1. Elementos básicos de la seguridad perimetral · La seguridad perimetral es uno de los métodos...

Click here to load reader

  • date post

    28-Sep-2018
  • Category

    Documents

  • view

    221
  • download

    0

Embed Size (px)

Transcript of 1. Elementos básicos de la seguridad perimetral · La seguridad perimetral es uno de los métodos...

  • 1. Elementos bsicos de la seguridad

    perimetral:

    1.1- Concepto de seguridad perimetral. La seguridad perimetral es uno de los mtodos de defensa de una red, se basa en el establecimiento de recursos

    de seguridad en el permetro de la red y a diferentes niveles. Esto nos permite definir niveles de confianza,

    permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando

    cualquier tipo de acceso a otros.

    1.2- Objetivos de la seguridad perimetral.

    1. Rechazar conexiones a servicios comprometidos. 2. Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos. 3. Proporcionar un nico punto de interconexin con el exterior. 4. Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet. 5. Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet. 6. Auditar el trfico entre el exterior y el interior. 7. Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red, cuentas de

    usuarios internos.

    1.3- Permetro de la red: Se conoce como permetro de la red a la frontera entre el exterior y los ordenadores y servidores internos. Los

    elementos que la componen son:

    -Routers frontera.

    Es un dispositivo situado entre la red interna de y las redes de otros proveedores que intercambian el trfico con

    nosotros y que se encarga de dirigir el trfico de datos de un lado a otro. El ltimo router que controlamos antes

    de Internet. Primera y ltima lnea de defensa. Filtrado inicial y final.

  • - Cortafuegos (firewalls).

    Es una herramienta diseada para controlar las conexiones. Este puede permitir, limitar, cifrar, descifrar, el trfico

    entre equipos o redes sobre la base de un conjunto de normas y otros criterios.

    Tipos:

    - Nivel de aplicacin de pasarela: Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy

    eficaz, pero puede imponer una degradacin del rendimiento.

    - Circuito a nivel de pasarela: Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha

    hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin

    que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

    - Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos

    campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se

    permiten filtrados segn campos de nivel de transporte como el puerto origen y destino, o a nivel de enlace de

    datos (no existe en TCP/IP) como la direccin MAC.

    - Cortafuegos de capa de aplicacin: Trabaja en el nivel de aplicacin de manera que los filtrados se pueden adaptar a caractersticas propias de los

    protocolos de este nivel. Filtrados segn la URL a la que se est intentando acceder.

    - Cortafuegos personales: Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las

    comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

    - Sistemas de Deteccin de Intrusos. Es una aplicacin usada para detectar accesos no autorizados a un ordenador/servidor o a una red. Estos accesos

    pueden ser ataques realizados por usuarios malintencionados con conocimientos de seguridad o a travs de

    herramientas automticas.

    Existen dos tipos de sistemas de deteccin de intrusos:

    - HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los intrusos, que generalmente

    dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de

    llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un

    reporte de sus conclusiones.

    - NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe

    funcionar en modo promiscuo capturando as todo el trfico de la red.

    Un NIDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que

    viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-

    IDS pone uno o ms de las interfaces en modo promiscuo. ste es una especie de modo "invisible" en el que no

    tienen direccin IP. No tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes

    partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como

    tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han

    realizado desde dentro.

  • Funcione del IDS

    C Deteccin de ataques en el momento que estn ocurriendo o poco despus.

    C Automatizacin de bsqueda de nuevos patrones de ataque, gracias a herramientas estadsticas de bsqueda,

    y al anlisis de trfico anmalo.

    C Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la configuracin de

    cortafuegos y otros.

    C Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer los servicios que

    usan los usuarios, y estudiar el contenido del trfico, en busca de elementos anmalos. Si se detecta una conexin

    fuera de hora, reintentos de conexin fallidos y otros.

    C Auditora de configuraciones y vulnerabilidades de determinados sistemas.

    C Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del trfico y de los

    logs.

    - Redes Privadas Virtuales. Es la forma ms econmica de unir 2 LAN de distintos puntos geogrficos. Es una red privada construida dentro

    de una infraestructura de red pblica. Las empresas pueden usar redes privadas virtuales para conectar en forma

    segura oficinas y usuarios remotos a travs de accesos a Internet proporcionados por ISP, en lugar de lneas

    dedicadas.

    Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad mediante protocolos tneles VPN y

    tecnologas de autenticacin. Estas tecnologas protegen los datos que pasan por la red privada virtual contra

    accesos no autorizados.

    - Software y servicios. Host Bastion. Es una aplicacin que se localiza en un servidor con el fin de ofrecer seguridad a la red interna, por lo que ha sido

    especialmente configurado para la recepcin de ataques, generalmente provee un solo servicio (como por

    ejemplo un servidor web).

    Los host bastion permiten un flujo de informacin pero no un flujo de paquetes, lo que consiste en decidir qu

    servicios se incluirn en la red, lo que permite una mayor seguridad de las aplicaciones del host

    Single-homed bastin host: Es un dispositivo con una interfaz nica de red, frecuentemente se utiliza para una

    puerta de enlace en el nivel de aplicacin. El router externo est configurado para enviar los datos al Bastin Host

    y los clientes internos tambin.Finalmente el host evaluar los datos segn las directrices de seguridad.

    Dual-homed bastin host: Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de

    enlace al nivel de aplicacin y como filtro de paquetes. La ventaja de usar este host es crear un quiebre entre las

    red externa e interna, haciendo pasar el trfico por el host bastion. Este host evitar que un hacker intent

    acceder a un dispositivo interno.

    ultihomed bastin host: Cuando la poltica de seguridad requiere que todo trfico entrante y salida sea

    enviado a travs de un servidor proxy, un nuevo servidor proxy debera ser creado. Cuando se utiliza un bastin

    host como interno, reside dentro de la red interna, como puerta de acceso para recibir todo el trfico de un

    bastin host externo. Lo que agrega un nivel mayor de seguridad.

  • - Zonas desmilitarizadas (DMZ) y subredes controladas. Una zona desmilitarizada (DMZ) es una red local que se ubica entre la red interna de una organizacin y una red

    externa, Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn

    permitidas, mientras que las conexiones desde la red externa solo se permitan a la DMZ. Esto permite que los

    equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de

    que intrusos comprometan la seguridad de los equipos situados en la zona desmilitarizada. Para cualquiera de la

    red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn

    sin salida.

    La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accesibles desde fuera, como

    servidores de correo electrnico, Web y DNS.

    Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port

    address translation(PAT).

    Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta

    a un puerto distinto de ste. Esta configuracin se llama cortafuegos en tipo (three-legged firewall). Un

    planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos

    cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir

    configuraciones errneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de

    configuracin tambin es llamado cortafuegos de subred.

