión de Cisco de EAP. Es para usar sobre redes que actualmente no soportan EAP. Las versiones actuales de los protocolos de autenticación (EAP) pueden no proporcionar la funcionalidad que se necesita y ser demasiado exigentes. Esto podría comprometer el rendimiento del equipo WLAN, por lo tanto, LEAP es una buena opción cuando se utilizan equipos Cisco. 66 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 38: Leap - Fuente http://www.ciscopress.com/articles/article.asp?p=369223&seqNum=4 Ahora se verá en la Figura 36. el protocolo Eap-Tls. Figura 39: Eap - Tls - Fuente http://www.ciscopress.com/articles/article.asp?p=369223&seqNum=4 67 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Eap Md5: Es una autenticación de un sentido que esencialmente duplica la protección de password CHAP en una WLAN. EAP-MD5 se utiliza como un bloque de construcción en EAP-TTLS. Figura 40: Eap - Md5 - Fuente http://www.ciscopress.com/articles/article.asp?p=369223&seqNum=4 El Protocolo de Autenticación Expandible MD5 (EAP-MD5) no debería ser usado, porque no proporciona autenticación mutua. Eap - Ttls: EAP-Seguridad de Capa de Transporte en Túnel [EAP-Tunneled Transport Layer Security (EAP-TTLS)] es un borrador IETF creado por Funk software y Certicom. EAP-TTLS provee una funcionalidad similar a PEAP. EAP-TTLS protege las passwords usando TLS, que es una forma avanzada de Capa de Socket Seguro [Secure Socket Layer (SSL)]. EAP-TTLS actualmente requiere un servidor RADIUS de Funk software. 68 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 41: Inconvenientes y ventajas del Eap - Md5 - Fuente http://www.ciscopress.com/articles/article.asp?p=369223&seqNum=4 Eap - Otp: Passwords Ocasionales [EAP- One Time Passwords (EAP-OTP)] también recibe el nombre de EAP-Tarjeta Token Genérica [EAP- Generic Token Card (EAP-GTC)]. Eap - Sim: Utiliza la misma tarjeta inteligente o SIM que se utiliza en los teléfonos móviles GSM para proporcionar autenticación. EAP-SIM puede fácilmente montarse sobre EAP-TLS. Tabla 2. Métodos de autenticación de cada estándar. Fuente. El Autor. 69 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 WPA2 (IEEE 802.11i): Es el nuevo Estándar del IEEE para proporcionar seguridad en redes WLAN. Incluye el nuevo algoritmo de cifrado AES (Advanced Encription Standard), desarrollado por el NIST. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requiere un hardware potente para realizar sus algoritmos. Para el aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (Counter-Mode/Cipher Block Chiang /Message Authentication Code Protocol) en lugar de los códigos MIC. VPN (Redes Privadas Virtuales): Emplea tecnologías de cifrado para crear un canal virtual privado sobre una red de uso público. Las VPN resultan especialmente atractivas para proteger redes inalámbricas, debido a que funcionan sobre cualquier tipo de hardware inalámbrico y superan las limitaciones de WEP. Para configurar una red inalámbrica utilizando las VPN, debe comenzarse por asumir que la red inalámbrica es insegura, y permitir su acceso mediante el uso de una lista de acceso adecuada en un enrutador o agrupando todos los puertos de acceso inalámbrico en una VLAN si se emplea dispositivos de capa 2 (Switch). Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente inalámbrico a los servidores de autorización y autenticación de la VPN. Deberá permitirse acceso completo al cliente, sólo cuando éste ha sido debidamente autorizado y autenticado. 70 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Tabla 3. Tabla comparativa de los protocolos de seguridad- Fuente El Autor. Profundización Lección 13: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Protocolos de seguridad en redes inalámbricas - Saulo Barajas Doctorado en Tecnologías de las Comunicaciones Universidad Carlos III de Madrid Link: http://www.saulo.net/des/SegWiFi-art.pdf Seguridad Wi-Fi – WEP, WPA y WPA2 - Guillaume Lehembre Link:http://www.zero13wireless.net/wireless/seguridad/01_2006_wpa_ES.p df Estudio de vulnerabilidad de los cifrados wep y Wpa, y su impacto en las redes inalámbricas de área Local - Juan Rodrigo Sac de Paz Link: http://biblioteca.usac.edu.gt/tesis/08/08_0466_CS.pdf 71 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 14: Ataques y vulnerabilidades La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior. El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas. Problemas concretos de seguridad en Wifi Puntos Ocultos: Este es un problema específico de las redes inalámbricas, pues suele ser muy común que los propios empleados de la empresa por cuestiones de comodidad, instalen sus propios puntos de acceso. Este tipo de instalaciones, si no se controlan, dejan huecos de seguridad enormes en la red. El peor de estos casos es la situación en la cual un intruso lo deja oculto y luego ingresa a la red desde cualquier ubicación cercana a la misma. Falsificación de AP: Es muy simple colocar una AP que difunda sus SSID, para permitir a cualquiera que se conecte, si sobre el mismo se emplean técnicas de “Phishing”, se puede inducir a creer que se está conectando a una red en concreto. Existen varios productos ya diseñados para falsificar AP, en la terminología WiFi se los suelen llamar “Router AP” o Fake AP”, el más común es un conocido script en Perl denominado justamente “FakeAP”, que envía Beacons con diferentes ESSID y diferentes direcciones MAC con o sin empleo de WEP. Cada atacante o hacker tienen objetivos o perspectivas diferentes, he aquí algunos de sus objetivos más comunes: 72 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Acceso a los recursos en una red (archivos confidenciales). Hacer uso de la red para navegación (sin pagar por ello), o para enviar miles de correos (spam) sin que sepan quién es, o para enviar un virus, etc. Para dañar la red y que otros no puedan tener acceso. Ataques Pasivos Espionaje: Este tipo de ataque consiste en observar el entorno donde se encuentra instalada la red inalámbrica, no se necesita ningún tipo de hardware o software especial. Sirve para recopilar información y se puede combinar con otro tipo de ataques. También consiste en observar el entorno donde se encuentra instalada la red inalámbrica, no se necesita ningún tipo de hardware o software especial. Sirve para recopilar información y se puede combinar con otro tipo de ataques. Warchalking: Se trata de un lenguaje de símbolos utilizado para marcar sobre el terreno la existencia de las redes inalámbricas, de forma que puedan ser utilizadas por aquellos que 'pasen por allí'. El lenguaje como tal es realmente simple [11]. Figura 42:Signos para interpretar el Warchalking - Fuente http://realtimecity.danielbauer.com/inoutframe.html 73 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 WarDriving: Es el método más conocido para detectar las redes inalámbricas inseguras. Se realiza habitualmente con un dispositivo móvil, como un ordenador portátil o un PDA. El método es realmente simple: el atacante simplemente pasea con el dispositivo móvil y en el momento en que detecta la existencia de la red, se realiza una análisis de la misma. Para realizar el Wardriving se necesitan realmente pocos recursos. Los más habituales son un ordenador portátil con una tarjeta inalámbrica, un dispositivo GPS para ubicar el PA en un mapa y el software apropiado (AirSnort para Linux, BSD- AriTools para BSD o NetStumbler para Windows). Figura 43: Ataques a las redes Wifi desde un auto, a esto se le denomina WarDriving - Fuente http://www.flickr.com/photos/vickyken/3326195529/ Interceptar una Señal: El atacante intenta identificar el origen y el destino que posee la información. Es decir, la toma de posesión y el uso del ancho de banda de las WLAN privadas y de los hot spot públicos, mediante un kit básico de war-driver, programas sniffer descargables de la Red. Tras haber interceptado la señal, el atacante intentará recopilar información sensible del sistema. El Wireless Hacking puede requerir que el war-driver tenga que exponerse 74 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 peligrosamente, teniendo que acercarse a la red para poder capturar la señal. Esto puede provocar una probable tendencia a una mayor prudencia. Técnicas de Intrusión MAC Spoofing (Suplantación de MAC) – Hijacking: Para este caso el intruso imita una dirección MAC de un cliente válido y trata de asociarse al Punto de Acceso. Existen dos formas de encontrar una dirección MAC, por fuerza bruta (aunque bastante complejo) ó simplemente monitoreando el canal y capturando paquetes. Asociación Maliciosa: En este tipo de ataque el intruso intenta obtener información valiosa de la red, haciéndose pasar por un Punto de Acceso válido y asociando clientes inadvertidos. Sniffing: El sniffing o escucha es un ataque que tiene como fin obtener información, tales como MAC’s, IP’s origen y destino, contraseñas, claves WEP, etc. Es un paso previo a ataques activos posteriores como inyección y modificación de mensajes. Para el ataque se necesita: Una tarjeta de red inalámbrica en modo promiscuo o monitor Un programa “Sniffer” Prismdump,Ethereal,Tcpdump,,Wireshark,AiroPeek, Snniffer Los chipsets más utilizados para sniffing son: Prism2 (Linksys, D-Link, SMC y otros), Orinoco (Lucent) y Aironet (Cisco). Descubrimiento de Contraseña: El objetivo de este ataque es descifrar la contraseña que un usuario legítimo utiliza para acceder a la WLAN. Para obtener la contraseña se realizan principalmente dos tipos de ataques: Ataque por Fuerza Bruta: En los ataques por fuerza bruta, el atacante intenta romper el cifrado mediante la prueba de todas las combinaciones posibles. Se puede conseguir: • Nombres de usuario 75 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática • • Seguridad Avanzada en redes de datos: 233015 Contraseñas de autenticación del usuario Claves de los algoritmos de cifrado Características: • Consigue el objetivo • Demasiado tiempo gastado • Crece exponencialmente entre más larga es la clave. Ataques por Diccionario: No se intentan todas las combinaciones posibles, como se hace en el ataque por fuerza bruta, se usan palabras probables, las cuales son tomadas de un diccionario de palabras y nombres. • Tiempo de ataque se reduce. Estos dos tipos de ataques son los normalmente usados para descubrir claves de una WLAN que esté usando WEP como protocolo de seguridad. Ataques Activos Son ataques que implican la modificación en el flujo de datos o la creación de falsos flujos en la transmisión de datos. Dentro de sus Objetivos se encuentra: Pretender ser alguien que en realidad no se es. Colapsar los servicios que puede prestar la red. APs no autorizados- ROUGE: Un AP no autorizado es un AP que se conecta sin permiso a la red existente. Puede ser uno de los ataques más perjudiciales. Necesita tener acceso físico a la WLAN. Vulnera todos los mecanismos basados en el cifrado de información entre extremos (WEP, WPA, etc). Figura 44: Ataque de Rouge Acces http://www.wm.edu/as/computerscience/research/projects/index.php Fuente 76 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Spoofing: En esta técnica el intruso pretende ser la fuente real u original. El atacante suplanta parámetros del usuario invariantes antes, durante y después de la concesión de un privilegio. Dirección MAC Dirección IP Direcciones de correo electrónico Nombres de dominio Nombres de recursos compartidos Figura 45: Ataque de suplantación, Spoofing - Fuente http://www.fluproject.com/spoofing.html MIT ''Man In The Middle'': En este tipo de ataque, el intruso intenta insertarse, él mismo, en la mitad de una comunicación con el propósito de interceptar los datos de un cliente. De esta forma podría modificar los datos y enviarlos al destino real. 77 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El aspecto crítico en las redes inalámbricas es que su medio de transmisión es el aire, por lo cual, no se puede controlar quien detecta o percibe la señal. A continuación se explican los mecanismos de seguridad más utilizados en redes WiFi. Figura 46: Ataque ARP, Conocido como MITM - Fuente http://www.fluproject.com/man-in-the-middle.html Denegación de Servicios DDoS - DoS: DoS (Denial of Service, Denegación del Servicio) Flooding attacks: Se considera netamente vandalismo, en este tipo de ataque el intruso trata de bajar el servicio ofrecido por el Punto de Acceso. Se puede realizar de dos formas: Irradiando señales RF en la banda de 2.4GHz o 5 GHz hacia el Punto de Acceso ó enviando paquetes falsos de terminación de sesión Cliente – Punto de Acceso [12]. El objetivo es impedir el correcto funcionamiento de la red, el atacante genera gran cantidad de tráfico hacia la red atacada, provocando que el AP se encuentre en imposibilidad de responder a esta gran cantidad de tráfico en la red y por tanto deniegue el servicio a los usuarios, tanto a los legítimos como a los ilegítimos. El atacante usará alguna herramienta, como pueden ser caín, ettercap o nemesis entre otras, para realizar un ARP Spoofing o también conocido como ARP Poisoning. Este tipo de ataques se realiza en redes switcheadas y no con hubs. 78 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El atacante envenenará las tablas ARP de las víctimas, enviando mensajes ARP ‘engañando’ a los objetivos. Figura 47: Ataque DDoS, Denegación de servicios Distribuida - Fuente http://www.gitsinformatica.com/ddos.html Profundización Lección 14: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Seguridad en redes Wifi - David L. La Red Martinez Link:http://exa.exa.unne.edu.ar/depar/areas/informatica/SistemasOperativo s/MONOGRAFIA_DE_SEGURIDAD_EN_%20REDES_WIFI.pdf Protocolos de Seguridad en redes Inalámbricas - Saulo Barajas Link:http://www.zero13wireless.net/wireless/seguridad/01_2006_wpa_ES.p df WARDRIVING: ¿EL PRELUDIO A UN ATAQUE INALÁMBRICO? - J. Campiño, R. Daza Link:http://usuarios.multimania.es/wdcali/archivos/download/Wardriving%20 El%20Preludio%20De%20Un%20Ataque%20Inal%E1mbrico.pdf 79 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 15: Procesos de Seguridad Medidas de Seguridad Wifi Emplear las mismas herramientas que los intrusos: realizar la misma actividad, pero para el “lado bueno”, es decir realizar controles periódicos con “Netstumbler”, Escuchar tráfico e intentar obtener información trivial con “Kismet” o “AirSnort”, medir potencias irradiadas con cualquier tarjeta desde los perímetros de la red. Mejorar la seguridad física: Estas mejoras se enfoca a la seguridad que pueda tener el acceso a grandes servidores o a zonas DMZ; este tipo de seguridad no puede pasarse por alto ya que podrá traer futuros dolores de cabeza. Cancelar puertos que no se emplean: Siempre existe una analogía entre puertos abiertos y puertas abiertas en una casa, entre más puertas se deje abiertas, mayor el rango de que pueda ingresar un ladrón, exactamente pasa lo mismo con los puertos, a mayor numero de puertos abiertos, mayor el rango de ataque. Limitar el número de direcciones MAC: que pueden acceder. Esta actividad se realiza por medio de ACLs (Access List Control) en los AP, en las cuales se especifica (a mano) las direcciones MAC de las tarjetas a las que se les permitirá el acceso, negando el mismo a cualquiera que no figure en ellas. Satisfacer la demanda: Si se están empleando AP no autorizados por parte de los empleados, es porque les resulta útil, por lo tanto, se pueden adoptar las medidas para que se implanten, pero de forma segura y controlada, de otra forma, seguirán apareciendo, pero de forma clandestina. Controle el área de transmisión: muchos puntos de acceso inalámbrico permiten ajustar el poder de la señal. Coloque sus puntos de acceso tan lejos como sea posible de las paredes y ventanas exteriores. Pruebe el poder de la señal para que usted únicamente pueda conectarse a estos sitios. Luego, asegúrese de cambiar 80 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 la contraseña predeterminada en todos los puntos de acceso. Utilice una contraseña fuerte para proteger todos los puntos de acceso. Implemente la autenticación de usuario: Mejore los puntos de acceso para usar las implementaciones de las normas WPA y 802.11i. Proteja la WLAN con la tecnología “VPN Ipsec” o tecnología “VPN clientless”: esta es la forma más segura de prestar servicios de autenticación de usuario e integridad y confidencialidad de la información en una WLAN. La tecnología adicional VPN no depende del punto de acceso o de la tarjeta LAN inalámbrica; por consiguiente, no se incurren en costos adicionales de hardware puesto que las normas de seguridad inalámbrica continúan evolucionando. Active el mayor nivel de seguridad que soporta su hardware: