Cap

itulo

4 D

iseño

de seg

urid

ad d

e Red

es

Las seccio

nes q

ue se d

escriben

en este cap

ítulo

son

:

El caso

de n

ego

cios

Piratería

Vu

lnerab

ilidad

Am

enazas

Am

enazas

Las tecn

olo

gías d

e mitig

ación

Diseñ

o d

e camp

us seg

uro

Viru

ses un program

a que provoca un resultado perjudicial

Un

Gu

sano

Un

Gu

sano

es un virus que puede auto duplicarse

Un

Cab

allo d

e Troya

pretende ser una aplicación inofensiva cuando en realidad podría contener una carga destructiva.

En m

ayo de 1988, "Viern

es 13"'celebró' la conm

emoración

de los 40 años del Estado judío en Israel borrando todos los

programas que se ejecutaran en el ordenador.

"Barro

tes"fue un virus español que en 1993 llenó las

pantallas de los usuarios infectados de barras verticales de color azul.

Un h

acker

alemán program

ó en 1997 el virus "Cascad

e", que m

ostraba un mensaje de virus en la pantalla que caía

'artísticamente' en form

a de cascada.

El virus "M

elissa"se propagó por E

stados Unidos a través del

correo electrónico, enviándose automáticam

ente como archivo

adjunto a los contactos en la agenda del usuario.

En 1998, "C

hern

ob

yl"se extendió por todo el m

undo a la sem

ana de su creación. Se activó el 26 de abril,

conmem

orando el desastre nuclear de Chernobyl. A

fectó a los ejecutables de W

indows y borró la m

emoria B

IOS

de m

iles de ordenadores.

"ILo

ve Yo

u", creado en F

ilipinas en 2000, fue uno de los virus m

ás famoso de la historia de los ataques

informáticos. C

on su mensaje de am

or en forma de

carta infecciosa afectó a millones de ordenadores,

incluyendo a los del Pentágono o el P

arlamento

Británico.

Blaster,

(otam

biénllam

adoLovsan

oLoveS

an)es

ungusano

dered

deW

indows

quese

aprovechade

unavulnerabilidad

enel

servicioD

CO

Mpara

infectara

otrossistem

asde

forma

automática.

Elgusano

fuedetectado

yliberado

eldía11

deagosto

de2003.

Latasa

deinfecciones

aumentó

considerablemtne

hastael

díaLa

tasade

infeccionesaum

entóconsiderablem

tnehasta

eldía

13de

agostode

2003.G

raciasalfiltrado

porlas

ISP

'sy

lagran

publicidadfrente

estegusano,la

infecciónpudo

frenarse.E

l29

deagosto

de2003,

JeffreyLee

Parson,

de18

añosde

Hopkins,

Minnesota

fuearrestado

porcrear

lavariante

Bdel

gusanoB

laster;adm

itióser

elresponsable

yfue

sentenciadoa

18m

esesen

prisiónen

enerode

2005.

Hackin

g

Eltérm

ino

popular

deluso

de

lapira

tería

(hacking)

se

relacionamásconelcracking,quesedefin

ecomoelacto

de

acceso

ilegala

una

infra

estru

ctura

de

red

para

realizar

activ

idadespocoéticas.

Wh

ite-Hat

Hackers

Wh

ite-Hat

Hackers

piratas reformados o profesionales que han logrado dom

inar el arte y la ciencia del hacking, realizan pruebas de penetración a la red de la em

presa y elaboran informe detallado de sus hallazgos

Wh

ite-Bo

xan

dB

lack-Bo

xH

acking

losW

hite-hackerscuentan

conalgún

tipode

diseñoy

elconocimiento

dela

infraestructurade

redde

laorganización

antesdel

intentode

sushacks.

LosB

lack-hacksno

tienenningún

conocimiento

previode

lared

deantes

deintentar

entrarilegalm

enteen

él.

Vulnerabilidad

Lavulnerabilidad

sedefine

como

lascaracterísticas

deun

sistema

queperm

itenque

alguienutilice

otom

eel

controldel

sistema

dem

aneraparcial

otom

eel

controldel

sistema

dem

aneraparcial

ocom

pleta.

