SlideShare uma empresa Scribd logo

Desarrollo fii s3

Transferir como DOC, PDF
S
svaclaro
1 de 8
PLAN DE CAPACITACION CANAL DIRECTO FASE II Capacitación 03 Concepto y Uso de Firewalls Descripción: Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
Ventajas: • Establece perímetros confiables. • Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet. • Protección de información privada.- Permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tenga acceso sólo a los servicios e información que le son estrictamente necesarios. • Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad. Limitaciones: Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos: • Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. • El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. • El cortafuegos no puede proteger contra los ataques de ingeniería social 1. • El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. • El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet. (1) En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. Políticas: Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: • Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. • Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.
Un poco de historia El término "firewall / fireblock" se refería originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad que se produjo a finales de los 80: • Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. • Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. • En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." • El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. Generaciones de Cortafuegos Primera generación – Cortafuegos de Red: filtrado de paquetes El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros de Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos…).
El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS): Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso “Telnet”, bloqueará el protocolo IP para el número de puerto 23. Segunda generación - Cortafuegos de aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. Tercera generación – Cortafuegos de estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación de cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos puede ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
Seguridad en Redes GSM Un “hacker” descifra el código de cifrado del sistema GSM • Su objetivo es advertir de la debilidad en las comunicaciones móviles … • El consorcio de la industria que escribió el código dice que es ilegal … Europa Press | Berlín martes 29/12/2009 14:47 horas Karsten Nohl, un ingeniero alemán de 28 años, ha conseguido descifrar con éxito el código de seguridad que encripta el 80% de las llamadas realizadas desde cualquier teléfono móvil del planeta. Se trata de la red GSM. Nohl afirma que su objetivo es advertir de la debilidad en las comunicaciones móviles, aunque expertos en seguridad advierten de que cualquier organización criminal podrá interceptar llamadas en cuestión de minutos al hacerse público el código. "Esto demuestra que la seguridad actual del estándar GSM es inadecuada. Con esta acción estamos intentando empujar a los operadores a que adopten mejores medidas de seguridad para las llamadas efectuadas desde teléfonos móviles", declaró Kohl durante el 'Chaos Communication Congress', una conferencia para 'hackers' celebrada en Berlín. … http://www.elmundo.es/elmundo/2009/12/29/navegante/1262094278.html En 1982 se creó un nuevo grupo de estandarización dentro del CEPT (Conférence Européene de Postes et Télécommunications), cuya tarea sería la especificación de un sistema europeo único de radiocomunicaciones en la banda de 900MHz. Tres fueron los objetivos fundamentales que empujaron a emprender esta tarea: - Disponer de un sistema de comunicaciones móviles común a toda Europa permitiendo la movilidad internacional y la reducción de costos gracias a la gran extensión del mercado. - Superar la capacidad de los sistemas móviles precedentes desbordados por una demanda infravalorada. - Aprovechar el estado del arte de la electrónica digital. Aparte de estos tres grandes objetivos, las principales ventajas que presenta GSM sobre los sistemas analógicos de primera generación son fundamentalmente las siguientes: - Disminución de costos de fabricación por un mayor tamaño del mercado. - Integración de voz y datos gracias a la digitalización de las transmisiones de radio. - Mejora de parámetros, tales como calidad de voz y handover. - Roaming Internacional automático
- Acceso por tarjeta inteligente. Permite la utilización de cualquier terminal por parte de cualquier usuario introduciendo el concepto de movilidad personal. - Compatibilidad RDSI - Menor consumo del terminal. Permite utilizar terminales más ligeros. Los servicios de datos son una parte integral del sistema por el carácter digital del enlace de radio. Esto permite garantizar confidencialidad de la información del usuario mediante cifrado en el enlace de radio. Se garantiza el control de acceso a los servicios mediante el uso también de técnicas criptográficas y se permite independizar el terminal y la suscripción del usuario gracias a la utilización de un módulo de personalización (SIM), que puede ser extraíble en la forma de tarjeta inteligente estándar. Las funcionalidades de seguridad presentes en un sistema GSM se pueden clasificar en tres apartados: Autentificación del usuario para prevenir el acceso de usuarios no registrados. Protección de la identidad del usuario para imposibilitar el seguimiento de su localización por parte de terceros. Cifrado en el radioenlace de toda la información del usuario, y de algunos elementos