Post on 22-Feb-2018
7/24/2019 SI 2012 UD06 Presasdentacion
1/19
Unidad 6Seguridad activa: acceso a redes
CFGM Seguridad Informtica
7/24/2019 SI 2012 UD06 Presasdentacion
2/19
06 Seguridad activa: acceso a redes
2
1. Redes cableadas
Hasta ahoraSeguridad Activa de mquinas aisladas.
Tambin hay que
protegerse de los ataques que vengan por la red.
Una mquina que ofrece servicios TCP/IP debe abrir ciertos puertos.
A estos puertos pueden solicitar conexin mquinas fiables siguiendo elprotocolo estndar, o mquinas maliciosas siguiendo una variacin delprotocolo que provoca un fallo en nuestro servidor.
7/24/2019 SI 2012 UD06 Presasdentacion
3/19
06 Seguridad activa: acceso a redes
3
1. Redes cableadas
as primeras redes A! ca"leadas eranmu# inseguras, porque todos los
ordenadores esta"an conectados al mismo
ca"le ar!uitectura en bus"# de maneraque cualquiera pod$a poner su tar%eta de
red en modo promiscuo (! # escuchartodas las conversaciones.
"ctualmente, utili&amos la ar!uitecturaen estrella$ cada equipo tiene un ca"ledirecto a un puerto de un conmutador de
red 's(itch) # por ah$ env$an sus paquetes
Adems de me%orar la seguridad, estamos
me%orando el rendimiento, porque no
malgastamos recursos en enviar paquetes
a equipos que no les interesan
7/24/2019 SI 2012 UD06 Presasdentacion
4/19
06 Seguridad activa: acceso a redes
%
1. Redes cableadas
C&S' (R)C*IC' 1+acerlo ,or
,are-as"
()GI&S 1%% / 1%0
#. "partado $:*. +ontar un servidor A+-- en la mquina de tu compaero.
/. Acceder a este servidor http:1-2de2tu2compaero
*. 3ompro"ar puertos activos con el +onitor de recursos.4. +ontar un 5171A S898.
. Acceder a trav;s de ftp:1-2de2tu 2compaero
*. 3ompro"ar puertos activos con el +onitor de recursos.
7/24/2019 SI 2012 UD06 Presasdentacion
5/19
06 Seguridad activa: acceso a redes
0
1. Redes cableadas
as redes conmutadas tienen sus propias vulnerabilidades)
#. *a+ que proteger el s,itc- fsicamente)
ncerrarlo en un armario/rac0 1buscar imgenes2 con llave dentro deuna sala con control de acceso. As$ evitamos no solo el ro"o, sino que
alguien acceda al "otn de reset # lo configure a su modo.
https:(((.#outu"e.com(atch@vgBCsSgu01rD
%. *a+ que proteger el s,itc- l3gicamente)
-oner usuario/contrase4apara acceder a su configuracin.
$. *a+ que -acer grupos de puertos)
-orque en un s(itch suelen estar conectados grupos de mquinas que nuncanecesitan comunicarse entre s$. 5ebemos aislarlas para evitar pro"lemasde rendimiento # seguridad.
&. *a+ que controlar qu6 equipos se pueden conectar + a qu6 puertos.
-or el motivo anterior, al grupo de marEeting solo de"er$an entrar mquinas de
marEeting.
https://www.youtube.com/watch?v=gOQsSgu0IrUhttps://www.youtube.com/watch?v=gOQsSgu0IrU7/24/2019 SI 2012 UD06 Presasdentacion
6/19
06 Seguridad activa: acceso a redes
6
1.1. &
os grupos de puertos que hacemos en un s(itch gestiona"le para aislar uncon%unto de mquinas constitu#en una & & irtual".https:(((.#outu"e.com(atch@vDmd4!3FDtp+
Se le llama virtual porque parece que estn en una A! propia, que la red est
montada para ellos solos.
9A! me%ora el rendimiento # la seguridad. Si ocurre un pro"lema en una9A! las otras 9A! no se ven afectadas. -ero un exceso de trfico en una
9A! s$ afectar$a a todos porque, al fin # al ca"o, comparten el s(itch.
Dna 9A! "asada en grupos de puertos no queda limitada a un s(itchG uno
de los puertos puede estar conectado al puerto de otro s(itch, #, a su ve&,
ese puerto forma parte de otro grupo de puertos.
Sin em"argo, es raro que las 9A! est;n completamente aisladas del resto del
mundo. !ecesitarn acceso a 1nternet, as$ como conectar con otros servidores
internos de la empresa. -ara interconectar 9A! ca,a 2" generalmenteutili&aremos un router ca,a 3".
C&S' (R)C*IC' 3()GI&S 1%4 a 105
https://www.youtube.com/watch?v=Umd3NCYUtpMhttps://www.youtube.com/watch?v=Umd3NCYUtpMhttps://www.youtube.com/watch?v=Umd3NCYUtpM7/24/2019 SI 2012 UD06 Presasdentacion
7/19
06 Seguridad activa: acceso a redes
1.2. &utenticaci7n en el ,uerto. M&C 8 952.1:
Hemos protegido el acceso al s(itch # repartido las mquinas de la empresa en
varias 9A!, interconectadas por routers.Pero3ualquiera puede meterse en un despacho, desconectar el ca"le 8< del
ordenador del empleado, conectarlo a su porttil # #a estar$a en esa 9A!.
