Seguridad en Redes

1
Seguridad en Redes
Seminario de Redes de Computadores

• Alumno Alberto Hurtado
• Profesor Agustín González

2
Estructura propuesta

• Algoritmos Criptográficos.
• Mecanismos de Seguridad.
• Ejemplos de Sistemas.
• Criptografía en Aplicaciones.
• Firewall.
• Resumen Seguridad en redes

3
Qué es comercio electrónico?

• Cualquier forma de transacción o intercambio de
  información comercial basada en la Tx de datos
  sobre redes de comunicación.

Publicidad. Búsqueda de información. Negociación
entre comprador y vendedor sobre precio,
condiciones de entrega, etc. La atención del
cliente antes y después de la venta. La
cumplimentación de trámites administrativos
relacionados con la actividad comercial. La
colaboración entre empresas con negocios
comunes.
Comercio electrónico
4
Implantación gradual

• Desde el camino más simple de la publicidad no
  interactiva a través de Internet, hasta el caso
  completo donde todos los pasos, incluido el pago,
  se hacen en forma electrónica.

5
Tipos de productos
Música Videos Software Documentación
Traslado Físico
Información Digital
Electrodomésticos Libros Automóviles
Productos Físicos
Ventajas
Sin horarios y Sin distancias, Ahorro de tiempo,
Eficiente
6
Obstáculos

• La necesidad de acuerdos internacionales que
  armonicen las legislaciones sobre comercio.
• El control de las transacciones internacionales,
  incluido el cobro de impuestos.
• La protección de los derechos de propiedad
  intelectual.
• La seguridad de las transacciones y medios de
  pago electrónico.
• La congestión de Internet y la falta de accesos
  de usuarios de mayor capacidad.
• La muy difícil fidelización de los clientes, ya
  que al no tratar directamente con personas y al
  no existir distancias físicas, los clientes
  siempre buscarán el mejor precio, sin importar
  quien lo distribuye.

7
Modelos de Comercio electrónico

• En el comercio electrónico participan como
  actores principales las empresas, los
  consumidores y las administraciones públicas.
• Se distinguen tres tipos

• B2A Entre empresa y administración (business to
  administrations)

• B2B Entre empresas (business to business)

• B2C Entre empresa y consumidor (business to
  consumers)

• La telebanca es un caso particular del comercio
  B2C

8
SET Secure Electronic Transaction

• Especificación abierta de cifrado y seguridad
  diseñada para proteger transacciones con tarjetas
  de crédito en Internet.

EMPRESAS LÍDERES EN TECNOLOGÍA
1996
SETCO
WWW.SETCO.ORG
Comercio electrónico
SET
9
SET
?
SET
x.509v3
Asegura privacidad

• Titular de tarjeta
• Comerciante
• Adquiriente
• Pasarela de pago
• Autoridad Certificación

Participantes
10
SET
1 Formulario
Adquiriente
Titular
Comerciante
Pasarela de Pago
2 Orden ?
3 Orden !
4 Petición de Pago
7 Notificación
8 Recibo
5
6
Emisor
5 Validación
AC
6 Autorización
11
Qué es un Cortafuegos?

• Combinación de técnicas, políticas de seguridad
  y tecnologías (hardware y software) encaminadas a
  proporcionar seguridad en la red, controlando el
  tráfico que circula entre dos o más redes.

12
Firewall o Cortafuegos
13
Cortafuegos

• La programación consiste en filtrar los paquetes
  que fluyen a través de él.

200.1.17.193
Puede descartar
TCP
IP fuente
Muy útil Filtrar
Ataque Falla de Servicio
14
Cortafuegos

• Porqué los cortafuegos son tan utilizados?

• Los mecanismos de seguridad no están tan
  difundidos.
• Permiten a los administradores de Sistemas
  establecer políticas de seguridad en forma
  centralizada.

Clasificación
Basados en Filtros Basados en Proxy
15
Cortafuegos basados en Filtros

• Este es el tipo más simple de cortafuegos.
• Se configuran mediante una tabla de direcciones
  que determinan si los paquetes deben o no deben
  ser despachados.
• Cada elemento de la tabla corresponde a una
  4-tupla IP y número de puerto TCP tanto de la
  fuente como el destino.

