Seguridad en Telecomunicaciones e Internet

7/24/2019 Seguridad en Telecomunicaciones e Internet

1/25

UNIDAD 4 SEGURIDAD EN TELECOMUNICACIONES E INTERNET

OBJETIVOS PARTICULARES DE LA UNIDAD

Al trmino de la unidad, el alumno:

Explicar la importancia de tener un esquema de seguridad en lainfraestructura de redes y telecomunicaciones.

Identificar los aspectos que deben de ser sujetos de seguridad. Describir algunas de las tecnologas de seguridad implicada en este

tema de actualidad.

4.1 GENERALIDADES DE TELECOMUNICACIONES Y VULNERABILIDADESEN TCP/IP

Equipos y topologas de red!odems, repetidores, s"itc#, #ubs, bridges, routers, gate"ays, $A% &bus,ring, star', !A%, (A%, Interconnected net"or)s &enlaces dedicados,enlaces *irtuales, tunneling, fire"alls, Internet'

!edios de transmission- +"isted pair, baseband broadband coaxial cable, fibra -ptica, radio

transmission, micro"a*e transmission, cellular radio, satellite.- and"idt#, delay, cost, installation and maintenance.

/rotocolos- 0.12, 0.32 &orientado a conexi-n'- I/, 4$I/, ///, +5/67D/, 4%A64D$56DI5, I4D%, 58A/, /A/, A9/,

I5!/, rame delay, &conexi-n y no conexi-n' !odelo I4;6;4I- IEEE estndar s y !A%>s

&et#ernet.?, to)en ring.2, !A%.@'

Seguridad en redes y telecomunicaciones

Aspectos generales

/roteger #ost y los ser*icios que se proporcionan en la red. Autenticaci-n &pass"' y autenticaci-n mutua &emisor y receptor' 5ontrol de acceso a los recursos 5onfidencialidad, Integridad y Disponibilidad !edidas de encripci-n para aumentar 5IA &confidentiality, integrity and

a*ailability'


2/25

9esponsabilidad &quin, cundo, c-mo, d-nde, periodicidad'

Quin es el responsable?

Empleados

8ac)ers &curiosos, *ndalos y criminales' ;peradores de telfono 5riminales de c-mputo profesionales

I/

$a parte fundamental de los ser*icios ofrecidos por Internet consiste en el sistemade entrega de paquetes. Este ser*icio est definido como:

%o confiable!ejor esfuerBo

4in conexi-n

El protocolo que define los mecanismos de entrega poco confiable y sin conexi-nse conoce como /rotocolo Internet &I/'.

+5/ &+ransmisi-n 5ontrol /rotocol'

Es un protocolo de transporte de prop-sito general, puede ser usado sobrecualquier sistema de entrega de paquetes, no necesariamente sobre I/. +5/ nosupone caractersticas de la red subyacente.

+5/6I/

4uite de protocolos de comunicaciones para redes de tipo abierto utiliBados en unmodelo de C capas desarrollado por la Ad*anced 9esearc# /rojects Agency delDoD y tomando como referencia el modelo ;4I.

4.2 INTERNET/EXTRANET/INTRANET

Dispositi*os de conecti*idad en las comunicaciones

9epeaters. Amplificador para cuando se excede la mxima distancia fsicade alcance de las seales.

8ubs. /ermite enlaBar entre segmentos de conexi-n de una red.


3/25

ridges. EnlaBa y direcciona o filtra de un segmento a otro de la red losdatos, adems sir*e para balancear la sobrecarga en los segmentos de lared.

!ultiplexores. 7ne *arias seales para ocupar el mismo canal detransmisi-n.

9outers. 5onecta dos o ms redes separadas l-gicamente

Arquitectura Internet

$os procesos tienen puertos: la combinaci-n de un puerto ID y el I/ destino&address' del #ost es un 4oc)et: las conexiones son un set de soc)et>s.

Algunos ejemplos son: puertos +E$%E+, +/, +5/, 7D/.

/rotocol 9elations#ip +ables son los diferentes ser*icios que dan los protocolos y

en que puertos se realiBan.

Caractersticas de Internet

9ed de redes +opologa mundial &malla' roadcast pac)ets"itc#ed /eer connected &interconexi-n entre capas' 5onexi-n de cualquieraF con cualquieraF &no restricci-n' Interoperatibilidad en incremento

Autoridad %; centraliBada

SEGURIDAD EN INTERNET.

El fen-meno de la extensi-n de la Internet #a adquirido una *elocidad tan rpida yunas proporciones, que el panorama actual y muc#os de los efectos que se danen su seno resultan sorprendentes y difcilmente imaginables #ace s-lo unadcada.

Inicialmente Internet nace como una serie de redes que promue*en el intercambiode informaci-n entre in*estigadores que colaboran en proyectos conjuntos ocomparten resultados usando los recursos de la red. En esta etapa inicial, lainformaci-n circulaba libremente y no exista una preocupaci-n por la pri*acidadde los datos ni por ninguna otra problemtica de seguridad. Estaba totalmentedesaconsejado usarla para el en*o de documentos sensibles o clasificados quepudieran manejar los usuarios, situaci-n esta muy comGn, pues #ay que recordarque la Internet nace como un contrato del Departamento de Defensa Americanoao H@


4/25

In*estigaci-n que colaboran de una manera u otra con las uerBas Armadas%orteamericanas.

