Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Redes y...

Universidad Católica Andrés BelloUniversidad Simón Bolívar

Prof. Wílmer Pereira

Redes y SeguridadRedes y Seguridad




Aplicación

Transporte

Red

Acceso al medio

Física

Independencia de capas

Direccionamiento explícito

Dominio en AplicaciónPuerto lógico en TransporteIP en RedMacAddress en Acceso al medioPuerto físico en Física

Standard de facto en RFC

Modelo cliente/servidor

Modelo clásico de capasModelo clásico de capas



Emisor Receptor

Ensamblado de paquetes

Desensamblado de paquetes

Paquete

Trama

Secuencias de bits

Segmento

Datos

Estructuracion de Estructuracion de paquetespaquetes



Tipos de RedesTipos de RedesLAN (Ethernet --- Tarjeta de red)

MAN (ADSL, metroEthernet --- CANTV)

WAN (IP --- Internet)

Inalámbrico

WPAN (Bluetooth --- Corto alcance)

WLAN (WiFi --- Access Point)

WMAN (WiMax, GPRS, UMTS --- Celular)

WWAN (SATM, GPS --- Satélite)



Medios físicos Medios físicos cableadoscableados

Par Trenzado: Cables de cobre de 1 mm trenzados para evitar diafonía. UTP, ScTP o STP (apantallado => menos diafonía y mejor calidad)

Sin embargo los apantallados tienen el problema de la puesta a tierraSe usa en analógico o digital,

Categoría 5 y 5e = 100 Mbps y 1 Gbps Categoría 6 = 10 Gbps (próxima generación)

Cable Coaxial: Buena inmunidad al ruido, mayor AB que STP y también conexión a tierra

En troncales telefónicos es substituido por la fibra óptica Banda base = 50 Ohm, para datos (en desuso)

Banda ancha = 75 Ohm para CATV Fibra Óptica: Mayor ancho de banda, menor atenuación y no requieren conexión a

tierraMás ligero e inmune a factores ambientales y electromagnéticosMateria prima abundante (arena)Menos estaciones repetidorasEn distancias cortas hasta 50 TbpsDos tipos Monomodo (un haz) y Multimodo (varios haces)Usa LED o laser para la emisión de luz



Tendido de fibra óptica que pasa a través

de un medio acuático (mar, lago o río)

Breve Historia:1850 primer cable para telegrafía a través del canal de la mancha1956 primer cable interoceánico (coaxial para telefonía) desde Inglaterra a USA1988 TAT-8 primer cable submarino con fibra óptica y tecnología digital2000 … Anillos interoceánicos FLAG, ARCOS y TAT-14 en operación …… Todos los continentes están conectados excepto la Antartica …

Tipos de cable:Ligero: Entre 1500 a 7000 mts de profundidad (no blindados)Armado: Para baja profundidad < 1500 mts (con mallado de acero)

Ambos están compuestos de varios tipos de materiales

Núcleo: Contiene la fibra óptica por donde se transmiten los datosAlimentación: Electricidad para las repetidorasPolietileno: Aislamiento y no evita corrosión del cable de alimentaciónMallado de acero: Protección contra estiramiento y ataque de animalesCubierta exterior: Polietileno impermeabilizante

Cable Cable submarinosubmarino



Cables submarinos Cables submarinos mundialesmundiales



Cables submarinos en Cables submarinos en VenezuelaVenezuela



Estaciones en Estaciones en VenezuelaVenezuela

Tres estaciones de amarre:Camuri Chico

América I (1994)América II (2000)Enlaces a Anillos Costeros

Punto FijoPanamericano Arcos IConexión a un anillo costero Occidental

CaracasAlba-1 (sólo hacia Cuba) Globenet

Son 7 anillos de fibra óptica con algunos tramos oceánicos.