incluso si tiene un equipo de un modelo anterior que soporta únicamente WEP, asegúrese de activarlo. En lo posible, utilice por lo menos una WEP con un mínimo de encriptación de 128 bits. Instale firewalls personales y protección antivirus en todos los dispositivos móviles: la Alianza WiFi recomienda utilizar la política de seguridad de redes corporativas para imponer su uso continuo. Adquiera equipamiento que responda a los estándares y certificado por “WiFi Alliance”. Listado de recomendaciones básicas en redes Wlan: Deshabilite Telnet, http, CDP Habilite SSH y TACACS para la autenticación de Administrador Virus Scanning + Firewall es recomendado en clientes WLAN Monitoree las RF y los APs externos (posibles Rogue) 81 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Haga escaneos periódicos de los clientes y la red Cierre la red y oculte el SSID El SSID puede ser capturado con monitoreo pasivo MACs pueden ser víctimas de sniffing/spoofing No use WEP: Puede obtenerse online/offline según la cantidad de tráfico y tiempo empleado Cambie las claves de manera frecuente: El tráfico puede aún ser desencriptado offline Utilice un portal de autenticación Red nueva => APs sopotando IEEE 802.11i. APs solo soportan WPA => implementación fundamentada en EAP que soporte un tipo de autenticación adecuado. Para mayor seguridad EAP debe proporcionar una autenticación mutua, por lo tanto, no es aconsejable utilizar MD5. En caso de utilización de EAP-TLS, EAP-TTLS y PEAP se recomienda configurar los clientes inalámbricos con un certificado de un servidor seguro y evitar que el usuario pueda modificar estos parámetros. Solo privilegios del administrador. Servidor PKI. Proporciona certificados X.509 para la autenticación de usuario y de servidor. Necesario en caso de emplearse EAP-TLS, EAP-TTLS y PEAP. Servidor OTP5. Proporciona autenticación OTP mediante servidores RADIUS. Puede emplearse con PEAP o EAP-TTLS. Adicionalmente, es recomendable proteger el modo EAP empleado (LEAP, PEAP, EAP-TTLS) contra ataques de fuerza bruta. El 82 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 servidor RADIUS debe bloquear las cuentas de usuario tras una serie de intentos de logueo fallidos. Cuando la cuenta de usuario está bloqueada el usuario no puede ser autenticado hasta que no se lleva a cabo una serie de acciones administrativas, lo que permite al administrador llevar a cabo un examen de la seguridad. Para evitar este riesgo, se puede exigir a los usuarios inalámbricos llevar a cabo autenticación tipo OTP. Profundización Lección 15: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Investigación del servidor radius para la seguridad en redes lan inalámbricas - pontón portilla diana carolina Link:http://dspace.unach.edu.ec/bitstream/123456789/363/1/FI-ESC40A013.pdf Seguridad en redes inalámbricas 802.11 - Juan Manuel Madrid Molina Link:http://bibliotecadigital.icesi.edu.co/biblioteca_digital/bitstream/10906/40 0/1/jamdrid-seguridad_redes_inalambricas.pdf Análisis y diseño de lineamientos para generar una propuesta de soluciones de seguridad Mena Ludeña, Jorge Luis Link: http://www.dspace.ups.edu.ec/handle/123456789/4160 83 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática UNIDAD 2 Nombre de la Unidad Introducción Seguridad Avanzada en redes de datos: 233015 Métricas y aspectos técnicos de seguridad orientada a las redes de datos La seguridad hoy en día, se ha convertido en uno de los componentes más en la gran familia de la tecnología, siendo aplicada a todo tipo de proceso y logrando una colaboración en el cuidado de la información de empresas y hogares. Las métricas al igual que los aspectos de configuración para brindar un nivel de seguridad adecuado, son más difíciles cada día que pasa, ya que no se cuenta en ocasiones con los componentes de aprendizaje iniciales, esto lleva, a que sea una tarea bastante agotadora y, lo peor del caso, una tarea que pone en riesgo toda una organización. Las redes de datos son factor importante, ya que son canales que transportan activos muy importantes y sensibles, a estos activos se les llama información. Es importante precisar el aprendizaje de técnicas y conceptos que logren administrar niveles de seguridad básica y esencial en el medio tecnológico. Los procesos de administración de recursos y gestión de la seguridad ha tomado un impacto bastante fuerte en este campo, ya que antes se centraban esfuerzos en los componentes técnicos, pero en estos tiempos con grandes brechas de seguridad sobre él, la gestión cubre gran parte de los procesos de seguridad que se deben llevar en plenitud para idealizar realmente lo que es la seguridad informática. Justificación Cada proceso va encadenado al conocimiento de conceptualización ya que a cada componente se le llama por su nombre, al no tener dichos conocimientos previos pueden generar confusión, desorganización, y, una muy mala práctica de seguridad informática, así que no hay nada mejor que tener objetivos claros basados en la teoría de redes. Los ataques informáticos crecen cada día, con más fuerza, esto genera un círculo de competencias que se deben aplicar al pro de la seguridad, sin dejar a un lado que la seguridad no es una profesión, es un estilo de vida. Este módulo genera el conocimiento en técnicas y procesos para mitigar los riesgos en una red de datos, 84 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 todo ello formará profesionales de alta calidad que puedan tener grandes responsabilidades como el de la seguridad en redes de datos. Intencionalidades Formativas Se indican casos de ataques que son un poco convencionales, caseros, pero que a su vez generará una alerta en el profesional de seguridad ya que estas pequeñas cosas pueden conllevar a grandes caos en el mundo tecnológico, de tal forma que no se puede dejar ningún cabo suelto y, transmitir conocimientos pocos convencionales para mostrar al mundo que se enfrentan. Lo que se busca es brindar elementos conceptuales necesarios frente a la sociedad del conocimiento, en busca de desarrollar una mejor adaptación de los nuevos entornos de enseñanza/aprendizaje, al igual que la adopción de un papel más activo de los estudiantes, como protagonistas de su formación en un ambiente rico en información y de entornos fluidos y mediáticos de comunicación, no solo entre profesores y alumnos, sino también con múltiples redes de conocimiento. Todo esto se concreta en los propósitos, objetivos, metas y competencias propuestas en este módulo. Las competencias que desarrollará el estudiante frente al desarrollo de esta unidad son: ° Conceptos básicos y fundamentales en gestión de redes de datos. ° Funcionamiento secuencial de ataques informáticos para lograr propuestas que mitiguen el riesgo. ° Conceptos avanzados en redes para configuraciones físicas y lógicas de calidad. lograr ° Análisis profesionales en cuestionamiento de seguridad en redes de datos. Estas competencias lograrán que el profesional en seguridad informática pueda avanzar con el paso de la 85 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 tecnología en la gran línea del tiempo, siempre teniendo claro la conceptualización de los temas. Capítulo 4 Lección 16 Lección 17 Lección 18 Lección 19 Lección 20 Capítulo 5 Lección 21 Lección 22 Lección 23 Lección 24 Lección 25 Capítulo 6 Lección 26 Lección 27 Lección 28 Lección 29 Lección 30 Riesgos, vulnerabilidades y, amenazas en redes de datos Valoración y análisis de riesgos en redes Diversificación de herramientas de análisis de intrusos Errores constantes de seguridad en las redes Arquitectura de seguridad en redes Políticas y procedimientos Aspectos técnicos orientados a la seguridad en redes de datos Telnet IPV6 y su tipo de direccionamiento Seguridad enfocada a IPV6 Puertos Firma Digital Conceptos avanzados en redes IPSec ‘’Internet Protocol Security’’ NIDS ‘’Network Based Instrusion Detection System’’ Seguridad DNS Socks 5 y SSL TLS, ISAKMP1 86 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 4: RIESGOS, VULENRABILIDADES Y, AMENAZAS EN REDES DE DATOS Introducción Los sistemas de información y los datos almacenados son uno de los recursos más valiosos con los que puede contar cualquier Empresa u organización. La necesidad imperante del flujo de información y el traslado de recursos de un sitio a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de comunicación. Para que una empresa desarrolladora de software funcione correctamente y alcance los objetivos propuestos por la administración son necesarios activos o recursos de diferentes índoles y con diversos fines. Estos recursos pueden ser humanos, materiales (edificios, instalaciones, inmuebles, papelería, hardware, etc.) e inmateriales (software, experiencia, credibilidad, alcance de mercadeo etc.). Todos estos recursos se encuentran en un entorno de incertidumbre, que en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del funcionamiento normal de la actividad de la empresa. La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un período que no ocasiona situaciones críticas para la actividad normal de la empresa. Sin embargo, puede haber circunstancias que generen interrupciones prolongadas, que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos . 87 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 16: Valoración y análisis de riesgos en redes Valoración del Riesgo El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados, como lo son daños o consecuencias que éstas puedan producir [13]. El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención. RIESGO = AMENAZAS * VULNERABILIDADES CAPACIDADES Amenazas está dado por los siguientes componentes: Targeting Delincuencia Informática Amenazas indirectas Análisis del riesgo en redes y equipos: La gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. A continuación se desglosa el análisis de la siguiente forma: Analizar los intereses sobre información de los principales actores de la empresa. No se confíe de nadie, pero siempre tenga en mano un backup de persona. Evaluar el impacto de la perdida de información, precio por daño o hacking de equipos o redes. Establecer el riesgo técnico en el cual se encuentra la organización. Es bueno evaluar todos los equipos. 88 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El súper equipo costoso y súper seguro ''Routers, firewalls, Switch'' no existen, ya que es más que un mito, no interesa cuánto se invierte en seguridad, siempre va a quedar un agujero. El hacker más peligroso es uno mismo junto con la confianza. Amenazas Las amenazas informáticas son los problemas más vulnerables que ingresan a nuestra computadora con el hecho de afectarlo (virus), estás son algunos tipos de amenazas: Targeting: Amenazas declaradas, amenazas potenciales. Amenazas por delincuente común. Amenazas indirectas: Tener el equipo equivocado en el momento equivocado. Vulnerabilidad Falencias o brechas representa el grado de exposición a las amenazas en un contexto particular. Dónde están las mayores vulnerabilidades: Seguridad física Concienciar a los usuarios acerca de los problemas de seguridad. Seguridad lógica Seguridad en las telecomunicaciones. Capacidades Son los puntos fuertes y los recursos a los que puede acceder a una empres para lograr un nivel razonable de seguridad. Precisión en la información 89 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Mantener, enviar y recibir información Poseer información clave en pocas personas. Poseer equipo de seguridad a la medida de la empresa y no a la del fabricante ¿Qué puede hacer un hacker en una organización? Aprovechar la confianza que se tiene sobre la red y los equipos. Tienen en común su deseo de buscar los puntos débiles de una red. La inseguridad se puede dividir en dos categorías: Un estado de inseguridad activo: Es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita, revisar las ACL de los enrutadores). Un estado de inseguridad pasivo: Es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan). Profundización Lección 16: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Manual de seguridad para pc y redes locales - COBB, STEPHEN Link:http://dspace.ucbscz.edu.bo/dspace/bitstream/123456789/905/3/235.p df 90 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 17: Diversificación de herramientas de análisis de intrusos Unas de las prácticas actuales para el análisis de intrusos es el hacking ético, ello se utiliza para detectar las posibles vulnerabilidades o falencias en un sistema informático o red de datos. A continuación se nombrarán algunas herramientas utilizadas para el análisis de redes: Escáner de red: Escáner de uso general usado para encontrar vulnerabilidades potenciales en la red de la empresa. (También se podría incluir a los escaners de redes VoIP). Estos escaners sirven a su vez para auditar redes LAN o WLAN, facilitando el trabajo de indagar en dichas redes [14]. Escáner de Puertos: El término escáner de puertos o escaneo de puertos se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Detecta si un puerto está abierto, cerrado, o protegido por un cortafuegos [15]. Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades de seguridad según los puertos abiertos. También puede llegar a detectar el sistema operativo que está ejecutando la máquina según los puertos que tiene abiertos. Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero también es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la máquina o la red. Escáner para la seguridad de aplicaciones Web: Permite a los negocios realizar evaluaciones de riesgo para identificar las vulnerabilidades en aplicaciones web y así evitar ataques. Este tipo de escaners deberían ser utilizados también por el departamento de desarrollo (programación) de una aplicación web, ayudando así a encontrar todos los bugs que puedan generarse durante la creación de la aplicación, antes de poner la aplicación a un entorno de producción. Escáner base de datos: Permite encontrar puntos débiles en bases de datos, protegiendo así el activo más importante de una empresa. Es quizás una de las herramientas más importantes ya que si en la base de datos se llega a radicar un error o una amenazase verá comprometido el buen nombre y la confianza de la organización 91 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Acunetix web Vulnerability Scanner: identifica primero los servidores web desde una dirección IP particular o intervalo de IP. Después de eso, rastrea todo el sitio, reúne información sobre cada archivo que encuentra y muestra la estructura de todo el sitio web. Después de esta etapa de descubrimiento, realiza una auditoría automática para los problemas de seguridad comunes. Acunetix Web Vulnerability Scanner es un software que detecta automáticamente la inserción de archivos. El Escáner de puerto y las alertas de red permiten realizar un escaneo del puerto contra el servidor web donde se ejecuta el sitio web escaneado. Cuando se encuentran los puertos abiertos, Acunetix WVS llevará a cabo complejas comprobaciones de seguridad a nivel de red contra el servicio de red que se ejecuta en ese puerto, como pruebas de recursividad a las DNS abiertas, pruebas a servidores proxy mal configurados, a las cadenas de comunidad SNMP débiles y muchos otros controles de seguridad a nivel de red. La Inyección SQL es uno de los muchos mecanismos de ataque de web utilizados por los piratas informáticos para robar datos de organizaciones. Quizá es una de las técnicas de ataque de aplicaciones más comunes usadas hoy en día. Es el tipo de ataque que aprovecha una codificación incorrecta de las aplicaciones web y permiten al pirata informático inyectar comandos SQL en un formulario de inicio de sesión para que pueda acceder a los datos de tu base de datos. En esencia, la inyección SQL surge porque los campos disponibles para los datos proporcionados por el usuario permiten a las instrucciones SQL a pasar y consultar la base de datos directamente. Las aplicaciones web permiten a los visitantes del sitio web legítimo presentar y recuperar datos desde una base de datos por Internet usando su navegador preferido. Las bases de datos son fundamentales para los sitios web modernos – almacenan datos necesarios para que los sitios web ofrezcan un contenido específico a los visitantes y procesa información a los clientes, proveedores, empleados y un host para las partes interesadas. Las credenciales de usuario, financieras y la información de pago, estadísticas de la compañía, todas pueden residir dentro de una base de datos y ser accedida por los usuarios legítimos a través de aplicaciones web estándar y personalizados. 