SlideShare una empresa de Scribd logo

Informacion de redes

Descargar como DOCX, PDF
Jose Natividad Gonzales Guzman
Jose Natividad Gonzales Guzman
1 de 13
Definición de protocolo de seguridad WEP (WiredEquivalentPrivacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de lassoluciones inalámbricas. En ningún caso es compatible con IPSec. Definición de protocolo de seguridad: Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones, diseñadas para que el sistema pueda soportar ataques de carácter malicioso. Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos a los cuales el sistema está expuesto. Estándar El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto deservicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas. El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP (Wireless EquivalentPrivacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire. Aunque los sistemas WLAN pueden resistir las escuchas ilegales pasivas, la única forma efectiva de prevenir que alguien pueda comprometer los datos transmitidos consiste en utilizar mecanismos de cifrado. El propósito de WEP es garantizar que los sistemas WLAN dispongan de un nivel de confidencialidad equivalente al de las redes LAN cableadas, mediante el cifrado de los datos que son transportados por las señales de radio. Un propósito secundario de WEP es el de evitar que usuarios no autorizados puedan acceder a las redes WLAN (es decir, proporcionar autenticación). Este propósito secundario no está enunciado de manera explícita en el estándar 802.11, pero se considera una importante característica del algoritmo WEP. WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional. Cifrado:
WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado. Para proteger el texto cifrado frente a modificaciones no autorizadas mientras está en tránsito, WEP aplica un algoritmo de comprobación de integridad (CRC-32) al texto en claro, lo que genera un valor de comprobación de integridad (ICV). Dicho valor de comprobación de integridad se concatena con el texto en claro. El valor de comprobación de integridad es, de hecho, una especie de huella digital del texto en claro. El valor ICV se añade al texto cifrado y se envía al receptor junto con el vector de inicialización. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto en claro. Al aplicar el algoritmo de integridad al texto en claro y comparar la salida con el vector ICV recibido, se puede verificar que el proceso de descifrado ha sido correcto ó que los datos han sido corrompidos. Si los dos valores de ICV son idénticos, el mensaje será autenticado; en otras palabras, las huellas digitales coinciden. Autenticación: WEP proporciona dos tipos de autenticación: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN, y una autenticación mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticación mediante clave compartida es el modo seguro. En él se utiliza una clave secreta compartida entre todas las estaciones y puntos de acceso del sistema WLAN. Cuando una estación trata de conectarse con un punto de acceso, éste replica con un texto aleatorio, que constituye el desafío (challenge). La estación debe utilizar la copia de su clave secreta compartida para cifrar el texto de desafío y devolverlo al punto de acceso, con el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafío enviado anteriormente. Si los dos textos son idénticos, el punto de acceso envía un mensaje de confirmación a la estación y la acepta dentro de la red. Si la estación no dispone de una clave, o si envía una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estación acceda a la red. La autenticación mediante clave compartida funciona sólo si está habilitado el cifrado WEP. Si no está habilitado, el sistema revertirá de manera predeterminada al modo de sistema abierto (inseguro), permitiendo en la práctica que cualquier estación que esté situada dentro del rango de cobertura de un punto de acceso pueda conectarse a la red. Esto crea una ventana para que un intruso penetre en el sistema, después de lo cual podrá enviar, recibir, alterar o falsificar mensajes. Es bueno asegurarse de que WEP está habilitado siempre que se requiera un mecanismo de autenticación seguro. Incluso, aunque esté habilitada la autenticación mediante clave compartida, todas las estaciones inalámbricas de un sistema WLAN pueden tener la misma clave compartida, dependiendo de cómo se haya instalado el sistema. En tales redes, no es posible realizar una autenticación individualizada; todos los usuarios, incluyendo los no autorizados, que dispongan de la clave compartida podrán acceder a la red. Esta debilidad puede tener como resultado accesos no autorizados, especialmente si el sistema incluye un gran número de usuarios. Cuantos más usuarios haya, mayor será laprobabilidad de que la clave compartida pueda caer en manos inadecuadas. Características
Según el estándar, WEP debe proporcionar confidencialidad, autentificación y control de acceso en redes WLAN. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento demantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca. Características: - Sintaxis: formato, codificación y niveles de señal de datos. - Semántica: información de control y gestión de errores. - Temporización: coordinación entre la velocidad y orden secuencial de las señales. Las características más importantes de un protocolo son: - Directo/indirecto: los enlaces punto a punto son directos pero los enlaces entre dos entidades en diferentes redes son indirectos ya que intervienen elementos intermedios. - Monolítico/estructurado: monolítico es aquel en que el emisor tiene el control en una sola capa de todo el proceso de transferencia. En protocolos estructurados, hay varias capas que se coordinan y que dividen la tarea de comunicación. - Simétrico/asimétrico: los simétricos son aquellos en que las dos entidades que se comunican son semejantes en cuanto a poder tanto emisores como consumidores de información. Un protocolo es asimétrico si una de las entidades tiene funciones diferentes de la otra (por ejemplo en clientes y servidores). - Normalizado/no normalizado: los no normalizados son aquellos creados específicamente para un caso concreto y que no va a ser necesario conectarlos con agentes externos. En la actualidad, para poder intercomunicar muchas entidades es necesaria una normalización. Cableado Estructurado Fibra Optica, CCTV,corriente R. Certificaciones, Mantenimiento
Protocolos que existen en las redes de computadoras Existen varios protocolos posibles. Las distintas compañías que instalan y administran este tipo de redes elige unos u otros protocolos. En todos los casos se cran túneles entre origen y destino. Dentro de estos túneles viaja la información, bien por una conexión normal (en este caso no se encriptan los datos) o bien por una conexión VPN. El protocolo IP Sec es uno de los más empleados. Este se basa en GRE que es un protocolo de tunneling. Este protocolo también se utiliza de forma conjunta con otros protocolos como PPTP. Generic Routing Encapsulation (GRE 47) Point-to-Point Tunneling Protocol (PPTP) IP Sec Protocolo de tunelado nivel 2 (L2TP) Secure shell (SSH) Generic Routing Encapsulation (GRE 47) Es el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en combinación con otros protocolos de túnel para crear redes virtuales privadas. El GRE está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para proporcionar mecanismos de propósito general, ligeros y simples, para encapsular datos sobre redes IP. El GRE es un protocolo cliente de IP que usa el protocolo IP 47. Este protocolo es normalmente usado con VPN de Microsoft entre servidores con acceso remoto (RRAS) configurados para el enrutamiento entre redes de área local. Esquema: GRE se encarga del encapsulamiento de los datos para enviarlos por un túnel, pero él no crea no los túneles, de eso de encarga el protocolo PPTP u otro que estemos empleando. El proceso de encapsulamiento tienen los siguientes pasos:
El paquete IP con los datos se transmite desde el Ecliente al servidor E-RRAS. Se le añade la cabecera del PPP y se cifra todo junto obteniendo un „fragmento PPP‟. Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera. Se envía el paquete GRE del servidor E-RRAS al servidor R-RRAS a través de Internet. Este envía se realiza por una conexión VPN creada anteriormente. El servidor R-RRAS elimina el encabezados GRE, descifra, elimina el encabezado PPP y transmite los datos (paquete IP) a el Rcliente. Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera. Esquema: Formato de un paquete GRE Point-to-Point TunnelingProtocol El Protocolo de Túnel Punto a Punto (PPTP) encapsula los paquetes (frames) del Protocolo Punto a Punto (Point-to-Point Protocol, PPP) con datagramas IP para transmitirlos por una red IP como Internet o una intranet privada. El PPTP utiliza una conexión TCP conocida como la conexión de control de PPTP para crear, mantener y terminar el túnel, y una versión modificada de GRE, para encapsular los paquetes (frames) PPP como datos para el túnel. Las cargas de los paquetes encapsulados pueden estar encriptadas o comprimidas o ambas cosas. El PPTP supone la disponibilidad de una red IP entre un cliente PPTP (un cliente de túnel que utiliza el protocolo PPTP) y un servidor PPTP (un servidor de túnel que utiliza el protocolo PPTP). El cliente PPTP podría estar ya conectado a una red IP por la que puede tener acceso al servidor PPTP, o podría tener que llamar telefónicamente a un servidor de acceso de red (Network Access Server, NAS) para establecer la conectividad IP como en el caso de los usuarios de accesos telefónicos para Internet. La autentificación que ocurre durante la creación de una conexión VPN con PPTP utiliza los mismos mecanismos de autentificación que las conexiones PPP, tales
como el Protocolo de Autentificación Extendible (Extensible AuthenticationProtocol, EAP), el Protocolo de Autentificación con Reto/Negociación de Microsoft (Microsoft Challenge-HandshakeAuthenticationProtocol, MS-CHAP), el CHAP, el Protocolo de Autentificación de Claves Shiva (Shiva PasswordAuthenticationProtocol, SPAP) y el Protocolo de Autentificación de Claves (PasswordAuthenticationProtocol, PAP). El PPTP hereda la encriptación, la compresión o ambas de las cargas PPP del PPP. Para servidores PPTP sobre Internet, el servidor PPTP es un servidor VPN con PPTP con una interfase con Internet y una segunda interfase con la intranet. IP Sec IP Sec es un grupo de extesiones de la familia del protocolo IP pensado para proveer servicios de seguridad a nivel de red, de un modo transparente a las aplicaciones superiores. IP Sec está ya explicado en su trabajo correspondiente: I Pv 6 e IP Sec Protocolo de tunelado de nivel 2 (L2TP) Es un componente de creación importante para las VPN de acceso. Es una extensión del protocolo Punto a Punto, fundamental para la creación de VPNs. L2TP combina las mejores funciones de los otros dos protocolos tunneling. Layer 2 Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling (PPTP) de Microsoft.L2TP es un estándar emergente, que se encuentra actualmente en codesarrollo y que cuenta con el respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros líderes en la industria de la conectividad. A continuación una serie de términos relacionados con este protocolo: L2TP Access Concentrator (LAC): Se añade un dispositivo LAC a los componentes físicos de la red conmutada; como la red telefónica convencional o RDSI, o se coloca con un sistema de terminación PPP capaz de gestionar el protocolo L2TP. Un LAC sólo necesita implementar el medio sobre el cual opera el L2TP para admitir el tráfico de una o más LNS. Puede “tunelizar” cualquier protocolo que incluya el PPP. LAC es el iniciador de las llamadas entrantes y el receptor de las llamadas salientes. L2TP Network Server (LNS): Un LNS opera sobre cualquier plataforma con capacidad de terminación PPP. LNS gestiona el lado del servidor del protocolo L2TP. Ya que L2TP se apoya sobre el medio al que llegan los túneles L2TP, LNS sólo puede tener un único interfaz LAN o WAN, aunque es capaz de terminar las
llamadas entrantes en cualquiera de la amplia gama de los interfaces PPP LAC (asíncronos, RDSI, PPP sobre ATM, PPP sobre FrameRelay). Network Access Server (Servidor de acceso a la red): NAS es un dispositivo que proporciona a los usuarios acceso temporal a la red bajo demanda. Este acceso es punto a punto, de uso típico en líneas de la red telefónica convencional o RDSI. En la implementación Cisco, un NAS sirve como LAC. Secureshell (SSH) Tradicionalmente en sistemas Unix en el momento de entrar en el sistema, tanto el login como el password, así como el resto de la sesión, se transmiten a través de nuestra LAN o incluso a través de routers y nodos ajenos al nuestro en texto claro. Esto quiere decir que cualquiera que tenga activado un sniffer puede capturar nuestras sesiones con el potencial peligro que ello conlleva. La manera de evitar que alguien pueda espiar nuestras claves y sesiones, es utilizar una herramienta muy potente, fácil de instalar y muy cómoda para el usuario. ssh/sshd actúan basándose en la arquitectura cliente/servidor , en este caso concreto sshd se ejecuta en el servidor en un puerto (el defecto es el 22) a la espera de que alguien utilizando un cliente ssh se conecte para ofrecerle una sesión segura encriptándola de extremo a extremo. Todo es como en una sesión telnet tradicional, pero con la particularidad de que todas las comunicaciones serán encriptadas. El manejo de cualquier programa cliente de SSH es muy sencillo. Básicamente hay que introducir el servidor al que te quieres conectar (por ejemplo fanelli.sindominio.net) y que algoritmo de encriptación quieres usar (por ejemplo 3DES). Si no se dispone de un programa cliente de SSH, puede bajarse de Internet. Los programas que vienen con la distribución son: sshd Es el servidor propiamente dicho, escucha a la espera de conexiones. ssh Es el cliente, con él nos podemos conectar a un servidor sshd así como ejecutar comandos. scp Copia archivos con seguridad entre hosts. (Sustituto ideal de rcp) . ssh-keygen Usado para crear RSA keys (host keys y userauthenticationkeys).
ssh-agent Agente de autentificación (Usado para manejar RSA keys en la autentificación). ssh-add Se usa para añadir nuevas llaves con el agente. make-ssh-known-hosts Usado para crear el archivo /etc/ssh_known_hosts . Protocolos de seguridad utilizados en los sistemas operativos Linux. SEGURIDAD DE RED INTRODUCCIÓN << Volver >> La seguridad de las conexiones en red merecen en la actualidad una atención especial, incluso por medios de comunicación no especializados, por el impacto que representan los fallos ante la opinión pública. El propio desarrollo tanto de Linux, como de la mayoría del software que lo acompaña, es de fuentes abiertas. Podemos ver y estudiar el código. Esto tiene la ventaja de que la seguridad en Linux no sea una mera apariencia, sino que el código está siendo escrutado por muchas personas distintas que rápidamente detectan los fallos y los corrigen con una velocidad asombrosa. Si además comprendemos los mecanismos que se siguen en las conexiones en red, y mantenemos actualizados nuestros programas, podemos tener un nivel de seguridad y una funcionalidad aceptables. Tampoco tienen las mismas necesidades de seguridad un equipo doméstico, con conexiones esporádicas a Internet, que un servidor conectado permanentemente y que actúe como pasarela entre una intranet e Internet. Para describir las pautas de actuación seguras iremos examinando cómo actúan las conexiones y cómo podemos protegerlas. INETD << Volver >>
Para atender las solicitudes de conexión que llegan a nuestro equipo existe un demonio llamado inetd que está a la escucha de todos los intentos de conexión que se realicen a su máquina. Cuando le llega una solicitud de conexión irá dirigida a un puerto (número de servicio, quizás sea más claro que puerto), por ejemplo, el 80 sería una solicitud al servidor de páginas web, 23 para telnet, 25 para smtp, etc. Los servicios de red que presta su máquina están descritos en /etc/inetd.conf (y en /etc/services los números de puertos). Por ejemplo, en /etc/inetd.conf podemos encontrar las siguientes líneas: (...) pop-3 stream tcpnowait root /usr/sbin/tcpd ipop3d # imap stream tcpnowait root /usr/sbin/tcpdimapd (...) Esto quiere decir que, cuando llegue una solicitud de conexión al puerto 110 (pop3) se ejecutará el programa /usr/sbin/tcpd ipop3d. Sin embargo, el servicio imap está deshabilitado (está comentado con un # delante), por lo que el sistema no le responde. TCP Wrapper << Volver >> El siguiente paso es /usr/sbin/tcpd, que es el tcp_wrapper: un servicio que verifica el origen de las conexiones con su base de datos /etc/hosts.allow (equipos autorizados) y /etc/hosts.deny (equipos a los que se les deniega la conexión). tcpd anota todos los intentos de conexión que le llegan en /var/log/secure para que tenga la posibilidad de saber quién intenta conectarse a su máquina y si lo consigue. Si tcpd autoriza la conexión, ejecuta ipop3dque es el programa que realmente atiende la conexión, ante el cual se tiene que validar el usuario mediante una clave. Observe que ya llevamos tres niveles de seguridad: prestar un servicio, autorizar un conexión y validar un usuario. Un consejo que es conveniente seguir: No tenga abiertos los servicios que no necesita; esto supone asumir un riesgo a cambio de nada. Tampoco limite la funcionalidad del sistema, si tiene que usar un servicio, hágalo sabiendo lo que hace. También hay que asegurarse de que el programa ipop3d no tenga ninguna vulnerablidad, es decir, que esté actualizado. Existen numerosos medios para estar al día de las vulnerabilidades que aparecen. Una buena lista de correo o una revista electrónica tal vez sean la forma más rápida de conocer los incidentes, las causas y las soluciones. Posiblemente la mejor lista de correo para el mundo Unix sea Bugtraq
Pero esto no es todo, además puede filtrar las conexiones que le lleguen desde el exterior para que ni siquiera alcancen a los tcp_wrappers. Por ejemplo, en el caso de conexiones a Internet por módem: ipchains -A input -j DENY –s 0/0 -d $4/32 23 -p tcp -i ppp0 -l poniendo la anterior línea en el fichero /etc/ppp/ip-up (y ipchains -F input en ip-down) estaríamos añadiendo (-A) un filtro de entrada (input), que deniega (-j DENY) desde cualquier sitio de internet (-s 0/0) dirigidas a nuestro equipo (-d $4/32) al puerto telnet (23) por tcp (-p tcp) que lleguen desde internet (en este caso -i ppp0) y que además las anote en el registro de incidencias (-l) ($4 es la dirección IP que obtenemos dinámicamente). El mecanismo de filtrado de conexiones se realiza en el núcleo del sistema operativo y si ha sido compilado con estas opciones. Normalmente lo está. Este filtrado se realiza a nivel de red y transporte: cuando llega un paquete por un interfaz de red se analiza siguiendo los filtros de entrada. Este paquete puede ser aceptado, denegado o rechazado, en este último caso se avisa al remitente. Si los filtros de entrada aceptan el paquete, pasa al sistema si era su destino final o pasa por los filtros de reenvío o enmascaramiento, donde se vuelve a repetir una de las acciones. Por último, los paquetes que proceden del propio sistema o los que han sido aceptados por los filtros de reenvío o enmascaramiento pasan al filtro de salida. En cualesquiera de estos filtros se puede indicar que lo anote en el registro de incidencias. Registro y conocimiento de incidencias << Volver >> A parte de todo esto, puede conocer las incidencias que ocurren durante el funcionamiento del sistema. Por un lado conviene familiarizarse con los procesos que se ejecutan habitualmente en una máquina. Es una buena costumbre ejecutar periódicamente psaxu. Cualquier cosa extraña debiéramos aclararla. Puede matar cualquier proceso con la orden kill -9 pid (o killall -9 nombre_proceso). Pero en caso de ataque activo, lo mejor es desconectar de la red inmediatamente, si es posible, claro está. Después tenemos los registros de incidencias (las ubicaciones pueden ser diferentes dependiendo del sistema, pero no radicalmente distintas) de /var/log. Trabajando en modo texto se puede hacer en una consola virtual (como root)
tail -f /var/log/messages y tail -f /var/log/secure y de esta forma podemos ir viendo las incidencias del sistema. Conviene también familiarizarse con las anotaciones que aparecen habitualmente para diferenciarlas de las que puedan presentar un problema. En modo gráfico hay un programa llamado ktail que le muestra las incidencias de una forma similar a la anterior. Comunicaciones seguras << Volver >> Por último, nos interesará mantener unas comunicaciones seguras para garantizar la privacidad e integridad de la información. Actualmente existen las herramientas necesarias para cada necesidad. Podemos usar cifrados simétricos como pgp y gpg para documentos, correo electrónico y comunicaciones sobre canales inseguros Podemos crear canales de comunicación seguros de distinto tipo: SSH (Secure Shell), stelnet: SSH y stelnet son programas que le permiten efectuar conexiones con sistemas remotos y mantener una conexión cifrada. Con esto evitamos, entre otras cosas, que las claves circulen por la red sin cifrar. Cryptographic IP Encapsulation (CIPE): CIPE cifra los datos a nivel de red. El viaje de los paquetes entre hosts se hace cifrado. A diferencia de SSH que cifra los datos por conexión, lo hace a nivel de socket. Así un conexión lógica entre programas que se ejecutan en hosts diferentes está cifrada. CIPE se puede usar en tunnelling para crear una Red Virtual Privada. El cifrado a bajo nivel tiene la ventaja de poder hacer trabajar la red de forma transparente entre las dos redes conectadas en la RVP sin ningún cambio en el software de aplicación. SSL: o Secure Sockets Layer, fue diseñado y propuesto en 1994 por Netscape CommunicationsCorporation junto con su primera versión del Navigator como un protocolo para dotar de seguridad a las sesiones de navegación a través de Internet. Sin embargo, no fue hasta su tercera versión, conocida como SSL v3.0 que alcanzó su madurez, superando los problemas de seguridad y las limitaciones de sus predecesores. En su estado actual proporciona los siguientes servicios: o Cifrado de datos: la información transferida, aunque caiga en manos de un atacante, será indescifrable, garantizando así la confidencialidad. o Autenticación de servidores: el usuario puede asegurarse de la identidad del servidor al que se conecta y al que posiblemente envíe información personal confidencial.
o Integridad de mensajes: se impide que modificaciones intencionadas o accidentales en la información mientras viaja por Internet pasen inadvertidas. o Opcionalmente, autenticación de cliente: permite al servidor conocer la identidad del usuario, con el fin de decidir si puede acceder a ciertas áreas protegidas. Consejos acerca de Seguridad Local << Volver >> Limite las acciones que realice como root al mínimo imprescindible, y sobre todo no ejecute programas desconocidos. Por ejemplo, en un juego (el quake) que distribuía una revista había un programa llamado runme que enviaba por mail las características de la máquina a una dirección de correo. En este caso se trataba de un troyano inofensivo, pero ofrece una idea de lo que puede hacer un programa ejecutado sin saberse lo que hace. Linux también tiene la posibilidad de proporcionar acceso transparente a Internet a una red local mediante IP masquerade. En este caso, si usamos direcciones de red privadas, nos aseguramos que los equipos de la red interna no son accesibles desde Internet si no es a través del equipo Linux. También podemos instalar un servidor proxy con caché, que a la vez que actúa de filtro de conexiones a nivel de aplicación, puede acelerar el acceso a servicios desde la red local. LO QUE KIERE EL PROFE SON DIAPOSITIVAS QUE CONTENGAN LO SIGUIENTE: UNIDAD: SEGURIDAD TEMA: PROTOCOLOS DE SEGURIDAD ¿QUE ES UN PROTOCOLO DE SEGURIDAD? ¿CUALES SON LOS PROTOCOLOS QUE EXISTEN EN LAS REDES DE COMPUTADORAS? CARACTERISTICAS
¿CUALES SON LOS PROTOCOLOS DE SEGURIDAD UTILIZADOS EN LOS S.O LINUX?

Recomendados

Presentación Arturo Tarea de Ofimática
Presentación Arturo Tarea de OfimáticaPresentación Arturo Tarea de Ofimática
Presentación Arturo Tarea de OfimáticaArturoGarcaGascoReal
 
Red Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRed Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRebeca Orellana
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Virtual lans segmentación segura de redes
Virtual lans segmentación segura de redesVirtual lans segmentación segura de redes
Virtual lans segmentación segura de redesEventos Creativos
 
Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8William Dick Davalos Minaya
 
Redes WiFi. Problemas y Soluciones.
Redes WiFi. Problemas y Soluciones.Redes WiFi. Problemas y Soluciones.
Redes WiFi. Problemas y Soluciones.VLADEMIRSS
 
Seguridad en redes WiFi
Seguridad en redes WiFiSeguridad en redes WiFi
Seguridad en redes WiFiPablo Garaizar
 
Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...sgosita
 

Recomendados

Presentación Arturo Tarea de Ofimática
Presentación Arturo Tarea de OfimáticaPresentación Arturo Tarea de Ofimática
Presentación Arturo Tarea de OfimáticaArturoGarcaGascoReal
 
Red Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRed Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRebeca Orellana
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Virtual lans segmentación segura de redes
Virtual lans segmentación segura de redesVirtual lans segmentación segura de redes
Virtual lans segmentación segura de redesEventos Creativos
 
Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8William Dick Davalos Minaya
 
Redes WiFi. Problemas y Soluciones.
Redes WiFi. Problemas y Soluciones.Redes WiFi. Problemas y Soluciones.
Redes WiFi. Problemas y Soluciones.VLADEMIRSS
 
Seguridad en redes WiFi
Seguridad en redes WiFiSeguridad en redes WiFi
Seguridad en redes WiFiPablo Garaizar
 
Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...sgosita
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 
Seguridad activa: Acceso a redes
Seguridad activa: Acceso a redesSeguridad activa: Acceso a redes
Seguridad activa: Acceso a redesBelén Rodriguez Giner
 
ACCESO A REDES
ACCESO A REDESACCESO A REDES
ACCESO A REDESBlue Phoenix
 
Firewalls
FirewallsFirewalls
FirewallsJose Manuel Acosta
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoUPTC
 
Marco teórico descifrado de redes
Marco teórico descifrado de redesMarco teórico descifrado de redes
Marco teórico descifrado de redesSwanny Aquino
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasWilmer Campos Saavedra
 
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Seguridad wifi
Seguridad wifiSeguridad wifi
Seguridad wifiunrealjuanka_
 
REDES INALÁMBRICAS
REDES INALÁMBRICASREDES INALÁMBRICAS
REDES INALÁMBRICASANTONIO
 
Se puede subir
Se puede subirSe puede subir
Se puede subirthelatin
 
C:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De RedesC:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De Redeszuritam
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
Seguridad en wireless
Seguridad en wirelessSeguridad en wireless
Seguridad en wirelessJorge Eterovic
 
seguridad en redes inalambricas
seguridad en redes inalambricasseguridad en redes inalambricas
seguridad en redes inalambricasvilmazapana
 
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
12
1212
12Taringa!
 
::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::preverisk Group
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifradoBelenDiazTena
 
Manual red inlambrica
Manual red inlambricaManual red inlambrica
Manual red inlambricaSandro Santiago A
 
Seguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasSeguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasAdamari Cortes
 
Seguridad redes
Seguridad redesSeguridad redes
Seguridad redesvascodagama88
 

Más contenido relacionado

La actualidad más candente

Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoUPTC
 
Marco teórico descifrado de redes
Marco teórico descifrado de redesMarco teórico descifrado de redes
Marco teórico descifrado de redesSwanny Aquino
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasWilmer Campos Saavedra
 
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
REDES INALÁMBRICAS
REDES INALÁMBRICASREDES INALÁMBRICAS
REDES INALÁMBRICASANTONIO
 
Se puede subir
Se puede subirSe puede subir
Se puede subirthelatin
 
C:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De RedesC:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De Redeszuritam
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
seguridad en redes inalambricas
seguridad en redes inalambricasseguridad en redes inalambricas
seguridad en redes inalambricasvilmazapana
 
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 

La actualidad más candente (17)

Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricas
 
Seguridad activa: Acceso a redes
Seguridad activa: Acceso a redesSeguridad activa: Acceso a redes
Seguridad activa: Acceso a redes
 
ACCESO A REDES
ACCESO A REDESACCESO A REDES
ACCESO A REDES
 
Firewalls
FirewallsFirewalls
Firewalls
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría Buitrago
 
Marco teórico descifrado de redes
Marco teórico descifrado de redesMarco teórico descifrado de redes
Marco teórico descifrado de redes
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes Inalámbricas
 
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
 
Seguridad wifi
Seguridad wifiSeguridad wifi
Seguridad wifi
 
REDES INALÁMBRICAS
REDES INALÁMBRICASREDES INALÁMBRICAS
REDES INALÁMBRICAS
 
Se puede subir
Se puede subirSe puede subir
Se puede subir
 
C:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De RedesC:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De Redes
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridad
 
Seguridad en wireless
Seguridad en wirelessSeguridad en wireless
Seguridad en wireless
 
seguridad en redes inalambricas
seguridad en redes inalambricasseguridad en redes inalambricas
seguridad en redes inalambricas
 
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
 
12
1212
12
 

Similar a Informacion de redes

::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::preverisk Group
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifradoBelenDiazTena
 
Seguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasSeguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasAdamari Cortes
 
tipos-de-encriptacion
tipos-de-encriptacion tipos-de-encriptacion
tipos-de-encriptacionFranz Mallqui
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wirelesslatinloco001
 
Seg wifi pre
Seg wifi preSeg wifi pre
Seg wifi preenroh1
 
CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)
CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)
CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)Eliel Simb
 
ContraseñAs De Seguridad
ContraseñAs De SeguridadContraseñAs De Seguridad
ContraseñAs De Seguridadjuanva
 
Interconexion de redes
Interconexion de redesInterconexion de redes
Interconexion de redesKary Gomez
 

Similar a Informacion de redes (20)

::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifrado
 
Manual red inlambrica
Manual red inlambricaManual red inlambrica
Manual red inlambrica
 
Seguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasSeguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricas
 
Seguridad redes
Seguridad redesSeguridad redes
Seguridad redes
 
redes
redesredes
redes
 
Crak wep
Crak wepCrak wep
Crak wep
 
Crack WEP
Crack WEPCrack WEP
Crack WEP
 
tipos-de-encriptacion
tipos-de-encriptacion tipos-de-encriptacion
tipos-de-encriptacion
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifrado
 
ALGORITMOS
ALGORITMOSALGORITMOS
ALGORITMOS
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Redes
RedesRedes
Redes
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wireless
 
Seg wifi pre
Seg wifi preSeg wifi pre
Seg wifi pre
 
CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)
CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)
CCNA Discovery 4.0 Examen Capítulo I Examen 7 (Respuestas o Solucionario)
 
Protocolos de cifrado.
Protocolos de cifrado.Protocolos de cifrado.
Protocolos de cifrado.
 
ContraseñAs De Seguridad
ContraseñAs De SeguridadContraseñAs De Seguridad
ContraseñAs De Seguridad
 
Interconexion de redes
Interconexion de redesInterconexion de redes
Interconexion de redes
 

Informacion de redes

  • 1. Definición de protocolo de seguridad WEP (WiredEquivalentPrivacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de lassoluciones inalámbricas. En ningún caso es compatible con IPSec. Definición de protocolo de seguridad: Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones, diseñadas para que el sistema pueda soportar ataques de carácter malicioso. Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos a los cuales el sistema está expuesto. Estándar El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto deservicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas. El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP (Wireless EquivalentPrivacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire. Aunque los sistemas WLAN pueden resistir las escuchas ilegales pasivas, la única forma efectiva de prevenir que alguien pueda comprometer los datos transmitidos consiste en utilizar mecanismos de cifrado. El propósito de WEP es garantizar que los sistemas WLAN dispongan de un nivel de confidencialidad equivalente al de las redes LAN cableadas, mediante el cifrado de los datos que son transportados por las señales de radio. Un propósito secundario de WEP es el de evitar que usuarios no autorizados puedan acceder a las redes WLAN (es decir, proporcionar autenticación). Este propósito secundario no está enunciado de manera explícita en el estándar 802.11, pero se considera una importante característica del algoritmo WEP. WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional. Cifrado:
  • 2. WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado. Para proteger el texto cifrado frente a modificaciones no autorizadas mientras está en tránsito, WEP aplica un algoritmo de comprobación de integridad (CRC-32) al texto en claro, lo que genera un valor de comprobación de integridad (ICV). Dicho valor de comprobación de integridad se concatena con el texto en claro. El valor de comprobación de integridad es, de hecho, una especie de huella digital del texto en claro. El valor ICV se añade al texto cifrado y se envía al receptor junto con el vector de inicialización. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto en claro. Al aplicar el algoritmo de integridad al texto en claro y comparar la salida con el vector ICV recibido, se puede verificar que el proceso de descifrado ha sido correcto ó que los datos han sido corrompidos. Si los dos valores de ICV son idénticos, el mensaje será autenticado; en otras palabras, las huellas digitales coinciden. Autenticación: WEP proporciona dos tipos de autenticación: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN, y una autenticación mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticación mediante clave compartida es el modo seguro. En él se utiliza una clave secreta compartida entre todas las estaciones y puntos de acceso del sistema WLAN. Cuando una estación trata de conectarse con un punto de acceso, éste replica con un texto aleatorio, que constituye el desafío (challenge). La estación debe utilizar la copia de su clave secreta compartida para cifrar el texto de desafío y devolverlo al punto de acceso, con el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafío enviado anteriormente. Si los dos textos son idénticos, el punto de acceso envía un mensaje de confirmación a la estación y la acepta dentro de la red. Si la estación no dispone de una clave, o si envía una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estación acceda a la red. La autenticación mediante clave compartida funciona sólo si está habilitado el cifrado WEP. Si no está habilitado, el sistema revertirá de manera predeterminada al modo de sistema abierto (inseguro), permitiendo en la práctica que cualquier estación que esté situada dentro del rango de cobertura de un punto de acceso pueda conectarse a la red. Esto crea una ventana para que un intruso penetre en el sistema, después de lo cual podrá enviar, recibir, alterar o falsificar mensajes. Es bueno asegurarse de que WEP está habilitado siempre que se requiera un mecanismo de autenticación seguro. Incluso, aunque esté habilitada la autenticación mediante clave compartida, todas las estaciones inalámbricas de un sistema WLAN pueden tener la misma clave compartida, dependiendo de cómo se haya instalado el sistema. En tales redes, no es posible realizar una autenticación individualizada; todos los usuarios, incluyendo los no autorizados, que dispongan de la clave compartida podrán acceder a la red. Esta debilidad puede tener como resultado accesos no autorizados, especialmente si el sistema incluye un gran número de usuarios. Cuantos más usuarios haya, mayor será laprobabilidad de que la clave compartida pueda caer en manos inadecuadas. Características
  • 3. Según el estándar, WEP debe proporcionar confidencialidad, autentificación y control de acceso en redes WLAN. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento demantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca. Características: - Sintaxis: formato, codificación y niveles de señal de datos. - Semántica: información de control y gestión de errores. - Temporización: coordinación entre la velocidad y orden secuencial de las señales. Las características más importantes de un protocolo son: - Directo/indirecto: los enlaces punto a punto son directos pero los enlaces entre dos entidades en diferentes redes son indirectos ya que intervienen elementos intermedios. - Monolítico/estructurado: monolítico es aquel en que el emisor tiene el control en una sola capa de todo el proceso de transferencia. En protocolos estructurados, hay varias capas que se coordinan y que dividen la tarea de comunicación. - Simétrico/asimétrico: los simétricos son aquellos en que las dos entidades que se comunican son semejantes en cuanto a poder tanto emisores como consumidores de información. Un protocolo es asimétrico si una de las entidades tiene funciones diferentes de la otra (por ejemplo en clientes y servidores). - Normalizado/no normalizado: los no normalizados son aquellos creados específicamente para un caso concreto y que no va a ser necesario conectarlos con agentes externos. En la actualidad, para poder intercomunicar muchas entidades es necesaria una normalización. Cableado Estructurado Fibra Optica, CCTV,corriente R. Certificaciones, Mantenimiento
  • 4. Protocolos que existen en las redes de computadoras Existen varios protocolos posibles. Las distintas compañías que instalan y administran este tipo de redes elige unos u otros protocolos. En todos los casos se cran túneles entre origen y destino. Dentro de estos túneles viaja la información, bien por una conexión normal (en este caso no se encriptan los datos) o bien por una conexión VPN. El protocolo IP Sec es uno de los más empleados. Este se basa en GRE que es un protocolo de tunneling. Este protocolo también se utiliza de forma conjunta con otros protocolos como PPTP. Generic Routing Encapsulation (GRE 47) Point-to-Point Tunneling Protocol (PPTP) IP Sec Protocolo de tunelado nivel 2 (L2TP) Secure shell (SSH) Generic Routing Encapsulation (GRE 47) Es el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en combinación con otros protocolos de túnel para crear redes virtuales privadas. El GRE está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para proporcionar mecanismos de propósito general, ligeros y simples, para encapsular datos sobre redes IP. El GRE es un protocolo cliente de IP que usa el protocolo IP 47. Este protocolo es normalmente usado con VPN de Microsoft entre servidores con acceso remoto (RRAS) configurados para el enrutamiento entre redes de área local. Esquema: GRE se encarga del encapsulamiento de los datos para enviarlos por un túnel, pero él no crea no los túneles, de eso de encarga el protocolo PPTP u otro que estemos empleando. El proceso de encapsulamiento tienen los siguientes pasos:
  • 5. El paquete IP con los datos se transmite desde el Ecliente al servidor E-RRAS. Se le añade la cabecera del PPP y se cifra todo junto obteniendo un „fragmento PPP‟. Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera. Se envía el paquete GRE del servidor E-RRAS al servidor R-RRAS a través de Internet. Este envía se realiza por una conexión VPN creada anteriormente. El servidor R-RRAS elimina el encabezados GRE, descifra, elimina el encabezado PPP y transmite los datos (paquete IP) a el Rcliente. Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera. Esquema: Formato de un paquete GRE Point-to-Point TunnelingProtocol El Protocolo de Túnel Punto a Punto (PPTP) encapsula los paquetes (frames) del Protocolo Punto a Punto (Point-to-Point Protocol, PPP) con datagramas IP para transmitirlos por una red IP como Internet o una intranet privada. El PPTP utiliza una conexión TCP conocida como la conexión de control de PPTP para crear, mantener y terminar el túnel, y una versión modificada de GRE, para encapsular los paquetes (frames) PPP como datos para el túnel. Las cargas de los paquetes encapsulados pueden estar encriptadas o comprimidas o ambas cosas. El PPTP supone la disponibilidad de una red IP entre un cliente PPTP (un cliente de túnel que utiliza el protocolo PPTP) y un servidor PPTP (un servidor de túnel que utiliza el protocolo PPTP). El cliente PPTP podría estar ya conectado a una red IP por la que puede tener acceso al servidor PPTP, o podría tener que llamar telefónicamente a un servidor de acceso de red (Network Access Server, NAS) para establecer la conectividad IP como en el caso de los usuarios de accesos telefónicos para Internet. La autentificación que ocurre durante la creación de una conexión VPN con PPTP utiliza los mismos mecanismos de autentificación que las conexiones PPP, tales
  • 6. como el Protocolo de Autentificación Extendible (Extensible AuthenticationProtocol, EAP), el Protocolo de Autentificación con Reto/Negociación de Microsoft (Microsoft Challenge-HandshakeAuthenticationProtocol, MS-CHAP), el CHAP, el Protocolo de Autentificación de Claves Shiva (Shiva PasswordAuthenticationProtocol, SPAP) y el Protocolo de Autentificación de Claves (PasswordAuthenticationProtocol, PAP). El PPTP hereda la encriptación, la compresión o ambas de las cargas PPP del PPP. Para servidores PPTP sobre Internet, el servidor PPTP es un servidor VPN con PPTP con una interfase con Internet y una segunda interfase con la intranet. IP Sec IP Sec es un grupo de extesiones de la familia del protocolo IP pensado para proveer servicios de seguridad a nivel de red, de un modo transparente a las aplicaciones superiores. IP Sec está ya explicado en su trabajo correspondiente: I Pv 6 e IP Sec Protocolo de tunelado de nivel 2 (L2TP) Es un componente de creación importante para las VPN de acceso. Es una extensión del protocolo Punto a Punto, fundamental para la creación de VPNs. L2TP combina las mejores funciones de los otros dos protocolos tunneling. Layer 2 Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling (PPTP) de Microsoft.L2TP es un estándar emergente, que se encuentra actualmente en codesarrollo y que cuenta con el respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros líderes en la industria de la conectividad. A continuación una serie de términos relacionados con este protocolo: L2TP Access Concentrator (LAC): Se añade un dispositivo LAC a los componentes físicos de la red conmutada; como la red telefónica convencional o RDSI, o se coloca con un sistema de terminación PPP capaz de gestionar el protocolo L2TP. Un LAC sólo necesita implementar el medio sobre el cual opera el L2TP para admitir el tráfico de una o más LNS. Puede “tunelizar” cualquier protocolo que incluya el PPP. LAC es el iniciador de las llamadas entrantes y el receptor de las llamadas salientes. L2TP Network Server (LNS): Un LNS opera sobre cualquier plataforma con capacidad de terminación PPP. LNS gestiona el lado del servidor del protocolo L2TP. Ya que L2TP se apoya sobre el medio al que llegan los túneles L2TP, LNS sólo puede tener un único interfaz LAN o WAN, aunque es capaz de terminar las
  • 7. llamadas entrantes en cualquiera de la amplia gama de los interfaces PPP LAC (asíncronos, RDSI, PPP sobre ATM, PPP sobre FrameRelay). Network Access Server (Servidor de acceso a la red): NAS es un dispositivo que proporciona a los usuarios acceso temporal a la red bajo demanda. Este acceso es punto a punto, de uso típico en líneas de la red telefónica convencional o RDSI. En la implementación Cisco, un NAS sirve como LAC. Secureshell (SSH) Tradicionalmente en sistemas Unix en el momento de entrar en el sistema, tanto el login como el password, así como el resto de la sesión, se transmiten a través de nuestra LAN o incluso a través de routers y nodos ajenos al nuestro en texto claro. Esto quiere decir que cualquiera que tenga activado un sniffer puede capturar nuestras sesiones con el potencial peligro que ello conlleva. La manera de evitar que alguien pueda espiar nuestras claves y sesiones, es utilizar una herramienta muy potente, fácil de instalar y muy cómoda para el usuario. ssh/sshd actúan basándose en la arquitectura cliente/servidor , en este caso concreto sshd se ejecuta en el servidor en un puerto (el defecto es el 22) a la espera de que alguien utilizando un cliente ssh se conecte para ofrecerle una sesión segura encriptándola de extremo a extremo. Todo es como en una sesión telnet tradicional, pero con la particularidad de que todas las comunicaciones serán encriptadas. El manejo de cualquier programa cliente de SSH es muy sencillo. Básicamente hay que introducir el servidor al que te quieres conectar (por ejemplo fanelli.sindominio.net) y que algoritmo de encriptación quieres usar (por ejemplo 3DES). Si no se dispone de un programa cliente de SSH, puede bajarse de Internet. Los programas que vienen con la distribución son: sshd Es el servidor propiamente dicho, escucha a la espera de conexiones. ssh Es el cliente, con él nos podemos conectar a un servidor sshd así como ejecutar comandos. scp Copia archivos con seguridad entre hosts. (Sustituto ideal de rcp) . ssh-keygen Usado para crear RSA keys (host keys y userauthenticationkeys).
  • 8. ssh-agent Agente de autentificación (Usado para manejar RSA keys en la autentificación). ssh-add Se usa para añadir nuevas llaves con el agente. make-ssh-known-hosts Usado para crear el archivo /etc/ssh_known_hosts . Protocolos de seguridad utilizados en los sistemas operativos Linux. SEGURIDAD DE RED INTRODUCCIÓN << Volver >> La seguridad de las conexiones en red merecen en la actualidad una atención especial, incluso por medios de comunicación no especializados, por el impacto que representan los fallos ante la opinión pública. El propio desarrollo tanto de Linux, como de la mayoría del software que lo acompaña, es de fuentes abiertas. Podemos ver y estudiar el código. Esto tiene la ventaja de que la seguridad en Linux no sea una mera apariencia, sino que el código está siendo escrutado por muchas personas distintas que rápidamente detectan los fallos y los corrigen con una velocidad asombrosa. Si además comprendemos los mecanismos que se siguen en las conexiones en red, y mantenemos actualizados nuestros programas, podemos tener un nivel de seguridad y una funcionalidad aceptables. Tampoco tienen las mismas necesidades de seguridad un equipo doméstico, con conexiones esporádicas a Internet, que un servidor conectado permanentemente y que actúe como pasarela entre una intranet e Internet. Para describir las pautas de actuación seguras iremos examinando cómo actúan las conexiones y cómo podemos protegerlas. INETD << Volver >>
  • 9. Para atender las solicitudes de conexión que llegan a nuestro equipo existe un demonio llamado inetd que está a la escucha de todos los intentos de conexión que se realicen a su máquina. Cuando le llega una solicitud de conexión irá dirigida a un puerto (número de servicio, quizás sea más claro que puerto), por ejemplo, el 80 sería una solicitud al servidor de páginas web, 23 para telnet, 25 para smtp, etc. Los servicios de red que presta su máquina están descritos en /etc/inetd.conf (y en /etc/services los números de puertos). Por ejemplo, en /etc/inetd.conf podemos encontrar las siguientes líneas: (...) pop-3 stream tcpnowait root /usr/sbin/tcpd ipop3d # imap stream tcpnowait root /usr/sbin/tcpdimapd (...) Esto quiere decir que, cuando llegue una solicitud de conexión al puerto 110 (pop3) se ejecutará el programa /usr/sbin/tcpd ipop3d. Sin embargo, el servicio imap está deshabilitado (está comentado con un # delante), por lo que el sistema no le responde. TCP Wrapper << Volver >> El siguiente paso es /usr/sbin/tcpd, que es el tcp_wrapper: un servicio que verifica el origen de las conexiones con su base de datos /etc/hosts.allow (equipos autorizados) y /etc/hosts.deny (equipos a los que se les deniega la conexión). tcpd anota todos los intentos de conexión que le llegan en /var/log/secure para que tenga la posibilidad de saber quién intenta conectarse a su máquina y si lo consigue. Si tcpd autoriza la conexión, ejecuta ipop3dque es el programa que realmente atiende la conexión, ante el cual se tiene que validar el usuario mediante una clave. Observe que ya llevamos tres niveles de seguridad: prestar un servicio, autorizar un conexión y validar un usuario. Un consejo que es conveniente seguir: No tenga abiertos los servicios que no necesita; esto supone asumir un riesgo a cambio de nada. Tampoco limite la funcionalidad del sistema, si tiene que usar un servicio, hágalo sabiendo lo que hace. También hay que asegurarse de que el programa ipop3d no tenga ninguna vulnerablidad, es decir, que esté actualizado. Existen numerosos medios para estar al día de las vulnerabilidades que aparecen. Una buena lista de correo o una revista electrónica tal vez sean la forma más rápida de conocer los incidentes, las causas y las soluciones. Posiblemente la mejor lista de correo para el mundo Unix sea Bugtraq
  • 10. Pero esto no es todo, además puede filtrar las conexiones que le lleguen desde el exterior para que ni siquiera alcancen a los tcp_wrappers. Por ejemplo, en el caso de conexiones a Internet por módem: ipchains -A input -j DENY –s 0/0 -d $4/32 23 -p tcp -i ppp0 -l poniendo la anterior línea en el fichero /etc/ppp/ip-up (y ipchains -F input en ip-down) estaríamos añadiendo (-A) un filtro de entrada (input), que deniega (-j DENY) desde cualquier sitio de internet (-s 0/0) dirigidas a nuestro equipo (-d $4/32) al puerto telnet (23) por tcp (-p tcp) que lleguen desde internet (en este caso -i ppp0) y que además las anote en el registro de incidencias (-l) ($4 es la dirección IP que obtenemos dinámicamente). El mecanismo de filtrado de conexiones se realiza en el núcleo del sistema operativo y si ha sido compilado con estas opciones. Normalmente lo está. Este filtrado se realiza a nivel de red y transporte: cuando llega un paquete por un interfaz de red se analiza siguiendo los filtros de entrada. Este paquete puede ser aceptado, denegado o rechazado, en este último caso se avisa al remitente. Si los filtros de entrada aceptan el paquete, pasa al sistema si era su destino final o pasa por los filtros de reenvío o enmascaramiento, donde se vuelve a repetir una de las acciones. Por último, los paquetes que proceden del propio sistema o los que han sido aceptados por los filtros de reenvío o enmascaramiento pasan al filtro de salida. En cualesquiera de estos filtros se puede indicar que lo anote en el registro de incidencias. Registro y conocimiento de incidencias << Volver >> A parte de todo esto, puede conocer las incidencias que ocurren durante el funcionamiento del sistema. Por un lado conviene familiarizarse con los procesos que se ejecutan habitualmente en una máquina. Es una buena costumbre ejecutar periódicamente psaxu. Cualquier cosa extraña debiéramos aclararla. Puede matar cualquier proceso con la orden kill -9 pid (o killall -9 nombre_proceso). Pero en caso de ataque activo, lo mejor es desconectar de la red inmediatamente, si es posible, claro está. Después tenemos los registros de incidencias (las ubicaciones pueden ser diferentes dependiendo del sistema, pero no radicalmente distintas) de /var/log. Trabajando en modo texto se puede hacer en una consola virtual (como root)
  • 11. tail -f /var/log/messages y tail -f /var/log/secure y de esta forma podemos ir viendo las incidencias del sistema. Conviene también familiarizarse con las anotaciones que aparecen habitualmente para diferenciarlas de las que puedan presentar un problema. En modo gráfico hay un programa llamado ktail que le muestra las incidencias de una forma similar a la anterior. Comunicaciones seguras << Volver >> Por último, nos interesará mantener unas comunicaciones seguras para garantizar la privacidad e integridad de la información. Actualmente existen las herramientas necesarias para cada necesidad. Podemos usar cifrados simétricos como pgp y gpg para documentos, correo electrónico y comunicaciones sobre canales inseguros Podemos crear canales de comunicación seguros de distinto tipo: SSH (Secure Shell), stelnet: SSH y stelnet son programas que le permiten efectuar conexiones con sistemas remotos y mantener una conexión cifrada. Con esto evitamos, entre otras cosas, que las claves circulen por la red sin cifrar. Cryptographic IP Encapsulation (CIPE): CIPE cifra los datos a nivel de red. El viaje de los paquetes entre hosts se hace cifrado. A diferencia de SSH que cifra los datos por conexión, lo hace a nivel de socket. Así un conexión lógica entre programas que se ejecutan en hosts diferentes está cifrada. CIPE se puede usar en tunnelling para crear una Red Virtual Privada. El cifrado a bajo nivel tiene la ventaja de poder hacer trabajar la red de forma transparente entre las dos redes conectadas en la RVP sin ningún cambio en el software de aplicación. SSL: o Secure Sockets Layer, fue diseñado y propuesto en 1994 por Netscape CommunicationsCorporation junto con su primera versión del Navigator como un protocolo para dotar de seguridad a las sesiones de navegación a través de Internet. Sin embargo, no fue hasta su tercera versión, conocida como SSL v3.0 que alcanzó su madurez, superando los problemas de seguridad y las limitaciones de sus predecesores. En su estado actual proporciona los siguientes servicios: o Cifrado de datos: la información transferida, aunque caiga en manos de un atacante, será indescifrable, garantizando así la confidencialidad. o Autenticación de servidores: el usuario puede asegurarse de la identidad del servidor al que se conecta y al que posiblemente envíe información personal confidencial.
  • 12. o Integridad de mensajes: se impide que modificaciones intencionadas o accidentales en la información mientras viaja por Internet pasen inadvertidas. o Opcionalmente, autenticación de cliente: permite al servidor conocer la identidad del usuario, con el fin de decidir si puede acceder a ciertas áreas protegidas. Consejos acerca de Seguridad Local << Volver >> Limite las acciones que realice como root al mínimo imprescindible, y sobre todo no ejecute programas desconocidos. Por ejemplo, en un juego (el quake) que distribuía una revista había un programa llamado runme que enviaba por mail las características de la máquina a una dirección de correo. En este caso se trataba de un troyano inofensivo, pero ofrece una idea de lo que puede hacer un programa ejecutado sin saberse lo que hace. Linux también tiene la posibilidad de proporcionar acceso transparente a Internet a una red local mediante IP masquerade. En este caso, si usamos direcciones de red privadas, nos aseguramos que los equipos de la red interna no son accesibles desde Internet si no es a través del equipo Linux. También podemos instalar un servidor proxy con caché, que a la vez que actúa de filtro de conexiones a nivel de aplicación, puede acelerar el acceso a servicios desde la red local. LO QUE KIERE EL PROFE SON DIAPOSITIVAS QUE CONTENGAN LO SIGUIENTE: UNIDAD: SEGURIDAD TEMA: PROTOCOLOS DE SEGURIDAD ¿QUE ES UN PROTOCOLO DE SEGURIDAD? ¿CUALES SON LOS PROTOCOLOS QUE EXISTEN EN LAS REDES DE COMPUTADORAS? CARACTERISTICAS
  • 13. ¿CUALES SON LOS PROTOCOLOS DE SEGURIDAD UTILIZADOS EN LOS S.O LINUX?