Suelen caer en una de las siguientes categorías:

· Cuestiones de diseño (sistem

a operativo, protocolos, etc)

· Cuestiones hum

anos (admor, usuario, dispositivos abiertos)

· Cuestiones de aplicación (C

ontraseñas, Acceso rem

oto, internet))

Am

enazas

Como se m

encionó anterio

rmente, in

dependientemente de su

motiv

ación, lo

s hackers aprovechan la

svulnerabilid

ades.Los

hackers explotan la

s vulnerabilid

ades que son amenazas re

ales a

la segurid

ad de la

red.

lista genérica de las categorías de ataque: lista genérica de las categorías de ataque: •

ataque de reconocimiento

(recogen información uso scanner, analizadores)

•ataque de acceso (aprovechan vulnerabilidades)

•ataque de divulgación de inform

ación •

ataque de denegación de servicio (sobrecargado)

An

atom

ía de u

n sim

ple ataq

ue d

e Do

S

Un ataque D

oS proverbial llam

ado Land.c envía una petición TC

P S

YN

, dando la dirección del host de destino com

o de origen y destino, y utilizando el m

ismo puerto en el host de destino com

o de origen y de destino (por ejem

plo, la dirección de origen 10.0.0.1:139 a la dirección de destino 10.0.0.1:139).

An

atom

ía de u

n co

mp

lejo ataq

ue D

oS

distrib

uid

oU

na forma com

ún de ataque DoS

es un ataque DD

oS. E

n el caso de ataques D

DoS

, un atacante encuentra hosts que puede comprom

eter en las diferentes organizaciones y los convierte en los controladores de form

a las diferentes organizaciones y los convierte en los controladores de form

a rem

ota con la instalación de software de D

DoS

en ellos.

Tecnologías de M

itigación

•D

efensa contra Am

enaza.

•C

omunicación S

egura.

•C

onfianza e Identificación.•

Confianza e Identificación.

•M

ejores Practicas en S

eguridad de Redes

Defensa contra A

menazas

Defe

nd

ien

do

los lim

ites

Gu

ard

an

do

los p

un

tos te

rmin

ale

s.

Pro

teg

ien

do

el in

terio

r

Defensa contra A

menazas

•C

omo defenderse?

1.P

rotección contra virus

2.F

iltro de Trafico

2.F

iltro de Trafico

3.D

etección y Prevención de Intrusión

4.F

iltro de Contenido

Pro

tección

de V

irus

Ho

stsE

-mail S

erver

Red

IDS

IPS

Filtro

de Trafico

Filtrado E

stático de Paquetes

“Stateless”

No im

porta el estado del paquete filtra por M

AC

o IP

Filtro

de Trafico

Filtrado D

inámico de P

aquetes

“stateful”“stateful”

Fuente de la dirección IP

Destino de la dirección IP

Fuente del puerto

Destino del puerto

Conexión de banderas T

CP

Secuencias de núm

eros aleatorios TC

P

Importa el estado de conexión del paquete filtra por com

binación de conexión de:

Filtro

de Trafico

DM

Z Y

FIR

EW

AL

L

Detecció

n y P

revenció

n d

e Intru

sión

ID`S

IP

`S

Sistem

a de Detección de Intrusiones

Observa:

•Ataques C

onocidos: Patrones de V

irus o DoS

.•A

taques Conocidos: P

atrones de Virus o D

oS.

•Trafico anormal.

•Protocolos A

normales.

Sistem

a de Detección de Intrusiones

1.-B

asado en Host

2.-B

asado en Red

IDS

: Ho

sts

HIDS

NIDS

IDS

: Red

OP

ER

AC

IÓN

DE

UN

NID

SSistem

a de D

etección de IntrusionesIntrusiones

CU

AL E

S LA

DIF

ER

EN

CIA

?

IDS

VS

IPS

El IP

S m

onitorea lo mism

o que el IDS

, P

ero el primero tom

a Acción

bloqueandolos contenidos.

Filtrad

o d

e Co

nten

ido

Ro

uter

Firew

all

Filtrad

o d

e Co

nten

ido

UR

L F

iltro

Po

líticas de A

cceso a In

ternet

E-m

ail Filtro

Po

líticas de A

cceso a In

ternet

Pag

inas P

ermitid

asP

agin

as Neg

adas

XXX

Malw

areA

rchivo

s anexo

s ejecutab

les

Com

unicación Segura

Com

unicación Segura

EN

CR

IPTA

CIO

N

DE

S: D

ata Encryption S

tandard

3DE

S: D

ata Triple Encryption S

tandard

AE

SA

ES

: Advanced E

ncryption Standard

OP

ER

AC

IÓN

DE

LA E

NC

RIP

CIO

N

Llaves de Encriptación

Llaves Sim

étricaLlave A

simétrica

La mism

a llave siempre en la

encriptación y desencriptación

Diferente llave de desencriptación

a la llave de encriptación

ES

CE

NA

RIO

S D

E E

NC

RIP

TAC

ION

VP

NV

irtual Private N

etwork

SS

LS

SL

Red P

rivada dentro de una Publica

SS

LS

ecure Sockets

Layer

Protocolo de C

apa de Conexión S

egura

Archivo E

ncriptado

VP

N

VP

NV

PN

VP

N

IPsec

Internet Protocol S

ecurity

Autentificacion:

Solo los legitim

os transmisores y receptores pueden encriptar y

desencriptar el mensaje.