92 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Las aplicaciones web y bases de datos permiten ejecutar regularmente tu negocio. La inyección SQL es la técnica de pirateo que intenta pasar comandos SQL (instrucciones) a través de una aplicación web para la ejecución de la base de datos por back-end. Si no se limpian correctamente, las aplicaciones web pueden provocar ataques de inyección SQL que permiten a los piratas informáticos ver la información de la base de datos o incluso erradicarla. Tales características como páginas de inicio de sesión, soportes y formularios de solicitud de los productos, formas de comentarios, páginas de búsqueda, compras de carros y entrega general de contenido dinámico, ofrecen la forma moderna a los sitios web y proporcionan a las empresas los medios necesarios para comunicarse con los clientes y los posibles consumidores. Estas características del sitio web son ejemplos de aplicaciones web que pueden ser comprados diseñados para estas aplicaciones o desarrollados como programas especiales. Estas características del sitio web son todas susceptibles a los ataques de inyección SQL que surgen porque los campos disponibles para los datos proporcionados por el usuario permiten pasar directamente instrucciones SQL y consultar la base de datos. La tecnología de AcuSensor de Acunetix es una nueva tecnología de seguridad que te permite identificar vulnerabilidades más que un escáner de aplicación Web tradicional, mientras que genera menos falsos positivos. Además indica exactamente donde está la vulnerabilidad de tu código. La mayor precisión se consigue mediante la combinación de la técnica de escaneo de caja negra con una exploración del código dinámico mientras el código fuente está siendo ejecutado. 93 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 48: Interfaz de acunetix web- Fuente http://ktaby.com/vb/t33322/ GFI LanGuard Nwtwork Security Scanner: GFI LANguard Network Security Scanner (GFI LANguardN.S.S.) es una herramienta que permite a los administradores de red realizar rápida y fácilmente una auditoría de segurida de red. GFI LANguard N.S.S. crea informes que pueden ser utilizados para resolver problemas de seguridad de la red. Además puede realizar la administración de actualización es de seguridad. Al contrario que otros escáneres de seguridad, GFI LANguard N.S.S. no creará un ‘bombardeo’ de información, que es virtualmente imposible de seguir. En su lugar, ayudará a resaltar la información más importante. Además proporciona hipervínculos a sitios de seguridad para averiguar más sobre estas vulnerabilidades. 94 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Utilizando análisis inteligente, GFI LANguard N.S.S. recoge información sobre los equipos como nombres de usuario, grupos, recursos compartidos, dispositivos USB, dispositivos inalámbricos y otras informaciones sobre un Dominio Windows. Además de esto, GFI LANguard N.S.S. también identifica vulnerabilidades específicas como problemas de configuración de servidores FTP, exploits en Servidores Microsoft IIS y Apache Web o problemas en la configuración del a política de seguridad Windows, más otros muchos potenciales problemas de seguridad. Tenable Nessus 5.0: Tenable Network Security, líder en Supervisión de seguridad unificada, es el proveedor del analizador de vulnerabilidades Nessus, y ha creado soluciones de clase empresarial sin agente para la supervisión continua de vulnerabilidades, puntos débiles de configuración, filtración de datos, administración de registros y detección de compromisos para ayudar a garantizar la seguridad de redes y la compatibilidad con FDCC, FISMA, SANS CAG y PCI. Los galardonados productos de Tenable son utilizados por muchas organizaciones de la lista Forbes Global 2000 y organismos gubernamentales con el fin de minimizar de forma proactiva el riesgo de las redes. Nmap: Es una de las herramientas consideradas como una de las más importantes cuando se habla de seguridad. Nmap es una utilidad que nos sirve para explorar y auditar la seguridad de una red de comunicación o un dominio. Detecta Host, que puertos tiene abierto, servicios y aplicaciones que corren, sus sistema operativo, Firewalls, entre otros. Es una Excelente herramienta para realizar auditoria de redes y se usa para llevar a cabo escaneo rápidos en una gran cantidad de redes pero se pueden utilizar en host individuales. Es capaz se utilizar diferentes técnicas de evasión de detección como escaneo stealth. Soporta escaneos sobre ciertos puertos específicos, entre rangos IP específicos, uso se paquetes Null, FIN, Xmas y ACK, además SYN que es el paquete por defecto. Esto significa que se mandan cierto tipo de paquetes a cada puerto y estos responderán con alguna señal que permitirá a scanner encontrar versiones y servicios. Retina Network Security Scanner: Retina identifica conocidas vulnerabilidades de día cero y dispone además de la evaluación de riesgos de seguridad, lo que permite mejores prácticas de seguridad, aplicación de políticas y auditorías reglamentarias. 95 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Características: Escáner de seguridad de red: Retina permite priorizado la gestión de la política, de gestión de parches, y la gestión de vulnerabilidades. Red de evaluación de la vulnerabilidad: Identificar las vulnerabilidades de seguridad de red, la falta de actualizaciones de la aplicación, además de amenazas de día cero. Red descubrimiento y la evaluación de políticas: Retina descubre todos los dispositivos, sistemas operativos, aplicaciones, parches, niveles de la política de configuraciones. Permite prioridad a la gestión de la política, de gestión de parches, y la evaluación de la vulnerabilidad. Rápida y precisa exploraciones: Exactitud escanear un Clase C de los dispositivos de red, sistemas operativos y aplicaciones en ~ 15 minutos. Lección 17: Diversificación de herramientas de análisis de intrusos Profundización Lección 17: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Retina Network Securitt - Eeye Link:http://bitsnocturnos.wordpress.com/2010/01/15/escaner-devulnerabilidad-retina-network-security-scanner/ Tenable Network Security - Tenable Network Security, Inc Link:http://static.tenable.com/documentation/nessus_5.0_user_guide_ESN. pdf GFI LANguard Network Security Scanner 6 - GFI Software Ltd. Link: http://www.gfihispana.com/lannetscan/lanscan6manual_es.pdf 96 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 18: Errores constantes de seguridad en las redes En la administración de redes de datos siempre existirá el factor error, y de allí se puede desencadenar un sin número de ataques y vulnerabilidades al sistema. A continuación se nombraran los errores más recurrentes y frecuentes que se pueden cometer dentro de una organización, los errores son: No conocer la red (Lan-wan): No conocer la infraestructura tecnológica que se tiene a cargo podría llevar a ignorar grandes falencias que se pueden tener y que se pueden mejorar aplicando un determinado número de pasos para aplicar métricas de seguridad, es un factor principal en cuanto a errores. Direccionamiento WAN-LAN (IPV4 ó IPV6), asignación de direcciones, mascara de red, servidores DHCP, router, switch. Se puede dar un doble direccionamiento a estos equipos y puede generar errores de seguridad. No conocer la topología de la red. Firewalls mal administrados y no conocer sus alcances No conocer los Servidores críticos e importantes y desconocer por total los tipos de sistemas operativos que se tienen instalados. Manejo equivocado de autenticaciones: Este factor es recurrente en base a los administradores de sistemas de autenticación, ya que una asignación equivoca de privilegios en la autenticación puede llevar a la fuga de información reservada y clasificada en cualquier organización. (Se le otorgan privilegios de alto rango por error a un trabajador X) Mala administración en la renovación de claves Tipos y niveles de autenticación mal asignados Tener una sola contraseña para acceder a todas las cuentas, grave error Tener cuidado al asignar permisos de Super root, SA, administrador, etc. Contraseñas deben ser alfa numéricas Proxy mal Configurado: Al configurar de forma errónea un proxy se pueden presentar diversos problemas que limitan el buen funcionamiento de una red, algunos ejemplos: 97 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Problemas con las listas ACL Autenticación Limitación en el ancho de banda Logs, Firewall mal configurado: Un Firewall mal configurado es como tener un celador bastante armado pero dormido en su labor. De allí se deriva un factor importante a la hora de configurar parámetros de seguridad, y más si se trata de controlar el tráfico que entra y sale de la organización, algunos factores a tener en cuenta son: Se debe definir si es un Firewall interno o externo, de allí depende su ubicación y correcto funcionamiento. Configurarlo abierto o cerrado, pero que permita trabajar normalmente a la organización. Conocer la configuración del Firewall, y saber si es configuración de fábrica para proceder a reconfigurar ya que se puede prestar para un ataque utilizando los valores de default. Es importante no tener firewall desactualizado ya que es probable utilizar tecnología de última generación para penetrar cualquier sistema de seguridad configurado en él. Constantemente es bueno definir nuevos firewall para estar a la vanguardia y al nivel de los nuevos delincuentes informáticos y amenazas en la red. Hardening o Hardened de Servidores: Los servidores hacen parte importante de una organización de tal forma que se hace necesario su constante revisión y configuración en cuanto términos de seguridad se trata. A continuación factores que hay que tener en cuenta: Es saludable tener inventario hardware y software de cada servidor. Autenticaciones por Samba o Netlog Asignar responsables a cada equipo o servidor incorporado en la red. 98 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Tener registros de eventos Log Llevar a cabo una bitácora donde se podrá plasmar cada suceso y se asignará un responsable de inmediato, de esta forma se podrá tener control de los eventos inesperados. Servicios Inoperantes: Un problema que se puede generar en las redes es dejar activos servicios, programas que no se utilicen, es preciso recordar que la instalación de una aplicación software conlleva a la apertura colateral de algún puerto, y como se mencionaba en capítulos anteriores, el tener múltiples puertos abiertos logra un rango mayor en cualquier tipo de ataque informático. Lo que no se usa se Borra, o desactívelo. (Protocolos, servicios, puertos, aplicaciones, etc.) Lo que no sea adquirido de forma legal no se usa, ya que el software pirata contrae una cantidad abundante de malware. No se debe permitir instalar nada en los equipos o servidores que pertenecen a la red, solo personal autorizado podrá ejecutar estas labores, esto ayudará al control de propagación de malware en una organización. Toda subcontratación debe realizarse con auditoria, control de cambios y bitácora. Switchs o hub sin administración: Estás configuraciones infunden en el buen desempeño de una red de datos, al igual es importante ya que de allí se debe evitar la intercepción de información, solo personal altamente calificado y confiable debería ejecutar estas configuraciones, las cosas que se deben tener en cuenta para no caer en errores [16]: Usuarios y claves por defecto, es uno de los principales problemas y errores a nivel administrativo de redes, aún no se dan cuenta que existen los manuales en internet sobre los dispositivos adquiridos en la organización y que allí se ubican los default passowrd. SNMP ‘’Simple Network Management Protocol’’: El protocolo funciona en texto claro, por lo que, es susceptible de ser capturado, configuraciones 99 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 filtran IP desde la cual se puede hacer consultas SNMP como medida de seguridad. Vlans bien definidas y gestionadas. Los más peligrosos incorporan a las funcionalidades de un switch de capa 3 la habilidad de implementar las políticas y filtros a partir de información de capa 4 o superior, como puertos TCP/UDP,SNMP,FTP Telefonía IP: Es importante tener controles específicos en la telefonía IP, ya que es información la que se filtra por estos medios, aquí algunos aspectos importantes: Manejo de claves para cada usuario. Toda telefonía IP debe estar acompañada de auditoria Separar siempre con Vlan o Switch datos y voz, es importante tener dos segmentos de red diferentes para este proceso. Si el usuario no tiene memoria, no es apto para cambiar radicalmente contraseñas, pero debería aplicarse a un proceso de 6 meses. Log: El log forma parte importante de un control en cualquier evento ocasionado en la red o en un sistema informático, para ello se debe saber ¿dónde aplicarlo? Y a qué procesos. Estas son algunas recomendaciones: Centralizado y descentralizado SYSlog es el protocolo utilizado para transportar los eventos generados por los dispositivos a los servidores de bitácoras, haciendo uso del puerto 514 UDP. Dentro de los logs, ¿qué eventos se deben analizar?, lo más correcto sería los siguientes elementos: 100 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Ssitema Correo web Ruteadores, switches Firewalls, IDS Radius Profundización Lección 18: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Seguridad Informática – Fabian Portantier Link:http://bitsnocturnos.wordpress.com/2010/01/15/escaner-devulnerabilidad-retina-network-security-scanner/ Simulación de un sistema de protección y seguridad de servidores web y de correo electrónico basado en sistema operativo Linux –Diego Ramos Link: http://eelalnx01.epn.edu.ec/bitstream/15000/1523/1/CD-2231.pdf 101 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 19: Arquitectura de Seguridad en redes De acuerdo al estándar ITU X.805, la arquitectura de seguridad responde a las exigencias generales de seguridad de los proveedores de servicio, las empresas y los consumidores, y es válida para redes de voz, de datos y convergentes de tecnología inalámbrica, óptica o de cable. Esta arquitectura de seguridad integra las consideraciones de gestión, control y utilización de la infraestructura, los servicios y las aplicaciones de red. La arquitectura de seguridad divide lógicamente a una serie compleja de características de seguridad de red extremo a extremo, en distintos componentes de arquitectura. Esta segmentación permite considerar la seguridad de extremo a extremo de forma sistemática, lo que permite planificar nuevas soluciones de seguridad y evaluar la seguridad de las redes actuales. La arquitectura de seguridad integra tres consideraciones esenciales, para la seguridad extremo a extremo: ¿Qué tipo de protección se necesita, y contra qué amenazas? ¿Cuáles son los diferentes conjuntos de equipos e instalaciones de red que es necesario proteger? ¿Cuáles son las diferentes actividades de red que es necesario proteger? Para responder a estas preguntas hay que considerar tres componentes de la arquitectura: Dimensiones de Seguridad Capas de Seguridad Planos de Seguridad Una dimensión de seguridad es un conjunto de medidas de seguridad que responden a un determinado aspecto de la seguridad de red. En la recomendación ITU X.805, se identifican ocho conjuntos de medidas contra las principales amenazas. Las dimensiones de seguridad incluyen a la red, las aplicaciones y la información de usuario. Se aplican a los proveedores de servicio y las empresas 102 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 que ofrecen servicios de seguridad a sus clientes. Las dimensiones de seguridad son las descritas en la tabla 1. Dimensión de Descripción Seguridad Control de Acceso Límites y control en al acceso a los elementos de red, servicios y aplicaciones. Autenticación Garantía de la procedencia de la información. No-Repudio Garantía de que no se pueda negar cualquier tipo de actividad en la red. Confidencialidad de los Datos Garantía de que la información solo es accesible por las entidades, sistemas o personas autorizadas. Garantía de que la información fluye desde la fuente al destino. Garantía de que la información no ha sido modificada o corrompida de manera alguna, desde su transmisión hasta su recepción. Garantía de que los elementos de red, servicios y aplicaciones, se mantengan disponibles para los usuarios legítimos. Garantía de que la información que fluye en la red se mantenga privada. Comunicación segura Integridad de los Datos Disponibilidad Privacidad Ejemplo Password, listas de acceso, firewall, etc. Password compartido, firmas digitales, certificados digitales, etc. Bitácoras, sistemas de registros de eventos, firmas digitales, etc. DES, AES, RSA, etc. Frame Relay, MPLS, IPsec, etc. MD5, firmas digitales, software antivirus, etc. IDS, IPS, redundancia en la red, etc. NAT, DES, AES, RSA, etc. Tabla 4. Dimensiones de la seguridad. Capas de seguridad: Para realizar una solución de seguridad extremo a extremo, es necesario aplicar las dimensiones de seguridad antes descritas a una jerarquía de equipos de red y dispositivos, es decir, las capas de seguridad. La arquitectura de seguridad tiene en cuenta que las vulnerabilidades de seguridad de cada capa son diferentes, y ofrece la flexibilidad necesaria para reaccionar a las posibles amenazas de la forma más apropiada para una determinada capa de seguridad. En la recomendación ITU X.805 se definen tres capas de seguridad, las cuales se complementan mutuamente para conformar soluciones de red. Las capas de seguridad son las descritas en la tabla 2. 