SI 2012 UD06 Presasdentacion

7/24/2019 SI 2012 UD06 Presasdentacion

1/19

Unidad 6Seguridad activa: acceso a redes

CFGM Seguridad Informtica


2/19

06 Seguridad activa: acceso a redes

2

1. Redes cableadas

Hasta ahoraSeguridad Activa de mquinas aisladas.

Tambin hay que

protegerse de los ataques que vengan por la red.

Una mquina que ofrece servicios TCP/IP debe abrir ciertos puertos.

A estos puertos pueden solicitar conexin mquinas fiables siguiendo elprotocolo estndar, o mquinas maliciosas siguiendo una variacin delprotocolo que provoca un fallo en nuestro servidor.


3/19


3

1. Redes cableadas

as primeras redes A! ca"leadas eranmu# inseguras, porque todos los

ordenadores esta"an conectados al mismo

ca"le ar!uitectura en bus"# de maneraque cualquiera pod$a poner su tar%eta de

red en modo promiscuo (! # escuchartodas las conversaciones.

"ctualmente, utili&amos la ar!uitecturaen estrella$ cada equipo tiene un ca"ledirecto a un puerto de un conmutador de

red 's(itch) # por ah$ env$an sus paquetes

Adems de me%orar la seguridad, estamos

me%orando el rendimiento, porque no

malgastamos recursos en enviar paquetes

a equipos que no les interesan


4/19


%

1. Redes cableadas

C&S' (R)C*IC' 1+acerlo ,or

,are-as"

()GI&S 1%% / 1%0

#. "partado $:*. +ontar un servidor A+-- en la mquina de tu compaero.

/. Acceder a este servidor http:1-2de2tu2compaero

*. 3ompro"ar puertos activos con el +onitor de recursos.4. +ontar un 5171A S898.

. Acceder a trav;s de ftp:1-2de2tu 2compaero

*. 3ompro"ar puertos activos con el +onitor de recursos.


5/19


0

1. Redes cableadas

as redes conmutadas tienen sus propias vulnerabilidades)

#. *a+ que proteger el s,itc- fsicamente)

ncerrarlo en un armario/rac0 1buscar imgenes2 con llave dentro deuna sala con control de acceso. As$ evitamos no solo el ro"o, sino que

alguien acceda al "otn de reset # lo configure a su modo.

https:(((.#outu"e.com(atch@vgBCsSgu01rD

%. *a+ que proteger el s,itc- l3gicamente)

-oner usuario/contrase4apara acceder a su configuracin.

$. *a+ que -acer grupos de puertos)

-orque en un s(itch suelen estar conectados grupos de mquinas que nuncanecesitan comunicarse entre s$. 5ebemos aislarlas para evitar pro"lemasde rendimiento # seguridad.

&. *a+ que controlar qu6 equipos se pueden conectar + a qu6 puertos.

-or el motivo anterior, al grupo de marEeting solo de"er$an entrar mquinas de

marEeting.
https://www.youtube.com/watch?v=gOQsSgu0IrUhttps://www.youtube.com/watch?v=gOQsSgu0IrU


6/19


6

1.1. &

os grupos de puertos que hacemos en un s(itch gestiona"le para aislar uncon%unto de mquinas constitu#en una & & irtual".https:(((.#outu"e.com(atch@vDmd4!3FDtp+

Se le llama virtual porque parece que estn en una A! propia, que la red est

montada para ellos solos.

9A! me%ora el rendimiento # la seguridad. Si ocurre un pro"lema en una9A! las otras 9A! no se ven afectadas. -ero un exceso de trfico en una

9A! s$ afectar$a a todos porque, al fin # al ca"o, comparten el s(itch.

Dna 9A! "asada en grupos de puertos no queda limitada a un s(itchG uno

de los puertos puede estar conectado al puerto de otro s(itch, #, a su ve&,

ese puerto forma parte de otro grupo de puertos.

Sin em"argo, es raro que las 9A! est;n completamente aisladas del resto del

mundo. !ecesitarn acceso a 1nternet, as$ como conectar con otros servidores

internos de la empresa. -ara interconectar 9A! ca,a 2" generalmenteutili&aremos un router ca,a 3".

C&S' (R)C*IC' 3()GI&S 1%4 a 105
https://www.youtube.com/watch?v=Umd3NCYUtpMhttps://www.youtube.com/watch?v=Umd3NCYUtpMhttps://www.youtube.com/watch?v=Umd3NCYUtpM


7/19


1.2. &utenticaci7n en el ,uerto. M&C 8 952.1:

Hemos protegido el acceso al s(itch # repartido las mquinas de la empresa en

varias 9A!, interconectadas por routers.Pero3ualquiera puede meterse en un despacho, desconectar el ca"le 8< del

ordenador del empleado, conectarlo a su porttil # #a estar$a en esa 9A!.

