1. Manuel Carrasco Moñino
Seguridad en redes de
computadores
UAH
Ciclos de conferencias
El futuro está en las aulas
Abril-2003
manolo@hotelsearch.com
2. Seguridad en
Redes de
Computadores
Seguridad
Necesidad de seguridad
La seguridad es una preocupación importante en las
empresas.
Controles de acceso, credenciales, procedimientos,
guardias, alarmas...múltiples actuaciones con un
objetivo: PROTECCIÓN DE LA INFORMACIÓN.
La seguridad va más allá de la seguridad en el
tránsito o almacenamiento de los datos en la red.
Manuel Carrasco Moñino
2
3. Seguridad en
Redes de
Computadores
Seguridad
Necesidad de seguridad
Las posibles amenazas para nuestros datos son muy
variadas:
• Integridad de los datos.
• Robo de información.
• Integridad de los sistemas y equipos ....
El anonimato provisto por las redes (Internet) facilita la
acción de hackers y otros delincuentes.
La solución es la implementación de POLITICAS DE
SEGURIDAD.
Manuel Carrasco Moñino
3
4. Seguridad en
Redes de
Computadores
Seguridad
Políticas de de seguridad
Todas las empresas deben contar con una política
general de seguridad.
Su diseño se basa en:
• Evaluación de riesgos.
• Creación de planes acordes con el nivel de seguridad a implementar.
Toda política de seguridad debe ser proporcional a la
jerarquía de los datos que vamos a proteger.
Manuel Carrasco Moñino
4
5. Seguridad en
Redes de
Computadores
Seguridad
Políticas de de seguridad
Evaluación de riesgos en SERVIDORES:
• Mantenerlos en operación continua.
• Que la información en ellos no sea alterada sin autorización.
• Que sólo sea visible por quien debe verla.
Evaluación de riesgos en la RED:
• La información no debe ser observada ni modificada en la red.
• La identidad de la estación cliente o servidor no debe ser suplantada.
• La identidad del usuario no debe ser suplantada.
Evaluación de riesgos en ESTACIONES CLIENTE:
• Las estaciones clientes son quizás el punto más débil en la seguridad
• No importa cuan segura sea la red o los servidores, en las estaciones
clientes la información está completamente abierta.
Manuel Carrasco Moñino
5
6. Seguridad en
Redes de
Computadores
Seguridad
Políticas de de seguridad
La seguridad se opone muchas veces a la fluidez
operativa de una empresa pero .....
La implementación parcial de seguridad puede dar una
impresión de FALSA seguridad
• Ejemplo: La instalación de un firewall, sin medidas anexas
El objetivo de una politica de seguridad no es solo evitar
intrusos en nuestra red.
• El principal riesgo de una red viene de los usuarios internos!
Manuel Carrasco Moñino
6
7. Seguridad en
Redes de
Computadores
Seguridad
Políticas de de seguridad
Conclusión: en nuestra política de seguridad
tenemos que evaluar aspectos tales como:
• Asegurar el acceso físico a los servidores.
• Almacenar respaldos en medios protegidos (técnicas de backup).
• Usar los elementos de seguridad provistos por los S.O.
• Usar elementos de seguridad, tales como firewalls, técnicas de
encriptación, servidores de autentificación.
• Verificar la identidad del usuario que accede al servidor.
• Verificar la identidad del servidor hacia el usuario.
• Restringir accesos a servicios no autorizados, basados en la identidad
delos usuarios.
• Mantener registro de las transacciones, para la no repudiación de las
transacciones.
• Utilizar antivirus en estaciones cliente o servidores.
Manuel Carrasco Moñino
7
8. Seguridad en
Redes de
Computadores
Seguridad
Políticas de seguridad
Una vez definidas las políticas y procedimientos,
existen varias tecnologías de uso muy frecuente.
TECNOLOGÍAS DE SEGURIDAD:
• FIREWALLS.
• SISTEMAS DE AUTENTIFICACIÓN.
• SISTEMAS DE ENCRIPTACIÓN.
• ANTIVIRUS.
Manuel Carrasco Moñino
8
9. Seguridad en
Redes de
Computadores
FIREWALLS
Función del firewall
Un firewalls es un host con varios interfaces de red
que es capaz de filtrar el tráfico de datos en bases a
diversos criterios (reglas).
