seguridades

1. SEGURIDAD EN REDES

2. Seguridad Informática
Seguridad de Redes.
Seguridad de Software.
Seguridad con Agentes.

3. Confidencialidad
Integridad Disponibilidad
Autentificación
Autorización
Control de Acceso
Seguridad

4. Conceptos
• ―seguridad de una red‖ implica la seguridad
de cada uno de las computadoras de la red
• ―hacker‖: cualquier barrera es susceptible de
ser superada y tiene como finalidad la de
salir de un sistema informático (tras un
ataque) sin ser detectado. Es un
programador
• ―cracker‖: no es un programado y utiliza sus
ataques para sacar beneficio económico
• “Amenaza o ataque”: intento de sabotear
una operación o la propia preparación para
sabotearla (poner en compromiso)

5. Tipos de amenazas
• Compromiso: la entidad atacante obtiene el
control de algún elemento interno de la red,
por ejemplo utilizando cuentas con password
trivial o errores del sistema
• Modificación: la entidad atancante modifica
el contenido de algún mensaje o texto
• Suplantación: la entidad atacante se hace
pasar por otra persona
• Reenvío: la entidad atacante obtiene un
mensaje o texto en tránsito y más tarde lo
reenvía para duplicar su efecto
• Denegación de servicio: la entidad atacante
impide que un elemento cumpla su función

6. Servicios ofrecidos por la
―seguridad‖
Autenticación: ¿es realmente quien dice ser?
Control de Acceso: ¿tiene derechos a hacer lo que pide?
No repudio: ¿ha enviado/recibido esto realmente?
Integridad: ¿puedo asegurar que este mensaje esta intacto?
Confidencialidad: ¿lo ha interceptado alguien más?
Auditoria: ¿qué ha pasado aquí?
Alarma: ¿qué está pasando ahora?
Disponibilidad: El servicio debe estar accesible en todo momento

7. Fundamentos de la Seguridad
SEGURIDAD = PROCESO PERMANENTE
(HOLÍSTICO)
•Prevenir
•Detectar
•Evaluar
•Responder
•Corregir

8. Los Tres Pilares de una Red
Saludable
3Com Confidential 8

9. Aplicaciones
Operan en Clientes y servidores
Elementos:
 Sistemas Operativos
 Aplicaciones en
Microsoft
 Oracle, DB2, MS SQL
 Linux O/S
 VoIP
 Bases de Datos
 IVR
 Facturación
 E-mail
 Navegación
 Video Conferencias
Infraestructura
Aplicaciones
Rendimiento
Elementos
vitales para
la salud de la
red

10. Infraestructura
Aplicaciones
Infraestructura
Rendimiento
Elementos
vitales para
la salud de la
red
Elementos:
 Routers (e.g. Cisco IOS)
 Switches
 Firewalls (e.g. Netscreen OS,
CheckPoint FW1)
 Wireless
 IP Telephony
 PDA
 Celular

11. Rendimiento
Aplicaciones
Rendimiento
Infraestructura
Elementos
vitales para
la salud de la
red
Elementos:
 Ancho de banda
 Capacidad de
Servidores
 Tráfico de Misión Crítica

12. The Channels’ Value!
VPN
IDS
Firewall
Policy Manager
Administración de Red
Seguridad
Red de Socios
Certificados en
Seguridad
Switches
Ruteadores
El Valor de
los socios!

13. ¿ Por qué invertir en soluciones de
seguridad ?
• Problemas de seguridad pueden comprometer seriamente los resultados
de una Compañía:
– Un ataque de virus tiene un costo promedio de $61.729 por año
– Una pérdida de servicio por intrusión tiene un costo promedio de
$108.717
– Las pérdidas totales del año 2000: $265 millones
• En el año 2000, el 70% de las organizaciones encuestadas reportó
incidentes de seguridad; en 1996 solo el 42% lo había hecho
– Los expertos consideran que estas cifras son bajas, ya que hay
motivaciones comerciales para no denunciar la mayoría de problemas
• Gracias a importantes reducciones en costo, las organizaciones han
colocado información crítica de negocios en la red
– Desafortunadamente cuando los hackers comprometen esa
información, también logran acceso a TODA la información corporativa
• Asegúrese de considerar el riesgo por la pérdida de datos debido al envío
de información desde dentro de la compañía

14. Qué Son los Intrusos
• Son sistemas que explotan vulnerabilidades y afectan las
APLICACIONES, INFRAESTRUCTURA Y RENDIMIENTO de la red
• Objetivos:
– Provocar negación o retrasos en servicios
– Adquirir información sin autorización
– Aprovechar recursos ajenos
Seguridad • Las amenazas y herramientas se
vuelven más sofisticadas
• El número de ataques y atacantes está
incrementando
• Las regulaciones, dispositivos móviles y
aplicaciones IP aumentan los riesgos

15. Datos de intrusos en empresas
ecuatorianas
• Cada computador en promedio
genera o recibe más de 200
incidentes sobre la red cada
semana
• Más del 50% de incidentes
críticos mutan hasta
sobrepasar las seguridades de
los firewalls
• Más del 90% de los intrusos
de la red entran o salen por
puertos abiertos por los
firewalls

16. CSI/FBI 2,001 U.S. Security Survey
Pérdidas Económicas por tipo de Ataque
Theft of Information: $151,230,100
Financial Fraud: $92,935,500
Virus: $45,288,150
Insider Net Abuse: $35,001,650
System Penetration: $19,066,600
Telecom Fraud: $9,041,000
Laptop Theft: $8,849,000
Unauthorized Insider Access: $6,064,000
Sabotage: $5,183,100
Denial of Service: $4,283,600
Telecom Eavesdropping: $886,000
TOTAL US$ 378 Millones
43% de INCREMENTO respecto al 2000

18. ¿Cómo justificar la necesidad de
programar inversiones en seguridad?
• Haga un análisis de riesgo para determinar la exposición de
sus activos
• Pruebe que la red tiene un riesgo, use un ―sniffer‖ o contrate
una empresa que intente violar sus seguridades
• Explique en detalle el impacto de la seguridad en la
reputación, ventas y beneficios si se ven comprometidos en
problemas de seguridad
• Identifique las implicaciones para el negocio de una pérdida
de servicio por esta causa
• Asegúrese de considerar el riesgo por la pérdida de datos
debido al envío de información desde dentro de la compañía
o el acceso no autorizado desde fuera de la misma

19. La Importancia de Asegurar las
Redes Corporativas
• “70 % de la destrucción, robos y alteración de la
información son hechas dentro de las redes LAN”
Fuente: META Group
• De cada 700 empleados 1 trabaja activamente contra la
empresa y 10 trabajan contra la empresa por razones
diversas
Fuente: META Group

20. Ataques Pasivos.
Ataques Activos.
Tipos de Ataques

21. Principales Ataques
• Virus
• Caballo de Troya
• Gusanos (Worms)
• Bugs
• Trapdoors
• Stack overflow
• Pepena
• Bombas lógicas
• Dedos inexpertos
• Falsificación
• Usurpación
• Sniffers
• Spoofing
• Spam
• Grafiti
• Ingeniería Social
• Negación de servicio

22. Principales páginas
• Security Focus: www.securityfocus.com
• CERT : www.cert.org
• SANS: www.sans.org
• Dpto. Seguridad ITESM-CEM: dsc01.cem.itesm.mx
• Securiteam: www.securiteam.com
• Snort: www.snort.com
• ISS: www.iss.net
• Página seguridad RSA: www.rsasecurity.com
• Cypherpunks: www.vnunet.com
• Bruce Scheneider: www.counterpane.com
• Security Space: www.securityspace.com
• Ernst&Young: www.esecurityonline.com

23. Más páginas
• Linux Security: www.linuxsecurity.com
• Diccionario del hacker: www.hack.gr/jargon/
• Defaced pages: www.attrition.org/
(deshabilitada)
• Defaced pages: www.alldas.org/
• Criptologia: www.criptored.upm.es

24. ATAQUES MÁS COMUNES

25. Denial of Service - DOS
(Denegación de Servicio)
• SYN Flood
• PING de la Muerte
– Windows 95:
• PING -T -L 65500 xxx.xxx.xxx.xxx; hacer
15 sesiones
– La estación se va a congelar o
reiniciar

26. Exploits (abusos)
• IP spoofing
• SMURF
• Buffer Overflows
– Ejemplo: Mayoría de los logins permiten
apenas 256 caracteres
– Si los 300 caracteres son enviados en el
password que sera ejecutado, el sistema
sera vulnerable al ataque
– Común en programas C/C++, raro en
programas Java.