    Subredes controladas

    Es la arquitectura ms segura, ms compleja; se utilizan dos routers, denominados exterior e interior, conectados

    ambos a la red perimtrica. En esta red perimtrica, que constituye el sistema cortafuegos, se incluye el host

    bastin y tambin se podran incluir sistemas que requieran un acceso controlado, como bateras de mdems o el

    servidor de correo, que sern los nicos elementos visibles desde fuera de nuestra red. El router exterior tiene

    como misin bloquear el trfico no deseado en ambos sentidos (hacia la red perimtrica y hacia la red externa),

    mientras que el interior hace lo mismo pero con el trfico entre la red interna y la perimtrica: as, un atacante

    tendra que romper la seguridad de ambos routers para acceder a la red protegida;

    Incluso es posible implementar una zona desmilitarizada con un nico router que posea tres o ms interfaces de

    red, pero en este caso si se compromete este nico elemento se rompe toda nuestra seguridad, frente al caso

    general en que hay que comprometer ambos, tanto el externo como el interno. Siendo paranoicos podremos

    definir varias redes perimtricas en serie, evidentemente, si en cada red perimtrica se siguen las mismas reglas

    de filtrado, niveles adicionales no proporcionan mayor seguridad.

  • 2. Arquitecturas de cortafuegos: **Choke: Dispositivo que implementa filtrado de paquetes

    - Cortafuego de filtrado de paquetes.

    Dispositivo capaz de filtrar paquetes: el cortafuegos ms antiguo, basado simplemente en aprovechar la

    capacidad de algunos routers para hacer un enrutamiento selectivo, es decir, para bloquear o permitir el trnsito

    de paquetes mediante listas de control de acceso en funcin de reglas, de forma que el router actue como

    pasarela de toda la red. Generalmente estas caractersticas para determinar el filtrado son las direcciones origen y

    destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje y los interfaces de

    entrada y salida de la trama en el router.

    El principal problema es que no disponen de un

    sistema de monitorizacin sofisticado, por lo que

    el administrador no puede determinar si el router

    est siendo atacado o si su seguridad fue

    comprometida. Sus reglas de filtrado son

    complejas y difciles de comprobar:

    habitualmente slo se comprueba a travs de

    pruebas directas, con los problemas de seguridad

    que esto puede implicar.

    Como en cualquier firewall es recomendable bloquear todos los servicios que no se utilicen desde el exterior, el

    acceso desde mquinas no confiables hacia nuestra subred y bloquear los paquetes con encaminamiento en

    origen activado.

    Cortafuego Dual-Homed Host.

    Son dispositivos que estn conectados a ambos permetros (interior y

    exterior) y no dejan pasar paquetes IP (como sucede en el caso del

    Filtrado de Paquetes), por lo que se dice que actan con el "IP-Forwarding

    desactivado".

    Un usuario interior que desee hacer uso de un servicio exterior, deber

    conectarse primero al Firewall, donde el Proxy atender su peticin, y en

    funcin de la configuracin impuesta en dicho Firewall, se conectar al

    servicio exterior solicitado y har de puente entre este y el usuario

    interior. Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el Firewall y el otro desde

    este hasta la mquina que albergue el servicio exterior

  • Screened Host.

    screened host o choke-gate, que combina un router

    proviene del filtrado de paquetes. En la mquina bastin, nico sistema accesible desde el exterior, se ejecutan

    los proxies de los servicios, mientras que el choke se encarga de filtrar los paqu

    peligrosos para la seguridad de la red interna, permitiendo nicamente la comunicacin con un reducido nmero

    de servicios.

    Situacin:

    Recomiendan situar el router entre la red exterior y el host bastin:

    Cuando una mquina de la red interna desea comunicarse con el exterior existen dos posibilidades:

    C El choke permite la salida de alguno

    filtrado de paquetes. Entraa un mayor nivel de compleji

    del route

    C El choke prohibe todo el trfico entr

    ciertos servicios que provienen de la mquina bastin As, obligamos a l

    servidores Proxies del Host Bastion.

    Es ms segura la segunda, se pueden combinar, permitiendo el trfico entre las mquinas internas y el ext

    ciertos protocolos difciles de encaminar

    (tpicamente, NTP, DNS...), y obligando para el resto de servicios a utilizar el host bastin.

    En la arquitectura screened host tenemos

    ambos han de ser configurados con las mximas medidas de seguridad.

    gate, que combina un router con un host bastin y donde el principal nivel de seguridad

    proviene del filtrado de paquetes. En la mquina bastin, nico sistema accesible desde el exterior, se ejecutan

    , mientras que el choke se encarga de filtrar los paquetes que se puedan considerar

    peligrosos para la seguridad de la red interna, permitiendo nicamente la comunicacin con un reducido nmero

    Recomiendan situar el router entre la red exterior y el host bastin:

    na de la red interna desea comunicarse con el exterior existen dos posibilidades:

    e algunos servicios a todas o a parte de las mquinas internas a travs de u

    filtrado de paquetes. Entraa un mayor nivel de complejidad a la hora de configurar las listas de control de acceso

    fico entre mquinas de la red interna y el exterior, permitiendo slo la salida de

    ciertos servicios que provienen de la mquina bastin As, obligamos a los usuarios a hacer peticiones a los

    . la dificultad est en configurar los servidores proxy en el host bastin.

    Es ms segura la segunda, se pueden combinar, permitiendo el trfico entre las mquinas internas y el ext

    ciertos protocolos difciles de encaminar por un proxy o que no entraen mucho riesgo para nuestra seguridad

    (tpicamente, NTP, DNS...), y obligando para el resto de servicios a utilizar el host bastin.

    En la arquitectura screened host tenemos no uno sino dos sistemas accesibles desde el exterior, por lo que

    ambos han de ser configurados con las mximas medidas de seguridad.

    con un host bastin y donde el principal nivel de seguridad

    proviene del filtrado de paquetes. En la mquina bastin, nico sistema accesible desde el exterior, se ejecutan

    etes que se puedan considerar

    peligrosos para la seguridad de la red interna, permitiendo nicamente la comunicacin con un reducido nmero

    na de la red interna desea comunicarse con el exterior existen dos posibilidades:

    internas a travs de un simple

    dad a la hora de configurar las listas de control de acceso

    permitiendo slo la salida de

    os usuarios a hacer peticiones a los

    la dificultad est en configurar los servidores proxy en el host bastin.