de señalización, para prevenir escuchas por parte de un tercero. Identidad Al abonado se le identifica de forma única utilizando la Identidad de Abonado Móvil Internacional (IMSI). Esta información, junto con la clave individual de autenticación de abonado (Ki) constituyen las "credenciales de identificación" sensibles. El diseño de los esquemas de cifrado y autenticación es tal que esta información sensible nunca se transmite por el canal de radio. En su lugar se utiliza un mecanismo de "desafio- respuesta" para realizar la autenticación. Las conversaciones reales se cifran utilizando una clave temporal de cifrado generada aleatoriamente (Kc). La Estación Móvil (MS) se identifica por medio de la Identidad Temporal de Abonado Móvil (TMSI) que emite la red y puede cambiarse periódicamente (por ejemplo durante momentos de no intervención "hand-offs") para mayor seguridad. Los mecanismos de seguridad de GSM se implementan en tres elementos diferentes del sistema: 1. El Modulo de Identidad del Abonado (SIM) 2. El Aparato portátil GSM también denominado Estación Móvil (MS) 3. La Red GSM La SIM contiene la IMSI, la clave individual de autenticación del abonado (Ki), el algoritmo de generación de claves de cifrado (A8), el algoritmo de autenticación (A3) y el Número de Identificación Personal (PIN). El aparato GSM (portátil) contiene el algoritmo de cifrado (A5). Los algoritmos de cifrado (A3, A5 y A8) también están presentes en la red GSM. El Centro de Autenticación (AUC), parte del Subsistema de Operación y Mantenimiento de la red GSM consta de una Base de Datos de Información de identificación y autenticación de abonados. Esta información consta de la IMSI, de la TMSI, de la Identidad de Área de Localización (LAI) y de la clave individual de autenticación de abonado para cada usuario. Para que funcionen los mecanismos de autenticación y confidencialidad se requieren tres elementos: • La SIM • El celular GSM
• La red GSM Esta distribución de credenciales de seguridad y de algoritmos de cifrado proporciona una medida adicional de seguridad para asegurar la privacidad de las conversaciones telefónicas celulares y la prevención de fraude en la telefonía celular. Dentro de la red GSM, la información de seguridad se distribuye entre el AUC (Authentication Center), el Registro de Localización Domestico (HLR) y el Registro de Localización del Visitante (VLR). El Centro de Autenticación (AUC) es responsable de generar los conjuntos de RAND (Numero aleatorio), SRES (Respuesta Firmada) y Kc (clave de cifrado temporal generada aleatoriamente) que se encuentran almacenados en el HLR y en el VLR para su utilización posterior en los procesos de autenticación y cifrado. Autentificación La red GSM autentifica la identidad del abonado utilizando un mecanismo de "desafio- respuesta". Se envía a la estación móvil un número aleatorio de 128 bits (RAND). La estación móvil (MS) calcula la respuesta firmada que es de 32 bits (SRES) basándose en el cifrado del número aleatorio (RAND) con el algoritmo de autenticación (A3) utilizando la clave individual de autenticación de abonado (Ki). Al recibir del abonado la respuesta firmada, la red GSM repite el cálculo para verificar la identidad del abonado. La clave individual de autenticación de abonado (Ki) nunca se transmite sobre el canal de radio; está presente en el SIM del abonado, así como en las Bases de Datos del AUC, HLR y VLR. Si el RAND recibido coincide con el valor calculado, la estación móvil ha sido autentificada con éxito y puede continuar. Si los valores no coinciden la conexión se termina y se indica un fallo de autenticación a la estación móvil. El cálculo de la respuesta firmada se realiza dentro del SIM. Esto proporciona mayor seguridad, debido a que la información del abonado confidencial como la IMSI o la clave individual de autenticación del abonado (Ki) nunca salen del SIM durante el proceso de autenticación.
Confidencialidad Toda SIM contiene el algoritmo de generación de claves de cifrado (A8) que se utiliza para producir la clave de cifrado (Kc) que es de 64 bits. La clave de cifrado se calcula aplicando el mismo número aleatorio (RAND) utilizado en el proceso de autenticación con el algoritmo de generación de la clave de cifrado (A8) con la clave individual de autenticación de abonado (Ki). La clave de cifrado (Kc) se utiliza para cifrar y descifrar los datos transmitidos entre la estación móvil y la estación base. Se proporciona un nivel adicional de seguridad al haber medios para cambiar la clave de cifrado, haciendo al sistema más resistente contra posibles "escuchas ilegales". La clave de cifrado puede cambiarse a intervalos regulares según lo requieran las consideraciones de seguridad y diseño de red. De una manera similar al proceso de autenticación, el cálculo de la clave de cifrado (Kc) tiene lugar internamente dentro del SIM. Por tanto, la información sensible como la clave individual de autenticación de abonado (Ki) nunca la revela la SIM. Las comunicaciones de datos y voz cifradas entre la estación móvil y la red se realizan utilizando el algoritmo de cifrado A5. La comunicación cifrada se inicia por un comando de "petición de modo de cifrado" desde la red GSM. Al recibir este comando, la estación móvil empieza el cifrado y descifrado de datos utilizando el algoritmo de cifrado (A5) y la clave de cifrado (Kc). En un principio el algoritmo A5 tuvo una longitud de clave "efectiva" de 40 bits, posteriormente 64 bits y en un futuro próximo y nada lejano 128 bits. Los algoritmos A3 y A8 de GSM son funciones unidireccionales "hash" dependientes de la clave y se implementan como un único algoritmo denominado COMP128.

