El documento proporciona una introducción a la seguridad de las redes IP. Explica que es importante asegurar que las comunicaciones IP lleguen a su destino de forma íntegra, con su origen y destino autenticados, y que solo el destinatario pueda leerlos. Luego describe varias amenazas comunes a las redes IP como sniffing, spoofing y denegación de servicio, y contramedidas como cifrado, firewalls, VPNs e IDS.

1. Aseguramiento
de las
comunicaciones
IP
Instalación,
Configuración y
Aseguramiento.
Redes de
Comunicaciones
IP
M5
1

2. Redes de Comunicación IP
Aseguramiento de redes IP
M5
En la comunicación lo único importante no es que el mensaje llegue, sino que llegue
íntegro, sin alteraciones, que su origen y su destino estén asegurados y que nadie más
que a quien vaya dirigido pueda leerlo.
Se precisa por tanto privacidad, integridad, autenticidad y disponibilidad
2

3. Redes de Comunicación IP
Aseguramiento de redes IP
¿Porqué se espían las redes??
En la RED está:
• La situación económico-financiera del mundo
• Los planes estratégicos de las empresas
• Los efectivos militares de los países
• Los secretos de los gobiernos
Y además…
• Nuestra identidad.
• Nuestros datos bancarios.
• Nuestros antecedentes penales.
• Nuestros gustos.
• Nuestra red de amistades.
• Nuestros secretos.
M5
3

4. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Interrupción Escucha
Manipulación Suplantación
A lo largo de la infraestructura de telecomunicaciones que separa al emisor del
receptor, las comunicaciones están sometidas a multitud de vulnerabilidades.
4

5. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Sniffers: Captura de contraseñas y nombres de
usuario de la red para realizar intrusiones.
Spoofing: Consiste en suplantar la identidad del
destinatario o el emisor.
Ataque de Contraseña: Consiste en averiguar la
contraseña de un usuario por distintos métodos.
Envío de información: Reenvío no autorizado de
información hacia el exterior.
Man in the middle: Interceptación, especialmente
en intercambio de claves iniciales.
Denegación de servicio: Interrupción de un
servicio por saturación de solicitudes.
Nivel de Aplicación: Aprovechando bugs o
vulnerabilidades del software de aplicación
Trojanos: Software malicioso que permite el
control remoto del equipo que lo contiene
Hoy en día los
ataques que
producían un daño
inmediato en la
infraestructura han
sido sustituidos por
aquellos que
obtienen
información y
causan un
beneficio
económico o
funcional al
atacante a medio-
largo plazo.
5

6. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Identificación: Mecanismos para garantizar la
identidad de los emisores / receptores
Acceso: Mecanismos de control de acceso a la
infraestructura lógica o física.
Separación: Física, lógica, temporal o funcional de
las telecomunicaciones.
Encriptación: Cifrado de las comunicaciones de
datos a través de la red.
IDS: Sistemas automáticos de detección de
intrusos.
Salvaguardias: Copias de seguridad de la
información.
Análisis forense: Averiguar qué paso, cómo entró,
qué hizo el atacante.
Las contramedidas
pueden ser de tres
tipos:
Prevención: para
impedir el ataque.
Detección: para
descubrir un
ataque en el
momento en que
se está
produciendo.
Recuperación: para
minimizar el efecto
de un ataque y
aprender de él para
el futuro.
6

7. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Barreras Físicas
• Ocultando los dispositivos de red
de la vista.
• Aislando los dispositivos de red del
acceso físico.
• Impidiendo su administración
desde la red.
• Estableciendo credenciales
seguras para su configuración.
Siguiendo la pila OSI podemos ir
estableciendo las primeras medidas
de seguridad desde abajo, desde el
nivel físico:.
7

8. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Los usuarios se comunican
libremente a través de la red física
sólo con los pertenecientes a su red
virtual.
Los routers controlan la
comunicación entre VLANS.
Cada VLAN es un dominio de
broadcast separado.
La pertenencia a una VLAN no viene
determinada por la conexión física.
VLAN
8

9. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Las Listas de Control de Acceso son
sencillas reglas que se establecen en
los routers para limitar el tipo de
tráfico entre direcciones de emisión
y recepción.
Posibilitan definir los protocolos de
capa superior permitidos actuando
sobre los puertos asociados a ellos.
ACL
9

10. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Utilizable en varios niveles de la pila
OSI, es el mecanismo más utilizado
para proporcionar seguridad a la
redes de comunicaciones.
Permite crear conexiones seguras a
través de canales inseguros.
Se implementa usando algunos
protocolos preestablecidos o
mediante la utilización de
herramientas ad-hoc.
CIFRADO
10

11. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
Krb
PGPSSH
Rad
Al depender de la aplicación, la
seguridad no queda atada al
Sistema Operativo.
Facilita el uso del concepto de no
repudio (el receptor no puede decir
que no ha recibido el mensaje)
Cada aplicación tiene su propio
mecanismo de seguridad diseñado
exprofeso
Mayor probabilidad de errores o
bugs de seguridad.
SMi SET
IPSTAC
11

12. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
SSL
Es transparente a la aplicación y no
requiere en teoría su modificación o
adaptación.
Es difícil contextualizar la seguridad
con un usuario determinado.
TLS sí requiere modificar las
aplicaciones.
TLS
12

13. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
IPSec
Disminuye el flujo de negociación de
claves.
Las aplicaciones no requieren
ninguna modificación.
Permite la creación de VPNs e
Intranets.
Es difícil contextualizar la seguridad
con un usuario determinado.
Dificultades para el manejo del no
repudio.
NLSPPTP
L2TP
13

14. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Protocolos segurosCIFRADO
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
LEAP
Es con diferencia el mecanismo más
rápido para unas comunicaciones
seguras.
Funcionan sólo con enlaces
dedicados.
Los dispositivos deben estar
físicamente conectados entre sí.
SILSATM
CHAP
PAP 14

15. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Algunos de los protocolos de cifrado
son muy populares, como el SSH
para conexión remota con otros
ordenadores, el Radius para
autenticación en IP móvil o el SSL
para autenticación de servidores.
CIFRADO
15

16. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Consiste en enviar los datos
encriptados a través de la red
insegura formando una conexión o
“túnel” inaccesible.
Sobre él se puede desplegar una Red
Privada Virtual que garantiza un uso
totalmente seguro de la
comunicación dentro de un
ambiente tan inseguro como
INTERNET con un retardo
inapreciable.
TUNNELING
16

17. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Consiste en enviar los datos
encriptados a través de la red
insegura formando una conexión o
“túnel” inaccesible.
Sobre él se puede desplegar una Red
Privada Virtual que garantiza un uso
totalmente seguro de la
comunicación dentro de un
ambiente tan inseguro como
INTERNET con un retardo
inapreciable.
TUNNELING
17
El mecanismo es muy sencillo. En origen, el datagrama es
encriptado y encapsulado en otro que es el que viaja por la red.
En el destino se realiza la operación contraria.

18. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Protocolos de tunneling
18
TUNNELING
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
IPsec
L2F
PPTP
L2PT
GRE
MPOA
La mayoría de los protocolos
de tunneling trabajan en las
capas 2 o 3 de la pila OSI
Algunos han sido diseñados
por empresas (como PPTP de
Microsoft) y otros son
estándares (como L2PT de
IETF)

19. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Protocolos de tunneling
19
TUNNELING
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
IPsec
L2F
PPTP
L2PT
GRE
MPOA
PPPT Es un protocolo
orientado a usuario y
transparente al
proveedor de internet
LPT2 Es un protocolo del
proveedor y es
transparente al usuario

20. Redes de Comunicación IP
Aseguramiento de redes IP
M5
Protocolos de tunneling
20
TUNNELING
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
IPsec
L2F
PPTP
L2PT
GRE
MPOA
L2PT e IPsec, usados
conjuntamente, dan una
gran robustez al túnel y
son la esencia de muchas
Redes Privadas Virtuales
La Red Corporativa de la
Junta de Andalucía usa
esta solución, a través del
software FORTINET, para
prestar servicios de VPN

21. Redes de Comunicación IP
Aseguramiento de redes IP
M5
FÍSICA
ENLACE DE DATOS
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ACCESO A RED
INTERNET
TRANSPORTE
APLICACIÓN
OSI TCP/IP
Con las tecnologías de cifrado y
encapsulación adecuadas, una VPN
constituye un túnel (generalmente
túnel IP) cifrado y/o encapsulado a
través de Internet para:
Dar conexión interna a entidades
con sedes alejadas físicamente.
Permitir el teletrabajo
Dar acceso a proveedores externos a
la red interna de una entidad.
VPN
21