3omo sigue siendo un s(itch, no podr escuchar el trIco normal de los dems
ordenadores de la 9A!, pero s$ lan&ar ataques contra ellos.
C3mo evitarloAlgunos s(itch permiten esta"lecer autenticacin en el puerto: solo podr
conectar aquel cu#a +A3 est; dentro de una lista deInida en el propio s(itch.
https:(((.#outu"e.com(atch@vJln!8SKh45F
Peroas +A3 son fcilmente falsiIca"les 'las tar%etas emiten los paquetes que
genera el soft(are de red del sistema operativo)
C3mo evitarloAutentificar mediante 8A>1DS en el estndar L0/.*.https:(((.#outu"e.com(atch@vd3D"D#+o(c'Jindo(s /00L)
https:(((.#outu"e.com(atch@v-06&Mhv9oE'inux D"untu)
https://www.youtube.com/watch?v=WlnNRS7h3FYhttps://www.youtube.com/watch?v=WlnNRS7h3FYhttps://www.youtube.com/watch?v=dCUbEUyMowchttps://www.youtube.com/watch?v=P06zGhvEVokhttps://www.youtube.com/watch?v=P06zGhvEVokhttps://www.youtube.com/watch?v=dCUbEUyMowchttps://www.youtube.com/watch?v=WlnNRS7h3FY7/24/2019 SI 2012 UD06 Presasdentacion
8/19
06 Seguridad activa: acceso a redes
9
1.2. &utenticaci7n en el ,uerto. M&C 8 952.1:
C&S' (R)C*IC' %()GI&S 101 a 103
7/24/2019 SI 2012 UD06 Presasdentacion
9/19
06 Seguridad activa: acceso a redes
4
2. Redes inalmbricas
l miedos a que las comunicaciones seanescuchadas por terceros no autori&ados pero estn
plenamente %ustiIcados en redes inalm"ricas o
7"8 (7ireless "8!, el medio de transmisin 'elaire) es compartido por todos los equipos #
cualquier tar%eta en modo promiscuo puede
perfectamente escuchar lo que no de"e.
Aunque se pueden hacer redes inalm"ricas entre
equipos (redes ad hoc), lo ms ha"itual son las
redes de tipo infraestructura$ un equipo llamadoaccess ,oint 'A-, punto de acceso) hace de s(itch,de manera que los dems ordenadores se conectan
a ;l, le env$an sus paquetes # ;l decide cmo
hacerlos llegar al destino, que puede ser enviarlo de
nuevo al aire o sacarlo por el ca"le que le lleva alresto de la red 19er :igura2
Salir por el ca"le es la conIguracin ms ha"itual
en las empresas, donde la 7"8 se considerauna e;tensi3n de la red cableada.
7/24/2019 SI 2012 UD06 Presasdentacion
10/19
06 Seguridad activa: acceso a redes
15
2. Redes inalmbricas
Como ocurra con el s,itc- en las redes cableadas< -emos de)
1.(roteger el access ,oint f;sicamente. a proteccin f$sica es ms complicada que enel caso del s(itch, porque el -unto de Acceso tiene que =estar cerca de los usuarios
para que puedan captar la se4al inalmbrica>.
2.(roteger el (unto de &cceso l7gicamente 'usuariocontrasea).
3.Controlar !u< clientes ,ueden conectarse a
7/24/2019 SI 2012 UD06 Presasdentacion
11/19
06 Seguridad activa: acceso a redes
11
2.1."sociaci3n8 transmisi7n"
n ,ifi -a+ dos fases) asociaci3n + transmisi3n.
*. >urante la asociaci7n el usuario elige la SS1> a la que se quiere conectar #entonces su tar%eta inalm"rica contacta con ese punto de acceso.
/. !egocian varias caracter$sticas de la comunicacin 'protocolo "gn,
velocidad), p# el -unto de acceso puede (debera! solicitar algNn tipo de
autenticaci7n.Meneralmente es una clave alfanum;rica que se registra en laconIguracin del -unto de Acceso # que el usuario de"e introducir para poder
tra"a%ar con ;l.
as "P admiten & ($@#! tipos de autenticaci3n)
1. &bierta$ no ha# autenticacin, cualquier equipo puede asociarse con el A-.2. Com,artida$ la misma clave para cifrar la usamos que para autenticar.3. &cceso seguro$ usamos / claves 'autenticar # cifrar). l usuario solo necesita
sa"er una, 'clave de autenticacin): la de cifrado se genera automticamente.
%. &utenticaci7n ,or M&C$ el A- mantiene una lista de +A3 autori&adas quepueden asociarse.