Recomendados

Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03svaclaro
 
FIREWALL
FIREWALLFIREWALL
FIREWALLauraparada
 
Firewall
FirewallFirewall
Firewallmalejazapata
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosMoises Puente
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informaticaFlaa Sheando
 
Firewall's
Firewall'sFirewall's
Firewall'sCarlos Eduardo Sanchez Martinez
 
Presentacion castellano antivirus
Presentacion castellano antivirusPresentacion castellano antivirus
Presentacion castellano antivirusArmando Rodriguez
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewallJorge Martínez Cerón
 

Recomendados

Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03svaclaro
 
FIREWALL
FIREWALLFIREWALL
FIREWALLauraparada
 
Firewall
FirewallFirewall
Firewallmalejazapata
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosMoises Puente
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informaticaFlaa Sheando
 
Firewall's
Firewall'sFirewall's
Firewall'sCarlos Eduardo Sanchez Martinez
 
Presentacion castellano antivirus
Presentacion castellano antivirusPresentacion castellano antivirus
Presentacion castellano antivirusArmando Rodriguez
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewallJorge Martínez Cerón
 
Firewall
FirewallFirewall
FirewallJAV_999
 
Historia de los cortafuegos
Historia de los cortafuegosHistoria de los cortafuegos
Historia de los cortafuegoshenry marchand rivas
 
Practica 1
Practica 1 Practica 1
Practica 1 Uzziel Mendez
 
Firewall
FirewallFirewall
Firewallguest881aa9
 
Firewall
FirewallFirewall
FirewallThiago M Yánez
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegosastrologia
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprlastrologia
 
Firewall
FirewallFirewall
Firewallcamilapedraza1619
 
Firewall
FirewallFirewall
FirewallVania Vicente
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Documento
DocumentoDocumento
Documentosebastiangarciachalar
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralEsteban Saavedra
 
Defensa perimetral
Defensa perimetralDefensa perimetral
Defensa perimetralGonzalo Negrete Montaño
 
Firewall (cortafuegos)
Firewall (cortafuegos)Firewall (cortafuegos)
Firewall (cortafuegos)Angel Jesus Guerra
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLisreal
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 
I'm pretty and decide on laborer 1312031
I'm pretty and decide on laborer 1312031I'm pretty and decide on laborer 1312031
I'm pretty and decide on laborer 1312031Nicola Pasianot
 
Be pretty and open stick 1355013
Be pretty and open stick 1355013Be pretty and open stick 1355013
Be pretty and open stick 1355013Nicola Pasianot
 
