Redes y Seguridad Prof. Wílmer Pereira
Modelo clásico de capas Aplicación Transporte Red Acceso al medio Física Independencia de capas Direccionamiento explícito Dominio en Aplicación Puerto lógico en Transporte IP en Red MacAddress en Acceso al medio Puerto físico en Física Standard de facto en RFC Modelo cliente/servidor
Estructuracion de paquetes Emisor Receptor Ensamblado de paquetes Desensamblado de paquetes Datos Segmento Paquete Trama Secuencias de bits
Tipos de Redes LAN (Ethernet --- Tarjeta de red) MAN (ADSL, metroEthernet --- CANTV) WAN (IP --- Internet) Inalámbrico WPAN (Bluetooth --- Corto alcance) WLAN (WiFi --- Access Point) WMAN (WiMax, GPRS, UMTS --- Celular) WWAN (SATM, GPS --- Satélite)
Medios físicos cableados Par Trenzado: Cables de cobre de 1 mm trenzados para evitar diafonía. UTP, ScTP o STP (apantallado => menos diafonía y mejor calidad) Sin embargo los apantallados tienen el problema de la puesta a tierra Se usa en analógico o digital, Categoría 5 y 5e = 100 Mbps y 1 Gbps Categoría 6 = 10 Gbps (próxima generación) Cable Coaxial: Buena inmunidad al ruido, mayor AB que STP y también conexión a tierra En troncales telefónicos es substituido por la fibra óptica Banda base = 50 Ohm, para datos (en desuso) Banda ancha = 75 Ohm para CATV Fibra Óptica: Mayor ancho de banda, menor atenuación y no requieren conexión a tierra Más ligero e inmune a factores ambientales y electromagnéticos Materia prima abundante (arena) Menos estaciones repetidoras En distancias cortas hasta 50 Tbps Dos tipos Monomodo (un haz) y Multimodo (varios haces) Usa LED o laser para la emisión de luz
Cable submarino Breve Historia: Tipos de cable: Tendido de fibra óptica que pasa a través de un medio acuático (mar, lago o río) Breve Historia: 1850 primer cable para telegrafía a través del canal de la mancha 1956 primer cable interoceánico (coaxial para telefonía) desde Inglaterra a USA 1988 TAT-8 primer cable submarino con fibra óptica y tecnología digital 2000 … Anillos interoceánicos FLAG, ARCOS y TAT-14 en operación … … Todos los continentes están conectados excepto la Antartica … Tipos de cable: Ligero: Entre 1500 a 7000 mts de profundidad (no blindados) Armado: Para baja profundidad < 1500 mts (con mallado de acero) Ambos están compuestos de varios tipos de materiales Núcleo: Contiene la fibra óptica por donde se transmiten los datos Alimentación: Electricidad para las repetidoras Polietileno: Aislamiento y no evita corrosión del cable de alimentación Mallado de acero: Protección contra estiramiento y ataque de animales Cubierta exterior: Polietileno impermeabilizante
Cables submarinos mundiales
Cables submarinos en Venezuela
Estaciones en Venezuela Tres estaciones de amarre: Camuri Chico América I (1994) América II (2000) Enlaces a Anillos Costeros Punto Fijo Panamericano Arcos I Conexión a un anillo costero Occidental Caracas Alba-1 (sólo hacia Cuba) Globenet Son 7 anillos de fibra óptica con algunos tramos oceánicos. Hay enlaces con los Columbus (Europa) en el Caribe Conexión con el resto de Sudamérica hacia Unisur
Anillos de fibra óptica nacionales
Sistema Telefónico ~ 64Kbps 10 Mbps -100Mbps Servicio de transmisión de voz que se utiliza en informática si la comunicación más allá del ámbito de una red local (LAN) Red Telefónica vs Red Informática ~ 64Kbps 10 Mbps -100Mbps 1 error 105 bits 1 error 1013 bits La evolución va hacia permitir tráfico de Datos de diversa índole sobre la red telefónica: Voz Video (TV) ISDN (Red Numérica de Integración de Servicios)
Historia y arquitectura Graham Bell patentó el teléfono en marzo de 1876 (y Elisha Grey ...) Se tendía un cable entre cada par de teléfono o líneas públicas El primer centro de conmutación (manual) en 1878 La conmutación automática fue desarrollada por propietario de funeraria Arquitectura El número telefónico referencia a la jerarquía de conmutación Cables de 2, 4 o 6 hilos dependiendo de los servicios ofrecidos La última milla va al abonado y los cables entre centrales son troncales
Conmutación a comienzos del siglo 20
Transmisión Analógica vs Digital Menos errores a pesar de la mayor atenuación, restaura más eficientemente Permite mezclar muchos servicios Mantenimiento más sencillo (El eco se evita con supresores) Más barato Última milla Analógico hacia el teléfono y digital para el tráfico entre centrales
Conexión ADSL Casa: NID (dispositivo de Interfaz de Red). Separa canal de voz de datos Modem o router ADSL a tarjeta red o puerto USB Proveedor: Divisor DSLAM
