Firewall, NAT, SNMP.Firewall, NAT, SNMP.Seguridad y Administración.Seguridad y Administración.

Redes 2Ing. Jessica Izquierdo A.

Introducción.

Seguridad y complejidad son proporcionales.

Seguridad y operabilidad son inversamente proporcionales.

Buena seguridad hoy es mejor que seguridad perfecta mañana.

Un sentido falso de seguridad es peor que un sentido verdadero de inseguridad.

Es mejor concentrarse en amenazas posibles conocidas.

Seguridad no es solamente firewalls o ACLs.

La seguridad debe ser una inversión y no un gasto.

¿Contra quien me protejo? Personas ajenas a la empresa? ¿Personas dentro de mi empresa?

¿Qué protejo? Computadoras, servidores, papelería, equipos, procesos, etc.

Introducción.

ATAQUES INTERNOS.

“Crackeo de archivos de password.”“Caballos de troya.”“Uso de accesos remotos de forma inapropiada.”“Explotación de huecos de seguridad en las aplicaciones o sistemas operativos.”“Destrucción de equipo. Se han llegado a ocasionar cortos circuitos con llaves, clips y desarmadores…”

ATAQUES EXTERNOS.

“Herramientas de inspección para encontrar passwords nulos.”“Explotar huecos de seguridad.”“Aprovechar accesos remotos inseguros.”“Técnicas de DoS y DDoS.”“Fuerza bruta.”“Sniffers”

Vulnerabilidades conocidas.

Denial of Service - DoS -

Distributed Denial of Service - DDoS -

Evolución de los ataques.

Seguridad en Enrutadores.

"Organizations spend hundreds of thousands of dollars on firewalls, virtual private networks, intrusion detection, and other security measures, and yet they run routers with out-of-the-box configurations,“"From personal experience, at least eight or nine out of every ten networks has routers that are vulnerable to attacks."

"Cisco routers run an estimated seventy to eighty percent of the Internet. Attacks on them by hackers are becoming increasingly more frequent," Akins warns. "Once an attacker has control of your router, he has control of your network. So router security is going to become an extremely important issue over the next few years."

Thomas Akin, Autor de Hardening Cisco Routers.

Seguridad en Enrutadores.

Los enrutadores proveen servicios que son esenciales para la operación correcta y segura de las redes que ellos forman. Comprometer un router puede volcarse en un severo problema de seguridad.

En general, un enrutador configurado de forma segura mejora de sobremanera la seguridad de la red. Las políticas aplicadas a un router deben prevenir problemas potenciales desde un principio.

Seguridad en Enrutadores.Fallas. Consecuencia.

Comprometer Tablas de ruteo. Reduce el desempeño de la red, Negación de los servicios de comunicación, exposición de datos sensibles.

Comprometer Control de Acceso. Exposición de la configuración detallada de la red. Negación del Servicio. Facilidad para atacar otros componentes de la red.

Mala configuración de filtrado. Reduce la seguridad sobre toda la red, exposición de los componentes internos, fácil de detectar para los ataques.

No usar criptografía. Datos importantes al descubierto, compromiso de la integridad de los datos.

¿Propuestas?

Tener en los routers seguridad, funciones de red, firewall, protección de intrusos, VPNs, filtrado de paquetes, funciones de ruteo.

¿Propuestas?

Tecnologías Emergentes.

Tecnologías Emergentes en uso.

IPSec-MPLS. Dynamic multipoint VPN. IPSec-NAT.

Costo aumenta!!.

Además:

Fuente: NSA – National Security Agencyhttp://www.nsa.gov/

FIREWALL.

Los dispositivos llamados FIREWALL establecen las políticas de control de acceso entre 2 o más redes. Esta función puede realizarse por software o hardware.

Un firewall ofrece un balance entre la seguridad y el acceso de salida hacia internet, el cual es utilizado en gran medida para enviar/recibir e-mails y navegar en la Web.

Con el crecimiento acelerado de internet, de usuarios remotos, usuariosmóviles, video-streaming, telefonía IP y nuevas aplicaciones “en línea”, los firewalls también han estado cambiando y agregando nuevas funciones tales como detección de intrusos, autenticación, autorización y sistemas de evaluación de vulnerabilidades.

Firewalls comerciales:

– Dedicated firewalls – Server firewalls – Personal firewalls

NAT – Network Address Translation.

NAT es el proceso de alterar el IP header de un paquete, en donde la dirección fuente, la dirección destino, o ambas, son reemplazadas por diferentes direcciones. Este proceso de reemplazo lo desempeña un dispositivo especializado (por software o hardware).

Un NAT típicamente opera en el perímetro de un dominio stub, es decir, una red que sólamente tiene una salida hacia Internet.

Cuando un host dentro de este dominio stub (ej. 10.16.50.34) quiere transmitir hacia un host externo, se envía el paquete a su default gateway, el cual redirecciona la petición hacia el NAT para reemplazar esta IP local por una IP global única (ej. 131.178.45.32).

Cuando el NAT ejecuta este cambio de IPs guarda un registro de esta acción en la “NAT translation table”.

Cuando un host exterior manda una respuesta, el NAT la recibe y verifica en la tabla a que IP interna corresponde esa dirección. Entonces reemplaza la dirección global destino (131.178.x.x) con la IP original (10.16.x.x), de esta forma los enrutadores sabrán hacia donde dirigir los paquetes.

Las traducciones de NAT pueden realizarse de forma estática o dinámica.