Trabajo Miguel a
Trabajo Miguel aTrabajo Miguel a
Trabajo Miguel aguadalinfopaternaderiv
 
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...Λόγοι πνευματικοί
 
Agora a Sílvia ainda está viva.
Agora a Sílvia ainda está viva.Agora a Sílvia ainda está viva.
Agora a Sílvia ainda está viva.Silvia Luís
 

Mais conteúdo relacionado

Mais procurados

Firewall
FirewallFirewall
FirewallJAV_999
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprlastrologia
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralEsteban Saavedra
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLisreal
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 

Mais procurados (17)

Firewall
FirewallFirewall
Firewall
 
Historia de los cortafuegos
Historia de los cortafuegosHistoria de los cortafuegos
Historia de los cortafuegos
 
Practica 1
Practica 1 Practica 1
Practica 1
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprl
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Documento
DocumentoDocumento
Documento
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
 
Defensa perimetral
Defensa perimetralDefensa perimetral
Defensa perimetral
 
Firewall (cortafuegos)
Firewall (cortafuegos)Firewall (cortafuegos)
Firewall (cortafuegos)
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALL
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewall
 

Destaque

I'm pretty and decide on laborer 1312031
I'm pretty and decide on laborer 1312031I'm pretty and decide on laborer 1312031
I'm pretty and decide on laborer 1312031Nicola Pasianot
 
Be pretty and open stick 1355013
Be pretty and open stick 1355013Be pretty and open stick 1355013
Be pretty and open stick 1355013Nicola Pasianot
 
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...Λόγοι πνευματικοί
 
Agora a Sílvia ainda está viva.
Agora a Sílvia ainda está viva.Agora a Sílvia ainda está viva.
Agora a Sílvia ainda está viva.Silvia Luís
 
80101 henry-pp-week1
80101 henry-pp-week180101 henry-pp-week1
80101 henry-pp-week1kevinsiebert
 
DESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVEREST
DESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVERESTDESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVEREST
DESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVEREST4057
 
Aprendizaje Significativo
Aprendizaje SignificativoAprendizaje Significativo
Aprendizaje Significativonjckelinelb
 
I'm pretty and send rail 1459026
I'm pretty and send rail 1459026I'm pretty and send rail 1459026
I'm pretty and send rail 1459026Nicola Pasianot
 
Les normes internationales de lutte contre la torture
Les normes internationales de lutte contre la tortureLes normes internationales de lutte contre la torture
Les normes internationales de lutte contre la tortureAdrien Bonny Eboumbou
 
Campo Y Comunidad Abr 08 V1 4
Campo Y Comunidad Abr 08 V1 4Campo Y Comunidad Abr 08 V1 4
Campo Y Comunidad Abr 08 V1 4camposdeabril
 
Firewall Epherra Alcodoy Fredes
Firewall Epherra Alcodoy FredesFirewall Epherra Alcodoy Fredes
Firewall Epherra Alcodoy FredesMarcela García
 
Lasalle estonia-kris-haamer
Lasalle estonia-kris-haamerLasalle estonia-kris-haamer
Lasalle estonia-kris-haamerKris Haamer
 
Tarea 2.5 temas_avanzados_de_aprendizaje_finalforo
Tarea 2.5 temas_avanzados_de_aprendizaje_finalforoTarea 2.5 temas_avanzados_de_aprendizaje_finalforo
Tarea 2.5 temas_avanzados_de_aprendizaje_finalforomamaangeles
 

Destaque (20)

I'm pretty and decide on laborer 1312031
I'm pretty and decide on laborer 1312031I'm pretty and decide on laborer 1312031
I'm pretty and decide on laborer 1312031
 
Be pretty and open stick 1355013
Be pretty and open stick 1355013Be pretty and open stick 1355013
Be pretty and open stick 1355013
 
Trabajo Miguel a
Trabajo Miguel aTrabajo Miguel a
Trabajo Miguel a
 
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...
Ceb2ceb5cebdceb5ceb4ceafcebacf84cebfcf85 ceb9ceb5cf81cebfcebccebfcebdceaccf87...
 
