SEGURIDAD DE REDES

“INTRODUCCIÓN A LA SEGURIDAD INFORMATICA Y DE LA INFORMACION” Módulo II:

ELEMENTOS DE NETWORKING  Y SEGURIDAD DE REDES GISI – IEEE – UTN (FRC)

MODELO OSI Y PILA TCP/IP

Consideraciones de Seguridad Seguridad de Red Perimetral: Protección Prote cción frente a ataques ataques que proceden proceden de fuera fuera de la red. Contramedidas: Filtrado de Tráfico (Firewall, Antispam, AV Perimetral) Autenticación DMZ (Zona Desmilitarizada) Seguridad de Red Interna: Protección Prote cción frent frente e a ataque ataques s que que proceden proceden de dentro dentro de la red. Contramedidas: Seguridad en la Intranet (Segmentación, Aislamiento de Redes y VLANs, IDS/IPS, Log’s) Seguridad Local (SO, Aplicaciones, AV, Master Hard y Soft)

Conmutación LAN La conmuta conmutación ción LAN LAN está dad dada a por dispos dispositivo itivos s de capa 2 (BRIDG (BRIDGE E o SWITCH). SWITCH). Los dispositivos de capas 2 , leen las tramas que son transmitidas en un segmento LAN, y las retransmiten a los demás segmentos sólo si esto es necesario. MECANISMO DE LA CONMUTACION LAN Se crean segmentos segmentos de de red dedicados dedicados (conexiones (conexiones punto punto a punto) y conecta esos esos segmentos segmen tos en una red virtual virtual dentro dentro del switch. Este circuito circuito de red virtual existe existe sólo cuando dos nodos necesitan comunicarse. Es por eso que se lo denomina circuito virtual virtual – existe sólo cuando cuando es necesario necesario y se establece establece dentro del del switch TABLA MAC Los dispositivos de capa 2 (BRIDGE o SWITCH) toman sus decisiones basadas en una tabla donde asocian cada dirección MAC de la red a una interfaz (donde se encuentra conectada). Luego, cuando reciben una trama, leen el encabezado para conocer la dirección MAC destino de la trama. De acuerdo a la dirección destino sele se lecc ccio iona nará rá el pu puer erto to po porr el el que que la

Ventaja de la Conmutación: Segmentación Evita congestión. Un switch LAN permite a muchos usuarios comunicarse en paralelo mediante el uso de circuitos virtuales y segmentos de red dedicados en un entorno libre de colisión. Esto maximiza el ancho de banda disponible para cada estación de un segmento.

Segmentación: Segmenta ción: Dominios de Colisión Los dominios de colisión involucran todas las estaciones, dispositivos y medios que forman un segmento donde pueden ocurrir colisiones.

Segmentación de Dominios de Colisión: SWITCH

Segmentación: Dominios de Broadcast . Un dominio de broadcast esta es tará rá de defi fini nido do por por tod todos os los los medios, estaciones y dispositivos que compartirán broa br oadc dca asts de ca capa 2 (uno de los nodos del dominio envía un mensaje y el resto de los nodos de ese domin dominio io lo recibe).

Segmentación de Domi Do mini nios os de Br Broa oadc dcas ast: t: ROUTER 

Segmentación: Repaso Dominios de colisión versus dominios de broadcast:

Segmentación: Repaso Dominio Domi nios s de colisió colisión n versus versus domini dominios os de bro broadc adcast: ast:

Segmentación: Repaso Dominio Domi nios s de colisió colisión n versus versus domini dominios os de bro broadc adcast: ast:

Segmentación: Repaso Dominio Domi nios s de colisió colisión n versus versus domini dominios os de bro broadc adcast: ast:

Equipos de Red: Resumen Hub

Capa del Modelo OSI en que trabaja

Divide o dedica el Ancho de Banda a c/ conexión Divide Dominios de Colis Col isió ión n (S (SII o NO) NO) Divide Dominios de Broad Br oadca casts sts (S (SII o NO) NO) Conecta distintas tecnologías de la Capa Inferior (SI o NO)

Switch

Puente

Router

Equipos de Red: Resumen Hub

Switch

Puente

Router

2 (Enlace de Datos)

2 (Enlace de Datos)

3 (Red)

. Capa del Modelo OSI en 1 (Física) que trabaja Divide o dedica el Ancho de Banda a c/ conexión

DIVIDE

DEDICA

DEDICA

DEDICA

Divide Dominios de Colisión

NO

SI

SI

SI

Divide Dominios de Broadcasts

NO

NO

NO

SI

Conecta distintas tecnologías de la Capa Inferior

NO

NO

SI

SI

VLAN’S Una Un a LAN VIR VIRTUA TUAL L (o VLA VLAN N por Vir Virtua tuall LAN LAN)) es un una a agr agrupa upació ción n lóg lógica ica de dispositivos o estaciones independiente de su ubicación física.

