Post on 21-Aug-2020
Cap
itulo
4 D
iseño
de seg
urid
ad d
e Red
es
Las seccio
nes q
ue se d
escriben
en este cap
ítulo
son
:
El caso
de n
ego
cios
Piratería
Vu
lnerab
ilidad
Am
enazas
Am
enazas
Las tecn
olo
gías d
e mitig
ación
Diseñ
o d
e camp
us seg
uro
Viru
ses un program
a que provoca un resultado perjudicial
Un
Gu
sano
Un
Gu
sano
es un virus que puede auto duplicarse
Un
Cab
allo d
e Troya
pretende ser una aplicación inofensiva cuando en realidad podría contener una carga destructiva.
En m
ayo de 1988, "Viern
es 13"'celebró' la conm
emoración
de los 40 años del Estado judío en Israel borrando todos los
programas que se ejecutaran en el ordenador.
"Barro
tes"fue un virus español que en 1993 llenó las
pantallas de los usuarios infectados de barras verticales de color azul.
Un h
acker
alemán program
ó en 1997 el virus "Cascad
e", que m
ostraba un mensaje de virus en la pantalla que caía
'artísticamente' en form
a de cascada.
El virus "M
elissa"se propagó por E
stados Unidos a través del
correo electrónico, enviándose automáticam
ente como archivo
adjunto a los contactos en la agenda del usuario.
En 1998, "C
hern
ob
yl"se extendió por todo el m
undo a la sem
ana de su creación. Se activó el 26 de abril,
conmem
orando el desastre nuclear de Chernobyl. A
fectó a los ejecutables de W
indows y borró la m
emoria B
IOS
de m
iles de ordenadores.
"ILo
ve Yo
u", creado en F
ilipinas en 2000, fue uno de los virus m
ás famoso de la historia de los ataques
informáticos. C
on su mensaje de am
or en forma de
carta infecciosa afectó a millones de ordenadores,
incluyendo a los del Pentágono o el P
arlamento
Británico.
Blaster,
(otam
biénllam
adoLovsan
oLoveS
an)es
ungusano
dered
deW
indows
quese
aprovechade
unavulnerabilidad
enel
servicioD
CO
Mpara
infectara
otrossistem
asde
forma
automática.
Elgusano
fuedetectado
yliberado
eldía11
deagosto
de2003.
Latasa
deinfecciones
aumentó
considerablemtne
hastael
díaLa
tasade
infeccionesaum
entóconsiderablem
tnehasta
eldía
13de
agostode
2003.G
raciasalfiltrado
porlas
ISP
'sy
lagran
publicidadfrente
estegusano,la
infecciónpudo
frenarse.E
l29
deagosto
de2003,
JeffreyLee
Parson,
de18
añosde
Hopkins,
Minnesota
fuearrestado
porcrear
lavariante
Bdel
gusanoB
laster;adm
itióser
elresponsable
yfue
sentenciadoa
18m
esesen
prisiónen
enerode
2005.
Hackin
g
Eltérm
ino
popular
deluso
de
lapira
tería
(hacking)
se
relacionamásconelcracking,quesedefin
ecomoelacto
de
acceso
ilegala
una
infra
estru
ctura
de
red
para
realizar
activ
idadespocoéticas.
Wh
ite-Hat
Hackers
Wh
ite-Hat
Hackers
piratas reformados o profesionales que han logrado dom
inar el arte y la ciencia del hacking, realizan pruebas de penetración a la red de la em
presa y elaboran informe detallado de sus hallazgos
Wh
ite-Bo
xan
dB
lack-Bo
xH
acking
losW
hite-hackerscuentan
conalgún
tipode
diseñoy
elconocimiento
dela
infraestructurade
redde
laorganización
antesdel
intentode
sushacks.
LosB
lack-hacksno
tienenningún
conocimiento
previode
lared
deantes
deintentar
entrarilegalm
enteen
él.
Vulnerabilidad
Lavulnerabilidad
sedefine
como
lascaracterísticas
deun
sistema
queperm
itenque
alguienutilice
otom
eel
controldel
sistema
dem
aneraparcial
otom
eel
controldel
sistema
dem
aneraparcial
ocom
pleta.
