Redes y Seguridad Prof. Wílmer Pereira.

Presentación del tema: "Redes y Seguridad Prof. Wílmer Pereira."— Transcripción de la presentación:

1 Redes y Seguridad Prof. Wílmer Pereira

2 Modelo clásico de capas
Aplicación Transporte Red Acceso al medio Física Independencia de capas Direccionamiento explícito Dominio en Aplicación Puerto lógico en Transporte IP en Red MacAddress en Acceso al medio Puerto físico en Física Standard de facto en RFC Modelo cliente/servidor

3 Estructuracion de paquetes
Emisor Receptor Ensamblado de paquetes Desensamblado de paquetes Datos Segmento Paquete Trama Secuencias de bits

4 Tipos de Redes LAN (Ethernet --- Tarjeta de red)
MAN (ADSL, metroEthernet --- CANTV) WAN (IP --- Internet) Inalámbrico WPAN (Bluetooth --- Corto alcance) WLAN (WiFi --- Access Point) WMAN (WiMax, GPRS, UMTS --- Celular) WWAN (SATM, GPS --- Satélite)

5 Medios físicos cableados
Par Trenzado: Cables de cobre de 1 mm trenzados para evitar diafonía. UTP, ScTP o STP (apantallado => menos diafonía y mejor calidad) Sin embargo los apantallados tienen el problema de la puesta a tierra Se usa en analógico o digital, Categoría 5 y 5e = Mbps y 1 Gbps Categoría 6 = Gbps (próxima generación) Cable Coaxial: Buena inmunidad al ruido, mayor AB que STP y también conexión a tierra En troncales telefónicos es substituido por la fibra óptica Banda base = 50 Ohm, para datos (en desuso) Banda ancha = 75 Ohm para CATV Fibra Óptica: Mayor ancho de banda, menor atenuación y no requieren conexión a tierra Más ligero e inmune a factores ambientales y electromagnéticos Materia prima abundante (arena) Menos estaciones repetidoras En distancias cortas hasta 50 Tbps Dos tipos Monomodo (un haz) y Multimodo (varios haces) Usa LED o laser para la emisión de luz

6 Cable submarino Breve Historia: Tipos de cable:
Tendido de fibra óptica que pasa a través de un medio acuático (mar, lago o río) Breve Historia: 1850 primer cable para telegrafía a través del canal de la mancha 1956 primer cable interoceánico (coaxial para telefonía) desde Inglaterra a USA 1988 TAT-8 primer cable submarino con fibra óptica y tecnología digital 2000 … Anillos interoceánicos FLAG, ARCOS y TAT-14 en operación … … Todos los continentes están conectados excepto la Antartica … Tipos de cable: Ligero: Entre 1500 a 7000 mts de profundidad (no blindados) Armado: Para baja profundidad < 1500 mts (con mallado de acero) Ambos están compuestos de varios tipos de materiales Núcleo: Contiene la fibra óptica por donde se transmiten los datos Alimentación: Electricidad para las repetidoras Polietileno: Aislamiento y no evita corrosión del cable de alimentación Mallado de acero: Protección contra estiramiento y ataque de animales Cubierta exterior: Polietileno impermeabilizante

7 Cables submarinos mundiales

8 Cables submarinos en Venezuela

9 Estaciones en Venezuela
Tres estaciones de amarre: Camuri Chico América I (1994) América II (2000) Enlaces a Anillos Costeros Punto Fijo Panamericano Arcos I Conexión a un anillo costero Occidental Caracas Alba-1 (sólo hacia Cuba) Globenet Son 7 anillos de fibra óptica con algunos tramos oceánicos. Hay enlaces con los Columbus (Europa) en el Caribe Conexión con el resto de Sudamérica hacia Unisur

10 Anillos de fibra óptica nacionales

11 Sistema Telefónico ~ 64Kbps 10 Mbps -100Mbps
Servicio de transmisión de voz que se utiliza en informática si la comunicación más allá del ámbito de una red local (LAN) Red Telefónica vs Red Informática ~ 64Kbps Mbps -100Mbps 1 error  105 bits 1 error  1013 bits La evolución va hacia permitir tráfico de Datos de diversa índole sobre la red telefónica: Voz Video (TV) ISDN (Red Numérica de Integración de Servicios)

12 Historia y arquitectura
Graham Bell patentó el teléfono en marzo de 1876 (y Elisha Grey ...) Se tendía un cable entre cada par de teléfono o líneas públicas El primer centro de conmutación (manual) en 1878 La conmutación automática fue desarrollada por propietario de funeraria Arquitectura El número telefónico referencia a la jerarquía de conmutación Cables de 2, 4 o 6 hilos dependiendo de los servicios ofrecidos La última milla va al abonado y los cables entre centrales son troncales

