Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Documentos relacionados
Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Firewalls, IPtables y Netfilter

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

INTRODUCCIÓN. El protocolo TCP, funciona en el nivel de transporte del modelo de referencia OSI, proporcionando un transporte fiable de datos.

TELECOMUNICACIONES Y REDES

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

TEMA: PROTOCOLOS TCP/IP

INTRODUCCION. Ing. Camilo Zapata Universidad de Antioquia

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

Efectos de los dispositivos de Capa 2 sobre el flujo de datos Segmentación de la LAN Ethernet

Dispositivos de Red Hub Switch

Qué equilibra la importancia del tráfico y sus características con el fin de administrar los datos? Estrategia QoS

Semana 10: Fir Fir w e a w lls

Política de Seguridad

CAPITULO 2 COMUNICACION ATRAVES DE LA RED

miércoles 7 de septiembre de 2011 Protección perimetral

1 of 6. Visualizador del examen - ENetwork Chapter 5 - CCNA Exploration: Network Fundamentals (Versión 4.0)

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

Capa de red de OSI. Semestre 1 Capítulo 5 Universidad Cesar Vallejo Edwin Mendoza emendozatorres@gmail.com

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

El Modelo de Referencia OSI

Firewall Firestarter. Establece perímetros confiables.

La vida en un mundo centrado en la red

Capas del Modelo ISO/OSI

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

GATEWAYS COMO FIREWALLS

2. Qué dispositivo se debe utilizar para enrutar un paquete a una red remota? A switch de acceso B servidor de DHCP C hub D router

ARQUITECTURAS CLIENTE/SERVIDOR

Capa de TRANSPORTE. Ing. José Martín Calixto Cely Original: Galo Valencia P.

66.69 Criptografía y Seguridad Informática FIREWALL


Práctica 2. Montaje de Redes Locales. Parte III

Descripción. Los procesos de comunicación son divididos en 7 capas (layers). Por qué?: Cada capa: Modelo de capas protocol stack

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

LA ARQUITECTURA TCP/IP

Seguridad de la información: ARP Spoofing

5 Cuales de las siguientes opciones son formas de medición del ancho de banda comúnmente utilizadas? (Elija tres opciones).

Aspectos Básicos de Networking

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

Introducción a las Redes: Qué necesito saber sobre la red de datos de mi cliente?

Redes (IS20) Ingeniería Técnica en Informática de Sistemas. CAPÍTULO 8: El nivel de transporte en Internet

Problemas sobre Dispositivos de Interconexión Sistemas Telemáticos I

Agenda, continuación

Fundamentos de Redes LI. Unidad III Modelos de Comunicaciones 3.1 Modelo de referencia OSI.

OBJETIVOS DE APRENDIZAJE

(decimal) (hexadecimal) 80.0A.02.1E (binario)

Mejores prácticas para la segmentación y fortificación de redes industriales

INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD ADOLFO LÓPEZ MATEOS - ZACATENCO

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

8 Conjunto de protocolos TCP/IP y direccionamiento IP

CAPAS DEL MODELO OSI (dispositivos de interconexión)

INTERNET 4º ESO INFORMATICA / DEP. TECNOLOGIA

DIPLOMADO EN SEGURIDAD INFORMATICA

HOWTO: Cómo configurar SNAT

Concentradores de cableado

Los mayores cambios se dieron en las décadas de los setenta, atribuidos principalmente a dos causas:

INSTITUTO TECNOLÓGICO DE SALINA CRUZ. Fundamentos De Redes. Semestre Agosto-Diciembre Reporte De Lectura

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED

Lista de Control de Acceso (ACL) LOGO

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

CSIR2121. Administración de Redes I

SIEWEB. La intranet corporativa de SIE

TELECOMUNICACIONES Y REDES

Curso de Arquitectura de Redes TCP/IP

Diseño de Redes de Área Local

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Introducción a las Redes de Computadoras

DE REDES Y SERVIDORES

CAPITULO 1. Redes de Area Local LAN

TRANSFERENCIA DE FICHEROS FTP

Internet, conceptos básicos

Experiencia 5 : Firewall

ESCUELA DE INGENIERÍA DE SISTEMAS Y COMPUTACION. JOHN GÓMEZ CARVAJAL johncar@univalle.edu.co

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

Conceptos de redes. LAN (Local Area Network) WAN (Wide Area Network)