$os protocolos de Internet fueron diseados de una forma deliberada para quefueran simples y sencillos. El poco esfuerBo necesario para su desarrollo y*erificaci-n jug- eficaBmente a fa*or de su implantaci-n generaliBada, pero tantolas aplicaciones como los ni*eles de transporte carecan de mecanismos deseguridad que no tardaron en ser ec#ados en falta.

!s recientemente, la conexi-n a Internet del mundo empresarial se #a producidoa un ritmo *ertiginoso muy superior a la difusi-n de ninguna otra tecnologaanteriormente ideada. Ello #a significado que esta red de redes se #aya con*ertidoen Jla redJ por excelencia. Esto es, el medio ms popular de interconexi-n derecursos informticos y embri-n de las anunciadas autopistas de la informaci-n.

4e #a incrementado la *ariedad y cantidad de usuarios que usan la red para finestan di*ersos como el aprendiBaje, la docencia, la in*estigaci-n, la bGsqueda de

socios o mercados, la cooperaci-n altruista, la prctica poltica o, simplemente, eljuego. En medio de esta *ariedad #an ido aumentando las acciones pocorespetuosas con la pri*acidad y con la propiedad de recursos y sistemas. Hackers,frackers, crakers...y dems familias #an #ec#o aparici-n en el *ocabularioordinario de los usuarios y de los administradores de las redes.

$a propia complejidad de la red es una dificultad para la detecci-n y correcci-n delos mGltiples y *ariados problemas de seguridad que *an apareciendo. Adems delas tcnicas y #erramientas criptogrficas antes citadas, es importante recalcarque una componente muy importante para la protecci-n de los sistemas consisteen la atenci-n y *igilancia continua y sistemtica por parte de los gestores de lared. 5omo ejemplo, en la tabla ms abajo se recoge una lista ex#austi*a deproblemas detectados, extrada del libro: "Firewalls and Internet Security. (...)".

LISTA DE PELIGROS MS COMUNES EN SISTEMAS CONECTADOS A INTERNET

Fuene!"Firewalls and Internet Security !epelling te #ily $ac%er"

1." De todos los problemas, el mayor son los fallos en el sistema de pass"ords.

2."$os sistemas basados en la autenticaci-n de las direcciones se puedenatacarusando nGmeros consecuti*os.

#." Es fcil interceptar paquetes 7D/.

4."$os paquetes I5!/ pueden interrumpir todas las comunicaciones entre dosnodos.

$." $os mensajes I5!/ 9edirect pueden corromper la tabla de rutas.


5/25

%."El encaminamiento esttico de I/ puede comprometer la autenticaci-n basadaen las direcciones.

&." Es fcil generar mensajes 9I/ falsos.

'." El rbol in*erso del D%4 se puede usar para conocer nombres de mquinas.

(."7n atacante puede corromper *oluntariamente la cac# de su D%4 para e*itarresponderpeticiones in*ersas.

1)." $as direcciones de *uelta de un correo electr-nico no son fiables.

11." El programa sendmail es un peligro en s mismo.

12." %o se deben ejecutar a ciegas mensajes !I!E.

1#." Es fcil interceptar sesiones +elnet.

14." 4e pueden atacar protocolos de autenticaci-n modificando el %+/.

1$." inger da #abitualmente demasiada informaci-n sobre los usuarios.

1%." %o debe confiarse en el nombre de la mquina que aparece en un 9/5.

1&."4e puede conseguir que el encargado de asignar puertos I/ ejecute 9/5 en

beneficio de quien le llama.

1'."4e puede conseguir, en muc#simos casos, que %I4 entregue el fic#ero depass"ords al exterior.

1(." A *eces es fcil conectar mquinas no autoriBadas a un ser*idor %I4.

2)." Es difcil re*ocar derec#os de acceso en %4.

21." 4i est mal configurado, el ++/ puede re*elar el 6etc6pass"d.

22." %o debe permitirse al ftp escribir en su directorio raB.

2#." %o debe ponerse un fic#ero de pass"ords en el rea de ftp.

24."A *eces se abusa de 4/, y se acaba dando acceso a fic#eros a quien no sedebe dar.

2$." El formato de informaci-n de ((( debe interpretarse cuidadosamente.


6/25

2%." $os ser*idores ((( deben tener cuidado con los punteros de fic#eros.

2&." 4e puede usar ftp para crear informaci-n de control del gop#er.

2'."7n ser*idor ((( puede *erse comprometido por un script interrogati*opobremente escrito.

2(." El !one se puede usar para atra*esar algunos tipos de cortafuego.

#)."Desde cualquier sitio de la Internet se puede intentar la conexi-n a unaestaci-n 0HH &04er*er'.

#1." %o se debe confiar en los nGmeros de puerto facilitados remotamente.

#2." Es casi imposible #acer un filtro seguro que deje pasar la mayora del 7D/.

##." 4e puede construir un tGnel encima de cualquier transporte.

#4."7n cortafuego no pre*iene contra ni*eles superiores de aquellos en los queactGa.

#$." $as 0HH son muy peligrosas incluso a tra*s de una pasarela.

#%."

$as #erramientas de monitoriBaci-n de red son muy peligrosas si alguien

accedeilegtimamente a la mquina en que residen.

#&." Es peligroso #acer peticiones de finger a mquinas no fiables.

#'."4e debe de tener cuidado con fic#eros en reas pGblicas cuyos nombrescontengan caracteres especiales.

#(." $os caza-passwordsactGan silenciosamente.

4)." 8ay muc#as maneras de conseguir copiar el 6etc6pass"ord

41."9egistrando completamente los intentos fallidos de conexi-n, se capturanpass"ords.

