Ud7 Redes seguras

Ud.7 Redes segurasRedes seguras

Índice del libroÍndice del libro1


SiguienteSiguienteSiguiente1. Niveles OSI

1.1. Descripción

1.2. Funciones y vulnerabilidades de los niveles OSI

• Nivel 1. Físico

• Nivel 2. Enlace

• Nivel 3. Red

• Nivel 4. Transporte

• Nivel 5. Sesión

• Nivel 6. Presentación

• Nivel 7. Aplicación

1.3. Equivalencia entre el modelo OSI y el TCP/IP

2. Redes privadas virtuales

2.1. Formas de conexión en una red VPN

2.2. Implementación de VPN

Siguiente



SiguienteSiguienteSiguiente3. SSL/TTL y firewall

3.1. Conexión segura SSL/TTL

3.2. Firewall o cortafuegos

• Implementación firewall por software

• Implementación firewall por hardware

4. Otras prácticas seguras en la red

4.1. Navegación

4.2. Comercio electrónico

• Ofrecer transacciones seguras desde la web de la empresa

• Cómo instalar un SSL en el dominio

4.3. Firma digital

4.4. Certificados digitales

4.5. Listas de control de acceso

4.6. Política de contraseñas

Siguiente

Índice del libroÍndice del libro

Anterior

3


4.7. Encriptación de datos

• Criptografía

• Herramientas de cifrado

• Hash y MD5 hash

5. Redes cableadas e inalámbricas

5.1. Red cableada

5.2. Redes inalámbricas

6. NIDS

7. Auditoría de red

PRÁCTICA PROFESIONALPROFESIONAL

• Comunicación segura en la red

MUNDO LABORALLABORAL

• El comercio electrónico desde el punto de vista de la empresa. Un ejemplo real

ENEN RESUMEN RESUMEN

Anterior


Ud.71. Niveles OSI1. Niveles OSI

1.1. Descripción1.1. Descripción

Índice de la unidadÍndice de la unidad5


1.1. Descripción1.1. Descripción

Índice de la unidadÍndice de la unidad

Niveles OSI.Niveles OSI.

Cada una de las capas por Cada una de las capas por

las que transcurre la las que transcurre la

información desde el información desde el

emisor hasta el receptor. emisor hasta el receptor.

Como puede verse, la Como puede verse, la

información atraviesa las información atraviesa las

mismas capas de manera mismas capas de manera

inversa desde el punto de inversa desde el punto de

vista del emisor y del vista del emisor y del

receptor.receptor.

6


1.2. Funciones y vulnerabilidades de los niveles OSI1.2. Funciones y vulnerabilidades de los niveles OSI


• Nivel 1. Físico: garantizar que el cableado y los dispositivos de interconexión contengan las medidas de protección para impedir la perdida fortuita o fraudulenta de la información.

• Nivel 2. Enlace: su principal vulnerabilidad es la facilidad de falsificar las direcciones MAC.

• Nivel 3. Red: algunas vulnerabilidades son suplantación de IP, ataques DoS.

• Nivel 4. Transporte: un punto vulnerable son los puertos lógicos.

• Nivel 5. Sesión: es un punto vulnerable a la acción de los sniffer.

• Nivel 6. Presentación: Traduce los datos para que el usuario pueda verlos y comprenderlos.

• Nivel 7. Aplicación: Permite a las aplicaciones acceder a los servicios de las demás capas.


1.3. Equivalencia entre el modelo OSI y el TCP/IP1.3. Equivalencia entre el modelo OSI y el TCP/IP


Correspondencia de las capasCorrespondencia de las capas

entre los modelos TCP/IP y OSI.entre los modelos TCP/IP y OSI. 8

Ud.72. Redes privadas virtuales VPN (2. Redes privadas virtuales VPN (Virtual Private Virtual Private NetworkNetwork))

Índice de la unidadÍndice de la unidadComunicación de una red local VPN mediante túnel.Comunicación de una red local VPN mediante túnel. 9

Esta tecnología permite conectar una red local a otra remota, p.e. a través de Internet.