13 Conmutación a comienzos del siglo 20

14 Transmisión Analógica vs Digital
Menos errores a pesar de la mayor atenuación, restaura más eficientemente Permite mezclar muchos servicios Mantenimiento más sencillo (El eco se evita con supresores) Más barato Última milla Analógico hacia el teléfono y digital para el tráfico entre centrales

15 Conexión ADSL Casa: NID (dispositivo de Interfaz de Red). Separa canal de voz de datos Modem o router ADSL a tarjeta red o puerto USB Proveedor: Divisor DSLAM

16 Espectro Electromagnético
Permite movilidad (celular, laptop, PDA) y cada servicio se sintoniza a distintas portadoras MHz GHz THz PHz Las frecuencias son asignadas por organismos públicos en cada país (CONATEL en Venezuela, FCC en USA, ITU a nivel mundial)

17 Principios de telefonía celular
Celdas conformadas por la estación base (direccional o no) Reuso de frecuencias en celdas no adyacentes Ante congestión se subdividen más las celdas Cambio automático de celda ante usuario en movimiento handoff Suave, Duro e Intracelda Estación de conmutación independiente de la estación base (conexión vía microondas o cableada) Canal de señalización (paging, control, access y data) GSM (Digitel), WCDMA(GSM y CDMA) (Movistar), CDMA1x (Movilnet)

18 Comunicación satelital
Repetidora en el espacio con ancho de banda entre 3,7 GHz y 30 GHz: TV, telefonía, meteorología, localización, etc Breve historia ... El primer satélite fue ruso sputnik (1957), aunque no de telecomunicaciones, inicio guerra fria. Después sputnik II con Laika Echo repetidora con pantalla de aluminio (1960). Visible de minutos al día (no amplificaba). Telstar primer satélite real (1962). Olimpiadas de Tokio en vivo (1964) INTELSAT Consorcio internacional de 120 países, más de 20 satélites INMARSAT comunicación marítima (más de 47 países) Órbitas por altitud: Geoestacionarios (GEO) o polares (Molniya) Altitud media (MEO) Baja altitud (LEO)

19 Órbitas satelitales

20 Satélite Simón Bolívar (Venesat-1)
Estación terrestre en Guarico (el Sombrero) y Bolívar (Luepa) Peso de 6 toneladas y una envergadura de 15 mts En el espacio de Uruguay (órbita Clark 959) por lo que usan el 10% del ancho de banda Dos antenas Ku una hacia el Caribe y otra hacia el sur y una antena Ka sólo hacia Venezuela Ya está en órbita el Francisco de Miranda (VeneSat-2)

21 Buhoneros de la telefonía …
Italia Malasia 1920

22 Modelo Cliente/Servidor
Máquina remota Máquina local Petición interfaz demonio Respuesta Cliente Servidor Todos los servicios sobre Internet funcionan bajo esta arquitectura El medio de envío para petición/respuesta es la red Un servidor debe poder manejar varios usuarios concurrentemente

23 Página Web Dinámica (lado del cliente)
Máquina remota Máquina local Petición URL Browser javascript applets activeX flash HTTP Respuesta Página HTML + Aplicación Cliente Servidor Una aplicación corre del lado del cliente Construye una página Web ejecutando una aplicación que viajó desde el servidor El browser debe ser capaz de ejecutar aplicaciones (plug-ins)

24 Páginas Web Dinámicas (lado del servidor)
Máquina remota Máquina local Petición URL Browser HTTP PHP ASP JSP Base de Datos Respuesta Página HTML Cliente Servidor Una aplicación corre del lado del servidor Construye una página Web con los datos extraídos de la BD El browser sólo visualiza páginas HTML

25 Pueden ser privadas o públicas, asignadas estáticas o dinámicamente
Clases de direcciones IP Pueden ser privadas o públicas, asignadas estáticas o dinámicamente A: 128 redes a 16 millones de hosts B: redes a hosts C: 2 millones de redes a 256 hosts Rangos de direcciones privadas ( computadores) ( computadores) ( computadores)

26 El número creciente de usuarios y de conexiones con portatiles
IPv6 El número creciente de usuarios y de conexiones con portatiles inalámbricos, televisores y hasta teléfonos sugieren el aumento de dir´s IP Objetivos: Aumentar el número de direcciones IP Disminuir tiempo de procesamiento en tránsito Proporcionar seguridad Considerar servicios multimedias Posibilitar uso de computadores móviles Permitir que versiones viejas y nuevas coexistan No es compatible con IPv4 pero respeta los demás protocolos