42."7n administrador puede ser considerado responsable si se demuestraconocimientoo negligencia de las acti*idades de quien se introduce en sus mquinas.


7/25

A la #ora de plantearse en que elementos del sistema se deben de ubicar losser*icios de seguridad podran distinguirse dos tendencias principales:

P*+e,,-n e 0+ -e3 e *3ne*en,-3 + *3n5+*e.En este caso,el administrador de un ser*icio, asume la responsabilidad de garantiBar latransferencia segura de la informaci-n de forma bastante transparente alusuario final. Ejemplos de este tipo de planteamientos seran elestablecimiento de un ni*el de transporte seguro, de un ser*icio demensajera con !+As seguras, o la instalaci-n de un cortafuego, &fire"all',que defiende el acceso a una parte protegida de una red.

A50-,3,-+ne e6u*3 e7*e+ 3 e7*e+. 4i pensamos por ejemplo encorreo electr-nico consistira en construir un mensaje en el cual encontenido #a sido asegurado mediante un procedimiento de encapsuladopre*io al en*o, de forma que este mensaje puede atra*esar sistemas#eterogneos y poco fiables sin por ello perder la *alideB de los ser*icios deseguridad pro*istos. Aunque el acto de securiBar el mensaje cae bajo la

responsabilidad del usuario final, es raBonable pensar que dic#o usuariodeber usar una #erramienta amigable proporcionada por el responsable deseguridad de su organiBaci-n. Este mismo planteamiento, se puede usarpara abordar el problema de la seguridad en otras aplicaciones tales como*ideoconferencia, acceso a bases de datos, etc.

En ambos casos, un problema de capital importancia es la gesti&n de cla'es.Este problema es in#erente al uso de la criptografa y debe estar resuelto antes deque el usuario est en condiciones de en*iar un solo bit seguro. En el caso de lascla*es secretas el problema mayor consiste en mantener su pri*acidad durante sudistribuci-n, en caso de que sea ine*itable su en*o de un punto a otro. En el casode cla*e pGblica, los problemas tienen que *er con la garanta de que pertenecena su titular y la confianBa en su *igencia &que no #aya caducado o sido re*ocada'.7na manera de abordar esta gesti-n de cla*es est basada en el uso de los5ertificados de 5la*e /Gblica y Autoridades de 5ertificaci-n. El problema de la*igencia de la cla*e se resuel*e con la generaci-n de $istas de 5ertifados9e*ocados &59$s' por parte de las 5As.

4.# REDES VIRTUALES PRIVADAS

7na 9ed Kirtual /ri*ada &K/% Kirtual /ri*ate %et"or)' es aquella red pri*adaconstruida sobre una red pGblica. $as raBones que empujan el mercado en esesentido son, fundamentalmente de costes: resulta muc#o ms barato interconectardelegaciones utiliBando una infraestructura pGblica que desplegar una redfsicamente pri*ada. En el otro extremo, por supuesto, es necesario exigir ciertoscriterios de pri*acidad y seguridad, por lo que normalmente debemos recurrir aluso de la criptografa.

En general existen dos tipos de redes pri*adas *irtuales:


8/25

Enlaces 5liente9ed:

En estos enlaces se encapsula, tpicamente, /// &/ointto/oint /rotocol'.$as tramas del cliente se encapsulan en ///, y el /// resultante seencapsula para crear el K/%. 4e emplean, entre otras muc#as cosas, para:

o Acceso seguro de un cliente a la red.

o 5lientes m-*iles &para independiBarlos de la topologa fsica'.

o /untos de acceso remoto. /or ejemplo, un JpoolJ de m-dems en otraciudad, o clientes nuestros entrando por otro I4/.

o 9utado de tramas no utiliBables en Internet. /or ejemplo, tramas%etE7I, I/0, 4%A o DE5%E+.

Enlaces 9ed9ed:

En estos casos se est encapsulando el trfico de una red local, por lo quenos a#orramos el paso /// anterior. $as tramas de la $A% se encapsulandirectamente para crear el K/%. 4e utiliBa para:

o undir dos redes locales a tra*s de Internet, para que pareBcan unasola.

o Establecer canales con pri*acidad, autenticidad y control deintegridad, entre dos redes independientes.

o 9utado de tramas no utiliBables en Internet. /or ejemplo, tramas%etE7I, I/0, 4%A o DE5%E+.

$a gran *entaja de este sistema es que simplemente con un acceso local aInternet &desde cualquier pais' y una correcta configuraci-n se podran conectar anuestro ser*idor de %+, 1=== o 0/ ser*er a un coste muy bajo utiliBando modem ya coste = si tenemos una tarifa plana.

/ongamos por ejemplo una conexi-n en Espaa entre 1 delegaciones, la dearcelona y la de !adrid. 5on una punto a punto sobre 9D4I pagaramos @C===pts.6mes por @C )bps de anc#o de banda. 4-lo por unir las dos delegaciones, lasconexiones a Internet seran aparte, adems la llamada es de un punto a otro &noes bidireccional'.

5rear una K/% es relati*amente fcil pero #ay que tener en cuenta una serie deobser*aciones como si tenemos un router AD4$ para acceso corporati*o, o sitenemos un modem conectado a un pc y sobre todo el sistema operati*o delser*idor y de los clientes.
ftp://ftp.rediris.es/docs/rfc/16xx/1661ftp://ftp.rediris.es/docs/rfc/16xx/1661


9/25

Dado que la configuraci-n que est teniendo mas fuerBa es la de tener un routerpara que de acceso a Internet a todos los ordenadores de la red, nos centraremosen esta.