Agora a Sílvia ainda está viva.
Agora a Sílvia ainda está viva.Agora a Sílvia ainda está viva.
Agora a Sílvia ainda está viva.
 
80101 henry-pp-week1
80101 henry-pp-week180101 henry-pp-week1
80101 henry-pp-week1
 
Onto gov
Onto govOnto gov
Onto gov
 
Tues nov 25
Tues nov 25Tues nov 25
Tues nov 25
 
DESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVEREST
DESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVERESTDESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVEREST
DESCRIPCION INFORMACIÓN SOBRE LA INSTALACION DE EL PROGRAMA EVEREST
 
Aprendizaje Significativo
Aprendizaje SignificativoAprendizaje Significativo
Aprendizaje Significativo
 
Bab satu
Bab satuBab satu
Bab satu
 
I'm pretty and send rail 1459026
I'm pretty and send rail 1459026I'm pretty and send rail 1459026
I'm pretty and send rail 1459026
 
Les normes internationales de lutte contre la torture
Les normes internationales de lutte contre la tortureLes normes internationales de lutte contre la torture
Les normes internationales de lutte contre la torture
 
Campo Y Comunidad Abr 08 V1 4
Campo Y Comunidad Abr 08 V1 4Campo Y Comunidad Abr 08 V1 4
Campo Y Comunidad Abr 08 V1 4
 
Firewall Epherra Alcodoy Fredes
Firewall Epherra Alcodoy FredesFirewall Epherra Alcodoy Fredes
Firewall Epherra Alcodoy Fredes
 
Lasalle estonia-kris-haamer
Lasalle estonia-kris-haamerLasalle estonia-kris-haamer
Lasalle estonia-kris-haamer
 
P apoylakos
P apoylakosP apoylakos
P apoylakos
 
Tarea 2.5 temas_avanzados_de_aprendizaje_finalforo
Tarea 2.5 temas_avanzados_de_aprendizaje_finalforoTarea 2.5 temas_avanzados_de_aprendizaje_finalforo
Tarea 2.5 temas_avanzados_de_aprendizaje_finalforo
 
GYM. Características del planeta
GYM. Características del planetaGYM. Características del planeta
GYM. Características del planeta
 
Unidad 3
Unidad 3Unidad 3
Unidad 3
 

Semelhante a Desarrollo fii s3

Cortafuegos
CortafuegosCortafuegos
CortafuegosPPMC26
 
Trabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaTrabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaFlaa Sheando
 
Firewall Yese
Firewall YeseFirewall Yese
Firewall Yeseyesenia
 
Seguridad de los equipos de computo (firewall)
Seguridad de los equipos de computo (firewall)Seguridad de los equipos de computo (firewall)
Seguridad de los equipos de computo (firewall)auraparada
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicionJONNATAN TORO
 
Seguridad internet
Seguridad internetSeguridad internet
Seguridad internetDarkSoul613
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_redelenacediel
 
Sistemas
SistemasSistemas
Sistemas1 2d
 

Semelhante a Desarrollo fii s3 (20)

Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Trabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaTrabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad Informática
 
Firewall Yese
Firewall YeseFirewall Yese
Firewall Yese
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Expo firewall
Expo firewallExpo firewall
Expo firewall
 
Seguridad de los equipos de computo (firewall)
Seguridad de los equipos de computo (firewall)Seguridad de los equipos de computo (firewall)
Seguridad de los equipos de computo (firewall)
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
 
Cortafuego
CortafuegoCortafuego
Cortafuego
 
Seguridad internet
Seguridad internetSeguridad internet
Seguridad internet
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_red
 
Sistemas
SistemasSistemas
Sistemas
 
Firewall
FirewallFirewall
Firewall
 

Mais de svaclaro

Desarrollo sesion 03
Desarrollo sesion 03Desarrollo sesion 03
Desarrollo sesion 03svaclaro
 
Fase ii sesion01
Fase ii sesion01Fase ii sesion01
Fase ii sesion01svaclaro
 
Desarrollo fii s04
Desarrollo fii s04Desarrollo fii s04
Desarrollo fii s04svaclaro
 