Se utilizan para definir segmentos protegidos en una
red. Separan a los hots sin privilegios, de los
servicios y estaciones (normalmente servidores)
considerados como protegidos.
Las reglas o criterios de filtrado se dan por
protocolos, direcciones IP y tipos de servicio (nº de
puerto).
• Ejemplo: una posible regla puede ser permitir sólo la salida de FTP, pero
no FTP desde el exterior hacia la empresa.
Manuel Carrasco Moñino
9
10. Seguridad en
Redes de
Computadores
FIREWALLS
Tipos de firewalls
Un buen firewall, tiene por defecto la regla de bloquear todo lo
que no sea explícitamente autorizado.
Pueden consistir en un software corriendo en un servidor, o
en un dispositivo hard dedicado exclusivamente al filtrado.
Si son servidores, se recomienda que sean dedicados, y
‘hardened’.
Los ‘appliances’ son considerados más seguros.
Desde el punto de vista funcional hay dos tipos básicos de
firewalls:
• Packet Filtering.
• Proxy Firewalls.
Manuel Carrasco Moñino
10
11. Seguridad en
Redes de
Computadores
FIREWALLS
Packet filtering firewalls
Un firewall de packet filtering analiza los paquetes
que ‘transitan’ entre sus interfaces de red y, de
acuerdo a sus reglas, deja proseguir al paquete o lo
descarta.
Las estaciones, para los paquetes autorizados, están
conectados extremo a extremo.
Packet filtering es más simple, menos seguro, e
implementable como función adicional en algunos
routers (listas de acceso en routers Cisco, por
ejemplo).
Manuel Carrasco Moñino
11
12. Seguridad en
Redes de
Computadores
FIREWALLS
Proxy firewalls
Un software en el firewall emula a la estación final,
respondiendo por ella a la red. Permite analizar
reglas de capas más altas, y filtrar tráfico por
conceptos más complejos.
Los proxys están asociados a servicios específicos:
proxy de email, de telnet, de ftp,etc
Un proxy de email, por ejemplo puede analizar el
contenido de un email, buscando elementos de
riesgo, como comandos peligrosos, o attachments
no autorizados (por ejemplo archivos .exe, macros
de Excel etc.).
Manuel Carrasco Moñino
12
13. Seguridad en
Redes de
Computadores
FIREWALLS
Implementaciones reales
Los firewall reales son una combinación de proxys y
packet filtering.
Diseño de tres zonas controladas por el firewall:
• ZONA EXPUESTA (WAN): es directamente accesible desde Internet, por
lo que no debe instalarse en ella ningún servidor o aplicación.
• ZONA DESMILITARIZADA (DMZ): sólo ciertos servicios son directamente
accesibles desde Internet. Es una zona parcialmente protegida por el
firewall, y es potencialmente susceptible de ataque. Sus servicios deben de
ser securizados y auditados.
• ZONA PROTEGIDA (LAN): no se permite ningún tipo de entrada, con lo
que es imposible que sufra ataques.
Los firewall reales son una combinación de proxys y
packet filtering.
Manuel Carrasco Moñino
13
14. Seguridad en
Redes de
Computadores
FIREWALLS
Implementaciones reales
WAN, Internet
WAN, Internet
CORTAFUEGOS
FIREWALL DMZ
DMZ
Prohibido
Controlado
Permitido
LAN
LAN
Manuel Carrasco Moñino
14
15. Seguridad en
Redes de
Computadores
FIREWALLS
Implementaciones reales
Un aspecto importante es la configuración correcta
del protocolo NAT (Network Address Translation).