Suelen caer en una de las siguientes categorías:
· Cuestiones de diseño (sistem
a operativo, protocolos, etc)
· Cuestiones hum
anos (admor, usuario, dispositivos abiertos)
· Cuestiones de aplicación (C
ontraseñas, Acceso rem
oto, internet))
Am
enazas
Como se m
encionó anterio
rmente, in
dependientemente de su
motiv
ación, lo
s hackers aprovechan la
svulnerabilid
ades.Los
hackers explotan la
s vulnerabilid
ades que son amenazas re
ales a
la segurid
ad de la
red.
lista genérica de las categorías de ataque: lista genérica de las categorías de ataque: •
ataque de reconocimiento
(recogen información uso scanner, analizadores)
•ataque de acceso (aprovechan vulnerabilidades)
•ataque de divulgación de inform
ación •
ataque de denegación de servicio (sobrecargado)
An
atom
ía de u
n sim
ple ataq
ue d
e Do
S
Un ataque D
oS proverbial llam
ado Land.c envía una petición TC
P S
YN
, dando la dirección del host de destino com
o de origen y destino, y utilizando el m
ismo puerto en el host de destino com
o de origen y de destino (por ejem
plo, la dirección de origen 10.0.0.1:139 a la dirección de destino 10.0.0.1:139).
An
atom
ía de u
n co
mp
lejo ataq
ue D
oS
distrib
uid
oU
na forma com
ún de ataque DoS
es un ataque DD
oS. E
n el caso de ataques D
DoS
, un atacante encuentra hosts que puede comprom
eter en las diferentes organizaciones y los convierte en los controladores de form
a las diferentes organizaciones y los convierte en los controladores de form
a rem
ota con la instalación de software de D
DoS
en ellos.
Tecnologías de M
itigación
•D
efensa contra Am
enaza.
•C
omunicación S
egura.
•C
onfianza e Identificación.•
Confianza e Identificación.
•M
ejores Practicas en S
eguridad de Redes
Defensa contra A
menazas
Defe
nd
ien
do
los lim
ites
Gu
ard
an
do
los p
un
tos te
rmin
ale
s.
Pro
teg
ien
do
el in
terio
r
Defensa contra A
menazas
•C
omo defenderse?
1.P
rotección contra virus
2.F
iltro de Trafico
2.F
iltro de Trafico
3.D
etección y Prevención de Intrusión
4.F
iltro de Contenido
Pro
tección
de V
irus
Ho
stsE
-mail S
erver
Red
IDS
IPS
Filtro
de Trafico
Filtrado E
stático de Paquetes
“Stateless”
No im
porta el estado del paquete filtra por M
AC
o IP
Filtro
de Trafico
Filtrado D
inámico de P
aquetes
“stateful”“stateful”
Fuente de la dirección IP
Destino de la dirección IP
Fuente del puerto
Destino del puerto
Conexión de banderas T
CP
Secuencias de núm
eros aleatorios TC
P
Importa el estado de conexión del paquete filtra por com
binación de conexión de:
Filtro
de Trafico
DM
Z Y
FIR
EW
AL
L
Detecció
n y P
revenció
n d
e Intru
sión
ID`S
IP
`S
Sistem
a de Detección de Intrusiones
Observa:
•Ataques C
onocidos: Patrones de V
irus o DoS
.•A
taques Conocidos: P
atrones de Virus o D
oS.
•Trafico anormal.
•Protocolos A
normales.
Sistem
a de Detección de Intrusiones
1.-B
asado en Host
2.-B
asado en Red
IDS
: Ho
sts
HIDS
NIDS
IDS
: Red
OP
ER
AC
IÓN
DE
UN
NID
SSistem
a de D
etección de IntrusionesIntrusiones
CU
AL E
S LA
DIF
ER
EN
CIA
?
IDS
VS
IPS
El IP
S m
onitorea lo mism
o que el IDS
, P
ero el primero tom
a Acción
bloqueandolos contenidos.
Filtrad
o d
e Co
nten
ido
Ro
uter
Firew
all
Filtrad
o d
e Co
nten
ido
UR
L F
iltro
Po
líticas de A
cceso a In
ternet
E-m
ail Filtro
Po
líticas de A
cceso a In
ternet
Pag
inas P
ermitid
asP
agin
as Neg
adas
XXX
Malw
areA
rchivo
s anexo
s ejecutab
les
Com
unicación Segura
Com
unicación Segura
EN
CR
IPTA
CIO
N
DE
S: D
ata Encryption S
tandard
3DE
S: D
ata Triple Encryption S
tandard
AE
SA
ES
: Advanced E
ncryption Standard
OP
ER
AC
IÓN
DE
LA E
NC
RIP
CIO
N
Llaves de Encriptación
Llaves Sim
étricaLlave A
simétrica
La mism
a llave siempre en la
encriptación y desencriptación
Diferente llave de desencriptación
a la llave de encriptación
ES
CE
NA
RIO
S D
E E
NC
RIP
TAC
ION
VP
NV
irtual Private N
etwork
SS
LS
SL
Red P
rivada dentro de una Publica
SS
LS
ecure Sockets
Layer
Protocolo de C
apa de Conexión S
egura
Archivo E
ncriptado
VP
N
VP
NV
PN
VP
N
IPsec
Internet Protocol S
ecurity
Autentificacion:
Solo los legitim
os transmisores y receptores pueden encriptar y
desencriptar el mensaje.
