Seguridad de La Red-WMN2015-Distro

12/05/2015

1

DOMINIOS DE LA SEGURIDAD DE RED

• Especificado en ISO/IEC 27002 (antes ISO 17799)

1. Políticas de Seguridad.

2. Aspectos Organizativos De La Seguridad De La Información.

3. Seguridad Ligada a los Recursos Humanos.

4. Gestión de Activos.

5. Control de Accesos.

6. Gestión de Riesgos

7. Cifrado.

Ing. Mg. William Marchand N. 2

12/05/2015

2

DOMINIOS DE LA SEGURIDAD DE RED

• Especificado en ISO/IEC 27002 (antes ISO 17799)

8. Seguridad Física y Ambiental.

9. Seguridad Operativa.

10. Seguridad en las Telecomunicaciones.

11. Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información.

12. Gestión De Incidentes En La Seguridad De La Información.

13. Aspectos de Seguridad de la Información en la Gestión de la Continuidad

Del Negocio.

14. Cumplimiento


TIPOS DE ATAQUE

•Ataques de Reconocimiento

•Ataques de Acceso

•Ataques de Denegación de

Servicio (DoS)


12/05/2015

3

TIPOS DE ATAQUE - RECONOCIMIENTO

• Packet sniffers

• Ping sweeps (Barridos de ping)

• Port scans

• Internet information queries


MITIGACIÓN DE ATAQUES DE RECONOCIMIENTO

• Restringir el protocolo ICMP

• Implementar dispositivos de protección como firewall

• Sistemas de Detección y Prevención de Intrusos (IDS/IPS).

• Restringir puertos abiertos en los sistemas de red.


12/05/2015

4

TIPOS DE ATAQUE – DE ACCESO

• Tres razones: Recuperar datos, Acceder, y escalar privilegios de acceso

• Ataques a las credenciales de acceso (Passwords)

• Redireccionamiento de puertos

• Explotación de confianza

• Man in the middle

• Buffer overflow


MITIGACIÓN DE ATAQUES DE ACCESO

•Cifrado

•Revisión de LOGs.

•Revisión del uso del ancho de banda.

•Procesos cargados (en ejecución)


12/05/2015

5

TIPOS DE ATAQUE – DENEGACIÓN DE SERVICIO


DDoS

DoS

TIPOS DE ATAQUE – DENEGACIÓN DE SERVICIO

•Ping of Death (Ping de la muerte)

•Smurf Attack (reenvío de paquetes ICMP Reply)

•TCP SYN Flood Attack (Ataque por inundación de segmentos

SYN de TCP)


12/05/2015

6

MITIGACIÓN DE ATAQUES DE DENEGACIÓN DE SERVICIO

•Sistemas de Detección y Prevención de Intrusos (IDS/IPS).

•Seguridad de puertos

•Inspección de ARP

•Listas de Control de Acceso (ACLs)


SEGURIDAD DEFENSIVA EN LA REDIMPLEMENTACIÓN DE ALGUNAS SOLUCIONES


12/05/2015

7

CAPA 2 - SWITCHES

•HARDENIZACIÓN DE EQUIPOS DE CAPA 2.

•Cifrado de contraseñas.

•VLAN de administración.

•Mensajes disuasivos.

•Acceso remoto seguro (SSH).

•SEGURIDAD DE PUERTO


SWITCHES – LABORATORIO

• Configurar las contraseñas cifradas en el

switch.

• Configurar el acceso por SSH.

• Configurar seguridad de puerto. Evaluar los

diferentes modos.


Admin

B CA

12/05/2015

8

CAPA 3 - ROUTERS

•HARDENIZACIÓN DE EQUIPOS DE CAPA 3.

•Cifrado de contraseñas.

•Mensajes disuasivos.

•Acceso remoto seguro (SSH).

•ROUTER-FIREWALL

• Configuración de Listas de Control de Acceso (ACLs)


LISTAS DE CONTROL DE ACCESO (ACL)

• FILTRADO DE

PAQUETES

Por ejemplo, puede decir: "Sólo

permitir el acceso Web a

usuarios de la red A. Denegar

el acceso Web a usuario de la

red B, pero permitirles los otros

accesos".


12/05/2015

9

ACL – ¿QUÉ ES?

• La ACL es una configuración que controla si un equipo (router o servidor)

permite o deniega paquetes según el criterio encontrado en el

encabezado del paquete o segmento.

• Generalmente son configurados en los routers. En los entornos Linux se

denominan comúnmente como iptables.


ACL - ¿CÓMO FUNCIONA?


12/05/2015

10

TIPOS DE ACL

• ACL ESTÁNDAR

Las ACL estándar le permiten autorizar o denegar el tráfico desde las

direcciones IP de origen. No importan el destino del paquete ni los puertos

involucrados

• ACL EXTENDIDA

Las ACL extendidas filtran los paquetes IP en función de varios atributos, por

ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino,

puertos TCP o UDP de origen, puertos TCP o UDP de destino e información

opcional de tipo de protocolo.