16
Cortafuegos basados en Filtros

• Un cortafuegos se puede configurar para filtrar
  la siguiente descripción

lt192.12.13.14, 1234 128.6.7.5,80gt

• Como no resulta práctico enumerar cada host que
  se desea filtrar se utilizan comodines

lt, 128.6.7.5,80gt
17
Características de Diseño

• La más importante

• Hace referencia a la política de seguridad de la
  organización propietaria del firewall.
• La configuración y el nivel de seguridad será
  distinto en una empresa que en otra.
• Sobre esta decisión influyen, aparte de motivos
  de seguridad, motivos administrativos de cada
  organismo.

• La segunda decisión

• nivel de monitorización, redundancia y control
  deseado

18
Criterios de Filtraje

• Dejar pasar todo, excepto algunos paquetes que
  se deben filtrar?.
• No dejar pasar nada, excepto algunos paquetes
  que se deben despachar?

En el diseño de sistemas seguros, esta es una
pregunta fundamental, o sea, hay que ser
explícito respecto a lo que se deja pasar o
respecto a lo que se prohibe

• Prohibir todo o estrategia pesimista.
• Permitir todo o estrategia optimista.

19
Criterios de Filtraje
Prohibir todo o estrategia pesimista.
Esta es la estrategia más segura, pero requiere
de atención en el momento de escribir las reglas
para no dejar afuera algunos servicios (Ej.
DNS). Nuevos servicios indeseables implican
introducir nuevas reglas.
Permitir todo o estrategia optimista.
Cómo es más fácil saber que servicios negar, es
la más simple, pero no es tan segura como la
estrategia pesimista. Nuevos servicios
indeseables implican introducir nuevas reglas.
20
Denegar o Rechazar
Punto a considerar
21
Características de Diseño

• Tres razones de porque denegar siempre

• Enviar una respuesta de error duplica el tráfico
  de red.
• Cualquier paquete al que responda se puede usar
  en un ataque de denegación de servicios.
• Cualquier respuesta, incluso un mensaje de
  error, ofrece información potencialmente útil a
  quien podría ser un hacker.

22
Características de Diseño

• La tercera decisión

• Depende de un valor económico.
• En función de lo que deseamos proteger.

23
Cortafuegos basados en Proxy

• Un Proxy es una técnica general que se usa en
  diversas situaciones. Una de ellas son los
  cortafuegos.

Qué es un Proxy?
24
Cortafuegos basados en Proxy
Cómo implementar políticas de seguridad mediante
Proxy?
No hay forma de expresar la política descrita
usando filtraje, porque el acceso depende del URL
contenido requerimiento HTTP.
Solución?
25
Cortafuegos basados en Proxy
Solución?
26
Cortafuegos basados en Proxy
Aspectos Interesantes

• Para poder responder al cliente, el Proxy debe
  entender el protocolo HTTP.
• Es necesario extender el Proxy con la capacidad
  de decidir a cual Servidor Web enviará la
  consulta para hacer un buen balance de carga
  entre los servidores. También dejar páginas muy
  consultadas en la caché.
• Se debe definir también para otras aplicaciones
  como ftp y telnet.

27
Cortafuegos basados en Proxy
Pueden ser

• Transparentes No son visibles para el
  transmisor (S) ni el receptor (R). Sólo
  interceptan mensajes que fluyen por él.
• Clásicos El Proxy es la única puerta del
  sitio, y por lo tanto es la dirección conocida.
  No se conoce la dirección del receptor R

28
Qué puede hacer un Cortafuegos?

• Es un punto centralizado para las decisiones de
  seguridad.
• Puede reforzar la política de seguridad.
• Puede rastrear la actividad Internet
  eficientemente.
• Limita la revelación se su red al público.

29
Qué no puede hacer un Cortafuegos?

• No protege de usuarios internos maliciosos.
• No puede proteger contra conexiones que no pasan
  a través de él.
• No tiene un esquema de protección para cada
  nueva amenaza.
• No puede proteger contra virus.

30
Algunas Arquitecturas

• Dual - Homed Host.
• Screneed Host.
• Screneed Subnet.

31
Arquitectura Dual-Homed Host
32
Arquitectura Screened-Host
33
Arquitectura Screened-Subnet
34
Arquitecturas Seguras

• Un buen nivel de seguridad no sólo requiere
  buenos protocolos y herramientas sino también
  involucra la topología de la red.
• La topología debe considerar los requerimientos
  de seguridad de la organización.
• La idea básica de una arquitectura segura es la
  Segmentación Tráfico

35
Segmentación de Tráfico

• Consiste en dividir a los usuarios en
  categorías. Cada categoría con distintos
  requerimientos de seguridad.
• Por ejemplo en el contexto de una universidad se
  pueden establecer tres categorías.