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE APLICACIÓN

Fig.1 Redes conectadas a Internet a través de routers IP

Conceptos básicos de redes TCP/IP

Univ. de Concepción del Uruguay Facultad de Ciencias Agrarias Ingeniería Agrónoma

CAPITULO 14 SEGURIDAD EN LA RED

Principales elementos de una RED

Redes de Comunicaciones. José Manuel Vázquez Naya

Capítulo 11: Capa 3 - Protocolos

Redes (4º Ing. Informática Univ. Cantabria)

AUDITORÍA DE SISTEMAS. Líneas de Profundización III

Capítulo 6 Introducción a TCP/IP

Laboratorio práctico 5.5.3: Desarrollo de las ACL para implementar conjuntos de reglas de firewall

EXAMEN FINAL SEGUNDA EVALUACION

Ayudantía Nro.3 Redes De Datos CIT Profesor: Cristian Tala

Arquitecturas cliente/servidor

Aspectos básicos de redes Ing. Aníbal Coto Cortés

Experiencia 2 y 3 : Cableado y Switchs (Documentación)

Práctica GESTIÓN Y UTILIZACIÓN DE REDES LOCALES. Curso 2001/2002. TCP/IP: protocolo ICMP

Práctica de laboratorio: Uso de Wireshark para examinar una captura de UDP y DNS

Luis Villalta Márquez

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos.

Transcripción:

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls EL64E Alberto Castro Rojas 1

Agenda Las redes locales y su conexión a distancias Dirección MAC y dirección IP Equipos de interconexión Los protocolos TCP/IP Filtrado del tráfico TCP/IP Firewalls 2

Conjunto de protocolos TCP/IP Son desarrollados como parte del proyecto DARPA a mediados de la década del 70 Su objetivo fue la interconexión de redes con redes, de aquí nació el concepto internetting que más tarde fue INTERNET. Se crearon dos grupos de protocolos: Control de Transmisión Internet 3

Conjunto de protocolos TCP/IP Su relación con el modelo ISO/OSI, es sólo a nivel de cuatro de las siete capas. Aplicación Presentación TELNET FTP SNMP SMTP DNS HTTP Sesión Transporte TCP UDP ICMP Red IP Enlace 802.3 802.5 Físico Ethernet FDDI Token Ring 4

Encapsulando los datos Nivel de aplicación... Información (SMTP, Telnet, FTP y otros) Nivel de transporte... EncabezadoInformación (TCP,UDP, ICMP) Nivel de Internet... EncabezadoEncabezado Información (IP) Nivel de acceso a la red (Ethernet, FDDI, ATM, etc)... EncabezadoEncabezado Encabezado Información Enviar Recibir 5

Capas del modelo Nivel de aplicación Aquí residen las apliaciones. Interactúa con uno o más protocolos de transporte para enviar o recibir datos Nivel de Transporte Posibilita la comunicación punto a punto desde dos programas. Regula el flujo de datos. El transporte puede ser confiable, es decir con respuesta del receptor, o no Coordina que los datos enviados desde un programa a otro, le llegue sólo al que se especificó. Para esto coloca identificadores a cada una de las aplicaciónes. Además realiza un checksum de los datos Nivel de Internet o red Controla la comunicación entre dos equipos, definiendo que rutas deben seguir los paquetes para alcanzar su destino. Encapsula y desencapsula los paquetes que van hacia el nivel inferior y el superior Nivel de enlace de red Envia al medio físico flujos de bits y recibe los que de esste nivel provienen. 6

Características de TCP/IP Los datagramas contienen la información necesaria y suficiente para ser ruteados por Internet La conexión siempre es un fin en sí misma La inteligencia está en las puntas. Será labor de la aplicación el pegar los paquetes que conforman un archivo 7

Enrutamiento de los datagramas Computador A1 Computador B1 Compuerta de Compuesta de Aplicación acceso R1 acceso R2 Aplicación Transporte Transporte Internet Internet Internet Internet Acceso a la Red Acceso a la Red Acceso a la Red Acceso a la Red Red A Internet Red B 8

Equipos de interconexión de redes Switch. Se trata de un dispositivo de propósito especial, diseñado para resolver problemas de escasez de ancho de banda en la red Opera en la segunda capa del modelo OSI y reenvía los paquetes en base a la dirección MAC Segmenta la red en pequeños dominios de colisión 9