3omo sigue siendo un s(itch, no podr escuchar el trIco normal de los dems

ordenadores de la 9A!, pero s$ lan&ar ataques contra ellos.

C3mo evitarloAlgunos s(itch permiten esta"lecer autenticacin en el puerto: solo podr

conectar aquel cu#a +A3 est; dentro de una lista deInida en el propio s(itch.

https:(((.#outu"e.com(atch@vJln!8SKh45F

Peroas +A3 son fcilmente falsiIca"les 'las tar%etas emiten los paquetes que

genera el soft(are de red del sistema operativo)

C3mo evitarloAutentificar mediante 8A>1DS en el estndar L0/.*.https:(((.#outu"e.com(atch@vd3D"D#+o(c'Jindo(s /00L)

https:(((.#outu"e.com(atch@v-06&Mhv9oE'inux D"untu)
https://www.youtube.com/watch?v=WlnNRS7h3FYhttps://www.youtube.com/watch?v=WlnNRS7h3FYhttps://www.youtube.com/watch?v=dCUbEUyMowchttps://www.youtube.com/watch?v=P06zGhvEVokhttps://www.youtube.com/watch?v=P06zGhvEVokhttps://www.youtube.com/watch?v=dCUbEUyMowchttps://www.youtube.com/watch?v=WlnNRS7h3FY


8/19


9

1.2. &utenticaci7n en el ,uerto. M&C 8 952.1:

C&S' (R)C*IC' %()GI&S 101 a 103


9/19


4

2. Redes inalmbricas

l miedos a que las comunicaciones seanescuchadas por terceros no autori&ados pero estn

plenamente %ustiIcados en redes inalm"ricas o

7"8 (7ireless "8!, el medio de transmisin 'elaire) es compartido por todos los equipos #

cualquier tar%eta en modo promiscuo puede

perfectamente escuchar lo que no de"e.

Aunque se pueden hacer redes inalm"ricas entre

equipos (redes ad hoc), lo ms ha"itual son las

redes de tipo infraestructura$ un equipo llamadoaccess ,oint 'A-, punto de acceso) hace de s(itch,de manera que los dems ordenadores se conectan

a ;l, le env$an sus paquetes # ;l decide cmo

hacerlos llegar al destino, que puede ser enviarlo de

nuevo al aire o sacarlo por el ca"le que le lleva alresto de la red 19er :igura2

Salir por el ca"le es la conIguracin ms ha"itual

en las empresas, donde la 7"8 se considerauna e;tensi3n de la red cableada.


10/19


15

2. Redes inalmbricas

Como ocurra con el s,itc- en las redes cableadas< -emos de)

1.(roteger el access ,oint f;sicamente. a proteccin f$sica es ms complicada que enel caso del s(itch, porque el -unto de Acceso tiene que =estar cerca de los usuarios

para que puedan captar la se4al inalmbrica>.

2.(roteger el (unto de &cceso l7gicamente 'usuariocontrasea).

3.Controlar !u< clientes ,ueden conectarse a


11/19


11

2.1."sociaci3n8 transmisi7n"

n ,ifi -a+ dos fases) asociaci3n + transmisi3n.

*. >urante la asociaci7n el usuario elige la SS1> a la que se quiere conectar #entonces su tar%eta inalm"rica contacta con ese punto de acceso.

/. !egocian varias caracter$sticas de la comunicacin 'protocolo "gn,

velocidad), p# el -unto de acceso puede (debera! solicitar algNn tipo de

autenticaci7n.Meneralmente es una clave alfanum;rica que se registra en laconIguracin del -unto de Acceso # que el usuario de"e introducir para poder

tra"a%ar con ;l.

as "P admiten & ($@#! tipos de autenticaci3n)

1. &bierta$ no ha# autenticacin, cualquier equipo puede asociarse con el A-.2. Com,artida$ la misma clave para cifrar la usamos que para autenticar.3. &cceso seguro$ usamos / claves 'autenticar # cifrar). l usuario solo necesita

sa"er una, 'clave de autenticacin): la de cifrado se genera automticamente.

%. &utenticaci7n ,or M&C$ el A- mantiene una lista de +A3 autori&adas quepueden asociarse.