    Es ms segura la segunda, se pueden combinar, permitiendo el trfico entre las mquinas internas y el exterior de

    un proxy o que no entraen mucho riesgo para nuestra seguridad

    (tpicamente, NTP, DNS...), y obligando para el resto de servicios a utilizar el host bastin.

    no uno sino dos sistemas accesibles desde el exterior, por lo que

  • Screened Subnet (DZ). **Teora idntica al DZ**

    Tambin conocida como red perimtrica es con diferencia la ms utilizada e implantada hoy en da, ya que aade

    un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e

    interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastin: como hemos venido

    comentando, en los modelos anteriores toda la seguridad se centraba en el bastin, de forma que si la seguridad

    del mismo se vea comprometida, la amenaza se extenda automticamente al resto de la red. Como la mquina

    bastin es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red

    perimtrica de forma que un intruso que accede a esta maquina no consiga un acceso total a la subred protegida.

    Se utilizan dos routers, denominados exterior e interior,

    conectados ambos a la red perimtrica. En esta se construye

    el sistema cortafuegos, el host bastin y tambin se podran

    incluir sistemas que requieran un acceso controladoque

    sern los nicos elementos visibles desde fuera de nuestra

    red. El router exterior tiene como misin bloquear el trfico

    no deseado en ambos sentidos (hacia la red perimtrica y

    hacia la red externa), mientras que el interior hace lo mismo

    pero con el trfico entre la red interna y la perimtrica: as,

    un atacante tendra que romper la seguridad de ambos

    routers para acceder a la red protegida; incluso es posible implementar una zona desmilitarizada con un nico

    router que posea tres o ms interfaces de red, pero en este caso si se compromete este nico elemento se rompe

    toda nuestra seguridad, frente al caso general en que hay que comprometer ambos, tanto el externo como el

    interno.

    Si necesitamos mayores niveles de seguridad, definir varias redes perimtricas en serie, situando los servicios que

    requieran de menor fiabilidad en las redes ms externas: as, el atacante habr de saltar por todas y cada una de

    ellas para acceder a nuestros equipos; evidentemente, si en cada red perimtrica se siguen las mismas reglas de

    filtrado, niveles adicionales no proporcionan mayor seguridad.

    Otras arquitecturas.

    Para ms seguridad se puede utilizar un host bastin diferente para cada protocolo o servicio en lugar de uno

    slo, inconveniente, muchas maquinas y alto costo. Ms econmico es utilizar un nico bastin pero servidores

    proxy diferentes para cada servicio.

    Cada da es ms habitual en todo tipo de organizaciones dividir su red en diferentes subredes; en entornos de I+D

    o empresas medianas, donde con frecuencia se han de conectar campus o sucursales separadas geogrficamente,

    edificios o laboratorios diferentes, etc.

    Es recomendable incrementar los niveles de seguridad de las zonas ms comprometidas servidores insertando

    cortafuegos internos entre estas zonas y el resto de la red. Y no permitir la conexin a internet desde estas zonas.

  • 3. Polticas de defensa en profundidad:

    3.1- Defensa perimetral. -Interaccin entre zona perimetral (DZ) y zona externa. ** Teora Repetida. DZ**

    Una zona desmilitarizada (DMZ) es una red local que se ubica entre la red interna y una red externa, Internet. El

    objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras

    que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos de la DMZ no pueden conectar

    con la red interna. Esto permite que los equipos de la DMZ puedan dar servicios a la red externa a la vez que

    protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la

    zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona

    desmilitarizada se convierte en un callejn sin salida.

    Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port

    address translation(PAT).

    -onitorizacin del permetro: deteccin y prevencin de intrusos.

    Es una aplicacin usada para detectar accesos no autorizados a un ordenador/servidor o a una red. Estos accesos

    pueden ser ataques realizados por usuarios malintencionados con conocimientos de seguridad o a travs de

    herramientas automticas.

    Existen dos tipos de sistemas de deteccin de intrusos:

    C NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe

    funcionar en modo promiscuo capturando as todo el trfico de la red.

    C HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los intrusos, que

    generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo,

    con propsito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo

    afectado, y hacer un reporte de sus conclusiones.

    Los HIDS se pueden clasificar de diferentes formas segn Red IRIS:

    En funcin de cmo actan estos sistemas:

    C Deteccin de anomalas: Consiste en suponer que una intrusin se puede ver como una anomala de nuestro

    sistema, por lo que si furamos capaces de establecer un perfil del comportamiento habitual de los sistemas

    seramos capaces de detectar las intrusiones por pura estadstica. (`conocimiento positivo', positive knowledge)

    C Deteccin de usos indebidos: Consiste en presuponer que podemos establecer patrones para los diferentes

    ataques conocidos y algunas de sus variaciones; este esquema se limita a conocer lo anormal para poderlo

    detectar (conocimiento negativo, negative knowledge).

    En funcin frecuencia de trabajo:

    C Pasivos: son analizadores de vulnerabilidades que cualquier administrador ha de ejecutar regularmente (ya sea

    de forma manual o automtica).

    C Activos: Un IDS de tiempo real trabaja continuamente en busca de posibles ataques.

  • 3.2- Defensa interna. -Interaccin entre zona perimetral (DZ) y zonas de seguridad interna. ** Teora Repetida. DZ **

    El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas,

    mientras que las conexiones desde la DMZ slo se permitan a la red externa, los equipos en la DMZ no pueden

    conectar con la red interna. Esto permite que los equipos de la DMZ puedan dar servicios a la red externa a la vez

    que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados

    en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la

    zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores

    que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.

    -Routers y cortafuegos internos.

    El router por defecto trae todos los puertos cerrados. Los Router Firewall son dispositivos electrnicos que

    funcionan exactamente igual que Firewall basados en hardware: mantienen a extraos y aplicaciones de software

    no autorizadas, fuera de una red protegida. Siendo ms especficos, los Router Firewall, solo te permitirn

    comunicar con ciertos ordenadores y equipos ubicados en otras redes diferentes a la tuya.

    Cualquier otro tipo de comunicacin ser automticamente bloqueado y registrado en unos archivos llamados

    logs, para poder ser ledos y analizados posteriormente. Estos dispositivos tienen como misin ser una solucin

    simple para tener protegidos recursos compartidos y dar un nivel de seguridad en nuestra red.

    Una amenaza tpica y muy comn, que un Router Firewall bloquear, es un escaneo de puertos en tu sistema. Si

    un usuario externo intenta descubrir que puertos tienes abiertos en tu ordenador, estos intentos de

    descubrimiento sern parados y podrs tener alguna informacin de quin lo realiz. As prevendr que se

    descubran vulnerabilidades en potencia que puedan ser aprovechadas para entrar en tu sistema o infectarlo con

    virus.

    -onitorizacin interna.