Confidencialidad:
El m
ensaje es ilegible para otros observadores. Solo es legible
para quien posee las llaves.
Integridad:U
n hashse anexa al m
ensaje, confirmando su integridad.
2.-R
ou
terIP
sec
3.-F
irewall
1.-C
on
centrad
or
de V
PN
IPsec
4.-C
liente IP
sec
Confianza e Identificación
1.-C
apacidad de Autentificación , A
utorización y Control.
Quien?
Que?
2.-C
ontrol de Acceso a la R
ed.
Cuando?
Autentificación , A
utorización y Control.
AA
A:A
uthenticacion, Authorization, A
ccounting
Para una fuerte autentificación se requieren 2
de los siguientes Factores:
Punto C
lave:
de los siguientes Factores:
�A
lgo
qu
e Co
no
ces•C
ontraseña•P
IN
�A
lgo
qu
e Tien
es•Tarjeta de A
cceso•Tarjeta bancaria•Token.
�A
lgo
qu
e Eres
•Algo B
iométrico
•Ej. R
etina•E
j. Huella
•Ej. C
alor Corporal
�A
lgo
qu
e Haces
•Escritura
NA
C
CO
NT
RO
L DE
AD
MIS
ION
DE
RE
D
Agente de
Clientes con Intención de A
cceso a la Red
Dispositivos de A
ccesode R
ed de Cisco
Servidor de P
olíticas de C
isco
Agente de
Confianza
de Cisco
Agente de
Seguridad
de Cisco
Aplicacion de P
olíticas de S
eguridadC
reación de Políticas
de Seguridad
PK
IP
ublic Key Infrastructure
Es
un
aco
mb
inació
nd
eh
ardw
arey
softw
are,p
olíticas
yp
roced
imien
tos
de
segu
ridad
qu
ep
ermiten
laejecu
ción
con
garan
tíasd
eo
peracio
nes
cripto
gráficas
com
oel
cifrado
,la
firma
dig
italo
eln
oco
mo
elcifrad
o,
lafirm
ad
igital
oel
no
repu
dio
de
transaccio
nes
electrón
icas.
Pro
pó
sito ?
La
tecno
log
íaP
KI
perm
itea
los
usu
arios
auten
ticarsefren
tea
otro
su
suario
sy
usar
lain
form
ación
de
los
certificado
sd
eid
entid
ad(p
or
ejemp
lo,
lasclaves
pú
blicas
de
otro
su
suario
s)p
aracifrar
yd
escifrarm
ensajes,
firmar
dig
italmen
tein
form
ación
,g
arantizar
elno
repu
dio
de
un
envío
,y
otro
su
sos.
PK
I
Operación de Llaves P
ublicas y Privadas
Usu
ario A
Alicia
Usu
ario B
Beto
Archivo
Archivo
Llave privadade B
etoLlave privadade A
licia
Alicia requiere la Llave
Publica de B
eto
Algoritm
o de E
ncripcion
%Z
W&
%$K
¨^!<
??86Q#|
Archivo E
ncriptado
Algoritm
o de E
ncripcion
Publica de B
eto
Llave Publica
de Beto
Llave privadade B
eto
Mejores P
racticas en Seguridad de R
edes
Recom
endacionesdeladecuado
cuidadoen
lam
ateriarealizadas
porexpertos
quetienen
absolutoconocim
ientoen
uncam
poen
absolutoconocim
ientoen
uncam
poen
particular.
Adm
inistrador de Red
Mejo
res P
ractic
as e
n
Segurid
ad d
e R
edes
Evaluación y A
uditorias
Mejo
res P
ractic
as e
n
Segurid
ad d
e R
edes
Políticas
Mejo
res P
ractic
as e
n
Segurid
ad d
e R
edes
�P
olíticas de Uso de Internet
�P
olíticas de Uso de C
orreo Electrónico
�P
olíticas de Acceso R
emoto
�P
olíticas de Acceso R
emoto
�P
olíticas de uso de Contraseñas
�P
olíticas de instalación de software y hardw
are
�P
olíticas de seguridad física
�P
olíticas de continuidad de negocios
DIS
EÑ
O D
E C
AM
PU
S S
EG
UR
O
DIS
EÑ
O D
E C
AM
PU
S S
EG
UR
O