SlideShare una empresa de Scribd logo

Tema 2 seguridad_en_redes

C
Comdat4
1 de 28
Descargar para leer sin conexión
Principales Componentes y Vulnerabilidades de una red de información. Consideraciones de seguridad para cada componente Taller Práctico: Implementación de una Red con Criterios de Seguridad 1 Tipos de Ataques PASIVO: No altera la funcionalidad, sólo escucha y transmite. ACTIVO: Modificación del flujo de datos transmitido o generación de uno falso. Pueden ser: • Interrupción • Intercepción • Modificación • Fabricación • Destrucción
Tipos de Ataques ! " # $ % 4
! 5 ! Existen una serie de recursos de hardware y software que componen una red de información y que son necesarios analizar para implementar seguridad: Firewall Hubs Router Switch IDS / IPS Proxy Honey Pots Servidores de Archivos Servidores de Usuarios Servidores de Correo 6 &
! • Servidores de Base de datos • Servidores Web • Impresoras • Puestos de usuarios • Sistemas Operativos • Bases de Datos • Servicios de conexión • Biometria • Tokens • Smart Cards • Telefonía • Wireless 7 ! • VPN • Encriptación • Terminal Server • Acceso Remoto • Lectoras • Palms • Notebooks 8 '
) $ 9 * LAN = Local Area Network MAN = Metropolitan Area Network CAN = Campus Area Network WAN = Wide Area Network 10 (
* LAN = Local Area Network Red que es utilizada por los usuarios de una red. Conjunto de recursos informáticos interrelacionados sobre los que se tiene la administración. Red compuesta por servidores y recursos que sólo pueden ser accedidos desde una oficina. También denominada Red Privada. 11 * LAN = Local Area Network 12 +
* MAN = Metropolitan Area Network Red que une edificios o redes LAN dentro de la misma ciudad. Es una red que unifica los recursos distribuídos. 13 * CAN = Campus Area Network Esta denominación es otorgada normalmente a las redes de las Universidades que ocupan grandes terrenos y tiene sus redes LAN distribuidas en edificios alrededor del edificio central. UNIVERSITY UNIVERSITY FDDI 14
* WAN = Wide Area Network Red de grandes distancias que para poder usar sus recursos usamos resolución de dirección DNS (www.dominio.com.ar) Red utilizada para interconectar redes LAN 15 * - Manera de distribuir físicamente una red Puede ser : Bus o Lineal 10base2 10base5 Ring o Anillo Token Ring 16baseT 10baseT 100baseT 16 ,
* - • Combinando topologías Concentrador Concentrador Concentrador 17 Las equipos en red se comunican entre sí y para ello usan el MAC Adress para identificarse. Los equipos pueden comunicarse usando comunicación: Simple Half Duplex Full Duplex La velocidad de transmisión se mide en Megabits, una red puede ser de 10, 16, 100 y 1024 Mbs. El protocolo define como deben comunicarse entre ellas. Se basa en el modelo OSI de 7 capas. 18
Los protocolos pueden ser: TCP/IP IPX/SPX Netbeui NO routeable DLC Apple Talk La difusion en la red puede ser: Broadcast Point to Point Multiple Hybrid 19 TCP/IP Protocolo estándar de red. Posee los siguientes elementos para comunicarse: IP Puerto Comunicación TCP/UDP Versión 6 permite encriptación de la trama. 20
OSI TCP/IP 7 Aplicación Sistema Operativo Local: UNIX, DOS, ... 6 Presentación Name FTP TELNET SMTP LPR Resolution SNMP TFTP 5 Sesión 4 Transporte TCP UDP ICMP ARP EGP RIP OSPF 3 Red IP Ethernet Data 802.3 802.4 802.5 2 Enlace FDDI Link Control CSMA/CD Token Bus Token Ring 1 Físico Par trenzado, coaxial o fibra óptica 21 Nivel de Transporte Nivel encargado de segmentar y reensamblar los paquetes que contienen la información Reenvío de paquetes perdidos 22
TCP: Transmission Control Protocol Control de flujo y de errores Los enlaces de múltiples aplicaciones de un mismo nodo se diferencian por el valor del puerto Cada proceso de una aplicación se define por una dirección IP y un número de puerto UDP: User Data Protocol Protocolo sin conexión El control de errores lo realizan las aplicaciones 23 Secuencia de apertura TCP/IP Conocida como comunicación de 3 vías o pasos Host A Host B Envía SYN (seq=x) Recibe SYN (seq=x) Envia SYN (seq=y), ACK (ack=x+1) Recibe SYN (seq=y), ACK (ack=x+1) Envía ACK (ack=y+1) Recibe ACK (ack=y+1) 24
ICMP (Internet Control Message Protocol) Es B A B Sí, yo accesible estoy aquí ICMP Echo Request ICMP Echo Reply 25 ARP (Protocolo de resolución direcciones) Necesito la 172.16.3.2 Esta es mi 172.16.3.1 dirección MAC dirección MAC de 172.16.3.2 IP: 172.16.3.2=??? IP: 172.16.3.2=00-19-07-d5-2f-fc 26 &
Direccionamiento IP Existen 5 clases distintas de redes IP: A, B, C, D y E Las direcciones IP son administradas por el NIC (Network Information Center) electronic mail: nic@nic.ddn.mil El NIC también es el depositorio de los RFC (Request For Comment) Regla del primer octeto: 1-126 CLASE A 128-191 CLASE B 192-223 CLASE C Cada dispositivo o interface debe tener una dirección de nodo distinta de 0 0 significa dirección de red 27 # $ " ! % '
! . $ " 29 ! . $ " Hubs Concentradores de red. Red bus – estrella. Todo el tráfico para cada estación es enviado a todos. Tráfico por difusión. 30 (
! . $ " Switch o conmutador Concentrador de red “inteligente” Almacena el Mac Adress de cada estación. El tráfico es enviado al destinatario unicamente a menos que tenga la forma 255.255.255.255. Separa dominios de colisión. Switches vs bridges Concepto de Vlans 31 ! . $ " Tipos de conmutación Conmutación Simétrica (cuando las bocas del dispositivo poseen la misma velocidad de transmisión) Conmutación Asimétrica (cuando las bocas del dispositivo poseen distintas velocidades de transmisión) 32 +
! . $ " Métodos de conmutación Almacenamiento y Reenvío Se recibe el Frame y se lo almacena en un buffer Luego se analiza la dirección de destino Se compara con las tablas de direcciones MAC Se realiza la microconmutación Técnicas de Buffering Basado en Puerto (cada puerto del dispositivo posee un buffer propio) Compartido (existe un solo buffer de memoria para todos los puertos) 33 ! . $ " Router Permite unir dos redes LAN con el mismo protocolo pero con diferente configuración. Algunos permiten filtrar el contenido. 34