Espectro Electromagnético Permite movilidad (celular, laptop, PDA) y cada servicio se sintoniza a distintas portadoras MHz GHz THz PHz Las frecuencias son asignadas por organismos públicos en cada país (CONATEL en Venezuela, FCC en USA, ITU a nivel mundial)
Principios de telefonía celular Celdas conformadas por la estación base (direccional o no) Reuso de frecuencias en celdas no adyacentes Ante congestión se subdividen más las celdas Cambio automático de celda ante usuario en movimiento handoff Suave, Duro e Intracelda Estación de conmutación independiente de la estación base (conexión vía microondas o cableada) Canal de señalización (paging, control, access y data) GSM (Digitel), WCDMA(GSM y CDMA) (Movistar), CDMA1x (Movilnet)
Comunicación satelital Repetidora en el espacio con ancho de banda entre 3,7 GHz y 30 GHz: TV, telefonía, meteorología, localización, etc Breve historia ... El primer satélite fue ruso sputnik (1957), aunque no de telecomunicaciones, inicio guerra fria. Después sputnik II con Laika Echo repetidora con pantalla de aluminio (1960). Visible de 10-90 minutos al día (no amplificaba). Telstar primer satélite real (1962). Olimpiadas de Tokio en vivo (1964) INTELSAT Consorcio internacional de 120 países, más de 20 satélites INMARSAT comunicación marítima (más de 47 países) Órbitas por altitud: Geoestacionarios (GEO) o polares (Molniya) Altitud media (MEO) Baja altitud (LEO)
Órbitas satelitales
Satélite Simón Bolívar (Venesat-1) Estación terrestre en Guarico (el Sombrero) y Bolívar (Luepa) Peso de 6 toneladas y una envergadura de 15 mts En el espacio de Uruguay (órbita Clark 959) por lo que usan el 10% del ancho de banda Dos antenas Ku una hacia el Caribe y otra hacia el sur y una antena Ka sólo hacia Venezuela Ya está en órbita el Francisco de Miranda (VeneSat-2)
Buhoneros de la telefonía … Italia 1930 Malasia 1920
Modelo Cliente/Servidor Máquina remota Máquina local Petición interfaz demonio Respuesta Cliente Servidor Todos los servicios sobre Internet funcionan bajo esta arquitectura El medio de envío para petición/respuesta es la red Un servidor debe poder manejar varios usuarios concurrentemente
Página Web Dinámica (lado del cliente) Máquina remota Máquina local Petición URL Browser javascript applets activeX flash HTTP Respuesta Página HTML + Aplicación Cliente Servidor Una aplicación corre del lado del cliente Construye una página Web ejecutando una aplicación que viajó desde el servidor El browser debe ser capaz de ejecutar aplicaciones (plug-ins)
Páginas Web Dinámicas (lado del servidor) Máquina remota Máquina local Petición URL Browser HTTP PHP ASP JSP Base de Datos Respuesta Página HTML Cliente Servidor Una aplicación corre del lado del servidor Construye una página Web con los datos extraídos de la BD El browser sólo visualiza páginas HTML
Pueden ser privadas o públicas, asignadas estáticas o dinámicamente Clases de direcciones IP Pueden ser privadas o públicas, asignadas estáticas o dinámicamente A: 128 redes a 16 millones de hosts B: 16.382 redes a 64.000 hosts C: 2 millones de redes a 256 hosts Rangos de direcciones privadas 10.0.0.0 - 10.255.255.255 (16.777.216 computadores) 172.16.0.0 - 172.31.255.255 (1.048.576 computadores) 192.168.0.0 - 192.168.255.255 (65.536 computadores)
El número creciente de usuarios y de conexiones con portatiles IPv6 El número creciente de usuarios y de conexiones con portatiles inalámbricos, televisores y hasta teléfonos sugieren el aumento de dir´s IP Objetivos: Aumentar el número de direcciones IP Disminuir tiempo de procesamiento en tránsito Proporcionar seguridad Considerar servicios multimedias Posibilitar uso de computadores móviles Permitir que versiones viejas y nuevas coexistan No es compatible con IPv4 pero respeta los demás protocolos
Direcciones IPv6 Ejemplo de direcciones: IPv4: 159.90.19.64 Son 128 bits (2128 direcciones IPv6) lo cual da aproximadamente 3* 1038 direcciones a disposición (del orden de la centena de sixtillones de direcciones) Ejemplo de direcciones: IPv4: 159.90.19.64 IPv6: 54D3:334B:180A:4321:54D3:334B:180A:4321 Si se llena el volumen de Tierra y Luna con esferas de 1 mm de radio se necesitarían aproximadamente 12,27*1037 esferas … UNA DIRECCIÓN IPv6 A CADA ESFERITA …
Asignación de direcciones En IPv4 corresponden 8 personas por dirección suponiendo que no hay desperdicio. En IPv6 corresponden 8.129.240 direcciones por persona !! Esto porque a partir de Oct/2006 se hizo distribución equitativa por paises sin importar su desarrollo Latinoamericana tiene 4,503,599,627,370,496 computadoras, es decir, 67 millones más que con IPv4.