7/24/2019 SI 2012 UD06 Presasdentacion
12/19
06 Seguridad activa: acceso a redes
12
2.1. &sociaci7n" 8 transmisi3n
"sociados a un Punto de "cceso)
-odemos empe&ar la fase de transmisin, durante la cual esta"leceremos
conversaciones con el A-, que admite varias com"inaciones:
1.&utenticaci7n abierta 8 sin cifrado$. a intencin es no molestar al usuariointroduciendo claves.se utiliAa en lugares pBblicos ("rtculo de los puntos7I:I de arcelona!
2.&utenticaci7n abierta 8 transmisi7n cifrada$ es el esquema ha"itual delas primeras redes (ifi.
3.&utenticaci7n com,artida 8 transmisi7n cifrada$ es una malacom"inacin, porque la autenticacin es mu# vulnera"le #, conocida esa clave,tendrn acceso a descifrar las comunicaciones de cualquier ordenador
conectado a ese -unto de Acceso
%.&utenticaci7n segura 8 transmisi7n cifrada$ es la me%or solucin porque
utili&a una clave distinta para cada cosa. a ms conocida es 7P".
7/24/2019 SI 2012 UD06 Presasdentacion
13/19
06 Seguridad activa: acceso a redes
13
2.1. Caso (rctico 0. (ginas 106 8 10
C&S' (R)C*IC' 0()GI&S 106 a 10
=tt,s$>>???.8outube.com>?atc=@ABI,tnbB0s
https://www.youtube.com/watch?v=E7IptnbEV5shttps://www.youtube.com/watch?v=E7IptnbEV5s7/24/2019 SI 2012 UD06 Presasdentacion
14/19
06 Seguridad activa: acceso a redes
1%
2.2. Cifrado$ B(# ( (&2
l primer estndarB( 'Jireline quivalent -rivac#, privacidad equivalente al ca"le)
#. Intentando compensar las dos realidades: en redes ca"leadas es dif$cil elacceso al ca"le, pero si alguien lo consigue, puede capturar cualquier
comunicacin que pase por ah$G en redes inalm"ricas cualquiera puede capturar
las comunicaciones, pero, como van cifradas, no le servir de nada.
/. n poco tiempo se encontraron de"ilidades al algoritmo de cifrado utili&ado en
J-. Capturando cierto nBmero de tramas< en poco tiempo cualquiera podaobtener la clave 7P.
=tt,s$>>???.8outube.com>?atc=@ArDRE=sgGc
=tt,s$>>???.8outube.com>?atc=@AM,atBRm&
7/24/2019 SI 2012 UD06 Presasdentacion
15/19
7/24/2019 SI 2012 UD06 Presasdentacion
16/19
06 Seguridad activa: acceso a redes
16
2.3. (& em,resarial$ R&DIUS
:uncionamiento de 7P" empresarial es el siguiente)
*.>entro de la A! de la empresa ha# un ordenador que
e%ecuta un soft(are servidor 8A>1DS. 3ontiene una ?> de
usuarios # contraseas, # el servidor admite preguntas
so"re ellos.
/.os -untos de Acceso de la empresa tienen conexin con
ese ordenador servidor 8A>1DS.
4.os -untos de Acceso e%ecutan un soft(are cliente8A>1DS. ste soft(are es capa& de formular las preguntas
# anali&ar las respuestas.
.l servidor 8A>1DS tiene la lista de las direcciones 1- de
los -untos de Acceso que le pueden preguntar. Adems de
estar en la lista, el A- necesita que le configuremos una
contrasea definida en el servidor 'una direccin 1- esfcilmente falsifica"le).
7/24/2019 SI 2012 UD06 Presasdentacion
17/19
06 Seguridad activa: acceso a redes
1
3. (
l o"%etivo Inal de 9-! es que el -3 de un empleado
no note si est en la empresa o fuera de ella.
n am"os casos reci"e una 1- privada 'direcciones
*0..., por e%emplo), # no necesita cam"iar nada en
la conIguracin de sus aplicaciones 'correo, intranet)
.
l responsa"le de conseguir esta transparencia es elsoft(are de la 9-!. n el ordenador del empleado
ha# que instalar un soft(are cliente 9-!. ste
soft(are instala un driver de red, de manera que para
el sistema operativo es una tar%eta ms. se driver se
encarga de contactar con una mquina de la empresa,
donde e%ecuta un soft(are servidor 9-! que gestiona
la conexin, para introducir los paquetes en la A!.
a gestin consiste en: autentificar al cliente (# establecer un tnel a tra
7/24/2019 SI 2012 UD06 Presasdentacion
18/19
06 Seguridad activa: acceso a redes
19
l soft(are de los servicios de red es especialmente delicado. >e"emos vigilar qu; soft(are tenemos activo # qu;actuali&aciones tiene pendientes. as actuali&aciones llegarn por el mecanismo ha"itual del sistema operativoG el
soft(are que tenemos activo 'haciendo conexiones o esperndolas) lo podemos conocer mediante un par de
herramientas sencillas:
3on el comando netstat podemos conocer los puertos a"iertos en nuestra mquina:
%. Sericios de red. !map8 netstat
=tt,$>>???.8outube.com>?atc=@AeUgSC'd(o
7/24/2019 SI 2012 UD06 Presasdentacion
19/19