! . $ " Router 172.16.200.1 10.1.1.1 E0 E1 172.16.3.10 10.250.8.11 172.16.12.12 10.180.30.118 172.16.2.1 10.6.24.2 Tabla de routing 172.16 . 12.12 Red Interface Red Host 172.16.0.0 E0 10.0.0.0 E1 35 ! . $ " Firewall • Se denomina Bastión al dispositivo o servidor que aísla dos redes mediante dos placas de red. • Pueden ser externos e internos. • Implementación de reglas seguras (origen y destino por IP adress, tcp/udp ports, conexiones a/desde hosts y networks). • Monitoreo permanente. • Servicios de filtrado y comunicación. 36 ,
! . $ " Características del Firewall Protege a los sistemas internos de los ataques de otros sistemas de Internet: Protege servicios vulnerables Filtra paquetes Es un lugar ideal para: La monitorización del tráfico Situar un NAT o PAT (Network/Port Address Translator) Localizar servidores WWW y FTP 37 ! . $ " Limitaciones No puede proteger de conexiones a Internet desde dentro de la organización ajenas al propio firewall No pueden proteger de usuarios legítimos o descuidados de la red corporativa No pueden proteger de la transferencia de software o archivos infectados con virus No puede proteger frente a ataques conducidos por datos 38
! . $ " Consideraciones de Implementación • Comportamiento del FW: “Todo lo no específicamente permitido es denegado” “Todo lo no específicamente denegado es permitido ” • Sistemas componentes del FW (uno o más de uno): • Router con filtrado de paquetes • Gateway a nivel de circuito • Gateway a nivel de aplicación (o servidor proxy) 39 ! . $ " Internet Internet Firewall Internal Network Internal Network 40
! . $ " Usa puertos UDP/TCP Politicas de Acceso SMTP TCP 25 Allow DNS UPD 53 HTTP HTTP TCP 80 All Destinations la s R eg Streaming ar Media lic Streaming Ap Media External Network External Network SMTP SMTP Internal Network Internal Network DNS Intrusion Firewall 41 ! . $ " Tipos de Firewall IP Filters (packet filters) – Ventajas: • Son los firewalls más rápidos. • Lo único que hacen es comparar los encabezados IP y TCP o UDP y comparar contra ACLs previamente configuradas. – Desventajas: • Son los firewalls más limitados. • Permiten un análisis hasta capa de transporte. • No detectan paquetes peligrosos a nivel de aplicación. • Cualquier router bien programado puede ser un firewall de este tipo. 42
! . $ " Tipos de Firewall Proxy Firewalls Los Proxy Firewalls se pueden implementar para múltiples servicios aunque el más asociado sea el de HTTP. Los Proxy Firewall generalmente implementan el uso de la técnica de caching para mejorar la performance, pero esto beneficia a pocos servicios, especialmente al servicio de WEB. Ventajas: Estos firewalls analizan los paquetes a nivel de aplicación, permitiendo filtrar aquellos paquetes peligrosos mucho mejor que los IP Filters. Desventajas: Son los firewalls más lentos. Arman dos conexiones TCP o UDP distintas, uno entre el host interno y otro hacia el host externo y rearman el paquete cada vez. 43 ! . $ " Tipos de Firewall Statefulls Son una solución intermedia entre los dos anteriores. Son más rápidos que los Proxy Firewalls ya que no arman dos sesiones y poseen mejor capacidad de análisis que los IP Filters, permitiendo analizar hasta capa siete. Comparan cada paquete para saber si pertenece a una sesión previa o no. 44
! . $ " Otras clasificaciones de Firewalls Los firewalls pueden ser software o hardware (appliances). Algunos tipos de firewalls son servicios que se instalan sobre sistemas operativos multipropósito (Unix, Microsoft, etc.). Checkpoint (www.checkpoint.com) ISA SERVER (www.microsoft.com/ISA). Otros firewalls son cajas cerradas, dispositivos de networking raqueables, que no miden mas de 3 o 4 U, que tienen un software específicamente diseñado para la función que cumplen y carecen de las vulnerabilidades de los S.O. multipropósito. Ejemplos de este tipo de Firewalls son Nokia, Northel o Pix/ASA de Cisco Un caso especial pueden ser aquellos routers que brinden servicios de firewalls. Si bien todos los routers pueden ser packet filters firewalls, algunos tienen capacidades adicionales, como por ejemplo el IOS de Cisco para routers con características de Firewall. Firewalls personales EJ: Zone Alarm, Tiny Personal Firewall y McAfee. 45 ! . $ " Topología de un Firewall Manera de distribuirlos en una red Puede ser DMZ y SubScreened Red 46 &
! . $ " Topología de un Firewall DMZ en Firewall /3 Nic Perimeter Network Perimeter Network Internet Internet Firewall Internal Network Internal Network 47 ! . $ " Topología de un Firewall DMZ con 2 Firewall Perimeter Network Perimeter Network Internet Internet External Firewall Internal Firewall 48 '
! . $ " Topología de un Firewall Intrusion Detection Computer System (IDS) Computer Modem pool LAN Internet Internet DMZ External firew all Internal firew all Internal server Bastion host Computer Web and FTP server 49 ! . $ " Consideraciones en un Firewall Habilitación exclusiva de los servicios necesarios Implementación de reglas seguras origen y destino por IP address tcp/udp ports conexiones a/desde hosts y networks Monitoreo permanente Servicios de filtrado y comunicación Integrar la seguridad con el sistema operativo (que en general es Unix) 50 (
! . $ " IDS – Sistema detector intrusos El servicio de IDS (Intruder Detection System) analiza el tráfico de la red para tratar de detectar patrones sospechosos que indiquen ataques o intenciones de ataques contra algún recurso. Una vez identificados, el IDS puede tomar ciertas medidas contra ese tipo de tráfico, como generar alertas o inclusive bloquear o descartar el tráfico que viene de ese origen. 51 ! . $ " IDS – Sistema detector intrusos Detecta todo tipo de código malicioso en la red. Soluciones de hardware y software. Se los clasifica en: IDS basados en red IDS basados en máquina IDS base del conocimiento IDS basados en comportamiento Algunos ejemplos: Snort, una opción “free” que originalmente fue ideado para plataforma Linux, pero ya funciona bien en Windows. 52 +
! . $ " HoneyPots-HoneyNets Estas “trampas de red” son sistemas que se activan con la finalidad específica de que los expertos en seguridad puedan observar en secreto la actividad de los intrusos. Es un servidor que presenta ciertas vulnerabilidades para “tentar” a intrusos. Mientras los intrusos vulneran el Server, los auditores documentan las nuevas técnicas y con ello se verifica los servidores reales en producción. www.project.honeynet.org. 53 /0 54
! . 1 2 3" 4 55 ,