27. Ataque: Análisis de paquetes
m-y-p-a-s-s-w-o-r-d d-a-n
telnet foo.bar.org
username: dan
password:

28. Ataques Comunes - Reconnaissance
(reconocimiento)

29. Ataques Comunes - Reconnaissance
(reconocimiento)

30. Trojan Horse

31. Trojan Horse

36. Alarmtool - Email, Pager, SNMP
Traps

37. Internet
Firewall
Asegurado
DMZ
Switch
Asegurado
Arquitectura de ―Mejores Prácticas‖
Intrusion Detection
Systems
Router
Asegurado
Se administra por
Interface Web
NIDS NIDS
NIDS
NIDS
Red
Interna
HIDS
HIDS

38. Autenticación de Usuarios en
la Red
IEEE 802.1x : Reconfigura el switch basado en el usuario
802.1x
EAP login

39. Equipos de Acceso de Capa 4
IP
User: unknown
Password : any
VLAN Isolated
Radius y
DHCP
Server
Servidor
De Aplicaciones
Internet
VLAN Ventas
SAPSNMP
IP
VLAN Ingenieros
SNMP
SNMP
WEB
WEB
VLAN Ingenieros
User: jose
Password : 123
User: Douglas
Password : xqfszx
User: Mariano
Password : xeYs&
DOOM

40. Equipos de acceso capa 2
Radius y
DHCP
Server
Servidor
De Aplicaciones
Internet
User: unknown
Password : any
VLAN Isolated
IP
VLAN Ventas
User: jose
Password : 123
VLAN Ingenieros
User: Douglas
Password : xqfszx
SAPSNMPWEB

41. Reducción
de Riesgos

42. Reducción de Riesgos
 Contramedidas orientadas a riesgos y
vulnerabilidades específicas
 Administrativas, operacionales y técnicas
 No previenen todos los ataques, pero
reducen los riesgos
 Tolerancia varía entre organizaciones
 Sensibilidad de la información, costo, equipo
adicional, mantenimiento, flexibilidad
 Equilibrio entre seguridad e inversión

43. Contramedidas
Administrativas
 Política de seguridad comprensiva
 Fundamento de las otras contramedidas
 Política debe:
 Identificar a los usuarios de la LAN
 Definir si es necesario acceso a Internet
 Quien puede instalar AP y otros equipos
 Limitar localización y seguridad física de
equipos
 Definir tipo de información a transmitir
 Condiciones para permitir dispositivos inalámb.

44. Contramedidas
Administrativas
 Política...
 Definir configuraciones de seguridad
 Limitaciones de uso de dispositivos inalámbricos
 Configuraciones de HW y SW de dispositivos
 Guías para reportar pérdida u otros problemas
 Guías para la protección de dispositivos
 Guías de uso y manejo de llaves de criptografía
 Definir frecuencia y alcance de evaluaciones de
seguridad
 Entrenamiento de personal y usuarios

45. Contramedidas
Operacionales
 Seguridad física es una etapa fundamental
 Seguridad física combina:
 Control de acceso
 Identificación de personal
 Protección de fronteras
 Control de acceso
 Identificación de fotografías, lectores de
tarjetas, dispositivos biométricos, etc.
 Identificación de personal
 Registro y asignación de áreas de acceso

46. Contramedidas
Operacionales
 Protección de fronteras
 Vías de acceso con seguros y cámaras de vigilancia
 Estudio del alcance de los AP’s
 Consideraciones similares para “bridges” entre
edificios
 Uso de herramientas para estudio del sitio
 Antenas direccionales
 Site survey tools
 Miden y aseguran la cobertura de AP’s
 Mapeamiento no garantiza seguridad

47. Contramedidas Técnicas
 Uso de soluciones en HW y SW
 Contramedidas en software
 Correcta configuración de los equipos,
parches y actualizaciones de SW,
autenticación, sistemas de detección de
intrusión, criptografía
 Contramedidas en hardware
 Tarjetas inteligentes, redes privadas
virtuales, infraestructura de llave pública,
dispositivos biométricos, etc.

48. Soluciones de Software
 Configuración de AP’s de acuerdo a
políticas y requisitos de seguridad
 Actualización de passwords predeterminados
 Establecer características de criptografía
 Controlar funciones de “reset” y conexión
automática
 Uso de la funcionalidad MAC ACL
 Modificación y control del SSID
 Manejo de llaves compartidas
 Uso de agentes SNMP y DHCP

49. Soluciones de Software
 Parches y Actualizaciones de
Software
 Vulnerabilidades de SW son corregidas
por parches o actualizaciones
 Administradores deben verificar
periódicamente listas de parches y
actualizaciones
 Ejemplo: “fast packet keying” de RSA

50. Soluciones de Software
 Autenticación
 Soluciones incluyen passwords, tarjetas
inteligentes, biométrica, PKI o combinaciones
 Passwords deben cumplir con tamaño,
caracteres requeridos y expiración periódica
 Tarjetas inteligentes y PKI tienen sus
propios requisitos
 Sin embargo autenticación no resuelve todos
los problemas
 Equilibrar costos y flexibilidad con seguridad

51. Soluciones de Software
 Firewalls personales
 Firewalls personales residen en estaciones
cliente
 Pueden ser administrados por el cliente o en
forma centralizada
 Administración centralizada ofrece mayor
protección (capacidad de crear una VPN)
 Protección contra AP’s maliciosos
 No protegen contra ataques avanzados
 Niveles de protección adicional son requeridos

52. Soluciones de Software
 Sistemas de detección de intrusión
 Herramienta para determinar accesos
desautorizados y comprometimiento de la red
 Puede ser host-based, network-based o híbrido
 Host-based IDS es instalado en sistemas
individuales y monitora comportamientos
sospechosos o cambios en archivos
 Network-based IDS monitora el tráfico de red
en tiempo real buscando patrones de ataques
 Ejemplo: Ataque “TearDrop DoS”

53. Soluciones de Software
 IDS’s...
 En conexiones criptografiadas el esquema host-
based tiene ventajas sobre el esquema network-
based
 IDS para redes cableadas pueden tener algunas
limitaciones cuando protege WLAN’s
1. Sensores IDS en la red cableada no detectan
ataques entre clientes o intentos de desasociar
clientes
2. Tecnología IDS solo detecta ataques cuando la
WLAN ha sido ya comprometida, no identifica
ubicación física, no detecta comunicaciones P2P

54. Soluciones de Software
 IDS’s...
 Expansión de redes cableadas con redes inalámbricas
introduce riesgos no manejables por IDS’s
 Soluciones IDS inalámbricas deben proveer:
1. Identificación de la ubicación física
2. Detección de comunicaciones P2P no autorizadas
3. Detección del aparecimiento de AP’s maliciosos
4. Detectar cambios de configuración en dispositivos
5. Percibir intentos de desasociación o inundación
6. Monitoreo centralizado y administración integrada