Hay enlaces con los Columbus (Europa) en el Caribe

Conexión con el resto de Sudamérica hacia Unisur



Anillos de fibra óptica Anillos de fibra óptica nacionalesnacionales



Sistema Sistema TelefónicoTelefónico

Servicio de transmisión de voz que se utilizaen informática si la comunicación más allá del

ámbito de una red local (LAN)

La evolución va hacia permitir tráfico de DatosDatosde diversa índole sobre la red telefónica: VozVoz

Video (TV)Video (TV)

Red Telefónica vs Red Informática

~ 64Kbps 10 Mbps -100Mbps1 error 105 bits 1 error 1013 bits

ISDN (Red Numérica de Integración de Servicios)



Historia y arquitecturaHistoria y arquitecturaGraham Bell patentó el teléfono en marzo de 1876 (y Elisha Grey ...)Se tendía un cable entre cada par de teléfono o líneas públicasEl primer centro de conmutación (manual) en 1878La conmutación automática fue desarrollada por propietario de funeraria

ArquitecturaEl número telefónico referencia a la jerarquía de conmutaciónCables de 2, 4 o 6 hilos dependiendo de los servicios ofrecidosLa última milla va al abonado y los cables entre centrales son troncales



Conmutación a comienzos del Conmutación a comienzos del siglo 20siglo 20



Transmisión Analógica vs Transmisión Analógica vs DigitalDigital

Menos errores a pesar de la mayor atenuación,restaura más eficientementePermite mezclar muchos serviciosMantenimiento más sencillo (El eco se evita con supresores)Más barato

Última millaAnalógico hacia el teléfono y digital para el tráfico entre centrales



Conexión ADSLConexión ADSL

Casa:NID (dispositivo de Interfaz de Red). Separa canal de voz de datosModem o router ADSL a tarjeta red o puerto USB

Proveedor:DivisorDSLAM



Espectro Espectro ElectromagnéticoElectromagnético

Permite movilidad (celular, laptop, PDA) ycada servicio se sintoniza a distintas

portadoras

Las frecuencias son asignadas por organismos públicos en cada país (CONATEL en Venezuela, FCC en USA, ITU a nivel mundial)

MHz GHz THz PHz



Principios de telefonía Principios de telefonía celularcelular

Celdas conformadas por la estación base (direccional o no)Reuso de frecuencias en celdas no adyacentesAnte congestión se subdividen más las celdasCambio automático de celda ante usuario en movimiento handoff Suave, Duro e Intracelda Estación de conmutación independiente de la estación base (conexión vía microondas o cableada)Canal de señalización (paging, control, access y data)GSM (Digitel), WCDMA(GSM y CDMA) (Movistar), CDMA1x (Movilnet)



Comunicación satelitalComunicación satelital

Breve historia ... El primer satélite fue ruso sputnik (1957), aunque no de

telecomunicaciones, inicio guerra fria. Después sputnik II con Laika

Echo repetidora con pantalla de aluminio (1960). Visible de 10-90 minutos al día (no amplificaba). Telstar primer satélite real (1962). Olimpiadas de Tokio en vivo (1964) INTELSAT Consorcio internacional de 120 países, más de 20 satélitesINMARSAT comunicación marítima (más de 47 países)

Órbitas por altitud:Geoestacionarios (GEO) o polares (Molniya)Altitud media (MEO)Baja altitud (LEO)

Repetidora en el espacio con ancho de banda entre 3,7 GHz y 30 GHz:

TV, telefonía, meteorología, localización, etc



Órbitas Órbitas satelitalessatelitales



Satélite Simón Bolívar Satélite Simón Bolívar (Venesat-1)(Venesat-1)

Estación terrestre en Guarico (el Sombrero) y Bolívar (Luepa)Peso de 6 toneladas y una envergadura de 15 mtsEn el espacio de Uruguay (órbita Clark 959) por lo queusan el 10% del ancho de bandaDos antenas Ku una hacia el Caribe y otra hacia el sury una antena Ka sólo hacia VenezuelaYa está en órbita el Francisco de Miranda (VeneSat-2)



Buhoneros de la Buhoneros de la telefonía …telefonía …

Italia 1930 Malasia 1920



Modelo Cliente/ServidorModelo Cliente/Servidor

interfaz demonio

Cliente Servidor

Petición

Respuesta

Máquina local Máquina remota

Todos los servicios sobre Internet funcionan bajo esta arquitecturaEl medio de envío para petición/respuesta es la redUn servidor debe poder manejar varios usuarios concurrentemente



Página Web DinámicaPágina Web Dinámica (lado del cliente) (lado del cliente)

BrowserjavascriptappletsactiveX

flash

HTTP

Cliente Servidor

Petición URL

Respuesta

Página HTML + Aplicación


Una aplicación corre del lado del clienteConstruye una página Web ejecutando una aplicación que viajó desde el servidorEl browser debe ser capaz de ejecutar aplicaciones (plug-ins)



