Seguridad de La Red-WMN2015-Distro
-
Upload
omar-lazo-quispe -
Category
Documents
-
view
218 -
download
2
description
Transcript of Seguridad de La Red-WMN2015-Distro
12/05/2015
1
DOMINIOS DE LA SEGURIDAD DE RED
• Especificado en ISO/IEC 27002 (antes ISO 17799)
1. Políticas de Seguridad.
2. Aspectos Organizativos De La Seguridad De La Información.
3. Seguridad Ligada a los Recursos Humanos.
4. Gestión de Activos.
5. Control de Accesos.
6. Gestión de Riesgos
7. Cifrado.
Ing. Mg. William Marchand N. 2
12/05/2015
2
DOMINIOS DE LA SEGURIDAD DE RED
• Especificado en ISO/IEC 27002 (antes ISO 17799)
8. Seguridad Física y Ambiental.
9. Seguridad Operativa.
10. Seguridad en las Telecomunicaciones.
11. Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información.
12. Gestión De Incidentes En La Seguridad De La Información.
13. Aspectos de Seguridad de la Información en la Gestión de la Continuidad
Del Negocio.
14. Cumplimiento
Ing. Mg. William Marchand N. 3
TIPOS DE ATAQUE
•Ataques de Reconocimiento
•Ataques de Acceso
•Ataques de Denegación de
Servicio (DoS)
Ing. Mg. William Marchand N. 4
12/05/2015
3
TIPOS DE ATAQUE - RECONOCIMIENTO
• Packet sniffers
• Ping sweeps (Barridos de ping)
• Port scans
• Internet information queries
Ing. Mg. William Marchand N. 5
MITIGACIÓN DE ATAQUES DE RECONOCIMIENTO
• Restringir el protocolo ICMP
• Implementar dispositivos de protección como firewall
• Sistemas de Detección y Prevención de Intrusos (IDS/IPS).
• Restringir puertos abiertos en los sistemas de red.
Ing. Mg. William Marchand N. 6
12/05/2015
4
TIPOS DE ATAQUE – DE ACCESO
• Tres razones: Recuperar datos, Acceder, y escalar privilegios de acceso
• Ataques a las credenciales de acceso (Passwords)
• Redireccionamiento de puertos
• Explotación de confianza
• Man in the middle
• Buffer overflow
Ing. Mg. William Marchand N. 7
MITIGACIÓN DE ATAQUES DE ACCESO
•Cifrado
•Revisión de LOGs.
•Revisión del uso del ancho de banda.
•Procesos cargados (en ejecución)
Ing. Mg. William Marchand N. 8
12/05/2015
5
TIPOS DE ATAQUE – DENEGACIÓN DE SERVICIO
Ing. Mg. William Marchand N. 9
DDoS
DoS
TIPOS DE ATAQUE – DENEGACIÓN DE SERVICIO
•Ping of Death (Ping de la muerte)
•Smurf Attack (reenvío de paquetes ICMP Reply)
•TCP SYN Flood Attack (Ataque por inundación de segmentos
SYN de TCP)
Ing. Mg. William Marchand N. 10
12/05/2015
6
MITIGACIÓN DE ATAQUES DE DENEGACIÓN DE SERVICIO
•Sistemas de Detección y Prevención de Intrusos (IDS/IPS).
•Seguridad de puertos
•Inspección de ARP
•Listas de Control de Acceso (ACLs)
Ing. Mg. William Marchand N. 11
SEGURIDAD DEFENSIVA EN LA REDIMPLEMENTACIÓN DE ALGUNAS SOLUCIONES
Ing. Mg. William Marchand N. 12
12/05/2015
7
CAPA 2 - SWITCHES
•HARDENIZACIÓN DE EQUIPOS DE CAPA 2.
•Cifrado de contraseñas.
•VLAN de administración.
•Mensajes disuasivos.
•Acceso remoto seguro (SSH).
•SEGURIDAD DE PUERTO
Ing. Mg. William Marchand N. 13
SWITCHES – LABORATORIO
• Configurar las contraseñas cifradas en el
switch.
• Configurar el acceso por SSH.
• Configurar seguridad de puerto. Evaluar los
diferentes modos.
Ing. Mg. William Marchand N. 14
Admin
B CA
12/05/2015
8
CAPA 3 - ROUTERS
•HARDENIZACIÓN DE EQUIPOS DE CAPA 3.
•Cifrado de contraseñas.
•Mensajes disuasivos.
•Acceso remoto seguro (SSH).
•ROUTER-FIREWALL
• Configuración de Listas de Control de Acceso (ACLs)
Ing. Mg. William Marchand N. 15
LISTAS DE CONTROL DE ACCESO (ACL)
• FILTRADO DE
PAQUETES
Por ejemplo, puede decir: "Sólo
permitir el acceso Web a
usuarios de la red A. Denegar
el acceso Web a usuario de la
red B, pero permitirles los otros
accesos".
Ing. Mg. William Marchand N. 16
12/05/2015
9
ACL – ¿QUÉ ES?
• La ACL es una configuración que controla si un equipo (router o servidor)
permite o deniega paquetes según el criterio encontrado en el
encabezado del paquete o segmento.
• Generalmente son configurados en los routers. En los entornos Linux se
denominan comúnmente como iptables.
Ing. Mg. William Marchand N. 17
ACL - ¿CÓMO FUNCIONA?
Ing. Mg. William Marchand N. 18
12/05/2015
10
TIPOS DE ACL
• ACL ESTÁNDAR
Las ACL estándar le permiten autorizar o denegar el tráfico desde las
direcciones IP de origen. No importan el destino del paquete ni los puertos
involucrados
• ACL EXTENDIDA
Las ACL extendidas filtran los paquetes IP en función de varios atributos, por
ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino,
puertos TCP o UDP de origen, puertos TCP o UDP de destino e información
opcional de tipo de protocolo.