CADA VLAN ES UN DOMINIO DE BROADCAST DIFERENTE: Segmentan lógic ló gicam amen ente te la in infra fraes estru tructu ctura ra fís física ica de la LA LAN N en sub subre rede des s di difer feren entes tes (d (dom omini inios os de broadca bro adcast st para Ethe Etherne rnet) t) de de modo modo que los fram frames es de broad broadcast cast sólo se conm conmutan utan entr entre e puertos de la misma VLAN. No necesariamente, estos dispositivos o estaciones estarán conectados al mismo

VLAN’S Diferencias entre VLANs y redes LAN conmutadas: • Las VLANs funcionan a nivel de Capa 2 y Capa 3 del modelo de referencia OSI, mientras que las LAN conmutadas sólo funcionan en la capa 2. • La comunicación entre las VLANs es implementada por el enrutamiento de Capa 3. • Las VLANs proporcionan un método para controlar los broadcasts de red, las LAN conmutadas no realizan ningún control de broadcast. • El administrador de la red asigna usuarios a una VLAN, en las LAN conmutadas todos los usuarios se encuentran en la misma red.

VLANs pueden aumentar la • Las seguridad de la red, definiendo cuáles son los nodos de red que se pueden comunicar entre sí.

VLAN’S EJEMPLO: Se tienen dos VLAN (1 y 2) definidas en un switch: 1- Si estación estación A en la VLAN1 envía envía un paquete broadcas broadcast... t... 2- El swit switch ch lo lo envia enviará rá sol solo o a las las esta estacio ciones nes de su su propia propia VLA VLAN N (esta (estacion ciones es C,D,E y H). 3- Si estación F en la VLAN 2 envía un paquete a una estación de otra VLAN (estación A en la VLAN 1), y... 4- si el switc switch h no conoci conociera era donde donde está está dic dicha ha estaci estación. ón... .. 5- Ha Hará rá br broad oadca cast st pe pero ro solo solo a las las estac estacion iones es B y G de de la mis misma ma VLA VLAN, N, y co como mo la estac estación ión no no está en la mism misma a VLAN, VLAN, el paque paquete te no llegar llegará á a destin destino. o.

VLAN VL AN’S ’S:: En Enla lace ces s Tr Trun unki king ng Las VLANs no necesariamente se encuentran en un solo switch, sino que se pueden crear VLANs distribuidas a lo largo de varios switches. Esto se logra interconectando los switches mediante enlaces VLAN Trunking. Estos enlaces transportan la información de todas las VLANs entre los switches.

En la figura, la VLAN de un switch se extiende, a trav és del enlace Trunk, al otro. Así , un broadcast enviado por una estación conectada al primer switch y perteneciente a dicha VLAN, llegará a las estaciones conectadas al segundo switch pertenecientes también a dicha VLAN.

VLAN’S: Router’s y VLAN’s Para interconec interconectar tar las VLANs, es necesario necesario utilizar utilizar dispositivos dispositivos de capa 3 (routers) que realizará el enrutamiento de los paquetes entre una VLAN y otra. El router hará su actividad normal si tiene una interfaz física conectada a cada VLAN. En caso de utilizar trunk, en el router se crearán interfaces virtuales, una por cada VLAN. A cada cada interfaz interfaz virtual virtual se le asignará asignará una direcció dirección n IP. Además de realizar el enrutamiento, en estos dispositivos podremos aplicar las políticas de seguridad a cada grupo de usuarios (VLAN) ( VLAN) que necesitemos.

IDS Los Detectores de Intrusos (o IDS) proporcionan seguridad a la red interna protegiéndola de ataques y amenazas tanto internas como externas. Rea eali liza zan n un un aná anállis isis is on on-l -lin ine e de dell tr tráfi fic co y pu pued eden en tomar medidas sobre los paquetes y flujos que violan las normas de seguridad configuradas o representan una actividad malintencionada contra la red: los IDS pueden responder en form fo rma a aut autom omát átic ica a a la las s ame amena naz zas de ho host sts s internos o externos.