    Los objetivos de una infraestructura de monitorizacin es la prevencin de incidencias y conocer el

    aprovechamiento de los recursos TIC disponibles.

    El primer paso consiste en realizar un anlisis detallado del sistema informtico a monitorizar para detectar los

    sistemas crticos (tanto mquinas como servicios) para el buen funcionamiento de la organizacin y formular

    polticas de actuacin frente a incidencias en dichos sistemas.

    A continuacin se debe redactar el plan de instalacin e integracin del nuevo sistema de monitorizacin en

    nuestro sistema informtico, para lo cual es imprescindible respetar estas tres reglas:

    1. Mantener las medidas de seguridad existentes.

    2. Minimizar el impacto en el propio sistema a estudiar.

    3. Minimizar el nmero de sistemas intermedios entre el sistema de monitorizacin y los sistemas crticos.

  • -Conectividad externa (Enlaces dedicados y redes VPN).

    Los enlaces dedicados son enlaces digitales dedicados de diferente velocidad que permiten la conexin de

    distintas localidades o sitios del cliente para su uso exclusivo, sin lmite de utilizacin y sin restriccin de horarios.

    Los enlaces dedicados se utilizan para la transmisin bidireccional de voz, datos y video entre 2 ms puntos

    asignados por el cliente.

    Se pueden hacer de diversas tecnologas:

    C Frame Relay: servicio de infraestructura de fibra ptica

    C Inalmbrico: implementacin de conectividad inalmbrica

    C Satelital: servicio de infraestructura satelital

    C VPN: implementacin de creacin de enlace virtual para mejoramiento de la comunicacin

    Tipos de Conexin:

    C Conexin Punto a punto: Es la conexin directa de una sucursal a otra

    C Conexin de Punto a Multipunto: Una sucursal es la central y conecta a diversas sucursales

    C Conexin de Mall: Conexin de sucursales interconectadas entre ella y no dependen de una central

    Ventajas:

    C Ahorro de costos en llamadas.

    C Seguridad.

    C Tecnologa de Vanguardia.

    C Escalabilidad.

    C Control.

    C Fcil Administracin.

    VPN o red privada virtual: Es una tecnologa de red que permite una extensin de la red local sobre una red

    pblica o no controlada, como por ejemplo Internet. Permite que los hosts desde una LAN enven y reciban datos

    sobre redes compartidas o pblicas como si fuera una red privada con toda la funcionalidad, seguridad y polticas

    de gestin de una red privada. Esto se realiza estableciendo una conexin virtual punto a punto mediante el uso

    de conexiones dedicadas, cifrado o la combinacin de ambos mtodos.

    -Cifrados a nivel host.

    La seguridad efectiva de host (tanto de clientes como servidores) requiere conseguir un equilibrio entre el grado

    de proteccin y el nivel de disponibilidad.

    Las defensas a nivel de host pueden incluir la desactivacin de servicios, eliminacin de ciertos derechos de

    usuarios, mantenimiento al da del sistema operativo y el uso de productos antivirus y de firewalls distribuidos.

    Con el cifrado de extremo a extremo, el proceso se realiza en los dos sistemas finales. El host o terminal fuente

    cifra los datos. stos se transmiten cifrados a travs de la red hacia el terminal o host de destino sin ser alterados.

    El destino y la fuente comparten una clave y por tanto el primero es capaz de descifrar los datos. Este enfoque

    parece que asegurara la transmisin contra ataques en los enlaces de comunicacin o conmutadores, pero

    todava hay una debilidad: El host debe cifrar solamente la porcin de datos de usuario y debe dejar la cabecera

    del paquete en claro, por lo sta puede ser leda por la red.

  • 3.3- Factor Humano. Poltica de seguridad:

    Se refiere al conjunto de polticas y directrices individuales existentes que permiten dirigir la seguridad y el uso

    adecuado de tecnologa y procesos dentro de la organizacin. Esta rea cubre polticas de seguridad de todo tipo,

    como las destinadas a usuarios, sistemas o datos.

    Formacin:

    Los empleados deberan recibir formacin y ser conscientes de las polticas de seguridad existentes. De esta

    forma no expondrn inadvertidamente a la compaa a posibles riesgos.

    Concienciacin:

    Los requisitos de seguridad deberan ser entendidos por todas las personas con capacidad de decisin, ya sea en

    cuestiones de negocio como en cuestiones tcnicas. Llevar a cabo regularmente una evaluacin por parte de

    terceras partes puede ayudar a la compaa a revisar, evaluar e identificar las tareas que necesitan mejorar.

    estin de incidentes:

    Consiste en disponer de unos procedimientos claros y prcticos en la gestin de relaciones con vendedores. Si se

    aplican tambin estos procedimientos en los procesos de contratacin y terminacin de contrato de empleados

    se puede proteger a la empresa de posibles empleados poco escrupulosos o descontentos.

    4. Redes privadas virtuales. VPN. Es la forma ms econmica de unir 2 LAN de distintos puntos geogrficos. Es una red privada construida dentro

    de una infraestructura de red pblica. Las empresas pueden usar redes privadas virtuales para conectar en forma

    segura oficinas y usuarios remotos a travs de accesos a Internet proporcionados por ISP, en lugar de lneas

    dedicadas.

    4.1- Beneficios y desventajas con respecto a las lneas dedicadas.

    Beneficios:

    C Ahorro econmico: Conectar redes fsicamente separadas sin usar una red dedicada, si no a travs de internet

    C Transparencia: interconectar distintas sedes en transparente para el usuario final

    C Seguridad: se pueden asegurar mltiples servicios a travs de un nico mecanismo.

    C Movilidad: nos permite asegurar la conexin entre usuarios mviles y nuestra red fija.

    C Simplicidad: este tipo de soluciones permite simplificar la administracin de la conexin de servidores y

    aplicaciones entre diferentes dominios.

    Desventajas:

    C Fiabilidad: Pues que depende del ISP no es 1 fiable, y fallos en la red pueden dejar incomunicados recursos

    C Confianza entre sedes: si la seguridad de un nodo o subred involucrada en una VPN se viese comprometida, eso

    afectara a la seguridad de todos los componentes de la VPN.

    C Interoperabilidad: Al implementar una VPN, podemos encontrar incompatibilidades entre las usadas en los

    distintos nodos de la VPN.

  • 4.2- Tipos de conexin VPN: -VPN de acceso remoto.

    Consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos utilizando Internet

    como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local

    de la empresa. Muchas empresas han reemplazado con esta tecnologa su infraestructura dial-up

    -VPN sitio a sitio (tunneling)

    Se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un

    vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel

    VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de

    Internet, tpicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vnculos punto a

    puntos tradicionales, sobre todo en las comunicaciones internacionales.