E*identemente toda la teora e implementaci-n de K/%s tambin funciona sobrerouters 9D4I con acceso a Internet, los agujeros a crear en el router son losmismos.

En primer lugar tenemos que crear dos agujeros en unos puertos de estos routers,esto es necesario ya que las redes pri*adas *irtuales generan peticiones deentrada y salida sobre los puertos y adems le tenemos que decir al router a queordenador local tiene que redireccionar estas peticiones. El router al conectarse aInternet recibe una I/ del pro*eedor de acceso, en cambio a ni*el local tiene un I/reser*ada para redes locales, por lo que el router tiene que saber a que ordenadorlocal tiene que reen*iar los paquetes que lleguen con una petici-n a los puertos

4.4 SEGURIDAD EN CAPAS DE RED Y TRANSPORTE

4EL79IDAD A %IKE$ 9ED

4eguridad en I/

I/ carece de mecanismos para pro*eer autenticaci-n, integridad yconfidencialidadM I/ busca adoptar los principios establecidos por ;4I &3C


10/25

%$4/ &5apa ?'

4EL79IDAD A %IKE$ +9A%4/;9+E

44$ &4ecure 4oc)ets $ayer'

Es una propuesta de estndar para encriptado y autenticaci-n en el (ebM es unesquema de encriptado de bajo ni*el usado para encriptar transacciones enprotocolos de ni*el aplicaci-n como #ttp. +/, etc.

5on 44$ puede autentificarse un ser*idor con respecto a su cliente y *ice*ersa.

5aractersticas:

- 4e basa en un esquema de lla*e pGblica para el intercambio della*es de sesi-n.

- $as lla*es de sesi-n son usadas para encriptar las transaccionessobre #ttp

- 5ada transacci-n usa una lla*e de sesi-n. Esto dificulta al crac)erFel comprometer toda una sesi-n.

;bjeti*os de 44$:

H. 4eguridad criptogrfica. 4e sugiere el uso de 44$ para establecerconexiones seguras entre dos partes.

1. Interoperabilidad. /rogramadores independien*tes deben poder desarrollaraplicaciones basadas en 44$, que intercambien parmetros criptogrficossin tener conocimiento de los c-digos de los programas de cada uno.


11/25

?. Extensibilidad. 44$ pro*ee un marco donde pueden incorporarse mtodscriptogrficos segGn se necesite. Esto e*ita el problema de estar creandonue*os protocolos, as como nue*as libreras de seguridad.

C. Eficiencia 9elati*a. /uesto que las operaciones criptogrficas demandan

demasiado 5/7, el protocolo 44$ incorpora un esquema opcional decac#ingF, que reduce el nGmero de conexiones que deben establecersedesde inicio. Adems se #a tomado en cuenta el reducir en lo posible laacti*idad de la red.

/rotocolo 44$

El estndar de IE+ +ransport $ayer 4ecurityF &+$4' se basa en 44$M requiere untransporte confiable, pro*ee seguridad en el canal.

4e ubica:

Existen dos subprotocolos:

- 44$ record protocol. Define los formatos de los mensajes empleadosen 44$. Existen dos formatos principales: 9ecord 8eader ormat y9ecord Data ormat &donde se encapsulan los datos a en*iar'

- 44$ #ands#a)e protocol. Autentifica al ser*idor para el cliente,permite al cliente y ser*idor seleccionar algoritmos criptogrficos quesean soportados por ambos, opcionalmente autentifica al cliente parael ser*idor, usa criptografa de lla*e pGblica para generar secretoscompartidos y establece una conexi-n 44$ encriptada.

4.$ PROTOCOLOS DE SEGURIDAD A NIVEL APLICACI8N

4E+ &4ecure Electronic +ransactions'

4E+ #ace seguras las transacciones en lnea mediante el uso de certificadosdigitalesM con 4E+ se puede *erificar que tanto clientes como *endedores estn

APLICACIN

SSL

TCP/IP


12/25

autoriBados para realiBar o aceptar un pago electr-nico, fue desarrollado por Kisay !aster 5ard.

ANLSIS DE LOS NIVELES DE SEGURIDAD

NIVEL D1

El ni*el DH es la forma ms elemental de seguridad disponible. Esteestndar parte de la base que asegura, que todo el sistema no es confiable. %o#ay protecci-n disponible para el #ard"are, el sistema operati*o se comprometecon facilidad, y no #ay autenticidad con respecto a los usuarios y sus derec#o,para tener acceso a la informaci-n que se encuentra en la computadora. Esteni*el de seguridad, se refiere por lo general a los sistemas operati*os como !4D;4, !4(indo"s y 4ystem 3.x de Apple !acintos#.NIVEL C1

El ni*el 5H tiene dos subni*eles de seguridad 5H y 51. El ni*el 5H, o sistema deprotecci-n de seguridad discrecional, describe la seguridad disponible en unsistema tpico 7%I0. Existe algGn ni*el de protecci-n para el #ard"are, puestoque no puede comprometerse tan fcil, aunque toda*a es posible.$os usuarios debern identificarse as mismos con el sistema por medio de unnombre de usuario y una contrasea. Esta combinaci-n se utiliBa para determinarque derec#os de acceso a los programas e informaci-n tiene cada usuario. Estosderec#os de acceso son permisos para arc#i*os y directorios. Estos controles deacceso discrecional, #abilitan al dueo del arc#i*o o directorios, o al administradordel sistema, a e*itar que algunas personas tengan acceso a los programas iinformaci-n de otras personas. 4in embargo, la cuenta de administraci-n delsistema no est restringida a realiBar cualquier acti*idad.En consecuencia, un administrador del sistema sin escrGpulos, puedecomprometer con facilidad la seguridad del sistema sin que nadie se entere.

