Aseguramiento de las

comunicaciones IP

Instalación, Configuración y Aseguramiento.

Redes de Comunicaciones

IP

M5

1

Redes de Comunicación IP

Aseguramiento de redes IP M5

En la comunicación lo único importante no es que el mensaje llegue, sino que llegue íntegro, sin alteraciones, que su origen y su destino estén asegurados y que nadie más que a quien vaya dirigido pueda leerlo.

Se precisa por tanto privacidad, integridad, autenticidad y disponibilidad

2

Redes de Comunicación IP

Aseguramiento de redes IP

¿Porqué se espían las redes? ?En la RED está:• La situación económico-financiera del mundo• Los planes estratégicos de las empresas• Los efectivos militares de los países• Los secretos de los gobiernosY además…• Nuestra identidad.• Nuestros datos bancarios.• Nuestros antecedentes penales.• Nuestros gustos.• Nuestra red de amistades.• Nuestros secretos.

M5

3

Redes de Comunicación IP

Aseguramiento de redes IP M5

Interrupción Escucha

Manipulación Suplantación

A lo largo de la infraestructura de telecomunicaciones que separa al emisor del receptor, las comunicaciones están sometidas a multitud de vulnerabilidades.

4

Redes de Comunicación IP

Aseguramiento de redes IP M5

Sniffers: Captura de contraseñas y nombres de usuario de la red para realizar intrusiones.

Spoofing: Consiste en suplantar la identidad del destinatario o el emisor.

Ataque de Contraseña: Consiste en averiguar la contraseña de un usuario por distintos métodos.

Envío de información: Reenvío no autorizado de información hacia el exterior.

Man in the middle: Interceptación, especialmente en intercambio de claves iniciales.

Denegación de servicio: Interrupción de un servicio por saturación de solicitudes.

Nivel de Aplicación: Aprovechando bugs o vulnerabilidades del software de aplicación

Trojanos: Software malicioso que permite el control remoto del equipo que lo contiene

Hoy en día los ataques que producían un dañoinmediato en la infraestructura han sido sustituidos por aquellos que obtienen información y causan un beneficioeconómico o funcional al atacante a medio-largo plazo.

5

Redes de Comunicación IP

Aseguramiento de redes IP M5

Identificación: Mecanismos para garantizar la identidad de los emisores / receptores

Acceso: Mecanismos de control de acceso a la infraestructura lógica o física.

Separación: Física, lógica, temporal o funcional de las telecomunicaciones.

Encriptación: Cifrado de las comunicaciones de datos a través de la red.

IDS: Sistemas automáticos de detección de intrusos.

Salvaguardias: Copias de seguridad de la información.

Análisis forense: Averiguar qué paso, cómo entró, qué hizo el atacante.

Las contramedidas pueden ser de tres tipos:

Prevención: para impedir el ataque.

Detección: para descubrir un ataque en el momento en que se está produciendo.

Recuperación: para minimizar el efecto de un ataque y aprender de él para el futuro.

6

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Barreras Físicas

• Ocultando los dispositivos de red de la vista.

• Aislando los dispositivos de red del acceso físico.

• Impidiendo su administración desde la red.

• Estableciendo credencialesseguras para su configuración.

Siguiendo la pila OSI podemos ir estableciendo las primeras medidas de seguridad desde abajo, desde el nivel físico:.

7

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Los usuarios se comunican libremente a través de la red física sólo con los pertenecientes a su red virtual.

Los routers controlan la comunicación entre VLANS.

Cada VLAN es un dominio de broadcast separado.

La pertenencia a una VLAN no viene determinada por la conexión física.

VLAN

8

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Las Listas de Control de Acceso son sencillas reglas que se establecen en los routers para limitar el tipo de tráfico entre direcciones de emisión y recepción.

Posibilitan definir los protocolos de capa superior permitidos actuando sobre los puertos asociados a ellos.

ACL

9

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Utilizable en varios niveles de la pila OSI, es el mecanismo más utilizado para proporcionar seguridad a la redes de comunicaciones.

Permite crear conexiones seguras a través de canales inseguros.

Se implementa usando algunos protocolos preestablecidos o mediante la utilización de herramientas ad-hoc.