    -Tunneling

    Consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro

    de una red de computadoras. El establecimiento de dicho tnel se implementa incluyendo una PDU determinada

    dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del tnel sin que sea necesaria una

    interpretacin intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre

    nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El tnel queda definido

    por los puntos extremos y el protocolo de comunicacin empleado, que entre otros, podra ser SSH.

    El uso de esta tcnica persigue diferentes objetivos, dependiendo del problema que se est tratando, como por

    ejemplo la comunicacin de islas en escenarios multicast, la redireccin de trfico, etc.

    -VPN sobre LAN.

    Es una variante del tipo "acceso remoto" pero, en lugar de utilizar Internet como medio de conexin, emplea la

    misma red de rea local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo

    hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalmbricas (WIFI).

    Otro ejemplo es la conexin a redes Wi-Fi haciendo uso de tneles cifrados IPSec o SSL que adems de pasar por

    los mtodos de autenticacin tradicionales (WEP, WPA, direcciones MAC, etc.) agregan las credenciales de

    seguridad del tnel VPN creado en la LAN interna o externa.

  • 4.3- Protocolos que generan una VPN: PPTP, L2F, L2TP. -Protocolo PPTP:

    Protocolo de tnel punto a punto:Consiste en crear tramas con el protocolo PPP y encapsularlas mediante un

    datagrama de IP.

    Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes de rea local se conectan con una

    conexin de igual a igual (con un sistema de autenticacin/cifrado) y el paquete se enva dentro de un datagrama

    de IP.

    -Protocolo L2F:

    Layer 2 Forwarding La principal diferencia entre PPTP y L2F es que el establecimiento de tneles de L2F no

    depende del protocolo IP, es capaz de trabajar directamente con otros medios, como FrameRelay o ATM.

    Al igual que PPTP, L2F utiliza el protocolo PPP para la autenticacin del usuario remoto, pero tambin implementa

    otros sistemas de autenticacin como TACACS+ y RADIUS. L2F permite que los tneles contengan ms de una

    conexin.

    Hay dos niveles de autenticacin del usuario, primero por parte del ISP, anterior al establecimiento del tnel, y

    posteriormente, cuando se ha establecido la conexin con la pasarela corporativa. Como L2F es un protocolo de

    Nivel de enlace de datos segn el Modelo de Referencia OSI, ofrece a los usuarios la misma flexibilidad que PPTP

    para manejar protocolos distintos a IP, como IPX o NetBEUI.

    -Protocolo L2TP:

    L2TP es un protocolo de tnel estndar muy similar al PPTP. L2TP encapsula tramas PPP, que a su vez encapsulan

    otros protocolos (como IP, IPX o NetBIOS).

    A pesar de que L2TP ofrece un acceso econmico, con soporte multiprotocolo y acceso a redes de rea local

    remotas, no presenta unas caractersticas criptogrficas especialmente robustas. Por ejemplo:

    Slo se realiza la operacin de autenticacin entre los puntos finales del tnel, pero no para cada uno de los paquetes que viajan por l. Esto puede dar lugar a suplantaciones de identidad

    Sin comprobacin de la integridad de cada paquete, sera posible realizar un ataque de denegacin del servicio por medio de mensajes falsos de control que den por acabado el tnel L2TP o la conexin PPP

    subyacente.

    L2TP no cifra en principio el trfico de datos de usuario, lo cual puede dar problemas cuando sea importante mantener la confidencialidad de los datos.

    A causa de estos inconvenientes, el grupo del IETF que trabaja en el desarrollo de PPP consider la forma de

    solventarlos. Ante la opcin de crear un nuevo conjunto de protocolos para L2TP del mismo estilo de los que se

    estn realizando para IPSec, y dado la duplicacin del trabajo respecto al propio grupo de desarrollo de IPSec que

    supondra, se tom la decisin de utilizar los propios protocolos IPSec para proteger los datos que viajan por un

    tnel L2TP.

  • 5. Tcnicas de cifrado. Clave pblica y clave privada:

    5.1- PrettyGoodPrivacy (PGP). GNU PrivacyGood (GPG). PrettyoodPrivacy(PP):

    Es un programa cuya finalidad es proteger informacin mediante el uso de criptografa, es un criptosistema

    hbrido.

    Cifrado Texto Plano:

    En texto plano, primero es comprimido. La compresin datos ahorra espacio en disco, tiempos de transmisin y

    fortalece la seguridad criptogrfica. La compresin reduce esos patrones en el texto plano, aumentando

    enormemente la resistencia al criptoanlisis.

    Despus de comprimir el texto, crea una clave de sesin secreta que solo se emplear una vez. Esta clave es un

    nmero aleatorio generado a partir de los movimientos del ratn y las teclas que se pulsen durante unos

    segundos con el propsito especfico de generar esta clave. Esta clave de sesin se usa con un algoritmo simtrico

    convencional (IDEA, Triple DES) para cifrar el texto plano.

    Una vez que los datos se encuentran cifrados, la clave de sesin se cifra con la clave pblica del receptor

    (criptografa asimtrica).

    La clave de sesin cifrada se adjunta al texto cifrado y el conjunto es enviado al receptor.

    Descifrado a Texto Plano:

    El receptor usa su clave privada para recuperar la clave de sesin, que PGP luego usa para descifrar los datos.

    Las llaves empleadas en el cifrado asimtrico se guardan cifradas protegidas por contrasea en el disco duro. PGP

    guarda dichas claves en dos archivos separados llamados llaveros; uno para las claves pblicas y otro para las

    claves privadas.

    A diferencia de protocolos de seguridad como SSL, que slo protege los datos en trnsito (es decir, mientras se

    transmiten a travs de la red), PGP tambin puede utilizarse para proteger datos almacenados en discos, copias

    de seguridad.

    NU Privacyood (P):

    Es una herramienta de cifrado y firmas digitales, que viene a ser un reemplazo del PGP, pero con la principal

    diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estndar del IETF.

    El proceso de cifrado y descifrado es similar a PGP. GPG por otra parte no tiene un uso tan extendido y aunque es

    compatible con PGP, aunque no es totalmente, porque PGP utiliza algunos algoritmos de encriptacin

    patentados, lo cual impeda que fueran utilizados en GPG.

  • 5.2- Seguridad a nivel de aplicacin: SSH (Secure Shell). Es un protocolo que permite a los equipos establecer una conexin segura que hace posible que un cliente (un

    usuario o incluso un equipo) abra una sesin interactiva en una mquina remota (servidor) para enviar comandos

    o archivos a travs de un canal seguro.

    Los datos que circulan entre el cliente y el servidor estn cifrados y esto garantiza su confidencialidad. El cliente y el servidor se autentifican uno a otro para asegurarse que las dos mquinas que se comunican

    son, aquellas que las partes creen que son. El hacker ya no puede adoptar la identidad del cliente o de su

    servidor

    Una conexin SSH se establece en varias fases:

    Primero, se determina la identidad entre el servidor y el cliente para establecer un canal seguro.

    Segundo, el cliente inicia sesin en el servidor.

    Establecer un canal seguro

    El establecimiento de una capa segura de transporte comienza con la fase de negociacin entre el cliente y el

    servidor para ponerse de acuerdo en los mtodos de cifrado que quieren utilizar. El protocolo SSH est diseado

    para trabajar con un gran nmero de algoritmos de cifrado, por esto, tanto el cliente como el servidor deben

    intercambiar primero los algoritmos que admiten.

    Autentificacin

    Una vez que se ha establecido la conexin segura entre el cliente y le servidor, el cliente debe conectarse al

    servidor para obtener un derecho de acceso. Existen diversos mtodos:

    El mtodo ms conocido es la contrasea tradicional. El cliente enva un nombre de acceso y una contrasea al

    servidor a travs de la conexin segura y el servidor verifica que el usuario en cuestin tiene acceso al equipo

    Un mtodo menos conocido, pero ms flexible, es el uso de claves pblicas. Si el cliente elige la clave de

    autentificacin, el servidor crear un challengey le dar acceso al cliente si ste es capaz de descifrar el

    challengecon su clave privada.

  • 5.3- Seguridad en IP (IPSEC). Es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP)

    autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el

    establecimiento de claves de cifrado.

    IPsec est implementado por un conjunto de protocolos criptogrficos para asegurar el flujo de paquetes,

    garantizar la autenticacin mutua y establecer parmetros criptogrficos.

    La arquitectura de seguridad IP utiliza el concepto de asociacin de seguridad (SA) como base para construir

    funciones de seguridad en IP. SA es el paquete de algoritmos y parmetros que se est usando para cifrar y

    autenticar un flujo particular en una direccin. La decisin final de los algoritmos de cifrado y autenticacin le

    corresponde al administrador de IPsec.

    Para decidir qu proteccin se va a proporcionar a un paquete saliente, IPsec utiliza el ndice de parmetro de

    seguridad , un ndice a la base de datos de asociaciones de seguridad (SADB), junto con la direccin de destino de

    la cabecera del paquete, que juntos identifican de forma nica una asociacin de seguridad para dicho paquete.

    Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificacin y

    descifrado de la base de datos de asociaciones de seguridad (SADB).

    En el caso de multicast, se proporciona una asociacin de seguridad al grupo, y se duplica para todos los

    receptores autorizados del grupo. Puede haber ms de una asociacin de seguridad para un grupo, utilizando

    diferentes SPIs, y por ello permitiendo mltiples niveles y conjuntos de seguridad dentro de un grupo.

    5.4- Seguridad en Web: SSL proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de

    criptografa. Habitualmente, slo el servidor es autenticado mientras que el cliente se mantiene sin autenticar.

    SSL implica una serie de fases bsicas:

    Negociar entre las partes el algoritmo que se usar en la comunicacin Intercambio de claves pblicas y autenticacin basada en certificados digitales Cifrado del trfico basado en cifrado simtrico

    Durante la primera fase se especifican todos los algoritmos:

    Para criptografa de clave pblica: RSA, Diffie-Hellman, DSA o Fortezza.

    Para cifrado simtrico: RC2, RC4, IDEA, DES, Triple DES y AES;

    Con funciones hash: MD5 o de la familia SHA.

    El cliente enva y recibe varias estructuras handshake:

    Enva un mensaje ClientHello especificando una lista de conjunto de cifrados, mtodos de compresin y la versin del protocolo SSL ms alta permitida

    Despus, recibe un registro ServerHello, en el que el servidor elige los parmetros de conexin a partir de las opciones ofertadas con anterioridad por el cliente.

    Cuando los parmetros de la conexin son conocidos, cliente y servidor intercambian certificados. Estos certificados son actualmente X.59,

    El servidor puede requerir un certificado al cliente, para que la conexin sea mutuamente autenticada. Cliente y servidor negocian una clave secreta (simtrica) comn llamada master secret, posiblemente

    usando el resultado de un intercambio Diffie-Hellman, o simplemente cifrando una clave secreta con una

    clave pblica que es descifrada con la clave privada de cada uno.

  • TLS (TransportLayer Security) es una evolucin del protocolo SSL,es un protocolo mediante el cual se establece

    una conexin segura por medio de un canal cifrado entre el cliente y servidor. As el intercambio de informacin

    se realiza en un entorno seguro y libre de ataques. Normalmente el servidor es el nico que es autenticado,

    garantizando as su identidad, pero el cliente se mantiene sin autenticar, ya que para la autenticacin mtua se

    necesita una infraestructura de claves pblicas (o PKI) para los clientes. Estos protocolos permiten prevenir

    escuchas, evitar la falsificacin de la identidad del remitente y mantener la integridad del mensaje en una

    aplicacin cliente-servidor.

    TLS/SSL poseen una variedad de medidas de seguridad:

    Numerando todos los registros y usando el nmero de secuencia en el MAC. Usando un resumen de mensaje mejorado con una clave Proteccin contra varios ataques conocidos (incluyendo ataques man-in-the-middle), El mensaje que finaliza el protocolo handshake(Finished) enva un hash de todos los datos intercambiados

    y vistos por ambas partes.

    La funcin pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos hash diferentes (MD5 y SHA), despus realiza sobre ellos una operacin XOR. De esta forma se protege a s

    mismo de la eventualidad de que alguno de estos algoritmos se revelen vulnerables en el futuro.

    6. Servidores de acceso remoto: Un servidor remoto es un equipo que permite a otros conectarse a ste para permitir el acceso remoto a

    herramientas o informacin que residen en una red de dispositivos.

    6.1- Protocolos de autenticacin. Un protocolo de autentificacin (o autenticacin) es un tipo de protocolo criptogrfico que tiene el propsito de

    autentificar entidades que desean comunicarse de forma segura.

    Los protocolos de autenticacin se negocian inmediatamente despus de determinar la calidad del vnculo y antes

    de negociar el nivel de red.

    - Protocolos PPP, PPoE, PPPoA

    PPP: Point-to-Point Protocol

    Es un protocolo de nivel de enlace, permite establecer una entre dos computadoras. Se utiliza para establecer la

    conexin a Internet de un particular con su proveedor de acceso a travs de un mdem telefnico.