Páginas Web Dinámicas Páginas Web Dinámicas (lado del servidor) (lado del servidor)

Browser HTTPPHPASPJSP

Cliente Servidor

Petición URL

RespuestaPágina HTML


BaseBasede de DatosDatos

Una aplicación corre del lado del servidorConstruye una página Web con los datos extraídos de la BD El browser sólo visualiza páginas HTML



Clases de direcciones IP Clases de direcciones IP

Pueden ser privadas o públicas, asignadas estáticas o dinámicamentePueden ser privadas o públicas, asignadas estáticas o dinámicamente

Rangos de direcciones privadas10.0.0.0 - 10.255.255.255 (16.777.216 computadores)172.16.0.0 - 172.31.255.255 (1.048.576 computadores)192.168.0.0 - 192.168.255.255 (65.536 computadores)

A: 128 redes a 16 millones de hostsB: 16.382 redes a 64.000 hostsC: 2 millones de redes a 256 hosts

A: 128 redes a 16 millones de hostsB: 16.382 redes a 64.000 hostsC: 2 millones de redes a 256 hosts



IPv6IPv6El número creciente de usuarios y de conexiones con portatiles

inalámbricos, televisores y hasta teléfonos sugieren el aumento de dir´s IP

El número creciente de usuarios y de conexiones con portatilesinalámbricos, televisores y hasta teléfonos sugieren el aumento de dir´s IP

Objetivos:Aumentar el número de direcciones IP Disminuir tiempo de procesamiento en tránsitoProporcionar seguridadConsiderar servicios multimediasPosibilitar uso de computadores móvilesPermitir que versiones viejas y nuevas coexistan

No es compatible con IPv4 pero respeta los demás protocolos



Ejemplo de direcciones:

IPv4: 159.90.19.64IPv6: 54D3:334B:180A:4321:54D3:334B:180A:4321

Son 128 bits (2128 direcciones IPv6) lo cual da aproximadamente 3* 1038 direcciones a disposición

(del orden de la centena de sixtillones de direcciones)

Si se llena el volumen de Tierra y Luna con esferas de 1 mm de radio se necesitarían aproximadamente 12,27*1037 esferas …

UNA DIRECCIÓN IPv6 A CADA ESFERITA …

Direcciones IPv6Direcciones IPv6



Asignación de Asignación de direccionesdirecciones

En IPv4 corresponden 8 personas por dirección suponiendo que no hay desperdicio.

En IPv6 corresponden 8.129.240 direcciones por persona !!Esto porque a partir de Oct/2006 se hizo distribución equitativa por paises sin importar su desarrollo

Latinoamericana tiene 4,503,599,627,370,496 computadoras,es decir, 67 millones más que con IPv4.



Servicios usuario finalServicios usuario finalRedes sociales (facebook, twitter, whatsapp, …)

VoIP (skype …)

Localizadores (googleMaps, …)

Correo electrónico y chat (gmail, hotmail, …)

Audio y video (youtube, instagram, vine…)

La nube … (googleDrive, dropbox, …)

P2P (torrent, emule, limewire, …)

Buscadores y repositorios (google, wikipedia, ..)



Objetivos de la Objetivos de la SeguridadSeguridad

Servicios Mecanismos

Confidencialidad PoliticasAutentificación CifradoIntegridad Firma Digital No repudio FirewallControl de acceso VPNDisponibilidad IDS

Definir mecanismos y arquitecturas para tener ambientes seguros con respuesta

efectiva ante ataques y pérdidas



Confidencialidad:Ocultamiento de información sensible (privacidad)

Integridad:Detectar alteraciones en el contenido de los mensajes

Autentificación:Verificar la identidad del usuario

Autorización:Permitir acceso a ciertos recursos al usuario

No repudio:Evitar rechazo ante compromisos digitales asumidos

Control de acceso:Evitar la intrusión de atacantes hacia puntos sensibles

Disponibilidad:Asegurar permanencia del servicio

Servicios de SeguridadServicios de Seguridad



Técnica para ocultar y así proteger informaciónmientras permanece en disco o mientras está en tránsito

Técnica para ocultar y así proteger informaciónmientras permanece en disco o mientras está en tránsito