La secuencia de filtrado sería la siguiente:
FILTRADO
FORWARD
Mangle/Nat Mangle/Nat
PRE POST
ROUTING FILTRADO FILTRADO ROUTING
IN OUT
Manuel Carrasco Moñino
15
16. Seguridad en
Redes de
Computadores
FIREWALLS
Implementaciones reales
Ejemplo de tabla NAT en un firewall
Descripción Antes de aplicar NAT Después de aplicar NAT
Origen Destino Origen Destino
Entrada InternetDMZ (desde Internet cambiamos destino)
WWW Dir. Publica: Dir. Publica:80 Dir. Publica Dir.Privada:80
SMTP Dir. Publica Dir. Publica:25 Dir. Publica Dir.Privada:25
FTP Dir. Publica Dir. Publica:21 Dir. Publica Dir.Privada:21
IMAP4 Dir. Publica Dir. Publica:145 Dir. Publica Dir.Privada:145
Salida (hacia Internet cambiamos origen)
LANInternet Dir. Privada Dir. Publica Dir. Publica Dir. Publica
DMZInternet Dir. Privada Dir. Publica Dir. Publica Dir. Publica
Manuel Carrasco Moñino
16
17. Seguridad en
Redes de
Computadores
FIREWALLS
Implementaciones reales
Ejemplo de tabla de filtrado en un firewall:
ORIGEN DESTINO POLÍTICA
RUTAS PROHIBIDAS
INTERNET FIREWALL PROHIBIDO
INTERNET LAN PROHIBIDO
DMZ LAN PROHIBIDO ***
DMZ FIREWALL PROHIBIDO
LAN INTERNET PROHIBIDO
RUTAS PERMITIDAS
DMZ INTERNET PERMITIDO
LAN DMZ PERMITIDO
RUTAS CONTROLADAS
LAN FIREWALL CONTROLADO
SSH, GESTION FIREWALL
INTERNET DMZ CONTROLADO SMTP, HTTP, HTTPS, SSH
Manuel Carrasco Moñino
17
18. Seguridad en
Redes de
Computadores
SISTEMAS DE AUTENTIFICACIÓN
Sistemas de autentificación
Permiten identificar a quién accede a un servicio,
sistema o recurso. Así, al acceder a un servicio, los
privilegios del usuario estarán dados por su
identidad.
Hay distintos grados de calidad del servicio de
autentificación, dependiendo de la cantidad de
factores:
• 1 FACTOR: Saber algo (login y passwords).
• 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).
Manuel Carrasco Moñino
18
19. Seguridad en
Redes de
Computadores
SISTEMAS DE AUTENTIFICACIÓN
Sistemas de autentificación
Permiten identificar a quién accede a un servicio,
sistema o recurso. Así, al acceder a un servicio, los
privilegios del usuario estarán dados por su
identidad.
Hay distintos grados de calidad del servicio de
autentificación, dependiendo de la cantidad de
factores:
• 1 FACTOR: Saber algo (login y passwords). Este sistema es el mas usado,
ya que es fácil y económico de implementar. También es el mas
vulnerable.
• 2 FACTORES: Saber y tener algo (PIN y tarjeta de acceso).
Manuel Carrasco Moñino
19
20. Seguridad en
Redes de
Computadores
SISTEMAS DE AUTENTIFICACIÓN
Administración de password
Las passwords se gestionan desde servidores de
autentificación, mediante una base de datos única, con los
datos de los usuarios, sus password y sus privilegios (ejemplo:
LDAP).
El servidor de autentificación es consultado por el resto de los
servidores o equipos de acceso.
Pueden usarse bases de usuarios de S.S.O.O. estándares
(ejemplos: Novell o un servidor de dominios de NT).
Se han creado protocolos para interactuar entre la estación
cliente, y el servidor de autentificación. (PAP, CHAP,
TACACS+, RADIUS).
Los protocolos incluyen alguna técnica de encriptación, para
evitar que las passwords puedan ser observadas mientras
viajan por la red o cuando están almacenados en el server.
Manuel Carrasco Moñino
20
21. Seguridad en
Redes de
Computadores
SISTEMAS DE ENCRIPTACIÓN
Sistemas de encriptación
La criptografía es un conjunto de técnicas de
protección de datos basadas en hacer “ilegibles” los
datos ante accesos no autorizados a ellos.
Para encriptar, se usa una ‘clave’ de encriptación.
El propósito de la criptografía es hacer que la tarea
de descifrar los datos sea tecnológicamente
inasequible para un acceso no autorizado (que no
conoce la clave).
INFORMACIÓN INFORMACIÓN
ENCRIPTACIÓN
FUENTE CIFRADA
Manuel Carrasco Moñino
21
22. Seguridad en
Redes de
Computadores
SISTEMAS DE ENCRIPTACIÓN
Sistemas de encriptación
Existen dos tipos de técnicas criptográficas para
cifrar datos:
• Algoritmos de CLAVE PRIVADA (algoritmos SIMÉTRICOS).