Recomendados

1. Ingreso a las redes. Protocolos de internet
1. Ingreso a las redes. Protocolos de internet1. Ingreso a las redes. Protocolos de internet
1. Ingreso a las redes. Protocolos de internetEdison Coimbra G.
 
Presentacin Datos Fijos Mpls Tecnica Comercial
Presentacin Datos Fijos Mpls Tecnica ComercialPresentacin Datos Fijos Mpls Tecnica Comercial
Presentacin Datos Fijos Mpls Tecnica Comercialchristian nieto
 
MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3Gianpietro Lavado
 
WiFi6 y más allá
WiFi6 y más alláWiFi6 y más allá
WiFi6 y más alláEducática
 
Ccna 1 chapter 2 v5
Ccna 1 chapter 2 v5Ccna 1 chapter 2 v5
Ccna 1 chapter 2 v5Hipatia Ballesteros Medina
 
X 4 prospeccion
X 4 prospeccionX 4 prospeccion
X 4 prospeccionc09271
 
Mpls
MplsMpls
MplsHumberto Reyes Cobián
 
MPLS: Multiprotocol Label Switching
MPLS: Multiprotocol Label SwitchingMPLS: Multiprotocol Label Switching
MPLS: Multiprotocol Label SwitchingJorge Cortés Alvarez
 

Recomendados

1. Ingreso a las redes. Protocolos de internet
1. Ingreso a las redes. Protocolos de internet1. Ingreso a las redes. Protocolos de internet
1. Ingreso a las redes. Protocolos de internetEdison Coimbra G.
 
Presentacin Datos Fijos Mpls Tecnica Comercial
Presentacin Datos Fijos Mpls Tecnica ComercialPresentacin Datos Fijos Mpls Tecnica Comercial
Presentacin Datos Fijos Mpls Tecnica Comercialchristian nieto
 
MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3Gianpietro Lavado
 
WiFi6 y más allá
WiFi6 y más alláWiFi6 y más allá
WiFi6 y más alláEducática
 
Ccna 1 chapter 2 v5
Ccna 1 chapter 2 v5Ccna 1 chapter 2 v5
Ccna 1 chapter 2 v5Hipatia Ballesteros Medina
 
X 4 prospeccion
X 4 prospeccionX 4 prospeccion
X 4 prospeccionc09271
 
Mpls
MplsMpls
MplsHumberto Reyes Cobián
 
MPLS: Multiprotocol Label Switching
MPLS: Multiprotocol Label SwitchingMPLS: Multiprotocol Label Switching
MPLS: Multiprotocol Label SwitchingJorge Cortés Alvarez
 
Cisco: MPLS en Castellano
Cisco: MPLS en CastellanoCisco: MPLS en Castellano
Cisco: MPLS en CastellanoFundación Proydesa
 
Capa Red
Capa RedCapa Red
Capa RedIsrael Cueva
 
Conceptos basicos de redes
Conceptos basicos de redesConceptos basicos de redes
Conceptos basicos de redesMartín Guzmán
 
Redes grupos de trabajo
Redes grupos de trabajoRedes grupos de trabajo
Redes grupos de trabajoginsteff
 
Examen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoExamen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoCarlos Ceballos
 
