FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA MISIÓN Y VISIÓN DE LA UMED MISIÓN La Misión de la UMED es ofrecer oportunidades de formación profesional a todas las clases sociales, en la modalidad educativa no escolarizada, formando profesionistas que sean competentes y estén comprometidos con el desarrollo socioeconómico del país. VISIÓN Ser una institución reconocida por su experiencia y calidad de su modelo educativo abierto a distancia, teniendo presencia a nivel nacional e internacional a través de sus programas académicos virtuales. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA Primera Edición. 2017 Copyright © 2017 Por Ing. Abel Ricardo Avalos Becerril Cuernavaca, Morelos. Los derechos de esta obra son propiedad de: Fundación Morelense de Investigación y Cultura, S.C. Priv. Copa de Oro Nº 28 Col. Sta. María Ahuacatitlan 62100 Cuernavaca, Morelos, México. Queda hecho el depósito que marca la Ley. Derechos Reservados. Impreso en México. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA FUNDACIÓN MORELENSE DE INVESTIGACIÓN Y CULTURA, S. C. UNIVERSIDAD MEXICANA DE EDUCACIÓN A DISTANCIA GUÍA DE AUTOESTUDIO SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL RICARDO AVALOS BECERRIL SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA INDICE Pág. I. INTRODUCCIÓN. ...................................................................... 5 II. INSTRUCCIONES DE MANEJO ................................................. 6 III. OBJETIVO GENERAL ............................................................... 8 IV. CONTENIDO TEMÁTICO .......................................................... 9 UNIDAD I FUNDAMENTOS DE LA SEGURIDAD EN REDES ………………………..……………..…………………..…… 11 UNIDAD II MECANISMOS DE SEGURIDAD………………………..……….…… 30 UNIDAD III SEGURIDAD EN REDES INALAMBRICAS ……………………………………………...………… 58 UNIDAD IV DESARROLLO DE CASO EN SEGURIDAD EN CORREO ELECTRÓNICO ……………………........…….…….…. 73 V. GLOSARIO .............................................................................. …84 VI. BIBLIOGRAFÍA ........................................................................ …94 VII. ACTIVIDADES DE APLICACIÓN.............................................. …95 SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 5 I. INTRODUCCIÓN En toda red existe la necesidad de proteger la integridad y confidencialidad de la información y el uso de sus activos, para determinar el grado de confianza que se puede depositar en un sistema informático existen criterios y normas de seguridad, pero, si se requiere mejorar el nivel de seguridad que existe en una red, se tiene que realizar una evaluación de seguridad, con lo cual se puede determinar el estado de un sistema y los cambios que se pueden realizar para mejorar dicho estado. Para realizar una evaluación de seguridad se pueden hacer pruebas de vulnerabilidad que incluyen el análisis de una red y sus políticas y controles de seguridad; pruebas de seguridad, en las que se realizan auditorías de seguridad, escaneo de vulnerabilidades y pruebas de penetración, y finalmente, el reporte de las vulnerabilidades encontradas y las sugerencias para la implementación de mejoras. En esta guía de se trataran temas de seguridad enfocados en un sistema Linux, como ya se ha visto en diferentes temas Linux es un sistema operativo muy estable, tanto a nivel empresarial como de uso personal. La distribución que nos enfocares es la de CentOS 6, al igual que sus similares es un sistema con software gratuito en la mayoría de sus servidores o demonios para gestionar cualquier servicio que se quiera controlar. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 6 II. INSTRUCCIONES DE MANEJO Siguiendo los lineamientos del material preparado por la institución, en esta Guía se incluyen: a) Unidades. (4) b) Glosario. c) Bibliografía. Cada una de las unidades comprende: - Presentación. - Objetivo de la Unidad. - Competencia(s) a Desarrollar - Contenido. - Autoevaluación. - Cuadro Resumen. Por lo anterior es necesario explicar al alumno la manera de utilizar la presente Guía de Autoestudio: En primer lugar deberá leer el índice con la finalidad de observar tanto el contenido como la organización del material. En segundo lugar analizará cada una de las partes en que se divide a fin de familiarizarse con la Guía. A continuación, iniciará en el estudio de las Unidades e irá avanzando de acuerdo a sus posibilidades. La evaluación de cada Unidad se realizará a través de un cuestionario de Autoevaluación con preguntas elaboradas en el material contenido en la Guía de Autoestudio. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 7 Al finalizar el desarrollo del Contenido Temático, se incluye un Glosario para que el alumno consulte en caso necesario los conceptos más usuales en el curso. La Bibliografía Básica abarca los textos indispensables básicos para el estudio de esta materia. Cabe destacar la importancia de que el alumno realice las lecturas y ejercicios sugeridos en las Actividades de Aplicación a efecto de consolidar los conocimientos y competencias. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 8 III. OBJETIVO GENERAL El alumno conocerá los mecanismos de seguridad en redes de computadoras que ofrezcan ambientes seguros de integridad y confidencialidad de la información. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 9 V. CONTENIDO TEMÁTICO UNIDAD I FUNDAMENTOS DE LA SEGURIDAD EN REDES 1.1 Requerimientos de seguridad 1.2 Amenazas: Hacker, cracker y piratas 1.3 Vulnerabilidades 1.4 Políticas de seguridad Autoevaluación. Cuadro resumen. UNIDAD II MECANISMOS DE SEGURIDAD 2.1 Firewalls 2.2 Filtrado de paquetes y servicios 2.3 IPtables 2.4 Introducción a las redes privadas virtuales VPN Autoevaluación. Cuadro resumen. UNIDAD III SEGURIDAD EN REDES INALÁMBRICAS 3.1 Riesgos, vulnerabilidades y amenazas 3.2 Mecanismos de seguridad y protección 3.3 Protocolos de seguridad en redes inalámbricas Autoevaluación. Cuadro resumen. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 10 UNIDAD IV DESARROLLO DE CASO: SEGURIDAD EN CORREO ELECTRÓNICO 4.1 DNS seguro 4.2 Correo con privacidad mejorada (PEM) 4.3 MIME 4.4 PGP Autoevaluación. Cuadro resumen. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 11 UNIDAD I FUNDAMENTOS DE LA SEGURIDAD EN REDES PRESENTACION Podemos entender como seguridad una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible (es decir que el sistema se comporte tal y como se espera que funcione).Se entiende por información a todo mensaje (conjunto de datos) que al receptor le interese, le entienda o lo ignore antes de recibirlo. Por lo que, el término de seguridad de la información se refiere a la prevención y a la protección, a través de ciertos mecanismos, para evitar que ocurra de manera accidental o intencional la transferencia, modificación, fusión o destrucción no autorizada de la información. Por lo que informática es la información automatizada que es accedida a través de la tecnología asociada a la información, es decir, a través de medios automatizados. Por lo tanto, podemos definir a la Seguridad Informática como: “El conjunto de normas, mecanismos, herramientas, procedimientos y recursos orientados a brindar protección a la información resguardando sus disponibilidad, integridad y confidencialidad” Por ello la seguridad abarca muchos temas aparentemente dispares, como el mantenimiento regular de equipos, la ocultación de datos, la protección de los mismos con claves de acceso o protocolos de administración de una red. Debidos a que hay múltiples interpretaciones de seguridad de redes, se ha recurrido a algunas definiciones, todas ellas extraídas del diccionario. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 12 Seguridad: es “calidad de seguro”, y, seguro está definido como “libre de riesgo”. Información: es “acción y efecto de informar”. Informar: es “dar noticia de una cosa”. Redes: es “el conjunto sistemático de caños o de hilos conductores o de vías de comunicación o de agencias y servicios o recursos para determinado fin”. Uniendo todas estas definiciones, podemos establecer qué se entiende por Seguridad en redes. Seguridad en Redes: es mantener la provisión de información libre de riesgo y brindar servicios para un determinado fin. Si trabajamos en definir Seguridad en Redes con los elementos que conocemos, podemos llegar a una definición más acertada: Seguridad en redes es mantener bajo protección los recursos y la información con que se cuenta en la red, a través de procedimientos basados en una política de seguridad tales que permitan el control de lo actuado. Objetivo El alumno comprenderá los fundamentos de seguridad en la red y sus principales amenazas en la está expuesta. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 13 CONTENIDO I.1 Requerimientos de seguridad I.2 Amenazas: Hacker, cracker y piratas I.3 Vulnerabilidades I.4 Políticas de seguridad Autoevaluación. Cuadro resumen I.1 Requerimientos de seguridad. En una red existe la necesidad de proteger la integridad y confidencialidad de la información y el uso de sus activos, para determinar el grado de confianza que se puede depositar en un sistema informático existen criterios y normas de seguridad, pero, si se requiere mejorar el nivel de seguridad que existe en una red, se tiene que realizar una evaluación de seguridad, con lo cual se puede determinar el estado de un sistema y los cambios que se pueden realizar para mejorar dicho estado. Para realizar una evaluación de seguridad se pueden hacer pruebas de vulnerabilidad que incluyen el análisis de una red y sus políticas y controles de seguridad; pruebas de seguridad, en las que se realizan auditorías de seguridad, escaneo de vulnerabilidades y pruebas de penetración, y finalmente, el reporte de las vulnerabilidades encontradas y las sugerencias para la implementación de mejoras. Análisis de requerimientos de seguridad Para analizar de forma efectiva las necesidades de seguridad de una organización y evaluar y elegir distintos productos y políticas de seguridad, el responsable de seguridad necesita una forma sistemática de definir los requerimientos de seguridad y caracterizar los enfoques para satisfacer dichos requerimientos. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 14 Si en un entorno centralizado de procesamiento de datos esto es bastante difícil, con el uso de redes de área local y de banda ancha esto se magnifica. Para optimizar la seguridad de un sistema de información se deben realizar los siguientes procesos: Análisis de riesgos. El análisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de información y su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad. Análisis de requerimientos y establecimiento de políticas de seguridad informática. El análisis de requerimientos de seguridad informática consiste en estudiar la organización, su sistema de información (y todos sus componentes) y los riesgos que lo amenazan, y definir el nivel de seguridad informática necesario para el adecuado funcionamiento de la organización. A partir de dicho análisis, se define una serie de requerimientos que se deben satisfacer para alcanzar el nivel de seguridad deseado. El proceso de análisis también debe usarse para modelar el documento de políticas de seguridad informática, que debe reflejar el estado óptimo de seguridad informática que desea obtener la organización, y las políticas que se deben seguir para obtenerlo. Aseguramiento de componentes de datos. La seguridad de datos busca garantizar que la información del sistema de información esté siempre disponible (disponibilidad), que se mantenga íntegra (integridad), y que solamente pueda ser accesada por personas autorizadas (confidencialidad). Aseguramiento de componentes de software. La seguridad de software busca optimizar los sistemas operativos y las aplicaciones que trabajan en el sistema de información, de manera que sean configurados SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 15 de manera segura y solo permitan su uso dentro de parámetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su uso por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability). Aseguramiento de componentes de hardware. La seguridad de software busca optimizar los componentes de hardware del sistema de información (equipos de cómputo, periféricos, medios de almacenamiento removibles, etc.), de manera que sean configurados de manera segura y solo permitan su uso dentro de parámetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su utilización por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability). Aseguramiento de componente humano. La seguridad humana busca optimizar el componente humano del sistema de información (usuarios, administradores, auditores, etc.) para que su interacción entre ellos y con terceros sea segura, no filtre información que pueda permitir la vulneración del sistema de información, y permita detectar ataques de ingeniería social en su contra. Aseguramiento de componentes de interconectividad. La seguridad del componente de interconectividad busca optimizar el componente de comunicaciones del sistema de información (cableado, dispositivos de interconexión –hubs, switches, routers, etc.-, antenas, etc.), de manera que los canales funcionen de manera continua y estable (disponibilidad) se pueda establecer la identidad de los participantes (autenticación), los datos transmitidos puedan ser accesados únicamente por personas autorizadas (confidencialidad), los datos no puedan ser modificados SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 16 durante su transmisión (integridad) y se pueda establecer el origen de toda comunicación (no repudio). Aseguramiento de infraestructura física. La seguridad de la infraestructura física busca optimizar el entorno físico (las instalaciones) en las cuales opera el sistema de información, de manera que estas provean niveles de seguridad industrial adecuados para proteger los componentes del sistema de información que contiene. Administración de la seguridad informática. La administración de la seguridad informática consiste en una serie de procesos que tienen como propósito mantener un nivel adecuado de seguridad informática en el sistema de información a lo largo del tiempo. Los procesos no se limitan al mantenimiento y la optimización de la seguridad informática en el presente, sino que incluyen también procesos de planeación estratégica de seguridad informática, que garanticen que el nivel de seguridad se mantendrá en el futuro, y que le permitan al sistema de seguridad informática anticiparse a los requerimientos de seguridad impuestos por el entorno, o por la organización a la cual el sistema de información sirve. I.2 Amenazas: Hacker, cracker y piratas Amenaza: “Es una posibilidad de violación a la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar prejuicio. Es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad.” El resultado de un análisis de vulnerabilidades es una lista de amenazas. Existen diferentes tipos de amenazas que pueden afectar los activos o sistemas de la organización. Las clases más comunes de amenazas son: SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 17 Ø Errores Ø Daños/ataques maliciosos Ø Fraudes Ø Robos Ø Falla de equipo/ software Otro de las amenazas informáticas son: LOS HACKERS: Es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independientes el conocimiento que poseen estos atacantes que el resto de las personas /técnicos, ya que tienen la habilidad de razonar igual o mejor que los programas o aplicaciones, y esto en realidad no es tan ilógico, ya que las computadoras y las utilidades que se encuentran instaladas en ellas fueron creadas por personas. LOS CRACKERS: Cracker proviene del inglés “crack” (romper) y justamente es lo que ellos hacen. Saben más o menos lo mismo que el hacker pero no comparten la ética. Por consiguiente, no les importa romper una arquitectura o sistema una vez dentro, ni tampoco borrar, modificar o falsificar algo; es por eso que la teoría habla de que “los HACKER son buenos y los CRACKER son malos”. LOS LAMERS: Se usa la palabra lamer o lammer para hablar de una persona despectiva de una persona que no posee lo mismo que no posee los mismos SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 18 conocimientos que tienen los expertos, pero que conserva la misma intención. Mas puntualmente, se denomina de esta manera que quiere aprende pero no pone el más mínimo esfuerzo por aprender. En si se denomina lamers para diferenciar de los hackers y los crackers a los novatos que empiezan el camino ya sea en alguno de los otros dos mencionados. LOS CLINQUEADORES Y LOS GECECE. Esta diversificación salió del concepto scrit-kiddie (clinqueadores + gecece), pero es un concepto muy amplio. Los clinqueadores, solo saben que haciendo clic pueden explotar algunas vulnerabilidades, así creerse y manifestarse como hackers. Los gecece utilizan entorno de consola ya que para explotar vulnerabilidades se hacen atreves de un lenguaje de programación. LOS INTRUSOS POR PAGA. Este tipo de atacante tiene una particularidad muy especial: sabe. Este individuo posee una sabiduría privilegiada y por tal acto está apto a recibir dinero por usar su experiencia de forma ilícita. LOS CIBERTERRORISTAS. Son aquellos que atacan con un fin específico: ya que sea por ideologías o por puntos de vista. Pueden atacar a páginas que se manifiesten en contra de su religión o directamente pueden dejar inactivo servidores con ataques Dos. EL SOFTWARE CON ERRORES. Son aquellos programadores que al ejecutar los programas contienen errores, ya que estos no son tan visibles y vuelven vulnerables a un servidor. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 19 PUERTAS TRASERAS. Son aquellos atajos que dejan los programadores, son métodos no convencionales para traspasar autenticaciones o simplemente métodos más largos para llegar al mismo lugar. “VIRUS” Se requiere un programa humano para crear un virus, incorporarlo en software y difundirlo al mundo. Una vez en circulación el virus se puede propagar como una epidemia a través de software y discos compartidos; además es casi imposible erradicarlo del todo. Los programas vacunan (o desinfectantes) están diseñados para buscar virus, notificar a los usuarios de su existencia y eliminarlos de los discos o buscar archivos infectados. Algunos programas antivirales supervisan continuamente la actividad del sistema para detectar e informar de actividades sospechosas a las de un virus. Pero ningún programa antiviral puede detectar todos lo virus así que hay que revisar estos programas con frecuencia para combatir nuevas clases de virus conforme vayan apareciendo. CABALLOS DE TROYA Es un programa que ejecuta una tarea útil al mismo tiempo que realiza acciones destructivas secretas. Como la antigua historia del gran caballo de madera que llevaba en su vientre una multitud de soldados aqueos para cruzar ocultos la muralla de Troya, el software de caballo de Troya oculta al enemigo dentro de un paquete atractivo, por lo general estos programas se colocan dentro de tableros de noticias de dominio público con nombres parecidos a los de un juego o de una utilería. Cuando un incauto cazador de ofertas descarga y ejecuta el programa, puede borra archivos, cambiar datos u ocasionar otra clase de daño. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 20 Algunos saboteadores usan caballos de Troya para pasar datos secretos a otros usuarios no autorizados. Este problema se complica porque mucho de estos caballos de Troya también son portadores de virus. GUSANOS. Como los virus los gusanos (nombre que proviene, en la literatura en inglés, de tapeworms, platemintos) usan los computadores como anfitriones para reproducirse pero a diferencia de aquellos, los programas gusanos viajan de manera independiente por las redes, en busca de estaciones de trabajo no infectados que puedan ocupar. Un segmento de gusano corriente recibe en la memoria de trabajo, no en disco, de manera que es posible apagando todas las estaciones de la red. I.3 Vulnerabilidades La importancia y el valor que hoy se le otorga a la información, no se corresponde con las medidas de seguridad y los mecanismos de control implementados para protegerla. La seguridad no empieza por instalar un firewall, sino por la planificación racional de un plan de seguridad que abarque todas las vulnerabilidades del sistema y proteja los datos más valiosos, ante la menor eventualidad. Vulnerabilidad es la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 21 Definición de Vulnerabilidad Es definida como un fallo en el proyecto, implementación o configuración de un software o sistema operativo que, cuando es descubierta por un atacante, resulta en la violación de la seguridad de una computadora o un sistema computacional. Riesgos de seguridad en redes Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa. Hay circunstancias no informáticas que pueden afectar a los datos: a) Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía. b) Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido. Este puede ser alguien externo o inclusive alguien interno. A estas personas normalmente se les llama” Crackers” Algunas cosas que pueden realizar los crackers: Ataque de intercepción: se dedica a desviar la información a otro punto que no sea al del destinatario. Modificación: se dedica a altera la información que se encuentra en computadoras y base de datos. Denegación de servicio: se dedican a negarles el uso de los recursos a los usuarios legítimos del sistema. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 22 Suplantación: se dedica a dar información falsa, negar transacción y/o hacerse pasar por un usuario conocido. Un siniestro: una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos. Riesgos de Seguridad Intrusión.- alguien entra ilegalmente a un sistema y es capaz de utilizarlo y modificarlo como si fuera un usuario legítimo. Rechazo de Servicios.- alguien logra que no puedan prestarse los servicios a los usuarios legítimos, puede ser dañando al sistema o sobrecargando el sistema o la red. Robo de Información.- alguien tiene acceso a información confidencial, secreta, reservada o restringida. Es común en espionaje industrial, piratería, etc. Técnicas de Ataque Ingeniería Social.- el objetivo es convencer a algún usuario para que revele información acerca del acceso (Login, passwords, claves, etc.). Para esto se hacen pasar como administradores o usuarios. Bugs del Sistema.- se aprovechan diversos errores de los sistemas para poder accesarlos o dañarlos. Algunos errores se conocen y explotan por largo tiempo, hasta que se corrigen. Por ejemplo: La forma en que se maneja el FTP anónimo. Cuando una conexión por modem se corta y se restablece, no se verifica la identidad del usuario. Esto es equivalente a entrar en un SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 23 sistema y dejar desatendida la terminal, de modo que cualquiera pueda usarla. Back Door.- intencionalmente se programaban entradas alternativas al sistema para usarlas en caso de emergencia o para poder accesar sistemas que sean manejados por otras personas. Estas “back door” llegan a ser conocidas y explotadas. Otra variante es que cuando un intruso llegue a entrar a un sistema, lo modifique para crear su propia “back door”. Después de que se detecta una intrusión es recomendable reinstalar el sistema. Caballos de Troya.- Programas que aparentan ser una cosa, pero en realidad crean problemas de seguridad. Es una forma común de introducción de virus. Por ejemplo se podría crear una versión del Login que realice su función, pero que adicionalmente guarde o envíe los login y los password al atacante. Señuelos.- programas diseñados para hacer caer en una trampa a los usuarios. Un usuario puede sustituir el login por un programa que si intenta entrar el “root” le notifique el password. Instalar un programa que registre las teclas presionadas para después analizar la información en busca de passwords. Método del Adivino.- probar todas las posibles combinaciones para el password hasta encontrarlo. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 24 Las combinaciones son muchas, dependiendo del número de caracteres del password y el número de caracteres diferentes permitidos. Existen conjuntos de passwords comunes que son los primeros que se prueban (en el root es poco probable, pero los usuarios comunes no son muy cuidadosos al seleccionar el password). Los login de los usuarios pueden encontrase con finger, si el servicio está habilitado. Las pruebas cada vez pueden hacerse más rápido, por lo cual se introdujo un retardo después de cada intento fallido. Las pruebas usualmente no se hacen en línea, se obtiene el archivo de los passwords y se analiza fuera de línea. El archivo de los passwords normalmente es fácil de obtener. Existen casos donde un software o sistema operativo instalado en una computadora puede contener una vulnerabilidad que permite su exploración remota, o sea, a través de la red. Por lo tanto, un atacante conectado a Internet, al explorar tal vulnerabilidad, puede obtener diversos e importantes privilegios sobre la red. Fortalecer un sistema Linux después de su instalación básica no es una tarea trivial, se deben determinar todas las vulnerabilidades ofrecidas por la instalación por default y modificarlas de manera que no signifiquen un peligro para la seguridad del sistema. Una tarea importante es mantener actualizado al sistema con parches de seguridad con cierta regularidad y deshabilitar todos los servicios que no sean necesarios. I.4 Políticas de seguridad La computadora en que estén instaladas las herramientas de seguridad requiere de una serie de medidas de seguridad bien definidas tanto en aplicaciones como en servicios, para evitar al máximo las vulnerabilidades y amenazas que den lugar a algún ataque y puedan SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 25 poner en riesgo la seguridad del servidor y por tanto de la red que éste defiende. En el diagrama para el análisis de un sistema de seguridad se comienza realizando una evaluación del factor humano interviniente teniendo en cuenta que éste es el punto más vulnerable en toda la cadena de seguridad , de los mecanismos con que se cuentan para llevar a cabo los procesos necesarios ( mecanismos técnicos, físicos ó lógicos), luego, el medio ambiente en que se desempeña el sistema, las consecuencias que puede traer aparejado defectos en la seguridad (pérdidas físicas, pérdidas económicas, en la imagen de la organización, etc.), y cuáles son las amenazas posibles. Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los pasos a tomar para poder asegurar el umbral de seguridad que se desea. Luego, se pasa al plan de acción, que es cómo se va a llevar a cabo el programa de seguridad. Finalmente, se redactan los procedimientos y normas SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 26 que permiten llegar a buen propósito de asegurar el cumplimiento de todo lo anterior, se realizan los controles y la vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurar un marco efectivo, se realizan auditorías a los controles y a los archivos logísticos que se generen en los procesos implementados (de nada vale tener archivos logísticos si nunca se los analizan o se los analizan cuando ya ha ocurrido un problema). Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular eventos que atenten contra la seguridad del sistema. Como el proceso de seguridad es un proceso dinámico, es necesario realizar revisiones al programa de seguridad, al plan de acción y a los procedimientos y normas. Estas revisiones, tendrán efecto sobre los puntos tratados en el primer párrafo y, de esta manera, el proceso se vuelve a repetir. Es claro que el establecimiento de políticas de seguridad es un proceso dinámico sobre el que hay que estar actuando permanentemente, de manera tal que no quede desactualizado; que, cuando se le descubran debilidades, éstas sean subsanadas y, finalmente, que su práctica por los integrantes de la organización no caiga en desuso. Políticas sobre contraseñas La importancia que tienen las contraseñas en cualquier sistema es muy grande; una contraseña permite identificar a un usuario y saber de acuerdo con sus estatus qué tiene permitido hacer en el sistema. Es de vital importancia por tanto, asegurar que este sistema de identificación básico no pueda ser fácilmente vulnerado por cualquier persona que quiera usurpar una identidad. Para ello se tiene que hacer una revisión continúa de contraseñas, a fin de verificar que son fuertes, deben contener caracteres alfanuméricos, y caracteres especiales; además dichas contraseñas deben estar en uso y tener un tiempo de expiración. El archivo /etc/shadow debe ser legible únicamente por el administrador. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 27 Políticas sobre cuentas de usuario Se deben crear cuentas de usuario solamente en los casos necesarios y con establecimiento de cuotas, es decir, con cierto espacio de disco y determinados privilegios, tener un control estricto de los usuarios y grupos creados en el sistema y sus privilegios. Desactivar o remover cuentas innecesarias que se crean para servicios que no estarán en uso y limitar el uso del procesador para evitar el desbordamiento de buffer. Hacer la asignación adecuada de permisos a cada directorio para asegurar que los usuarios únicamente puedan tener acceso a los archivos que les pertenecen y puedan ejecutar los programas permitidos. Políticas de acceso remoto El acceso remoto tiene que realizarse mediante una herramienta segura como secure shell, que nos permitirá realizar conexiones remotas hacia el servidor con la finalidad de administrar los recursos instalados en el mismo. No debe permitirse el acceso como usuario root y debe estipularse un número máximo de intentos de autenticación para evitar el ataque por fuerza bruta. Además se debe estar muy atentos a los intentos de acceso monitoreando permanentemente los archivos /var/log/messages y /var/log/secure y bloquear definitivamente las direcciones IP de las que se reciben intentos de ataque en el archivo /etc/host.deny. Políticas de respaldos Es indispensable crear, conservar y proteger los recursos de información de la red, del sistema y de las aplicaciones; para ello se requieren políticas para crear respaldos de todos los elementos participantes en el desarrollo fundamental de la red. Estos respaldos proporcionan la seguridad de recuperación ante algún incidente dañino, imprevisto o poco usual que modifique alguna característica de nuestra red perjudicando su funcionamiento. La información a respaldar incluye a los SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 28 archivos de sistema de los equipos de la red, bitácoras del Sistema de Detección de Intrusos, resultados de escaneo de vulnerabilidades, archivos de información sobre conexión remota a las máquinas, respaldo de bases de datos, de aplicaciones y de programas desarrollados para el servicio de la red. AUTOEVALUACION. 1.-¿Que entiende por análisis de riesgos? 2.-¿En qué consiste el análisis de requerimientos y establecimientos de políticas de seguridad informática? 3.-¿Qué es un Hacker? 4.-¿Que se entiende por amenaza informática? 5.-¿Que es un crackers? 6.-¿Que se entiende por Vulnerabilidad informática? 7.-¿Que es un riesgo de seguridad en la red? 8.-¿Que es una política de seguridad? 9.-Mencione 4 políticas de seguridad que debe haber en una red de datos 10.- Describe que es la política de respaldo. 11.