Ud.72. Redes privadas virtuales VPN (2. Redes privadas virtuales VPN (Virtual Private Virtual Private NetworkNetwork))


Para que una VPN se considere segura, es necesario que se garanticen cuatro principio básicos:

Autentificación y autorización: deber conocerse en toso momento que personas realizan las operaciones.

No repudio: Se debe garantizar que las tareas las ha realizado la persona que se ha autentificado para que no exista la posibilidad de repudio.

Integridad: Los datos enviados y recibido no deben ser modificados durante el trayecto.

Confidencialidad: Los datos enviados y recibidos deben ser encriptados para que en su trayecto no sean interceptados en caso de serlo no resulten entendibles.

Ud.73. SSL/TTL y firewall3. SSL/TTL y firewall

3.1. Conexión segura SSL/TTL3.1. Conexión segura SSL/TTL


Herramientas →Opciones →Avanzado, pestaña Cifrado

11

El protocolo que normalmente se utiliza para cifrado en Internet se llama SSL (Secure Sockets Layer) o Protocolo de Capa de Conexión Segura.

El protocolo HTTPS utiliza cifrado SSL/TTL

Outlook o Thunderbird permite elegir SSL o TTL para el cifrado del correo.


3.1. Conexión segura SSL/TTL3.1. Conexión segura SSL/TTL


Herramientas →Opciones →Avanzado, pestaña Cifrado

12


3.2. Firewall o cortafuegos3.2. Firewall o cortafuegos


Firewall mediante hardware.Firewall mediante hardware.

Router + Firewall de la compañía Router + Firewall de la compañía

D-LinkD-Link

13

Un firewall es un dispositivo, o un conjunto de ellos, que está configurado para impedir el acceso no autorizado a una determinada zona de una red o dispositivo, pero al mismo tiempo permite el paso a aquellas comunicaciones autorizadas.

Pueden ser software o hardware.




Firewall mediante software.Firewall mediante software.

Firewall Plus, de PC Tools. Versión Firewall Plus, de PC Tools. Versión

gratuita.gratuita.

14

A los firewall se les pueden aplicar dos tipos de políticas:

•Política restrictiva, que es aquella que impide todo el tráfico salvo el autorizado expresamente en la configuración.•Política permisiva, que permite el paso de toda comunicación salvo la expresamente prohibida.



Implementación firewall por softwareImplementación firewall por software


Petición de acceso a WinRar, quePetición de acceso a WinRar, que

intenta controlar otra aplicación.intenta controlar otra aplicación. 15





Ventana de configuración de Firewall Plus.Ventana de configuración de Firewall Plus.16





Firewall de Windows con seguridad avanzada.Firewall de Windows con seguridad avanzada. 17





Firewall de Windows con seguridad avanzada. Reglas de entrada.Firewall de Windows con seguridad avanzada. Reglas de entrada.

18



Implementación firewall por hardwareImplementación firewall por hardware


Dirección del router en el navegador.Dirección del router en el navegador.

20

Panel de establecimiento de filtros en la configuración de un router que dispone de Panel de establecimiento de filtros en la configuración de un router que dispone de

este servicio. Puede aplicarse filtro proxy, de cookies, de Applets Java, ActiveX, este servicio. Puede aplicarse filtro proxy, de cookies, de Applets Java, ActiveX,

ventanas emergentes, bloques de paquetes fragmentados de datos, detección de ventanas emergentes, bloques de paquetes fragmentados de datos, detección de

escaneo de puertos y protección firewall.escaneo de puertos y protección firewall.





Lista de logs mostrada por un router básico que no tiene histórico de navegación, de Lista de logs mostrada por un router básico que no tiene histórico de navegación, de

modo que solamente está mostrando lo realizado desde que fue encendido hasta el modo que solamente está mostrando lo realizado desde que fue encendido hasta el

momento en que se consulta su registro de actividades.momento en que se consulta su registro de actividades.





Ud.74. Otras prácticas seguras en la red4. Otras prácticas seguras en la red


Posibles ataques a través de las redes:Ataque de suplantación, el atacante se hace pasar por una tercera persona o empresa , para dar informaciones falsas.