55. Soluciones de Software
 IDS’s...
 Organizaciones con requisitos elevados de
seguridad deben implementar IDS’s
 Proveen un nivel adicional de seguridad
 Migración de IDS’s a WLAN’s debe considerar
recomendaciones mencionadas
 IDS involucra un costo y requiere personal
experimentado
 Debe considerarse el uso de máquinas de
correlación: IDS, firewall, sistemas antivirus

56. Soluciones de Software
 Criptografía
 Tres opciones: 0, 40, 104 bits (128)
 0 bits crea el mayor riesgo a la seguridad
 40 bits pueden ser descifrados por fuerza
bruta en computadores personales
 104 o 128 bits ofrece mejores condiciones
 Pobre diseño de WEP no garantiza la
seguridad mismo con llaves de mayor
tamaño

57. Soluciones de Software
 Evaluación de seguridad
 Auditorias son esenciales para mantener la
seguridad de WLAN’s
 Utilización de analizadores de red y otras
herramientas
 Analizador de red permite auditar la red y
resolver problemas
 Chequeo de canales, AP’s maliciosos, accesos
desautorizados
 Recomendable usar consultores externos
 No olvidar la parte cableada de la red

58. Soluciones de Hardware
 Tarjetas inteligentes (smart cards)
 Pueden adicional otro nivel de protección
(y complejidad)
 Almacenan certificados de usuario y
otras informaciones
 Usuario solo necesita recordar un PIN
 Son portátiles (ventajas y desventajas)
 Pueden usarse solas o combinadas con
passwords, autenticación de 2 factores,
dispositivos biométricos, etc.

59. Soluciones de Hardware
 Redes privadas virtuales
 Tecnología que provee transmisión de datos segura
a través de infraestructura de red pública
 Usadas en 3 principales escenarios: acceso de
usuarios remotos, conectividad LAN-to-LAN y
extranets
 Usa técnicas criptográficas para proteger los
datos
 Un túnel VPN es creado para aislar la información
 Provee confidencialidad, integridad y otros
servicios de seguridad

60. Soluciones de Hardware
VPN
AP AP
VPN
Internet

61. Soluciones de Hardware
 VPN’s...
 Mayoria de VPN’s usan protocolos IPSec (IETF)
 IPSec provee protección robusta en: integridad,
confidencialidad, autenticación de origen,
protección de “replay” y análisis de tráfico
 Integridad sin conexión garantiza que el mensaje
no ha sido modificado
 Confidencialidad garantiza que terceros no pueden
leer la información
 Autenticación de origen impide impersonamiento

62. Soluciones de Hardware
 VPN’s...
 Protección de replay asegura mensajes únicos
y en orden
 Protección de análisis de tráfico impide
determinar quien se comunica, su frecuencia
o volumen de Tx
 Elementos de seguridad: ESP, AH, IKE
 IPSec provee seguridad al nivel de red
(independiente del nivel 2 – WEP)
 El túnel IPSec va desde el cliente hasta el
dispositivo VPN en la red corporativa

63. Soluciones de Hardware
AP AP
VPN
Internet
IPSec
WEP

64. Soluciones de Hardware
 VPN’s...
 Estaciones sólo necesitan el software cliente
IPSec/VPN
 Autenticación por llaves pre-compartidas,
RADIUS o OTP (one-time-passwords)
 VPN gateways integran servicios de firewall
 Registro cronológico para auditoria puede
también ser útil
 No resuelve autenticación de acceso a las
aplicaciones corporativas

65. Soluciones de Hardware
 Infraestructura de llave pública
 PKI provee el marco y servicios para la generación,
producción, distribución, control y contabilidad de
certificados de llave pública
 Aplicaciones disponen autenticación y codificación
seguras, integridad de datos, y no-rechazo
 WLAN’s integran PKI para autenticación y
transacciones de red seguras
 Integración con tarjetas inteligentes mejora su
utilidad
 Desventajas: costo y complejidad

66. Soluciones de Hardware
 Dispositivos biométricos
 Proveen nivel adicional de protección (solos
o combinados)
 Lectores de huellas digitales, geometría de
las palmas, lectores ópticos (iris, retina),
reconocimiento facial, reconocimiento de
voz, dinámica de firmas, etc.
 Integración con tarjetas inteligentes o
dispositivos inalámbricos más passwords
proveen alta seguridad
 También pueden combinarse con VPN

67. Soluciones
Parte Práctica

68. Seguridad desde el principio
• Haz ―seguro‖ un servidor antes de
conectarlo a una Red.
• Incluye cosas asi:
– Apagar servicios no necesario.
– Usa un “tcpwrapper” con los servicios de
red.
– Planificar y instalar reglas de netfilter.
– Instalar paquetes de controlar usuarios
(cuotas, chequeos de contraseñas).
– Aplicar parches a servicios que va a correr
y al sistema operativo.
– cont.-->

69. Seguridad desde el principio
cont.
– Instalar sistema de detectar intrusion.
– Instalar biblioteca encontra ataques de buffer
overflow.
– Configurar como va a correr y usar los logs.
– Determinar su sistema de respaldo.
– Seguridad de clientes.
– Seguridad fisico! No lo olvido.
– Inscribe en las listas de correo acerca
seguridad y tu sistema operative.

70. Apagar servicios no necesarios
Esto es clave por la seguridad de tu sistema.
Usa los comandos asi:
– ps -aux | more
– lsof -i
– netstat -natup
Despues investigaciones si necesario
usando /etc/services, man nombre,
/etc/rc.d/init.d/, /etc/xinetd.d

71. Apagar servicios no seguros
Se puede discutir cual servicios son, pero
tipicamente hablamos de:
– telnet
– ftp
– rpc
– nfs
– sendmail

72. Correr servicios con tcpwrapper
• Un tcpwrapper es un programa como
xinetd.
• Antes usamos inetd.
• /etc/rc.d/init.d/xinetd
• /etc/xinetd.d
• Se configura servicios dentro este
directorio.
• Se lo apaga con ―disable = yes‖
• Que provee xinetd? -->

73. Para que correr xinetd?
• El servicio (daemon) de xinetd ―escucha‖
por los paquetes por todo los servicios
mencionados en los archivos de
configuracion en /etc/xinetd.d
• Se ahora memoria y recursos. Pero, por un
servicio cargado (como httpd) mejor no
usar xinetd.
• Se puede controlar varios aspetos de
connecion usando el ―super servidor‖
xinetd.

74. Algunos parametros de xinetd
• Disable: si el servicio corre o no cuando xinetd esta
en uso.
• Wait: si o no corre multiple daemons si hay mas de
una connecion.
• User: bajor que usuario corre el servicio.
• Instances: Numero maximo de connecions permitido
al servicio. Si wait = nowait el defecto es ―no limite‖
por instantes.
• Server: El nombre del programa de correr cuando
esta conectado el servicio.
• only_from: Especifica de donde se accepta
conecciones.
• no_access: Especifica de dondes no se accepta
conecciones.

75. Parametros de xinetd cont.
• Interface: puede decir en que dispositivo de ethernet
va a responder el servicio.
• cps: “cps = 10 30” significa accepta hasta 10
conecciones y si hay mas apaga el servicio por 30
segundos.
• Tambien hay los parametros Id, Type,
socket_type, Protocol, Group, server_args,
log_type, log_on_success, Port.
• Xinetd permite bastante control al nivel de
aplicacion para controlar algunos servicios de red.
• Solamente tiene que especificar los parametros
“socket_type”, “user”, “server”, y “wait” en un
archivo de configuracion por xinetd.