• Algoritmos de CLAVE PÚBLICA (algoritmos ASIMÉTRICOS).
Normalmente se utilizan de forma conjunta para
realizar transmisión de datos segura, ya que las
cualidades de ambos son complementarias.
Manuel Carrasco Moñino
22
23. Seguridad en
Redes de
Computadores
SISTEMAS DE ENCRIPTACIÓN
CLAVE PRIVADA
Utiliza algoritmos de encriptación simétricos.
La clave que utilizamos para cifrar los datos es la
única que es capaz de descifrarlos.
Por lo tanto, toda su seguridad se basa en la
privacidad de la clave de encriptación.
Son simples y rápidos
Adolecen de una debilidad: debe compartirse de
alguna forma segura la clave entre las partes que
intervienen en la transmisión de datos.
Ejemplos: DES, triple DES, RC2, RC4...
Manuel Carrasco Moñino
23
24. Seguridad en
Redes de
Computadores
SISTEMAS DE ENCRIPTACIÓN
CLAVE PÚBLICA
Utiliza algoritmos de encriptación simétricos.
La clave que utilizamos para cifrar los datos NO ES
LA MISMA que es capaz de descifrarlos.
Matemáticamente se basan en la dificultad de
factorizar números primos muy grandes.
Los algoritmos de llave pública son bastante lentos
de calcular, lo que limita su uso.
Se usan esquemas mixtos, en que se usa la clave
pública para transferirse la clave secreta, que se
usará durante la sesión para encriptar los datos.
Proporcionan integridad en los datos y
AUTENTICACIÓN del origen de los datos.
Manuel Carrasco Moñino
24
25. Seguridad en
Redes de
Computadores
SISTEMAS DE ENCRIPTACIÓN
CLAVE PÚBLICA
Proceso de dotar de integridad a los datos:
• Quien desee recibir mensajes cifrados, puede publicar una de las llaves,
que pasa a ser su llave pública.
• Quién desee enviar un mensaje a esta persona, cifra los datos con su llave
pública.
• Sólo la clave secreta descifra este mensaje.
• De esta manera, se elimina el problema de tener que comunicar la llave.
Proceso de autentificación del origen de los datos:
• Si encripto un mensaje con mi clave secreta, y alguien lo abre con mi clave
pública, este mensaje no será particulármente seguro, pero él estará
seguro que yo fuí quién generó el mensaje.
• Las llaves públicas pueden utilizarse para crear ‘firmas digitales’, que son
una forma segura de autentificación.
Ejemplos:RSA, DSS...
Manuel Carrasco Moñino
25
26. Seguridad en
Redes de
Computadores
SISTEMAS DE ENCRIPTACIÓN
PROTOCOLOS SEGUROS I
Protocolos de transmisión de datos segura basados
en la encriptación:
Para correo electrónico:
• PGP (Pretty Good Privacy) para email (usa IDEA).
• S/MIME (Secure/Multipurpouse Internet Mail Extensions).
Para confidencialidad, autentificación, integridad y no
repudio, se han desarrollado:
• SSL (Secure Sockets Layer)
• PCT desarrollado por Microsoft (Private Communications Technology)
• S-HTTP (Secure Http): No se usa, por falta de soporte en los browsers.
• SET: Desarrollado por los administradores de tarjetas de crédito, para
encriptar los datos de la tarjeta. No ofrece seguridad para el resto de los
datos en la comunicación.
• IPSEC: Desarrollado por el IETF (Internet Engineering Task Force) para
proveer confidencialidad extremo a extremo, del tipo VPN. Es parte integral
de IPv6.
Manuel Carrasco Moñino
26
27. Seguridad en
Redes de
Computadores
SISTEMAS DE ENCRIPTACIÓN
SSL
SSL es una capa de software entre TCP/IP y la capa
de aplicación.
SSL provee
• Autentificación y no repudiación del server, usando firmas digitales.
• Autentificación del cliente, usando firmas digitales.
• Confidencialidad de los datos usando encriptación.
• Integridad de los datos, usando codigos de autentificación.
SSL está integrada en los web browsers, y en los
security enabled web servers.
SSL negocia el protocolo de encriptación.
Es el protocolo más usado.
Manuel Carrasco Moñino
27