Redes y Seguridad - WordPress.com€¦ · Ocultamiento de información sensible (privacidad) ......

Redes y SeguridadRedes y Seguridad

Universidad Católica Andrés Bello

Universidad Simón Bolívar

Prof. Wílmer Pereira


Aplicación

Transporte

Independencia de capas

Direccionamiento explícito

Dominio en Aplicación

Puerto lógico en Transporte

Modelo clásico de capasModelo clásico de capas




Red

Acceso al medio

Física

Puerto lógico en TransporteIP en RedMacAddress en Acceso al medioPuerto físico en Física

Standard de facto en RFC

Modelo cliente/servidor

Emisor Receptor

Ensambladode

paquetes

Desensambladode

paquetes

Datos

Estructuracion de paquetesEstructuracion de paquetes




paquetes paquetes

Paquete

Trama

Secuencias de bits

Segmento

Tipos de RedesTipos de Redes

LAN (Ethernet --- Tarjeta de red)

MAN (ADSL, metroEthernet --- CANTV)

WAN (IP --- Internet)

Inalámbrico




WPAN (Bluetooth --- Corto alcance)

WLAN (WiFi --- Access Point)

WMAN (WiMax, GPRS, UMTS --- Celular)

WWAN (SATM, GPS --- Satélite)

Medios físicos cableadosMedios físicos cableados

Par Trenzado: Cables de cobre de 1 mm trenzados para evitar diafonía.UTP, ScTP o STP (apantallado => menos diafonía y mejor calidad)Sin embargo los apantallados tienen el problema de la puesta a tierraSe usa en analógico o digital, Categoría 5 y 5e = 100 Mbps y 1 GbpsCategoría 6 = 10 Gbps (próxima generación)




Cable Coaxial: Buena inmunidad al ruido, mayor AB que STP y también conexión a tierraEn troncales telefónicos es substituido por la fibra óptica Banda base = 50 Ohm, para datos (en desuso)Banda ancha = 75 Ohm para CATV

Fibra Óptica: Mayor ancho de banda, menor atenuación y no requieren conexión a tierraMás ligero e inmune a factores ambientales y electromagnéticosMateria prima abundante (arena)Menos estaciones repetidorasEn distancias cortas hasta 50 TbpsDos tipos Monomodo (un haz) y Multimodo (varios haces)Usa LED o laser para la emisión de luz

Tendido de fibra óptica que pasa a travésde un medio acuático (mar, lago o río)

Breve Historia:1850 primer cable para telegrafía a través del canal de la mancha1956 primer cable interoceánico (coaxial para telefonía) desde Inglaterra a USA1988 TAT-8 primer cable submarino con fibra óptica y tecnología digital2000 … Anillos interoceánicos FLAG, ARCOS y TAT-14 en operación …

Cable submarinoCable submarino




2000 … Anillos interoceánicos FLAG, ARCOS y TAT-14 en operación …… Todos los continentes están conectados excepto la Antartica …

Tipos de cable:Ligero: Entre 1500 a 7000 mts de profundidad (no blindados)Armado: Para baja profundidad < 1500 mts (con mallado de acero)

Ambos están compuestos de varios tipos de materiales

Núcleo: Contiene la fibra óptica por donde se transmiten los datosAlimentación: Electricidad para las repetidorasPolietileno: Aislamiento y no evita corrosión del cable de alimentaciónMallado de acero: Protección contra estiramiento y ataque de animalesCubierta exterior: Polietileno impermeabilizante

Cables submarinos mundialesCables submarinos mundiales




Cables submarinos en VenezuelaCables submarinos en Venezuela




Estaciones en VenezuelaEstaciones en VenezuelaTres estaciones de amarre:Camuri Chico

América I (1994)América II (2000)Enlaces a Anillos Costeros

Punto FijoPanamericano Arcos IConexión a un anillo costero Occidental




Conexión a un anillo costero OccidentalCaracas

Alba-1 (sólo hacia Cuba) Globenet

Son 7 anillos de fibra óptica con algunos tramos oceánicos.