103 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Capa Descripción Seguridad de La capa de seguridad de infraestructura infraestructura, comprende los dispositivos de transmisión y los elementos de red. Esta capa constituye la base fundamental de las redes, sus servicios y aplicaciones. Seguridad de La capa de seguridad de Servicios servicios, tiene que ver con la seguridad de los servicios que los proveedores prestan a sus clientes. Seguridad de Aplicaciones Seguridad Avanzada en redes de datos: 233015 Ejemplo Enrutadores, centros de conmutación, servidores, enlaces de comunicación, etc. Servicios básicos de transporte y conectividad, plataformas auxiliares para el acceso a Internet (servicios AAA, DHCP DNS, etc.), o servicios de valor añadido como QoS, mensajería instantánea, etc. La capa de seguridad Aplicaciones básicas como FTP aplicaciones tiene que ver con la o HTTP, aplicaciones como seguridad de las aplicaciones de mensajería en red y correo la red a las que acceden los electrónico y aplicaciones más clientes de proveedores de elaboradas, como comercio servicios. Son aplicaciones electrónico o móvil, soportadas por servicios de red. colaboración en vídeo, etc. Tabla 5. Descripción general de las capas de seguridad. Planos de Seguridad: Un plano de seguridad es una determinada actividad de red protegida por las dimensiones de seguridad. En la recomendación ITU X.805 se definen tres planos de seguridad, los que representan los tres tipos de actividades a proteger que se realizan en la red. Cada plano se describe en la tabla 3. Capa Gestión Control Descripción Este plano tiene que ver con la protección de las funciones de operación, administración, mantenimiento y configuración de los elementos de red, dispositivos de transmisión, sistemas administrativos y centros de datos. El tráfico para estas actividades puede transportarse en la red dentro o fuera de la banda, con respecto al tráfico de usuario del proveedor de servicio. Este plano tiene que ver con la protección de las actividades que permiten una distribución eficiente de información, servicios y aplicaciones en la red. Generalmente consiste en la comunicación que permite determinar la mejor forma de enrutar o conmutar el tráfico en la red de transporte. Se habla de información de control o información de señalización. Estos mensajes se pueden transportar en la red dentro o fuera de la banda, con respecto al tráfico de usuario del proveedor de servicio. Los 104 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Capa Usuario de Extremo Seguridad Avanzada en redes de datos: 233015 Descripción protocolos de enrutamiento, DNS, SIP, SS7, Megaco/H.248, etc., son ejemplos de este tráfico. Este plano tiene que ver con la seguridad cuando los clientes acceden y utilizan la red del proveedor de servicio. En este plano también se incluyen flujos de datos efectivos del usuario de extremo. El usuario de extremo puede utilizar una red que sólo proporciona conectividad, puede utilizar redes para servicios de valor añadido como las RPV, o redes para acceder a aplicaciones de red. Tabla 6. Planos de la seguridad. Es importante que el sistema de red pueda separar totalmente los eventos de dos planos de seguridad. Por ejemplo, una gran cantidad de consultas de DNS en el plano de usuario de extremo, iniciadas por peticiones de usuarios, no debería bloquear la interfaz de operación, administración, mantenimiento o configuración del plano de gestión, para que el gestor pueda resolver el problema. En la Figura 48 se representa la arquitectura de seguridad con sus planos de seguridad. Figura 49: Planos de seguridad- Fuente http://www.subinet.es/guias-ytips/guias-y-tips-seguridad/los-5-principios-fundamentales-de-la-seguridadinformatica/ Cada actividad de red tiene necesidades de seguridad particulares. El concepto de planos de seguridad permite distinguir los riesgos de seguridad de cada actividad y tratarlos separadamente. 105 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Considérese el caso de un servicio de VoIP, incluido en la capa de seguridad servicios. La gestión del servicio VoIP (por ejemplo la configuración de usuarios) tiene que ser independiente del control del servicio (por ejemplo, protocolos como SIP) y también de la seguridad de los datos del usuario de extremo transportados por el servicio (por ejemplo, voz de usuario). Amenazas contra la Seguridad La arquitectura de seguridad establece un plan y un conjunto de principios que constituyen una estructura de seguridad para la solución de seguridad extremo a extremo. La arquitectura identifica elementos de seguridad a considerar para evitar amenazas intencionales y accidentales. Las amenazas contra un sistema de comunicación de datos, de acuerdo a la recomendación ITU X.800, son las siguientes: Destrucción de información y/o de otros recursos Corrupción o modificación de información Robo, supresión o pérdida de información y/o de otros recursos Revelación de información Interrupción de servicios A su vez las amenazas pueden clasificarse en: Amenazas Accidentales. Las amenazas accidentales son las que existen sin que haya premeditación. Ej. Fallos del sistema, equivocaciones en la operación y errores en los programas. Amenazas Intencionales. Las amenazas intencionales pueden ir desde el examen ocasional, mediante el empleo de instrumentos de monitorización de fácil adquisición, hasta ataques sofisticados, gracias a un conocimiento especial del sistema. Una amenaza intencional que se concretiza puede considerarse como un ataque. Amenazas Pasivas. Las amenazas pasivas son las que no producirían ninguna modificación de la información contenida en el(los) sistema(s) y que tampoco modifican el funcionamiento ni el estado del sistema. La interceptación pasiva para observar la información transmitida por una línea de comunicaciones es un ejemplo. 106 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Amenazas Activas. Las amenazas activas contra un sistema conllevan la alteración de información contenida en el sistema, o las modificaciones del estado o de la operación del sistema. La modificación maliciosa de las tablas de enrutamiento por un usuario no autorizado es un ejemplo de amenaza activa. Dimensiones de seguridad Vs Amenazas: La intersección de cada capa de seguridad y cada plano de seguridad determina una perspectiva en la que se aplican dimensiones de seguridad para contrarrestar amenazas. En la tabla 3 se indican las dimensiones de seguridad para las distintas amenazas, siendo esta relación válida para todas las perspectivas de seguridad. Amenazas Contra la Seguridad Robo, Destrucción Corrupción Supresión Dimensiones de la o o Pérdida Revelación Interrupción de seguridad Información Modificación de la de la de los y Otros de la Información Información Servicios Recursos Información y de Otros Recursos Control de Y Y Y Y Acceso Autentificación Y Y No Repudio Y Y Y Y Confidencialidad Y Y de los Datos Seguridad de la Y Y Comunicación Seguridad de la Y Y Información Integridad de los Y Y Datos Disponibilidad Y Y Privacidad Y Tabla 7. Versus entre seguridad , amenazas . 107 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Profundización Lección 19: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Seguridad en la informática de empresas – Jean-Marc Royer Link: http://books.google.es/books?hl=es&lr=lang_es&id=K8XdRni4t94C&oi=fnd& pg=PA9&dq=capas+de+seguridad+inform%C3%A1tica&ots=Pg7AnCVWgy &sig=s1kko5-Ng88WEqwRnoGfB7dfyU#v=onepage&q=capas%20de%20seguridad%20inform%C3%A1tica&f= false Seguridad en Internet – Gonzalo Asensio Link: http://seguridadeninternet.es/images/descarga_promo_SEGURIDAD%20E N%20INTERNET,%20Nowtilus.pdf 108 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 20: Políticas y procedimientos Son los lineamientos que las empresas deben seguir para asegurar la confiabilidad de sus sistemas, ya que: Comprenden una descripción de los recursos de la empresa que se van a proteger y justifican el por qué de ello. Establecen la forma de uso y limitaciones de los recursos y servicios de información críticos de la empresa. Establecen las medidas y acciones que se deben llevar a cabo en caso de que se presente alguna contingencia relacionada con los mismos. Las políticas deben seguir un proceso de actualización periódica sujeta a los cambios relevantes de la empresa como crecimiento y rotación del personal, cambio en la infraestructura tecnológica, implantación de nuevos servicios, etc. Determinación de políticas de seguridad: Se contemplan los siguientes pasos para la determinación de las políticas de seguridad: Preparación: Contempla la recopilación del material relacionado con cuestiones de seguridad en la organización y define los recursos que se van a proteger Determinación de privilegios: Se refiere al establecimiento de los privilegios relacionados con los accesos que pueden afectar la seguridad como el acceso externo a la Intranet de la empresa, la autorización de acceso remoto a usuarios, determinación de accesos no autorizados y restricciones de acceso a información importante. Administración de los privilegios: Consiste en asignar a los privilegios diferentes niveles de acceso. Determinación de los riesgos: Se refiere a la detección de cualquier amenaza interna o externa como negación del servicio, acceso no autorizado, daño, robo y divulgación de la información. 109 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los principales elementos que deben ser contemplados en las políticas de seguridad son: El alcance, incluyendo facilidades, sistemas y personal. Objetivos y descripción clara de los elementos involucrados. Responsabilidades por cada uno de los servicios y recursos a todos los niveles de la organización. Requerimientos mínimos de seguridad de los sistemas. Definición de las violaciones y las consecuencias por incumplir la política. Responsabilidades de los usuarios con respecto a la información a la que tienen acceso. Evaluación de políticas de seguridad: La evaluación de las políticas comprende el estudio de los siguientes elementos que las conforman: Factores: Los que intervienen en la ejecución de las políticas de seguridad, que son en su mayoría: Humano, es el punto más vulnerable en toda la cadena Mecanismos necesarios para llevar a cabo los procesos (técnicos, físicos o lógicos) Medio ambiente en que se desempeña la política Consecuencias de las fallas de Seguridad Amenazas del sistema Plan de acción: Cómo se llevará a cabo el Programa de Seguridad. Controles y vigilancia: Aseguran el cumplimiento del programa de seguridad. Auditoria: Asegura el cumplimiento de los procesos implementados. Pruebas del sistema: Simula eventos que atenten contra la seguridad del sistema. Revisión y actualización: Retroalimentación del proceso para mantener vigente el programa de seguridad. 110 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 En la figura 49 se muestra el proceso completo para la evaluación de una política de seguridad. Figura 50: Evaluación de una política de seguridad- Fuente http://qanewsblog.wordpress.com/2013/04/16/evaluacion-de-la-seguridad-delos-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/ Ejemplos de tipos de políticas de seguridad en redes: Algunos ejemplos de políticas frecuentes en las empresas son: De contraseñas: Especifican indicaciones relacionadas con las contraseñas como los responsables de asignarlas, la longitud deben tener, el formato al que deberán apegarse, etc. De control de acceso: Especifican cómo deben acceder los usuarios al sistema, desde donde y de qué manera deben autentificarse. De uso: Especifican a los usuarios lo que se considera uso adecuado o inadecuado del sistema, así como lo que está permitido y lo que está prohibido dentro del mismo. 111 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 De respaldos: Especifican que información debe respaldarse, con que periodicidad, que medios deberán utilizarse, como deberá ser restaurada la información, donde deberán almacenarse los respaldos, etc. De correo electrónico: Especifica el uso adecuado e inadecuado del servicio de correo electrónico, derechos y obligaciones a nivel usuario. De control de acceso físico: Especifica las restricciones para el acceso a los dispositivos e instalaciones de la empresa, así como medios vigilancia, monitoreo, etc. Procedimientos: Son el medio para llevar a cabo las políticas y comprenden las actividades que deben seguirse para la realización de algunas tareas concretas como: Otorgamiento de cuentas Alta de usuarios Conexión y localización de computadoras en red Actualización e instalación de software y sistemas operativos Restauración y respaldos de información Profundización Lección 20: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Riesgos, políticas y herramientas de seguridad en redes – Edwin Montoya Link: http://publicaciones.eafit.edu.co/index.php/revista-universidadeafit/article/view/1124 112 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 5: ASPECTOS TÉCNICOS ORIENTADOS A LA SEGURIDAD EN REDES DE DATOS. Introducción Lo procesos de seguridad conllevan a un sin número de términos y conocimientos previos, que se adquieren con el pasar del tiempo y, solo si, la persona interesada está actualizada en su medio tecnológico. Cada paso que se determine en procesos de seguridad van ligados a los aspectos teóricos, y al ser conocedores de dichos términos, se ejecutarán los procesos muchos más rápidos y sin tanto preámbulo a indagar sobre lo que se esté trabajando. En ocasiones al desconocer términos teóricos sobre seguridad se arriesga a desconocer ataques de última generación, de tal forma que no hay que caer en la ambigüedad del conocimiento. La seguridad informática más que un término es un estilo de vida para cada profesional que la lleva a cabo, estas condiciones desarrollan los profesionales de alto nivel en este campo. En este capítulo se mencionarán términos indispensables y muy comunes en el campo de la seguridad informática, todo es un procesos de encadenar conocimientos, y ese proceso es el que se está llevando con gran éxito en este módulo de seguridad en redes avanzadas de datos. Se abarcan temáticas enfocada a puertos ya que es el mejor complemento en aspectos de seguridad; En la actualidad se pueden encontrar profesionales del campo desconocer conceptos básicos pero por el contrario con conocimientos en altas tecnologías, pero desconocen las raíces de la seguridad, ello es lo más importante, no desconocer el origen de las tecnologías, y más si se habla de seguridad informática. 