NIVEL C2

El ni*el 51, fue diseado para ayudar a solucionar tales #ec#os. Nuntoscon las caractersticas de 5H, el ni*el 51 incluye caractersticas de seguridadadicional, que crean un medio de acceso controlado. Este medio tiene lacapacidad de reforBar las restricciones a los usuarios en la ejecuci-n de algunoscomandos o el acceso a algunos arc#i*os, basados no solo en permisos si no enni*eles de autoriBaci-n. Adems la seguridad de este ni*el requiere auditorias delsistema.

Esto incluye a la creaci-n de un registro de auditoria para cada e*ento queocurre en el sistema. $a auditoria se utiliBa para mantener los registros de todoslos e*entos relacionados con la seguridad, como aquellas acti*idades practicadaspor el administrador del sistema. $a auditoria requiere de autenticaci-n adicional.


13/25

$a des*entaja es que requiere un procesador adicional y recursos de discos delsubsistema.

5on el uso de las autoriBaciones adicionales, no deben confundirse con lospermisos 4LID O 47ID, que se pueden aplicar a un programa, en cambio, estasson autoriBaciones especficas que permiten al usuario ejecutar comandos

especficos o tener acceso a las tablas de acceso restringido.

NIVEL B1

En ni*el de seguridad tiene tres ni*eles. El H, o protecci-n de seguridadetiquetada, es el primer ni*el que soporta seguridad multini*el, como la secreta yla ultrasecreta. Este ni*el parte del principio de que un objeto bajo control deacceso obligatorio, no puede aceptar cambios en los permisos #ec#os por eldueo del arc#i*o.

NIVEL B2

El ni*el 1, conocido como protecci-n estructurada, requiere que seetiquete cada objeto, los dispositi*os como discos duros, cintas, terminales, etc.podrn tener asignado un ni*el sencillo o mGltiple de seguridad. Este es el primerni*el que empieBa a referirse al problema de un objeto a un ni*el ms ele*ado deseguridad en comunicaci-n con otro objeto a un ni*el interior.

NIVEL B#

El ni*el ?, o el ni*el de demonios de seguridad, refuerBa a los demonios conla instalaci-n de #ard"are. /or ejemplo, el #ard"are de administraci-n dememoria se usa para proteger el dominio de seguridad de acceso noautoriBado, o la modificaci-n de objetos en diferentes dominios de seguridad.Este ni*el requiere que la terminal del usuario conecte al sistema, por mediode una ruta de acceso segura.

NIVEL A

El ni*el A, o ni*el de diseo *erificado, es #asta el momento el ni*el msele*ado de seguridad *alidado por el libro naranja. Incluye un proceso ex#austi*ode diseo, control y *erificaci-n. /ara lograr este ni*el de seguridad, todos loscomponentes de los ni*eles inferiores deben incluirse, el diseo requiere ser*erificado en forma matemtica, adems es necesario realiBar un anlisis de loscanales encubiertos y de la distribuci-n confiable.

4.% ATA9UES DE REDES Y MEDIDAS PREVENTIVAS


14/25

Desgraciadamente, el incremento en el uso de Internet tambin incluye aindi*iduos con falta de #onestidad y sin tica profesional &crac)ers' que en unmomento dado pueden comprometer la integridad y la pri*acidad de lainformaci-n.

7ns pro*ea las fuentes de programas que lo componen. Esto permita recopilar*ersiones modificadas de dic#os programas, pudiendo introducirse con ellocaballos de troya o *irus. Internet pro*ee muc#as formas de conectar dos sistemasentre s, algunas de stas conexiones pueden ser no deseadas. Dada la granfacilidad de interconexi-n brindada, es necesario contar con una administraci-n deseguridad rigurosa.

5lasificaci-n de los ataques:

H. Ataques acti*osEn un ataque acti*o, el intruso interfiere con el trfico legtimo que fluye atra*s de la red interactuando de manera engaosa con el protocolo decomunicaci-n

1. Ataque /asi*o7n ataque pasi*o es aquel en el cual el intruso monitorea el trfico de la redpara capturar contraseas u otra informaci-n para su uso posterior.

4niffers:

Este programa puede colocarse en una pc en una $A% o en un gate"ay, pordonde pasan los paquetes. El sniffer *a leyendo los mensajes que pasan por estosdispositi*os y graba la informaci-n en un arc#i*o. En los primeros mensajes deuna conexi-n se encuentran los pass"ords, normalmente sin cifrar.

4nooping:

Es la tcnica de bajar los arc#i*os desde un sistema al sistema #ac)er.

4poofing:

5onsiste en entrar a un sistema #acindose pasar por un usuario autoriBado. 7na*eB dentro del sistema, el atacante puede ser*irse de ste como plataforma paraintroducirse en otro y as sucesi*amente.

looding o Namming:


15/25

5onsiste en inundar un equipo con tanta cantidad de mensajes que ste secolapsa. %o le queda espacio libre en la memoria o en el disco. El ataque tipofloofing ms conocido es el 4O% attac).

A9/&8ades 9esolution /rotocol'/ermite obtener la direcci-n fsica de una mquina a partir de su direcci-n I/.

/rotocolo I5!/ &Internet 5ontrol !essage /rotocol'

/ermite a ruteadores y ser*idores reportar errores o informaci-n de control sobrela redM reporta errores como: expiraci-n de ++$, congesti-n, direcci-n I/ destinono alcanBable, etcM *iaja encapsulado en el rea de datos de un datagrama I/.