Equipos de interconexión de redes Router: Es un dispositivo de propósito general, diseñado para segmentar la red, limitar el brodcast, proporcionar seguridad y control de redundancia entre dominios individuales Opera en la tercera capa del modelo OSI Tiene más facilidades de software, por lo que puede ser configurado como firewall 10

Cuándo se usan? Si la idea es segmentar el dominio de colisiones en la red, se usa un switch Si además se desea segmentar la red en dominios individuales de brodcast, suministrar envío de paquetes entre redes y soportar rutas redundantes en la red, se usa un router 11

Cuándo se usan? Dominio de de Colisión Dominio de de Colisión Dominio de de Colisión Switch Dominio de de Colisión Dominio de de Colisión Switch Dominio de de Colisión Router Dominio de de Colisión Dominio de de Colisión 12

Ruteo Básico Es el proceso a través del cual, dos computadores se comunican, privilegiando la mejor trayectoria de una red TCP/IP En el ruteo asumiremos que el problema de enviar el paquete dentro de la misma red, está resuelto. Lo que ahora se quiere es que el paquete viaje entre redes hasta llegar a la red de destino 13

Principios de enrutamiento El computador inicial necesita saber cómo y cuando comunicarse con un Router El Router necesita saber cómo determinar la mejor trayectoria para llegar a una red remota El Router de la red destino, necesita saber como comunicarse con el computador final 14

Tablas de rutas Cada router y cada host mantienen una tabla de rutas Un router está conectado directamente a una o más redes El algoritmo de ruteo que toda implementación IP debe realizar, se basa en una tabla de rutas 15

Ejemplo de una tabla de ruta Red Red 146.83.4.0 Router 1 Default INTERNET 146.83.4.3 146.83.4.1 Red 146.83.5.0 Router 2 146.83.4.2 Tabla para router 1 Net Gateway Type 146.83.4.0 146.83.4.3 DIR 146.83.5.0 146.83.4.2 GW Default 146.83.4.1 GW 16

Algoritmo de ruteo básico RouteIP(dgram, table) { IPnet = getnet(dgram.destip); Route = search(ipnet, table); if( Route.type == DIR ) sendphys(dgram, dgram.destip); else if (Route!= NOT_FOUND) sendphys(dgram, Route.gateway); else { Route = search(default, table); if( Route!= NOT_FOUND ) sendphys(dgram, Route.gateway); else error(dgram, Net Unreachable ); } } 17

TCP/IP es seguro? Hemos visto que el paquete TCP/IP tiene una estructura definida que es conocida por cualquiera que así lo requiera En general un equipo que procese paquetes, podrá saber quién lo envía, hacia dónde va, con qué aplicación se comunica etc., y podría eventualmente, alterar el contenido del paquete, sin que se note 18

Principales técnicas de ataque Engaño IP (Spoofing). Una máquina suplanta la identidad de otra Se usa para persuadir a un sistema de que acepte datos como si vinieran de la fuente original o bien para recibir datos que debería ir a la máquina suplantada Esta debilidad se debe a que los Routers sólo miran la dirección de destino del paquete 19

Spoofing Cuando el paquete llega a destino, el receptor revisa la IP de origen. Si el atacante cambió su IP por una dirección legítima, ya esta lista la primera parte del engaño La segunda parte, consiste en incluir ordenes en la parte TCP del paquete. Estas ordenes pueden ser desde cambios simples, obtención de información, etc. 20

Husmeando en la red (Sniffing) Una máquina intermedia entre receptor y transmisor, escucha los paquetes En redes de medio compartido como Ethernet, las tarjetas de red tienen un segmento de hardware encargado de acceder a todos los datos que viajan por el medio Qué pasa si por la red viajan las password sin encriptación? 21

Segurizando la red Se pueden usar equipos que denieguen o permitan el acceso externo a la red corporativa Los filtros de paquetes y los firewall son los elementos más usados Se pueden usar por separado o combinados 22

Routers de selección Se trata de routers que pueden filtrar los paquetes en base a criterios de selección Básicamente estos criterios son: El tipo de protocolo Dirección IP de origen Servicio al cual se desea acceder Este tipo de routers, controla qué servicios están permitidos en un segmento de red 23

Zonas de riesgo Internet > 2.500.000 hosts >30.000 redes Cuántos hackers? Router de selección Red de la empresa 24