113 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 21: Telnet TELNET es el protocolo de "conexión" a otro ordenador, de hecho la mayoría de los servicios posteriores, se basan en telnet (pe. FTP, HTTP). Haciendo telnet a una máquina, ejecutas programas en ella, recibiendo tu la entrada/salida de los datos [17]. Bob Ranking dice textualmente: "Mucho antes de que la Telaraña y todo el resplandor de sus multimedios fueron una indicación visual siquiera en el radar del Internet, los ciudadanos sabios del Internet estaban utilizando una herramienta basada en texto llamada Telnet para hacer conexión con las maravillas del mundo en-línea. Pero hoy, muchos surfeadores del Internet, quienes no han escuchado hablar del telnet, están perdiendo algo bueno" Las direcciones TELNET suelen tener el formato del nombre de dominio "maquina.remota.es" o de dirección IP "194.106.2.150" y pueden ir acompañadas de un número al final (el número del puerto) si no se nos proporciona el puerto se asume que el utilizado es el correspondiente al protocolo telnet por defecto, el 23. Una dirección típica sería: "maquina.remota.es 2010" Figura 51: Función principal de http://ibstareasbasicas.blogspot.com/ un protocolo Telnet - Fuente 114 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 ¿Qué se puede hacer con el protocolo Telnet? Por telnet se pueden utilizar TODO tipo de servicios, haciendo telnet a la máquina y puerto correspondientes según cada caso. Por ejemplo si queremos utilizar el servicio POP de nuestro ISP para ver el correo que tenemos, haremos telnet a la maquina POP por el puerto de este protocolo, el 110. También podemos consultar grandes bases de datos e incluso acceder a servicios GHOPER o WWW, muy útil si no tenemos acceso a estos servicios por la vía normal. Más sobre Telnet El protocolo Telnet se aplica en una conexión TCP para enviar datos en formato ASCII codificados en 8 bits, entre los cuales se encuentran secuencias de verificación Telnet. Por lo tanto, brinda un sistema de comunicación orientado bidireccional (semidúplex) codificado en 8 bits y fácil de implementar. El protocolo Telnet se basa en tres conceptos básicos: el paradigma Terminal virtual de red (NVT); el principio de opciones negociadas; las reglas de negociación. Éste es un protocolo base, al que se le aplican otros protocolos del conjunto TCP/IP (FTP, SMTP, POP3, etc.). Las especificaciones Telnet no mencionan la autenticación porque Telnet se encuentra totalmente separado de las aplicaciones que lo utilizan (el protocolo FTP define una secuencia de autenticación sobre Telnet). Además, el protocolo Telnet no es un protocolo de transferencia de datos seguro, ya que los datos que transmite circulan en la red como texto sin codificar (de manera no cifrada). Cuando se utiliza el protocolo Telnet para conectar un host remoto a un equipo que funciona como servidor, a este protocolo se le asigna el puerto 23. Excepto por las opciones asociadas y las reglas de negociación, las especificaciones del protocolo Telnet son básicas. La transmisión de datos a través de Telnet consiste sólo en transmitir bytes en el flujo TCP (el protocolo Telnet especifica que los datos deben agruparse de manera predeterminada — esto es, si ninguna opción especifica lo contrario— en un búfer antes de enviarse. Específicamente, esto significa que de manera predeterminada los datos se envían línea por línea). Cuando se transmite el byte 255, el byte siguiente debe 115 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 interpretarse como un comando. Por lo tanto, el byte 255 se denomina IAC (Interpretar como comando). Las especificaciones básicas del protocolo Telnet se encuentran disponibles en la RFC (petición de comentarios) 854, mientras que las distintas opciones están descriptas en la RFC 855 hasta la RFC 861. Tabla 8. RFC Relacionado con Telnet . La noción de terminal virtual Cuando surgió Internet, la red (ARPANET) estaba compuesta de equipos cuyas configuraciones eran muy poco homogéneas (teclados, juegos de caracteres, resoluciones, longitud de las líneas visualizadas). Además, las sesiones de los terminales también tenían su propia manera de controlar el flujo de datos entrante/saliente. Por lo tanto, en lugar de crear adaptadores para cada tipo de terminal, para que pudiera haber interoperabilidad entre estos sistemas, se decidió desarrollar una interfaz estándar denominada NVT (Terminal virtual de red). Así, se proporcionó una base de comunicación estándar, compuesta de: caracteres ASCII de 7 bits, a los cuales se les agrega el código ASCII extendido; tres caracteres de control; cinco caracteres de control opcionales; un juego de señales de control básicas. 116 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Por lo tanto, el protocolo Telnet consiste en crear una abstracción del terminal que permita a cualquier host (cliente o servidor) comunicarse con otro host sin conocer sus características. El principio de opciones negociables Las especificaciones del protocolo Telnet permiten tener en cuenta el hecho de que ciertos terminales ofrecen servicios adicionales, no definidos en las especificaciones básicas (pero de acuerdo con las especificaciones), para poder utilizar funciones avanzadas. Estas funcionalidades se reflejan como opciones. Por lo tanto, el protocolo Telnet ofrece un sistema de negociaciones de opciones que permite el uso de funciones avanzadas en forma de opciones, en ambos lados, al iniciar solicitudes para su autorización desde el sistema remoto. Las opciones de Telnet afectan por separado cada dirección del canal de datos. Entonces, cada parte puede negociar las opciones, es decir, definir las opciones que: desea usar (DO); se niega a usar (DON'T); desea que la otra parte utilice (WILL); se niega a que la otra parte utilice (WON'T). De esta manera, cada parte puede enviar una solicitud para utilizar una opción. La otra parte debe responder si acepta o no el uso de la opción. Cuando la solicitud se refiere a la desactivación de una opción, el destinatario de la solicitud no debe rechazarla para ser completamente compatible con el modelo NVT. Tabla 9. Opciones negociadas de Telnet . 117 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Existen 255 códigos de opción. De todas maneras, el protocolo Telnet proporciona un espacio de dirección que permite describir nuevas opciones. La RFC (petición de comentarios) 855 explica cómo documentar una nueva opción. Profundización Lección 21: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Redes de datos – Udelar Link:http://eva.universidad.edu.uy/pluginfile.php/285962/mod_resource/cont ent/1/Laboratorio3-Instructivo-TCP.pdf 118 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 22: IPV6 y su tipo de direccionamiento ¿Qué es IPV6? Cuando utilizamos Internet para cualquier actividad, ya sea correo electrónico, navegación web, descarga de ficheros, o cualquier otro servicio o aplicación, la comunicación entre los diferentes elementos de la red y nuestro propio ordenador o teléfono, utiliza un protocolo que denominamos Protocolo de Internet (IP, Internet Protocol) [18]. En los últimos años, prácticamente desde que Internet tiene un uso comercial, la versión de este protocolo es la número 4 (IPv4). Para que los dispositivos se conecten a la red, necesitan una dirección IP. Cuando se diseñó IPv4, casi como un experimento, no se pensó que pudiera tener tanto éxito comercial, y dado que sólo dispone de 2^32 direcciones (direcciones con una longitud de 32 bits, es decir, 4.294.967.296 direcciones), junto con el imparable crecimiento de usuarios y dispositivos, implica que en pocos meses estas direcciones se agotarán. Por este motivo, y previendo la situación, el organismo que se encarga de la estandarización de los protocolos de Internet (IETF, Internet Engineering Task Force), ha trabajado en los últimos años en una nueva versión del Protocolo de Internet, concretamente la versión 6 (IPv6), que posee direcciones con una longitud de 128 bits, es decir 2^128 posibles direcciones (340.282.366.920.938.463.463.374.607.431.768.211.456), o dicho de otro modo, 340 sextillones. El despliegue de IPv6 se irá realizando gradualmente, en una coexistencia ordenada con IPv4, al que irá desplazando a medida que dispositivos de cliente, equipos de red, aplicaciones, contenidos y servicios se vayan adaptando a la nueva versión del protocolo de Internet. Por ello, es importante que entendamos cómo se realiza el despliegue del nuevo protocolo de Internet, tanto si somos usuarios residenciales, como corporativos, proveedores de contenidos, proveedores de servicios de Internet, así como la propia administración pública. 119 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Tabla 10. Ipv6 versus Ipv4 . Tipos de direcciones en IPV6 IPv6 no sólo ofrece un nuevo esquema de direccionamiento con un espacio de direccionamiento mucho más amplio. También establece una nueva forma de utilizar el direccionamiento y nuevas prestaciones. Parte de esta novedad es una variedad amplia de diferentes tipos de direcciones IPv6. Básicamente hay 3 tipos de direcciones: unicast, multicas y anycast. En IPv6 se ha suprimido completamente el broadcast de capa 3. Pero más allá de esta simplificación de 3 tipos de direcciones, hay más aspectos a considerar. Unicast: Se utilizan para comunicaciones uno a uno. Pueden ser sumariados, para esto las direcciones son acompañadas por un prefijo que especifica una cantidad determinada de bits significativos. Hay varios tipos de direcciones de unicast: 120 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Direcciones globales: Son utilizadas para tráfico global y tienen una estructura jerárquica de 3 niveles Un prefijo de enrutamiento global (red), típicamente de 48 bits. Un identificador de enrutamiento local (subred), de 16 bits. Un identificador de interfaz de 64 bits de longitud. La longitud de cada porción es arbitraria, pero generalmente se respetan los 64 bits del ID de interfaz para mantener compatibilidad con múltiples implementaciones. En la actualidad IANA y RIR están asignando direcciones del rango 2000::/3. Direcciones site-local: (obsoletas). Direcciones unique local: Son direcciones que tienen el alcance de un sitio específico sin garantías de que sean globalmente únicas. Estas direcciones tienen una estructura propia: Un prefijo FC00::/7 de 8 bits. Un ID global pseudo-aleatorio de 40 bits. Un ID de subred de 16 bits. Un identificador de interfaz de 64 bits. Estas direcciones no son ruteables sobre Internet. Direcciones link-local: Todas las interfaces que operan con IPv6 tienen una dirección link-local. Su alcance está limitado al enlace y no son reenviadas. Son generadas dinámicamente con el prefijo FE80::/10 y un identificador de interfaz de 64 bits. Permiten la comunicación entre dispositivos que están en un mismo segmento de red sin necesidad de otro tipo de direcciones. Se utilizan en procesos de configuración automática, descubrimiento de vecinos y descubrimiento de routers. Direcciones para propósitos especiales: Dirección sin especificar, Se utiliza como dirección de origen con propósitos especiales, por ejemplo en solicitudes DHCP. Nunca ocupa el campo de dirección de origen en un encabezado IPv6. Si así fuera el paquete no será reenviado. Dirección de loopback: ::1Como en el caso de la dirección 127.0.0.1, define una interfaz local para el stack IP. Direcciones de multicast: Permiten establecer como destino todos las interfaces de un grupo. Son direcciones definidas por el prefijo FF00::/8 donde el segundo octeto define el alcance de esta dirección multicast que puede ser la sola interfaz, el segmento de red, una subred, una red o Internet. El ID del grupo de multicast está definido por los restantes 112 bits. El rango FF00:: a FF0F:: está reservado y asignado a través del RFC 2375. 121 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Direcciones de anycast: Permiten definir como destino un host cualquiera de un grupo. Son direcciones asignadas a interfaces de uno o más nodos. Cuando la dirección de destino de un paquete IPv6 es una dirección de anycast, se rutea hacia la interfaz más cercana que esté asociada a esa dirección. Las direcciones de anycast se toman del rango de direcciones de unicast y requieren que la interfaz esté explícitamente configurada para identificar la dirección como dirección de anycast. Figura 52: Encabezados de Ipv6 vs Ipv4 - Fuente http://commons.wikimedia.org/wiki/File:IPv6_vs_IPv4.jpg Profundización Lección 22: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Caracterizaciín IPV6 – Carlos A. Castillo Link:http://tecnura.udistrital.edu.co/ojs/index.php/revista/article/view/542/52 9 122 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 23: Seguridad enfocada a IPV6 El Internet está agotando su espacio y, como resultado, está a punto de someterse a una transición importante para ampliar el número de direcciones en-línea disponibles. Esta transición es desde el actual protocolo IP versión 4 al nuevo estándar IP versión 6. Las empresas necesitan saber y entender esta transición – ya que habrá nuevos problemas de seguridad en el período intermedio. Aunque una de las promesas de IPv6 es de más seguridad, IPv4 se ha ganado su reputación en las últimas décadas, y nos hemos familiarizado con lo que puede y no puede hacer. Por otro lado, se tiene poca o ninguna experiencia con IPv6 en el mundo real. En papel, IPv6 parece ser excelente, pero es seguro que lo mismo sucedió con el Titanic. En el mejor de los casos, IPv6 ofrece mejor seguridad pero no la garantiza. Caso en cuestión: IPSec. Esencialmente, esto asegura la comunicación IP al encriptar y autenticar paquetes IP. En IPv4, era una característica opcional; en IPv6, es obligatoria. Volver una característica obligatoria, no significa que tendrá un amplio soporte; el punto es que IPv6 no es automáticamente más seguro. Va a tomar mucha preparación de pre-lanzamiento y una inmensa cantidad de vigilancia de seguridad para ejecutarla correctamente. Para las empresas, hay mucho que considerar, y esto muy seguramente cae en la responsabilidad del Jefe de Seguridad de la Oficina. Hay muchas trampas y obstáculos que evitar, y a continuación se analizan los que se deben cuidar muy cerca. Programación sin depurar Aquí es usualmente donde las cosas se complican. En una transición tan compleja, y a una escala tan grande, existe una posibilidad muy alta de que los programadores cometan errores en la implementación, lo cual podría dejar las vulnerabilidades con las puertas bien abiertas a los delincuentes informáticos, negando la eficacia de las características de seguridad de IPv6. El peor escenario es que realmente se termine con una infraestructura de IPv6 que es aún más frágil que la anterior infraestructura de IPv6, poniendo a la empresa en un riesgo mayor, al amplificar el espacio de ataque. 123 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La explotación de la transición Esta migración va a llevar un tiempo, y hasta entonces, las empresas se encontrarán en un ambiente dual de IPv4/IPv6, cada uno con su propio y específico conjunto de problemas de seguridad. Esto incrementa la carga de trabajo del personal de redes de las compañías e incrementa el número de posibilidades en que las cosas pueden salir mal. Aquí es donde la vigilancia de la seguridad es crucial; debido a este período intermedio híbrido, nos vamos a encontrar situaciones inusuales donde los delincuentes informáticos pueden tomar una ventaja potencial gracias a la interacción entre los protocolos. Listas negras ineficaces. Mientras que las listas negras IP han sido exitosas en reducir el volumen global de correo basura, existe la preocupación de que los ISPs (Proveedores de Servicio de Internet) no serán capaces de escalar las listas negras IP a IPv6, dado su tamaño. Esto representa el problema de que algunas técnicas de seguridad podrían no tener una adecuada transición de IPv4 a IPv6, dando mas espacio a los delincuentes informáticos para que realicen sus ataques. Ataques DDoS. Los ataques Distribuidos de Negación de Servicio (DDoS, Distributed Denial of Service), los cuales abruman una red de computadoras o un sitio web para volverlos inoperantes, aún seguirán representando una amenaza para las empresas en IPv6. Mientras que IPv6 puede mitigar los efectos de los ataques DDoS hasta un cierto punto, no los previene, dejando recursos en riesgo de ser bombardeados al punto de ser parados por completo. Los ataques de amplificación de difusión, como los ataques “smurf”, pueden hacer exactamente eso: mantenerte alejado de tus clientes. Evadir Medidas de Seguridad. Los ataques de fragmentación todavía serán un problema en IPv6, aunque cambios en la arquitectura pueden mitigarlos de manera mas eficiente. Los ataques de fragmentación pueden ser usados para evadir, sistemas de detección de intrusos (IDS), sistemas de prevención de intrusos (IPS), y cortafuegos – a menudo son la forma en que las empresas se dan cuenta que están siendo atacados. Una vez dentro, todo es juego limpio: información del cliente, credenciales, correos electrónicos y secretos de negocio. 