ACL ESTANDAR

• Sintaxis

Router(config)#access-list número-de-lista-de-acceso deny permit remark

origen [wildcard origen] [log]

Ejemplos:

R1(config)# access-list 10 permit 192.168.10.0

R1(config)# access-list 10 permit 172.16.0.0 0.0.255.255

• Se ubica LO MAS CERCA AL DESTINO


12/05/2015

11

ACL ESTANDARAPLICACIÓN DE LA ACL

Para que haga efecto las reglas de la ACL, se debe aplicar a alguna interface del equipo.

Sintaxis:

Router(config-if)#ip access-group {número de lista de acceso | nombre de lista de acceso}

{in | out}

Ejemplo:

Router(config)#interface fa0/0

Router(config-if)#ip access-group 10 in


MASCARA WILCARD

• Una máscara wildcard es una secuencia de dígitos binarios que le

indican al router qué partes del número de subred observar.

• Las máscaras wildcard utilizan las siguientes reglas para hacer coincidir

sus unos y ceros binarios:

• Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la

dirección

• Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección


12/05/2015

12

ACL ESTÁNDAR

LABORATORIO

Implementar la topología

del diagrama


ACL EXTENDIDA• Sintaxis

• Ejemplos:

• Se ubica lo MAS CERCA AL ORIGEN


12/05/2015

13

ACL EXTENDIDA

LABORATORIO

Implementar la topología

en el simulador.

Analizar los resultados.


SEGURIDAD EN REDES INALÁMBRICAS• Elegir un SSID que no identifique a nuestra red o al fabricante de

nuestros equipos.

• Nunca dejar el SSID por defecto del fabricante.

• No dar pistas al atacante de la red de la que recibe cobertura.

• Deshabilitar el broadcast del SSID:

• No anunciar nuestra red… si es posible.

• Utilizar Open Authentication:

• Deshabilitar la Shared Key Authentication.


12/05/2015

14

SEGURIDAD EN REDES INALÁMBRICAS• Habilitar el filtrado de direcciones MAC:

• Si la finalidad de nuestra red nos los permite.

• Algoritmos de encriptación:

• Habilitar como mínimo WEP: Cambiar de forma asidua la clave.

• La opción más recomendable es actualizar el firmware/driver de los equipos y

utilizar WPA-PSK. (WPA2)

• En entornos empresariales la opción más adecuada es implementar una

solución WPA/WPA2 con servidor de autentificación RADIUS o TACACS+


ALGUNO PROBLEMAS CON WI-FI


12/05/2015

15

AUTENTICACIÓN INALÁMBRICA

WEP (Privacidad Equivalente a Cableado)

• Se basa en el algoritmo RC4 desarrollado por RSA Systems.

• Algoritmo de clave simétrica.

• Las dos partes de la comunicación (emisor y receptor) comparten un secreto, una

clave común, con la que cifran/descifran las comunicaciones.

• WEP fija el mecanismo mediante el cual se autentica al grupo de usuarios al que se

le permite acceder a la red.

• No autentifica usuarios individuales.

• No autentifica a los puntos de acceso



WPA (WiFi Protected Access)

• Subconjunto de medidas del estándar 802.11i.

• No es una solución propietaria con lo que se garantiza la interoperabilidad.

• Diseñado para que todos los equipos WiFi vendidos puedan ajustarse a sus

requerimientos tras una actualización de software o de firmware.

• Nuevas funcionalidades:

• Implementa mecanismos de autentificación mutua: IEEE 802.1x.

• Utiliza nuevos algoritmos sobre RC4 que sustituyen a WEP: TKIP (Temporal Key Integrity Protocol).

• Utiliza nuevos mecanismos para garantizar la integridad de los mensajes


12/05/2015

16


AUTENTICACIÓN POR SERVIDOR

En entornos empresariales es

recomendable utilizar servidores de

autenticación.

Uno de los mas usados es el servidor

RADIUS.



WPA2

• Modos duales: WPA/WEP y WPA2/WPA.

• Soporte para itinerancia rápida:

• Usuario pre-autenticado contra todos los puntos de acceso cercanos, no solo con el que esta

asociado.

• Encriptación AES (Advanced Encryption System):

• Algoritmo de Rijndael.

• Sustituye a DES y 3DES, típicos en la encriptación de VPNs y las comunicaciones bancarias.

• Aprobado por el NIST (National Institute of Standars).

• Resistente a todos los ataques de criptoanálisis conocidos.


12/05/2015

17

SEGURIDAD EN REDES INALAMBRICAS

DEMO

Configuración de servidor RADIUS


Servidor RADIUS

Host clientes

Router Inalámbrico

NOTA:

Se pueden utilizar diversos servidores como freeRADIUS, TekRADIUS, WinRADIUS, etc.

Para el caso de TekRADIUS utilizar como prueba el TekRadiusLT

Seguridad de La Red-WMN2015-Distro

Documents

Transcript of Seguridad de La Red-WMN2015-Distro