Acceso a la WAN: 3. Frame Relay
Acceso a la WAN: 3. Frame RelayAcceso a la WAN: 3. Frame Relay
Acceso a la WAN: 3. Frame RelayFrancesc Perez
 
Txtglosario pamela lopez
Txtglosario pamela lopezTxtglosario pamela lopez
Txtglosario pamela lopezPamelita López
 
Redes
RedesRedes
RedesRemoteSupport
 
Elx1 o1 sistemas de telefonia
Elx1 o1 sistemas de telefoniaElx1 o1 sistemas de telefonia
Elx1 o1 sistemas de telefoniaenriquetcampos.org
 
Metroethernet redes-y-servicios
Metroethernet redes-y-serviciosMetroethernet redes-y-servicios
Metroethernet redes-y-serviciosc09271
 
Txtglosario quishpi mercy
Txtglosario quishpi mercyTxtglosario quishpi mercy
Txtglosario quishpi mercyMercy Johanita
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p11 2d
 
glosario
glosarioglosario
glosarioAlk55
 
Acceso a la WAN: 8.1 Resolución de problemas de red
Acceso a la WAN: 8.1 Resolución de problemas de redAcceso a la WAN: 8.1 Resolución de problemas de red
Acceso a la WAN: 8.1 Resolución de problemas de redFrancesc Perez
 
Glosario
GlosarioGlosario
GlosarioDaniel Valdez
 
Cap3 enlace-ft
Cap3 enlace-ftCap3 enlace-ft
Cap3 enlace-ft1 2d
 
Examen final de redes cisco I
Examen final de redes cisco IExamen final de redes cisco I
Examen final de redes cisco IUniversidad de Guadalajara
 
Presentación1
Presentación1Presentación1
Presentación1Victor Acuña
 
Terminosjocelyne cruz
Terminosjocelyne cruzTerminosjocelyne cruz
Terminosjocelyne cruzjocelynec8
 
Tercer unidad de computacion y redes
Tercer unidad de computacion y redesTercer unidad de computacion y redes
Tercer unidad de computacion y redeslokotelokote
 
Redes de datos 20100518
Redes de datos 20100518Redes de datos 20100518
Redes de datos 20100518lucysantacaba
 
Redes de datos
Redes de datosRedes de datos
Redes de datosMateo Fantoni Añazco
 

Más contenido relacionado

La actualidad más candente

Conceptos basicos de redes
Conceptos basicos de redesConceptos basicos de redes
Conceptos basicos de redesMartín Guzmán
 
Redes grupos de trabajo
Redes grupos de trabajoRedes grupos de trabajo
Redes grupos de trabajoginsteff
 
Examen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoExamen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoCarlos Ceballos
 
Acceso a la WAN: 3. Frame Relay
Acceso a la WAN: 3. Frame RelayAcceso a la WAN: 3. Frame Relay
Acceso a la WAN: 3. Frame RelayFrancesc Perez
 
Txtglosario pamela lopez
Txtglosario pamela lopezTxtglosario pamela lopez
Txtglosario pamela lopezPamelita López
 
Metroethernet redes-y-servicios
Metroethernet redes-y-serviciosMetroethernet redes-y-servicios
Metroethernet redes-y-serviciosc09271
 
Txtglosario quishpi mercy
Txtglosario quishpi mercyTxtglosario quishpi mercy
Txtglosario quishpi mercyMercy Johanita
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p11 2d
 
glosario
glosarioglosario
glosarioAlk55
 
Acceso a la WAN: 8.1 Resolución de problemas de red
Acceso a la WAN: 8.1 Resolución de problemas de redAcceso a la WAN: 8.1 Resolución de problemas de red
Acceso a la WAN: 8.1 Resolución de problemas de redFrancesc Perez
 
Cap3 enlace-ft
Cap3 enlace-ftCap3 enlace-ft
Cap3 enlace-ft1 2d
 
Terminosjocelyne cruz
Terminosjocelyne cruzTerminosjocelyne cruz
Terminosjocelyne cruzjocelynec8
 
Tercer unidad de computacion y redes
Tercer unidad de computacion y redesTercer unidad de computacion y redes
Tercer unidad de computacion y redeslokotelokote
 

La actualidad más candente (20)

Cisco: MPLS en Castellano
Cisco: MPLS en CastellanoCisco: MPLS en Castellano
Cisco: MPLS en Castellano
 
Capa Red
Capa RedCapa Red
Capa Red
 
Conceptos basicos de redes
Conceptos basicos de redesConceptos basicos de redes
Conceptos basicos de redes
 
Redes grupos de trabajo
Redes grupos de trabajoRedes grupos de trabajo
Redes grupos de trabajo
 
Examen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoExamen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De Cisco
 
Acceso a la WAN: 3. Frame Relay
Acceso a la WAN: 3. Frame RelayAcceso a la WAN: 3. Frame Relay
Acceso a la WAN: 3. Frame Relay
 
Txtglosario pamela lopez
Txtglosario pamela lopezTxtglosario pamela lopez
Txtglosario pamela lopez
 
Redes
RedesRedes
Redes
 
Elx1 o1 sistemas de telefonia
Elx1 o1 sistemas de telefoniaElx1 o1 sistemas de telefonia
Elx1 o1 sistemas de telefonia
 
Metroethernet redes-y-servicios
Metroethernet redes-y-serviciosMetroethernet redes-y-servicios
Metroethernet redes-y-servicios
 