- En un Sistema Linux ¿En dónde se encuentra archivo hos.deny y para qué sirve? SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 29 CUADRO DE RESUMEN SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 30 UNIDAD II MECANISMOS DE SEGURIDAD PRESENTACION Existen muchos elementos que permiten mantener un sistema seguro, entre ellos el firewall y el Sistema de Detección de Intrusos, que aunque son elementos importantes en el ámbito de la seguridad, no constituyen una garantía de fiabilidad si no se implementan otras herramientas, componentes y medidas de seguridad que forman parte de las estrategias de protección de un sistema. Algunas herramientas de seguridad para filtrado y monitoreo son distribuidas con los sistemas operativos, otras se producen especialmente para reforzar la seguridad en una parte específica de la red o del servidor. El control de acceso, los mecanismos de identificación y autenticación, el cifrado de la comunicación, y diversos comandos de monitoreo del sistema, son elementos que se distribuyen comúnmente con el sistema operativo. Ciertas herramientas se han diseñado para abordar problemas específicos, entre ellas destacan los programas para el reforzamiento del sistema operativo, los escáner de vulnerabilidades, los sniffers de red, los programas seguros de conexiones remotas, descifradores de contraseñas, los programas antivirus, herramientas de filtrado de paquetes y de detección de intrusiones. Se trata de herramientas para diversos problemas de seguridad de la red, muchas de ellas de libre distribución y generalmente disponibles para los sistemas Linux. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 31 Objetivo El alumno conocerá las principales herramientas de seguridad que utilizan los sistemas Linux para proteger la red. CONTENIDO II.1 Firewalls II.2 Filtrado de paquetes y servicios II.3 IPtables II.4 Introducción a las redes privadas virtuales VPN Autoevaluación. Cuadro resumen II.1 Firewalls El firewall, es un dispositivo que actúa en la primera línea de defensa frente a cualquier ataque entrante, que puede desviar o suavizar el efecto de muchos tipos de ataques y proteger los servidores y estaciones de trabajo. Un firewall también puede evitar el acceso a las máquinas internas desde fuera de la red. Correctamente configurado, un firewall nos ayuda a estar más seguros frente a los ataques exteriores. Existen dos formas de configurar un firewall, una de ellas es permitir todo el tráfico y después añadir el comportamiento que deseamos bloquear. La otra forma es denegar todo y añadir después lo que deseamos permitir. Este último método es más fácil de mantener con seguridad que la otra solución, ya que nos permite tener cerrado el sistema a ataques desconocidos e identificar y abrir el sistema únicamente a los servicios inofensivos y conocidos. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 32 El firewall debe respetar el mapa de servicios internos y externos de la red, es decir, permitir la conexión a los servidores que necesitan hacerlo desde el exterior, en los puertos correspondientes, por ejemplo, abrir los puertos 80 y 443 para web, el puerto 22 para Secure Shell, y así sucesivamente, de acuerdo con la arquitectura definida para la red y las políticas de seguridad de la institución. El núcleo de Linux incluye la facilidad del filtrado de paquetes desde la versión 1.1.x. Amediados de 1999 apareció una nueva generación de firewall de Linux desarrollada por Rusty Russel, y que tiene como nombre iptables. Esta aplicación implementa la inspección dinámica de paquetes y utiliza de forma más eficiente la cadena de reglas que maneja el tráfico que se enruta a otras redes. El firewall de Linux forma parte del núcleo del sistema operativo, y por tanto, está siempre presente en la mayoría de las distribuciones, aunque puede que no esté instalado. Iptables es una herramienta muy eficaz pero compleja, y normalmente se recomienda para usuarios que están familiarizados con los firewalls y la forma de configurarlos. La otra herramienta importante en la seguridad de una red es el Sistema de Detección de Intrusos(SDI), una herramienta de seguridad que ayuda SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 33 a supervisar los eventos ocurridos en una red comparándolos con patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa para la red. Un SDI alerta y previene de manera anticipada sobre cualquier actividad sospechosa en la red pues está diseñado para detectar las primeras etapas de un ataque como es el barrido de puertos. El SDI configurado correctamente sirve para encontrar usos indebidos de los recursos de la red, esto se hace comparando las firmas con la información recogida en busca de coincidencias; además puede detectar anomalías mediante el uso de técnicas estadísticas Fortalecer un sistema Linux después de su instalación básica no es una tarea trivial, se deben determinar todas las vulnerabilidades ofrecidas por la instalación por default y modificarlas de manera que no signifiquen un peligro para la seguridad del sistema. Una tarea importante es mantener actualizado al sistema con parches de seguridad con cierta regularidad y deshabilitar todos los servicios que no sean necesarios. La protección de seguridad comúnmente se considera más un proceso que un producto. Sin embargo, las implementaciones de seguridad estándar suelen emplear alguna forma de mecanismo dedicado para controlar privilegios de acceso y restringir recursos de redes a usuarios autorizados, identificables y rastreables. Centos Linux incluye varias herramientas para ayudar a administradores e ingenieros de seguridad en problemas de control de acceso a nivel de redes. Los cortafuegos son uno de los componentes de implementación de seguridad de redes. Varios proveedores ponen a disposición soluciones de cortafuegos para todos los niveles del mercado: desde los usuarios de hogares para proteger un computador personal hasta soluciones de centros de datos que protegen información vital empresarial. Los cortafuegos pueden ser soluciones de hardware autónomas tales como dispositivos de cortafuegos de Cisco, Nokia, y Sonicwall. Los proveedores tales como Checkpoint, McAfee, y Symantec también han SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 34 desarrollado cortafuegos de software de propietario para hogares y mercados comerciales. Aparte de las diferencias entre cortafuegos de hardware y de software, hay también diferencias en la forma como los cortafuegos funcionan que II.2 Filtrado de paquetes y servicios Los sistemas de filtrado de paquetes enrutan los paquetes entre las máquinas de la red interna y externa, pero, de forma selectiva dependiendo de las políticas que se tengan en el sistema. A este tipo de enrutadores que realizan filtrado de paquetes se les llama "screening router". Un firewall de filtrado de paquetes trabaja a nivel de paquetes. Estos firewalls son diseñados para controlar el flujo de paquetes basándose en la dirección IP de origen y destino, los puertos de origen y destino e información del tipo del paquete. El filtrado de paquetes no toma decisiones basándose en el contenido en sí del paquete sino en el encabezado. Algunos filtrados de paquetes son: Bloquear todas las conexiones desde sistemas externos a la red interna, excepto conexiones SMTP (correo). Bloquear todas las conexiones desde una red externa en particular. Permitir los servicios telnet o ftp desde la red interna, pero bloquear otros como rlogin, rsh o tftp. Reglas de filtrado El filtrado de paquetes utiliza la siguiente información que poseen los paquetes para definir las reglas de filtrado: SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 35 Dirección IP de origen Dirección IP de destino Puerto de Origen Puerto de destino Protocolo Tipo de paquete Filtrado por dirección Esta es la forma más sencilla y más usada para realizar filtrado de paquetes. La restricción del flujo de paquetes se realiza basándose en la dirección origen y/o destino del paquete sin considerar qué protocolo está involucrado. Generalmente existen tres acciones a tomar con un paquete de red: Aceptar. Indica que este paquete pasó el criterio de filtrado y será reenviado tal como lo hace un enrutador cualquiera. Denegar. Indica que este paquete no cumple con el criterio de aceptación y será descartado. Rechazar. Indica que este paquete no cumple con el criterio de aceptación y será descartado, pero a diferencia de Denegar, se envía un mensaje ICMP a la máquina origen informado lo ocurrido. Generalmente es un paquete ICMPde destino inalcanzable o destino administrativamente inalcanzable. De esta forma el que envía el paquete es avisado y no tratará de retransmitir el paquete. Filtrado por Servicio Este es un tipo de filtrado más complejo y más completo. Este filtrado permite definir reglas basadas en servicios tales como telnet, SNMP, SMTP, etc. El software de filtrado utiliza la información de los puertos, SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 36 protocolo y tipo que contiene cada paquete para realizar filtrado por servicio. Dirección origen Dirección destino Puerto origen: Un puerto aleatorio superior al 1023 (> 1023) Puerto destino: Protocolo: Tipo de paquete: El primer paquete, el que establece la conexión, no tiene el bit ACK activo, el resto sí lo tiene. El bit ACK de los paquetes TCP permite identificar si se trata de un paquete de solicitud de conexión (donde el ACK no está activado) o si es otro de los paquetes de la conexión (donde sí está activado). De la misma forma un paquete entrante de una conexión telnet saliente posee la siguiente información: Dirección origen Dirección destino Puerto origen Puerto destino: El mismo puerto que se utiliza como origen en un paquete saliente. Protocolo Tipo de paquete: De conexión, siempre tiene el bit ACK activo. II.3 IPtables iptables es el programa de línea de comandos para configurar el espacio de usuario utilizado el Linux 2.4.x y más tarde conjunto de reglas de filtrado de paquetes. Está dirigido a los administradores de sistemas. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 37 Desde la traducción de direcciones de red también se configura desde el conjunto de reglas de filtrado de paquetes, iptables se utiliza para esto, también. Iptables permite crear reglas que analizarán los paquetes de datos que entran, salen o pasan por nuestra máquina, y en función de las condiciones que establezcamos, tomaremos una decisión que normalmente será permitir o denegar que dicho paquete siga su curso. Los kernels anteriores al 2.4 confiaban en ipchains para el filtrado de paquetes y usaban listas de reglas aplicadas a los paquetes en cada paso del proceso de filtrado. La introducción de kernel 2.4 trajo consigo iptables (también llamado netfilter), lo cual es similar a ipchains pero expande enormemente el ámbito y el control disponible para el filtrado de paquetes de red. Filtrado de paquetes El kernel de Linux tiene incorporado la característica interna de filtrado de paquetes, permitiendo aceptar algunos de ellos en el sistema mientras que intercepta y para a otros. El netfilter del kernel 2.4 tiene tres tablas o listas de reglas incorporadas. Son las siguientes: • filter — La tabla por defecto para el manejo de paquetes de red. • nat — Usada para alterar paquetes que crean una nueva conexión y utilizada para la Traducción de direcciones de red (Network Address Translation, NAT). • mangle — Usada por tipos específicos de alteración de paquetes. Cada una de estas tablas tiene un grupo de cadenas incorporadas que corresponden a las acciones llevadas a cabo por el filtro de la red. Las cadenas internas para la tabla filtro son las siguientes: SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 38 INPUT — Aplica a los paquetes recibidos a través de una interfaz de red. OUTPUT — Esta cadena sirve para paquetes enviados por medio de la misma interfaz de red que recibió los paquetes. FORWARD — Esta cadena sirve para paquetes recibidos en una interfaz de red y enviados en otra. Las cadenas internas para la tabla nat son las siguientes: PREROUTING — Altera los paquetes de red cuando estos llegan. POSTROUTING — Esta cadena altera paquetes antes de que sean enviados por medio de una interfaz de red. POSTROUTING — Altera los paquetes de red cuando estos son enviados. PREROUTING — Esta cadena altera paquetes recibidos por medio de una interfaz de red cuando llegan. OUTPUT — Esta cadena altera paquetes generados localmente antes de que sean dirigidos por medio de una interfaz de red. POSTROUTING — Esta cadena altera paquetes antes de que sean enviados por medio de una interfaz de red Las cadenas internas para la tabla mangle son las siguientes: PREROUTING — Esta cadena altera paquetes recibidos por medio de una interfaz de red antes de que sean dirigidos. POSTROUTING — Altera los paquetes de red cuando estos son enviados. Cada paquete de red recibido o enviado desde un sistema Linux está sujeto a al menos una tabla. Sin embargo, un paquete puede estar sometido a múltiples reglas dentro de cada tabla antes de emerger al final de la cadena. La estructura propósito de estas reglas puede variar, pero normalmente buscan identificar un paquete que viene de o se dirige SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 39 a una dirección IP en particular o un conjunto de direcciones al usar un determinado protocolo y servicio de red. Independientemente de su destino, cuando un paquete cumple una regla en particular en una de las tablas, se les aplica un objetivo (target) o acción a ellos. Si la regla especifica un objetivo ACCEPT para un paquete que coincida, el paquete se salta el resto de las verificaciones de la regla y se permite que continúe hacia su destino. Si una regla especifica un objetivo DROP, a ese paquete se le niega el acceso al sistema y no se envía nada de vuelta al servidor que envió el paquete. Si una regla especifica un objetivo QUEUE, el paquete se pasa al espacio del usuario. Si una regla especifica el objetivo opcional REJECT, el paquete es descartado, pero se envía un paquete de error al que envió el paquete. Cada cadena tiene una política por defecto de ACCEPT, DROP, REJECT, o QUEUE. Si ninguna de estas reglas en la cadena se aplican al paquete, entonces el paquete es tratado de acuerdo a la política por defecto. El comando iptables configura estas tablas, así como también configura nuevas tablas si es necesario. Opciones usadas en comandos iptables Las reglas para el filtrado de paquetes se ponen en funcionamiento ejecutando el comando iptables. Cuando use el comando iptables, los aspectos siguientes del paquete se usan con frecuencia como el criterio: Tipo de paquete — Dicta qué tipo de paquetes filtra el comando. Fuente/Destino del paquete — Específica cuáles paquetes filtra el comando basándose en el origen o destino del paquete. Objetivo — Indica qué acción es tomada en paquetes que cumplen los criterios mencionados anteriormente. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 40 Las opciones usadas con la regla iptables dada deben estar agrupadas lógicamente, basándose en el propósito y en las condiciones de la regla general, para que la regla sea válida. Estructura de las opciones iptables Muchos comandos iptables tienen la siguiente estructura: iptables [-t < table-name> ] <command> <chain-name> <parameter-1>\ <option-1> <parameter-n> <option-n> La opción <table-name> permite al usuario seleccionar una tabla diferente a la tabla predeterminada filter a usar con el comando. La opción <command> indica una acción específica a realizar, tal como anexar o eliminar la regla especificada por la opción <chain-name>. Luego de la opción, <chain-name> se encuentran un par de parámetros y opciones que definen qué pasará cuando un paquete coincide con la regla. Cuando miramos la estructura de un comando iptables, es importante recordar que, al contrario que la mayoría de los comandos, la longitud y complejidad de un comando iptables puede cambiar en función de su propósito. Un comando para borrar una regla de una cadena puede ser muy corto, mientras que un comando diseñado para filtrar paquetes de una subred particular usando un conjunto de parámetros específicos y opciones puede ser mucho más largo. Al crear comandos iptables puede ser de ayuda reconocer que algunos parámetros y opciones pueden crear la necesidad de utilizar otros parámetros y opciones para especificar más aún la petición de la opción anterior. Para construir una regla válida, esto deberá continuar hasta que todos los parámetros y opciones que requieran otro conjunto de opciones hayan sido satisfechos. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 41 Opciones de comando Las opciones de comandos le dicen a iptables que realice una acción específica. Solamente una opción de comando se permite por comando iptables. Excepto el comando de ayuda, todos los comandos se escriben en mayúsculas. Los comandos de iptables son los siguientes: -A — Añade la regla iptables al final de la cadena especificada. Este es el comando utilizado para simplemente añadir una regla cuando el orden de las reglas en la cadena no importa. -C — Verifica una regla en particular antes de añadirla en la cadena especificada por el usuario. Este comando puede ser de ayuda para construir reglas iptables complejas pidiéndole que introduzca parámetros y opciones adicionales. -D — Borra una regla de una cadena en particular por número (como el 5 para la quinta regla de una cadena). Puede también teclear la regla entera e iptables borrará la regla en la cadena que corresponda. -E — Renombra una cadena definida por el usuario. Esto no afecta la estructura de la tabla. -F — Libera la cadena seleccionada, que borra cada regla de la cadena. Si no se especifica ninguna cadena, este comando libera cada regla de cada cadena. -h — Proporciona una lista de estructuras de comandos, así como también un resúmen rápido de parámetros de comandos y opciones. -I — Inserta una regla en una cadena en un punto especificado por un valor entero definido por el usuario. Si no se especifica ningún número, iptables colocará el comando en el tope de la cadena -L — Lista todas las reglas de la cadena especificada tras el comando. Para ver una lista de todas las reglas en todas las SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 42 cadenas en la tabla por defecto filter, no especifique ninguna cadena o tabla. De lo contrario, la sintaxis siguiente deberá utilizarse para listar las reglas en una cadena específica en una tabla en particular: iptables -L <chain-name> -t <table-name> -N — Crea una nueva cadena con un nombre especificado por el usuario -P — Configura la política por defecto para una cadena en particular, de tal forma que, cuando los paquetes atraviesen la cadena completa sin cumplir ninguna regla, serán enviados a un objetivo en particular, como puedan ser ACCEPT o DROP. -R — Reemplaza una regla en una cadena particular. El número de la regla debe ser especificado después del nombre de la cadena. La primera regla en una cadena corresponde a la regla número uno. -X — Borra una cadena especificada por el usuario. No se permite borrar ninguna de las cadenas predefinidas para cualquier tabla. -Z — Pone ceros en los contadores de byte y de paquete en todas las cadenas de una tabla en particular. Opciones de parámetros de iptables Una vez que se especifiquen ciertos comandos iptables, incluyendo aquellos para añadir, anexar, eliminar, insertar o reemplazar reglas dentro de una cadena, se requieren parámetros para construir una regla de filtrado de paquetes. -c — Resetea los contadores de una regla en particular. Este parámetro acepta las opciones PKTS y BYTES para especificar qué contador hay que resetear. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 43 -d — Configura el nombre de la máquina destino, dirección IP o red de un paquete que coincide con la regla. Cuando se coincida una red, se soportan los siguientes formatos de direcciones IP o máscaras de red: • N.N.N.N/M.M.M.M — Donde N.N.N.N es el rango de direcciones IP y M.M.M.M es la máscara de la red. • N.N.N.N/M — Donde N.N.N.N es el rango de direcciones IP y M es la máscara de bit. -f — Aplica esta regla sólo a los paquetes fragmentados. Usando la opción ! después de este parámetro, únicamente se harán coincidir los paquetes no fragmentados. -i — Configura la interfaz de red entrante, tal como eth0 o ppp0. Con iptables, este parámetro opcional puede ser usado solamente con las cadenas INPUT y FORWARD cuando es usado con la tabla filter y la cadena PREROUTING con las tablas nat y mangle. Este parámetro también soporta las siguientes opciones especiales: ! — Revoca la directiva, es decir, se excluye de esta regla cualquier interfaz especificada. + — Un caracter tipo comodín utilizado para coincidir todas las interfaces con una cadena de caracteres particular. Por ejemplo, el parámetro -i eth+ aplicará esta regla a cualquier interfaz Ethernet pero excluirá cualquier otra interfaz, tal como, ppp0. Si el parámetro -i se utiliza sin especificar ninguna interfaz, todas las interfaces estarán afectadas por la regla. -j — Salta a un objetivo particular cuando un paquete coincide con una regla. Los objetivos válidos a usar después de la opción -j incluye las opciones estándar (ACCEPT, DROP, QUEUE, y RETURN) así como también las opciones extendidas que están disponibles a través de los módulos cargados por defecto con el paquete RPM de CentOS Enterprise Linux iptables, como LOG, MARK y REJECT, entre otros. Consulte la página del manual de iptables para más información sobre esto y otros objetivos. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 44 Puede también dirigir un paquete coincidiendo esta regla a una cadena definida por el usuario fuera de la cadena actual, para aplicar otras reglas al paquete. Si no especifica ningún objetivo, el paquete pasa la regla sin llevar a cabo ninguna acción. A pesar de todo, el contador para esta regla se sigue incrementando en uno. -o — Configura la interfaz de red de salida para una regla y puede ser usada solamente con las cadenas OUTPUT y FORWARD en la tabla de filtro y la cadena POSTROUTING en las tablas nat y mangle. Estos parámetros de opciones son los mismos que aquellos de la interfaz de entrada (-i). -p — Configura el protocolo IP para la regla, el cual puede ser icmp, tcp, udp, o all, para coincidir todos los protocolos soportados. Además, se puede usar cualquier protocolo listado en /etc/protocols. Si esta opción es omitida cuando se esté creando una regla, la opción all es la opción por defecto1. -s — Configura la fuente para un paquete particular usando la misma sintaxis que el parámetro (-d). Netfilter Es un conjunto de ganchos (Hooks, es decir, técnicas de programación que se emplean para crear cadenas de procedimientos como manejador) dentro del núcleo de GNU/Linux y que son utilizados para interceptar y manipular paquetes de red. El componente mejor conocido es el cortafuegos, el cual realiza procesos de filtración de paquetes. Los ganchos son también utilizados por un componente que se encarga del NAT (acrónimo de Network Address Translation o Traducción de dirección de red). Estos componentes son cargados como módulos del núcleo. 1 http://www.netfilter.org/ SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 45 Instalación de iptables en CentOS través de yum. En CentOS 5 y 6, Red Hat Enterprise Linux 5 o 6, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lógico necesario: yum -y install iptables Ejemplos de las reglas: Reenvío de paquetes desde una interfaz de red local (eth1) hacia una interfaz de red pública (eth0): iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT Aceptar reenviar los paquetes que son parte de conexiones existentes (ESTABLISHED) o relacionadas de tráfico entrante desde la interfaz eth1 para tráfico saliente por la interfaz eth0: iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Permitir paquetes en el propio muro cortafuegos para tráfico saliente a través de la interfaz eth0 que son parte de conexiones existentes o relacionadas: iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Permitir (ACCEPT) todo el tráfico entrante (INPUT) desde (-s) cualquier dirección (0/0) la red local (eth1) y desde el retorno del sistema (lo) hacia (-d) cualquier destino (0/0): iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -j ACCEPT SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 46 iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT Hacer (-j) SNAT para el tráfico saliente (-o) a tráves de la interfaz eth0 proveniente desde (-s) la red local (192.168.0.0/24) utilizando (--tosource) la dirección IP w.x.y.z. iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth0 -j SNAT --tosource x.y.z.c Descartar (DROP) todo el tráfico entrante (-i) desde la interfaz eth0 que trate de utilizar la dirección IP pública del servidor (w.x.y.z), alguna dirección IP de la red local (192.168.0.0/24) o la dirección IP del retorno del sistema (127.0.01) iptables -A INPUT -i eth0 -s w.x.y.x/32 -j DROP iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP Aceptar (ACCEPT) todos los paquetes SYN (--syn) del protocolo TCP (p tcp) para los puertos (--destination-port) de los protocolos SMTP (25), HTTP(80), HTTPS (443) y SSH (22): iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 25 --syn -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 80 --syn -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 443 --syn -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 22 --syn -j ACCEPT Aceptar (ACCEPT) todos los paquetes SYN (--syn) del protocolo TCP (tcp) para los puertos (--destination-port) del protocolos SMTP (25) en el servidor (w.x.y.z/32), desde (-s) cualquier lugar (0/0) hacia (-d) cualquier lugar (0/0). iptables -A INPUT -p tcp -s 0/0 -d w.x.y.z/32 --destination-port 25 --syn j ACCEPT SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 47 Aceptar (ACCEPT) todos los paquetes SYN (--syn) del protocolo TCP (p tcp) para los puertos (--destination-port) de los protocolos POP3 (110), POP3S (995), IMAP (143) y IMAPS (993): iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 110 --syn -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 995 --syn -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 143 --syn -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 993 --syn -j ACCEPT Aceptar (ACCEPT) el tráfico entrante (-i) proveniente desde la interfaz eth1 cuando las conexiones se establezcan desde el puerto (--sport) 67 por protocolos (-p) TCP y UDP. iptables -A INPUT -i eth1 -p tcp --sport 68 --dport 67 -j ACCEPT iptables -A INPUT -i eth1 -p udp --sport 68 --dport 67 -j ACCEPT Aceptar (ACCEPT) conexiones de tráfico entrante (INPUT) por protocolo (-p) UDP cuando se establezcan desde (-s) el servidor DNS 200.33.145.217 desde el puerto (--source-port) 53 hacia (-d) cualquier destino (0/0): iptables -A INPUT -p udp -s 200.33.146.217/32 --source-port 53 -d 0/0 -j ACCEPT Cerrar accesos. Descartar (DROP) el tráfico entrante (INPUT) para el protocolo (-p) TCP hacia los puerto (--destination-port) de SSH (22) y Telnet (23): iptables -A INPUT -p tcp --destination-port 22 -j DROP iptables -A INPUT -p tcp --destination-port 23 -j DROP Descartar (DROP) todo tipo de conexiones de tráfico entrante (INPUT) desde (-s) la dirección IP a.b.c.d: SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 48 iptables -A INPUT -s a.b.c.d -j DROP Rechazar (REJECT) conexiones hacia (OUTPUT) la dirección IP a.b.c.d desde la red local: iptables -A OUTPUT -d a.b.c.d -s 192.168.0.0/24 -j REJECT Eliminar reglas. En general se utiliza la misma regla, pero en lugar de utilizar -A (append), se utiliza -D (delete). Eliminar la regla que descarta (DROP) todo tipo de conexiones de tráfico entrante (INPUT) desde (-s) la dirección IP a.b.c.d: iptables -D INPUT -s a.b.c.d -j DROP Mostrar la lista de cadenas y reglas. Una vez cargadas todas las cadenas y reglas de iptables es posible visualizar éstas utilizando el mandato iptables con las opciones -n, para ver las listas en formato numérico y -L, para solicitar la lista de éstas cadenas. iptables -nL Cuando no hay reglas ni cadenas cargadas, la salida debe devolver lo siguiente: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 49 Cuando hay cadenas presentes, la salida, suponiendo que se utilizaron los ejemplos de este documento, debe devolver algo similar a lo siguiente: Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP all -- 192.168.1.64 0.0.0.0/0 DROP all -- 172.16.0.0/24 0.0.0.0/0 DROP all -- 127.0.0.0/8 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 192.168.1.64 tcp dpt:25 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67 ACCEPT udp -- 200.33.146.217 0.0.0.0/0 udp spt:53 SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 50 Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@m064 ~]# iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 RELATED,ESTABLISHED ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP all -- 192.168.1.64 0.0.0.0/0 DROP all -- 172.16.0.0/24 0.0.0.0/0 DROP all -- 127.0.0.0/8 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 192.168.1.64 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 flags:0x17/0x02 SEGURIDAD EN REDES DE COMPUTADORAS state state tcp dpt:25 tcp dpt:80 tcp dpt:443 tcp dpt:22 tcp dpt:25 tcp dpt:110 tcp dpt:995 ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 51 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 flags:0x17/0x02 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67 ACCEPT udp -- 200.33.146.217 0.0.0.0/0 udp spt:53 Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 RELATED,ESTABLISHED state Chain OUTPUT (policy ACCEPT) target prot opt source destination Iniciar, detener y reiniciar el servicio iptables. Si está de acuerdo con las reglas generadas de iptables, utilice el siguiente mandato para guardar éstas: service iptables save Las reglas quedarán almacenadas en el archivo /etc/sysconfig/iptables. Para ejecutar por primera vez el servicio iptables, utilice: service iptables start Para hacer que los cambios hechos tras modificar la configuración surtan efecto, utilice: service iptables restart Para detener el servicio iptables y borrar todas las reglas utilice: service iptables stop SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 52 Agregar el servicio iptables al arranque del sistema. Para hacer que el servicio de iptables esté activo con el siguiente inicio del sistema, en todos los niveles de ejecución (2, 3, 4 y 5), se utiliza lo siguiente: chkconfig iptables on II.4 Introducción a las redes privadas virtuales VPN. Las organizaciones con varias oficinas satelitales suelen conectarse entre sí con líneas dedicadas para eficiencia y protección de datos confidenciales en tránsito. Por ejemplo, muchos negocios usan la técnica de 'Frame relay' o líneas del Modo de transferencia asíncrono (ATM) como una solución de red de extremo a extremo para enlazar a una oficina con otras personas. Puede ser una propuesta costosa, especialmente para pequeñas y medianas empresas (SMB) que desea ampliar sin tener que pagar los altos costos asociados con el nivel empresarial de circuitos digitales dedicados. Para hacer frente a esta necesidad, se desarrollaron las Redes privadas virtuales (VPN). Siguiendo los mismos principios funcionales de los circuitos dedicados, VPN permite la comunicación segura entre dos partes (o redes), al crear una Red de área amplia (WAN) desde las Redes de área locales (LAN).Difiere del Frame relay o ATM en el medio de transporte. VPN transmite en IP mediante datagramas como capa de transporte, haciéndolo un conducto seguro a través de la Internet al destino planeado. La mayoría de las implementaciones de software libre de VPN incorporan los métodos de cifrado estándar para enmascarar aún más los datos en tránsito. Algunas organizaciones emplean hardware de soluciones VPN para aumentar la seguridad, mientras que otros utilizan software o SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 53 implementaciones de protocolo. Varios proveedores ofrecen harware de soluciones VPN, tales como Cisco, Nortel, IBM y Checkpoint. Hay un software libre basado en soluciones VPN para Linux llamado FreeS/Wan que utiliza la implementación de Seguridad de protocolo de Internet (IPsec). Estas soluciones de VPN, sin importar si se basan en hardware o software, actúan como enrutadores especializados que existen entre la conexión IP desde una ofician a otra. ¿Cómo funciona la VPN? Cuando se transmite un paquete desde un cliente, el cliente lo envía a través del enrutador o puerta de enlace de VPN, el cual añade un Encabezado de autenticación (AH) para enrutado y autenticación. Los datos se cifran y por último, se encierran en una Carga de seguridad encapsuladora (ESP). Más adelante constituirá las instrucciones