Servicios usuario final Redes sociales (facebook, twitter, whatsapp, …) VoIP (skype …) Localizadores (googleMaps, …) Correo electrónico y chat (gmail, hotmail, …) Audio y video (youtube, instagram, vine…) La nube … (googleDrive, dropbox, …) P2P (torrent, emule, limewire, …) Buscadores y repositorios (google, wikipedia, ..)
Objetivos de la Seguridad Definir mecanismos y arquitecturas para tener ambientes seguros con respuesta efectiva ante ataques y pérdidas Servicios Mecanismos Confidencialidad Politicas Autentificación Cifrado Integridad Firma Digital No repudio Firewall Control de acceso VPN Disponibilidad IDS
Servicios de Seguridad Confidencialidad: Ocultamiento de información sensible (privacidad) Integridad: Detectar alteraciones en el contenido de los mensajes Autentificación: Verificar la identidad del usuario Autorización: Permitir acceso a ciertos recursos al usuario No repudio: Evitar rechazo ante compromisos digitales asumidos Control de acceso: Evitar la intrusión de atacantes hacia puntos sensibles Disponibilidad: Asegurar permanencia del servicio
Criptografía Historia: Técnica para ocultar y así proteger información mientras permanece en disco o mientras está en tránsito Historia: Tiene tres momentos claves Dependiente del algoritmo Código Cesar Esteganografía Dependiente de una clave simétrica Cifrado Vigénere y Cuaderno de uso único Enigma Bletchley Park (Colossus) Purpura DES y AES Dependiente de dos claves (publica y privada) Diffie-Hellman RSA (Rivest-Shamir-Adleman)
Técnicas básica de criptografía Substitución: Cambia un carácter por uno o varios caracteres M U R C I E L A G O 0 1 2 3 4 5 6 7 8 9 Hola como estas H967 3909 5ST7S Estas técnicas por si solas no son suficientes pues si el algoritmo es conocido se pierde el secreto del mecanismo de cifrado Transposición: Sobre una matriz se intercambian filas por columnas hola como hcesooslmtaoa esta s
Criptografía de Clave Simétrica Clave compartida donde reside todo el secreto pues el algoritmo es bien conocido. Mezcla substitución + transposición Premisas: Texto en claro X Texto cifrado Y K Clave compartida EK(Z) Cifrar Z con K E-1K(Z) Descifrar Z con K A B Y X X K K Y=EK(X) X=E-1K(Y)
Algoritmos de Clave Simétrica DES: Nace de un standard IBMy adoptado por el la DoD Gratuito y debería substituirse por AES. Sólo claves de 56 bits y por ello se usa tripleDES IDEA: Patentado en Suiza y propiedad de ASComtech Claves de 128 bits por lo que es más seguro RC2: Secreto comercial, divulgado por Internet en 1996 Claves hasta 2048 bits aunque sólo 40 fuera de USA AES: Licitación pública de 15 candidatos en el 2000 Ganó algoritmo de Rijmen y Daemen que subtituye a DES Mientras más grande es la clave más difícil de romper con fuerza bruta Clave 40 bits ≈ 1012 claves posibles, procesa 1 clave/μseg → 13 días Clave 128 bits ≈ 1038 claves posibles, procesa 1 clave/μseg → 1,01x1010 siglos Si 109 computadores → 1013 años
Cada clave se puede usar tanto para encriptar como para desencriptar Criptografía de Clave Publica Problemas del cifrado simétrico: Proliferación de claves Intercambio inicial de la clave vía red complica el procedimiento Se basa en dos claves una pública expuesta y una privada bien resguardada Cada clave se puede usar tanto para encriptar como para desencriptar Texto en claro X Texto cifrado Y KuA Clave pública de A KiA Clave privada de A EKuA(Z) Cifrar Z con la clave pública de A E-1KuA(Z) Descifrar Z con la clave pública de A
Confidencialidad con Clave Pública Y X KuB X KiA KiB KuA Y=EKuB(X) X=E-1KiB(Y) Intruso tiene: Texto cifrado Claves públicas de A y B No puede obtener el texto en claro