Txtglosario quishpi mercy
Txtglosario quishpi mercyTxtglosario quishpi mercy
Txtglosario quishpi mercy
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p1
 
glosario
glosarioglosario
glosario
 
Acceso a la WAN: 8.1 Resolución de problemas de red
Acceso a la WAN: 8.1 Resolución de problemas de redAcceso a la WAN: 8.1 Resolución de problemas de red
Acceso a la WAN: 8.1 Resolución de problemas de red
 
Glosario
GlosarioGlosario
Glosario
 
Cap3 enlace-ft
Cap3 enlace-ftCap3 enlace-ft
Cap3 enlace-ft
 
Examen final de redes cisco I
Examen final de redes cisco IExamen final de redes cisco I
Examen final de redes cisco I
 
Presentación1
Presentación1Presentación1
Presentación1
 
Terminosjocelyne cruz
Terminosjocelyne cruzTerminosjocelyne cruz
Terminosjocelyne cruz
 
Tercer unidad de computacion y redes
Tercer unidad de computacion y redesTercer unidad de computacion y redes
Tercer unidad de computacion y redes
 

Similar a Tema 2 seguridad_en_redes

Redes de datos 20100518
Redes de datos 20100518Redes de datos 20100518
Redes de datos 20100518lucysantacaba
 
Introducción a redes lan
Introducción a redes lanIntroducción a redes lan
Introducción a redes lanJose Ayala
 
La familia de protocolos TCP/IP
La familia de protocolos TCP/IPLa familia de protocolos TCP/IP
La familia de protocolos TCP/IPaamancera
 
Internet orígenes,evolucion.
Internet orígenes,evolucion.Internet orígenes,evolucion.
Internet orígenes,evolucion.klever95
 
Mantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasMantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasCristian Sierra
 
Instituto universitario de tecnología electiva I
Instituto universitario de tecnología electiva I Instituto universitario de tecnología electiva I
Instituto universitario de tecnología electiva I Yovany Altamira
 
Administraciónderedes
AdministraciónderedesAdministraciónderedes
Administraciónderedesdeysiguevara
 
Modelo tcp ip
Modelo tcp ipModelo tcp ip
Modelo tcp ipwsar85
 
Redes Cap9
Redes Cap9Redes Cap9
Redes Cap9CJAO
 
UCQ - Redes de Computadoras II - Presentación 03
UCQ - Redes de Computadoras II - Presentación 03UCQ - Redes de Computadoras II - Presentación 03
UCQ - Redes de Computadoras II - Presentación 03Giovanni Orozco
 
Introducción a Redes
Introducción a RedesIntroducción a Redes
Introducción a RedesNestor Traña
 
Conceptos de redes (capas de red protocolos)
Conceptos de redes (capas de red protocolos)Conceptos de redes (capas de red protocolos)
Conceptos de redes (capas de red protocolos)jr_palaciosg
 

Similar a Tema 2 seguridad_en_redes (20)

Redes de datos 20100518
Redes de datos 20100518Redes de datos 20100518
Redes de datos 20100518
 
Redes de datos
Redes de datosRedes de datos
Redes de datos
 
Introducción a redes lan
Introducción a redes lanIntroducción a redes lan
Introducción a redes lan
 
La familia de protocolos TCP/IP
La familia de protocolos TCP/IPLa familia de protocolos TCP/IP
La familia de protocolos TCP/IP
 
Tcp ip vs osi
Tcp ip vs osiTcp ip vs osi
Tcp ip vs osi
 
Heidy alvarado.subredes
Heidy alvarado.subredesHeidy alvarado.subredes
Heidy alvarado.subredes
 
La Comunicación Digital
La Comunicación DigitalLa Comunicación Digital
La Comunicación Digital
 
Internet orígenes,evolucion.
Internet orígenes,evolucion.Internet orígenes,evolucion.
Internet orígenes,evolucion.
 
Mantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasMantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes Electricas
 
Instituto universitario de tecnología electiva I
Instituto universitario de tecnología electiva I Instituto universitario de tecnología electiva I
Instituto universitario de tecnología electiva I
 
Tcp redes
Tcp redesTcp redes
Tcp redes
 
Administraciónderedes
AdministraciónderedesAdministraciónderedes
Administraciónderedes
 
Protocolos de Internet
Protocolos de InternetProtocolos de Internet
Protocolos de Internet
 
Modelo tcp ip
Modelo tcp ipModelo tcp ip
Modelo tcp ip
 
Redes y
Redes yRedes y
Redes y
 
Redes Cap9
Redes Cap9Redes Cap9
Redes Cap9
 
UCQ - Redes de Computadoras II - Presentación 03
UCQ - Redes de Computadoras II - Presentación 03UCQ - Redes de Computadoras II - Presentación 03
UCQ - Redes de Computadoras II - Presentación 03
 
Redes
RedesRedes
Redes
 
Introducción a Redes
Introducción a RedesIntroducción a Redes
Introducción a Redes
 
Conceptos de redes (capas de red protocolos)
Conceptos de redes (capas de red protocolos)Conceptos de redes (capas de red protocolos)
Conceptos de redes (capas de red protocolos)
 

Más de Comdat4

Tema 2 seguridad_en_redes
Tema 2 seguridad_en_redesTema 2 seguridad_en_redes
Tema 2 seguridad_en_redesComdat4
 
02 redes
02 redes02 redes
02 redesComdat4
 
Criptoy sr son06
Criptoy sr son06Criptoy sr son06
Criptoy sr son06Comdat4
 
Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Comdat4
 
TEoria_de_CoLAS
TEoria_de_CoLASTEoria_de_CoLAS
TEoria_de_CoLASComdat4
 
Control de Congestion
Control de CongestionControl de Congestion
Control de CongestionComdat4
 