!ensajes I5!/ ms comunes

T-5+ De,*-5,-n= Ec#o replay? Destination 7nreac#ableC 4ource Puenc#2 9edirect &cambio de ruta'< Ec#o 9equest

HH +ime Exceded for 1 DatagramH1 /arameter /roblem on a DatagramH? +imestamp 9equestHC +imestamp 9eplay


16/25

!ensaje I5!/ 5ambio de 9uta

7tiliBado por un ruteador para indicarle a una mquina en su segmento que utiliceuna nue*a ruta para determinados destinos.

Discusi-n Ataques A9/ e I5!/

El ataque A9/ es considerado como un ataque tri*ial. El ataque I5!/ es considerado como un ataque difcil de implementar.

9equisito obser*ado: la direcci-n I/ fuente del datagrama sobre el cual *iaja elmensaje I5!/, debe ser igual a la direcci-n I/ de cualquier ruteador en la tabla deruteo de la mquina *ctima.

!ecanismos de protecci-n

4e recomienda la utiliBaci-n del sistema arp"atc# desarrollado por el $aboratorio$a"rence er)eleyM adems de monitoreo continuo del trfico de la red paradetectar inconsistencias en las parejas &dir I/, dir fsica' de los paquetes.

4murfing

Ataque pasi*o que afecta, principalmente a la disponibilidad de los equipos. 4e lle*a &ba' a cabo principalmente en ruteadores 5isco y probablemente

en otras marcas.


17/25

4.& MONITORES DE REDES Y SNIFFERS

: 9u; e un Sn-e* < : 9u; e un 3n30-=3+* e 5*++,+0+


18/25

9u-e*+ 3* 3,,e+ 3 - *e ?3 +e. : Pueen 0ee* 03 -n+*3,-n >ue,-*,u03 5+* - *e ee,u3n+ un n-e* 30 +*+ 03+ e 03 0ne3 < Depende de c-mo se configure la conexi-n.

En este caso tendrs que engaar al router para que crea que las direcciones quese asignan para acceso telef-nico pertenecen a tu misma red. 4i tienes &un pocode' cuidado al configurar la mquina que controla estos #osts remotos nodeberas tener ningGn problema, ya que las tramas que se en*iarn a estasmquinas sern Gnicamente aquellas que les corresponda recibir.

5asi siempre los pro*eedores de acceso a internet &5omo Info*a en Espaa,Infosel en !xico o similares' interponen entre tu red y el usuario remoto una seriede mecanismos &routers y conexiones punto a punto' que #acen inefecti*o el usoun 4niffer en la mquina remota.

: C+ 5ue+ 3e* - 3 306u-en ,+**-en+ un n-e* en - *e


19/25

sniffit:Difcil de encontrar Y *erdad Z M'#ttp:66reptile.rug.ac.be6[coder6sniffit.#tmltambin en #ttp:66""".iti.up*.es6seguridad6

tcpdump:7%I0Este programa *uelca toda la informaci-n que entra o sale de la tarjeta de red.8ay una *ersi-n disponible para 45; en#ttp:66unix.#ensa.ac.u)6ftp6mirrors6uunet6scoarc#i*e6+$46 &esta puede ser unabuena ocasi-n para comprobar la compatibilidad binaria con ejecutables de 45;'.

esniff.c:/ublicado en /#rac) \C2Esta es la madre de todos los sniffers. $a mayora de los que se #icieron despus#an estado basados en este programa para 4un;4 &nota: necesita una mquinacon 6de*6nit'.

u!!ernault:

/ublicado en /#rac) !agaBine \2=Ademas de actuar como sniffer, puede tomar conexiones suplantando a otros#osts.

etload.e#e y etdump.e#e&D;4': Y ftp.cdrom.com Z4e #an utiliBado especialmente para estadsticas de trfico en $A% &et#ernet, porsupuesto M'. /roblema: El D;4 no permite multitareaM por lo que si no tenemos un?


20/25

H] de las intercepciones se realiBan en el lugar de destino de la comunicaci-n&esta tcnica es muy rara pues requiere filtrados y costos muy ele*ados'.

/uede ser que usted no est solo en la lnea telef-nica^ El espionaje industrial,fraude financiero, ri*alidades comerciales, asuntos de seguridad nacional y aun lasin*estigaciones sobre asuntos personales ocurren todos los das. $a porci-n ms*ulnerable de la red telef-nica es el laBo local de abonado, el cual lo conecta conla red pGblica. El laBo local est compuesto por dos alambres de cobre, de modotal que la Jpinc#aduraJ de la lnea es tcnicamente muy simple. 5omo contraste,una *eB que la seal llega a la 9ed /Gblica de +elefona 5onmutada, laintercepci-n requiere de experiencia tcnica y una in*ersi-n muc#o msimportante. 4in una completa protecci-n usted es muy *ulnerable a lasintercepciones y escuc#as telef-nicas.

/ara solucionar este tipo de probremas usted podra instalar una unidad deencriptaci-n en cada telfono... $as soluciones actuales estn limitadas atecnologas de encriptaci-n puntoapunto. Esto significa que solo se podr tener

una comunicaci-n segura cuando se instalen dispositi*os similares en ambosextremos de la lnea. Aun as, usted no puede realmente pretender tener unidadesde encriptaci-n dispersas entre todos sus posibles interlocutores telef-nicos o defax, por lo que esa no es una soluci-n muy prctica.