NAT – Network Address Translation.

NAT – Network Address Translation.

NAT – Network Address Translation.

NAT – Network Address Translation.

SNMP – Monitoreo remoto.

El protocolo SNMP (Simple Network Management Protocol) trabaja en la capa de aplicación. Fue diseñado para facilitar el intercambio de información de administración entre dispositivos.

Existen herramientas de monitoreo con las que podemos tenemos una visión global de nuestra topología de red, se pueden observar por cada equipo datos como paquetes recibidos por segundo, mensajes de error, interfaces con falla, etc.

De esta forma los administradores de la red pueden encontrar datos para medir el rendimiento de su red, encontrar y resolver problemas y planear el crecimiento futuro de la red según su comportamiento actual.

Componentes de un sistema de administración de red.

Network elements.– Es cualquier dispositivo en la red que pueda ser administrado, pueden ser

computadoras, enrutadores, switches, APs, servidores.

Agents.– Son módulos de software que se encuentran en los elementos de red.

Recolectan y almacenan información que sirven para el monitoreo.

Managed object. – Es una característica específica dentro de una clasificación de datos que

pueden ser monitoreados, por ejemplo “conexiones activas de TCP”.

Management information base (MIB). – Es una colección de objetos admistrados. Los módulos MIB guardan el

conjunto de objetos administrados que tienen relación entre sí.

SNMP.

Syntax notation. – Es un lenguaje que se utiliza para describir los objetos administrados de una

MIB en un formato totalmente independiente de la máquina/dispositivo.

Structure of Management Information (SMI).– Define las reglas que describen la información que se administrará.

Network management stations (NMSs).– También se llaman “consolas”. Ejecutan aplicaciones de administración que

monitorean y controlan los elementos de la red.

Management protocol.– Es usado para transportar información entre los agentes y los NMSs. SNMP

es el protocolo estándar para esta función.

Interacción entre los NMS y los dispositivos administrados.

La interacción entre los NMS y los “managed devices” se llevan a cabo con 4 tipos de comandos:

– Reads. NMSs leen la variables que manda el dispositivo administrado para

mantener actualizado el estatus de este. – Writes.

Los NMSs también pueden “escribir” información mediante las variables de los dispositivos administrados.

– Traversal operations. Los NMSs utilizan estas operaciones para obtener cuales variables puede

obtener de un dispositivos y obtener información secuencialmente de las tablas de variables de estos.

– Traps. Los dispositivos administrados usan traps para reportar ciertos eventos a

los NMSs.

Referencias Bibliográficas. CERT

http://www.cert.org/ Cisco Documentation

http://www.cisco.com/univercd/home/home.htm Cisco Press

http://www.ciscopress.com/ Cisco Security Technical Tips

http://www.cisco.com/warp/public/707/ IETF

http://www.ietf.orghttp://www.rfc-editor.org/

Packet Stormhttp://packetstormsecurity.nl/

Protocolshttp://www.protocols.com/

Security Focushttp://www.securityfocus.com/

Referencias Bibliográficas.

Estadísticas.– http://www.computerworld.com/securitytopics/security/

Búsqueda de Vulnerabilidades.– http://www.securityfocus.com/bid– http://www.iss.net/– http://search.securitybugware.org/– http://www.securitytracker.com– http://www.securepoint.com/

Tips técnicos sobre seguridad.– http://www.cert.org/tech_tips/

Monitoreo - SNMP.– http://www.cisco.com/warp/public/535/3.html

Referencias de Herramientas.

Etherealhttp://www.ethereal.com/

Ethereal es un sniffer, una herramienta de análisis que captura tráfico de la red.

FreeRADIUShttp://www.freeradius.org/

Este servidor es una implementación open-source de RADIUS. La versión recomendada es la 0.6, las anteriores ya no se utilizan.

Minicomhttp://www.pp.clinet.fi/~walker/minicom.html

Minicom es un emulador de una terminal para Linux y Unix. Con esta herramienta se puede lograr conexión al router o switch mediante la consola.

NCAT/RAThttp://ncat.sourceforge.net/

NCAT es una herramienta de propósito general que checa configuraciones. RAT es una versión que verifica específicamente configuraciones de routers; incluyendo las reglas que deben ser usadas para seguridad.

Nessushttp://www.nessus.org/

Nessus es una herramienta de búsqueda de vulnerabilidades de seguridad que se presentan en la red.

Referencias de Herramientas. NET-SNMPhttp://net-snmp.sourceforge.net/

NET-SNMP es una herramienta de software libre para SNMP.

Nmaphttp://www.insecure.org/nmap/http://www.eeye.com/html/Databases/Software/nmapnt.html Nmap es de las herramientas más utilizadas para escanear puertos en sistemas Linux y Unix. Realiza búsquedas de TCP, UDP y

direcciones IP de formas variadas.

SAINThttp://www.wwdsi.com/saint/index.html

SAINT (Security Administrator’s Integrated Network Tool) es una herramienta derivada de SATAN. Realiza búsquedas de vulnerabilidades en hosts, routers y redes.

SATANhttp://www.fish.com/~zen/satan/satan.html

SATAN (The Security Administrator’s Tool for Analyzing Networks) está orientado a búsquedas de vulnerabilidades en hosts de la red, aunque también puede identificar algunas vulnerabilidadews de routers.

TeraTerm Prohttp://hp.vector.co.jp/authors/VA002416/teraterm.html

TeraTem es un emulador de terminal y de telnet para Windows..