IDS: Relación entre IDS y Firewall

IDS NIDS (Network Intrusion Detection System) Detecta los paquetes armados maliciosamente y diseñados para no se ser de detectados por los cort rtaf afue uego gos. s. Con onst sta a de un se sens nsor or si situ tuad ado o en un . co segm se gmen ento to de la re red d y un una a co cons nsol ola. a. Ventaja: No se req requi uier ere e in inst stal alar ar so soft ftwa ware re en en nin ningú gún n se serv rvid idor or.. Inconveniente: Es local al segmento. No puede procesar información cifrada.

HIDS (Host Intrusion Detection System) Anal An aliz iza a el tr tráf áfic ico o so sobr bre e un se serv rvid idor or.. Ventajas: Regist Reg istra ra com comando andos s util utiliza izados dos.. Es más fia fiable ble,, may mayor  or  probabilidad   probabilidad  de acierto que NIDS.

Seguridad Perimetral Línea Lín eamie miento nto ac actua tuall de inves investig tigac ación ión en en seguridad de redes: “Concentración de la seguridad  en un punto, obligando a que todo el tráfico entrante y  saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall , permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por  dicho punto” 

Filtrado de Tráfico Método basado Método basado en un conjunt conjunto o de reglas reglas que establec establecen en qué tipo de tráfico se permite y cuál no, de forma tal de impedir el acceso no autorizado a una red, parte de una red o un host, permitiendo por otro lado el acceso autorizado.

Internet Internet

Router’s, Firewall’s y algunos SO proporcionan capacidades de filtrado.

Firewall Internal Internal Network Network

Para realizar el filtrado del tráfico, los dispositivos generalmente examinan la cabecera de los paquetes según van pasando, y decide la suerte del paquete completo según lo que establezcan las reglas de filtrado.

Filtrado de Tráfico Topología que muestra una red con dos dispositivos que filtran tráfico. Un paquete que quiera enviar la estación D a la estación A pasaría por: El router que interconecta las dos redes El pu puente qu que in interconecta lo los do dos se segmentos de de la la re red 11 11.0.0. 0.0 0

Filtrado de Tráfico: Operación del Filtrado

Filtrado de Tráfico POLITICA RESTRICTIVA: Permitir solo el tráfico deseado y denegar todo el resto que no fue específicamente permitido.

POLITICA PERMISIVA: Negar solo el tráfico que específicamente se quiere prohibir y permitir

Filtrado de Tráfico: Tipos de Filtrado A nivel de red: Co Con n dir direc ecci cion ones es IP y la la int inter erfa faz z por por la rout uter ers s y fi fire rewa walllls s). que llega el paquete, (ro A nivel de transporte: Con los puertos y tipo de rout uter ers s y fi fire rewa walllls s). conexión, (ro A nivel de aplicación: Con los datos, a través de  pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de serv rvid idor or pro proxy xy o pasa pasare rela la mu mult ltia iapl plic icac ació ión n) aplicación (se

Filtrado de Tráfico: Tipos de Filtrado FILTRADO POR INSPECCION DE ESTADOS: STATEFUL La inspección de estado se basa en la inspección de paquetes basado en contexto: tipo de protocolo y puertos asociados. Internamente se define una tabla de sesiones permitidas (tanto TCP como UDP), donde el paquete de conexión inicial (por  ejem ej empl plo o en en TCP TCP el pr prim imer er se segm gmen ento to ma marc rcha ha co con n bi bitt AC ACK= K=0 0 y SYN=1) se comprueba contra las reglas, y si está permitido se apunta en la tabla de sesiones y tras ello, los paquetes siguientes de la misma sesión se dejan pasar. apertura a de FTP FTP en en modo modo Acti Activo vo Mod Mode e Ejemplo: apertur

Filtrado de Tráfico los FireWalls que tienen implementado este mecanismo de seguridad se caracterizan por mantener una tabla denominada "stateful inspection" con las sesiones TCP y las "pseudo" sesiones UDP activas. En cada entrada de esta tabla se va almacenando:

.

la dirección IP de origen y la dirección IP de destino, -

los puertos de origen y los puertos de destino, y finalmente, -

banderas y secuencia del paquete TCP

Filtrado de Tráfico: Ejemplos 



Ejemplo: La red 193.146.9.0 está conectada a Internet a través de un dispositivo que filtra (router o firewall). Este tiene esta lista de reglas:

Luego:

Firewall Dispositivo (Hardware o Software) que se sitúa entre dos redes de distinto nivel de seguridad, (normalmente, una red interna corporativa y una red externa, típicamente Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra (bloquea) los que no deben ser reenviados, de acuerdo con un criterio preestablecido (reglas). Politic Poli ticas as de Acce Acceso so SMTP