Ing. Mg. William Marchand N. 19
ACL ESTANDAR
• Sintaxis
Router(config)#access-list número-de-lista-de-acceso deny permit remark
origen [wildcard origen] [log]
Ejemplos:
R1(config)# access-list 10 permit 192.168.10.0
R1(config)# access-list 10 permit 172.16.0.0 0.0.255.255
• Se ubica LO MAS CERCA AL DESTINO
Ing. Mg. William Marchand N. 20
12/05/2015
11
ACL ESTANDARAPLICACIÓN DE LA ACL
Para que haga efecto las reglas de la ACL, se debe aplicar a alguna interface del equipo.
Sintaxis:
Router(config-if)#ip access-group {número de lista de acceso | nombre de lista de acceso}
{in | out}
Ejemplo:
Router(config)#interface fa0/0
Router(config-if)#ip access-group 10 in
Ing. Mg. William Marchand N. 21
MASCARA WILCARD
• Una máscara wildcard es una secuencia de dígitos binarios que le
indican al router qué partes del número de subred observar.
• Las máscaras wildcard utilizan las siguientes reglas para hacer coincidir
sus unos y ceros binarios:
• Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la
dirección
• Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección
Ing. Mg. William Marchand N. 22
12/05/2015
12
ACL ESTÁNDAR
LABORATORIO
Implementar la topología
del diagrama
Ing. Mg. William Marchand N. 23
ACL EXTENDIDA• Sintaxis
• Ejemplos:
• Se ubica lo MAS CERCA AL ORIGEN
Ing. Mg. William Marchand N. 24
12/05/2015
13
ACL EXTENDIDA
LABORATORIO
Implementar la topología
en el simulador.
Analizar los resultados.
Ing. Mg. William Marchand N. 25
SEGURIDAD EN REDES INALÁMBRICAS• Elegir un SSID que no identifique a nuestra red o al fabricante de
nuestros equipos.
• Nunca dejar el SSID por defecto del fabricante.
• No dar pistas al atacante de la red de la que recibe cobertura.
• Deshabilitar el broadcast del SSID:
• No anunciar nuestra red… si es posible.
• Utilizar Open Authentication:
• Deshabilitar la Shared Key Authentication.
Ing. Mg. William Marchand N. 26
12/05/2015
14
SEGURIDAD EN REDES INALÁMBRICAS• Habilitar el filtrado de direcciones MAC:
• Si la finalidad de nuestra red nos los permite.
• Algoritmos de encriptación:
• Habilitar como mínimo WEP: Cambiar de forma asidua la clave.
• La opción más recomendable es actualizar el firmware/driver de los equipos y
utilizar WPA-PSK. (WPA2)
• En entornos empresariales la opción más adecuada es implementar una
solución WPA/WPA2 con servidor de autentificación RADIUS o TACACS+
Ing. Mg. William Marchand N. 27
ALGUNO PROBLEMAS CON WI-FI
Ing. Mg. William Marchand N. 28
12/05/2015
15
AUTENTICACIÓN INALÁMBRICA
WEP (Privacidad Equivalente a Cableado)
• Se basa en el algoritmo RC4 desarrollado por RSA Systems.
• Algoritmo de clave simétrica.
• Las dos partes de la comunicación (emisor y receptor) comparten un secreto, una
clave común, con la que cifran/descifran las comunicaciones.
• WEP fija el mecanismo mediante el cual se autentica al grupo de usuarios al que se
le permite acceder a la red.
• No autentifica usuarios individuales.
• No autentifica a los puntos de acceso
Ing. Mg. William Marchand N. 29
AUTENTICACIÓN INALÁMBRICA
WPA (WiFi Protected Access)
• Subconjunto de medidas del estándar 802.11i.
• No es una solución propietaria con lo que se garantiza la interoperabilidad.
• Diseñado para que todos los equipos WiFi vendidos puedan ajustarse a sus
requerimientos tras una actualización de software o de firmware.
• Nuevas funcionalidades:
• Implementa mecanismos de autentificación mutua: IEEE 802.1x.
• Utiliza nuevos algoritmos sobre RC4 que sustituyen a WEP: TKIP (Temporal Key Integrity Protocol).
• Utiliza nuevos mecanismos para garantizar la integridad de los mensajes
Ing. Mg. William Marchand N. 30
12/05/2015
16
AUTENTICACIÓN INALÁMBRICA
AUTENTICACIÓN POR SERVIDOR
En entornos empresariales es
recomendable utilizar servidores de
autenticación.
Uno de los mas usados es el servidor
RADIUS.
Ing. Mg. William Marchand N. 31
AUTENTICACIÓN INALÁMBRICA
WPA2
• Modos duales: WPA/WEP y WPA2/WPA.
• Soporte para itinerancia rápida:
• Usuario pre-autenticado contra todos los puntos de acceso cercanos, no solo con el que esta
asociado.
• Encriptación AES (Advanced Encryption System):
• Algoritmo de Rijndael.
• Sustituye a DES y 3DES, típicos en la encriptación de VPNs y las comunicaciones bancarias.
• Aprobado por el NIST (National Institute of Standars).
• Resistente a todos los ataques de criptoanálisis conocidos.
Ing. Mg. William Marchand N. 32
12/05/2015
17
SEGURIDAD EN REDES INALAMBRICAS
DEMO
Configuración de servidor RADIUS
Ing. Mg. William Marchand N. 33
Servidor RADIUS
Host clientes
Router Inalámbrico
NOTA:
Se pueden utilizar diversos servidores como freeRADIUS, TekRADIUS, WinRADIUS, etc.
Para el caso de TekRADIUS utilizar como prueba el TekRadiusLT