Existen en el mercado di*ersos productos que ofrecen una soluci-n un ejemplo deesto es 9ed4egura le brinda protecci-n aGn si su contraparte no tiene ningGn tipode dispositi*o de protecci-n instalado.

ue diseada para proteger las comunicaciones de *oB y fax cursadas a tra*s de

lneas anal-gicas de la red telef-nica pGblica, utiliBando un ele*ado ni*el decriptografa.

5rea un canal seguro entre el +erminal 9ed4egura &+94' y la 5entral 9ed4egura&594' ubicada en la red pGblica

&lamadas salientes 5uando el abonado realiBa una llamadasaliente, el +94 disca automticamente el nGmero del ser*idor mspr-ximo y establece un canal seguro a tra*s del cual serestablecida la comunicaci-n.&lamadas entrantes 5uando alguien desee establecer una llamadasegura con un abonado de 9ed 4egura, deber llamarlo a su nGmero

seguro especial, el cual enrutar la llamada al ser*idor y desde allen forma codificada al abonado. /or lo tanto, y sin importar si quienllama es o no abonado, la red de acceso est protegida en formapermanente.

7tiliBa una robusta y probada tecnologa de encriptaci-n de alto ni*el. $aunidad de encriptaci-n transmite las cla*es pGblicas con tecnologaElgamal, la que unida a la encriptaci-n con la tecnologa simtrica DE4


21/25

ofrecen una protecci-n de la informaci-n que est extremadamente en la*anguardia de todo lo conocido.

4.( SEGURIDAD EN E"MAIL

/E! &pri*acy en#anced mail' se define con reglas que contemplan la integridad,autenticaci-n del origen del mensaje y soporta no repudiaci-n. /ar laconfidencialidad &opcional' requiere encripci-n, jerarqua de certificaci-n yser*icios de directorio. Esto puede *erse como una limitaci-n para su usoextendido. /E! es un estndar de Internet, est diseado dentro de laarquitectura 4!+/, usa conceptos del 0.C== de la I+7. %o est ligadanecesariamente a ningGn algoritmo de encripci-n pero aplica en criptografa della*e pGblica, en particular firma digital.

Debido a que /E! es de uso reducido, /L/ &/ret Lood /ri*acy' #a crecido endemanda. Ambos usan una combinaci-n de lla*e pGblica y mtodo simtrico. 4inembargo /L/, no requiere una autoridad certificadora, proporciona laconfidencialidad y firma digital s-lo con la encripci-n del arc#i*o. 7sa IDEA, parala encripci-n de datos, 94A para encriptar la lla*e pGblica y la firma digitalFadems usa !D4 para el compendio del mensaje en firma digital.

/;$_+I5A4 /ara asuntos formales de negocios y oficiales de la empresa /ara asuntos personales o complementarios &no crticos' 5ontrol de acceso y confidencialidad de mensajes Administraci-n y arc#i*o de mensajes

$I4+A DE 747A9I;4 7no a uno De uno a un grupo de usuarios o una organiBaci-n Lrupos de discusi-n &central mailing list ser*er and broadcast to t#e ot#er

participants'. 74E%E+ groups.

/9;+;5;$;4 4!+/ &4imple !ail +ransport /rotocol'. Acepta mensajes de otros sistemas

y los almacena. /;/ &/ost ;ffice /rotocol'. /ermite a un cliente en /;/ bajar el email que

fue recibido en otro ser*idor de email. I!A/ & Internet !ail Access /rotocol'. Es ms con*eniente que /;/, pues

no requiere guardarse la sincrona entre las listas local y del ser*er para lalectura del email

A!E%A`A4


22/25

DA%LE9;74 A++A58!E%+4 &por ejemplo: trojan executables, *irusinfected files, dangerous macro'

I!/E94;%A+I;% EAKE4D9;//I%L !AI$;!I%L. !uc#os Internet 4er*ice /ro*ider &I4/' proporcionan

cuentas gratutitas que posteriormente pueden usarse para lanBar ataques. 4/A!

E!AI$ AEL7A94. /olticas que deben definirse para el ni*el de protecci-ndeseado.

/re*enci-n a contenidos peligrosos /re*enci-n a modificaciones o suplantaciones de usuarios /re*enci-n a ea*esdropping

!E44ALE 8A%D$I%L 4O4+E! &!84'. De ;4I es el estndar x.C== para email,

proporciona seguridad protegiendo a los mensajes contra modificaciones ydi*ulgaci-n, adems autentifica la identidad de las partes. !48 contiene: !odelo funcional Estructura de mensaje 9eporte de liberaci-n

+A5A54 O 9ADI74

4on sistemas de autentificaci-n y control de acceso a una red *a conexi-nremotaM permiten redireccionar el usernameF y pass"ordF #acia un ser*idor

centraliBado. Este ser*idor decide el acceso de acuerdo a la base de datos delproducto o la tabla de pass"ords del 4istema ;perati*o que maneje.

CORREO ELECTR8NICO

El correo electr-nico es el ser*icio de en*o y recepci-n de mensajes entre losusuarios que conforman una red de computadoras. Estos mensajes llegan acualquier parte del mundo en segundos, a lo sumo en minutos. 5ada usuario tienesu propia direcci-n en la red, tpicamente en la forma JnombreWconexi-nJ.

El correo electr-nico es uno de los ser*icios ms importantes de su conexi-n alusar la red.

7na *eB que usted se acostumbra a utiliBar seriamente este medio decomunicaci-n es muy fcil depender de l. En unos meses decenas de amigos,familiares, colegas, etc., tendrn su direcci-n electr-nica al igual que usted la deellos.