Fase ii sesion02
Fase ii sesion02Fase ii sesion02
Fase ii sesion02svaclaro
 
Fase ii sesion02
Fase ii sesion02Fase ii sesion02
Fase ii sesion02svaclaro
 
Desarrollo fii s1
Desarrollo fii s1Desarrollo fii s1
Desarrollo fii s1svaclaro
 
Fase ii sesion04
Fase ii sesion04Fase ii sesion04
Fase ii sesion04svaclaro
 
Desarrollo fii s2
Desarrollo fii s2Desarrollo fii s2
Desarrollo fii s2svaclaro
 
Fase i sesion02
Fase i sesion02Fase i sesion02
Fase i sesion02svaclaro
 
Desarrollo fi s2
Desarrollo fi s2Desarrollo fi s2
Desarrollo fi s2svaclaro
 
Fase i sesion01
Fase i sesion01Fase i sesion01
Fase i sesion01svaclaro
 
Desarrollo fi s1
Desarrollo fi s1Desarrollo fi s1
Desarrollo fi s1svaclaro
 

Mais de svaclaro (13)

Desarrollo sesion 03
Desarrollo sesion 03Desarrollo sesion 03
Desarrollo sesion 03
 
Fase ii sesion01
Fase ii sesion01Fase ii sesion01
Fase ii sesion01
 
Desarrollo fii s04
Desarrollo fii s04Desarrollo fii s04
Desarrollo fii s04
 
Fase ii sesion02
Fase ii sesion02Fase ii sesion02
Fase ii sesion02
 
Fase ii sesion02
Fase ii sesion02Fase ii sesion02
Fase ii sesion02
 
Desarrollo fii s1
Desarrollo fii s1Desarrollo fii s1
Desarrollo fii s1
 
Fase ii sesion04
Fase ii sesion04Fase ii sesion04
Fase ii sesion04
 
Desarrollo fii s2
Desarrollo fii s2Desarrollo fii s2
Desarrollo fii s2
 
Smgc
SmgcSmgc
Smgc
 
Fase i sesion02
Fase i sesion02Fase i sesion02
Fase i sesion02
 
Desarrollo fi s2
Desarrollo fi s2Desarrollo fi s2
Desarrollo fi s2
 
Fase i sesion01
Fase i sesion01Fase i sesion01
Fase i sesion01
 
Desarrollo fi s1
Desarrollo fi s1Desarrollo fi s1
Desarrollo fi s1
 

Desarrollo fii s3

  • 1. PLAN DE CAPACITACION CANAL DIRECTO FASE II Capacitación 03 Concepto y Uso de Firewalls Descripción: Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
  • 2. Ventajas: • Establece perímetros confiables. • Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet. • Protección de información privada.- Permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tenga acceso sólo a los servicios e información que le son estrictamente necesarios. • Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad. Limitaciones: Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos: • Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. • El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. • El cortafuegos no puede proteger contra los ataques de ingeniería social 1. • El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. • El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet. (1) En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. Políticas: Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: • Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. • Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.
  • 3. Un poco de historia El término "firewall / fireblock" se refería originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad que se produjo a finales de los 80: • Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. • Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. • En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." • El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. Generaciones de Cortafuegos Primera generación – Cortafuegos de Red: filtrado de paquetes El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros de Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos…).
  • 4. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS): Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso “Telnet”, bloqueará el protocolo IP para el número de puerto 23. Segunda generación - Cortafuegos de aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. Tercera generación – Cortafuegos de estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación de cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos puede ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