Zonas de riesgo La zona de riesgo, incluye todas las redes o sus segmentos, dentro de la empresa que tienen acceso a una red externa y que son compatibles con TCP/IP Los routers de selección por sí solos, aunque bien configurados, no hacen cero el riesgo de ser vulnerados. La idea es definir y disminuir la zona de riesgo 25

Ejemplo de filtración de paquetes Segmento de red N Segmento de red 1 (externo) Segmento de red 4 (interno) Mientras más conexiones al router existen, más compleja es su configuración como filtro de paquetes, por cuanto: Son más difíciles de mantener. Es fácil cometer errores en su configuración. Produce retardos en la recepción y envío de los paquetes. Segmento de red 2 (externo) Segmento de red 3 (externo) 26

Operación del filtro Las reglas del filtro de paquetes, se almacenan por cada puerto especificado Cuando el paquete llega al puerto, se analiza su encabezado, que casi siempre es el IP y en algunos casos el TCP o el UDP Las reglas del filtro, se almacenan en un orden específico y se aplican a cada paquete en forma secuencial 27

Operación del filtro Si una regla bloquea la transmisión o recepción del paquete, éste no se acepta Si una regla acepta el paquete, pasa a la siguiente regla de filtro Aquello que no esté expresamente permitido, se prohibe 28

Diagrama de flujo Almacenar reglas del filtro de paquetes Analizar campos IP, UDP, TCP de encabezados de paquetes Bloquea la transmisión la regla de paquetes? Si Aplicar la regla del siguiente paquete Es ésta la última regla del paquete? No Si Se acepta Bloquear paquete 29

Diseño de filtros de paquetes Red 192.83.7.0 Router de selección Red Externa Internet Supongamos que se desea aceptar todo el correo electrónico que provenga desde la red externa menos el proveniente del host trauco.dcc.uchile.cl (192.83.7.11), tal vez porque desde este host se envían mensajes muy largos 30

Diseño de filtros de paquetes Para lograr lo anterior, hay que definir las siguientes reglas: No se confía en las conexiones del host 192.83.7.11 Se desea que desde otros lugares, puedan llegar correos 31

Arquitectura y teoría de los firewalls Los filtros de paquetes, son una forma eficaz de control del tráfico que entra y sale de la red La gran ventaja aquí es que al trabajar sobre las capas IP y TCP, no se deben hacer cambios a nivel de la aplicación... Es también la gran desventaja, el número de reglas puede ser muy limitado, así que se requieren reglas adicionales 32

Firewalls Surge el firewall como el instrumento principal para ejecutar la política de seguridad de la organización Trabaja en todas las capas del modelo Son complementarios a los filtros de paquetes 33

Firewall e Internet Se instala entre la conexión de la red interna y su enlace a Internet Todo el tráfico que viene o sale a Internet, pasa por el firewall Su configuración, debe estar en concordancia con la política de seguridad definida Hoy en día, una red conectada a Internet sin un firewall es altamente riesgosa 34

Qué puede hacer un firewall Ser una fuente de decisiones de seguridad. Permite concentrar las medidas de seguridad en un solo punto de la red Refuerza las políticas de seguridad. La mayoría de los servicios que los usuarios demandan de Internet, son inseguros. Por ejemplo, el usa de NFS desde fuera de la organización 35

Qué puede hacer un firewall Almacenar su relación con Internet. Por ser cuello de botella, es factible registrar lo que ocurre entre la red protegida y la externa Limitar la exposición. Se puede usar un firewall interno, es decir, dentro de la misma organización 36

Qué no puede hacer un firewall Proteger contra personas maliciosas internas a la red Proteger las conexiones que no pasan por él Proteger contra amenazas desconocidas. Pero es factible reconfigurarlo, ante la nueva situación Proteger contra virus? No olvidar la integración 37

Tipos de Firewall: Host de Base Dual El término host de base múltiple, describe a un equipo que cuenta con más de una tarjeta de interfaz de red Por lo general, cada tarjeta se conecta a una red distinta Históricamente se usaron este tipo de host como gateway 38

Host de Base Múltiple Función de enrutamiento opcional Tarjeta de red Tarjeta de red Tarjeta de red Red 1 Red 3 Red 2 39