Ataque de intromisión, conseguir colarse en la red y navegar por ella explorando archivos, etc.

Ataque de modificación, modificar archivos y documentos.

Ataque de interceptación, desviar información hacia otro lugar para poder analizarla con detenimiento.

Ataque de espionaje en línea, alguien no autorizado analiza el tráfico observando las comunicaciones.

Ataque de denegación de servicio, impedir el correcto funcionamiento de los sistemas.


4.1. Navegación4.1. Navegación


Utilizar las opciones de seguridad de los navegadores.Mantener los navegadores actualizados.Utilizar antivirus.Navegar por páginas con certificado de seguridad.Bloquear el acceso a páginas con contenido potencialmente peligroso.


4.1. Navegación4.1. Navegación


Plugin Plugin del navegador Firefoxdel navegador Firefoxque avisa de la posible suplantaciónque avisa de la posible suplantación

de una web auténtica.de una web auténtica.26


4.2. Comercio electrónico4.2. Comercio electrónico


Proceso de pago seguro a una firma de Proceso de pago seguro a una firma de venta por Internet, mediante la TPV venta por Internet, mediante la TPV (Terminal Punto de Venta) de 4B.(Terminal Punto de Venta) de 4B.

27

Si la página reúne las condiciones adecuadas de seguridad, no debe de existir ningún riesgo y estaremos avalados por las leyes.


4.2. Comercio electrónico4.2. Comercio electrónicoOfrecer transacciones seguras desde la web de la empresaOfrecer transacciones seguras desde la web de la empresa


Primeros pasos para solicitar en la Fábrica Nacional de Moneda y Timbre un certificado para Primeros pasos para solicitar en la Fábrica Nacional de Moneda y Timbre un certificado para

servidor web identificado por dominio o por dirección IPservidor web identificado por dominio o por dirección IP

28


4.3. Firma digital4.3. Firma digital


Características de la firma electrónica:ÚnicasInfalsificablesFáciles de autentificar.Imposibles de rehusarFáciles de generar.

Podemos firmar documentos con el DNI-e o con un certificado digital que se obtiene de la Fabrica Nacional de Moneda y Timbre.




Lector USB de ChipNet para DNI-e,Lector USB de ChipNet para DNI-e,

disponible para Windows, Linux y Mac OSX.disponible para Windows, Linux y Mac OSX.30




Chip electrónico del DNI-eChip electrónico del DNI-e32


4.4. Certificados digitales4.4. Certificados digitales


La Fabrica Nacional de Moneda y Timbre es una autoridad de certificación.




En Mozilla Firefox, desde Herramientas → Opciones, pestaña Avanzado, SusEn Mozilla Firefox, desde Herramientas → Opciones, pestaña Avanzado, Sus

certificados, tenemos las opciones para importarlocertificados, tenemos las opciones para importarlo

35


4.5. Listas de control de acceso4.5. Listas de control de acceso


Lista de control de acceso a la red por Lista de control de acceso a la red por dirección IPdirección IP

38

Se utilizan para permitir el acceso de los usuarios a determinadas aplicaciones, bases de datos u otras áreas de información, agrupándolas según el criterio de privilegios de acceso.




Restricciones horarias establecidas en el routerRestricciones horarias establecidas en el router

para el uso de la red de una usuaria.para el uso de la red de una usuaria.39


4.6. Política de contraseñas4.6. Política de contraseñas


Las contraseñas son básicas en todos los aspectos de la seguridad, se deben establecer contraseñas suficientemente seguras para cada nivel, estableciendo periodos de tiempo para su cambio y llevando una adecuada política sobre este aspecto.

Algunos consejos:

Las contraseñas deben ser completamente secretas.

No utilizar datos personales (nombre, DNI, fechas ……)

No llevar apuntada la contraseña.

Se debe usar todo el espacio disponible para la contraseña.

Intercalar mayúsculas y minúsculas.

Utilizar números y letras, y si el sistema lo permite también caracteres especiales.

No utilizar palabras que aparezcan en el diccionario, ni combinaciones de estas.