  • 5. Seguridad en Redes GSM Un “hacker” descifra el código de cifrado del sistema GSM • Su objetivo es advertir de la debilidad en las comunicaciones móviles … • El consorcio de la industria que escribió el código dice que es ilegal … Europa Press | Berlín martes 29/12/2009 14:47 horas Karsten Nohl, un ingeniero alemán de 28 años, ha conseguido descifrar con éxito el código de seguridad que encripta el 80% de las llamadas realizadas desde cualquier teléfono móvil del planeta. Se trata de la red GSM. Nohl afirma que su objetivo es advertir de la debilidad en las comunicaciones móviles, aunque expertos en seguridad advierten de que cualquier organización criminal podrá interceptar llamadas en cuestión de minutos al hacerse público el código. "Esto demuestra que la seguridad actual del estándar GSM es inadecuada. Con esta acción estamos intentando empujar a los operadores a que adopten mejores medidas de seguridad para las llamadas efectuadas desde teléfonos móviles", declaró Kohl durante el 'Chaos Communication Congress', una conferencia para 'hackers' celebrada en Berlín. … http://www.elmundo.es/elmundo/2009/12/29/navegante/1262094278.html En 1982 se creó un nuevo grupo de estandarización dentro del CEPT (Conférence Européene de Postes et Télécommunications), cuya tarea sería la especificación de un sistema europeo único de radiocomunicaciones en la banda de 900MHz. Tres fueron los objetivos fundamentales que empujaron a emprender esta tarea: - Disponer de un sistema de comunicaciones móviles común a toda Europa permitiendo la movilidad internacional y la reducción de costos gracias a la gran extensión del mercado. - Superar la capacidad de los sistemas móviles precedentes desbordados por una demanda infravalorada. - Aprovechar el estado del arte de la electrónica digital. Aparte de estos tres grandes objetivos, las principales ventajas que presenta GSM sobre los sistemas analógicos de primera generación son fundamentalmente las siguientes: - Disminución de costos de fabricación por un mayor tamaño del mercado. - Integración de voz y datos gracias a la digitalización de las transmisiones de radio. - Mejora de parámetros, tales como calidad de voz y handover. - Roaming Internacional automático
  • 6. - Acceso por tarjeta inteligente. Permite la utilización de cualquier terminal por parte de cualquier usuario introduciendo el concepto de movilidad personal. - Compatibilidad RDSI - Menor consumo del terminal. Permite utilizar terminales más ligeros. Los servicios de datos son una parte integral del sistema por el carácter digital del enlace de radio. Esto permite garantizar confidencialidad de la información del usuario mediante cifrado en el enlace de radio. Se garantiza el control de acceso a los servicios mediante el uso también de técnicas criptográficas y se permite independizar el terminal y la suscripción del usuario gracias a la utilización de un módulo de personalización (SIM), que puede ser extraíble en la forma de tarjeta inteligente estándar. Las funcionalidades de seguridad presentes en un sistema GSM se pueden clasificar en tres apartados: Autentificación del usuario para prevenir el acceso de usuarios no registrados. Protección de la identidad del usuario para imposibilitar el seguimiento de su localización por parte de terceros. Cifrado en el radioenlace de toda la información del usuario, y de algunos elementos de señalización, para prevenir escuchas por parte de un tercero. Identidad Al abonado se le identifica de forma única utilizando la Identidad de Abonado Móvil Internacional (IMSI). Esta información, junto con la clave individual de autenticación de abonado (Ki) constituyen las "credenciales de identificación" sensibles. El diseño de los esquemas de cifrado y autenticación es tal que esta información sensible nunca se transmite por el canal de radio. En su lugar se utiliza un mecanismo de "desafio- respuesta" para realizar la autenticación. Las conversaciones reales se cifran utilizando una clave temporal de cifrado generada aleatoriamente (Kc). La Estación Móvil (MS) se identifica por medio de la Identidad Temporal de Abonado Móvil (TMSI) que emite la red y puede cambiarse periódicamente (por ejemplo durante momentos de no intervención "hand-offs") para mayor seguridad. Los mecanismos de seguridad de GSM se implementan en tres elementos diferentes del sistema: 1. El Modulo de Identidad del Abonado (SIM) 2. El Aparato portátil GSM también denominado Estación Móvil (MS) 3. La Red GSM La SIM contiene la IMSI, la clave individual de autenticación del abonado (Ki), el algoritmo de generación de claves de cifrado (A8), el algoritmo de autenticación (A3) y el Número de Identificación Personal (PIN). El aparato GSM (portátil) contiene el algoritmo de cifrado (A5). Los algoritmos de cifrado (A3, A5 y A8) también están presentes en la red GSM. El Centro de Autenticación (AUC), parte del Subsistema de Operación y Mantenimiento de la red GSM consta de una Base de Datos de Información de identificación y autenticación de abonados. Esta información consta de la IMSI, de la TMSI, de la Identidad de Área de Localización (LAI) y de la clave individual de autenticación de abonado para cada usuario. Para que funcionen los mecanismos de autenticación y confidencialidad se requieren tres elementos: • La SIM • El celular GSM