• Primera Administración Académica manejo de
  notas, créditos, etc.
• Segunda Profesores docencia e investigación.
• Tercera Estudiantes.

36
Segmentación de Tráfico

• Cada categoría tiene requerimientos internos.

• Profesores con acceso a notas de estudiantes
• Estudiantes no tienen acceso a cuentas de
  profesores.
• .

• Requerimientos externos.

• Profesores acceso completo a Internet.
• .

37
Buena topología
38
Seguridad en Redes

• Riesgos de Seguridad.
• Técnicas de Ataque.
• Puntos para mejorar la seguridad.
• Políticas de seguridad en la red.
• Estrategias de Seguridad.
• Firewall.
• Virus.

39
Riesgos de Seguridad

• Intrusión
• Alguien entra ilegalmente a un
  sistema y es capaz de utilizarlo y modificarlo
  como si fuera un usuario legítimo.
• Rechazo de Servicios.
• Alguien logra que no puedan
  prestarse los servicios a los usuarios legítimos,
  puede ser dañado al sistema o sobrecargando el
  sistema o la red.
• Robo de Información.
• Alguien tiene acceso a información
  confidencial, secreta, reservada.

40
Técnicas de Ataque
Revele información

• Ingeniería Social.
• Bugs del Sistema.
• Back Door.
• Caballo de Troya.
• Señuelos.
• Método del Adivino
• Revisión de basura.

Aprovechar errores
Programan entradas
Programas que aparentan
Trampa a los usuarios
Combinaciones (password)
Busca de Información útil
41
Puntos para mejorar la seguridad

• Identificación y Autenticación.

- Lo más común es usar login y password. - Más
seguro sería usar login y alguna identificación
física.

• Control de acceso.

• Los recursos del sistema son proporcionados o
  negados de acuerdo al tipo de usuario que los
  solicite, y dependiendo desde donde se haga la
  solicitud.
• Algunas veces sólo se permite uso parcial de los
  recursos, esto es común en sistemas de archivos,
  donde algunos usuarios solamente pueden leer y
  otros leer y escribir.

42
Puntos para mejorar la seguridad

• Integridad

• Los sistemas se deben poder checar en cuanto a su
  integridad, esto es con el fin de detectar
  modificaciones que puedan afectar la seguridad.
• Si el sistema es modificado, sería deseable
  detectar el origen del problema y restituir la
  integridad.

• Confidencialidad.

• Se debe garantizar que si un usuario desea que
  su información no sea vista por alguien más pueda
  lograrlo.
• Se debe poder decidir quienes tienen derecho a
  obtener la información.
• Permisos de acceso individuales y encriptamiento
  para Tx en la red.

43
Políticas de Seguridad en la Red
Diferentes políticas de seguridad, englobadas en
dos tipos

• Todo está prohibido a menos que se permita
  explícitamente.
• Todo esta permitido a menos que se prohíba
  explícitamente.

En ocasiones se utilizan combinaciones de
éstas, para diferentes partes del sistema.
44
Estrategias de Seguridad

• Mínimos privilegios.
• Defensa en profundidad.
• Check point.
• Falla en posición segura.
• Seguridad por oscuridad.
• Simplicidad.
• Seguridad basada en host.
• Seguridad basada en la red.

45
Virus

• Virus.- programa o segmento de programa que al
  ejecutarse se copia a si mismo en otro programa,
  en otro host, etc.
• Además de copiarse, los virus pueden contener
  código para hacer algo más, posiblemente dañino.

• Algunos sólo se reproducen.
• Otros muestran mensajes.
• Algunos destruyen o dañan la información.

46
Virus

• No todos son destructivos.
• No todos los programas que destruyen son virus.
• Pueden estar en archivos ejecutables, incluyendo
  macros, scripts, etc.
• Algunos tratan de copiarse a otras máquinas de la
  red, algunos directamente, otros por e-mail.
• Un antivirus es un programa que se encarga de
  detectar y eliminar virus. Si es posible antes de
  que se activen.

47
Conclusiones

• Es responsabilidad de los diseñadores y
  administradores de los sistemas computacionales,
  proveer la suficiente garantía y confiabilidad
  que permita operar en la mejores condiciones y
  lograr un funcionamiento continuo de los sistemas
  bajo el mejor clima de confianza de los usuarios,
  garantizando el respeto por niveles adecuados de
  confidencialidad e integridad de la información
  que se procesa.

48
?
Seminario de Redes de Computadores
49
FIN
Seminario de Redes de Computadores