Confidencialidad:

El m

ensaje es ilegible para otros observadores. Solo es legible

para quien posee las llaves.

Integridad:U

n hashse anexa al m

ensaje, confirmando su integridad.

2.-R

ou

terIP

sec

3.-F

irewall

1.-C

on

centrad

or

de V

PN

IPsec

4.-C

liente IP

sec

Confianza e Identificación

1.-C

apacidad de Autentificación , A

utorización y Control.

Quien?

Que?

2.-C

ontrol de Acceso a la R

ed.

Cuando?

Autentificación , A

utorización y Control.

AA

A:A

uthenticacion, Authorization, A

ccounting

Para una fuerte autentificación se requieren 2

de los siguientes Factores:

Punto C

lave:

de los siguientes Factores:

�A

lgo

qu

e Co

no

ces•C

ontraseña•P

IN

�A

lgo

qu

e Tien

es•Tarjeta de A

cceso•Tarjeta bancaria•Token.

�A

lgo

qu

e Eres

•Algo B

iométrico

•Ej. R

etina•E

j. Huella

•Ej. C

alor Corporal

�A

lgo

qu

e Haces

•Escritura

NA

C

CO

NT

RO

L DE

AD

MIS

ION

DE

RE

D

Agente de

Clientes con Intención de A

cceso a la Red

Dispositivos de A

ccesode R

ed de Cisco

Servidor de P

olíticas de C

isco

Agente de

Confianza

de Cisco

Agente de

Seguridad

de Cisco

Aplicacion de P

olíticas de S

eguridadC

reación de Políticas

de Seguridad

PK

IP

ublic Key Infrastructure

Es

un

aco

mb

inació

nd

eh

ardw

arey

softw

are,p

olíticas

yp

roced

imien

tos

de

segu

ridad

qu

ep

ermiten

laejecu

ción

con

garan

tíasd

eo

peracio

nes

cripto

gráficas

com

oel

cifrado

,la

firma

dig

italo

eln

oco

mo

elcifrad

o,

lafirm

ad

igital

oel

no

repu

dio

de

transaccio

nes

electrón

icas.

Pro

pó

sito ?

La

tecno

log

íaP

KI

perm

itea

los

usu

arios

auten

ticarsefren

tea

otro

su

suario

sy

usar

lain

form

ación

de

los

certificado

sd

eid

entid

ad(p

or

ejemp

lo,

lasclaves

pú

blicas

de

otro

su

suario

s)p

aracifrar

yd

escifrarm

ensajes,

firmar

dig

italmen

tein

form

ación

,g

arantizar

elno

repu

dio

de

un

envío

,y

otro

su

sos.

PK

I

Operación de Llaves P

ublicas y Privadas

Usu

ario A

Alicia

Usu

ario B

Beto

Archivo

Archivo

Llave privadade B

etoLlave privadade A

licia

Alicia requiere la Llave

Publica de B

eto

Algoritm

o de E

ncripcion

%Z

W&

%$K

¨^!<

??86Q#|

Archivo E

ncriptado

Algoritm

o de E

ncripcion

Publica de B

eto

Llave Publica

de Beto

Llave privadade B

eto

Mejores P

racticas en Seguridad de R

edes

Recom

endacionesdeladecuado

cuidadoen

lam

ateriarealizadas

porexpertos

quetienen

absolutoconocim

ientoen

uncam

poen

absolutoconocim

ientoen

uncam

poen

particular.

Adm

inistrador de Red

Mejo

res P

ractic

as e

n

Segurid

ad d

e R

edes

Evaluación y A

uditorias

Mejo

res P

ractic

as e

n

Segurid

ad d

e R

edes

Políticas

Mejo

res P

ractic

as e

n

Segurid

ad d

e R

edes

�P

olíticas de Uso de Internet

�P

olíticas de Uso de C

orreo Electrónico

�P

olíticas de Acceso R

emoto

�P

olíticas de Acceso R

emoto

�P

olíticas de uso de Contraseñas

�P

olíticas de instalación de software y hardw

are

�P

olíticas de seguridad física

�P

olíticas de continuidad de negocios

DIS

EÑ

O D

E C

AM

PU

S S

EG

UR

O

DIS

EÑ

O D

E C

AM

PU

S S

EG

UR

O