Hay enlaces con los Columbus (Europa) en el Caribe

Conexión con el resto de Sudamérica hacia Unisur

Anillos de fibra óptica nacionalesAnillos de fibra óptica nacionales




Sistema TelefónicoSistema TelefónicoServicio de transmisión de voz que se utiliza

en informática si la comunicación más allá delámbito de una red local (LAN)

Red Telefónica vs Red Informática

~ 64Kbps 10 Mbps -100Mbps




La evolución va hacia permitir tráfico de DatosDatosde diversa índole sobre la red telefónica: VozVoz

Video (TV)Video (TV)

~ 64Kbps 10 Mbps -100Mbps1 error × 105 bits 1 error × 1013 bits

ISDN (Red Numérica de Integración de Servicios)

Historia y arquitecturaHistoria y arquitectura

Graham Bell patentó el teléfono en marzo de 1876 (y Elisha Grey ...)Se tendía un cable entre cada par de teléfono o líneas públicasEl primer centro de conmutación (manual) en 1878La conmutación automática fue desarrollada por propietario de funeraria

Arquitectura




El número telefónico referencia a la jerarquía de conmutaciónCables de 2, 4 o 6 hilos dependiendo de los servicios ofrecidosLa última milla va al abonado y los cables entre centrales son troncales

Conmutación a comienzos del siglo 20Conmutación a comienzos del siglo 20




Transmisión Analógica vs DigitalTransmisión Analógica vs Digital

Menos errores a pesar de la mayor atenuación,restaura más eficientementePermite mezclar muchos serviciosMantenimiento más sencillo (El eco se evita con supresores)Más barato

Última milla




Última millaAnalógico hacia el teléfono y digital para el tráfico entre centrales

Conexión ADSLConexión ADSL




Casa:NID (dispositivo de Interfaz de Red). Separa canal de voz de datosModem o router ADSL a tarjeta red o puerto USB

Proveedor:DivisorDSLAM

Espectro ElectromagnéticoEspectro Electromagnético

Permite movilidad (celular, laptop, PDA) ycada servicio se sintoniza a distintas portadoras

MHz GHz THz




Las frecuencias son asignadas por organismos públicos en cada país (CONATEL en Venezuela, FCC en USA, ITU a nivel mundial)

MHz GHz THz PHz

Principios de telefonía celularPrincipios de telefonía celularCeldas conformadas por la estación base (direccional o no)Reuso de frecuencias en celdas no adyacentesAnte congestión se subdividen más las celdasCambio automático de celda ante usuario en movimiento handoff Suave, Duro e Intracelda Estación de conmutación independiente de la estación base (conexión vía microondas o cableada)




(conexión vía microondas o cableada)Canal de señalización (paging, control, access y data)GSM (Digitel), WCDMA(GSM y CDMA) (Movistar), CDMA1x (Movilnet)

Comunicación satelitalComunicación satelital

Breve historia ... El primer satélite fue ruso sputnik (1957), aunque no de telecomunicaciones, inicio guerra fria. Después sputnik II con Laika Echo repetidora con pantalla de aluminio (1960). Visible

Repetidora en el espacio con ancho de banda entre 3,7 GHz y 30 GHz: TV, telefonía, meteorología, localización, etc




Echo repetidora con pantalla de aluminio (1960). Visible de 10-90 minutos al día (no amplificaba). Telstar primer satélite real (1962). Olimpiadas de Tokio en vivo (1964) INTELSAT Consorcio internacional de 120 países, más de 20 satélitesINMARSAT comunicación marítima (más de 47 países)

Órbitas por altitud:Geoestacionarios (GEO) o polares (Molniya)Altitud media (MEO)Baja altitud (LEO)

Órbitas satelitalesÓrbitas satelitales




Satélite Simón Bolívar (VenesatSatélite Simón Bolívar (Venesat--1)1)




Estación terrestre en Guarico (el Sombrero) y Bolívar (Luepa)Peso de 6 toneladas y una envergadura de 15 mtsEn el espacio de Uruguay (órbita Clark 959) por lo queusan el 10% del ancho de bandaDos antenas Ku una hacia el Caribe y otra hacia el sury una antena Ka sólo hacia VenezuelaYa está en órbita el Francisco de Miranda (VeneSat-2)

Buhoneros de la telefonía …Buhoneros de la telefonía …




Italia 1930 Malasia 1920

Modelo Cliente/ServidorModelo Cliente/Servidor

interfaz demonio

Petición

Respuesta

Máquina local Máquina remota




Cliente Servidor

Respuesta

Todos los servicios sobre Internet funcionan bajo esta arquitecturaEl medio de envío para petición/respuesta es la redUn servidor debe poder manejar varios usuarios concurrentemente