  • 7. La red GSM Esta distribución de credenciales de seguridad y de algoritmos de cifrado proporciona una medida adicional de seguridad para asegurar la privacidad de las conversaciones telefónicas celulares y la prevención de fraude en la telefonía celular. Dentro de la red GSM, la información de seguridad se distribuye entre el AUC (Authentication Center), el Registro de Localización Domestico (HLR) y el Registro de Localización del Visitante (VLR). El Centro de Autenticación (AUC) es responsable de generar los conjuntos de RAND (Numero aleatorio), SRES (Respuesta Firmada) y Kc (clave de cifrado temporal generada aleatoriamente) que se encuentran almacenados en el HLR y en el VLR para su utilización posterior en los procesos de autenticación y cifrado. Autentificación La red GSM autentifica la identidad del abonado utilizando un mecanismo de "desafio- respuesta". Se envía a la estación móvil un número aleatorio de 128 bits (RAND). La estación móvil (MS) calcula la respuesta firmada que es de 32 bits (SRES) basándose en el cifrado del número aleatorio (RAND) con el algoritmo de autenticación (A3) utilizando la clave individual de autenticación de abonado (Ki). Al recibir del abonado la respuesta firmada, la red GSM repite el cálculo para verificar la identidad del abonado. La clave individual de autenticación de abonado (Ki) nunca se transmite sobre el canal de radio; está presente en el SIM del abonado, así como en las Bases de Datos del AUC, HLR y VLR. Si el RAND recibido coincide con el valor calculado, la estación móvil ha sido autentificada con éxito y puede continuar. Si los valores no coinciden la conexión se termina y se indica un fallo de autenticación a la estación móvil. El cálculo de la respuesta firmada se realiza dentro del SIM. Esto proporciona mayor seguridad, debido a que la información del abonado confidencial como la IMSI o la clave individual de autenticación del abonado (Ki) nunca salen del SIM durante el proceso de autenticación.
  • 8. Confidencialidad Toda SIM contiene el algoritmo de generación de claves de cifrado (A8) que se utiliza para producir la clave de cifrado (Kc) que es de 64 bits. La clave de cifrado se calcula aplicando el mismo número aleatorio (RAND) utilizado en el proceso de autenticación con el algoritmo de generación de la clave de cifrado (A8) con la clave individual de autenticación de abonado (Ki). La clave de cifrado (Kc) se utiliza para cifrar y descifrar los datos transmitidos entre la estación móvil y la estación base. Se proporciona un nivel adicional de seguridad al haber medios para cambiar la clave de cifrado, haciendo al sistema más resistente contra posibles "escuchas ilegales". La clave de cifrado puede cambiarse a intervalos regulares según lo requieran las consideraciones de seguridad y diseño de red. De una manera similar al proceso de autenticación, el cálculo de la clave de cifrado (Kc) tiene lugar internamente dentro del SIM. Por tanto, la información sensible como la clave individual de autenticación de abonado (Ki) nunca la revela la SIM. Las comunicaciones de datos y voz cifradas entre la estación móvil y la red se realizan utilizando el algoritmo de cifrado A5. La comunicación cifrada se inicia por un comando de "petición de modo de cifrado" desde la red GSM. Al recibir este comando, la estación móvil empieza el cifrado y descifrado de datos utilizando el algoritmo de cifrado (A5) y la clave de cifrado (Kc). En un principio el algoritmo A5 tuvo una longitud de clave "efectiva" de 40 bits, posteriormente 64 bits y en un futuro próximo y nada lejano 128 bits. Los algoritmos A3 y A8 de GSM son funciones unidireccionales "hash" dependientes de la clave y se implementan como un único algoritmo denominado COMP128.