    Adems del simple transporte de datos, PPP facilita dos funciones importantes:

    Autenticacin. Generalmente mediante una clave de acceso.

    Asignacin dinmica de IP. es posible asignar una direccin IP a cada cliente en el momento en que se conectan al

    proveedor. La direccin IP se conserva hasta que termina la conexin por PPP. Posteriormente, puede ser

    asignada a otro cliente.

    Otros usos de PPP:

    Se utiliza para establecer la comunicacin entre un mdem ADSL y la pasarela ATM del operador de

    telecomunicaciones.

  • PPOE: Protocolo Punto a Punto sobre Ethernet.

    Es un protocolo de red para la encapsulacin PPP sobre una capa de Ethernet. Es utilizada mayoritariamente para

    proveer conexin de banda ancha mediante servicios de cable mdem y xDSL.

    Ventajas del protocolo contra PPP: Autenticacin, cifrado, mantencin y compresin.

    Es un protocolo tnel, que permite implementar una capa IP sobre una conexin entre dos puertos Ethernet, pero

    con las caractersticas de software del protocolo PPP, por lo que es utilizado para virtualmente "marcar" a otra

    mquina dentro de la red Ethernet, logrando una conexin "serial" con ella, con la que se pueden transferir

    paquetes IP, basado en las caractersticas del protocolo PPP.

    Esto permite utilizar software tradicional basado en PPP para manejar una conexin que no puede usarse en

    lneas seriales pero con paquetes orientados a redes locales como Ethernet para proveer una conexin clsica con

    autenticacin para cuentas de acceso a Internet. Adems, las direcciones IP en el otro lado de la conexin slo se

    asignan cuando la conexin PPPoE es abierta, por lo que admite la reutilizacin de direcciones IP.

    PPPOA: Protocolo de Punto a Punto (PPP) sobre AT

    Es un protocolo de red para la encapsulacin PPP en capas ATM AAL5. El protocolo PPPoA se utiliza

    principalmente en conexiones de banda ancha sixto, como arcadio y fucktrix. Este ofrece las principales funciones

    PPP como autenticacin, cifrado y compresin de datos. Actualmente tiene alguna ventaja sobre PPPoE debido a

    que reduce la prdida de calidad en las transmisiones. Al igual que PPPoE, PPPoA puede usarse en los modos VC-

    MUX y LLC.

    Autenticacin de contrasea: PAP

    Es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea se envan al servidor de

    acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseas pueden

    leerse fcilmente en los paquetes del PPP intercambiados durante el proceso de autenticacin.

    Autenticacin por desafo mutuo: CHAP

    Es un mtodo de autenticacin muy utilizado en el que se enva una representacin de la contrasea del usuario,

    no la propia contrasea. Con CHAP, el servidor de acceso remoto enva un desafo al cliente de acceso remoto. El

    cliente de acceso remoto utiliza un hash para calcular el resultado basado en el desafo y hace lo mismo con la su

    contrasea

    El cliente enva el resultado hash MD5 al servidor. El servidor, que tambin tiene acceso al resultado hash de la

    contrasea del usuario, realiza el mismo clculo y compara el resultado con el que envi el cliente.

    Si los resultados coinciden, las credenciales del cliente se consideran autnticas. El algoritmo hash proporciona

    cifrado unidireccional, lo que significa que es sencillo calcular el resultado hash para un bloque de datos, pero

    resulta matemticamente imposible determinar el bloque de datos original a partir del resultado hash.

    Autenticacin extensible: EAP. todos

    Extensible AuthenticationProtocol(EAP) es una autenticacin framework usada habitualmente en redes WLAN

    Point-to-Point Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede ser usado para

    autenticacin en redes cableadas, es ms frecuentemente su uso en las primeras. Recientemente los estndares

    WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticacin.

  • PEAP

    PEAP El Protocolo de autenticacin extensible protegido es un nuevo miembro de la familia de protocolos de

    Protocolo de autenticacin extensible (EAP). PEAP utiliza Seguridad de nivel de transporte (TLS) para crear un

    canal cifrado entre un cliente de autenticacin PEAP. PEAP no especifica un mtodo de autenticacin, sino que

    proporciona seguridad adicional para otros protocolos de autenticacin de EAP, que pueden operar a travs del

    canal cifrado de TLS que proporciona PEAP. PEAP se utiliza como mtodo de autenticacin para los equipos

    cliente inalmbricos 82.11, pero no se admite en clientes de red privada virtual (VPN) u otros clientes de acceso

    remoto.

    Para mejorar los protocolos EAP y la seguridad de red, PEAP proporciona: Proteccin de la negociacin del mtodo EAP que se produce entre el cliente y el servidor mediante un

    canal TLS.

    Compatibilidad con la fragmentacin y el reensamble de mensajes, lo que permite el uso de tipos de EAP que no lo proporcionan.

    Clientes inalmbricos con la capacidad de autenticar el servidor IAS o RADIUS. Como el servidor tambin autentica al cliente, se produce la autenticacin mutua.

    Proteccin contra la implementacin de un punto de acceso inalmbrico (WAP) no autorizado cuando el cliente EAP autentica el certificado que proporciona el servidor IAS.

    Reconexin rpida de PEAP, que reduce el tiempo de retraso entre la solicitud de autenticacin de un cliente y la respuesta del servidor IAS o RADIUS, y que permite a los clientes inalmbricos moverse entre

    puntos de acceso sin solicitudes de autenticacin repetidas

    Kerberos.

    Es un protocolo de autenticacin de redes de ordenador que permite a dos computadores en una red insegura

    demostrar su identidad mutuamente de manera segura. Sus diseadores se concentraron primeramente en un

    modelo de cliente-servidor, y brinda autenticacin mutua: tanto cliente como servidor verifican la identidad uno

    del otro. Los mensajes de autenticacin estn protegidos para evitar eavesdropping y ataques de Replay.

    Kerberos se basa en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen

    extensiones del protocolo para poder utilizar criptografa de clave asimtrica.

    Descripcin

    Kerberos se basa en el Protocolo de Needham-Schroeder. Usa un tercero de confianza, denominado "centro de

    distribucin de claves" KDC, el cual consiste de dos partes lgicas separadas: un "servidor de autenticacin" AS y

    un "servidor emisor de tiquets" TGS. Kerberos trabaja sobre la base de "tickets", los cuales sirven para demostrar

    la identidad de los usuarios.

    Kerberos mantiene una base de datos de claves secretas; cada entidad en la red comparte una clave secreta

    conocida nicamente por l y Kerberos. El conocimiento de esta clave sirve para probar la identidad de la entidad.