76. Correr reglas de Netfilter?
Netfilter es iptables es ―firewall‖ en la mente
de la mayoria de las personas.
Si tienes un servidor que no esta pasando
paquetes de IP a un red privado, no es
necesario correr una tabla tan grande de
Netfilter.
Se puede correr reglas para proteger
encontra paquetes no muy bien formados,
etc.
Rechazar icmp? (ping)

77. Controlar los usuarios
Bueno, esto es imposible :-) Pero, tal vez
se puede restringir las contraseñas que
usan y el espacio que toman.
Implentar reglas de contraseñas. Un
ejemplo:
– Contraseñas nuevas deberian tener entre 6
a 14 caracteres.
– No se puede eligir una palabra, nombres,
lugares, o datos personales.
– Una contraseña segura deberia contener,
por lo minimo, dos numeros, dos letras, y
unz mezcla de mayuscalas y minuscalas.

78. Controlar los usuarios cont.
Implementar cuotas a los usuarios. En
Red Hat ya esta instalado el aporte para
implementar las cuotas.
– /etc/fstab usrquota y/o grpquota
– /part/quota.user y /part/quota.group
– edquota -u usuario para congigurar las
cuotas.
• edquota -p artc 'awk -F: '$3 >> 499 print $1'
/etc/passwd'
– quotacheck -avug
– quotaon -avug
– quotacheck, repquota, quota

79. Controlar los usuarios cont.
Para que los usuarios tienen que usar una
contraseña bastante buena se puede usar PAM
(Pluggable Authenticion Module) y cracklib.
– PAM con cracklib (PAM ya esta en Red Hat 9)
Quebrar las contraseña despues que existen:
– John the Ripper:
http://www.openwall.com/john/
– Crack: http://www.crypticide.org/users/alecm
– Slurpie:
http://www.ussrback.com/docs/distributed/

80. Aparchar y actualizar software
Aparchar o aplicar los mejoramientos al
software que va a correr y a tu kernel.
En el mundo Red Hat busca el directorio
―udpates‖
Desde que Red Hat 9 ha salido hay 500MB
de updates.
Revisa los updates y decide cuales tiene que
aplicar.
Por servicios importante vaya a su sitio de
web y inscribe en listas de correo para
saber siempre cuando sale un update –
especialmente por seguridad.

81. Sistemas de detectar intrusos
Tambien, se dice ―Sistemas de probar la
integridad de sistemas.‖
En este caso estamos hablando de sistemas
por tu servidor y sus archivos, no por la
red.
Hay tres sistemas bien populares hoy en dia.
Son:
– tripwire: http://www.tripwire.org/
– AIDE: http://www.cs.tut.fi/~rammer/aide.html
– Snort: http://www.snort.org/

82. Ataques de Buffer Overflow
Aprovechando del estado de memoria de un
programa. Usando mas memoria temporia
que hay, y el programa no lo atrapa bien
este condicion. Se falla en una forma que
permite el intruso tomar el proceso con los
permisos del usuario de que pertenece al
programa.
El proyecto libsafe
(http://www.research.avayalabs.com/project/libsafe/) tiene una
solucion sensible. Se lo instala su software
y esto es todo.

83. Ataques de Buffer Overflow cont
Otro software encontra este tipo de ataque
incluyen:
– Openwall: http://www.openwall.com/
– Stackguard:
http://www.cse.ogi.edu/DISC/projects/immunix/StackGuard/linux.
html
– WireX: http://immunix.org/
Son mas complicado para instalar, pero
pueden ser mas completo, o util por los
servidores que tienen que ser paranoiacos
para mantenar seguro datos.

84. Logging y Reportajes
• Red Hat Server ya tienen /etc/syslog.conf
bien hecho. Lea ―man syslog.conf‖ por mas
detallas.
• Red Hat Server 9 corre cada dia el servicio
―logwatch‖ que manda un mensaje al root
con un reportaje hecho de los logs en
/var/log.
• Vea /etc/log.d/logwatch.conf.
• Donde van los logs es importante.
• Respaldos de los logs es importante.

85. Sistema de respaldo
Tecnicamente no es seguridad, pero sin
respaldo de los datos que haces si hay un
intruso?
• Que tienes que respaldar?
• Cuantas veces tienes que correr un respaldo?
• Donde va la media de respaldo en caso de
desastre?
• Que pasa en caso de desastre (terremoto?).
• Que herramientas vas a usar (tar? arkeia?
cpio?)

86. Seguridad de los clientes
Esto es supremamente importante!
Mucha gente olvida esto. Pero un cliente
(usuario que tiene acceso a tu sistema)
que no es seguro es un riesgo y oyo de
seguridad grande a tu servidor.
Insiste en pop/imap por ssl, ssh, scp,
sftp, https, contraseñas buenas.
No use pop/imap sin ssl, webmail por
http, ftp (menos anymous), ni telnet.

87. Seguridad fisico
Todo la seguridad en el mundo no te va a
ayudar si alguien tiene acceso fisico a tu
servidor y si este persona quiere causar
daño.
Considera quien tiene acceso. Llaves. El
espacio fisico. Donde estan los respaldos?
Los logs?
Tienes una contraseña en el bootloader y un
sistema de archivos encifriado? No
importa, la persona puede llevar tu
computador!

88. Detectando un intruso
Que pasa si, ya, alguien entro tu sistema y
hico cambios? Como va a saber?
– Tal vez nunca vas a saber. Sin un sistema
de detection de intruso, como Tripwire, es
dificil saber.
– Si un programa como ―ls‖ no corre.
– Si ―netstat -natup‖ muestra algo como
BASH escuchando a un puerto de tcp.
– Si, de repente, vea mucho mas actividad en
el disco duro, por el camando ―top‖ o en la
red.
– Si esta corriendo un proceso de red
escuchando por un puerto > 1024

89. ―Seguridad por osbscuridad‖
―Security from obscurity‖
¡No funciona!
Monitorea tu red y ve cuanta gente esta
probando los puertos de tcp/udp en tu
red publica – es impresionante!

90. Resumen
En resumen, para hacer ―seguro‖ tu
servidor haz lo siguiente:
– Apagar servicios no necesarios
– Apagar servicios peligrosos
– Usa contraseñas seguras
– Considera sistemas de detectar intrusos.
– Considera sistemas de chequear integridad
de sistema.
– Usa logs. Protega tus logs.
– Aplica los parches encontra los ataques de
buffer overflow.

91. Resumen cont.
• Aplicar los parches a los servicios que corres
y al kernel.
• Usa un servicio de tcpwrapper, como xinetd.
• Corre respaldos!
• Considera usando reglas de netfilter.
• Inscribe al listas de correo como bugtraq y
cert.
• Instala software para controlar tus usuarios
como cuotas y chequeo de contraseñas.
• Insiste en clientes seguros que usan metodos
de criptografia (ssh, scp, sftp, https,
pop/imap/ssl) .
• Seguridad fisico de tus servidores.

92. Entiendes que haces
• Una solucion de seguridad mala es peor que no
solucion.
• Entiendes que haces:
● Lea toda la documentacion
● Lea las configuraciones de muestras
● Construye maquinas de pruebas
● Haz preguntas
● Inscribe en las listas de correo de anuncios
por tu sistema operativo y por las aplicaciones
que corres.
● Trata de conectar desde afuera tu propia red.
● Trata de evitar tus propias reglas.

93. Conclusion
Hay una regla en el mundo de seguridad:
– Mas seguro = mas molestia
Cada tapa de seguridad que impones, en
general, lo hace mas dificil para hacer tu
trabajo.
Hay otra regla en el mundo de seguridad:
– Menos seguro = desastre esperando
Solo requiere una quebrada de seguridad
para que tus datos pueden ser
destruidos, tu negocio puede fallar, o tu
trabajo puede estar en peligro.