27 Direcciones IPv6 Ejemplo de direcciones: IPv4: 159.90.19.64
Son 128 bits (2128 direcciones IPv6) lo cual da aproximadamente 3* 1038 direcciones a disposición (del orden de la centena de sixtillones de direcciones) Ejemplo de direcciones: IPv4: IPv6: 54D3:334B:180A:4321:54D3:334B:180A:4321 Si se llena el volumen de Tierra y Luna con esferas de 1 mm de radio se necesitarían aproximadamente 12,27*1037 esferas … UNA DIRECCIÓN IPv6 A CADA ESFERITA …

28 Asignación de direcciones
En IPv4 corresponden 8 personas por dirección suponiendo que no hay desperdicio. En IPv6 corresponden direcciones por persona !! Esto porque a partir de Oct/2006 se hizo distribución equitativa por paises sin importar su desarrollo Latinoamericana tiene 4,503,599,627,370,496 computadoras, es decir, 67 millones más que con IPv4.

29 Servicios usuario final
Redes sociales (facebook, twitter, whatsapp, …) VoIP (skype …) Localizadores (googleMaps, …) Correo electrónico y chat (gmail, hotmail, …) Audio y video (youtube, instagram, vine…) La nube … (googleDrive, dropbox, …) P2P (torrent, emule, limewire, …) Buscadores y repositorios (google, wikipedia, ..)

30 Objetivos de la Seguridad
Definir mecanismos y arquitecturas para tener ambientes seguros con respuesta efectiva ante ataques y pérdidas Servicios Mecanismos Confidencialidad Politicas Autentificación Cifrado Integridad Firma Digital No repudio Firewall Control de acceso VPN Disponibilidad IDS

31 Servicios de Seguridad
Confidencialidad: Ocultamiento de información sensible (privacidad) Integridad: Detectar alteraciones en el contenido de los mensajes Autentificación: Verificar la identidad del usuario Autorización: Permitir acceso a ciertos recursos al usuario No repudio: Evitar rechazo ante compromisos digitales asumidos Control de acceso: Evitar la intrusión de atacantes hacia puntos sensibles Disponibilidad: Asegurar permanencia del servicio

32 Criptografía Historia: Técnica para ocultar y así proteger información
mientras permanece en disco o mientras está en tránsito Historia: Tiene tres momentos claves Dependiente del algoritmo Código Cesar Esteganografía Dependiente de una clave simétrica Cifrado Vigénere y Cuaderno de uso único Enigma Bletchley Park (Colossus) Purpura DES y AES Dependiente de dos claves (publica y privada) Diffie-Hellman RSA (Rivest-Shamir-Adleman)

33 Técnicas básica de criptografía
Substitución: Cambia un carácter por uno o varios caracteres M U R C I E L A G O Hola como estas H ST7S Estas técnicas por si solas no son suficientes pues si el algoritmo es conocido se pierde el secreto del mecanismo de cifrado Transposición: Sobre una matriz se intercambian filas por columnas hola como hcesooslmtaoa esta s

34 Criptografía de Clave Simétrica
Clave compartida donde reside todo el secreto pues el algoritmo es bien conocido. Mezcla substitución + transposición Premisas: Texto en claro X Texto cifrado Y K Clave compartida EK(Z) Cifrar Z con K E-1K(Z) Descifrar Z con K A B Y X X K K Y=EK(X) X=E-1K(Y)

35 Algoritmos de Clave Simétrica
DES: Nace de un standard IBMy adoptado por el la DoD Gratuito y debería substituirse por AES. Sólo claves de 56 bits y por ello se usa tripleDES IDEA: Patentado en Suiza y propiedad de ASComtech Claves de 128 bits por lo que es más seguro RC2: Secreto comercial, divulgado por Internet en 1996 Claves hasta 2048 bits aunque sólo 40 fuera de USA AES: Licitación pública de 15 candidatos en el 2000 Ganó algoritmo de Rijmen y Daemen que subtituye a DES Mientras más grande es la clave más difícil de romper con fuerza bruta Clave 40 bits ≈ claves posibles, procesa 1 clave/μseg → 13 días Clave 128 bits ≈ claves posibles, procesa 1 clave/μseg → 1,01x1010 siglos Si 109 computadores → 1013 años

36 Cada clave se puede usar tanto para encriptar como para desencriptar
Criptografía de Clave Publica Problemas del cifrado simétrico: Proliferación de claves Intercambio inicial de la clave vía red complica el procedimiento Se basa en dos claves una pública expuesta y una privada bien resguardada Cada clave se puede usar tanto para encriptar como para desencriptar Texto en claro X Texto cifrado Y KuA Clave pública de A KiA Clave privada de A EKuA(Z) Cifrar Z con la clave pública de A E-1KuA(Z) Descifrar Z con la clave pública de A