Analisis de rendimiento de red
Analisis de rendimiento de redAnalisis de rendimiento de red
Analisis de rendimiento de redComdat4
 
Teoria de Colas
Teoria de ColasTeoria de Colas
Teoria de ColasComdat4
 
Enrutamiento
EnrutamientoEnrutamiento
EnrutamientoComdat4
 
Redes Conmutadas
Redes ConmutadasRedes Conmutadas
Redes ConmutadasComdat4
 
Conmutacion
ConmutacionConmutacion
ConmutacionComdat4
 
Osiversustcpip
OsiversustcpipOsiversustcpip
OsiversustcpipComdat4
 
ProtoColo tcp_ip
ProtoColo tcp_ipProtoColo tcp_ip
ProtoColo tcp_ipComdat4
 
protocolo TCP/IP
protocolo TCP/IPprotocolo TCP/IP
protocolo TCP/IPComdat4
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSIComdat4
 
OSI vs. TCP/IP
OSI vs. TCP/IPOSI vs. TCP/IP
OSI vs. TCP/IPComdat4
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSIComdat4
 
Enlace datos
Enlace datosEnlace datos
Enlace datosComdat4
 

Más de Comdat4 (20)

Tema 2 seguridad_en_redes
Tema 2 seguridad_en_redesTema 2 seguridad_en_redes
Tema 2 seguridad_en_redes
 
02 redes
02 redes02 redes
02 redes
 
Criptoy sr son06
Criptoy sr son06Criptoy sr son06
Criptoy sr son06
 
Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]
 
TEoria_de_CoLAS
TEoria_de_CoLASTEoria_de_CoLAS
TEoria_de_CoLAS
 
Control de Congestion
Control de CongestionControl de Congestion
Control de Congestion
 
Analisis de rendimiento de red
Analisis de rendimiento de redAnalisis de rendimiento de red
Analisis de rendimiento de red
 
Teoria de Colas
Teoria de ColasTeoria de Colas
Teoria de Colas
 
Enrutamiento
EnrutamientoEnrutamiento
Enrutamiento
 
Redes Conmutadas
Redes ConmutadasRedes Conmutadas
Redes Conmutadas
 
Conmutacion
ConmutacionConmutacion
Conmutacion
 
Osiversustcpip
OsiversustcpipOsiversustcpip
Osiversustcpip
 
TCP IP
TCP IPTCP IP
TCP IP
 
ProtoColo tcp_ip
ProtoColo tcp_ipProtoColo tcp_ip
ProtoColo tcp_ip
 
TCP/IP
TCP/IPTCP/IP
TCP/IP
 
protocolo TCP/IP
protocolo TCP/IPprotocolo TCP/IP
protocolo TCP/IP
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSI
 
OSI vs. TCP/IP
OSI vs. TCP/IPOSI vs. TCP/IP
OSI vs. TCP/IP
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSI
 