94. Conclusion cont.
Con un poco trabajo se puede mejorar el
nivel de seguridad de un servidor mucho.
Es una molestia, pero desafortunadamente
es una molestia necesaria.
Pero, Linux esta hecho en una forma bien
modular que lo hice mucho mas facil de
hacer seguro. Y, mientras que haces
seguro tu servidor, tambien, haces tu
servidor ordenado y mas facil de
administrar.

95. Que es un IDS?

96. • IDS (Intrusion Detection System)
• Sistema de Detección de Intrusos

97. Necesidad de un IDS
• Perdidas reportadas, mas de
$1,004,135,495 Dlls.
• 57% de ataques a través de un ISP
• Proteger la Información.

98. Consideraciones de un IDS
• Debe reforzar una política de seguridad.
• Resistente a un ataque.
• Documentación y Soporte.
• Lightweight
• Respuesta a Incidente.

99. Acciones en un IDS
• Analiza el trafico en la Red y compara
patrones de ataques conocidos, tomando
acciones de acuerdo a su configuración (
envío de mensajes de alerta, reseteando
conexiones, etc)
• Reacciona de acuerdo a Reglas.

100. NIDS vs HIDS
• Network
– Examina ataques a la
red, analizando el trafico
en la misma.
– Se pueden distribuir
sensores a través de la
red y reportar incidentes
a un host central
– Es posible detectar
ataques distribuidos.
– Necesidad de personal
dedicado a la lectura de
reportes
• Host
– El Host es el único
protegido en la red.
– Examina un numero
menor de firmas
– Requiere mínima
configuración.
– El software debe ser
instalado en cada host
para ser monitoreado.

102. Limitaciones en IDS
• Distinguir entre ―self y non-self‖
• Falsos Positivos
• Falsos Negativos
• Tiempo

103. Algunos IDS comerciales
• DRAGON
• Intruder Alert
• NetProwler
• ISS RealSecure
• Cisco NetRanger
• Cyber Cop
• OMNIGUARD Intruder Alert

104. Cont.
• POLYCENTER Security Intrusion Detector
• G-Server
• Watch Dog
• CMDS (Computer Misuse and Detection
System)
• INTOUCH NSA (Network Security Agent)

105. IDS Gratuitos
• Shadow
• Network Flight Recorder
• Tripwire
• Snort

106. Proyectos de IDS
• AID (Adaptive Intrusion Detection system)
• EMERALD (Event Monitoring Enabling
Responses to Anomalous Live
Disturbances)
• ANT
• LISYS
• IDS basado en el Control de Procesos

107. Conclusión
• Un IDS debe contar con las siguientes
características:
– Ser distribuido, lightweight, confiable, robusto,
escalable y distinguir de lo que es un ataque
a un comportamiento normal del sistema.

108. SNORT
• Marty Roesch
• Distribución Gratuita
• LightWeight
• Mas de 700 firmas
• Análisis de trafico en tiempo real

109. SNORT
• Puede guardar paquetes que pasan en la
Red, Analizar paquetes o ambos.
• Uso de Filtros.
• Detección de Strings o Hosts Arbitrarios.

110. Ejemplo de Regla
• IMAP Buffer Overflow
• alert tcp any any -> 192.168.1.0/24 143
(content:"|E8C0 FFFF FF|/bin/sh";
msg:"New IMAP Buffer Overflow
detected!";)

111. Donde Obtenerlo
• http://www.snort.org

112. Conclusiones.
• Snort, cumple con el requisito de ser
Lightweight es compacto y flexible. Es una
buena alternativa si no se tiene un IDS
comercial o bien puede ser un excelente
apoyo para un comercial. Tiende a ser
comercial.

113. Sistemas de
Prevención de Intrusos
IPS
3Com Confidential 117

114. ¿Qué es un IPS?
• Intrusion Prevention System (IPS) de
es un elemento para proteger
proactivamente una red a velocidad
de wirespeed.
• El IPS debe ser un elemento in-line
que puede ser colocado de forma
transparente e invisible en la red
• Todos los paquetes que pasen por el
segmento de red protegido son
inspeccionados de manera completa
a fin de determinar si son legítimos o
maliciosos. Este método instantáneo
de protección es el más efectivo de
prevenir ataques evitando que
lleguen a su objetivo.
• Debe proveer Application
Protection, Performance
Protection e Infrastructure
Protection a través de inspección
total de paquetes
DNSFTPHTTP
SNMPSMBTelnet
Web Services DMZ
IBM DB2MS SQL
Applicaciones
Sistemas Operativos
Wireless
Infraestructura
VIRUS
WORM
TROJAN
BUFFER
OVERFLOW
PHISHING
SPYWARE
KAZAA
Aplicación y
usuarios
válidos
Tráfico
bueno pasa
Switch
Router
Firewall
Ver Animación

115. Criterios para tomar una decisión
adecuada
No todo equipo que dice ser un
IPS es en realidad un IPS
Elegir mal un IPS puede provocar:
•Degradación en la velocidad de la Red
•Aumento en la complejidad para asegurar la red
•Mayores brechas de seguridad

116. Administración de Ancho de
banda
• Capacidad de manejar Rate Shaping
• Protección al rendimiento de la red
• Descubre Kazaa, e-donkey, gnutella en cualquier
puerto Qué tipo de IPS no poseen
Administración de Ancho de
Banda?
Respuesta: Aquellos que no
poseen filtros de performance ni
pueden manejar Rate Limiting
orientado a anomalía de tráfico

117. Seguridad en aplicaciones de
futuro
• VoIP Protection
• Protección DDoS
Qué tipo de IPS no poseen
seguridad sobre la
convergencia?
Respuesta: Aquellos que no
poseen filtros específicos para
VoIP

118. Clients
Safe
Zone
SMS
RADIUS
Core
1
2
3
Switch
SAP
STREAMING DE ÁUDIO
WEB
BLASTER VIRUS
LOTUS NOTES
E-MAIL
BLOCKED
BLOCKED
Autenticación & Policy
Intrusion Prevention
Policy-Enabled Access

119. Safe
Zone
SMS
RADIUS
6
5 4
7
3
Intrusion Prevention & Quarentena
REMEDIATION PAGE
Intrusion Prevention
Clients
Policy-Enabled Access
Core

120. Antisniffers

121. Que es un antisniff?
• Antisniff es una nueva clase de
herramienta de monitoreo de seguridad
proactivo. Tiene la habilidad de explorar
redes y detectar si alguna computadora se
encuentra en modo promiscuo.

122. Cómo trabaja un sniffer?
• Cuando un atacante compromete
satisfactoriamente una computadora, instala lo
que se conoce como un sniffer, una herramienta
que pone a la computadora en modo promiscuo,
permitiendole monitorear y grabar todas las
comunicaciones de la red.
• Antes de que esta herramienta existiera era
imposible para los administradores de redes el
detectar remotamente si las computadoras
estuvieran escuchando todas las
comunicaciones de red.

123. Antisniff
• Antisniff fue diseñado para detectar
máquinas comprometidas con pilas de IP
que un atacante remoto pudiera utilizar
para ―sniffear” el tráfico de la red.

124. Beneficio
• Proporcionar a los administradores y a
profesionales en la seguridad de la
informacíon la habilidad de detectar
remotamente computadoras que estan
“snifeando” paquetes
independientemente del sistema operativo
.

125. Antisniff
• AntiSniff trabaja corriendo un número de
pruebas no-intruso que puede determinar
si una computadora se encuentra
escuchando todas las comunicaciones de
la red.