12/19


12

2.1. &sociaci7n" 8 transmisi3n

"sociados a un Punto de "cceso)

-odemos empe&ar la fase de transmisin, durante la cual esta"leceremos

conversaciones con el A-, que admite varias com"inaciones:

1.&utenticaci7n abierta 8 sin cifrado$. a intencin es no molestar al usuariointroduciendo claves.se utiliAa en lugares pBblicos ("rtculo de los puntos7I:I de arcelona!

2.&utenticaci7n abierta 8 transmisi7n cifrada$ es el esquema ha"itual delas primeras redes (ifi.

3.&utenticaci7n com,artida 8 transmisi7n cifrada$ es una malacom"inacin, porque la autenticacin es mu# vulnera"le #, conocida esa clave,tendrn acceso a descifrar las comunicaciones de cualquier ordenador

conectado a ese -unto de Acceso

%.&utenticaci7n segura 8 transmisi7n cifrada$ es la me%or solucin porque

utili&a una clave distinta para cada cosa. a ms conocida es 7P".


13/19


13

2.1. Caso (rctico 0. (ginas 106 8 10

C&S' (R)C*IC' 0()GI&S 106 a 10

=tt,s$>>???.8outube.com>?atc=@ABI,tnbB0s
https://www.youtube.com/watch?v=E7IptnbEV5shttps://www.youtube.com/watch?v=E7IptnbEV5s


14/19


1%

2.2. Cifrado$ B(# ( (&2

l primer estndarB( 'Jireline quivalent -rivac#, privacidad equivalente al ca"le)

#. Intentando compensar las dos realidades: en redes ca"leadas es dif$cil elacceso al ca"le, pero si alguien lo consigue, puede capturar cualquier

comunicacin que pase por ah$G en redes inalm"ricas cualquiera puede capturar

las comunicaciones, pero, como van cifradas, no le servir de nada.

/. n poco tiempo se encontraron de"ilidades al algoritmo de cifrado utili&ado en

J-. Capturando cierto nBmero de tramas< en poco tiempo cualquiera podaobtener la clave 7P.

=tt,s$>>???.8outube.com>?atc=@ArDRE=sgGc

=tt,s$>>???.8outube.com>?atc=@AM,atBRm&


15/19


16/19


16

2.3. (& em,resarial$ R&DIUS

:uncionamiento de 7P" empresarial es el siguiente)

*.>entro de la A! de la empresa ha# un ordenador que

e%ecuta un soft(are servidor 8A>1DS. 3ontiene una ?> de

usuarios # contraseas, # el servidor admite preguntas

so"re ellos.

/.os -untos de Acceso de la empresa tienen conexin con

ese ordenador servidor 8A>1DS.

4.os -untos de Acceso e%ecutan un soft(are cliente8A>1DS. ste soft(are es capa& de formular las preguntas

# anali&ar las respuestas.

.l servidor 8A>1DS tiene la lista de las direcciones 1- de

los -untos de Acceso que le pueden preguntar. Adems de

estar en la lista, el A- necesita que le configuremos una

contrasea definida en el servidor 'una direccin 1- esfcilmente falsifica"le).


17/19


1

3. (

l o"%etivo Inal de 9-! es que el -3 de un empleado

no note si est en la empresa o fuera de ella.

n am"os casos reci"e una 1- privada 'direcciones

*0..., por e%emplo), # no necesita cam"iar nada en

la conIguracin de sus aplicaciones 'correo, intranet)

.

l responsa"le de conseguir esta transparencia es elsoft(are de la 9-!. n el ordenador del empleado

ha# que instalar un soft(are cliente 9-!. ste

soft(are instala un driver de red, de manera que para

el sistema operativo es una tar%eta ms. se driver se

encarga de contactar con una mquina de la empresa,

donde e%ecuta un soft(are servidor 9-! que gestiona

la conexin, para introducir los paquetes en la A!.

a gestin consiste en: autentificar al cliente (# establecer un tnel a tra


18/19


19

l soft(are de los servicios de red es especialmente delicado. >e"emos vigilar qu; soft(are tenemos activo # qu;actuali&aciones tiene pendientes. as actuali&aciones llegarn por el mecanismo ha"itual del sistema operativoG el

soft(are que tenemos activo 'haciendo conexiones o esperndolas) lo podemos conocer mediante un par de

herramientas sencillas:

3on el comando netstat podemos conocer los puertos a"iertos en nuestra mquina:

%. Sericios de red. !map8 netstat

=tt,$>>???.8outube.com>?atc=@AeUgSC'd(o


19/19

Documents

SI 2012 UD06 Presasdentacion