Historia: Tiene tres momentos claves

Dependiente del algoritmoCódigo CesarEsteganografía

Dependiente de una clave simétricaCifrado Vigénere y Cuaderno de uso únicoEnigma

Bletchley Park (Colossus)PurpuraDES y AES

Dependiente de dos claves (publica y privada)Diffie-HellmanRSA (Rivest-Shamir-Adleman)

CriptografíaCriptografía



Técnicas básica de Técnicas básica de

criptografíacriptografíaSubstitución:

Cambia un carácter por uno o varios caracteres

M U R C I E L A G O 0 1 2 3 4 5 6 7 8 9

Hola como estas H967 3909 5ST7SEstas técnicas por si solasno son suficientes pues si el algoritmo es conocido se pierde el secreto del mecanismo de cifrado

Transposición:

Sobre una matriz se intercambian filas porcolumnas

hola como hcesooslmtaoa esta s



Clave compartida donde reside todo el secreto pues el algoritmo es bien conocido. Mezcla substitución + transposición

Clave compartida donde reside todo el secreto pues el algoritmo es bien conocido. Mezcla substitución + transposición

Premisas:

Texto en claro XTexto cifrado YK Clave compartidaEK(Z) Cifrar Z con K

E-1K(Z) Descifrar Z con K

X XY

A B

Y=EK(X)

K

X=E-1K(Y)

K

Criptografía de Clave Criptografía de Clave SimétricaSimétrica



DES: Nace de un standard IBMy adoptado por el la DoD Gratuito y debería substituirse por AES.Sólo claves de 56 bits y por ello se usa tripleDES

IDEA: Patentado en Suiza y propiedad de ASComtechClaves de 128 bits por lo que es más seguro

RC2: Secreto comercial, divulgado por Internet en 1996Claves hasta 2048 bits aunque sólo 40 fuera de USA

AES: Licitación pública de 15 candidatos en el 2000Ganó algoritmo de Rijmen y Daemen que subtituye a DES

Algoritmos de Clave Algoritmos de Clave SimétricaSimétrica

Mientras más grande es la clave más difícil de romper con fuerza bruta

Clave 40 bits ≈ 1012 claves posibles, procesa 1 clave/μseg

Clave 128 bits ≈ 1038 claves posibles, procesa 1 clave/μseg

→ 13 días

→ 1,01x1010 siglos

Si 109 computadores → 1013 años



Se basa en dos claves una pública expuesta y una privada bien resguardadaCada clave se puede usar tanto para encriptar como para desencriptar

Se basa en dos claves una pública expuesta y una privada bien resguardadaCada clave se puede usar tanto para encriptar como para desencriptar

Texto en claro X Texto cifrado Y Ku

A Clave pública de A

KiA Clave privada de A

EKuA(Z) Cifrar Z con la clave pública de A

E-1KuA(Z) Descifrar Z con la clave pública de A

Problemas del cifrado simétrico:Proliferación de clavesIntercambio inicial de la clave vía red complica el procedimiento

Criptografía de Clave Criptografía de Clave PublicaPublica



X XY BA

Y=EKuB(X) X=E-1KiB

(Y)

KiA

KiB

KuA

KuB

Confidencialidad con Clave Confidencialidad con Clave PúblicaPública

Intruso tiene:Texto cifradoClaves públicas de A y B

No puede obtener el texto en claro



X XY BA

Y=EKiA(X) X=E-1

KuA(Y)

KiA

KuA

KiBKu

B

Autentificación con Clave Autentificación con Clave PúblicaPública

Intruso tiene: Texto cifrado

Claves públicas de A y B

Puede obtener el texto en claro y asegurar la identidad del emisorAsí lo más idoneo es que no transmita información confidencial o

si lo hace cifre y de autentificación simultaneamente …



Confidencialidad + Confidencialidad + AutentificaciónAutentificación

X XY BA

EKuB(EKi

A(X)) = Y E-1Ku

A(E-1Ki

B(Y)) = X

KiA

KuA

KiBKu

B

Intruso tiene: Texto cifrado

Claves públicas de A y B

No puede obtener ninguna información util ……



Usos:AutentificaciónFirma digital Por ser muy lentos no se usanIntercambio de claves para confidencialidad…

Algoritmos:RSA: Rivest/Shamir/Adleman del MITEl Gamal: GratuitoDSA: NSA (National Security Agency)

Sólo para firma digitalAnécdota ...