126. Antisniff
• AntiSniff ejecuta 3 clases de pruebas:
• Prueba del sistema operativo
• Prueba DNS
• Prueba de red en estado latente
•

127. Antisniff
• Todas las pruebas pueden correr juntas
para brindar un alto grado de seguridad
acerca de que si una computadora esta
snifeando paquetes o no. El programa
cuenta con una interfaz gráfica que nos
permite configurar y agendar pruebas de
red, generar reportes e instalar alarmas

132. Antisniff puede ser derrotado?
• Sí, cualquier cosa puede ser derrotada.
Actualmente los métodos para evadir un
Antisniff se encargan de crear una interfaz
no direccionable o en la lógica que utiliza
el programa de monitoreo de redes
promiscuas para dejar de monitorear la
red cuando se presenten señales de que
algun antisniff se encuentre corriendo

133. Recomendaciones
• Se recomienda que esta herramienta se
encuentre corriendo con la mayor
frecuencia posible

134. Detalles técnicos
• Antisniff realiza tres tipos de puebas:
(sistema operativo, DNS, latencia en red)
• Antisniff esta diseñado para trabajar en
segmentos de redes locales en un
ambiente no switcheado
• La herramienta podrá trabajar en un
ambiente switcheado pero con algunas
limitaciones

135. Firewalls

136. ¿ Que es un Firewall ?
• Existen 2 Tipos básicos de Firewall
– Hardware Firewall: Normalmente es un
ruteador, tiene ciertas reglas para dejar o no
dejar pasar los paquetes.
– Software Firewall: Es un programa que esta
corriendo preferentemente en un bastioned
host, que verifica los paquetes con diferentes
criterios para dejarlos pasar o descartarlos.

137. Hardware Firewall

138. Software Firewall

139. ¿ Que hace un Firewall ?
• Basicamente examina el trafico en la red,
tanto entrante como saliente y lo examina
en base a ciertos criterios, para
determinar si lo deja pasar o lo descarta.
Si detectan algo anormal pueden tener
procedimientos a seguir o poner en aviso
al administrador.

140. Operación básica de un Firewall

141. Análisis de la información de un paquete
• Actualmente - la mayoría de los cortafuegos
comprueban solamente la información básica del
paquete
• Equivalente en el mundo real a mirar el número y el
destino de un autobús - y de no mirar a los pasajeros

142. ¿En que capa trabaja el
Firewall?

143. Información general sobre las conexiones
de perímetro
 Internet
 Sucursales
 Socios comerciales
 Usuarios remotos
 Redes inalámbricas
 Aplicaciones de Internet
Los perímetros de red
incluyen conexiones a:
Socio comercial
LAN
Oficina principal
LAN
Sucursal
LAN
Red
inalámbrica
Usuario remoto
Internet

144. Diseño del servidor de seguridad: de triple
interfaz
Subred protegidaInternet
LAN
Servidor de seguridad

145. Diseño del servidor de seguridad: de tipo
opuesto con opuesto o sándwich
Internet
Externa
Servidor de seguridad
LANInterna
Servidor de seguridad
Subred protegida

146. • Tráfico peligroso que atraviesa los puertos abiertos y no
es inspeccionado en el nivel de aplicación por el servidor
de seguridad
• Tráfico que atraviesa un túnel o sesión cifrados
• Ataques que se producen una vez que se ha entrado en
una red
• Tráfico que parece legítimo
• Usuarios y administradores que intencionada o
accidentalmente instalan virus
• Administradores que utilizan contraseñas poco seguras
Contra qué NO protegen los servidores de
seguridad

147. Servidores de seguridad de software y de
hardware
Factores de
decisión
Descripción
Flexibilidad
La actualización de las vulnerabilidades y revisiones más recientes
suele ser más fácil con servidores de seguridad basados en software.
Extensibilidad
Muchos servidores de seguridad de hardware sólo permiten una
capacidad de personalización limitada.
Elección de
proveedores
Los servidores de seguridad de software permiten elegir entre
hardware para una amplia variedad de necesidades y no se depende de
un único proveedor para obtener hardware adicional.
Costo
El precio de compra inicial para los servidores de seguridad de
hardware podría ser inferior. Los servidores de seguridad de software
se benefician del menor costo de las CPU. El hardware se puede
actualizar fácilmente y el hardware antiguo se puede reutilizar.
Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.
Disponibilidad
global
El factor de decisión más importante es si un servidor de seguridad
puede realizar las tareas necesarias. Con frecuencia, la diferencia entre
los servidores de hardware y de software no resulta clara.

148. Tipos de funciones de los servidores de
seguridad
• Filtrado de paquetes
• Inspección de estado
• Inspección del nivel de aplicación
Inspección multinivel
(Incluido el filtrado del nivel de aplicación)
Internet

149. Tipos de Firewalls
• Packet filters
• Circuit Level Gateways
• Aplication Level Gateways
• Stateful Multilayer Inspection
Firewall

150. Paquet Filters

151. Circuit Level Gateways

152. Aplication Level Gateways

153. Stateful Multilayer Inspection
Firewall

154. Como Implementar un Firewall
• Determinar el nivel de Seguridad
requerido.
• Determinar el trafico que va a entrar a la
red.
• Determinar el trafico que va a salir de la
red.
• Alternativas.

155. Interfaces de Red
• Dos tipos
– Interna
– Externa
• Dos tipos de externa
– Interfaz-Internet
– DMZ

156. Interfaces Internas
• Puede tener más de una
• Definida por la LAN
– Cualquier interfaz cuya dirección IP está en la
LAN es una interfaz interna

157. Interfaces externa
• Interfaz-Internet
– Puede tener sólo una
– Debe ser la frontera
– Sólo una interfaz con una puerta de enlace por
defecto
– Está conectada a Internet
– Más de una no está soportada y no trabaja
• DMZ
– El resto de las interfaces en el ordenador
• No incluida en la LAN, no conectada a Internet

158. Comportamiento del tráfico
Internet
DMZ LAN
 publicación de servidores
 publicación de web
 NAT
 inspección de aplicación
 filtrado de paquetes
 enrutamiento
 publicación de servidores
 publicación de web
 NAT
 inspección de aplicación

159. Diseño Subóptimo
• El tráfico entrante y saliente de la DMZ no está
bien protegido
– El filtrado de paquetes es igual al de cualquier otro
cortafuegos
– No reconoce lo protocolos de aplicaciones
– No puede inspeccionar para cumplir con las reglas
– No utiliza filtros de Web o aplicaciones
• Recomendación —
– No utilice diseños de triple interfaz
– Si lo utiliza descargue la seguridad sobre los propios
servicios de la DMZ

160. Publicación opuesto-con-opuesto
• En la DMZ
– Método de publicación normal
• En la red corporativa
– Publicación de recursos sobre el servidor
interno
– Publicación del servidor interno sobre el
servidor externo
• Usar tarjetas SSL para HTTPS
– http://www.microsoft.com/isaserver/partners/ssl
.asp
– AEP Crypto — ¡rápido y barato!

161. Alternativa Interesante
• Diseño de triple interfaces
• No interfaz de ―DMZ‖
• Dos interfaces internas
– Inspección de aplicaciones entre Internet y
todas las interfaces internas
– Necesidad de proteger la comunicación a
través de las interfaces — ¿Cómo?
• Bueno para presupuestos limitados

162. Alternativa interesante
Internet
interna 1
Subred
apantallada
interna 2
Red
corporativa
 RRAS filtros de paquetes
 publicación de servidores
 publicación de Web
 NAT
 inspección de aplicación
 publicación de servidores
 publicación de Web
 NAT
 inspección de aplicación

163. Protección de los clientes
Método Descripción
Funciones de
proxy
Procesa todas las solicitudes para los clientes y nunca
permite las conexiones directas.
Clientes
admitidos
Se admiten todos los clientes sin software especial. La
instalación del software de servidor de seguridad ISA en
clientes Windows permite utilizar más funciones.
Reglas
Las reglas de protocolo, reglas de sitio y contenido, y
reglas de publicación determinan si se permite el
acceso.
Complementos
El precio de compra inicial para los servidores de
seguridad de hardware podría ser inferior. Los
servidores de seguridad de software se benefician
del menor costo de las CPU. El hardware se puede
actualizar fácilmente
y el hardware antiguo se puede reutilizar.