Puertos UDP/TCP

HTTP

SMTP TCP 25 DNS UPD 53

   S    L  A    G    E    R    C  A    I    L    P   A

HTTP All Destinations

SMTP

HTTP TCP 80 DNS Intrusion

External External Network Network

Firewall

Internal Internal Network Network

Fire Fi rewa wall ll:: Ti Tipo pos s de Fi Fire rewa wall lls s Seguridad de Capa 3 Listas de acceso estáticas Seguridad de Capa 4: Listas de acceso extendidas Listas de acceso reflexivas Seguridad de Capa 7: Pro roxy xys s o Gat atew eway ays s de apl plic ica aci ció ón Inspección de pleno estado

Filt Fi ltra rad do en en Li Linu nux x: Fi Fire rew wal alll Ipt ptab ablles El filt filtrado rado de paque paquetes tes está está prog programad ramado o en el núcleo núcleo (como (como módulo módulo o como componente estático). Según la versión del núcleo se puede utiliz uti lizar ar el el coman comando do “ipta “iptable bles” s” o “ipcha “ipchains ins"" para para conf configu igurar rar las reglas de filtrado. Linux utiliza Linux utiliza tres tres conjun conjuntos tos de de reglas reglas llamada llamadas s cadenas cadenas para para aplicar aplicar los fi filtros se según co corresponda: INPUT, OUTPUT y FORWARD. Cadena INPUT: Contiene la lista de reglas que se aplican a los paquetes paqu etes que llegan llegan al host host donde donde esté esté confi configura gurado do el filtro y el destino del paquete es el mismo host. Cadena OUTPUT: Contiene la lista de reglas que se aplican a los paquetes paqu etes que que salen salen del host host donde donde esté conf configur igurado ado el filtro. filtro. Cadena FORWARD: Contiene la lista de reglas que se aplican a los paquetes paqu etes que que llegan llegan al al host host donde donde esté esté conf configur igurado ado el filtro, filtro, pero pero el destino es algún otro host. Esta cadena se utiliza cuando el host que tiene las reglas de filtrado se comporta como un router. IPTABLES es una herramienta muy flexible que permite filtrar paquetes por su encabezado IP, encabezado TCP o UDP, mensaje

Filtra Fil trado do en Lin Linux: ux: Fir Firewa ewall ll Ipt Iptabl ables es Diagrama con los posibles caminos que pueda tomar la interpretación de un paquete que llega a un host Linux configurado para filtrar paquetes:

Ejemplo de la aplicación de una regla que deniegue todo tráfico ICMP que llegue al host:

Filtrado en Windows NT/2000 A través de la configuración avanzada de TCP/IP de Windows 2000 y Windows NT es posible establecer filtros básicos de paquetes. En la figura siguiente se puede ver cómo desde la ventana Filtrado de TCP/IP se pueden permitir o denegar el acceso a diferentes puertos TCP y UDP.

Filtrado en Cisco IOS El IOS de Cisco implementa el filtrado de paquetes a través de listas de control de acceso llamadas ACL. Estas listas contienen un conjunto de reglas que indican qué se debe hacer con cada paquete. Las ACL son aplicadas indicando la interfaz del dispositivo y el sentido del flujo de la información. Así, al momento de aplicar una lista de acceso se debe indicar en qué interfaz se posiciona el filtro y cuándo se va a tener en cuenta ese filtro: si para el tráfico que llegue a esa interfaz o el tráfico que salga de esa interfaz. Ejemplo de la implementación de una lista de control de acceso:

Seguridad Perimetral: Arquitecturas Gateway de doble conexión (Dual-Homed Gateway)

Seguridad Perimetral: Arquitecturas Host protegido (Bastion Host)

Seguridad Perimetral: Arquitecturas Subred protegida (Screened Subnet)

Seguridad Perimetral: DMZ . Topología DMZ de un Firewall DMZ en Firewall /3 Nic DMZ DMZ

Internet Internet

Firewall

Internal Internal Network Network

Seguridad Perimetral: DMZ . Topología DMZ de dos Firewall

DMZ DMZ Internet Internet

External Firewall Internal Firewall

Topicos: Redes Trampa Jarrón de miel ( HONEY  ) HONEY POT  En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque ( por  por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de  paquetes registrados en el monitor puente ) y se pasa a un análisis forense. Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección

Topicos: Redes Trampa  ) Jarrón de miel ( HONEY HONEY POT