Merkle ofrece (1978) $100 a quien rompa snapsack Shamir lo rompe en 1982 Merkle corrige y ofrece $1000Brickell lo rompe 1984

Algoritmos de Clave PublicaAlgoritmos de Clave Publica



Certificación DigitalCertificación DigitalEmular la capacidad de identificación en

soporte digital Emular la capacidad de identificación en

soporte digital

Involucra Autoridades de Certificacióndonde se usa la infraestructura PKI

Involucra Autoridades de Certificacióndonde se usa la infraestructura PKI

Tipos:Lo que se sabe (clave de acceso)Lo que se tiene (carnet)Lo que se es (biometría)

Sin embargo Sin embargo todos tiene todos tiene inconvenientes ...inconvenientes ...



Autoridades de Autoridades de CertificaciónCertificaciónTerceros que avalan la clave pública de

entes comerciales, desarrolladores de softwarey particulares

Terceros que avalan la clave pública de entes comerciales, desarrolladores de software

y particulares

Compañía aseguradora que avala la seguridadde transacciones comerciales

Compañía aseguradora que avala la seguridadde transacciones comerciales

FuncionamientoFuncionamiento:Una CA firma con su clave privada las claves públicas de sus clientesPara descifrar se requiere tener la clave pública de la CA (browser)Las CA se certifican con otras o se avalan a si mismasSe utiliza los certificados standard X.509-v3



Certificados X.509-v3Certificados X.509-v3Versión

Número de serie

Algoritmo de cifrado

CA EmisoraPeríodo de validez

no antes ...no después ...

Clave pública

Algoritmo de compendio

Firma



Niveles de Seguridad Niveles de Seguridad por Capas del Modelo por Capas del Modelo TCP/IPTCP/IP

Aplicación

Transporte

Red

Física

PGP, S-MIME, ssh, sftp, scp, ...

SSL

IPsec (Modo transporte)

IPsec (modo Tunel) e IDS

Seguridad Física

Factores a evaluarFactores a evaluar:Seguridad dependiente del usuario Seguridad dependiente del tráficoProtección de cabeceras de paquetesAutentificación de máquinasSeguridad del hardware



VPN VPN (Virtual Private (Virtual Private Network)Network)

Conexión a través de WAN que simula un canal dedicado,mediante cifrado, por lo que emula un circuito virtual

Conexión a través de WAN que simula un canal dedicado,mediante cifrado, por lo que emula un circuito virtual

UsosUsos:

Más barato que un canal dedicadoAcceder localmente servidores situados remotos (transparencia)Cliente que remotamente accede de manera segura a su LAN(privacidad)

Tipos de VPNTipos de VPN:

Cliente/Red: Cliente se conecta usando la red, a través de un ISP, vía protocolo VPN, (modos transparente o no transparente)

Red/Red: Conectar LAN’s



Tipos de VPNTipos de VPN

WANCliente Proxy

Web

E-mail

Servidor VPN

ISP

C/S VPN WAN

C/SVPN

LAN Corporativa LAN Corporativa



FirewallFirewall

Controlador de tráfico entre la red interna y la red externaFiltra paquetes sobre un único punto de entrada

Controlador de tráfico entre la red interna y la red externaFiltra paquetes sobre un único punto de entrada

Cuidado con las puertas traseras ....Conexiones vía modemEnlaces inalámbricos

Internet

Firewall Uno o varios routers o máquinas bastiones

LAN Corporativa



Capacidades de un Capacidades de un FirewallFirewall

VirtudesVirtudes:Ente centralizado que facilita la toma de decisiones de seguridad con la ACL (Access Control List)Estadísticas de tráfico y prevención de problemas

Debilidades:Debilidades:Proteger contra usuarios maliciosos internosAmenazas no previstas en el ACLNormalmente no protege contra virus (el filtrado sería muy lento)

Firewall de Red: Router de protección o máquina independienteFirewall de Aplicación: Proxy dependiente de las aplicacionesFirewall Personal: Corre sobre la propia máquina

Firewall de Kernel: Se instala con el SOP (iptables para linux) Puede ser personal o de red

Tipos de Firewalls



Router ACL

LAN Internet

Arquitecturas de Arquitecturas de FirewallsFirewalls

Internet

Router Interno

Router Externo

Bastion

Perímetro de seguridad

LAN Corporativa

Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Redes y...

Documents

Transcript of Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Redes y...