23/25

$a importancia de este medio de comunicaci-n est creciendo cada *eB ms ennuestros das, #asta el punto que dentro de *arios aos, segGn los expertos, elcorreo electr-nico ser el medio ms utiliBado despus del telfono paracomunicarse con otras personas.

Existen diferentes paquetes soportados JoficialmenteJ por 9edula con los cualesse puede en*iar y recibir mensajes.

;tra forma de utiliBar el correo electr-nico es bajo el ambiente (I%D;(4,iniciando pre*iamente una sesi-n de +E$%E+ ubicando el apuntador sobre elicono identificado con +E$%E+ &el cual no es estndar, sino que es creado', yluego pulsando con el rat-n, aparecer otra pantalla donde debe escoger la opci-nCONNECTy elegir el ser*idor al cual desea conectarse, luego debe introducir laidentificaci-n y cla*e respecti*a y as podr probar cualquiera de los tres paquetesmencionados descritos. Igualmente bajo (indo"s se encuentra el grupo deprogramas (I%PK+6%E+ y el EUDORA, los cuales permiten en*iar, recibir correosy acceder a grupos de noticias en un entorno de *entanas y botones grficosbastante agradable y sencillo. Entre los editores usados en los programas decorreo electr-nico figura el editor pico para el 5-ney el e0.

Esto es realmente el correo electr-nico: 7na #erramienta que le permite en*iarcorreo seguro a cualquier persona en toda la Internet.

4.1) SEGURIDAD EN FAX

Existen diferentes tipos de productos en el mercado que proporcionan seguridaden la transmisi-n de datos por fax, a continuaci-n presento un ejemplo:

El 54D ?3== #abilita la transmisi-n de alta seguridad y automtica de mensajesde fax. 7na *eB recibidos los mensajes, stos pueden ser almacenados conseguridad en memoria no *oltil opcional #asta que los receptores autoriBadosentren su c-digo de identificaci-n personal, /I% &/ersonal Identification %umber'.5ompacto y fcil de usar, el 54D ?3== opera con cualquier mquina de fax delLrupo III.

M3ne+ e ,03?e5on cada cla*e negociada, se produce una nue*a cla*e aleatoria en cadatransmisi-n de fax. Esta cla*e de sesi-n es Gnica a las dos partes encomunicaci-n. %inguna otra unidad puede generar esta cla*e.El 54D ?3== apoya tanto las redes de fax abiertas como las cerradas. $as redesde fax abiertas les permiten a dos personas cualquiera en el sistema 54D ?3==en*iar faxes con seguridad. %o se requiere ninguna relaci-n de cla*es pre*ia. $asredes abiertas son ideales para uso industrial donde un nGmero siemprecambiante de compaas necesitan comunicarse entre s.


24/25

$as redes cerradas apoyan aplicaciones de gobierno y otras de alta seguridaddonde solamente a un nGmero especificado de personas les es permitido en*iar yrecibir informaci-n sensiti*a. El 54D ?3== aade una cla*e de red &pri*ada' alintercambio de cla*es negotiada para formar una red cerrada. 4olamente lasmquinas con la misma cla*e de red se pueden comunicar entre s y cada unidad

puede almacenar #asta 1= cla*es de red.M++ e en?+En?+ ,+n e6u*-3. En*iar en el modo de seguridad solamente.En?+ ,+n e6u*-3/De?+ 53*3 -50e. 7n usuario puede en*iar un faxnormal sin seguridad.En?+ 3u+-,+ ,+n e6u*-3/N+*30.Automticamente en*a con seguridada una unidad receptora 54D ?3==. 4i no, en*a en forma normal.M++ e *e,e5,-nRe,e5,-n ,+n e6u*-3. 9ecibe en el modo seguro solamente.Re,e5,-n 3u+-,3 ,+n e6u*-3/N+*30.Automticamente recibe en elmodo seguro si se est comunicando con otro 54D ?3==. 4i no, recibenormalmente.Independientemente del modo de +0690, el 54D ?3== imprime unencabeBamiento de estado, indicando si est en %ormal o 4eguro en todos losmensajes de fax recibidos.

CSD #&1)El 54D ?3H= tiene todo el poder de seguridad y de automatiBaci-n del 54D ?3==,pero con otro ni*el de protecci-n un uB-n de 5orreo Electr-nico con 4eguridad.El buB-n electr-nico pro*ee la seguridad interna eliminando el peligro de quemensajes de fax confidenciales queden a la *ista en la bandeja de salida de fax.El que en*ia y el que recibe el mensaje de fax encriptado pueden #acer que elmensaje de fax sea almacenado en forma encriptada en el buB-n de la unidadreceptora. $os mensajes almacenados son dados &descifrados e impresos'solamente despus de la entrada de un %Gmero de Identificaci-n /ersonal *lido,/I% &/ersonal Identification %umber'.El 54D ?3H= apoya #asta 2= buBones y H1= pginas de texto. +ambin estdisponible la adici-n de memoria de alta capacidad. $a memoria del buB-n estprotegida y es retenida en caso de interrupci-n en la energa elctrica.

C30-3+55 est dedicada a productos y ser*icios de calidad. +55 est certificada porI4; ==H. I4; ==H otorgado por +7K es el estndar ms riguroso para sistemasde calidad total en diseo6desarrollo, producci-n, instalaci-n y ser*icios.


25/25

Seguridad en Telecomunicaciones e Internet

Documents

Transcript of Seguridad en Telecomunicaciones e Internet