Página Web DinámicaPágina Web Dinámica(lado del cliente)(lado del cliente)

BrowserjavascriptappletsactiveX

HTTP

PeticiónURL

RespuestaPágina HTML

+





activeXflash

Cliente Servidor

+Aplicación

Una aplicación corre del lado del clienteConstruye una página Web ejecutando una aplicación que viajó desde el servidorEl browser debe ser capaz de ejecutar aplicaciones (plug-ins)

Páginas Web Dinámicas Páginas Web Dinámicas (lado del servidor)(lado del servidor)

Browser HTTPPHPASP

PeticiónURL

RespuestaPágina HTML


BaseBasede de DatosDatos




ASPJSP

Cliente Servidor

Página HTML DatosDatos

Una aplicación corre del lado del servidorConstruye una página Web con los datos extraídos de la BD El browser sólo visualiza páginas HTML

Clases de direcciones IP Clases de direcciones IP Pueden ser privadas o públicas, asignadas estáticas o dinámicamente

A: 128 redes a 16 millones de hosts




Rangos de direcciones privadas10.0.0.0 - 10.255.255.255 (16.777.216 computadores)172.16.0.0 - 172.31.255.255 (1.048.576 computadores)192.168.0.0 - 192.168.255.255 (65.536 computadores)

16 millones de hostsB: 16.382 redes a

64.000 hostsC: 2 millones de redes a

256 hosts

IPv6IPv6El número creciente de usuarios y de conexiones con portatiles

inalámbricos, televisores y hasta teléfonos sugieren el aumento de dir´s IP

Objetivos:Aumentar el número de direcciones IP Disminuir tiempo de procesamiento en tránsito




Disminuir tiempo de procesamiento en tránsitoProporcionar seguridadConsiderar servicios multimediasPosibilitar uso de computadores móvilesPermitir que versiones viejas y nuevas coexistan

No es compatible con IPv4 pero respeta los demás protocolos

Ejemplo de direcciones:

Son 128 bits (2128 direcciones IPv6) lo cual da aproximadamente 3* 1038 direcciones a disposición

(del orden de la centena de sixtillones de direcciones)

Direcciones IPv6Direcciones IPv6




IPv4: 159.90.19.64IPv6: 54D3:334B:180A:4321:54D3:334B:180A:4321

Si se llena el volumen de Tierra y Luna con esferas de 1 mm de radio se necesitarían aproximadamente 12,27*1037 esferas …UNA DIRECCIÓN IPv6 A CADA ESFERITA …

Asignación de direccionesAsignación de direcciones

En IPv4 corresponden 8 personas por dirección suponiendo que no hay desperdicio.

En IPv6 corresponden 8.129.240 direcciones por persona !!Esto porque a partir de Oct/2006 se hizo distribución




Esto porque a partir de Oct/2006 se hizo distribución equitativa por paises sin importar su desarrollo

Latinoamericana tiene 4,503,599,627,370,496 computadoras,es decir, 67 millones más que con IPv4.

Servicios usuario finalServicios usuario finalRedes sociales (facebook, twitter, whatsapp, …)

VoIP (skype …)

Localizadores (googleMaps, …)

Correo electrónico y chat (gmail, hotmail, …)




Correo electrónico y chat (gmail, hotmail, …)

Audio y video (youtube, instagram, vine…)

La nube … (googleDrive, dropbox, …)

P2P (torrent, emule, limewire, …)

Buscadores y repositorios (google, wikipedia, ..)

Objetivos de la SeguridadObjetivos de la Seguridad

Servicios Mecanismos

Definir mecanismos y arquitecturas para tener ambientes seguros con respuesta

efectiva ante ataques y pérdidas




Servicios Mecanismos

Confidencialidad PoliticasAutentificación CifradoIntegridad Firma Digital No repudio FirewallControl de acceso VPNDisponibilidad IDS

Confidencialidad:Ocultamiento de información sensible (privacidad)Integridad:Detectar alteraciones en el contenido de los mensajesAutentificación:Verificar la identidad del usuario

Servicios de SeguridadServicios de Seguridad




Verificar la identidad del usuario Autorización:Permitir acceso a ciertos recursos al usuarioNo repudio:Evitar rechazo ante compromisos digitales asumidosControl de acceso:Evitar la intrusión de atacantes hacia puntos sensibles Disponibilidad:Asegurar permanencia del servicio