37 Confidencialidad con Clave Pública
Y X KuB X KiA KiB KuA Y=EKuB(X) X=E-1KiB(Y) Intruso tiene: Texto cifrado Claves públicas de A y B No puede obtener el texto en claro

38 Autentificación con Clave Pública
Y X KuA KuB X KiA KiB Y=EKiA(X) X=E-1KuA(Y) Intruso tiene: Texto cifrado Claves públicas de A y B Puede obtener el texto en claro y asegurar la identidad del emisor Así lo más idoneo es que no transmita información confidencial o si lo hace cifre y de autentificación simultaneamente …

39 Confidencialidad + Autentificación
B Y X KuA KuB X KiA KiB EKuB(EKiA(X)) = Y E-1KuA(E-1KiB(Y)) = X Intruso tiene: Texto cifrado Claves públicas de A y B No puede obtener ninguna información util ……

40 Algoritmos de Clave Publica
Usos: Autentificación Firma digital Por ser muy lentos no se usan Intercambio de claves para confidencialidad… Algoritmos: RSA: Rivest/Shamir/Adleman del MIT El Gamal: Gratuito DSA: NSA (National Security Agency) Sólo para firma digital Anécdota ... Merkle ofrece (1978) $100 a quien rompa snapsack Shamir lo rompe en 1982 Merkle corrige y ofrece $1000 Brickell lo rompe 1984

41 Certificación Digital
Emular la capacidad de identificación en soporte digital Involucra Autoridades de Certificación donde se usa la infraestructura PKI Tipos: Lo que se sabe (clave de acceso) Lo que se tiene (carnet) Lo que se es (biometría) Sin embargo todos tiene inconvenientes ...

42 Autoridades de Certificación
Terceros que avalan la clave pública de entes comerciales, desarrolladores de software y particulares Compañía aseguradora que avala la seguridad de transacciones comerciales Funcionamiento: Una CA firma con su clave privada las claves públicas de sus clientes Para descifrar se requiere tener la clave pública de la CA (browser) Las CA se certifican con otras o se avalan a si mismas Se utiliza los certificados standard X.509-v3

43 Algoritmo de compendio
Certificados X.509-v3 Versión Número de serie Algoritmo de cifrado CA Emisora Período de validez no antes ... no después ... Clave pública Algoritmo de compendio Firma

44 Niveles de Seguridad por Capas del Modelo TCP/IP
PGP, S-MIME, ssh, sftp, scp, ... Aplicación Transporte Red Física SSL IPsec (Modo transporte) IPsec (modo Tunel) e IDS Seguridad Física Factores a evaluar: Seguridad dependiente del usuario Seguridad dependiente del tráfico Protección de cabeceras de paquetes Autentificación de máquinas Seguridad del hardware

45 VPN (Virtual Private Network)
Conexión a través de WAN que simula un canal dedicado, mediante cifrado, por lo que emula un circuito virtual Usos: Más barato que un canal dedicado Acceder localmente servidores situados remotos (transparencia) Cliente que remotamente accede de manera segura a su LAN (privacidad) Tipos de VPN: Cliente/Red: Cliente se conecta usando la red, a través de un ISP, vía protocolo VPN, (modos transparente o no transparente) Red/Red: Conectar LAN’s

46 Tipos de VPN WAN WAN Cliente Proxy C/S VPN Web ISP E-mail Servidor VPN
LAN Corporativa LAN Corporativa

47 Firewall Controlador de tráfico entre la red interna y la red externa
Filtra paquetes sobre un único punto de entrada Cuidado con las puertas traseras .... Conexiones vía modem Enlaces inalámbricos Internet Uno o varios routers o máquinas bastiones Firewall LAN Corporativa

48 Capacidades de un Firewall
Virtudes: Ente centralizado que facilita la toma de decisiones de seguridad con la ACL (Access Control List) Estadísticas de tráfico y prevención de problemas Debilidades: Proteger contra usuarios maliciosos internos Amenazas no previstas en el ACL Normalmente no protege contra virus (el filtrado sería muy lento) Tipos de Firewalls Firewall de Red: Router de protección o máquina independiente Firewall de Aplicación: Proxy dependiente de las aplicaciones Firewall Personal: Corre sobre la propia máquina Firewall de Kernel: Se instala con el SOP (iptables para linux) Puede ser personal o de red

49 Arquitecturas de Firewalls
Router ACL LAN Internet Router Externo Internet Bastion Router Interno LAN Corporativa Perímetro de seguridad