Redes de computadoras

Seguridad de red – TLS, IPsec, Firewalls

Las diapositivas están basadas en en libro:“Redes de Computadoras – Un enfoque descendente”de James F. Kurose & Keith W. Ross

TLS

El protocolo TCP es fiable pero inseguro

Se utiliza un protocolo de sub capa que brinda:

- Privacidad

- Autenticación

- Integridad de los datos

TLS

El protocolo se puede dividir en 2 sub protocolos:

HANDSHAKESe utiliza para iniciar la comunicación segura,

RECORDUna vez inicializada la comunicación segura se encarga de gestionar el intercambio de datos.

TLS Handshake

En el handshake se acuerda el algoritmo de encriptación a utilizar y se establece la versión TLS a utilizar.

Así mismo, mediante la utilización de encriptacion asimétrica se acuerda una clave compartida para ser utilizada en el posterior intercambio de datos.

Por lo general una de las partes, el servidor, se autentica durante este proceso, por lo que se brindará el certificado para corroborar la identidad.

Existen distintas configuraciones, por lo que este proceso puede variar bastante de una a otra sesión.

TLS record

En una siguiente etapa el protocolo se encarga de asegurar la conexión y validar la integridad de los datos.

- Divide los mensajes salientes en bloques

- Comprime

- Aplica código MAC (Message Authentication Code)

- Encripta los mensajes

Y finalmente pasa los datos a la capa de transporte...

IPsec

Protocolo encargado de autenticar y encriptar los paquetes enviados mediante el protocolo IP

Es utilizado para generar VPNs Virtual Private Networks

Establece autenticación mutua al inicio de una sesión y negociación de claves para el uso durante la sesión.

IPsec

IPsec brinda a nivel de capa de red:

- Autenticación de pares

- Autenticación de origen

- Integridad de datos

- Confidencialidad de datos

- Protección ante ataques de reenvío “replay protection”

Acceso a la red

Se debe controlar el acceso a las redes.

En ocasiones poder filtrar tanto el tráfico entrante como el saliente, y evitar el acceso peligroso a las redes privadas.

Access Control List (ACL)

En un principio el acceso a una red era administrado a través de listas de control de acceso (ACL)

Reglas que restringen o permiten el tráfico desde un origen y/o hacia un destino.

{permit | deny} protocol source-addr destination-addr

No tiene la capacidad de determinar la naturaleza de los paquetes bloqueados.

Firewall

Combinación de software y hardware encargado de realizar un filtro de los paquetes que intentan atravesar la red.

Un firewall permite a un administrador de redes mantener un control sobre el tráfico entrante y saliente desde y hacia Internet u otras redes.

Firewall

Firewall

Objetivos principales:

- Todo el trafico entrante y saliente pasa a través del Firewall

- Solo el tráfico autorizado, definido por las políticas de seguridad locales, podrá atravesarlo

- El Firewall en si, debe ser inmune a la penetración.

Firewall

Métodos de filtrado:- IP origen o dirección destino

- Tipo de protocolo en el datagrama IP:

TCP, UDP, ICMP, OSPF, etc.

- Puerto de origen o destino TCP/UDP

- Banderas TCP (bits: SYN, ACK)

- Tipos de mensajes ICMP

Diferentes reglas para datagramas entrantes o salientes

Diferentes reglas para los puertos del router

Firewall

Tipo de tráfico a filtrar:● TCP● UDP● ICMP

Estos protocolos cuentan con una dirección de destino.

Tanto TCP como UDP a su vez con un puerto que identifica el propósito del paquete.

En el caso de ICMP existe un tipo de código.

Es muy difícil cubrir cada posible regla en el Firewall, por lo que se cuentan con políticas por defecto, en caso de que no exista una regla vinculada a un flitro…

se utilizará la política por defecto.

Firewall

Acciones al filtrar

Accept : ✔ S️e acepta el tráfico.

Reject : ⛔ Se bloquea el tráfico pero se responde con un error: “unreachable error”.

Drop : ❌ Se bloquea el tráfico sin ninguna respuesta.

Para establecer una política por defecto siempre es buena idea que la acción sea drop o reject.

Firewalls

Firewalls

Firewalls basados en el hostSe instala en cada nodo de la red y el nodo es quién controla cada paquete entrante y saliente.Por lo general viene provisto por parte del sistema operativo.

Provee seguridad al equipo dentro de una red confiable.

Firewalls basados en la redFiltra todo el tráfico entrante y saliente de la red.

Por lo general es un equipo dedicado, con dos o más interfaces de red y software especializado.

Firewalls

Generaciones:

Primera generación – Packet FilteringAnaliza el tráfico basado en tablas con datos de la capa de transporte.

Segunda generación – Stateful InspectionSe analiza además el estado de las conexiones, no solo se analiza el paquete sino la historia en la tabla de estado.

Tercera generación – Application LayerSe inspecciona hasta la capa de aplicación, permitiendo filtrar protocolos y contenido especifico, actúa como un proxy.

Próxima generación...

WAF Web application firewall

Un WAF es capáz de analizar y filtrar contenido espécifico de aplicaciones web.

De este modo es posible prevenir ataques provenientes de los datos ingresados por el usuarios, tales como: SQL Injection, cross-site scripting, file inclusion entre otras.

Ataques en las redes

MalwareTipo de software malicioso que esta diseñado para afectar, dañar o ganar acceso a un equipo.

Virus: Tipo de malware que requiere la intervención de un usuario para infectar el dispositivo.

Ej: Un usuario descarga un correo y ejecuta código malicioso en un archivo adjunto.

Worm: Malware que ingresa al equipo sin la intervención explicita de un usuario.

Ej: A través de una vulnerabilidad de red en una aplicación.

Ataques en las redes

BotnetUna red de computadoras infectadas con software malicioso y controladas como un grupo, sin el consentimiento de sus propietarios. Ej: envío de spam, minado, DDoS.

DoSUn atacante deja inoperativa una red, un host u otra pieza de infraestructura.

- Ataque de vulnerabilidad

- Bandwidth flooding

- Connection flooding

DDoS (Distributed DoS)Ataque masivo mediante equipos comprometidos (Botnet), los cuales causan una denegación de servicio a un objetivo. Más difícil de detectar y defender que un DoS.

https://www.digitalattackmap.com/understanding-ddos

Ataques en las redes

IP SpoofingInyecta paquetes en la red con una dirección de origen falsa, de modo en que un usuario puede hacerse pasar por otro.

Man-in-the-Middle AttackSe da cuando alguien interviene en medio de una comunicación, monitoreando, capturando y controlando los mensajes que se intercambian de forma transparente.

DNS cache poisoning / DNS spoofing Se corrompe un sistema de nombres de dominios introduciendo datos fraudulentos en el caché del servidor, de modo que responderá con una IP incorrecta.

Ataques en las redes

War drivingBusqueda y generación de información sobre puntos de acceso.