Host de base dual Este tipo de firewall, usa un host de base dual, es decir con sólo dos tarjetas Una de las tarjetas conecta el equipo con la red interna y la otra con la externa Firewall Internet Externa Tarjeta Tarjeta Interna 40

Aislando la red Los servicios de Internet, como las news, e- mail y web, son esencialmente de almacenamiento y envío Si los servicios trabajan sobre un host de base dual, pueden configurarse para ser accesados desde otras redes El esquema utilizado es correr en el firewall un agente emisor de aplicación 41

Aislando la red El software emisor recibe las peticiones externas y se las comunica al servidor de la aplicación interna Por ejemplo, si la petición externa es ver una noticia, el emisor encargado tomará la petición, la analizará y se la hará al servidor de news interno de la organización 42

Firewall de base dual con emisor de noticias Emisor de NNTP Interfaz de de red red Interfaz de de red red Servidor de News INTERNET Servidor de News 43

Cómo comprometer la seguridad de un firewall de base dual La mayor amenaza, es que un intruso obtenga acceso directo al firewall En este caso, el telnet directo al firewall no se permite y toda configuración, se hace directamente desde la consola Si es necesaria la configuración remota, hay que hacerla con protocolos que soporten layers de segurización 44

Consideraciones de seguridad Eliminar las herramientas de programación, tales como: compiladores, likeadores, etc. Eliminar programas con permisos SUID y SGID Definición de cuotas por partición Eliminar las cuentas especiales y las innecesarias Eliminar los servicios de red innecesarios 45

Firewall : Host de Bastión El concepto se mantiene. Se trata de un computador, pero esta vez con una sola tarjeta de red Un Router de selección o filtro de paquetes, se interpone entre la red externa y el bastión De esta forma se introduce un nivel adicional de seguridad al momento de tratar de penetrar la red 46

Host de bastión: conexión INTERNET Firewall host de bastión Router de selección 47

Consideraciones El router de selección, es la primera línea de defensa Debe estar configurado para enviarle los paquetes ya filtrados al firewall Todo tráfico que no pase las reglas impuestas en el router, se rechaza El firewall de bastión, utiliza funciones de nivel de aplicación para permitir o rechazar las solicitudes que vienen de la red externa 48

A nivel de las capas Controles de acceso específico de aplicación Reglas de filtración de paquetes Red Enlace Físico Aplicación Presentación Sesión Transporte Red Enlace Físico Red Externa Router de Red Interna Firewall de Selección Bastión Red Interna 49

Tipos de Firewall : Host de bastión con ambas interfaces de red configuradas Se usa un router de selección El firewall posee dos interfaces de red. Una de ellas se comunica con el router y la otra con la red interna El router de selección, aplica sus reglas de filtrado antes de enviar los paquetes al firewall Si un intruso desea llegar a la red interna, deberá enfrentar al router y luego el firewall 50

Host de bastión con dos interfaces DMZ (Demilitarized Zone) INTERNET Firewall host de bastión con dos interfaces de red Router de selección 51

Host de bastión con dos interfaces Se define una Zona Desmilitarizada (DMZ Demilitarized Zone), es decir, un pedazo de la red interna en la cual no hay computadores La DMZ es por lo general una token ring o una ethernet. Esto puede ser un problema, pues alguien puede pinchar la red y colocar un dispositivo que escuche los paquetes que viajan 52

Tipos de Firewall : Dos hosts de bastión y dos DMZ Se definen tres zonas dentro la red interna: red exterior, red privada y red interior El router de selección y el host de bastión exterior son las dos interfaces en la red exterior La red privada proporciona un nuevo nivel de seguridad 53

Dos hosts de bastión y dos DMZ INTERNET Red Externa DMZ Exterior Red Exterior Red Interior DMZ Interior Red Privada Red Interna 54

Dos hosts de bastión y dos DMZ Este tipo de configuración, permite conectar computadores en dos zonas, con distintos grados de protección En la red privada, pueden estar los hosts menos delicados La configuración se puede usar para impedir ataques internos Se pueden colocar algunos hosts en la red exterior, si se desea dar algunos servicios 55

Firewalls comerciales y gratis Lo importante son siempre los conceptos Se podría pensar que un firewall gratis es riesgoso, pero no es cierto! Los firewalls comerciales, implementan una gama mayor de mecanismos de seguridad Un firewall muy barato, se puede implementar bajo plataforma Linux 56

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback