SlideShare una empresa de Scribd logo

Presentación Arturo Tarea de Ofimática

Descargar como PPT, PDF
A
ArturoGarcaGascoReal

Esta es el tarea de ofimatica de slideshare (el power point lo he cogido del tema de seguridad informática tema 6)

Empleo
1 de 12
Unidad 6 Seguridad activa: acceso a redes CFGM Seguridad Informática
06 Seguridad activa: acceso a redes 2 1. Redes cableadas En una empresa es raro encontrar una máquina aislada. El mismo celo que hemos puesto en vigilar la actividad que ocurre dentro de la máquina hay que mantenerlo cuando los datos salen y entran por alguna de sus interfaces de red. También hay que protegerse de los ataques que vengan por la red. Una máquina que ofrece servicios TCP/IP debe abrir ciertos puertos. A estos puertos pueden solicitar conexión máquinas fiables siguiendo el protocolo estándar, o máquinas maliciosas siguiendo una variación del protocolo que provoca un fallo en nuestro servidor. Las primeras redes LAN cableadas eran muy inseguras, porque todos los ordenadores estaban conectados al mismo cable (arquitectura en bus), de manera que cualquiera podía poner su tarjeta de red en modo promiscuo y escuchar todas las conversaciones. Actualmente, utilizamos la arquitectura en estrella: cada equipo tiene un cable directo a un puerto de un conmutador de red (switch) y por ahí envían sus paquetes (Fig. 6.5). Además de mejorar la seguridad, estamos mejorando el rendimiento, porque no malgastamos recursos en enviar paquetes a equipos que no les interesan.
06 Seguridad activa: acceso a redes 3 1. Redes cableadas Sin embargo, las redes conmutadas tienen sus propias vulnerabilidades: •Hay que proteger el switch físicamente: encerrarlo en un armario/rack con llave dentro de una sala con control de acceso. Así evitamos no solo el robo, sino que alguien acceda al botón de reset y lo configure a su modo. •Hay que proteger el switch lógicamente: poner usuario/contraseña para acceder a su configuración. •Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí. Debemos aislarlas para evitar problemas de rendimiento y seguridad. •Hay que controlar qué equipos se pueden conectar y a qué puertos. Por el motivo anterior, al grupo de marketing solo deberían entrar máquinas de marketing. 1.1. VLAN Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas constituyen una VLAN (LAN virtual). Se le llama virtual porque parece que están en una LAN propia, que la red está montada para ellos solos. Como hemos dicho antes, utilizar VLAN mejora el rendimiento y la seguridad. Si ocurre un problema en una VLAN las otras VLAN no se ven afectadas. Pero un exceso de tráfico en una VLAN sí afectaría a todos porque, al fin y al cabo, comparten el switch. Una VLAN basada en grupos de puertos no queda limitada a un switch; uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc. Sin embargo, es raro que las VLAN estén completamente aisladas del resto del mundo. Necesitarán acceso a Internet, así como conectar con otros servidores internos de la empresa. Para interconectar VLAN (capa 2) generalmente utilizaremos un router (capa 3).
06 Seguridad activa: acceso a redes 4 1.1. VLAN • Capa 2. En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe cómo intercambiar paquetes de datos (tramas) con los equipos que están en su misma red. La comunicación es directa entre origen y destino (aunque cruce uno o varios switch). • Capa 3. La capa 3 o capa de red tiene una visión global de la red: sabe cómo hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por una máquina más: el router. El router necesitará conectividad con cada una de las VLAN que interconecta. Una forma de conseguirlo es reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Una solución alternativa es utilizar el segundo tipo de VLAN: VLAN etiquetada (tag), que mantiene los grupos de puertos, pero el que los conectará con el router tiene una configuración distinta: el switch añadirá una etiqueta (un número) a los paquetes de datos (tramas) que salen por ese puerto. Estos paquetes ya pueden viajar por el mismo cable que los paquetes de otras VLAN sin interferirse entre ellos (conservamos el aislamiento entre VLAN), porque llegarán solo a los puertos donde la interfaz de red sea capaz de interpretar ese tag.
06 Seguridad activa: acceso a redes 5 1.2. Autenticación en el puerto. MAC y 802.1X Hemos protegido el acceso al switch y repartido las máquinas de la empresa en varias VLAN, interconectadas por routers. Pero cualquiera puede meterse en un despacho, desconectar el cable RJ45 del ordenador del empleado, conectarlo a su portátil y ya estaría en esa VLAN. Como sigue siendo un switch, no podrá escuchar el tráfico normal de los demás ordenadores de la VLAN, pero sí lanzar ataques contra ellos. Para evitarlo, los switch permiten establecer autenticación en el puerto: solo podrá conectar aquel cuya MAC esté dentro de una lista definida en el propio switch, o, dado que las MAC son fácilmente falsificables (las tarjetas emiten los paquetes que genera el software de red del sistema operativo), el que sea autentificado mediante RADIUS en el estándar 802.1X.
06 Seguridad activa: acceso a redes 6 2. Redes inalámbricas Como ocurría con el switch en las redes cableadas, hemos de: •Proteger el access point físicamente. La protección física es más complicada que en el caso del switch, porque el AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica. •Proteger el access point lógicamente (usuario/contraseña). •Controlar qué clientes pueden conectarse a él (autenticación). • Separar dos grupos de usuarios, haciendo que el mismo AP emita varias SSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener asociada una VLAN etiquetada. • Hay que encriptar la transmisión entre el ordenador y el AP. Los miedos a que las comunicaciones sean escuchadas por terceros no autorizados han desaparecido en las redes cableadas, pero están plenamente justificados en redes inalámbricas o WLAN (Wireless LAN), porque de nuevo el medio de transmisión (el aire) es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede perfectamente escuchar lo que no debe. Aunque se pueden hacer redes inalámbricas entre equipos (redes ad hoc), lo más habitual son las redes de tipo infraestructura: un equipo llamado access point (AP, punto de acceso) hace de switch, de manera que los demás ordenadores se conectan a él, le envían sus paquetes y él decide cómo hacerlos llegar al destino, que puede ser enviarlo de nuevo al aire o sacarlo por el cable que le lleva al resto de la red (Fig. 6.37). Salir por el cable es la configuración más habitual en las empresas, donde la WLAN se considera una extensión de la red cableada.
06 Seguridad activa: acceso a redes 7 2.1. Asociación y transmisión En wifi se establecen dos fases: asociación y transmisión. Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características de la comunicación (protocolo b/g/n, velocidad, etc.), pero sobre todo el AP puede solicitar algún tipo de autenticación. Generalmente es una clave alfanumérica que se registra en la configuración del AP y que el usuario debe introducir para poder trabajar con él. Las AP admiten varios tipos de autenticación: •Abierta: no hay autenticación, cualquier equipo puede asociarse con el AP. •Compartida: la misma clave que utilizamos para cifrar la usamos para autenticar. •Acceso seguro: usamos distintas claves para autenticar y cifrar. El usuario solo necesita saber una, la clave de autenticación: la clave de cifrado se genera automáticamente. •Autenticación por MAC: el AP mantiene una lista de MAC autorizadas que pueden asociarse. Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP, que admite varias combinaciones: •Autenticación abierta y sin cifrado: se utiliza en lugares públicos. La intención es no molestar al usuario introduciendo claves. •Autenticación abierta y transmisión cifrada: es el esquema habitual de las primeras redes wifi. •Autenticación compartida y transmisión cifrada: es una mala combinación, porque la autenticación es muy vulnerable y, conocida esa clave, tendrán acceso a descifrar las comunicaciones de cualquier ordenador conectado a ese AP. •Autenticación segura y transmisión cifrada: es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA.
06 Seguridad activa: acceso a redes 8 2.2. Cifrado: WEP, WPA, WPA2 El primer estándar se llamó WEP (Wireline Equivalent Privacy, privacidad equivalente al cable), intentando compensar las dos realidades: en redes cableadas es difícil el acceso al cable, pero si alguien lo consigue, puede capturar cualquier comunicación que pase por ahí; en redes inalámbricas cualquiera puede capturar las comunicaciones, pero, como van cifradas, no le servirá de nada. Sin embargo, en poco tiempo se encontraron debilidades al algoritmo de cifrado utilizado en WEP. Capturando cierto número de tramas, en poco tiempo cualquiera podía obtener la clave WEP. WPA (Wi-Fi Protected Access) introduce muchas mejoras: •Nuevos algoritmos más seguros (TKIP, AES), tanto por el algoritmo en sí como por el aumento de longitud de las claves, lo que dificulta los ataques. •Rotación automática de claves. Cada cierto tiempo (varios minutos) el AP y el cliente negocian una nueva clave. Por tanto, si algún atacante lograra acertar con la clave de una comunicación, solo le serviría para descifrar la información intercambiada durante ese intervalo de tiempo, pero no la anterior ni la siguiente. •Por primera vez se distingue entre los ámbitos personal y empresarial. En el ámbito personal es suficiente con el esquema habitual de una única clave que conocen todos (WPA le llama PSK [Pre-Shared Key]); en el ámbito empresarial no tiene sentido, por- que si una persona abandona la empresa, habría que cambiar la clave y comunicarlo de nuevo a todos los empleados. Para resolverlo, WPA empresarial introduce un servidor RADIUS donde poder almacenar un usuario y una clave para cada empleado.
06 Seguridad activa: acceso a redes 9 2.3. WPA empresarial: RADIUS El esquema de funcionamiento de WPA empresarial es el siguiente: •Dentro de la LAN de la empresa hay un ordenador que ejecuta un software servidor RADIUS. En este servidor hay una base de datos de usuarios y contraseñas, y el servidor admite preguntas sobre ellos. •Los AP de la empresa tienen conexión con ese ordenador. •Los AP ejecutan un software cliente RADIUS. Este software es capaz de formular las preguntas y analizar las respuestas. •El servidor RADIUS tiene la lista de las direcciones IP de los AP que le pueden preguntar. Además de estar en la lista, el AP necesita que le configuremos una contraseña definida en el servidor (una dirección IP es fácilmente falsificable). •Cuando un cliente quiere asociarse a un AP, le solicita usuario y contraseña. Pero no las comprueba él mismo, sino que formula la pregunta al servidor RADIUS utilizando la contraseña configurada para ese servidor. Dependiendo de la respuesta, el AP acepta la asociación o no.
06 Seguridad activa: acceso a redes 10 3. VPN El objetivo final de la VPN es que el empleado (más bien, su ordenador) no note si está en la empresa o fuera de ella. En ambos casos recibe una configuración IP privada (direcciones 10.X.X.X, por ejemplo), por lo que no necesita cambiar nada en la configuración de sus aplicaciones (correo, intranet, etc.). El responsable de conseguir esta transparencia es el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, de manera que para el sistema operativo es una tarjeta más. Ese driver se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN. La gestión consiste en: autentificar al cliente VPN, establecer un túnel a través de Internet, proteger y liberar el túnel. Como estamos atravesando Internet, hay que encriptar las comunicaciones (sobre todo si somos una empresa). Los paquetes irán encapsulados y cifrados. El software VPN en el cliente suele llevar una opción para que las conexiones a Internet se hagan directamente en la conexión del usuario, sin tener que pasar por el túnel y salir por la conexión a Internet de la empresa. Es decir, el túnel se usa solo para comunicaciones internas.
06 Seguridad activa: acceso a redes 11 4. Servicios de red. Nmap y netstat El software de los servicios de red es especialmente delicado. Debemos vigilar qué software tenemos activo y qué actualizaciones tiene pendientes. Las actualizaciones llegarán por el mecanismo habitual del sistema operativo; el software que tenemos activo (haciendo conexiones o esperándolas) lo podemos conocer mediante un par de herramientas sencillas: Con el comando netstat podemos conocer los puertos abiertos en nuestra máquina: La herramienta Nmap, se ha convertido en la navaja suiza de los hackers de red. Además del escaneo de puertos para determinar los servicios disponibles en una máquina, podemos pedir a la herramienta que intente la conexión a cada uno de ellos. Después analiza los mensajes que generan estos servidores para identificar la versión concreta del sistema operativo y la versión concreta del software de servidor (server fingerprint) que está escuchando en cada puerto. Es decir, aunque intentemos despistar arrancando servicios en puertos que no son los esperados, la herramienta reconoce el puerto como abierto y consigue identificar el servicio.
06 Seguridad activa: acceso a redes 12 Créditos: Derechos reservados © 2013, respecto a la segunda edición en español, por: McGraw-Hill/Interamericana de España, S.L. Autor del libro del alumno: José Fabián Roa Buendía Autores del material complementario: José Fabián Roa Buendía, Gopal Bijani Chiquero Equipo editorial: Ariadna Allés, Paloma Sánchez, María Dolores Crispín, Silvia G. Olaya Fotografías: 123RF, iStockphoto Ilustraciones: M.ª Carmen Fuente Canalda Composición: Diseño y Control Gráfico, S.L.U.

Recomendados

Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad en redes WiFi
Seguridad en redes WiFiSeguridad en redes WiFi
Seguridad en redes WiFiPablo Garaizar
 
Seguridad inalambrica
Seguridad inalambricaSeguridad inalambrica
Seguridad inalambricahaurbano
 
Introducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasIntroducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasMarcos Blanco Galán
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasWilmer Campos Saavedra
 
Marco teórico descifrado de redes
Marco teórico descifrado de redesMarco teórico descifrado de redes
Marco teórico descifrado de redesSwanny Aquino
 
Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...sgosita
 

Recomendados

Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad en redes WiFi
Seguridad en redes WiFiSeguridad en redes WiFi
Seguridad en redes WiFiPablo Garaizar
 
Seguridad inalambrica
Seguridad inalambricaSeguridad inalambrica
Seguridad inalambricahaurbano
 
Introducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasIntroducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasMarcos Blanco Galán
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasWilmer Campos Saavedra
 
Marco teórico descifrado de redes
Marco teórico descifrado de redesMarco teórico descifrado de redes
Marco teórico descifrado de redesSwanny Aquino
 
Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...sgosita
 
Virtual lans segmentación segura de redes
Virtual lans segmentación segura de redesVirtual lans segmentación segura de redes
Virtual lans segmentación segura de redesEventos Creativos
 
C:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De RedesC:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De Redeszuritam
 
Informacion de redes
Informacion de redesInformacion de redes
Informacion de redesJose Natividad Gonzales Guzman
 
1 unidad VLAN
1 unidad VLAN1 unidad VLAN
1 unidad VLANRogelio Sánchez Rasgado
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoUPTC
 
Seguridad en redes inalámbricas
Seguridad en redes inalámbricasSeguridad en redes inalámbricas
Seguridad en redes inalámbricasftejera
 
Seguridad activa: Acceso a redes
Seguridad activa: Acceso a redesSeguridad activa: Acceso a redes
Seguridad activa: Acceso a redesBelén Rodriguez Giner
 
ACCESO A REDES
ACCESO A REDESACCESO A REDES
ACCESO A REDESBlue Phoenix
 
Red Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRed Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRebeca Orellana
 
Web Cast I S A Server 2004 3 Noviembre
Web Cast I S A Server 2004 3 NoviembreWeb Cast I S A Server 2004 3 Noviembre
Web Cast I S A Server 2004 3 NoviembreGecneralfredo
 
Vpn - servicios de Internet.
Vpn - servicios de Internet.Vpn - servicios de Internet.
Vpn - servicios de Internet.David Romero
 
Manual red inlambrica
Manual red inlambricaManual red inlambrica
Manual red inlambricaSandro Santiago A
 
D-Link: Seguridad Wifi
D-Link: Seguridad WifiD-Link: Seguridad Wifi
D-Link: Seguridad WifiChema Alonso
 
Vlans 2-120527120227-phpapp02-120528225021-phpapp01
Vlans 2-120527120227-phpapp02-120528225021-phpapp01Vlans 2-120527120227-phpapp02-120528225021-phpapp01
Vlans 2-120527120227-phpapp02-120528225021-phpapp01Alex Silva
 
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redVLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redAlejandro Valdes Jimenez
 
Configuración básica vla ns
Configuración básica vla nsConfiguración básica vla ns
Configuración básica vla nsJavier Boquin Rivera
 
red Vlan
red Vlanred Vlan
red VlanEstado: Amando al amor de mi vidaღツ
 
Vlans 2
Vlans 2Vlans 2
Vlans 2Juan Carlos Sosa
 
::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::preverisk Group
 
Presentacion seguridad inalambrica
Presentacion seguridad inalambricaPresentacion seguridad inalambrica
Presentacion seguridad inalambricapardon
 
Trabajo red inalambrica
Trabajo red inalambricaTrabajo red inalambrica
Trabajo red inalambricalorena salazar
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wirelessruben0909
 

Más contenido relacionado

La actualidad más candente

Virtual lans segmentación segura de redes
Virtual lans segmentación segura de redesVirtual lans segmentación segura de redes
Virtual lans segmentación segura de redesEventos Creativos
 
C:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De RedesC:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De Redeszuritam
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoUPTC
 
Seguridad en redes inalámbricas
Seguridad en redes inalámbricasSeguridad en redes inalámbricas
Seguridad en redes inalámbricasftejera
 
Red Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRed Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRebeca Orellana
 
Web Cast I S A Server 2004 3 Noviembre
Web Cast I S A Server 2004 3 NoviembreWeb Cast I S A Server 2004 3 Noviembre
Web Cast I S A Server 2004 3 NoviembreGecneralfredo
 
Vpn - servicios de Internet.
Vpn - servicios de Internet.Vpn - servicios de Internet.
Vpn - servicios de Internet.David Romero
 
D-Link: Seguridad Wifi
D-Link: Seguridad WifiD-Link: Seguridad Wifi
D-Link: Seguridad WifiChema Alonso
 
Vlans 2-120527120227-phpapp02-120528225021-phpapp01
Vlans 2-120527120227-phpapp02-120528225021-phpapp01Vlans 2-120527120227-phpapp02-120528225021-phpapp01
Vlans 2-120527120227-phpapp02-120528225021-phpapp01Alex Silva
 
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redVLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redAlejandro Valdes Jimenez
 

La actualidad más candente (18)

Virtual lans segmentación segura de redes
Virtual lans segmentación segura de redesVirtual lans segmentación segura de redes
Virtual lans segmentación segura de redes
 
C:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De RedesC:\Fakepath\Fundamentos De Redes
C:\Fakepath\Fundamentos De Redes
 
Informacion de redes
Informacion de redesInformacion de redes
Informacion de redes
 
1 unidad VLAN
1 unidad VLAN1 unidad VLAN
1 unidad VLAN
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría Buitrago
 
Seguridad en redes inalámbricas
Seguridad en redes inalámbricasSeguridad en redes inalámbricas
Seguridad en redes inalámbricas
 
Seguridad activa: Acceso a redes
Seguridad activa: Acceso a redesSeguridad activa: Acceso a redes
Seguridad activa: Acceso a redes
 
ACCESO A REDES
ACCESO A REDESACCESO A REDES
ACCESO A REDES
 
Red Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarialRed Privada Virtual: Seguridad a nivel empresarial
Red Privada Virtual: Seguridad a nivel empresarial
 
Web Cast I S A Server 2004 3 Noviembre
Web Cast I S A Server 2004 3 NoviembreWeb Cast I S A Server 2004 3 Noviembre
Web Cast I S A Server 2004 3 Noviembre
 
Vpn - servicios de Internet.
Vpn - servicios de Internet.Vpn - servicios de Internet.
Vpn - servicios de Internet.
 
Manual red inlambrica
Manual red inlambricaManual red inlambrica
Manual red inlambrica
 
D-Link: Seguridad Wifi
D-Link: Seguridad WifiD-Link: Seguridad Wifi
D-Link: Seguridad Wifi
 
Vlans 2-120527120227-phpapp02-120528225021-phpapp01
Vlans 2-120527120227-phpapp02-120528225021-phpapp01Vlans 2-120527120227-phpapp02-120528225021-phpapp01
Vlans 2-120527120227-phpapp02-120528225021-phpapp01
 
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redVLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
 
Configuración básica vla ns
Configuración básica vla nsConfiguración básica vla ns
Configuración básica vla ns
 
red Vlan
red Vlanred Vlan
red Vlan
 
Vlans 2
Vlans 2Vlans 2
Vlans 2
 

Similar a Presentación Arturo Tarea de Ofimática

::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::preverisk Group
 
Presentacion seguridad inalambrica
Presentacion seguridad inalambricaPresentacion seguridad inalambrica
Presentacion seguridad inalambricapardon
 
Trabajo red inalambrica
Trabajo red inalambricaTrabajo red inalambrica
Trabajo red inalambricalorena salazar
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wirelessruben0909
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.karlajocelyn061293
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.karlajocelyn061293
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wirelesslatinloco001
 
Definicion de red inalámbrica yami
Definicion de red inalámbrica yamiDefinicion de red inalámbrica yami
Definicion de red inalámbrica yamiYAMILEvale
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.kim050594
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.karlajocelyn061293
 
Redes Y Seguridad InformáTica Silviiiaa
Redes Y Seguridad InformáTica SilviiiaaRedes Y Seguridad InformáTica Silviiiaa
Redes Y Seguridad InformáTica Silviiiaaserg94
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redeslisc20145
 

Similar a Presentación Arturo Tarea de Ofimática (20)

::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::
 
Presentacion seguridad inalambrica
Presentacion seguridad inalambricaPresentacion seguridad inalambrica
Presentacion seguridad inalambrica
 
Trabajo red inalambrica
Trabajo red inalambricaTrabajo red inalambrica
Trabajo red inalambrica
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wireless
 
Seguridad redes
Seguridad redesSeguridad redes
Seguridad redes
 
Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wireless
 
ALGORITMOS
ALGORITMOSALGORITMOS
ALGORITMOS
 
Definicion de red inalámbrica yami
Definicion de red inalámbrica yamiDefinicion de red inalámbrica yami
Definicion de red inalámbrica yami
 
Vlan
VlanVlan
Vlan
 
VLAN
VLANVLAN
VLAN
 
La red inalámbrica
La red inalámbricaLa red inalámbrica
La red inalámbrica
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.
 
7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.7. definiciones de conceptos basicos de redes.
7. definiciones de conceptos basicos de redes.
 
Redes Y Seguridad InformáTica Silviiiaa
Redes Y Seguridad InformáTica SilviiiaaRedes Y Seguridad InformáTica Silviiiaa
Redes Y Seguridad InformáTica Silviiiaa
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 

Último

-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo Venezuela-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo VenezuelaJESUS341998
 
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdfGUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdfIsaacRobertoRamrezLe
 
NOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACIONNOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACIONKarina224599
 
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxEMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxdaryel2
 
Logística internacional y legislación aduana
Logística internacional y legislación aduanaLogística internacional y legislación aduana
Logística internacional y legislación aduanaluisColon57
 
CONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datosCONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datosJENNIFERBERARDI1
 
FASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptxFASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptx10ColungaFloresJosSa
 

Último (7)

-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo Venezuela-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo Venezuela
 
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdfGUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
 
NOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACIONNOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACION
 
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxEMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
 
Logística internacional y legislación aduana
Logística internacional y legislación aduanaLogística internacional y legislación aduana
Logística internacional y legislación aduana
 
CONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datosCONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datos
 
FASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptxFASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptx
 

Presentación Arturo Tarea de Ofimática

  • 1. Unidad 6 Seguridad activa: acceso a redes CFGM Seguridad Informática
  • 2. 06 Seguridad activa: acceso a redes 2 1. Redes cableadas En una empresa es raro encontrar una máquina aislada. El mismo celo que hemos puesto en vigilar la actividad que ocurre dentro de la máquina hay que mantenerlo cuando los datos salen y entran por alguna de sus interfaces de red. También hay que protegerse de los ataques que vengan por la red. Una máquina que ofrece servicios TCP/IP debe abrir ciertos puertos. A estos puertos pueden solicitar conexión máquinas fiables siguiendo el protocolo estándar, o máquinas maliciosas siguiendo una variación del protocolo que provoca un fallo en nuestro servidor. Las primeras redes LAN cableadas eran muy inseguras, porque todos los ordenadores estaban conectados al mismo cable (arquitectura en bus), de manera que cualquiera podía poner su tarjeta de red en modo promiscuo y escuchar todas las conversaciones. Actualmente, utilizamos la arquitectura en estrella: cada equipo tiene un cable directo a un puerto de un conmutador de red (switch) y por ahí envían sus paquetes (Fig. 6.5). Además de mejorar la seguridad, estamos mejorando el rendimiento, porque no malgastamos recursos en enviar paquetes a equipos que no les interesan.
  • 3. 06 Seguridad activa: acceso a redes 3 1. Redes cableadas Sin embargo, las redes conmutadas tienen sus propias vulnerabilidades: •Hay que proteger el switch físicamente: encerrarlo en un armario/rack con llave dentro de una sala con control de acceso. Así evitamos no solo el robo, sino que alguien acceda al botón de reset y lo configure a su modo. •Hay que proteger el switch lógicamente: poner usuario/contraseña para acceder a su configuración. •Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí. Debemos aislarlas para evitar problemas de rendimiento y seguridad. •Hay que controlar qué equipos se pueden conectar y a qué puertos. Por el motivo anterior, al grupo de marketing solo deberían entrar máquinas de marketing. 1.1. VLAN Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas constituyen una VLAN (LAN virtual). Se le llama virtual porque parece que están en una LAN propia, que la red está montada para ellos solos. Como hemos dicho antes, utilizar VLAN mejora el rendimiento y la seguridad. Si ocurre un problema en una VLAN las otras VLAN no se ven afectadas. Pero un exceso de tráfico en una VLAN sí afectaría a todos porque, al fin y al cabo, comparten el switch. Una VLAN basada en grupos de puertos no queda limitada a un switch; uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc. Sin embargo, es raro que las VLAN estén completamente aisladas del resto del mundo. Necesitarán acceso a Internet, así como conectar con otros servidores internos de la empresa. Para interconectar VLAN (capa 2) generalmente utilizaremos un router (capa 3).
  • 4. 06 Seguridad activa: acceso a redes 4 1.1. VLAN • Capa 2. En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe cómo intercambiar paquetes de datos (tramas) con los equipos que están en su misma red. La comunicación es directa entre origen y destino (aunque cruce uno o varios switch). • Capa 3. La capa 3 o capa de red tiene una visión global de la red: sabe cómo hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por una máquina más: el router. El router necesitará conectividad con cada una de las VLAN que interconecta. Una forma de conseguirlo es reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Una solución alternativa es utilizar el segundo tipo de VLAN: VLAN etiquetada (tag), que mantiene los grupos de puertos, pero el que los conectará con el router tiene una configuración distinta: el switch añadirá una etiqueta (un número) a los paquetes de datos (tramas) que salen por ese puerto. Estos paquetes ya pueden viajar por el mismo cable que los paquetes de otras VLAN sin interferirse entre ellos (conservamos el aislamiento entre VLAN), porque llegarán solo a los puertos donde la interfaz de red sea capaz de interpretar ese tag.
  • 5. 06 Seguridad activa: acceso a redes 5 1.2. Autenticación en el puerto. MAC y 802.1X Hemos protegido el acceso al switch y repartido las máquinas de la empresa en varias VLAN, interconectadas por routers. Pero cualquiera puede meterse en un despacho, desconectar el cable RJ45 del ordenador del empleado, conectarlo a su portátil y ya estaría en esa VLAN. Como sigue siendo un switch, no podrá escuchar el tráfico normal de los demás ordenadores de la VLAN, pero sí lanzar ataques contra ellos. Para evitarlo, los switch permiten establecer autenticación en el puerto: solo podrá conectar aquel cuya MAC esté dentro de una lista definida en el propio switch, o, dado que las MAC son fácilmente falsificables (las tarjetas emiten los paquetes que genera el software de red del sistema operativo), el que sea autentificado mediante RADIUS en el estándar 802.1X.
  • 6. 06 Seguridad activa: acceso a redes 6 2. Redes inalámbricas Como ocurría con el switch en las redes cableadas, hemos de: •Proteger el access point físicamente. La protección física es más complicada que en el caso del switch, porque el AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica. •Proteger el access point lógicamente (usuario/contraseña). •Controlar qué clientes pueden conectarse a él (autenticación). • Separar dos grupos de usuarios, haciendo que el mismo AP emita varias SSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener asociada una VLAN etiquetada. • Hay que encriptar la transmisión entre el ordenador y el AP. Los miedos a que las comunicaciones sean escuchadas por terceros no autorizados han desaparecido en las redes cableadas, pero están plenamente justificados en redes inalámbricas o WLAN (Wireless LAN), porque de nuevo el medio de transmisión (el aire) es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede perfectamente escuchar lo que no debe. Aunque se pueden hacer redes inalámbricas entre equipos (redes ad hoc), lo más habitual son las redes de tipo infraestructura: un equipo llamado access point (AP, punto de acceso) hace de switch, de manera que los demás ordenadores se conectan a él, le envían sus paquetes y él decide cómo hacerlos llegar al destino, que puede ser enviarlo de nuevo al aire o sacarlo por el cable que le lleva al resto de la red (Fig. 6.37). Salir por el cable es la configuración más habitual en las empresas, donde la WLAN se considera una extensión de la red cableada.
  • 7. 06 Seguridad activa: acceso a redes 7 2.1. Asociación y transmisión En wifi se establecen dos fases: asociación y transmisión. Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características de la comunicación (protocolo b/g/n, velocidad, etc.), pero sobre todo el AP puede solicitar algún tipo de autenticación. Generalmente es una clave alfanumérica que se registra en la configuración del AP y que el usuario debe introducir para poder trabajar con él. Las AP admiten varios tipos de autenticación: •Abierta: no hay autenticación, cualquier equipo puede asociarse con el AP. •Compartida: la misma clave que utilizamos para cifrar la usamos para autenticar. •Acceso seguro: usamos distintas claves para autenticar y cifrar. El usuario solo necesita saber una, la clave de autenticación: la clave de cifrado se genera automáticamente. •Autenticación por MAC: el AP mantiene una lista de MAC autorizadas que pueden asociarse. Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP, que admite varias combinaciones: •Autenticación abierta y sin cifrado: se utiliza en lugares públicos. La intención es no molestar al usuario introduciendo claves. •Autenticación abierta y transmisión cifrada: es el esquema habitual de las primeras redes wifi. •Autenticación compartida y transmisión cifrada: es una mala combinación, porque la autenticación es muy vulnerable y, conocida esa clave, tendrán acceso a descifrar las comunicaciones de cualquier ordenador conectado a ese AP. •Autenticación segura y transmisión cifrada: es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA.