de descifrado y manejo. En enrutador receptor de VPN quita el encabezado de información, descifra los datos y los dirige a su destino (ya sea la estación de trabajo o el nodo en una red). Al usar una conexión de red a red, el nodo receptor en la red local recibe los paquetes descifrados y listos para ser procesados. El proceso de cifrado y descifrado en una conexión de red a red de VPN es transparente para el nodo local. Con ese nivel de seguridad, el agresor no solamente deberá interceptar el paquete, sino también descifrarlo. Los intrusos que emplean un ataque de hombre en el medio entre un servidor y un cliente deben también acceder al menos a una de las llaves privadas para autenticación de sesiones. Puesto que emplean varias capas de autenticación y cifrado, las VPN son un medio seguro y efectivo para actuar como una intranet unificada. Linux tienen varias opciones en términos de implementar una solución de software para conectarse de forma segura a sus WAN. El Internet SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 54 Protocol Security o IPsec es la implementación VPN compatible para CentOS Enterprise Linux que resuelve de forma completa las necesidades de utilización de las organizaciones con sucursales o con usuarios remotos. IPsec Centos Linux es compatible con IPsec para la conexión entre hosts y redes remotos utilizando un túnel seguro en un transportador de red común tal como la Internet. IPsec se puede implementar usando una conexión host-a-host (una computadora a la otra) o de red-a-red (una LAN/WAN a la otra). La implementación IPsec en Centos Enterprise Linux utiliza el Intercambio de llaves en Internet (IKE), el cual es un protocolo implementado por el Internet Engineering Task Force (IETF), a ser usado para la autenticación mutua y asociaciones seguras entre sistemas conectándose. Una conexión IPsec se divide en dos fases lógicas. En la fase 1, un nodo IPsec inicializa la conexión con el nodo o red remota. El nodo/red remota verifica las credenciales del nodo solicitante y ambos lados negocian el método de autenticación para la conexión. En sistemas Centos Enterprise Linux, una conexión IPsec utiliza el método de llave precompartida o pre-shared key de autenticación de nodo IPsec. La fase 2 de la conexión IPsec es donde se crea una asociación de seguridad (SA) entre nodos IPsec. Esta fase establece una base de datos SA con información de configuración, tal como el método de encriptación, parámetros de intercambio de llaves secretas y más. Esta fase maneja realmente la conexión IPsec entre nodos y redes. La implementación de CentOS Linux de IPsec utiliza IKE para compartir las llaves entre hosts a través de la Internet. El demonio racoon de SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 55 manejo de llaves se encarga de la distribución e intercambio de llaves IKE. Instalación de IPsec La implementación de IPsec requiere que esté instalado el paquete RPM ipsec-tools en todos los hosts IPsec (si se está utilizando una configuración de host-a-host) o enrutadores (si se está usando una configuración de red-a-red). El paquete RPM contiene las bibliotecas esenciales, los demonios y los archivos de configuración para ayudar en la configuración de una conexión IPsec, incluyendo: /lib/libipsec.so — biblioteca que contiene la interfaz de administración de sockets de llaves confiables PF_KEY entre el kernel de Linux y la implementación IPsec usada en Centos Enterprise Linux. /sbin/setkey — manipula la administración de llaves y los atributos de seguridad de IPsec en el kernel. Este ejecutable es controlado por el demonio de manejo de llaves racoon. Para más información sobre setkey, consulte la página man setkey(8). /sbin/racoon — el demonio de manejo de llaves IKE, utilizado para gestionar y controlar las asociaciones de seguridad y el compartir de llaves entre sistemas conectados IPsec. Este demonio se puede configurar modificando el archivo /etc/racoon/racoon.conf. Para más información sobre racoon, consulte la página man de racoon(8). SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 56 /etc/racoon/racoon.conf — El archivo de configuración del demonio racoon utilizado para configurar los diferentes aspectos de la conexión IPsec, incluyendo los métodos de autenticación y algoritmos de encriptación usados en la conexión. Para ver un listado completo de las directivas disponibles, consulte la página man de racoon.conf(5). AUTOEVALUACION 1.- ¿Qué es un Firewall? 2.- ¿Que significa las siglas SDI? 3.- Mencione 5 reglas de filtrado de paquetes. 4.- ¿Qué es un filtrado por dirección? 5.- ¿Qué es un filtrado por servicio? 6.- ¿Qué es el servidor IPTABLES? 7.- ¿Qué otro nombre recibe IPTABLES? 8.- ¿Cuáles son las tablas o reglas de IPTABLES? 9.- Describa la estructura de las opciones de IPTABLES? 10.- ¿Qué es VPN? 11.- ¿Cómo funciona la VPN? 12.- ¿Qué es IPsec? SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 57 CUADRO DE RESUMEN SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 58 UNIDAD III SEGURIDAD EN REDES INALÁMBRICAS INTRODUCCION Las LANs inalámbricas introducen determinados despliegues y factores de utilización que deberían ser considerados. Un sistema Ethernet por lo general contiene su fuente de energía viajando adecuadamente encerrada dentro de un cable. Como los elementos que constituyen una WLAN dependen gravemente en las comunicaciones radiofónicas a través del aire, el hecho que una WLAN sea un medio libre introduce numerosos factores. El desempeño y confiabilidad de una LAN inalámbrica dependen de las condiciones atmosféricas, obstrucciones físicas, otras WLANS, interferencias y propagación de ondas radiofónicas características de los fundamentos de las leyes de la física. Por lo tanto, la utilización de una WLAN es generalmente algo no tan confiable o tan veloz como un sistema cableado. Sin embargo, recientes desarrollos en los estándares de comunicación que aprovechan algunas de estas anomalías atmosféricas para su propio beneficio, han alivianado notablemente estos inconvenientes. La confiabilidad y el desempeño de una WLAN dependen de un correcto despliegue, el cual tenga en cuenta todas las condiciones anteriormente mencionadas. Las preocupaciones relacionadas con la seguridad son también otro factor a tener en cuenta. Si se la compara con un sistema cableado, una WLAN se extiende sobre un área de cobertura que es imposible de controlar en su totalidad, y que es mucho más impredecible. Por ejemplo, muchas redes inalámbricas utilizadas en el hogar pueden ser detectadas desde la calle. Un comercio puede, sin darse cuenta, dejar su red a disposición de un competidor en un edificio cercano. Por lo tanto, existen numerosos mecanismos de seguridad para las tecnologías IEEE 802.11. Linux ofrece soporte para numerosos dispositivos inalámbricos. Los adaptadores de clientes se encuentran disponibles por lo general bajo la SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 59 forma PCI, PCI Express, Mini-PCI, USB, ExpressCard, Cardbus y PCMCIA. Muchos de estos adaptadores están soportados por defecto en el kernel Linux mediante controladores de código abierto, disponibles en Linux. Tipos de Redes Inalámbricas La conectividad inalámbrica es lo nuevo en el mundo de las redes de computadoras, las redes inalámbricas envuelven la conexión de laptops, desktops, pdas, teléfonos celulares, servidores, etc. La conectividad inalámbrica trae consigo la potencialidad de brindarle a los usuarios una conexión a Internet y sus servicios any time, any place. Una red inalámbrica es como cualquier otra red de computadores, conecta computadoras a redes de computadoras, pero sin la necesidad de cables. Puede proveer acceso a otras computadoras, bases de datos, Internet, y en el caso de Wireless Lans, el hecho de no tener cables, les permite a los usuarios contar con movilidad sin perder la conexión. Si clasificamos las redes por su alcance geográfico, tenemos tres (3) tipos de redes inalámbricas: • Wireless WAN (Wide Area Network) • Wireless LAN (Local Area Network) • Wireless PAN (Personal Area Network) Una WAN es una red de computadores que abarca un área geográfica relativamente extensa, típicamente permiten a múltiples organismos como oficinas de gobierno, universidades y otras instituciones conectarse en una misma red. Las WAN tradicionales hacen estas conexiones generalmente por medio de líneas telefónicas, o líneas muertas. Por medio de una WAN Inalámbrica se pueden conectar las diferentes localidades utilizando conexiones satelitales, o por antenas de radio microondas. Estas redes son mucho más flexibles, económicas y fáciles de instalar. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 60 En sí la forma más común de implantación de una red WAN es por medio de Satélites, los cuales enlazan una o más estaciones bases, para la emisión y recepción, conocidas como estaciones terrestres. Los satélites utilizan una banda de frecuencias para recibir la información, luego amplifican y repiten la señal para enviarla en otra frecuencia. Para que la comunicación satelital sea efectiva generalmente se necesita que los satélites permanezcan estacionarios con respecto a su posición sobre la tierra, si no es así, las estaciones en tierra los perderían de vista. Para mantenerse estacionario, el satélite debe tener un periodo de rotación igual que el de la tierra, y esto sucede cuando el satélite se encuentra a una altura de 35,784 Km. Por el advenimiento de nuevas tecnologías celulares como 2.5G y 3G, se podría predecir, que el nacimiento de nuevas redes WAN basadas en PDA’s y teléfonos celulares está por venir. Comunidades de usuarios con intereses comunes, instituciones y empresas, se verán beneficiadas por la conectividad que ofrecerán las redes celulares de datos de la próxima generación. Nuevos productos, servicios, y actividades derivadas de estas tecnologías impulsarán cambios radicales en la manera en que se trabaja hoy en día, nuevos negocios basados en estas tecnologías saldrán al mercado, y se verá de una vez por todas las utilidades de tener Internet en cualquier lugar en cualquier momento. Wireless LANS las cuales permiten conectar una red de computadores en una localidad geográfica, de manera inalámbrica para compartir archivos, servicios, impresoras, y otros recursos. Usualmente utilizan señales de radio, las cuales son captadas por PC-Cards, o tarjetas PCMCIA conectadas a laptops, o a slots PCI para PCMCIA de PCs de escritorio. Estas redes a grosso modo, soportan generalmente tasas de transmisión entre los 11Mbps y 54Mbps (mega bits por segundo) y tienen un rango de entre 30 a 300 metros, con señales capaces de atravesar paredes. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 61 Redes similares pueden formarse con edificios, o vehículos, esta tecnología permite conectar un vehículo a la red por medio de un transmisor en una laptop o PDA, al punto de acceso dentro del edificio. Estas tecnologías son de gran uso en bibliotecas, unidades móviles como ambulancias para los hospitales, etc. Las Wireless LANs ofrecen muchas ventajas sobre las LANs Ethernet convencionales, tales son, movilidad, flexibilidad, escalabilidad, velocidad, simplicidad, y costos reducidos de instalación. Son una solución para edificios que por su arquitectura, o su valor histórico, no pueden ser perforados para instalar cableado estructurado. En los Estados Unidos, muchas bibliotecas han implantado con éxito Wireless LANs a costos mucho más bajos de lo que saldría implantar redes físicas, y además les permiten acceso a la red en cualquier lugar de la biblioteca a todos sus usuarios. Wireless PAN.-es aquella que permite interconectar dispositivos electrónicos dentro de un rango de pocos metros, para comunicar y sincronizar información. La tecnología líder en esta área es Bluetooth, y más adelante en publicaremos algunos artículos sobre esta tecnología. Objetivo El alumno las principales características y mecanismos de la seguridad en redes inalámbricas. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 62 CONTENIDO III.1 Riesgos, vulnerabilidades y amenazas III.2 Mecanismos de seguridad y protección III.3 Protocolos de seguridad en redes inalámbricas Autoevaluación. Cuadro resumen III.1 Riesgos, vulnerabilidades y amenazas Una WLAN utiliza un medio libre. Esto introduce algunos desafíos para poder lograr una seguridad realmente efectiva. El modelo de seguridad estándar, conocido como CIA por las iniciales en inglés de Confidentiality, Integrity and Availability (Confidencialidad, Integridad y Disponibilidad), puede ser aplicado a los elementos propios de las transmisiones de datos inalámbricas. Este modelo compuesto por tres niveles es un marco general para evaluar los riesgos que podría llegar a correr determinada información vital, y poder así establecer una política de seguridad. a continuación, se describe cómo el modelo CIA se aplica en las WLANs: Confidencialidad - Este aspecto del modelo CIA establece que la información vital solo debe estar disponible para un conjunto de individuos previamente definido, y que tanto la utilización como la transmisión no autorizada debería ser restringida. Es importante prestarle atención a este elemento del modelo CIA cuando se esté utilizando una WLAN simplemente porque la señal puede viajar fácilmente más allá de los límites tradicionales de la red, atravesando paredes y otros objetos, ya que es debido a esto puede quedar a disposición de usuarios no autorizados, de una manera mucho más sencilla. Integridad - Este elemento del modelo establece que la información no debería ser alterada de modo de quedar o incompleta o incorrecta, y que a los usuarios no autorizados se les debería restringir la posibilidad de modificar o destruir SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 63 información importante. De manera muy similar al elemento confidencialidad, establece que permitir a los usuarios no autorizados mayores oportunidades de introducirse en la red, puede comprometer el nivel de integridad de los datos. Por otro lado, la verificación de la integridad de los datos es un aspecto que también se encuentra integrado en el mecanismo utilizado para su comunicación y su cifrado. Disponibilidad - Este aspecto del modelo CIA establece que la información debería ser accesible sólo para los usuarios autorizados, en cualquier momento en que sea necesaria. La disponibilidad es una garantía de que la información puede ser obtenida con una frecuencia y durante un período de tiempo acordado previamente. Este elemento se aplica a todo el equipamiento de la red - es decir, que un servicio de red se encuentre disponible cuando se lo necesite, y que no es diferente si el equipo o la red es inalámbrica. Es importante poseer conocimientos suficientes del hardware y de cómo opera una LAN inalámbrica para poder ofrecer capacidades de red confiables a lo largo del tiempo, especialmente en entornos complicados o en donde la confiabilidad es crucial. Wi-Fi Protected Access (WPA) WPA (Acceso Wi-Fi protegido) es un programa de certificaciones creado por la Alianza Wi-Fi para solucionar algunos de los problemas en la seguridad de WEP, como por ejemplo la debilidad de los encabezados IV a los que nos referíamos recién. WPA2, la nueva tecnología de cifrado para LANs inalámbricas, es el método recomendado para asegurar redes inalámbricas, si bien es posible que determinado harware antiguo no ofrezca soporte ni para WPA, ni para WPA2. A menudo se hace referencia a estas tecnologías como WPA-PSK y WPA2-PSK para la mayoría de los usuarios hogareños, ya que utilizan una Llave pre compartida (Pre-Shared Key, en inglés), de modo que no son necesarios SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 64 mecanismos dedicados de autenticación (cuando sí lo deben utilizarse en entornos comerciales o corporativos). WPA-PSK funciona como una versión mejorada de WEP al ofrecer los siguientes mecanismos: Longitud IV - WPA ofrece un Vector de inicialización de 48 bits, aumentando la complejidad criptográfica de los datos cifrados. Métodos de autenticación dedicados - WPA introduce la