Enlace datos
Enlace datosEnlace datos
Enlace datos
 

Tema 2 seguridad_en_redes

  • 1. Principales Componentes y Vulnerabilidades de una red de información. Consideraciones de seguridad para cada componente Taller Práctico: Implementación de una Red con Criterios de Seguridad 1 Tipos de Ataques PASIVO: No altera la funcionalidad, sólo escucha y transmite. ACTIVO: Modificación del flujo de datos transmitido o generación de uno falso. Pueden ser: • Interrupción • Intercepción • Modificación • Fabricación • Destrucción
  • 2. Tipos de Ataques ! " # $ % 4
  • 3. ! 5 ! Existen una serie de recursos de hardware y software que componen una red de información y que son necesarios analizar para implementar seguridad: Firewall Hubs Router Switch IDS / IPS Proxy Honey Pots Servidores de Archivos Servidores de Usuarios Servidores de Correo 6 &
  • 4. ! • Servidores de Base de datos • Servidores Web • Impresoras • Puestos de usuarios • Sistemas Operativos • Bases de Datos • Servicios de conexión • Biometria • Tokens • Smart Cards • Telefonía • Wireless 7 ! • VPN • Encriptación • Terminal Server • Acceso Remoto • Lectoras • Palms • Notebooks 8 '
  • 5. ) $ 9 * LAN = Local Area Network MAN = Metropolitan Area Network CAN = Campus Area Network WAN = Wide Area Network 10 (
  • 6. * LAN = Local Area Network Red que es utilizada por los usuarios de una red. Conjunto de recursos informáticos interrelacionados sobre los que se tiene la administración. Red compuesta por servidores y recursos que sólo pueden ser accedidos desde una oficina. También denominada Red Privada. 11 * LAN = Local Area Network 12 +
  • 7. * MAN = Metropolitan Area Network Red que une edificios o redes LAN dentro de la misma ciudad. Es una red que unifica los recursos distribuídos. 13 * CAN = Campus Area Network Esta denominación es otorgada normalmente a las redes de las Universidades que ocupan grandes terrenos y tiene sus redes LAN distribuidas en edificios alrededor del edificio central. UNIVERSITY UNIVERSITY FDDI 14
  • 8. * WAN = Wide Area Network Red de grandes distancias que para poder usar sus recursos usamos resolución de dirección DNS (www.dominio.com.ar) Red utilizada para interconectar redes LAN 15 * - Manera de distribuir físicamente una red Puede ser : Bus o Lineal 10base2 10base5 Ring o Anillo Token Ring 16baseT 10baseT 100baseT 16 ,
  • 9. * - • Combinando topologías Concentrador Concentrador Concentrador 17 Las equipos en red se comunican entre sí y para ello usan el MAC Adress para identificarse. Los equipos pueden comunicarse usando comunicación: Simple Half Duplex Full Duplex La velocidad de transmisión se mide en Megabits, una red puede ser de 10, 16, 100 y 1024 Mbs. El protocolo define como deben comunicarse entre ellas. Se basa en el modelo OSI de 7 capas. 18
  • 10. Los protocolos pueden ser: TCP/IP IPX/SPX Netbeui NO routeable DLC Apple Talk La difusion en la red puede ser: Broadcast Point to Point Multiple Hybrid 19 TCP/IP Protocolo estándar de red. Posee los siguientes elementos para comunicarse: IP Puerto Comunicación TCP/UDP Versión 6 permite encriptación de la trama. 20
  • 11. OSI TCP/IP 7 Aplicación Sistema Operativo Local: UNIX, DOS, ... 6 Presentación Name FTP TELNET SMTP LPR Resolution SNMP TFTP 5 Sesión 4 Transporte TCP UDP ICMP ARP EGP RIP OSPF 3 Red IP Ethernet Data 802.3 802.4 802.5 2 Enlace FDDI Link Control CSMA/CD Token Bus Token Ring 1 Físico Par trenzado, coaxial o fibra óptica 21 Nivel de Transporte Nivel encargado de segmentar y reensamblar los paquetes que contienen la información Reenvío de paquetes perdidos 22
  • 12. TCP: Transmission Control Protocol Control de flujo y de errores Los enlaces de múltiples aplicaciones de un mismo nodo se diferencian por el valor del puerto Cada proceso de una aplicación se define por una dirección IP y un número de puerto UDP: User Data Protocol Protocolo sin conexión El control de errores lo realizan las aplicaciones 23 Secuencia de apertura TCP/IP Conocida como comunicación de 3 vías o pasos Host A Host B Envía SYN (seq=x) Recibe SYN (seq=x) Envia SYN (seq=y), ACK (ack=x+1) Recibe SYN (seq=y), ACK (ack=x+1) Envía ACK (ack=y+1) Recibe ACK (ack=y+1) 24
  • 13. ICMP (Internet Control Message Protocol) Es B A B Sí, yo accesible estoy aquí ICMP Echo Request ICMP Echo Reply 25 ARP (Protocolo de resolución direcciones) Necesito la 172.16.3.2 Esta es mi 172.16.3.1 dirección MAC dirección MAC de 172.16.3.2 IP: 172.16.3.2=??? IP: 172.16.3.2=00-19-07-d5-2f-fc 26 &
  • 14. Direccionamiento IP Existen 5 clases distintas de redes IP: A, B, C, D y E Las direcciones IP son administradas por el NIC (Network Information Center) electronic mail: nic@nic.ddn.mil El NIC también es el depositorio de los RFC (Request For Comment) Regla del primer octeto: 1-126 CLASE A 128-191 CLASE B 192-223 CLASE C Cada dispositivo o interface debe tener una dirección de nodo distinta de 0 0 significa dirección de red 27 # $ " ! % '
  • 15. ! . $ " 29 ! . $ " Hubs Concentradores de red. Red bus – estrella. Todo el tráfico para cada estación es enviado a todos. Tráfico por difusión. 30 (
  • 16. ! . $ " Switch o conmutador Concentrador de red “inteligente” Almacena el Mac Adress de cada estación. El tráfico es enviado al destinatario unicamente a menos que tenga la forma 255.255.255.255. Separa dominios de colisión. Switches vs bridges Concepto de Vlans 31 ! . $ " Tipos de conmutación Conmutación Simétrica (cuando las bocas del dispositivo poseen la misma velocidad de transmisión) Conmutación Asimétrica (cuando las bocas del dispositivo poseen distintas velocidades de transmisión) 32 +
  • 17. ! . $ " Métodos de conmutación Almacenamiento y Reenvío Se recibe el Frame y se lo almacena en un buffer Luego se analiza la dirección de destino Se compara con las tablas de direcciones MAC Se realiza la microconmutación Técnicas de Buffering Basado en Puerto (cada puerto del dispositivo posee un buffer propio) Compartido (existe un solo buffer de memoria para todos los puertos) 33 ! . $ " Router Permite unir dos redes LAN con el mismo protocolo pero con diferente configuración. Algunos permiten filtrar el contenido. 34