CIFRADO

10

Redes de Comunicación IP

Aseguramiento de redes IP M5

Protocolos segurosCIFRADO

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

Krb

PGPSSH

Rad

Al depender de la aplicación, la seguridad no queda atada al Sistema Operativo.

Facilita el uso del concepto de no repudio (el receptor no puede decir que no ha recibido el mensaje)

Cada aplicación tiene su propio mecanismo de seguridad diseñado exprofeso

Mayor probabilidad de errores o bugs de seguridad.

SMi SET

IPSTAC

11

Redes de Comunicación IP

Aseguramiento de redes IP M5

Protocolos segurosCIFRADO

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

SSL

Es transparente a la aplicación y no requiere en teoría su modificación o adaptación.

Es difícil contextualizar la seguridad con un usuario determinado.

TLS sí requiere modificar las aplicaciones.

TLS

12

Redes de Comunicación IP

Aseguramiento de redes IP M5

Protocolos segurosCIFRADO

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

IPSec

Disminuye el flujo de negociación de claves. Las aplicaciones no requieren ninguna modificación.Permite la creación de VPNs e Intranets.

Es difícil contextualizar la seguridad con un usuario determinado.Dificultades para el manejo del no repudio.

NLSPPTP

L2TP

13

Redes de Comunicación IP

Aseguramiento de redes IP M5

Protocolos segurosCIFRADO

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

LEAP

Es con diferencia el mecanismo más rápido para unas comunicaciones seguras.

Funcionan sólo con enlaces dedicados.

Los dispositivos deben estar físicamente conectados entre sí.

SILSATM

CHAP

PAP14

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Algunos de los protocolos de cifrado son muy populares, como el SSHpara conexión remota con otros ordenadores, el Radius para autenticación en IP móvil o el SSLpara autenticación de servidores.

CIFRADO

15

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Consiste en enviar los datos encriptados a través de la red insegura formando una conexión o “túnel” inaccesible.

Sobre él se puede desplegar una Red Privada Virtual que garantiza un uso totalmente seguro de la comunicación dentro de un ambiente tan inseguro como INTERNET con un retardo inapreciable.

TUNNELING

16

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Consiste en enviar los datos encriptados a través de la red insegura formando una conexión o “túnel” inaccesible.

Sobre él se puede desplegar una Red Privada Virtual que garantiza un uso totalmente seguro de la comunicación dentro de un ambiente tan inseguro como INTERNET con un retardo inapreciable.

TUNNELING

17

El mecanismo es muy sencillo. En origen, el datagrama es encriptado y encapsulado en otro que es el que viaja por la red. En el destino se realiza la operación contraria.

Redes de Comunicación IP

Aseguramiento de redes IP M5

Protocolos de tunneling

18

TUNNELING

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

IPsec

L2F

PPTP

L2PT

GRE

MPOA

La mayoría de los protocolos de tunneling trabajan en las capas 2 o 3 de la pila OSI

Algunos han sido diseñados por empresas (como PPTP de Microsoft) y otros son estándares (como L2PT de IETF)

Redes de Comunicación IP

Aseguramiento de redes IP M5

Protocolos de tunneling

19

TUNNELING

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

IPsec

L2F

PPTP

L2PT

GRE

MPOA

PPPT Es un protocolo orientado a usuario y

transparente al proveedor de internet

LPT2 Es un protocolo del proveedor y es

transparente al usuario

Redes de Comunicación IP

Aseguramiento de redes IP M5

Protocolos de tunneling

20

TUNNELING

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

IPsec

L2F

PPTP

L2PT

GRE

MPOA

L2PT e IPsec, usados conjuntamente, dan una gran robustez al túnel y

son la esencia de muchas Redes Privadas Virtuales

La Red Corporativa de la Junta de Andalucía usa

esta solución, a través del software FORTINET, para prestar servicios de VPN

Redes de Comunicación IP

Aseguramiento de redes IP M5

FÍSICA

ENLACE DE DATOS

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ACCESO A RED

INTERNET

TRANSPORTE

APLICACIÓN

OSI TCP/IP

Con las tecnologías de cifrado y encapsulación adecuadas, una VPN constituye un túnel (generalmente túnel IP) cifrado y/o encapsulado a través de Internet para:

Dar conexión interna a entidades con sedes alejadas físicamente.

Permitir el teletrabajo

Dar acceso a proveedores externos a la red interna de una entidad.

VPN

21