Técnica para ocultar y así proteger informaciónmientras permanece en disco o mientras está en tránsito

Historia: Tiene tres momentos claves

Dependiente del algoritmoCódigo Cesar

CriptografíaCriptografía




Código CesarEsteganografía

Dependiente de una clave simétricaCifrado Vigénere y Cuaderno de uso únicoEnigma

Bletchley Park (Colossus)PurpuraDES y AES

Dependiente de dos claves (publica y privada)Diffie-HellmanRSA (Rivest-Shamir-Adleman)

Técnicas básica de criptografíaTécnicas básica de criptografía

Substitución:

Cambia un carácter por uno o varios caracteres

M U R C I E L A G O0 1 2 3 4 5 6 7 8 9

Hola como estas H967 3909 5ST7SEstas técnicas por si solas




Hola como estas H967 3909 5ST7SEstas técnicas por si solas

no son suficientes pues si

el algoritmo es conocido

se pierde el secreto del

mecanismo de cifrado

Transposición:

Sobre una matriz se intercambian filas porcolumnas

holacomo hcesooslmtaoaestas

Clave compartida donde reside todo el secreto pues el algoritmo es bien conocido. Mezcla substitución + transposición

Premisas:

Texto en claro XTexto cifrado Y

Criptografía de Clave SimétricaCriptografía de Clave Simétrica




Texto cifrado YK Clave compartidaEK(Z) Cifrar Z con KE-1

K(Z) Descifrar Z con K

X XY

A B

Y=EK(X)

K

X=E-1K(Y)

K

DES: Nace de un standard IBMy adoptado por el la DoD Gratuito y debería substituirse por AES.Sólo claves de 56 bits y por ello se usa tripleDES

IDEA: Patentado en Suiza y propiedad de ASComtechClaves de 128 bits por lo que es más seguro

RC2: Secreto comercial, divulgado por Internet en 1996

Algoritmos de Clave SimétricaAlgoritmos de Clave Simétrica




RC2: Secreto comercial, divulgado por Internet en 1996Claves hasta 2048 bits aunque sólo 40 fuera de USA

AES: Licitación pública de 15 candidatos en el 2000Ganó algoritmo de Rijmen y Daemen que subtituye a DES

Mientras más grande es la clave más difícil de romper con fuerza bruta

Clave 40 bits ≈ 1012 claves posibles, procesa 1 clave/µseg

Clave 128 bits ≈ 1038 claves posibles, procesa 1 clave/µseg→ 13 días

→ 1,01x1010 siglos

Si 109 computadores → 1013 años

Se basa en dos claves una pública expuesta y una privada bien resguardadaCada clave se puede usar tanto para encriptar como para desencriptar

Problemas del cifrado simétrico:Proliferación de clavesIntercambio inicial de la clave vía red complica el procedimiento

Criptografía de Clave PublicaCriptografía de Clave Publica




Texto en claro XTexto cifrado YKu

A Clave pública de AKi

A Clave privada de AEKuA(Z) Cifrar Z con la clave pública de AE-1

KuA(Z) Descifrar Z con la clave pública de A

X XY BA

Y=EKuB(X) X=E-1KiB

(Y)

KiA

KiB

KuA

KuB

Confidencialidad con Clave PúblicaConfidencialidad con Clave Pública




Intruso tiene:

Texto cifrado

Claves públicas de A y B

No puede obtener el texto en claro

X XY BA

Y=EKiA(X) X=E-1

KuA(Y)

KiA

KuA

KiBKu

B

Autentificación con Clave PúblicaAutentificación con Clave Pública




Intruso tiene:

Texto cifrado


Puede obtener el texto en claro y asegurar la identidad del emisor

Así lo más idoneo es que no transmita información confidencial o

si lo hace cifre y de autentificación simultaneamente …

Confidencialidad + AutentificaciónConfidencialidad + Autentificación

X XY BA

EKuB(EKi

A(X)) = Y E-1Ku

A(E-1Ki

B(Y)) = X

KiA

KuA

KiBKu

B




Intruso tiene:

Texto cifrado


No puede obtener ninguna información util ……

Usos:AutentificaciónFirma digital Por ser muy lentos no se usanIntercambio de claves para confidencialidad…

Algoritmos:RSA: Rivest/Shamir/Adleman del MIT

Algoritmos de Clave PublicaAlgoritmos de Clave Publica




RSA: Rivest/Shamir/Adleman del MITEl Gamal: GratuitoDSA: NSA (National Security Agency)

Sólo para firma digitalAnécdota ...

Merkle ofrece (1978) $100 a quien rompa snapsackShamir lo rompe en 1982 Merkle corrige y ofrece $1000Brickell lo rompe 1984

Certificación DigitalCertificación DigitalEmular la capacidad de identificación en

soporte digital

Involucra Autoridades de Certificación




Involucra Autoridades de Certificacióndonde se usa la infraestructura PKI

Tipos:Lo que se sabe (clave de acceso)Lo que se tiene (carnet)Lo que se es (biometría)

Sin embargo Sin embargo todos tiene todos tiene inconvenientes ...inconvenientes ...

Autoridades de CertificaciónAutoridades de CertificaciónTerceros que avalan la clave pública de

entes comerciales, desarrolladores de softwarey particulares

Compañía aseguradora que avala la seguridadde transacciones comerciales




Compañía aseguradora que avala la seguridadde transacciones comerciales

FuncionamientoFuncionamiento:Una CA firma con su clave privada las claves públicas de sus clientesPara descifrar se requiere tener la clave pública de la CA (browser)Las CA se certifican con otras o se avalan a si mismasSe utiliza los certificados standard X.509-v3

Certificados X.509Certificados X.509--v3v3Versión

Número de serie

Algoritmo de cifrado

CA EmisoraPeríodo de validez




Período de validezno antes ...

no después ...

Clave pública

Algoritmo de compendio

Firma

Niveles de Seguridad por Niveles de Seguridad por Capas del Modelo TCP/IPCapas del Modelo TCP/IP

Aplicación

Transporte

Red

PGP, S-MIME, ssh, sftp, scp, ...

SSL

IPsec (Modo transporte)

IPsec (modo Tunel) e IDS




Red

Física

IPsec (modo Tunel) e IDS

Seguridad Física

Factores a evaluarFactores a evaluar:Seguridad dependiente del usuario Seguridad dependiente del tráficoProtección de cabeceras de paquetesAutentificación de máquinasSeguridad del hardware

VPN VPN (Virtual Private Network)(Virtual Private Network)

Conexión a través de WAN que simula un canal dedicado,mediante cifrado, por lo que emula un circuito virtual

UsosUsos:

Más barato que un canal dedicadoAcceder localmente servidores situados remotos (transparencia)




Acceder localmente servidores situados remotos (transparencia)Cliente que remotamente accede de manera segura a su LAN(privacidad)

TiposTipos de VPNde VPN:

Cliente/Red: Cliente se conecta usando la red, a través de un ISP, vía protocolo VPN, (modos transparente o no transparente)

Red/Red: Conectar LAN’s

Tipos de VPNTipos de VPN

WANCliente Proxy

Web

E-mail

ISP




Servidor VPN

C/S VPN WAN

C/SVPN

LAN Corporativa LAN Corporativa

FirewallFirewall

Controlador de tráfico entre la red interna y la red externaFiltra paquetes sobre un único punto de entrada

Cuidado con las puertas traseras ....Conexiones vía modemEnlaces inalámbricos




Internet

FirewallUno o varios routers o máquinas bastiones

LAN Corporativa

Capacidades de un FirewallCapacidades de un FirewallVirtudesVirtudes:Ente centralizado que facilita la toma de decisiones de seguridad con la ACL (Access Control List)Estadísticas de tráfico y prevención de problemas

Debilidades:Debilidades:Proteger contra usuarios maliciosos internosAmenazas no previstas en el ACL




Amenazas no previstas en el ACLNormalmente no protege contra virus (el filtrado sería muy lento)

Firewall de Red: Router de protección o máquina independienteFirewall de Aplicación: Proxy dependiente de las aplicacionesFirewall Personal: Corre sobre la propia máquinaFirewall de Kernel: Se instala con el SOP (iptables para linux)

Puede ser personal o de red

Tipos de Firewalls

Router ACL

LAN Internet

Arquitecturas de FirewallsArquitecturas de Firewalls

InternetRouter Externo




Router Interno

Externo

Bastion

Perímetro de seguridad

LAN Corporativa

Redes y Seguridad - WordPress.com€¦ · Ocultamiento de información sensible (privacidad) ......

Documents

Transcript of Redes y Seguridad - WordPress.com€¦ · Ocultamiento de información sensible (privacidad) ......