posibilidad de utilizar servidores 802.1x. Estos operan como mecanismos de autenticación dedicados para los usuarios, como, por ejemplo, RADIUS. WPA2 avanza un poco más al ofrecer soporte para el Código de protocolo de autenticación de encadenamiento de mensajes cifrados de bloque (CCMP por las iniciales en inglés de Cipher Block Chaining Message Authentication Code Protocol). Sin embargo, necesita mucho poder de procesamiento ya que utiliza el algoritmo AES (Estándar de cifrado avanzado). Con el crecimiento de las redes inalámbricas alrededor del mundo, habilitar la posibilidad de establecer comunicaciones seguras es algo de importancia suprema. La utilización de WPA (preferentemente WPA2 con el algoritmo AES), es lo recomendado para cifrar su red inalámbrica. Si bien son posibles algunos ataques exitosos sobre WPA con el método de "fuerza bruta" utilizando el algoritmo TKIP, es posible aliviar este riesgo en gran medida utilizando una poderosa llave aleatoria, siguiendo un método de seguridad por capas, y utilizando técnicas secundarias para asegurar su red LAN inalámbrica, además de confiar exclusivamente en el cifrado. AMENAZAS Existen cuatro clases principales de amenazas a la seguridad inalámbrica: SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 65 1. Amenazas no estructuradas 2. Amenazas estructuradas 3. Amenazas externas 4. Amenazas internas Las amenazas no estructuradas consisten principalmente en individuos inexpertos que están usando herramientas de hacking disponibles fácilmente como scripts de shell y crackers de passwords. Las amenazas estructuradas vienen de hackers que están mucho más motivados y son técnicamente competentes. Estas personas conocen las vulnerabilidades de los sistemas inalámbricos y pueden comprender y desarrollar explotación de códigos, scripts y programas. Las amenazas externas son individuos u organizaciones que trabajan desde el exterior de la compañía. Ellos no tienen acceso autorizado a la red inalámbrica. Ingresan a la red principalmente desde el exterior del edificio como estacionamientos, edificios adyacentes o áreas comunes. Estos son los tipos de amenazas por los que la gente gasta la mayor parte del tiempo y dinero en protegerse. Las amenazas internas ocurren cuando alguien tiene acceso autorizado a la red con una cuenta en un servidor o con acceso físico al cableado. III.2 Mecanismos de seguridad y protección. Las redes inalámbricas usan ondas de radio y son más susceptibles de ser interceptadas, es decir, no brindan la protección y privacidad de un cable, por lo que se hace casi indispensable proveer de mecanismos de seguridad a nivel de enlace que garanticen la integridad y confiabilidad de los datos, en definitiva, se busca asegurar que la información transmitida entre los puntos de acceso y los clientes no sea revelada a personas no autorizadas. En este punto, también se tratarán los mecanismos de autenticación y control de acceso, como medida de seguridad diseñada para establecer la validez de una transmisión. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 66 A continuación, se explica brevemente en qué consisten los principales mecanismos que intentan o ayudan a garantizar la privacidad, integridad y confidencialidad de la transmisión, ellos son WEP, WPA, filtrado MAC y 802.1x [WEB09]. Mecanismo de seguridad WEP (Wired Equivalent Privacy) obsoleto La confidencialidad en redes inalámbricas ha sido asociada tradicionalmente con el término WEP, que forma parte del estándar IEEE 802.11 original, de 1999. Su propósito fue brindar un nivel de seguridad comparable al de las redes alambradas tradicionales. Se trata de un mecanismo basado en el algoritmo de cifrado RC4, y que utiliza el algoritmo de chequeo de integridad CRC (Chequeo de Redundancia Cíclica). Un mal diseño del protocolo provoco que al poco tiempo de ser publicado quedara obsoleto. Actualmente existen varios ataques y programas para quebrar el WEP tales como Airsnort, Wepcrack, Kismac o Aircrack. Algunos de los ataques se basan en la limitación numérica de los vectores de inicialización del algoritmo de cifrado RC4, o la presencia de la llamada “debilidad IV” en un datagrama. Este mecanismo no es recomendado para garantizar la seguridad de una red. WPA y WPA2 En 2003 se propone el Acceso Protegido a redes WiFi o WPA y luego queda certificado como parte del estándar IEEE 802.11i, con el nombre de WPA2 en 2004. WPA y WPA2 pueden trabajar con y sin un servidor de distribución de llaves. Si no se usa un servidor de llaves, todas las estaciones de la red usan una llave de tipo PSK (Pre-Shared-Key), en caso contrario se usa habitualmente un servidor IEEE 802.1x. La versión certificada de WPA incluye dos cambios principales que aumentan considerablemente la seguridad, se reemplaza el algoritmo SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 67 Michael por un código de autenticación conocido como el protocolo CCMP (Counter-Mode/CBC-Mac) considerado criptográficamente seguro y se reemplaza el algoritmo RC4 por el AES (Advanced Encryption Standard) o Rijndael. WPA2 bien configurado, es actualmente el mecanismo más seguro en que se puede confiar. Filtrado MAC Es un mecanismo que realizan los puntos de acceso que permite únicamente acceder a la red a aquellos dispositivos cuya dirección física MAC sea una de las especificadas. El mecanismo se puede utilizar como control adicional; pero es fácilmente vulnerable aplicando un clonado de la MAC a suplantar. Detener la difusión de la SSID como medida de seguridad Se pueden configurar los puntos de accesos para que no difundan periódicamente las llamadas Tramas Baliza o Beacon Frames, con la información del SSID. Evitar esta publicación implica que los clientes de la red inalámbrica necesitan saber de manera previa que SSID deben asociar con un punto de acceso; pero no impedirá que una persona interesada encuentre la SSID de la red mediante captura de tráfico. Este sistema debe considerarse tan solo como una precaución adicional más que una medida de seguridad. Protocolo 802.11x Este protocolo ofrece un marco para autentificar y controlar el acceso a los puntos de accesos. Sirve como soporte para implementaciones de seguridad sobre servidores de autentificación. El funcionamiento se puede ver en la Figura 9 y es básicamente el siguiente, el cliente envía una petición al servidor de autentificación a través del AP, quien comprueba el certificado o el nombre de usuario y contraseña utilizando esquemas de autentificación como EAP encargados de la negociación. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 68 Si es aceptado, el servidor autorizará el acceso al sistema y el AP permite el acceso asignando los recursos de red. III.3 Protocolos de seguridad en redes inalámbricas. Existen muchos protocolos en la familia 802.11 y no todos están relacionados específicamente con el protocolo de radio. Los tres estándares implementados actualmente en la mayoría de los equipos disponibles son: 802.11b. Ratificado por IEEE el 16 de setiembre de 1999, el protocolo de redes inalámbricas 802.11b es probablemente el más asequible hoy en día. Millones de dispositivos que lo utilizan han sido vendidos desde 1999. Utiliza una modulación llamada Espectro Expandido por Secuencia Directa –Direct Sequence Spread Spectrum (DSSS)– en una porción de la banda ISM desde 2400 a 2484 MHz. Tiene una tasa de transmisión máxima de 11Mbps, con una velocidad real de datos utilizable mayor a 5Mbps. 802.11g. Como no estuvo finalizada sino hasta junio de 2003, el protocolo 802.11g llegó relativamente tarde al mercado inalámbrico. A pesar de esto, el protocolo 802.11g es hoy por hoy el estándar de facto en las redes inalámbricas utilizado como una característica estándar en virtualmente todas las laptops y muchos de los dispositivos handheld. Utiliza el mismo rango ISM que 802.11b, pero con el esquema de modulación denominado Orthogonal Frequency Division Multiplexing (OFDM) – Multiplexaje por División de Frecuencias Ortogonales. Tiene una tasa de transmisión máxima de 54Mbps (con un rendimiento real de hasta 25Mbps), y mantiene compatibilidad con el altamente popular 802.11b gracias al soporte de las velocidades inferiores. 802.11a. También ratificado por la IEEE el 16 de septiembre de 1999 el protocolo 802.11a utiliza OFDM. Tiene una tasa de SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 69 transmisión máxima de 54Mbps (con un rendimiento real de hasta 27Mbps). El 802.11a opera en la banda ISM entre 5725 y 5850MHz, y en una porción de la banda UNII entre 5.15 y 5.35GHz. Esto lo hace incompatible con el 802.11b o el 802.11g, y su alta frecuencia implica un rango más bajo comparado con el 802.11b/g al mismo nivel de potencia. Si bien esta porción del espectro es relativamente inutilizada comparada con la de 2.4GHz, desafortunadamente su uso es legal sólo en unos pocos lugares del mundo. Realice una consulta a sus autoridades locales antes de utilizar equipamiento 802.11a, particularmente en aplicaciones externas. Esto mejorará en el futuro, pues hay una disposición de la unión Internacional de comunicaciones (UIT) instando a todas las administraciones a abrir el uso de esta banda. El equipo es bastante barato, pero no tanto como el 802.11b/g. 802.11h. El objetivo es que 802.11 cumpla los reglamentos europeos para redes WLAN a 5 GHz. Los reglamentos europeos para la banda de 5 GHz requieren que los productos tengan control de la potencia de transmisión y selección de frecuencia dinámica. 802.11i. Aprobada en Julio 2004, se implementa en WPA2. Destinado a mejorar la seguridad en la transferencia de datos (al administrar y distribuir claves, y al implementar el cifrado y la autenticación). Este estándar se basa en el protocolo de encriptación AES. 802.11n Se basa en la tecnología MIMO. Trabajará en la frecuencia de 2.4 y 5 GHz. Soportará tasas superiores a los 100Mbps. 802.11p.Este estándar opera en el espectro de frecuencias de 5,90 GHz y de 6,20 GHz, especialmente indicado para automóviles. Será la base de las comunicaciones dedicadas de corto alcance (DSRC) en Norteamérica. La tecnología DSRC SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 70 permitirá el intercambio de datos entre vehículos y entre automóviles e infraestructuras en carretera. 802.11r. También se conoce como Fast Basic Service Set Transition, y su principal característica es permitir a la red que establezca los protocolos de seguridad que identifican a un dispositivo en el nuevo punto de acceso antes de que abandone el actual y se pase a él. Esta función, que una vez enunciada parece obvia e indispensable en un sistema de datos inalámbricos, permite que la transición entre nodos demore menos de 50 milisegundos. Un lapso de tiempo de esa magnitud es lo suficientemente corto como para mantener una comunicación vía VoIP sin que haya cortes perceptibles. IEEE 802.11v servirá para permitir la configuración remota de los dispositivos cliente. Esto permitirá una gestión de las estaciones de forma centralizada (similar a una red celular) o distribuida, a través de un mecanismo de capa 2. Esto incluye, por ejemplo, la capacidad de la red para supervisar, configurar y actualizar las estaciones cliente. Además de la mejora de la gestión, las nuevas capacidades proporcionadas por el 11v se desglosan en cuatro categorías: mecanismos de ahorro de energía con dispositivos de manoVoIP Wi-Fi en mente; posicionamiento, para proporcionar nuevos servicios dependientes de la ubicación; temporización, para soportar aplicaciones que requieren un calibrado muy preciso; y coexistencia, que reúne mecanismos para reducir la interferencia entre diferentes tecnologías en un mismo dispositivo. 802.11wTodavía no concluido. TGw está trabajando en mejorar la capa del control de acceso del medio de IEEE 802.11 para aumentar la seguridad de los protocolos de autenticación y codificación. Las LANs inalámbricas envía la información del sistema en tramas desprotegidos, que los hace vulnerables. Este estándar podrá proteger las redes contra la interrupción causada por los sistemas malévolos que crean peticiones desasociadas SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 71 que parecen ser enviadas por el equipo válido. Se intenta extender la protección que aporta el estándar 802.11i más allá de los datos hasta las tramas de gestión, responsables de las principales operaciones de una red. Estas extensiones tendrán interacciones con IEEE 802.11r e IEEE 802.11u. Además de los estándares mencionados anteriormente, hay fabricantes que ofrecen extensiones que permiten velocidades de hasta 108Mbps, mejor encriptación, y mayor rango. Desafortunadamente esas extensiones no funcionan entre productos de diferentes fabricantes, y adquirirlos lo va a atar a un vendedor específico. Nuevos productos y estándares (tales como 802.11n, 802.16, MIMO, y WiMAX) prometen incrementos significantes en velocidad y alcance, pero recién se están comenzando a comercializar y la disponibilidad e interoperabilidad entre marcas no está clara. AUTOEVALUACION 1.- ¿Que es la CIA? 2.- ¿Que es la WPA? 3.- ¿Qué es la WAP2? 4.- Menciones algunos mecanismos de seguridad en redes inalámbricas. 5.- ¿Qué es el filtrado MAC? 6.- ¿Que es el protocolo 802?11x? 7.-Mencione 4 riegos de seguridad wi-fi 8.- ¿Cuale son las principales características del protocolo 802.11g? 10.- ¿Cuáles son las principales características del protocolo 80211n? 11.- ¿Cuáles son las principales características del protocolo 802?11r? SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 72 CUADRO DE RESUMEN SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 73 UNIDAD IV DESARROLLO DE CASO: SEGURIDAD EN CORREO ELECTRÓNICO INTRODUCCION Una de las aplicaciones que mayor acogida y utilización tiene entre todos los usuarios de internet es el correo electrónico. Esto puede ser debido a la enorme similitud que existe entre éste y la forma tradicional de enviar correo; la metodología que se sigue en el proceso de envió de mensajes es casi análoga en los dos casos, pero como ya se sabe, la red está llena de amenazas y posibles agresiones externas y los mensajes de correo que viajan por ella se encuentran totalmente expuestos al examen y manipulación de cualquier persona, sea o no a quien van dirigidos. Por todo ello se han diseñado unos sistemas de seguridad en los que se combinan algoritmos de cifrado de clave simétrica, para beneficiarse de la rapidez que estos proporcionan, y algoritmos de cifrado de clave asimétrica, que proporcionan una mayor seguridad en la gestión de claves derivadas de los sistemas de clave pública. Por otra parte, el correo electrónico se codifica normalmente en base 64, ya que de este modo el resultado es entendible por las máquinas Unix y Windows y no existen dificultades entre usuarios de distintas máquinas. Todos los ataques a la privacidad e integridad de su correo electrónico pueden ser aplicados a cualquier archivo que se almacene en su computador o en sistemas remotos. Es importante evaluar el nivel de importancia de dicha privacidad e integridad y tomar medidas adecuadas tanto humanas como técnicas para protegerlos. Si escribe su clave en un papel pegado a su monitor, o si es fácil robar su computador, la tecnología en uso será menos efectiva. Una manera fácil y accesible a todos de proteger dichos datos, es usar tecnologías de criptografía e identidad digital. Dicha tecnología permite: SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 74 Cifrar (codificar, encriptar) información por mecanismos de llaves públicas y privadas, que no requieren intercambio previo de la 'clave' principal que dé acceso a la información Firmar digitalmente: esto garantiza que datos como el autor, la fecha y hora y el contenido de un mensaje no se puedan modificar, y puedan ser verificados con alta fiabilidad al ser recibidos. Existen diferentes tecnologías, entre ellas las más populares son la norma abierta OpenPGP y el formato S/MIME. Las aplicaciones que soportan OpenPGP no tienen restricción de uso comercial o personal, y se encuentran disponibles gratuitamente para múltiples sistemas operativos, en varios idiomas. Son en su mayoría software libre y la verificación de identidad se basa en un modelo de confianza en red, que mima con asombro los mecanismos de confianza social que son conocidos y fáciles de verificar. Objetivo El alumno comprenderá las principales características de la seguridad en coreos electrónicos. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 75 CONTENIDO IV.1 DNS seguro IV.2 Correo con privacidad mejorada (PEM) IV.3 MIME IV.4 PGP Autoevaluación. Cuadro resumen IV.1 DNS seguro ¿Qué es un DNS? Domain Name System / Service (o DNS, en español: sistema de nombre de dominio) es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a internet o a una red privada. El DNS es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio. La asignación de nombres a direcciones IP es ciertamente la función más conocida de los protocolos DNS. Por ejemplo, si la dirección IP del sitio FTP de umed.mx es 200.57.128.65, la mayoría de la gente llega a este equipo especificando ftp.umed.mx y no la dirección IP. Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 76 Cada equipo y cada servidor conectado a Internet, dispone de una dirección IP y de un nombre perteneciente a un dominio. Internamente, la comunicación entre los PCs se realiza utilizando direcciones IP por eso es necesario algún sistema que permita, a partir de los nombres de los PCs, averiguar las direcciones IPs de los mismos. Ejemplo, cuando queremos acceder a la página web de UMED, en la barra de direcciones del navegador escribimos: http://www.umed.edu.mx Nuestro PC tendrá que averiguar cuál es la IP correspondiente a wwwumed.edu.mx y una vez que ha averiguado que su IP es http://200.57.131.168, se conecta con el servidor para adquirir la página web principal y mostrarla al usuario. Si en el navegador escribimos: http://200.57.131.168 Ahorraremos el paso de averiguar la IP y directamente nos mostrará la página web de umed. Un servidor DNS es un servidor que permite averiguar la IP de un PC a partir de su nombre. Para ello, el servidor DNS dispone de una base de datos en la cual se almacenan todas las direcciones IP y todos los nombres de los PCs pertenecientes a su dominio. No existe una base de datos única donde se almacenan todas las IPs existentes en el mundo, sino que cada servidor almacena las IPs correspondientes a su dominio. Los servidores DNS están dispuestos jerárquicamente de forma que cuando nuestro servidor más inmediato no puede atender nuestra petición, éste la traslada al DNS superior. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 77 En el proceso de resolución de un nombre, hay que tener en cuenta que los servidores DNS funcionan frecuentemente como clientes DNS, consultando a otros servidores para resolver completamente un nombre consultado. . Zonas de servidores de nombres En Internet, el FQDN (nombre de dominio completamente cualificado) de un host se puede dividir en diversas secciones. Estas secciones son organizadas en orden jerárquico (como en un árbol), con un tronco, ramas principales, ramas secundarias, etc. Por ejemplo, considere el siguiente FQDN: bob.sales.example.com Cuando miramos cómo un FQDN es resuelto para encontrar la dirección IP que se relaciona a un sistema particular, lea el nombre de derecha a izquierda, con cada nivel de la jerarquía dividido por puntos (.). En nuestro ejemplo, com define el dominio de nivel superior para este FQDN. El nombre example es un subdominio bajo com, mientras que sales es un subdominio bajo example. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 78 El nombre más hacia la izquierda, bob, identifica el nombre de una máquina específica. Aparte del nombre del dominio, cada sección se llama zona, la cual define un espacio de nombre particular. Un espacio de nombre, controla los nombres de los subdominios de la izquierda. Aunque en el ejemplo solamente hay dos subdominios, un FQDN tiene que contener al menos un subdominio, pero puede incluir muchos más; depende de la organización del espacio de nombres elegido. Las zonas son definidas en servidores de nombres autorizados a través del uso de archivos de zona, lo cual describen el espacio de nombres de esa zona, los servidores de correo a ser utilizados por un dominio particular o subdominio, y más. Los archivos de zona son almacenados en servidores de nombres primarios (también llamados servidores de nombres maestro), los cuales son verdaderamente autorizados y donde los cambios se hacen a los archivos, y servidores de nombres secundarios (también llamados servidores de nombres esclavos), que reciben sus archivos de zona desde los servidores de nombres primarios. Cualquier servidor de nombres puede ser un servidor primario y secundario para zonas diferentes al mismo tiempo, y también pueden ser considerados autoritarios para múltiples zonas. Todo depende de cómo se configure el servidor de nombres Tipos de servidores de nombres Existen cuatro tipos de configuración de servidores de nombres primarios: Maestro — Almacena los registros de las zonas originales y de autoridad para un cierto espacio de nombres y responde a consultas sobre el espacio de nombres de otros servidores de nombres. Esclavo — Responde a las peticiones que provienen de otros servidores de nombres y que se refieren a los espacios de nombres sobre los que tiene autoridad. Sin embargo, los SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 79 servidores esclavos obtienen la información de sus espacios de nombres desde los servidores maestros. Sólo caché — ofrece servicios de resolución de nombres a direcciones IP pero no tiene ninguna autoridad sobre ninguna zona. Las respuestas en general se introducen en un caché por un período de tiempo fijo, la cual es especificada por el registro de zona recuperado. reenvío — Reenvía las peticiones a una lista específica de servidores de nombres para la resolución de nombres. Si ninguno de los servidores de nombres especificados puede resolver los nombres, la resolución falla. Un servidor de nombres puede ser uno o más de estos tipos. Por ejemplo, un servidor de nombres puede ser un maestro para algunas zonas, un esclavo para otras y sólo ofrecer el reenvío de resoluciones para otras. IV.2 Correo con privacidad mejorada (PEM) El correo electrónico por lo general se envía en Internet mediante el Protocolo Simple de Transferencia de Correo (SMTP, Simple Mail Transfer Protocol). Este protocolo es muy sencillo y transmite los datos a la vista. Además, puede usarse para trasmitir sólo textos ASCII. Si enviar un mensaje encriptado, debe usar medios indirectos. Primero debe encriptar el mensaje, con lo que lo convierte en archivo binario. Debido a que no puede usarse SMTP para trasmitir datos binarios sólo transmite datos de texto- tiene que codificar los datos binarios con texto. Una forma muy común de hacer esto en Internet es con una utilería llamada uuencode. El receptor del mensaje tiene que usar una utilería llamada uudecode para convertir el texto a su forma binaria encriptada original. Si el receptor conoce la clave, puede des encriptar el mensaje. Si bien es posible asegurar el correo a través del método que acabamos de esbozar, es incómodo y laborioso. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 80 Asimismo, está el problema de distribuir la clave a los receptores del mensaje. Si esto se debe hacer a través de Internet o de algún otro método de distribución. Un enfoque que ha atraído gran interés es el Correo de Privacidad Mejorada (PEM, Privacy En-hanced Mail), el cual constituye una forma de encriptar los mensajes de correo electrónico en forma automática, antes de que sean enviados. No hay procedimientos separados que haya queseguir para encriptar el mensaje de correo. Por lo tanto, aun si el mensaje es interceptado en unhost de distribución de correo, quien lo haga no podrá leerlo IV.3 MIME MIME es un estándar para criptografía de clave pública y firmada de correo electrónico encapsulado en MIME. MIME provee los siguientes servicios de seguridad criptográfica para aplicaciones de mensajería electrónica: autenticación, integridad y no repudio (mediante el uso de firma digital) y privacidad y seguridad de los datos (mediante el uso de cifrado) MIME especifica el tipo application/pkcs7-mime (tipo smime "envelopeddata") para envoltura de datos (cifrado): la entidad MIME completa a ser envuelta se cifra y se empaca en un objeto que luego se inserta en una entidad MIME application/pkcs7-mime. La funcionalidad S/MIME está construida en la mayoría de los clientes de correo electrónico modernos y son capaces de interoperar entre ellos. IV.4 PGP Pretty Good Privacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 81 PGP originalmente fue diseñado y desarrollado por Phil Zimmermann en 1991. El nombre está inspirado en el del colmado Ralph's Pretty Good Grocery de Lake Wobegon, una ciudad ficticia inventada por el locutor de radio Garrison Keillor. PGP combina algunas de las mejores características de la criptografía simétrica y la criptografía asimétrica. PGP es un criptosistema híbrido. Cuando un usuario emplea PGP para cifrar un texto plano, dicho texto es comprimido. La compresión de los datos ahorra espacio en disco, tiempos de transmisión y, más importante aún, fortalece la seguridad criptográfica. La mayoría de las técnicas de criptoanálisis explotan patrones presentes en el texto plano para craquear el cifrador. La compresión reduce esos patrones en el texto plano, aumentando enormemente la resistencia al criptoanálisis. Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará una vez. Esta clave es un número aleatorio generado a partir de los movimientos del ratón y las teclas que se pulsen durante unos segundos con el propósito específico de generar esta clave (el programa nos pedirá que los realicemos cuando sea necesario). Esta clave de sesión se usa con un algoritmo simétrico convencional (IDEA, Triple DES) para cifrar el texto plano. Una vez que los datos se encuentran cifrados, la clave de sesión se cifra con la clave pública del receptor (criptografía asimétrica). La clave de sesión cifrada se adjunta al texto cifrado y el conjunto es enviado al receptor. El descifrado sigue el proceso inverso. El receptor usa su clave privada para recuperar la clave de sesión, que PGP luego usa para descifrar los datos. La combinación de los dos métodos de cifrado permite aprovechar lo mejor de cada uno: el cifrado simétrico o convencional es mil veces más rápida que el asimétrico o de clave pública, mientras que éste, a su vez, provee una solución al problema de la distribución de claves en forma segura. Las llaves empleadas en el cifrado asimétrica se guardan cifradas protegidas por contraseña en el disco duro. PGP guarda dichas claves SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 82 en dos archivos separados llamados llaveros; uno para las claves públicas y otro para las claves privadas. AUTOEVALUACION 1.- ¿Qué es un DNS? 2.- ¿Cómo es el proceso de resolución de dominio? 3.- ¿Qué es FQDN? 4.- ¿Cuáles son los tipos de DNS? 5.-Describa con sus propias palabras ¿Que es PEM? 6.- Describa con sus propias palabras ¿Qué es SMTP? 7.- Describa con sus propias palabras ¿Qué es MINE? 8.- La utilería uuencode ¿Para qué nos sirve? 9.- ¿Qué es PGP? 10.- Describe el proceso de envió con seguridad PGP. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 83 CUADRO RESUMEN SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 84 VI. GLOSARIO Algoritmo de Encriptación o Cifrado: Sistema de encriptación (con mayor grado de sofisticación cada día) que permite mover información por las redes con seguridad. Existen varios algoritmos, a cuál más complejo y eficaz, destacando entre todos MD5, DES, DES2, RC3, RC4 y, sobre todo, el SSL (Secure Sockets Layer) de Netscape que, posiblemente, se convierta en el algoritmo que adopte definitivamente 'Internet'. Estos sofisticados algoritmos se caracterizan por sus claves de encriptación que oscilan entre 40 y 120 bits. Las claves de encriptación superiores a 40 bits no son legalmente exportables fuera de los EE.UU. por razones de seguridad. Application Program Interface (API): Conjunto de convenciones de programación que definen cómo se invoca un servicio desde un programa. ARP: Address resolution protocol. Protocolo utlizado en las redes de difusión para resolver la dirección de IP en base a la dirección de trama de capa 2. Clave privada: Es la clave que tan sólo nosotros conocemos y que utilizamos para desencriptar el mensaje que nos envían encriptado con nuestra clave pública. Este sistema de clave pública y clave privada se conoce como sistema asimétrico. Clave pública: Es la clave que hacemos que esté al alcance de todo el mundo para que nos puedan enviar un mensaje encriptado. También con ella pueden desencriptar lo que les enviemos encriptado con nuestra clave privada. Clave secreta: Es el código básico utilizado para encriptar y desencriptar un mensaje. Cuando se utiliza la misma para las dos funciones, estamos ante un sistema simétrico. Cliente: Un sistema o proceso que solicita a otro sistema o proceso que le preste un servicio. Una estación de trabajo que solicita el contenido de SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 85 un archivo a un servidor es un cliente de este servidor. Ver también: "client-server model", "server". Client-server model: (modelo cliente-servidor) Forma común de describir el paradigma de muchos protocolos de red. Cracker (intruso): Un "cracker" es una persona que intenta acceder a un sistema informático sin autorización. Estas personas tienen a menudo malas intenciones, en contraste con los "hackers", y suelen disponer de muchos medios para introducirse en un sistema. Criptoanálisis: La rama del conocimiento que se encarga de descifrar los mensajes encriptados sin conocer sus llaves. Se dice que determinada clave ha sido “rota” cuando alguien logra descifrar un mensaje sin conocer la clave que le dio origen. Criptografía: La rama del conocimiento que se encarga de la escritura secreta, originada en el deseo humano por mantener confidenciales ciertos temas. DES: abreviatura de Data Encryption Standard, un sistema desarrollado a fines de los años 70 y que se basa en el sistema de la llave única. DNS (Domain Name Service): Base de Datos distribuida que mapea nombres de sistemas con direcciones IP y viceversa. Dominio: Conjunto de computadoras que comparten una característica común, como el estar en el mismo país, en la misma organización o en el mismo departamento. Cada dominio es administrado por un servidor de dominios. Finger (dedo): Programa que muestra información acerca de un usuario específico, o acerca de todos los usuarios, conectado a un sistema o remoto. Habitualmente se muestra el nombre y apellidos, hora de la última conexión, tiempo de conexión sin actividad, línea del terminal y situación de éste. Puede también mostrar archivos de planificación y de proyecto del usuario. Filtro de Paquetes: Programa que intercepta paquetes de datos, los lee y rechaza los que no estén en un formato predefinido. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 86 Firewall: un sistema diseñado para evitar accesos no autorizados desde o hacia una red privada. Los Firewalls pueden estar implementados en hardware o software, o una combinación de ambos. Los firewalls son frecuentemente utilizados para evitar el acceso no autorizado de usuarios de internet a redes privadas conectadas a la misma, especialmente intranets. Todos los mensajes que dejan o entran a la red pasan a través del firewall, el cual examina cada mensaje y bloquea aquellos que no cumplan con determinado criterio de seguridad. Filtrado de paquetes: Examinar a cada paquete que deje o entre a la red, y aceptarlo o rechazarlo basado en reglas definidas por el usuario. El filtrado de paquetes es efectivo y transparente a los usuarios, pero es difícil de configurar. Adicionalmente, es suceptible a IP spoofing Gateway de aplicación: Aplica mecanismos de seguridad a aplicaciones específicas como FTP y Telnet. Es muy efectivo, pero puede provocar degradaciones de performance. Gateway a nivel de circuito: Aplica mecanismos de seguridad cuando una conexión TCP es establecida. Una vez establecida los paquetes circulan sin más inspección Proxy server: Intercepta todos los mensajes que entran y dejan la red. Un proxy server oculta en forma efectiva las direcciones reales de red. Ver proxy, proxy server. Firewall Router: Filtro de paquetes que filtra el tráfico en base a la dirección destino y fuente. FTP (File Transfer Protocol): Protocolo parte de la arquitectura TCP/IP utilizado para la transferencia de archivos. Fully Qualified Domain Name (FQDN) (Nombre de Dominio Totalmente Cualificado): El FQDN es el nombre completo de un sistema y no sólo el nombre del sistema. Por ejemplo, "venus" es un nombre de sistema y "venus.sfp.gov.ar" es un FQDN. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 87 Gateway a Nivel de Aplicación: Programas escritos especialmente que proveen una barrera de seguridad interpretando los datos producidos por aplicaciones tal como pasan por el firewall. (Ver firewall) Gateway a Nivel de Circuito: Barrera que intercepta sesiones TCP interponiendo aplicaciones especialmente escritas que leen y copian los datos a través del Firewall. (Ver firewall) Hacker: Persona que tiene un conocimiento profundo acerca del funcionamiento de redes y que puede advertir los errores y fallas de seguridad del mismo. Al igual que un cracker busca acceder por diversas vías a los sistemas informáticos, pero con fines de protagonismo. Header (cabecera): Parte inicial de un paquete, que precede a los datos propiamente dichos y que contiene las direcciones de origen y destino, control de errores y otros campos. Una cabecera es también la porción de un mensaje de correo electrónico que precede al mensaje propiamente dicho y contiene, entre otras cosas, el emisor del mensaje, la fecha y la hora. Host (sistema central): Computador que permite a los usuarios comunicarse con otros sistemas centrales de una red. Los usuarios se comunican utilizando programas de aplicación, tales como el correo electrónico, Telnet y FTP. HTML: Lenguaje de marcado de hipertexto, (Hiper-Text Markup Languaje) es el lenguaje con que se escriben los documentos en el World Wide Web. A la fecha existen tres versiones de HTML. HTML 1, se sientan las bases para la disposición del texto y las gráficas, HTML 2 donde se agregan formas y HTML 3 (llamado también extensiones Netscape) donde se añaden tablas, mapas, etc. HTTP: Protocolo de Transferencia de Hipertextos (Hiper-Text Transfer Protocol). Es el protocolo usado por el Word Wide Web para transmitir páginas HTML. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 88 IMAP: Protocolo de Acceso a Mensajes de Internet (Internet Message Access Protocol). Protocolo diseñado para permitir la manipulación de mailboxes remotos como si fueran locales. IMAP requiere de un servidor que haga las funciones de oficina de correos pero en lugar de leer todo el mailbox y borrarlo, solicita sólo los encabezados de cada mensaje. Se pueden marcar mensajes como borrados sin suprimirlos completamente, pues estos permanecen en el mailbox hasta que el usuario confirma su eliminación. Intranet: Una red privada dentro de una compañía u organización que utiliza el mismo software que se encuentra en Internet, pero que es solo para uso interno. IP address: (Dirección IP) Dirección de 32 bits definida por el Protocolo Internet en STD 5, RFC 791. Se representa usualmente mediante notación decimal separada por puntos. Java: Un lenguaje de programación que permite ejecutar programas escritos en un lenguaje muy parecido al C++, llamados applets, a través del World Wide Web. La diferencia contra un CGI es que la ejecución se realiza totalmente en la computadora cliente, en lugar del servidor. Java fue originalmente desarrollado por Sun Microsystems. El principal objetivo de JAVA fue hacer un lenguaje que fuera capaz de ser ejecutado de una forma segura a través de Internet. Esta característica requiere la eliminación de muchas construcciones y usos de C y C++. El más importante es que no existen punteros. Java no puede acceder arbitrariamente a direcciones de memoria. Java es un lenguaje compilado en un código llamado "codigo-byte" (byte-code). Este código es interpretado "en vuelo" por el intérprete Java. Local Area Network (LAN) (Red de Area Local): Red de datos para dar servicio a un área geográfica pequeña, un edificio, por ejemplo, por lo cual mejorar los protocolos de señal de la red para llegar a velocidades de transmisión de hasta 100 Mbps (100 millones de bits por segundo). Mail gateway: (pasarela de correo) Máquina que conecta entre sí a dos o más sistemas (incluso diferentes) de correo electrónico y transfiere SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 89 mensajes entre ellos. A veces, la transformación y traducción pueden ser muy complejas. MAN: Metropolitan Area Network. Red de Area Metropolitana. MIME. Extensiones de Correo de Internet de Múltiples propósitos (Multipurpose Internet Mail Extensions) Técnica para codificar archivos y anexarlos a un mensaje de correo electrónico. Permite principalmente enviar archivos binarios como parte de un mensaje. MTA: Agente para el transporte de correo electrónico (Mail Transport Agent) son programas que se encargan de distribuir los mensajes generados en el sistema. El más popular es el llamado sendmail, distribuido con sistemas UNIX. MTU: Maximum Transmission Unit. Unidad Máxima de Transmisión. Tamaño máximo de paquete en protocolos TCP/IP como el PPP. PAP: Password Authentication Protocol. Protocolo de Autentificación por Password. Protocolo que permite al sistema verificar la identidad del otro punto de la conexión mediante password. PEM: Private Enhanced Mail. Correo Privado Mejorado. Sistema de correo con encriptación. PGP: Pretty Good Privacity. Paquete de encriptación basado en clave pública escrito por Phil Zimmerman. Packet internet Groper (PING) (Búsqueda de Direcciones de Internet) Programa que se utiliza para comprobar si un destino está disponible. POP: Protocolo de Oficina de Correos (Post Office Protocol) Programa cliente que se comunica con el servidor, identifica la presencia de nuevos mensajes, solicita la entre de los mismos. PPP Protocolo Punto a Punto (Point to Point Protocol): Implementación de TCP/IP por líneas seriales (como en el caso del módem). Es más reciente y complejo que SLIP. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 90 Protocolo: Descripción formal de formatos de mensaje y de reglas que dos computadores deben seguir para intercambiar dichos mensajes. Proxy: Una substitución de direcciones, usado para limitar la información de direcciones disponibles externamente. Proxy Server: Un server que se sitúa entre la aplicación cliente, como por ejemplo un web browser, y un server real. Intercepta todos los requerimientos al server real para ver si las puede resolver él. Si no, envía el requerimiento al server real. Los proxys servers tienen dos propósitos principales: Mejorar la perfomance: Los proxy server mejoran la perfomance de un grupo de usuarios, ya que guardan los resultados de los requerimientos de los mismo una determinada cantidad de tiempo. Considerese el caso en que los usuarios A y B acceden a WWW a través de un proxy server. El usuario A accede una determinada página web, que llamaremos por ejemplo página 1. Algún tiempo despues, el usuario B accede a la misma página. En vez de enviar el requerimiento al server en donde reside la página 1, lo cual puede ser una operación lenta, el proxy server retorna la página 1 que había buscado para el usuario A, la cual fue convenientemente guardada en caché. Como el proxy server está usualmente en la misma red que el usuario, esta operación es mucho más rápida. Filtrar requerimientos y/o registrarlos: Los proxys servers pueden además evitar que se accedan a determinados web sites, y registrar en un log los lugares accedidos. Permitir el acceso seguro de intranets a internet: En este caso los usuarios de la intranet acceden a internet a través del proxy, el cual tiene direcciones “reales” de internet mientras que los usuarios de la intranet están en direcciones privadas, aislados y seguros de la internet. RARP: Reverse Address Resolution Protocol. Protocolo de Resolución de Dirección de Retorno. Protocolo de bajo nivel para la asignación de direcciones IP a máquinas simples desde un servidor en una red física. Repeater (repetidor): Un repetidor simplemente reexpide bits de una red hacia otra, haciendo que las dos se vean lógicamente como una sola red. A menudo las redes se dividen en dos o más piezas, como SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 91 consecuencias de las restricciones de máxima longitud de cable de cada pieza individual. Los repetidores son poco inteligentes (no hay software), sólo copian bits ciegamente. Request For Comments (RFC) (Petición de comentarios) :Serie de documentos iniciada en 1969 que describe el conjunto de protocolos de Internet. No todos los rfcs (en realidad muy pocos de ellos) describen estándares de Internet, pero todos los estándares Internet están escritos en forma de rfcs. La serie de documentos RFC es inusual en cuanto los protocolos que describen son emitidos por la comunidad Internet que desarrolla e investiga, en contraste con los protocolos revisados y estandarizados formalmente que son promovidos por organizaciones como la ITU. Router (direccionador): Dispositivo que distribuye tráfico entre redes. La decisión sobre a dónde enviar se realiza en base a información de nivel de red y tablas de direccionamiento. El router se necesita cuando las dos redes utilizan la misma capa de transporte y tienen diferentes capas de red. Por ejemplo, para una conexión entre una red local ethernet y una red pública X.25, se necesitaría un router para convertir las tramas ethernet a la forma que exige la red X.25. De esta manera la definición teórica del router es la de un dispositivo que cubre hasta la capa 3 del modelo OSI, aunque en la práctica, cubren hasta la 4 (transporte) ya que inspeccionan las sesiones y los ports utilizados, para filtrar tráfico mediante access-lists, por ejemplo. Los Routers tienen amplio soporte para protocolos LAN y WAN, y además cuentan con diferentes interfaces de esos tipos. Son equipos con un tiempo medio de falla muy alto, confiables, y que una vez configurados requieren muy poco mantenimiento. Poseen características que hacen que rara vez deban ser detenidos, por ejemplo, mantenimiento del software y actualización del mismo sin características tales como placas “hot swap”, esto es, pueden ser cambiadas sin detener el equipo, y fuentes de alimentación redundantes. SATAN: Security Analysis Tool for Auditing Networks. Herramienta de Análisis de Seguridad para la Auditoria de Redes. Conjunto de SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 92 programas escritos por Dan Farmer junto con Wietse Venema para la detección de problemas relacionados con la seguridad. S-HTTP: Secure HTTP. HTTP seguro. Protocolo HTTP mejorado con funciones de seguridad con clave simétrica. SMTP: Simple Mail Transfer Protocol. Protocolo de Transferencia Simple de correo. Es el protocolo usado para transportar el correo a través de Internet. SSL: Secure Sockets Layer. Capa de Socket Segura. Protocolo que ofrece funciones de seguridad a nivel de la capa de transporte para TCP. STT: Secure Transaction Technology. Tecnología de Transacción Segura. Sistema desarrollado por Microsoft y Visa para el comercio electronico en Internet. TCP: Transmission Control Protocol. Protocolo de control de Transmisión. Uno de los protocolos más usados en Internet. Es un protocolo de capa de transporte. TCP/IP (Transmission Control Protocol/Internet Protocol): Arquitectura de red desarrollada por la “Defense Advanced Research Projects Agency" en USA, es el conjunto de protocolos básicos de Internet o de una Intranet. Telnet: Telnet es el protocolo estándar de Internet para realizar un servicio de conexión desde un terminal remoto. Está definido en STD 8, RFC 854 y tiene opciones adicionales descritas en muchos otros RFCs Texto plano: se llama así al documento antes de ser encriptado. (Plain Text) Trojan Horse (Caballo de troya): Programa informático que lleva en su interior la lógica necesaria para que el creador del programa pueda acceder al interior del sistema que lo procesa. UDP: Protocolo de Datagramas de usuario (User Datagram Protocol). Protocolo que no pide confirmación de la validez de los paquetes enviados por la computadora emisora. Este protocolo es actualmente SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 93 usado para la transmisión de sonido y vídeo a través de Internet. El UDP está diseñado para satisfacer necesidades concretas de ancho de banda, como no reenvía los datos perdidos, es ideal para el tráfico de voz digitalizada, pues un paquete perdido no afecta la calidad del sonido. URL: Localizador Uniforme de recursos (Uniform Resorce Locator). Sistema de direccionamiento estándar para archivos y funciones de Internet, especialmente en el Word Wide Web. El url está conformado por el servicio (p. e. http://) más el nombre de la computadora (p. e. www.sfp.gov.ar ) más el directorio y el archivo referido. WAN: Wide Area Network. Red de Area Extensa. WWW, WEB o W3: World Wide Web: Estrictamente que la WEB es la parte de Internet a la que accedemos a través del protocolo HTTP y en consecuencia gracias a Browsers normalmente gráficos como SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 94 VII. BIBLIOGRAFÍA BÁSICA Redes de Telecomunicaciones Protocolos modelado y análisis Mischa Schwartz Ed. Addison Wesley Iberoamericana. Redes de ordenadores Andrew S. Tanenbaum 2da. Y 3 ra. Edición Ed. Prentice Hall Iberoamericano Carranza Torres, Martín. Problemática Jurídica del Software Libre. Argentina, Lexis Nexis, 2012 SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 95 VIII. ACTIVIDADES DE APLICACIÓN UNIDAD I FUNDAMENTOS DE LA SEGURIDAD EN REDES 1. 1.- Elabore un cuadro de resumen sobre las diferentes variantes de hacker, craker y pitas donde incluya su principal activad y peligrosidad en la red. 2. 2.- Elabore una investigación sobre las políticas de seguridad en dos empresas, realice un cuadro comparativo de ambas empresas y emita un resultado sobre las diferentes políticas que deberían implementar para mejor. UNIDAD II MECANISMOS DE SEGURIDAD 1. Realice una investigación sobre las principales amenazas de una red y elabore e un diagrama, en el cual debe contemplara lo siguiente: la amenaza, vulnerabilidad, nivel de riesgo y su tratamiento. 2. Elabore un manual con capturas de pantalla en una máquina virtual de Linux CentOS, donde instale y genere 10 reglas con iptables. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 96 UNIDAD III SEGURIDAD EN REDES INALAMBRICAS 1. Elabore un manual sobre la instalación de una tarjeta de red inalámbrica sobre un sistema Linux centos. 2. Realice una investigación sobre portales cautivos mediante WIFI y elabore un manual con capturas de pantallas en un servidor centOSx UNIDAD IV DESARROLLO DE CASO EN SEGURIDAD EN CORREO ELECTRÓNICO 1. Elabore un manual con capturas de pantallas sobre la instalación de un DNS local en una máquina virtual con lunix Centos X y dos clientes conectados con diferentes sistemas operativos. 2. Elabore un manual con capturas de pantallas sobre la instalación de un correo electrónico en un servidor local con centOS x. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL FMIC UNIVERSIDAD MEXICANA DE EDUACIÓN A DISTANCIA 97 Todos los derechos reservados bajo las sanciones establecidas en las Leyes de Derecho de Autor y Propiedad Industrial, queda rigurosamente prohibida, sin autorización escrita de los titulares de copyright, la reproducción total o parcial de esta obra por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático, así como la distribución de ejemplares mediante alquiler o préstamo públicos. Esta edición consta de 100 ejemplares más sobrantes para su reposición. SEGURIDAD EN REDES DE COMPUTADORAS ING. ABEL R. AVALOS BECERRIL