  • 8. 06 Seguridad activa: acceso a redes 8 2.2. Cifrado: WEP, WPA, WPA2 El primer estándar se llamó WEP (Wireline Equivalent Privacy, privacidad equivalente al cable), intentando compensar las dos realidades: en redes cableadas es difícil el acceso al cable, pero si alguien lo consigue, puede capturar cualquier comunicación que pase por ahí; en redes inalámbricas cualquiera puede capturar las comunicaciones, pero, como van cifradas, no le servirá de nada. Sin embargo, en poco tiempo se encontraron debilidades al algoritmo de cifrado utilizado en WEP. Capturando cierto número de tramas, en poco tiempo cualquiera podía obtener la clave WEP. WPA (Wi-Fi Protected Access) introduce muchas mejoras: •Nuevos algoritmos más seguros (TKIP, AES), tanto por el algoritmo en sí como por el aumento de longitud de las claves, lo que dificulta los ataques. •Rotación automática de claves. Cada cierto tiempo (varios minutos) el AP y el cliente negocian una nueva clave. Por tanto, si algún atacante lograra acertar con la clave de una comunicación, solo le serviría para descifrar la información intercambiada durante ese intervalo de tiempo, pero no la anterior ni la siguiente. •Por primera vez se distingue entre los ámbitos personal y empresarial. En el ámbito personal es suficiente con el esquema habitual de una única clave que conocen todos (WPA le llama PSK [Pre-Shared Key]); en el ámbito empresarial no tiene sentido, por- que si una persona abandona la empresa, habría que cambiar la clave y comunicarlo de nuevo a todos los empleados. Para resolverlo, WPA empresarial introduce un servidor RADIUS donde poder almacenar un usuario y una clave para cada empleado.
  • 9. 06 Seguridad activa: acceso a redes 9 2.3. WPA empresarial: RADIUS El esquema de funcionamiento de WPA empresarial es el siguiente: •Dentro de la LAN de la empresa hay un ordenador que ejecuta un software servidor RADIUS. En este servidor hay una base de datos de usuarios y contraseñas, y el servidor admite preguntas sobre ellos. •Los AP de la empresa tienen conexión con ese ordenador. •Los AP ejecutan un software cliente RADIUS. Este software es capaz de formular las preguntas y analizar las respuestas. •El servidor RADIUS tiene la lista de las direcciones IP de los AP que le pueden preguntar. Además de estar en la lista, el AP necesita que le configuremos una contraseña definida en el servidor (una dirección IP es fácilmente falsificable). •Cuando un cliente quiere asociarse a un AP, le solicita usuario y contraseña. Pero no las comprueba él mismo, sino que formula la pregunta al servidor RADIUS utilizando la contraseña configurada para ese servidor. Dependiendo de la respuesta, el AP acepta la asociación o no.
  • 10. 06 Seguridad activa: acceso a redes 10 3. VPN El objetivo final de la VPN es que el empleado (más bien, su ordenador) no note si está en la empresa o fuera de ella. En ambos casos recibe una configuración IP privada (direcciones 10.X.X.X, por ejemplo), por lo que no necesita cambiar nada en la configuración de sus aplicaciones (correo, intranet, etc.). El responsable de conseguir esta transparencia es el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, de manera que para el sistema operativo es una tarjeta más. Ese driver se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN. La gestión consiste en: autentificar al cliente VPN, establecer un túnel a través de Internet, proteger y liberar el túnel. Como estamos atravesando Internet, hay que encriptar las comunicaciones (sobre todo si somos una empresa). Los paquetes irán encapsulados y cifrados. El software VPN en el cliente suele llevar una opción para que las conexiones a Internet se hagan directamente en la conexión del usuario, sin tener que pasar por el túnel y salir por la conexión a Internet de la empresa. Es decir, el túnel se usa solo para comunicaciones internas.
  • 11. 06 Seguridad activa: acceso a redes 11 4. Servicios de red. Nmap y netstat El software de los servicios de red es especialmente delicado. Debemos vigilar qué software tenemos activo y qué actualizaciones tiene pendientes. Las actualizaciones llegarán por el mecanismo habitual del sistema operativo; el software que tenemos activo (haciendo conexiones o esperándolas) lo podemos conocer mediante un par de herramientas sencillas: Con el comando netstat podemos conocer los puertos abiertos en nuestra máquina: La herramienta Nmap, se ha convertido en la navaja suiza de los hackers de red. Además del escaneo de puertos para determinar los servicios disponibles en una máquina, podemos pedir a la herramienta que intente la conexión a cada uno de ellos. Después analiza los mensajes que generan estos servidores para identificar la versión concreta del sistema operativo y la versión concreta del software de servidor (server fingerprint) que está escuchando en cada puerto. Es decir, aunque intentemos despistar arrancando servicios en puertos que no son los esperados, la herramienta reconoce el puerto como abierto y consigue identificar el servicio.
  • 12. 06 Seguridad activa: acceso a redes 12 Créditos: Derechos reservados © 2013, respecto a la segunda edición en español, por: McGraw-Hill/Interamericana de España, S.L. Autor del libro del alumno: José Fabián Roa Buendía Autores del material complementario: José Fabián Roa Buendía, Gopal Bijani Chiquero Equipo editorial: Ariadna Allés, Paloma Sánchez, María Dolores Crispín, Silvia G. Olaya Fotografías: 123RF, iStockphoto Ilustraciones: M.ª Carmen Fuente Canalda Composición: Diseño y Control Gráfico, S.L.U.