164. Protección de los servidores Web
• Reglas de publicación en Web
– Para proteger de ataques externos a los servidores
Web que se encuentran detrás de los servidores de
seguridad, inspeccione el tráfico HTTP y compruebe
que su formato es apropiado y cumple los estándares
• Inspección del tráfico SSL
– Descifra e inspecciona las solicitudes Web entrantes
cifradas para comprobar que su formato es apropiado
y que cumple los estándares
– Si se desea, volverá a cifrar el tráfico antes de
enviarlo al servidor Web

165. Una visión para una Red Segura
Internet
Enrutadores Redundantes
Cortafuegos
VLAN
VLAN
DC + Infrastructure
NIC teams/2 switches
VLAN
Front-end
VLAN
Backend
Detección de Intrusión
Primer nivel de Cortafuegos
Filtros URL
La implementación de uno o más Switches VLANs controlan el tráfico Inter-VLAN como
lo hacen los cortafuegos – Las VLANs no están a prueba de bala (pero tampoco son
servidores)
Se permite o bloquea el tráfico basado en los requisitos de uso de las aplicaciones, los
filtros entienden y hacen cumplir estos requisitos.
Detección de IntrusiónDetección de Intrusión

166. Información general sobre el cortafuegos
de Windows
• Cortafuegos de Windows en Microsoft
Windows XP y Microsoft Windows Server
2003
• Ayuda a detener los ataques basados en la
red, como Blaster, al bloquear todo el
tráfico entrante no solicitado
• Los puertos se pueden abrir para los
servicios que se ejecutan en el equipo
• La administración corporativa se realiza a
través de directivas de grupo
Qué es
Qué hace
Características
principales

167. • Se puede habilitar:
– Al activar una
casilla de verificación
– Con el Asistente para
configuración de red
– Con el Asistente para
conexión nueva
• Se habilita de forma
independiente en
cada conexión de red
Habilitar el cortafuegos de Windows

168. • Servicios de red
• Aplicaciones
basadas en Web
Configuración avanzada del cortafuegos
de Windows

169. • Opciones de
registro
• Opciones del
archivo de registro
Registro de seguridad del cortafuegos
de Windows

170. Cortafuegos de Windows en la compañía
• Configure el cortafuegos de Windows
mediante directivas de grupo
• Combine el cortafuegos de Windows con
Control de cuarentena de acceso a la red

171. • Utilice el cortafuegos de Windows en las oficinas
domésticas y en las pequeñas compañías con el fin
de proporcionar protección a los equipos que estén
conectados directamente a Internet
• No active el cortafuegos de Windows en una
conexión VPN (aunque debe habilitarlo en la
conexión LAN o de acceso telefónico subyacente)
• Configure las definiciones de servicio para cada
conexión de cortafuegos de Windows a través de la
que desee que funcione el servicio
• Establezca el tamaño del registro de seguridad en 16
megabytes para impedir el desbordamiento que
podrían ocasionar los ataques de denegación de
servicio
Recomendaciones

172. REDES PRIVADAS VIRTUALES

173. Esquema WAN convencional
Oficina Principal
Usuario
Intinerante
Oficina
Regional
Acceso
desde el hogar
Lineas Privadas
Frame Relay
Oficina
Estatal
RAS

174. Redes WAN Clasicas: Nuevos
Retos
Cambios en marcha
Añadir nuevos sitios
Acceso a usuarios
remotos via dial up
Conectividad a socios de
negocios
Costo de la infraestructu-
ra y ancho de Banda
Fortalezas
Uso dedicado.
Ancho de Banda predecible
Seguridad definida
Ampliamente disponible

175. Oficina Principal
Usuarios
Intinerantes
Socios
De
Negocios
?
Acceso
desde el Hogar
Oficina
Regional
Red Wan Clasica
Oficina
Estatal
Oficinas Remotas
y/o
Internacionales
?
?
Miles ó cientos
de
usuarios
remotos
Redes WAN Clasicas: Ahora
existen nuevos retos

176. • Que es una Red Privada Virtual ?
– Es una red de comunicaciones, construida para el uso privado de una
organización, sobre una infraestructura pública compartida.
– ―Canales privados de comunicación que usan una red pública como el
transporte básico para conectar centros corporativos de datos, oficinas
remotas, empleados nomadas, empleados ―caseros‖, clientes , proveedores
y socios de negocio‖.
– Una Red Privada Virtual es la emulación de una red privada sobre
infraestructura compartida.

177. Tipos de VPN´S
Provider VPNs:
– VPN Dedicado: MPLS
Edge VPNs
– Site to Site IPSEC
– Client to Site IPSEC
Integrated VPNs
– IPSEC dedicado – MPLS
– IPSEC móvil – MPLS

178. INTRODUCION A REDES
VPN -MPLS

179. • Una infraestructura de red IP
capaz de entregar servicios
privados de red con
prioritizaciòn sobre una
infraestructura publica (ISP)
VPN - MPLS

180. Conceptos MPLS
• MPLS: Multi Protocol Label
Switching
• Desarrollado para integrar
redes IP y ATM
• El ―forwardeo‖ de paquetes es
realizado en base a etiquetas

181. UNA VPN MPLS (VIRTUAL PRIVATE NETWORK)
PERMITE CONECTIVIDAD DE MÚLTIPLES SITIOS A
TRAVÉS DE UNA RED COMPARTIDA, CON LOS
MISMOS ATRIBUTOS QUE UNA RED PRIVADA

182. LAS REDES ESTÁN EVOLUCIONANDO HACIA IP QUE ES EL
PROTOCOLO QUE HA DOMINADO EN LAS REDES Y
APLICACIONES ( INTERNET, E-BUSINESS, E-MAIL, INTRANET,
EXTRANET, B2B, B2C, VOIP )
Frame
Relay / ATM
VPN MPLS
VPN IPSEC
MPLS
Internet

183. INTEGRA TODOS LOS SERVICIOS Y APLICACIONES EN UNA
SOLA CONEXIÓN (VOZ, DATOS, VIDEO E INTERNET).
Video
Internet
Datos
Voz
Video
Datos
Voz
Internet

184. MECANISMOS DE CALIDAD DE SERVICIO QOS QUE PERMITE
DAR PRIORIDAD AL TRAFICO SENSIBLE AL RETRASO COMO
VOZ Y VIDEO O APLICACIONES DE MISIÓN CRÍTICA
Voz y
Video
InternetDatos

185. TECNOLOGIA VPN - MPLS
Core
Oficina
Regional
Oficina
Estatal
Oficina
Corporativa
MPLS

186. MPLS
México
VPN
Aguascalientes
Monterrey
VPN
INTERNET
TECNOLOGIA VPN - MPLS

187. VPN - IPSEC
INTERNET

188. IPSEC
- NO ES UN SOLO PROTOCOLO, ES UNA COLECCIÓN DE
PROTOCOLOS ( MAS DE 40 ) DEFINIDOS MEDIANTE RFCs Y POR
IETF´s IPSEC WORKING GROUP.
-SOPORTADO PARA IPV4 E IPV6.
-CUMPLE CON LOS 3 ELEMENTOS BÁSICOS DE VPN :
AUTENTICACION (AH), ENCRIPCION(ESP) Y ADMINISTRACIÓN DE
LLAVES.
-ALGORITMOS DE ENCRIPCIÓN DISPONIBLES PARA IPSEC :
DES (DATA ENCRYPTION STANDARD)
3 DES
RC4
Integridad
Confidencialidad
Autenticación

189. ALGORITMOS Y ESTANDARES DE ENCRIPCION
TIPO TAMAÑO DE LA LLAVE FUENTE FUERZA RELATIVA
DES SIMETRICO 40 o 56 NSA, ANSI Moderada
3DES SIMETRICO 112 NSA, ANSI Fuerte
RC2 SIMETRICO Variable RSA Se presume fuerte
IDEA SIMETRICO 128 Ascom-Tech AG Fuerte
RSA Public Key 512 o 2,048 RSA Fuerte
ECC Public Key 160 Certicom Fuerte
DSA Firma Digital 1.024 NIST Fuerte
MD5 Resumido N/A RSA Desconocido
MD4 Resumido N/A RSA Debil
MD2 Resumido N/A RSA Desconocido
SHA Resumido N/A NIST, NSA Desconocido
SkipJack SIMETRICO 80 NSA Se presume fuerte
RC4 SIMETRICO Variable RSA Fuerte
RC5 SIMETRICO Variable RSA Fuerte

190. TUNELES
QUE ES UN TUNEL ?
-UN TUNEL ES LA ENCAPSULACIÓN DE PAQUETES O FRAMES
DENTRO DE OTROS PAQUETES O FRAMES.
CUALES SON LOS PROTOCOLOS PARA GENERAR TUNELES ?
-IPSEC
-PPTP
-L2TP
-L2F

191. Intranet
Red IP Compartida
BN
Tunel seguro IP
1
IPSEC
PPTP
L2TP
L2F
Tuneles
Media
IP
140.100.20.101
179.10.1.1
Encaps. Encripción
Autenticación
PPP
IP
192.100.10.101
192.100.10.230
Datos
Media
IP
192.100.10.101
192.100.10.230
Datos
Encripción
Desencripción
Media
IP
192.100.10.101
192.100.10.230
Datos

192. Cómo funciona?
Corporativo
Internet
Datos
Encapsulado
Encriptado y
encapsulado

193. Tipos de VPNs IPSEC• Intranet
– Red corporativa de área amplia (WAN, Wide Area
Network) con administración de tráfico a nivel
aplicación
• Extranet
– Extiende la infraestructura de conectividad corporativa
(WAN) a proveedores, clientes y socios.
Principalmente para transporte de transacciones en
modelos Business to Business (B2B)
• Acceso Remoto
– Brinda acceso (dial up, broadband, wireless, etc) a
personal que requiere de alta movilidad, tanto nacional
como internacional.

194. Tipos de VPN IP-SEC ?
Acceso
Extranet– Acceso Extranet
Acceso
Oficina
– Acceso Remoto
Acceso Remoto
– Acceso Oficinas
• Tres tipos diferentes
de VPNs
Corporativo
Corporativo
Internet

195. Acceso Remoto
Usuarios Remotos
Internet
VPN
Gateway
Oficina Central

196. RADIUS (AAA)
BASES DE DATOS
Usuarios Institucionales
/Socios
Intranet RPV
Esquema Funcional
Internet

197. Oficina Regional
Oficina Estatal
Oficina Estatal
Internet
VPN
Gateway
Oficina Central
Acceso Sucursal y ―Extranet‖
Proveedor
De Servicio

198. CONEXIÓN SITE - SITE
México D.F.
Servidor de
Autenticación
FW
PC
Boston
Servidor de
Autenticación
FW
VPN Gateway
PC
VPN Gateway
Internet
IDS IDS

199. Seguridad en redes inalámbricas
Lan (WLan)
Acces Point
11 Mbps
Switch Lan
Computadoras
Desktop
Computadoras
Notebook
Dispositivos Mobiles
PDA
Equipos 802.11b con cliente VPN-IPSEC
VPN

200. Seguridad en acceso inalámbricos
via ISP
Acces Point
((((
))))
Notebook con clientes VPN-IPSEC
Palm con clientes VPN-IPSEC
VPN
Internet

201. INTRANET
EXTRANET
INTERNET
VPN
Remplazo de enlaces Wan
utilizando Site-to-Site IPSec VPN
POP
DSL
CABLE
SITIO
PRINCIPAL

202. Internet VPN
PSTN/ISDN
ADSL
Enlaces Dedicados
Frame Relay
Oficina Corporativa
Extranet
B2B
Intranet
Oficinas Regionales y
Estatales
Respaldo de enlaces Wan
utilizando Site-to Site Vpn IPSEC

203. Proxy Server

204. ¿ Qué es un Proxy Server ?
• Es un intermediario entre la red interna y
el internet, puede implementar ciertos
criterios de seguridad, asi como tambien
cache, lo que significa que si el proxy
tiene una petición, lo primero que hace es
buscar en su cache, si lo encuentra
responde a la petición.

205. Proxy Cache Server

206. SECURITY ENHANCED
LINUX

207. ¿Por qué SELINUX?
• ¿Cuáles son las razones por las cuales la
NSA decide publicar una distribución de
Linux?
DE ACUERDO A POLITICA DE ASEGURAMIENTO DE
INFORMACION DE LA NSA ES BUSCAR UN SISTEMA
OPERATIVO QUE SEPARE LA INFORMACION
CONFIDENCIAL DE LA INFORMACION PUBLICA

208. ¿Por qué SELINUX?
El resultado de varias investigaciones
dio como resultado el uso de varias
herramientas que resultaron en
la aplicación de un parche con ciertas
funciones que garantizan la seguridad.
Se escogió Linux POR SU ÉXITO AL
SER PLATAFORMA ABIERTA Y
PERMITIR DESARROLLO EN UN
ALTO NIVEL

209. ¿Qué es SELINUX?
ES UN NUCLEO DE SISTEMA OPERATIVO
MODIFICADO CON FUNCIONES ADICIONALES
A LAS NORMALES QUE LE PERMITEN
TENER CONTROL SOBRE VARIAS VARIABLES
TALES COMO:
Entrada y Salida de Usuarios
Perfil de Usuarios
Políticas de uso y de Acceso

210. Instalación
• Se pueden obtener del sitio
http://www.nsa.gov/selinux el fuente
parchado del kernel 2.x con todas las
herramientas ya incorporadas.
• 1. Descomprimir todo en un directorio por
separado del fuente original del kernel.

211. IPTABLES

212. Qué es iptables
• IPtables es un sistema de firewall vinculado al kernel de
linux que se ha extendido enormemente a partir del
kernel 2.4 de este sistema operativo. Al igual que el
anterior sistema ipchains, un firewall de iptables no es
como un servidor que lo iniciamos o detenemos o que
se pueda caer por un error de programación(esto es una
pequeña mentira, ha tenido alguna vulnerabilidad que
permite DoS, pero nunca tendrá tanto peligro como las
aplicaciones que escuchan en determinado puerto TCP):
iptables esta integrado con el kernel, es parte del
sistema operativo. ¿Cómo se pone en marcha?
Realmente lo que se hace es aplicar reglas. Para ellos
se ejecuta el comando iptables, con el que añadimos,
borramos, o creamos reglas. Por ello un firewall de
iptables no es sino un simple script de shell en el que se
van ejecutando las reglas de firewall.

213. Cómo Funciona
Figura 5: cuando un paquete u otra comunicación llega al kernel con iptables se sigue este camino

214. Implementación ……