4.6. Política de contraseñas4.6. Política de contraseñas


Análisis de contraseñas y generación de una nueva conAnálisis de contraseñas y generación de una nueva con

Password Strength Analyser and Generator.Password Strength Analyser and Generator.

42


4.7. Encriptación de datos4.7. Encriptación de datos

CriptografíaCriptografía




CriptografíaCriptografía


La máquina Enigma utilizada por el La máquina Enigma utilizada por el

ejército alemán en laejército alemán en la

Segunda Guerra Mundial.Segunda Guerra Mundial.

44

Tipos de cifrado y descifrado:

Criptografía simétrica: utiliza la misma clave para cifrar y para descifrar la información. La clave debe ser conocida de antemano por el emisor y por el destinatario o bien ser enviada por un canal seguro.

Criptografía asimétrica: utiliza una clave para cifrar el mensaje y otra clave para descifrarlo.

Una Clave publica para cifrar y una clave privada para descifrar.



Herramientas de cifradoHerramientas de cifrado




Hash y MD5 hashHash y MD5 hash


Comprobación de contraseñas por sus claves Comprobación de contraseñas por sus claves hash, una función que suele estar mecanizada hash, una función que suele estar mecanizada

mediante programas específicos.mediante programas específicos.

49

Hash es una función utilizada para generar claves que representen a un archivo o documento, principalmente a su contenido.Se utiliza también para comparar dos archivos.

MD5 es un algoritmo de reducción criptográfico muy usado para comprobar que dos archivos son iguales.



Hash y MD5 hashHash y MD5 hash


Solamente cambiar una «A» por una «a» hace que el hashing MD5Solamente cambiar una «A» por una «a» hace que el hashing MD5proporcione códigos totalmente diferentes.proporcione códigos totalmente diferentes.

50

Ud.75. Redes cableadas e inalámbricas5. Redes cableadas e inalámbricas


Para que en una red LAN se lleve a cabo un ataque, el atacante debe estar físicamente conectado a ella.

Los ataques mas habituales son mediante software, como los sniffer.

La mejor forma de protegerse de los sniffer es crear redes privadas con cada dispositivo, esto crea un canal que solo se utiliza para esa transmisión en concreto.

5.1. Red cableada5.1. Red cableada




Filtrado de direcciones Mac en el router.Filtrado de direcciones Mac en el router.

52

Medidas de seguridad:

Crear conexiones privadas.Filtrado por direcciones MAC y por IP.Cerrar y abrir los puertos de router.Cifrado de documentos.



Índice de la unidadÍndice de la unidadCierre de puertos desde el router.Cierre de puertos desde el router. 53




Filtrado por IP.Filtrado por IP.

54


5.2. Redes inalámbricas5.2. Redes inalámbricas


Medidas de seguridad:

Cambio del SSID predeterminado.Cambio de la contraseña predeterminada de acceso al router.Cambio periódico de la contraseña de acceso al router.Cambio del numero de IP predeterminado del router.Contraseña de red cifrada WPA o WPA-2.

Ud.76. NIDS6. NIDS


Ud.76. NIDS6. NIDS


Otras marcas con Otras marcas con

aplicaciones IDS.aplicaciones IDS.

57

Ud.77. Auditoría de red7. Auditoría de red


Como mínimo para realizar una auditoria de red es necesario:

Conocer la topología de la red.

Analizar los puntos vulnerables tanto físicos como lógicos.

Conocer las medidas de protección aplicadas a cada punto vulnerable.

Señalar las deficiencias encontradas tras el análisis.

Proponer las recomendaciones necesarias para subsanar cualquier anomalía.

PRÁCTICA PRÁCTICA PROFESIONALComunicación segura en la redComunicación segura en la red Ud.7


MUNDO MUNDO LABORALEl comercio electrónico desde el punto de vista de la El comercio electrónico desde el punto de vista de la

empresa. Un ejemplo realempresa. Un ejemplo realUd.7


EN RESUMENEN RESUMENUd.7


Ud.7


Ud7 Redes seguras

Education

Transcript of Ud7 Redes seguras