  • 18. ! . $ " Router 172.16.200.1 10.1.1.1 E0 E1 172.16.3.10 10.250.8.11 172.16.12.12 10.180.30.118 172.16.2.1 10.6.24.2 Tabla de routing 172.16 . 12.12 Red Interface Red Host 172.16.0.0 E0 10.0.0.0 E1 35 ! . $ " Firewall • Se denomina Bastión al dispositivo o servidor que aísla dos redes mediante dos placas de red. • Pueden ser externos e internos. • Implementación de reglas seguras (origen y destino por IP adress, tcp/udp ports, conexiones a/desde hosts y networks). • Monitoreo permanente. • Servicios de filtrado y comunicación. 36 ,
  • 19. ! . $ " Características del Firewall Protege a los sistemas internos de los ataques de otros sistemas de Internet: Protege servicios vulnerables Filtra paquetes Es un lugar ideal para: La monitorización del tráfico Situar un NAT o PAT (Network/Port Address Translator) Localizar servidores WWW y FTP 37 ! . $ " Limitaciones No puede proteger de conexiones a Internet desde dentro de la organización ajenas al propio firewall No pueden proteger de usuarios legítimos o descuidados de la red corporativa No pueden proteger de la transferencia de software o archivos infectados con virus No puede proteger frente a ataques conducidos por datos 38
  • 20. ! . $ " Consideraciones de Implementación • Comportamiento del FW: “Todo lo no específicamente permitido es denegado” “Todo lo no específicamente denegado es permitido ” • Sistemas componentes del FW (uno o más de uno): • Router con filtrado de paquetes • Gateway a nivel de circuito • Gateway a nivel de aplicación (o servidor proxy) 39 ! . $ " Internet Internet Firewall Internal Network Internal Network 40
  • 21. ! . $ " Usa puertos UDP/TCP Politicas de Acceso SMTP TCP 25 Allow DNS UPD 53 HTTP HTTP TCP 80 All Destinations la s R eg Streaming ar Media lic Streaming Ap Media External Network External Network SMTP SMTP Internal Network Internal Network DNS Intrusion Firewall 41 ! . $ " Tipos de Firewall IP Filters (packet filters) – Ventajas: • Son los firewalls más rápidos. • Lo único que hacen es comparar los encabezados IP y TCP o UDP y comparar contra ACLs previamente configuradas. – Desventajas: • Son los firewalls más limitados. • Permiten un análisis hasta capa de transporte. • No detectan paquetes peligrosos a nivel de aplicación. • Cualquier router bien programado puede ser un firewall de este tipo. 42
  • 22. ! . $ " Tipos de Firewall Proxy Firewalls Los Proxy Firewalls se pueden implementar para múltiples servicios aunque el más asociado sea el de HTTP. Los Proxy Firewall generalmente implementan el uso de la técnica de caching para mejorar la performance, pero esto beneficia a pocos servicios, especialmente al servicio de WEB. Ventajas: Estos firewalls analizan los paquetes a nivel de aplicación, permitiendo filtrar aquellos paquetes peligrosos mucho mejor que los IP Filters. Desventajas: Son los firewalls más lentos. Arman dos conexiones TCP o UDP distintas, uno entre el host interno y otro hacia el host externo y rearman el paquete cada vez. 43 ! . $ " Tipos de Firewall Statefulls Son una solución intermedia entre los dos anteriores. Son más rápidos que los Proxy Firewalls ya que no arman dos sesiones y poseen mejor capacidad de análisis que los IP Filters, permitiendo analizar hasta capa siete. Comparan cada paquete para saber si pertenece a una sesión previa o no. 44
  • 23. ! . $ " Otras clasificaciones de Firewalls Los firewalls pueden ser software o hardware (appliances). Algunos tipos de firewalls son servicios que se instalan sobre sistemas operativos multipropósito (Unix, Microsoft, etc.). Checkpoint (www.checkpoint.com) ISA SERVER (www.microsoft.com/ISA). Otros firewalls son cajas cerradas, dispositivos de networking raqueables, que no miden mas de 3 o 4 U, que tienen un software específicamente diseñado para la función que cumplen y carecen de las vulnerabilidades de los S.O. multipropósito. Ejemplos de este tipo de Firewalls son Nokia, Northel o Pix/ASA de Cisco Un caso especial pueden ser aquellos routers que brinden servicios de firewalls. Si bien todos los routers pueden ser packet filters firewalls, algunos tienen capacidades adicionales, como por ejemplo el IOS de Cisco para routers con características de Firewall. Firewalls personales EJ: Zone Alarm, Tiny Personal Firewall y McAfee. 45 ! . $ " Topología de un Firewall Manera de distribuirlos en una red Puede ser DMZ y SubScreened Red 46 &
  • 24. ! . $ " Topología de un Firewall DMZ en Firewall /3 Nic Perimeter Network Perimeter Network Internet Internet Firewall Internal Network Internal Network 47 ! . $ " Topología de un Firewall DMZ con 2 Firewall Perimeter Network Perimeter Network Internet Internet External Firewall Internal Firewall 48 '
  • 25. ! . $ " Topología de un Firewall Intrusion Detection Computer System (IDS) Computer Modem pool LAN Internet Internet DMZ External firew all Internal firew all Internal server Bastion host Computer Web and FTP server 49 ! . $ " Consideraciones en un Firewall Habilitación exclusiva de los servicios necesarios Implementación de reglas seguras origen y destino por IP address tcp/udp ports conexiones a/desde hosts y networks Monitoreo permanente Servicios de filtrado y comunicación Integrar la seguridad con el sistema operativo (que en general es Unix) 50 (
  • 26. ! . $ " IDS – Sistema detector intrusos El servicio de IDS (Intruder Detection System) analiza el tráfico de la red para tratar de detectar patrones sospechosos que indiquen ataques o intenciones de ataques contra algún recurso. Una vez identificados, el IDS puede tomar ciertas medidas contra ese tipo de tráfico, como generar alertas o inclusive bloquear o descartar el tráfico que viene de ese origen. 51 ! . $ " IDS – Sistema detector intrusos Detecta todo tipo de código malicioso en la red. Soluciones de hardware y software. Se los clasifica en: IDS basados en red IDS basados en máquina IDS base del conocimiento IDS basados en comportamiento Algunos ejemplos: Snort, una opción “free” que originalmente fue ideado para plataforma Linux, pero ya funciona bien en Windows. 52 +
  • 27. ! . $ " HoneyPots-HoneyNets Estas “trampas de red” son sistemas que se activan con la finalidad específica de que los expertos en seguridad puedan observar en secreto la actividad de los intrusos. Es un servidor que presenta ciertas vulnerabilidades para “tentar” a intrusos. Mientras los intrusos vulneran el Server, los auditores documentan las nuevas técnicas y con ello se verifica los servidores reales en producción. www.project.honeynet.org. 53 /0 54
  • 28. ! . 1 2 3" 4 55 ,