124 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Enmascaramiento de Puntos de Origen. Los ataques de suplantación de identidad todavía serán una amenaza en IPv6, pero la nueva obligación de IPSec manejará mejor esta amenaza a las empresas. La suplantación de identidad permite a los delincuentes informáticos ocultar sus identidades, haciendo difícil seguirlos después de un ataque. También puede ser usado para falsificar una identidad –para implicar a una persona inocente o una compañía en un ataque en el que realmente no tuvo ninguna relación. Los ataques no están limitados a aquellos que tratan de robar información o destruir recursos, ellos realmente intentan empañar la reputación de la compañía. El pasado junio 8, el Día Mundial de IPv6, los líderes de la industria como Facebook, Google, Bing, Yahoo y Cisco, entre otros, realizaron una prueba de ofrecer su contenido sobre IPv6 por 24 horas. Esto sirvió como un punto de referencia excelente para las empresas, para poder evaluar –por lo menos algo- el impacto que tendrá no solo en sus consumidores base, sino también en su infraestructura. De hecho en los Estados Unidos de América hay que apurarse: el gobierno federal está considerando el fin del 2012 como la fecha límite para hacer la transición a IPv6. No hay que tomar esto a la ligera; aquí estamos hablando acerca de la columna vertebral del comercio electrónico, y esto puede hacer la diferencia entre mantener su línea de negocio o no. Seguridad IPV6 IPSEC. IPv6 incluye explícitamente la posibilidad de utilizar el modelo de seguridad IPsec (Internet Protocol Security) que proporciona autenticidad, integridad y confidencialidad a las comunicaciones de extremo a extremo. IPsec es un conjunto de protocolos abiertos que tienen como fin proporcionar seguridad en las comunicaciones de la capa de red del modelo OSI (a la que pertenece el protocolo IPv6), y de ese modo, a todos los protocolos de capas superiores. En IPv4 la implementación de IPsec se define en una especificación diferente a la del propio protocolo IPv4, por lo que la inclusión del protocolo se hace con mecanismos definidos fuera del mismo, mientras que en IPv6 la propia arquitectura "extensible" del protocolo permite implementar IPsec de forma natural. Es importante reseñar que IPv6 habilita la posibilidad de usar IPsec, y no los mecanismos de cifrado y autenticación propios de IPsec. 125 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 IPsec tiene dos modos de funcionamiento que proporcionan distintos niveles de seguridad: Modo Transporte: se cifra y/o autentica la carga útil, o payload, pero las cabeceras no se tienen en cuenta. Tiene como ventaja que se puede utilizar de extremo a extremo pero, por contra, la información de las cabeceras, como la dirección IP de origen y destino, es visible. Modo Túnel: una plataforma, o pasarela, encapsula el paquete original en otro paquete. Con ello se cifra y/o autentica el paquete original completo, pero se necesita de una plataforma que realice el túnel. Además, IPsec tiene dos modos o protocolos de transferencia, que a su vez pueden funcionar en modo túnel o transporte: AH (Authentication Header): proporciona autenticación, integridad y un servicio de anti-repetición opcional. ESP (Encapsulating Security Payload): además de las ventajas anteriores proporciona confidencialidad. Figura 53: Túnel IPSEC - Fuente http://blog.e2h.net/2009/12/28/creando-un-tunel-ipsec-esp-con-vyatta/ 126 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Profundización Lección 23: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Mitos sobre la seguridad en IPv6: desmontando falsas ideas Fernando Gont Link:http://tecnura.udistrital.edu.co/ojs/index.php/revista/article/view/542/52 9 Consideraciones generales sobre seguridad IPv6 - Mendoza Link: http://www.si6networks.com/presentations/wipv6ld/fgont-wipv6ld2012seguridad-ipv6.pdf IPsec en Ambientes IPv4 e IPv6 - Hugo Adrian Franciscon Link: http://redes-linux.com/manuales/seguridad/IPsec_IPv4_IPv6.pdf 127 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 24: Puertos El Puerto Lógico es una zona, o localización, de la memoria de un ordenador que se asocia con un puerto físico o con un canal de comunicación, y que proporciona un espacio para el almacenamiento temporal de la información que se va a transferir entre la localización de memoria y el canal de comunicación. Un puerto lógico es una salida de bits, que pueden ser 1 o 0, o sea, un puerto es el valor que se usa en el modelo de la capa de transporte para distinguir entre las múltiples aplicaciones que se pueden conectar al mismo host, o puesto. Entonces un puerto lógico de Internet es una interface de software que permitirá el ingreso y salida de data por aplicaciones que usan Internet. Los puertos se identifican por números desde 1 hasta 65.000 pudiendo llegar a mas, siendo conocidos los puertos de 1 a 1024 como : HTTP puerto 80 transferencia de hipertexto por Internet FTP puerto 20 transferencia de data (mp3, documentos, etc) HTTPS puerto 443 transferencia segura SMTP puerto 25 correo electrónico Del 1025 para arriba son desconocidos, algunos TROYANOS y otras aplicaciones inocuas. Los puertos lógicos son, al igual que los puertos físicos, necesarios para que nuestros programas puedan comunicarse con el exterior. La diferencia es que se enlazan virtualmente en nuestra conexión TCP con los programas, para tener una referencia, y que los otros programas puedan conectarse a los nuestros y traspasar información. Por ejemplo, podemos decir que el servidor web suele estar enlazado (escuchando) en el puerto 80, o que nuestro navegador, sale por el puerto 4000 para conectarse a este servidor. El servicio RPC (remote procedure call) escucha en los sistemas XP por el puerto 135, pero resulta que a ese puerto se conectaba el virus Blaster para infectar todos los Windows que encontraba a su paso. Muy pocas veces usaremos tantos puertos -65.000-. Podemos navegar, usar nuestro programa de mensajería instantánea, el cliente de IRC y mandar un correo y aún así estaremos usando sólo unas decenas. Además, están divididos según sus funciones. 128 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los puertos de 1 a 1024 se llaman puertos reservados. Tienen una función específica que mandan los estándares. La organización que se encarga de establecer los estándares es la IANA (Internet Assigned Numbers Authority), que se puede encontrar en www.iana.org. Por ejemplo el 22 es para SSH (Secure SHell), del 135 al 139 para la NetBios. Los puertos que van de 1025 a 49151 no son estándar, pero la IANA se encarga de asignarlos a distintas aplicaciones, que lo necesitan. El resto de puertos hasta el 65536 son los llamados efímeros, porque son los clientes (el navegador, el cliente de correo, el cliente de FTP) los que lo eligen aleatoriamente para establecer desde ellos la conexión a los puertos servidores y, si la conexión cae, se liberan y pueden ser usados por cualquier otra aplicación o protocolo más tarde. Si aplicamos un escáner de puertos a nuestro propio PC podemos obtener gran cantidad de información. Conocer los puertos a la escucha nos proporciona información sobre los servicios que tenemos instalados como servidor. Conocer los puertos que “hablan” en nuestro ordenador, los efímeros, nos proporciona información sobre lo que está haciendo nuestra máquina, si se está comunicando con otra y a través de qué puerto. Esto puede ser un signo de que alguien nos está robando información. (Microsoft lo hace a menudo). Puertos Fundamentales. 20 - FTP Data - Utilizado por servidores FTP (File Transfer Protocol) para la transmisión de datos en modo pasivo. 21 - FTP - También utilizado por servidores FTP. Su mala configuración puede resultar en ataques (troyanos, hacking, etc..) 22 - SSH - Puerto utilizado por Secure Shell (SSH), el cual es un protocolo y un programa que lo utiliza para acceder a maquinas remotas a través de una red. Además funciona como una herramienta de transmisión de datos, desde ficheros sueltos hasta una sesión de FTP cifrado. 23 - Telnet - Telnet es una herramienta que proporciona una ventana de comandos, los cuales permiten controlar una pc de forma remota. Es una de las formas mas fáciles de entrar ilícitamente en una pc ajena. 25 - SMTP - Puerto utilizado por SMTP (Simple Mail Transfer Protocol), o en español Protocolo de transferencia simple de correo electrónico. Como deben suponer, es el protocolo, basado en texto, que permite transferir correo electrónico entre diferentes computadoras, PDA's, celulares, etc. 129 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 53 - DNS - Este puerto lo utiliza el DNS (Domain Name System), esta base de datos distribuida o jerárquica, se encarga de traducir nombres de dominios a IP's. 59 - DCC - Utilizado principalmente en programas de comunicación para transferir ficheros. 79 - Finger - En este puerto se corre el servicio Finger, el cual ha sido uno de los mayores problemas de seguridad en Unix, ya que este proporciona información, muy detallada, de los usuarios de una maquina, estén o no logueados. 80 - HTTP - Puerto que transmite el protocolo HTTP (Hypertext Transfer Protocol) que es el utilizado en cada transacción web (WWW). 110 - POP3 - Puerto que utiliza el servicio POP3 (Post Office Protocol 3), que es el correo electrónico, offline. 113 - IDENT - Servicio de identificación/autorización. Los servidores de internet, como POP, IMAP, SMTP, IRC consultan este puerto en respuesta a conexiones de clientes. 135 - RPC - Remote Procedure Cell. Este servicio, es el encargado de administrar la comunicación con otra pc cuando un programa solicita ejecutar código en esa otra pc. De esta forma, el programador no tiene que procurarse por esta conexion. 139 - NetBIOS - Por este puerto funciona el servicio NetBIOS que es el encargado de compartir ficheros de tu pc, por tu red interna. Con este puerto abierto peligras de que gente de todo el mundo, pueda ver y usar estos ficheros a través de internet. 143 - IMAP - Por acá, se ejecuta el IMAP (Internet Message Access Protocol). Este es un servicio nuevo, por lo cual los servidores de internet que lo utilizan, no han tenido suficiente tiempo para madurar. Lo cual implica, que este sea una muy buena via de acceso para los intrusos. 443 - HTTPS - El Hypertext Transfer Protocol Secure, no es más que una versión segura, del ya mencionado HTTP. 445 - MSFT DS - Server Message Block. A partir de Windows 2000, microsoft añadió la posibilidad de ejecutar SMB directamente sobre TCP/IP sin la capa extra de NBT. 130 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 1080 - Socks - Aquí funciona el servicio Socks, el cual es un protocolo que permite a las aplicaciones cliente-servidor usar de manera transparente los servicios de un firewall de red. 5000 - UPnP - El universal plug n' play define protocolos y procedimientos comunes para garantizar la interoperabilidad sobre PC's permitidos por red, aplicaciones y dispositivos inalambricos. 8080 - WebProxy - Este puerto lo pueden utilizar terceros para ocultar su verdadero IP a los servidores web. Profundización Lección 24: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Aplicación de control de puertos lógicos - M. Sánchez Link:http://130.206.13.20/difusion/publicaciones/boletin/6667/ponencia21.pdf 131 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 25: Firma digital y Certificado Digital Criptografía También llamada cifrado, se encarga de la protección de los datos mediante la transformación matemática de los mismos a un formato ilegible, con la finalidad de realizar intercambios de información seguros a través de las redes (Intranet, Extranet e Internet). Figura 54: Proceso de cifrado normal. Fuente: http://morenojhonny.wordpress.com/2012/06/14/4-1-cifrado-simetrico-yconfidencialidad-de-mensajes/ Criptografía Simétrica La criptografía simétrica se basa en la utilización de la misma clave para el cifrado y para el descifrado. La robustez de un algoritmo de cifrado simétrico recae en el conocimiento de dicha clave. Clave secreta (simétrica): Utiliza una clave para la encriptación y desencriptación del mensaje. Esta clave se debe intercambiar entre los equipos por medio de un canal seguro. Ambos extremos deben tener la misma clave para cumplir con el proceso Figura 55. 132 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 55: Proceso de cifrado simétrico. Fuente: http://algoritmo-simetrico-descifrado.wikispaces.com/ Para que un algoritmo de este tipo sea considerado fiable debe cumplir algunos requisitos básicos: Conocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en claro ni la clave. Conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros. Todos los sistemas criptográficos clásicos se pueden considerar simétricos, y los principales algoritmos simétricos actuales son DES, IDEA y RC5. Las principales desventajas de los métodos simétricos son la distribución de las claves, el peligro de que muchas personas deban conocer una misma clave y la dificultad de almacenar y proteger muchas claves diferentes. Criptografía Asimétrica En este tipo de cifrado se utilizan dos claves relacionadas matemáticamente: 133 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Clave pública (asimétrica) También llamada asimétrica, se basa en el uso de dos claves diferentes, claves que poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado. Una de las claves de la pareja, llamada clave privada, es usada por el propietario para encriptar los mensajes, mientras que la otra, llamada clave pública, es usada para desencriptar el mensaje Figura 56. Figura 56: Proceso de clave pública asimétrica. Fuente: http://algoritmo-simetrico-descifrado.wikispaces.com/ Las claves pública y privada tienen características matemáticas especiales, de tal forma que se generan siempre a la vez, por parejas, estando cada una de ellas ligada intrínsecamente a la otra. Mientras que la clave privada debe mantenerla en secreto su propietario, ya que es la base de la seguridad del sistema, la clave pública es difundida, para que esté al alcance del mayor número posible de personas, existiendo servidores que guardan, administran y difunden dichas claves. 134 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Firma Digital Es un medio para que los creadores de un mensaje, archivo u otra información codificada, vinculen digitalmente su identidad a la información. Se utilizan cuando los datos se distribuyen como texto no cifrado. Lo que se busca al utilizar una firma digital, es que: El receptor pueda verificar la identidad del transmisor. El transmisor no pueda repudiar después el contenido del mensaje. El receptor no haya podido confeccionar el mensaje él mismo. Ninguna parte del mensaje que se ha recibido ha sido modificada. Creación y envío de firmas Digitales El proceso para crear una firma digital implica la transformación de información y algunos datos confidenciales del remitente en una etiqueta o firma. Se crean combinando la tecnología de claves públicas con algoritmos Hash. Figura 57: Proceso de un envió con firma digital. Fuente: http://neobrr.wordpress.com/2008/09/29/ley-de-firmas-digitales-en-guatemala/ 135 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los pasos que deben seguirse para su creación, envío y comprobación son: El remitente aplica un algoritmo Hash a los datos para generar un valor resumen. El remitente transforma el valor en una firma digital aplicando cifrado de clave privada. El remitente envía al destinatario los datos originales, la firma y su certificado de autenticidad. El destinatario aplica el algoritmo Hash a los datos y genera su propio valor resumen. El destinatario compara la firma digital (la obtiene utilizando la clave pública del remitente) y el valor que generó en el paso anterior y sí no coinciden (cuando el valor del remitente es diferente al del destinatario), el mensaje o la huella enviada han sido modificados y por lo tanto la firma no es correcta. Certificado Digital Es una declaración firmada digitalmente que proporciona un mecanismo para establecer una relación entre una clave pública y la entidad que posee la clave privada que le corresponde. Se utiliza para autenticar y asegurar el intercambio de información en Internet, Extranet e Intranets. Los certificados pueden emitirse con objetivos diferentes como: Autenticación de servidores Web Seguridad del correo electrónico Seguridad IP (IPSec) Nivel de sockets seguros (SSL/TLS) Firma de código e información enviada Este certificado es firmado por una CA (Certificate Authoritym / Autoridad Certificadora), y se rige por los estándares definidos por ITU-T X.509. 136 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 58: Proceso de un envió con certificado digital. Fuente: http://www.monografias.