Autentificación con Clave Pública Y X KuA KuB X KiA KiB Y=EKiA(X) X=E-1KuA(Y) Intruso tiene: Texto cifrado Claves públicas de A y B Puede obtener el texto en claro y asegurar la identidad del emisor Así lo más idoneo es que no transmita información confidencial o si lo hace cifre y de autentificación simultaneamente …
Confidencialidad + Autentificación B Y X KuA KuB X KiA KiB EKuB(EKiA(X)) = Y E-1KuA(E-1KiB(Y)) = X Intruso tiene: Texto cifrado Claves públicas de A y B No puede obtener ninguna información util ……
Algoritmos de Clave Publica Usos: Autentificación Firma digital Por ser muy lentos no se usan Intercambio de claves para confidencialidad… Algoritmos: RSA: Rivest/Shamir/Adleman del MIT El Gamal: Gratuito DSA: NSA (National Security Agency) Sólo para firma digital Anécdota ... Merkle ofrece (1978) $100 a quien rompa snapsack Shamir lo rompe en 1982 Merkle corrige y ofrece $1000 Brickell lo rompe 1984
Certificación Digital Emular la capacidad de identificación en soporte digital Involucra Autoridades de Certificación donde se usa la infraestructura PKI Tipos: Lo que se sabe (clave de acceso) Lo que se tiene (carnet) Lo que se es (biometría) Sin embargo todos tiene inconvenientes ...
Autoridades de Certificación Terceros que avalan la clave pública de entes comerciales, desarrolladores de software y particulares Compañía aseguradora que avala la seguridad de transacciones comerciales Funcionamiento: Una CA firma con su clave privada las claves públicas de sus clientes Para descifrar se requiere tener la clave pública de la CA (browser) Las CA se certifican con otras o se avalan a si mismas Se utiliza los certificados standard X.509-v3
Algoritmo de compendio Certificados X.509-v3 Versión Número de serie Algoritmo de cifrado CA Emisora Período de validez no antes ... no después ... Clave pública Algoritmo de compendio Firma
Niveles de Seguridad por Capas del Modelo TCP/IP PGP, S-MIME, ssh, sftp, scp, ... Aplicación Transporte Red Física SSL IPsec (Modo transporte) IPsec (modo Tunel) e IDS Seguridad Física Factores a evaluar: Seguridad dependiente del usuario Seguridad dependiente del tráfico Protección de cabeceras de paquetes Autentificación de máquinas Seguridad del hardware
VPN (Virtual Private Network) Conexión a través de WAN que simula un canal dedicado, mediante cifrado, por lo que emula un circuito virtual Usos: Más barato que un canal dedicado Acceder localmente servidores situados remotos (transparencia) Cliente que remotamente accede de manera segura a su LAN (privacidad) Tipos de VPN: Cliente/Red: Cliente se conecta usando la red, a través de un ISP, vía protocolo VPN, (modos transparente o no transparente) Red/Red: Conectar LAN’s
Tipos de VPN WAN WAN Cliente Proxy C/S VPN Web ISP E-mail Servidor VPN LAN Corporativa LAN Corporativa
Firewall Controlador de tráfico entre la red interna y la red externa Filtra paquetes sobre un único punto de entrada Cuidado con las puertas traseras .... Conexiones vía modem Enlaces inalámbricos Internet Uno o varios routers o máquinas bastiones Firewall LAN Corporativa
Capacidades de un Firewall Virtudes: Ente centralizado que facilita la toma de decisiones de seguridad con la ACL (Access Control List) Estadísticas de tráfico y prevención de problemas Debilidades: Proteger contra usuarios maliciosos internos Amenazas no previstas en el ACL Normalmente no protege contra virus (el filtrado sería muy lento) Tipos de Firewalls Firewall de Red: Router de protección o máquina independiente Firewall de Aplicación: Proxy dependiente de las aplicaciones Firewall Personal: Corre sobre la propia máquina Firewall de Kernel: Se instala con el SOP (iptables para linux) Puede ser personal o de red
Arquitecturas de Firewalls Router ACL LAN Internet Router Externo Internet Bastion Router Interno LAN Corporativa Perímetro de seguridad