    Para una comunicacin entre dos entidades, Kerberos genera una clave de sesin, la cual pueden usar para

    asegurar sus interacciones.

  • Protocolos AAA: Radius TACACS+

    Protocolo AAA

    En seguridad informtica, el acrnimo AAA corresponde a un tipo de protocolos que realizan tres funciones:

    Autenticacin, Autorizacin y Contabilizacin. La expresin protocolo AAA no se refiere pues a un protocolo en

    particular, sino a una familia de protocolos que ofrecen los tres servicios citados.

    AAA se combina a veces con auditoria, convirtindose entonces en AAAA.

    Autenticacin

    La Autenticacin es el proceso por el que una entidad prueba su identidad ante otra. La Autenticacin se consigue

    mediante la presentacin de una propuesta de identidad y la demostracin de estar en posesin de las

    credenciales que permiten comprobarla.

    Autorizacin

    Autorizacin se refiere a la concesin de privilegios especficos (incluyendo "ninguno") a una entidad o usuario

    basndose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema.

    Contabilizacin

    La Contabilizacin se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta informacin

    puede usarse posteriormente para la administracin, planificacin, facturacin, u otros propsitos

    RADIUS (RemoteAuthentication Dial-In User Server)

    Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el

    puerto 1812 UDP para establecer sus conexiones.

    Cuando se realiza la conexin con un ISP mediante mdem, DSL, cablemdem, Ethernet o Wi-Fi, se enva una

    informacin que generalmente es un nombre de usuario y una contrasea. Esta informacin se transfiere a un

    dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la peticin a un servidor RADIUS

    sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de

    autenticacin como PAP, CHAP o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna

    los recursos de red como una direccin IP, y otros parmetros como L2TP, etc.

    Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones,

    notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y

    facturar en consecuencia; los datos se pueden utilizar con propsitos estadsticos.

    TACACS+ (Terminal Access Controller Access Control System).

    Es un protocolo de autenticacin remota que se usa para gestionar el acceso (proporciona servicios separados de

    autenticacin, autorizacin y registro) a servidores y dispositivos de comunicaciones.

    TACACS+ est basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e

    incompatible con las versiones anteriores de TACACS.

    TACACS+ frente a RADIUS utiliza el protocolo TCP en lugar de UDP, encripta el cuerpo del mensaje, utiliza la

    arquitectura AAA lo que le permite ser multiplotocolo y ganar interoperabilidad y genera ms trfico con respecto

    a RADIUS

  • 6.2- Configuracin de parmetros de acceso. En cuanto a los parmetros de configuracin podemos configurar los siguientes aspectos:

    Limitar el acceso determinadas mquinas

    Para especificar un equipo podemos hacer uso:

    C de la direccin IP del equipo,

    C de la red de equipos

    C del nombre del dominio del equipo

    C del nombre de domnio que engloba a todos los equipos que le pertenecen.

    Controlar el nmero mximo de conexiones

    Es importante para prevenir ataques de DoS

    C Limitar el nmero de conexiones al servicio.

    C Limitar el nmero de conexiones al servicio haciendo distincin entre mquinas y/o usuarios.

    Controlar el tiempo de conexin

    C Controlar el tiempo mximo de inactividad

    C Controlar el tiempo mximo de conexin activa en caso de atascos o bloqueos

    C Controlar el tiempo mximo que se puede estar sin transferencias de informacin:

    Auditora

    Nos permite llevar el control de las acciones sobre el servidor FTP. Se puede auditar:

    C u usuarios establecieron conexin, en qu momento se estableci la conexin

    C u operaciones se llevaron a cabo

    Combinacin de sitio annimo y no annimo

    Es posible tener sitios mixtos, para ello se mantiene el bloque descriptivo de los usuarios annimos y se elimina la

    directiva que evita todo acceso al servicio por parte de los usuarios del sistema.

    6.3- Servidores de autenticacin. BASURA Y MORRALLA Es un dispositivo que controla quin puede acceder a una red informtica. Los objetivos son la autorizacin de

    autenticacin, la privacidad y no repudio. La autorizacin determina qu objetos o datos de un usuario puede

    tener acceso a la red, si los hubiere. Privacidad mantiene la informacin se divulgue a personas no autorizadas.

    No repudio es a menudo un requisito legal y se refiere al hecho de que el servidor de autenticacin puede

    registrar todos los accesos a la red junto con los datos de identificacin, de manera que un usuario no puede

    repudiar o negar el hecho de que l o ella ha tenido o modificado el datos en cuestin.

  • ecanismo general de autenticacin:

    La mayor parte de los sistemas informticos y redes mantienen de uno u otro modo una relacin de identidades

    personales (usuarios) asociadas normalmente con un perfil de seguridad, roles y permisos. La autenticacin de

    usuarios permite a estos sistemas asumir con una seguridad razonable que quien se est conectando es quien

    dice ser para que luego las acciones que se ejecuten en el sistema puedan ser referidas luego a esa identidad y

    aplicar los mecanismos de autorizacin y/o auditora oportunos.

    El primer elemento necesario (y suficiente estrictamente hablando) por tanto para la autenticacin es la

    existencia de identidades biunvocamente identificadas con un identificador nico (valga la redundancia). Los

    identificadores de usuarios pueden tener muchas formas siendo la ms comn una sucesin de caracteres

    conocida comnmente como login.

    El proceso general de autenticacin consta de los siguientes pasos:

    1. El usuario solicita acceso a un sistema.

    2. El sistema solicita al usuario que se autentique.

    3. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificacin.

    4. El sistema valida segn sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no.

    Entre los servidores de autenticacin ms conocidos se encuentran:

    OpenLDAP: Es una implementacin libre y de cdigo abierto del protocolo Lightweight

    Directory Access Protocol(LDAP) desarrollada por el proyecto OpenLDAP.LDAP es un protocolo de comunicacin

    independiente de la plataforma.

    Active Directory: Es el nombre utilizado por Microsoft como almacn centralizado de informacin de uno de sus

    dominios de administracin.

    Novell Directory Services: Tambin conocido como eDirectory es la implementacin de Novell utilizada para

    manejar el acceso a recursos en diferentes servidores y computadoras de una red.

    Red Hat Directory Server : Directory Server es un servidor basado en LDAP que centraliza configuracin de

    aplicaciones, perfiles de usuarios, informacin de grupos, polticas as como informacin de control de acceso

    dentro de un sistema operativo independiente de la plataforma.

    KERBEROS: servidor que se conoce como KDC (Key Distribution Center), que utiliza un sistema de criptografa

    simtrica (por defecto, Kerberos emplea el algoritmo de cifrado DES).