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml Profundización Lección 25: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Certificados Digitales – J. Herrera Acabey Link: http://ucbconocimiento.ucbcba.edu.bo/index.php/ran/article/download/112/1 07 137 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 6: CONCEPTOS AVANZADOS EN REDES Introducción Habitualmente los usuarios finales no tienen en consideración la seguridad cuando hacen uso de un sistema, ya que, frecuentemente se ignoran los aspectos relacionados con la seguridad. De igual forma, estos aspectos a veces pueden considerarse una molestia, ya que la seguridad suele ir en el platillo opuesto de la comodidad y facilidad de uso en la balanza del diseño de un sistema. Es por esto que los usuarios a veces puedan tener una imagen negativa de la seguridad, por considerarlo algo molesto y que interrumpe su capacidad de realización de un trabajo determinado. En un entorno seguro, un usuario se encuentra con tareas que le pueden resultar incómodas (como por ejemplo, recordar contraseñas, cambiarlas periódicamente, etc.) y que pueden limitar las operaciones que puede realizar así como los recursos a los que se le permite acceder. Sin embargo, la seguridad es fundamental a la hora de afrontar tareas que se realizan en sistemas informáticos ya que son las únicas medidas que pueden garantizar que éstas se realicen con una serie de garantías que se dan por sentado en el mundo físico. Por ejemplo, cuando se guardan cosas en una caja fuerte en un banco real, no se piensa que cualquier persona del mundo puede llegar a ésta de una forma inmediata como si se tratara, en lugar de un banco, de una estación de autobuses. En el mundo intangible de la informática, tan cerca de un servidor están sus usuarios legítimos como los usuarios que hacen uso de la misma red de comunicaciones. Es más, estos usuarios, en el caso de una red global, se cuentan por millones. Algunos serán “buenos vecinos” pero otros serán agentes hostiles. 138 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 26: IPSEC (Internet Protocol Security) IPSec es una extensión de IP que asegura su comunicación, para esto utiliza un conjunto de protocolos de seguridad y algoritmos. Provee integridad de datos, autenticación y confidencialidad; así como, asociaciones de seguridad y administración de llaves. Es utilizado para formar VPNs en ambientes de intranets e Internet. Los protocolos de seguridad de IPSec son AH (Autentication Header) y ESP (Encapsulating Security Payload) , estos protocolos pueden ser usados tanto en IPv4 e IPv6. Protocolos de seguridad ESP encapsula los datos, pero no proporciona protección a las cabeceras externas, brinda confidencialidad ya que cifra los datos (payload), integridad de los datos, servicio anti-replay y opcional autenticidad del origen de datos. Para la cifrado utiliza DES o 3DES u otro esquema de cifrado simétrica. AH protege al datagrama completo, toma a la cabecera dentro de los datos, permite verificar la integridad del datagrama IP, autenticar el origen de los datos y provee protección opcional contra ataques de replay. AH puede aplicarse solo o en conjunto con ESP. Asociaciones de seguridad Una SA (Asociación de Seguridad) es una conexión unidireccional que permite negociar los parámetros de seguridad para proteger el tráfico de la red. Sólo se aplica un protocolo de seguridad por cada SA. Existen dos tipos de SAs, modo transporte y modo túnel: Modo transporte es una asociación de seguridad entre dos host. Modo túnel es un asociación de seguridad donde uno o las dos partes de la comunicación son gateway de seguridad (sistema intermedio que actúa como interfaz entre dos redes) 139 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 59: Modo transporte y modo túnel. Fuente: http://www.monografias.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml Administración de llaves IKE (Internet Key Exchange) es por defecto el protocolo de administración de llaves, su función principal es establecer y mantener las asociaciones de seguridad. Está basado en ISAKMP (Internet Security Association and Key Management Protocol) el cual es un esquema para autenticación e intercambio de llaves2 Figura 60: IKE escenario de ejemplo. Fuente: http://www.monografias.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml 140 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Características IPSEC Estandariza en la medida de lo posible la interoperabilidad y favorece la reutilización de componentes Es un Estándar Abierto Compuesto por módulos genéricos que pueden ser reemplazados, (criptoalgoritmos, Protocolos, sistemas de intercambio de claves). Es un mecanismo desarrollado para proteger a los protocolos clientes de IP. Desarrollado para proveer a nivel de red servicios de seguridad criptográfica, que flexiblemente soportan autenticación, integridad, control de acceso, y confidencialidad. El presente trabajo posee como meta estudiar los protocolos de tunelizado, que son solo un aspecto de la implementación de IPSec. Los aspectos del estándar relativos a encripción y autenticación son vastos y exceden el tratamiento de esta presentación. Se centra la atención en los Túneles IPSec. . Figura 61: Arquitectura IPESEC. Fuente: http://www.monografias.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml Modos de encapsulado PSec define dos modos de encapsulado para tratamiento de paquetes IP: Modo de Transporte Modo de Túnel 141 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 62: Modos de encapsulado en IPESEC. Fuente: http://www.monografias.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml El siguiente esquema presenta una típica conexión extremo a extremo utilizando IPSec, así como el formato más general de encapsulado del paquete. Claramente se demarcan los extremos del túnel. Figura 63: Formatos de paquetes en IPESEC. Fuente: http://www.monografias.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml Modo de transporte En esta modalidad se interceptan los paquetes de nivel de red, (IP), se procede a encriptar y autenticar el contenido de los mismos, se incorpora un encabezado 142 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 IPSec, y se encapsula nuevamente sobre IP; preservando este último encabezado IP la mayor parte del contenido del encapsulado IP original. Modo de túnel Esta variante de IPSec intercepta los paquetes IP, encripta y autentica los mismos incluyendo su encabezado. Posteriormente, se procede a incorporar el encabezado IPSec y se encapsula el paquete resultante sobre IP. Esta modalidad se puede operar entre dos Hosts, entre dos Gateways o entre un Host y un Gateway. Es la modalidad utilizada en la confección de Redes Privadas Virtuales, (VPN). Protocolos Usados en IPSec Básicamente se utilizan dos protocolos en IPSec, llamados Authentication Header, (AH) y Encapsulating Security Payload, (ESP). Ambos se identifican en el campo de protocolo del encabezado IP. AH, provee autenticación del paquete IP completo, (incluido todo lo que es posible de su header), así como a los protocolos de capas superiores. ESP, por su parte solo encripta y autentica el “Payload” del paquete. Se puede opcionalmente encriptar y/o autenticar el paquete, pero al menos una de ambas acciones debe ser ejecutada. Es también posible el uso combinado de AH + ESP, lo que otorga una máxima cobertura en cuanto a Encripción y Autenticación. Si bien se hace una doble autenticación, (lo cual resulta redundante y genera overhead), resulta un esquema muy utilizado. Profundización Lección 26: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Técnicas criptográficas de protección de datos – A. Fuster Link: http://revistasic.com/revista42/pdf_42/SIC_42_otros%20titulos.PDF 143 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 27: NIDS (Network Intrusion Detection System) Las herramientas de detecciones de intrusos NIDS son aplicaciones automáticas, las cuales se encargan de detectar intrusiones en tiempo real, dichos sistemas les llaman “Network Intruder Detection System” NIDS. Es obtener un sistema seguro, ante cualquier intromisión estos sistemas entran en acción, no obstante existen varios tipos de configuraciones para los IDS. Sistemas de Bases de Datos (BDS) con información actualizada de ataques soportados. Compañías con información de ataques conocidos Quiere decir que el NIDS al igual que los Firewalls necesita una base de datos con ataques soportados, ademas esta BDS. Necesita ser actualizada periódicamente. Un ejemplo sería Un FireWallPhoenix Adaptable que soporta denegaciones de servicios X y aparece una nueva vulnerabilidad que provoca una denegación de servicios en ese tipo de FireWalls y el admin. No ha actualizado la BDS. Simplemente el FireWall cae al ataque. Lo mismo ocurre con los NIDS. La base de datos del NIDS necesita ser especificada ya que si existen dos ataques similares pero no! iguales el ataque pasara sin ser detectado. Sistemas adaptables Los NIDS que existen hasta el momento. Aparte de la BDS con ataques soportados, son capaces mediante Inteligencia Artificial aprender nuevos tipos de ataques a detectar, además de poseer una BDS de ataques. Sus principales desventajas, son de costos muy elevados, difíciles de mantener y necesitan de un admin. Con conocimientos avanzados en estadísticas y matemáticas Sin embargo los NIDS no son cosas de otro mundo si conocen los denominados Network Analyzer o Sniffers, los cuales son aplicaciones de escucha electrónica. Los NIDS se basan similarmente a los funcionamientos de los Sniffers, para poder escuchar el tráfico de la red. Los métodos a usar son reacción y preventivo. Reacción: Siempre visualiza logs en el sistema, cuando detecta una anomalía “actúa” Prevención: Siempre escanea el tráfico de la red (Sniffer), si detecta paquetes en tránsito anómalas “actúa” 144 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 En la actualidad los NIDS existentes son muy vulnerables a denegaciones de servicios producidas por usuarios y no por fallas en los NIDS, es por eso que es difícil parchar ciertas vulnerabilidades en NIDS, muchos de ellos caen a ataques spoofeados desde direcciones distintas con ataques similares, o cuando un NIDS ejecuta una shell para ejecutar comandos al detectar un ataque puede saturarse el sistema al llamar muchas shells. La inserción de los NIDS depende bastante de la máquina que se esté usando, a que me refiero con esto si instalo un NIDS que escanea logs en vez de paquetes en un tarro 486 simplemente es mucha tarea para un pobre tarro, en esas circunstancias es mejor instalar un NIDS con detección de ataques en paquetes en tránsito (Sniffer). Figura 64: Topología de red haciendo uso de los NIDS. Fuente: http://www.windowsecurity.com/articlestutorials/intrusion_detection/Hids_vs_Nids_Part1.html 145 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Modos de los NIDS Ciertamente el NIDS al igual que un FireWall emplea modos “bajo, medio, alto, paranoico” si es utilizado un modo paranoico en un NIDS siempre que se ejecuten comandos de root por otro usuario el NIDS va a lanzar alertas de ataques, ciertamente es una decisión más del admin del NIDS establecer el modo. La idea es siempre poner un equipo con NIDS antes del host víctima, de la misma forma con que se tratan los firewalls. También existen aplicaciones que testean a los NIDS como el NIDSBENCH el cual se encarga de atacar equipos NIDS mediante algunas tools que este posee. TcpReplay : Es una aplicación que ataca los procesos background de la red con ataques escondidos. Lo que provoca anomalías arbitrarias en TcpDump mediante los ataques TcpReplay escanea la velocidad de la red y la velocidad de respuesta de esta misma. FragRouter : Se encarga de atacar de la misma forma usando ataques conocidos, en otras palabras usa ataques TCP/IP listados en la base de datos de ataques a evadir. IdsTest : Consiste en una metodología de chequeo de NIDS, analiza vulnerabilidades expuestas por empresas, y Vulnerabilities Scanners, además chequea ataques DOS, exploits, etc. Profundización Lección 27: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Sistemas detectores de intrusos y análisis de funcionamiento del proyecto de código abierto snort – Jairo Alberto Rojas Link:http://ingenieria1.udistrital.edu.co/digital/index.php/redesdeingenieria /article/view/56 146 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 28: Seguridad DNS El DNS es un sistema que almacena asociaciones entre direcciones IP y nombres de dominios de host. Su seguridad principalmente requiere que el sistema sea diseñado y configurado correctamente. La mayoría de ataques a DNS tratan de direccionar el tráfico de datos a un sitio incorrecto. Una forma de lograr su objetivo es ingresar al registro DNS y modificarlo, así la respuesta del servidor DNS será una dirección IP incorrecta. Otra forma es suplantar al verdadero servidor DNS, y responder a una solicitud de resolución de dirección IP con un valor falso. Para prevenir ataques al DNS se presenta un esquema de seguridad donde se provee la autenticación del origen de datos de un registro en el servidor DNS. En la cima de la jerarquía del Sistema de nombres de dominio (DNS) se encuentran los clústeres de servidores que mantienen los datos de la zona raíz. Aplicaciones web como eCommerce, SaaS, redes sociales e incluso el correo electrónico dependen del DNS. Infortunadamente, el DNS contiene los nombres desprotegidos y vulnerables de los servidores de copia caché, que son fácil presa de los hackers para secuestrar el tráfico web que contiene datos confidenciales. La comunidad desarrolladora de DNS recomienda como solución las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC), las cuales usan firmas digitales y cifrado de claves públicas para permitir a los servidores web verificar los nombres de dominio de sus sitios web y las direcciones IP correspondientes. Las zonas raíz de DNS están en la necesidad urgente de ser firmadas digitalmente, ya que la demora en hacerlo es perjudicial para la integridad ininterrumpida de la Internet, eCommerce y aplicaciones web. Firmar las zonas configuraría en efecto los nombres de los servidores de copia caché para tomar en cuenta la seguridad. Los módulos de seguridad en hardware (HSM) de SafeNet cumplen los exigentes requisitos de resistencia y disponibilidad necesarios para asegurar la integridad del espacio de los nombres de dominio. Los HSM son sistemas dedicados que aseguran física y lógicamente las claves criptográficas y procesos de cifrado que se encuentran en el núcleo de las firmas digitales. Los HSM aseguran al servidor DNS de manera que la generación de claves, el almacenamiento de las claves privadas y la firma de las zonas se ejecuta en un servidor DNS que físicamente tiene un acceso restringido solamente al personal esencial. 147 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 65: Seguridad DNS. Fuente: http://www.centosni.net/seguridad-en-el-dnsde-gnulinux/ Falsificación Al contrario de lo que ocurre en el caso de TCP, UDP no es un protocolo orientado a conexión. Este hecho facilita la falsificación del tráfico UDP. Cuando un cliente DNS lanza una consulta a un servidor DNS, éste responde a la consulta enviando un paquete UDP cuyo origen es el puerto 53. Sin embargo un usuario mal intencionado ubicado en el mismo segmento de red o situado en algún lugar del camino hacia el servidor DNS podría enviar una respuesta con la dirección IP del servidor DNS como dirección origen del paquete. Si el cliente recibe antes la respuesta procedente del usuario mal intencionado que la del verdadero servidor DNS, se daría por buena la respuesta falsificada. Como el atacante podría proporcionar al cliente una respuesta DNS falsa, podría hacer que el cliente se conectase a su sistema en lugar de al verdadero destino. Falsificar respuestas DNS. El programa dnsspoof, distribuido junto con Dsniff, es una herramienta que hace posible la falsificación de respuestas DNS. Por ejemplo, supongamos que un atacante ha podido infiltrarse en la puerta de enlace de una red cuya dirección IP es 10.0.0.1. Supongamos también que la dirección IP 10.1.1.2 es la dirección IP real de algunacompania.com. El atacante podría ejecutar dnsspoof y responder a 148 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 todas las consultas DNS poralgunacompania.com con IP 192.168.1.1 que es la dirección IP de su máquina. la dirección Los Tres niveles de seguridad DNS En las secciones siguientes se describen los tres niveles de seguridad DNS. Seguridad de nivel bajo: La seguridad de nivel bajo es una implementación DNS estándar sin medidas de seguridad configuradas. Implemente este nivel de seguridad DNS únicamente en entornos de red en los que no preocupa la integridad de los datos DNS o bien en una red privada en la que no haya amenazas de conectividad externa. La seguridad DNS de nivel bajo tiene las siguientes características: La infraestructura DNS de la organización se expone completamente a Internet. Todos los servidores DNS de la red llevan a cabo la resolución DNS estándar. Todos los servidores DNS se configuran con sugerencias de raíz que señalan a los servidores raíz de Internet. Todos los servidores DNS permiten las transferencias de zona a cualquier servidor. Todos los servidores DNS están configurados para escuchar en todas sus direcciones IP. La función para evitar la contaminación de la caché está deshabilitada en todos los servidores DNS. La actualización dinámica se permite en todas las zonas DNS. El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53 está abierto en el firewall de la red, tanto para direcciones de origen como de destino. 149 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Seguridad de nivel medio: La seguridad de nivel medio usa las características de seguridad DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en los Servicios de dominio de Active Directory (AD DS). La seguridad DNS de nivel medio tiene las siguientes características: La infraestructura DNS de la organización tiene una exposición limitada a Internet. Todos los servidores DNS están configurados para usar reenviadores que apunten a una lista específica de servidores DNS internos cuando no puedan resolver los nombres de forma local. Todos los servidores DNS limitan las transferencias de zona a servidores incluidos en los registros de recursos del servidor de nombres (NS) de sus respectivas zonas. Los servidores DNS se configuran para escuchar en direcciones IP especificadas. La función para evitar la contaminación de la caché está habilitada en todos los servidores DNS. La actualización dinámica no segura no está permitida en ninguna zona DNS. Los servidores DNS internos se comunican con los servidores DNS externos mediante el firewall con una lista limitada de direcciones de origen y de destino permitidas. Los servidores DNS externos delante del firewall se configuran con sugerencias de raíz que apuntan a los servidores raíz de Internet. Todas las resoluciones de nombres de Internet se realizan con puertas de enlace y servidores proxy. 150 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Seguridad de nivel alto: La seguridad de nivel alto usa la misma configuración que la seguridad de nivel medio. También usa las características de seguridad disponibles cuando el servicio Servidor DNS se ejecuta en un controlador de dominio y las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de nivel alto elimina completamente la comunicación DNS con Internet. No es la configuración típica, pero se recomienda cuando no se requiere conectividad a Internet. La seguridad DNS de nivel alto tiene las siguientes características: En la infraestructura DNS de la organización, los servidores DNS internos no tienen comunicación con Internet. La red usa un espacio de nombres y una raíz DNS de carácter interno; toda la autoridad de las zonas DNS es interna. Los servidores DNS que se configuran con reenviadores sólo usan direcciones IP de servidor DNS interno. Todos los servidores DNS limitan las transferencias de zona a las direcciones IP especificadas. Los servidores DNS se configuran para escuchar en direcciones IP especificadas. La función para evitar daños en la memoria caché está habilitada en todos los servidores DNS. Los servidores DNS internos se configuran con sugerencias de raíz que señalan a los servidores DNS internos que hospedan la zona raíz del espacio de nombres interno. Todos los servidores DNS se ejecutan en controladores de dominio. Se configura una lista de control de acceso discrecional (DACL) en el servicio Servidor DNS para permitir que sólo usuarios específicos realicen tareas administrativas en el servidor DNS. Todas las zonas DNS se almacenan en AD DS. La lista DACL se configura para permitir que sólo usuarios específicos puedan crear, eliminar o modificar zonas DNS. Las listas DACL se configuran en registros de recursos DNS para permitir que sólo usuarios específicos puedan crear, eliminar o modificar datos DNS. 151 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La actualización dinámica segura se configura para las zonas DNS, excepto para las zonas raíz y de nivel superior, que no permiten ningún tipo de actualización dinámica. Profundización Lección 28: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. SafeNet HSMS – DNSSEC Link:http://www.safenetinc.com/uploadedFiles/About_SafeNet/Resource_Library/Resource_Items /Solution_Briefs_EDP/SafeNet_Solution_Brief_Protecting_DNSSEC.pdf? n=7060 Información de seguridad para DNS – Microsoft Link:http://technet.microsoft.com/es-es/library/cc755131.aspx 152 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 29: Socks5 y SSL SOCKS Es un protocolo estándar diseñado para manejar tráfico TCP a través de un servidor proxy. Existen dos versiones: SOCKS4 y SOCKS5. La versión SOCKS5 a diferencia de la versión SOCKS4, soporta aplicaciones basadas en UDP e incluye seguridad adicional mediante autenticación. Este protocolo opera entre la capa transporte y aplicación. SOCK5 proporciona funciones de firewall básicas, porque autentica paquetes de entrada-salida y puede proveer NAT. Figura 66: Protocolo es/proxis-socks/ Sock. Fuente: http://en.flossmanuals.net/bypassing- En la figura un cliente basado en TCP quiere establecer una conexión a un proceso que se ejecuta sobre un host interno que es accesible sólo vía un firewall. Primero el cliente debe establecer una conexión TCP al servidor SOCKS sobre el host firewall, el servidor SOCKS escucha en el puerto 1080. El cliente propone uno o más métodos de autenticación. El servidor SOCKS escoge un método y notifica al cliente. El servidor y cliente negocian e intercambian parámetros de autenticación. El cliente envía al servidor el requerimiento de conexión, en este caso la dirección IP destino y puerto TCP. La respuesta del conector contiene el número de puerto que el servidor asignó para conectarse con el host objetivo, y la dirección IP asociada. 153 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Luego del proceso de autenticación y establecimiento de conexión exitoso, los datos son transmitidos entre el host externo y el host interno. SSL En los primeros días de la World Wide Web, claves de 40-bit de poco se usaron. Cada bit puede contener un uno o un cero - lo que significaba que eran dos claves diferentes disponibles. Eso es un poco más de un billón claves distintas. Debido a la velocidad cada vez mayor de computadoras, se hizo evidente que una clave de 40 bits no era lo suficientemente seguro. Posiblemente, con los procesadores de gama alta que vendría en el futuro, los piratas informáticos podría llegar a probar todas las claves hasta encontrar el adecuado, lo que les permite descifrar y robar información privada. Que tomaría algún tiempo, pero era posible. Las claves se alargaron a 128 bits. Eso es 2128 claves, códigos de cifrado o 340.282.366.920.938.463.463.374.607.431.768.211.456 único. (Eso es 340000000000000 billones de billones, para aquellos de ustedes hacer el seguimiento en casa.) Se determinó que si las computadoras siguió avanzando en la velocidad como lo han hecho en el pasado, estos códigos de 128 bits que permanecen seguros durante por lo menos una década más, si no más. Certificados DigiCert no se detienen allí, sin embargo. Los certificados SSL DigiCert también son compatibles con el nuevo estándar de RSA 2048-bit de encriptación. El protocolo SSL es un sistema diseñado y propuesto por Netscape Communications Corporation. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolosHTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico, típicamente el RC4 o IDEA, y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea reventada por un atacante en una transacción dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash. Proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP. 154 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Cuando el cliente pide al servidor seguro una comunicación segura, el servidor abre un puerto cifrado, gestionado por un software llamado Protocolo SSL Record, situado encima de TCP. Será el software de alto nivel, Protocolo SSL Handshake, quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente. El Protocolo SSL Handshake Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes seis fases (de manera muy resumida): La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación. La fase de intercambio de claves, en la que intercambia información sobre las claves, de modo que al final ambas partes comparten una clave maestra. La fase de producción de clave de sesión, que será la usada para cifrar los datos intercambiados. La fase de verificación del servidor, presente sólo cuando se usa RSA como algoritmo de intercambio de claves, y sirve para que el cliente autentique al servidor. La fase de autenticación del cliente, en la que el servidor solicita al cliente un certificado X.509 (si es necesaria la autenticación de cliente). Por último, la fase de fin, que indica que ya se puede comenzar la sesión segura. El Protocolo SSL Record El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y recibidos. La porción de datos del protocolo tiene tres componentes: MAC-DATA, el código de autenticación del mensaje. ACTUAL-DATA, los datos de aplicación a transmitir. PADDING-DATA, los datos requeridos para rellenar el mensaje cuando se usa cifrado en bloque. 155 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Establecimiento de sesión segura con SSL Figura 67: Establecimientos de sesión SSL. Fuente: http://technologypractice.blogspot.com/2012/06/ssl-2048-bits-mejores-practicas.html Las dos partes de la comunicación intercambian números aleatorios. El servidor envía su llave pública con un certificado digital firmado por una CA reconocida, además envía una ID de sesión. El browser cliente crea una llave pre_master_secret, la cifra usando la llave pública del servidor y transmite al servidor. Las dos partes generan una llave de sesión usando la pre_master_secret y los números aleatorios. El establecimiento de sesión inicia con cifrado asimétrico, para lograr una conexión segura y autenticar a las partes. Sin embargo, luego de generar e intercambiar la llave de sesión (llave privada), las dos partes cambian ha cifrado simétrico. Esto se debe a que con cifrado simétrico se crea mucho menos overhead y en consecuencia se logra mayor rendimiento. Profundización Lección 29: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Transacciones Seguras – Luciano Moreno Link:http://www.educastur.princast.es/fp/hola/hola_bus/cursos/curso17/d ocumentos/seguras.pdf 156 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 30: TLS, ISAKMP1 TLS (Transport Layer Security) El desarrollo de TLS se basa en el protocolo SSLv3, al ser una versión avanzada proporciona mejores características de seguridad. La arquitectura de los dos protocolos es bastante similar, sin embargo no se asegura la compatibilidad entre estos. TLS proporciona integridad de datos, confidencialidad de datos, y autenticación de entidades de la comunicación. Se ubica sobre un protocolo de transporte confiable, tal como TCP. Consiste de dos capas, el Protocolo de Registro TLS y el Protocolo de Handshake TLS, como se muestra en la siguiente figura: Figura 68: Capas TLS. Fuente: http://lobobinario.blogspot.com/2011/02/analizando-ssl-ii-de-iii-aplicaciones-y.html Protocolo de Registro TLS El protocolo de registro TLS permite encapsular protocolos de alto nivel, incluyendo el protocolo de Handshake TLS. Realiza el siguiente procedimiento con los mensajes a ser transmitidos: Fragmenta los datos en bloques manejables. Comprime los datos (opcional). Aplica un código de autenticación del mensaje. 157 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Cifra y transmite el resultado. Protocolo de Handshake TLS El protocolo de Handshake TLS permite la mutua identificación cliente-servidor y negociación del algoritmo y llaves de cifrado, antes que los datos sean transmitidos. Consiste de tres protocolos: El protocolo de hanshake: es el protocolo más importante por el cual el cliente y servidor acuerdan parámetros como: el algoritmo criptográfico, tipo de autenticación y generan llaves secretas. El protocolo de cambio de código: mensaje enviado por el cliente y servidor, para notificar que los siguientes mensajes van a ser protegidos bajo los nuevos parámetros de seguridad negociados. El protocolo de alerta: permite notificar que la conexión va a ser cerrada, o que ha ocurrido un error en la conexión TLS soporta tres tipos de autenticación: autenticación del servidor, autenticación de ambas partes y total anonimato. ISAKMP ISAKMP proporciona un framework para el establecimiento y administración de asociaciones de seguridad de forma independiente del protocolo de seguridad. Algunos de los protocolos de seguridad usados pueden ser IPsec ESP, IPsec AH o TLS. Puede implementarse ISAKMP sobre cualquier protocolo de transporte o sobre IP, en el caso de UDP que es un protocolo no confiable, se logra una administración de llaves confiable con el uso de este protocolo. Su función es similar a SASL (Simple Authentication and Security Layer), el que también permite el uso de diferentes mecanismos de seguridad, aunque ISAKMP 158 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 es más complejo ya que maneja una asociación de seguridad múltiple. Negociación Figura 69: ISAKMP. Fuente: http://www.tml.tkk.fi/Opinnot/Tik110.501/1998/papers/16isakmp/isakmp.html La negociación se realiza en dos fases. En la fase 1 se establece una SA entre las partes de la comunicación, la que define la forma de proteger los futuros mensajes de negociación. La fase 2 establece uno o varios SAs para el protocolo de seguridad que se va a usar. Luego de la fase 2 el protocolo de seguridad puede iniciar su ejecución. El conjunto de atributos y parámetros que definen una SA son llamados dominio de interpretación, estos son: formato de payload. Tipo de intercambio. Convenciones para nombrar a la información importante de seguridad. 159 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 REFERENCIAS [1] Forouzan, B. (2002). Transmisión de datos y redes de comunicaciones (2a. ed.). Madrid: McGraw-Hill. [2] Philippe, A. y Dordoigne, J. (2006). Redes informáticas. Conceptos fundamentales (2a. ed.). Barcelona: España: Ediciones ENI. [3] Noonan, W. y Dubrawsky, I. (2006). Firewall Fundamentals (1a. ed.). Estados Unidos: Pearson Printice Hall. [4] Anguita, L., Ortega, L., Prieto, E. (2005). Arquitectura de computadores (2a. ed.). España: Thompson. [5] Tanenbaum, A. (2003). Redes de computadoras (4a. ed.). Pearson. Prindice Hall. México D.F: [6] Miller, S. (2004). Seguridad en Wifi. Madrid: McGraw-Hill. [7] López, O. El estándar IEEE 802.11 Wireless LAN. [en línea]. Madrid: Universidad Politécnica de Madrid. Disponible en: http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-Lopez-Ortizres.pdf [2013, 21 de julio]. [8] Carracedo, G. (2004). Seguridad en redes telemáticas. México D.F: McGrawHill. [9] Chenard,J-S., Zilic, Z., Prokic, M. (2008). A laboratory setup and teaching methodology for wireless and mobile embedded systems. Revista Iberoamericana de tecnologías del aprendizaje (IEEE-RITA), 51 (3), 378. [10] Barajas, S. Protocolos de seguridad en redes inalámbricas. [en línea]. Madrid: Universidad Carlos III de Madrid. Disponible en: http://www.saulo.net/des/SegWiFiart.pdf [2013, 21 de julio]. [11] Campiño, J. y Daza, R. Wardriving: el preludio a un ataque inalámbrico?. [en línea]. España: Universidad Santiago de Cali. Disponible en: http://usuarios.multimania.es/wdcali/archivos/download/Wardriving%20El%20Prelu dio%20De%20Un%20Ataque%20Inal%E1mbrico.pdf [2013, 21 de julio]. 160 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 [12] Gallego, A. (2012). Seg 2: El tiempo nos da la razón. Red seguridad: revista especializada en seguridad informática, protección de datos y comunicación, 56, 36-38. [13] McClure, S., Scambray, J., Kurtz, G. (2012). Hacking exposed: network security secrets & solutions (7a. ed.). Estados Unidos: McGraw-Hill. [14] Ramachandran, V. (2011). BackTrack 5 wireless penetration testing. Beginner's Guide. (7a. ed.). Reino Unido: Packt Publishing Ltd. [15] Sanders, C. (2011). Practical packet analysis: using wireshark to solve realworld network problems. (2a. ed.). San Francisco: No starch press. [16] McNab, C. (2004). Seguridad de redes. España: Anaya Multimedia/O'Reilly. [17] Álvarez, M. y González,V. (2005) Estudio y configuración de calidad de servicio para protocolos IPV4 e IPV6 en una red de fibra óptica WDM. [en línea]. Chile: Revista facultad de ingenierías Universidad de Tarapacá. Disponible en: http://www.scielo.cl/scielo.php?pid=S0718-13372005000300015&script=sci_arttext [2013, 21 de julio]. 161
