Capítulo 8 Seguridad en Redes WEP, FW, IDS

Slides:



Advertisements
Presentaciones similares
Capa 4 Capa de Transporte
Advertisements

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Firewalls COMP 417.
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Capa de Transporte del modelo OSI
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Prestación de servicios para trabajadores a distancia Acceso a.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7
Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.
Seguridad en la Red WIFI
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Protocolos de seguridad en redes inalámbricas Universidad Carlos III de Madrid Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun04.
Introducción a los protocolos de enrutamiento dinámico
Tecnologías inalámbricas
Direccionamiento de red
Información pública de Cisco1© 2007 Cisco Systems, Inc. Todos los derechos reservados. Resolución de problemas de la red Networking para el hogar y pequeñas.
Seguridad en las redes de computadores
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 VPNs con PGP Introducción Definiciones Instalación de PGPnet Añadir un host PGPnet.
MODELO TCP/IP.
TOPICOS ACTIVIDAD # 5 TOPICOS G.B.I PRESENTADO POR:
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Aspectos básicos de networking: Clase 5
CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors (apunts de l’assignatura en format transparència) Introducción a los.
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
2da. Parte Capítulos 5-12: Transmisión de Paquetes
FIREWALLS.
LISTAS DE CONTROL DE ACCESO (ACL)
Capítulo 7 Seguridad en las redes de computadores Nota sobre el uso de estas diapositivas ppt: Proporcionamos estas diapositivas de forma gratuita para.
66.69 Criptografía y Seguridad Informática FIREWALL.
Conceptos avanzados Dr. Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
Introducción1-1 Capítulo 1: Introducción ELO322: Redes de Computadores Agustín J. González Este material está basado en el material preparado como apoyo.
Fundamentos de TCP/IP.
1 Capítulo 21: Interacción Cliente Servidor ICD 327: Redes de Computadores Agustín J. González.
2: Capa Aplicación 1 Capa Aplicación: FTP ELO322: Redes de Computadores Agustín J. González Este material está basado en:  Material de apoyo al texto.
Aspectos básicos de networking: Unidad 5
Capítulo 8 Seguridad en Redes
Capítulo 8 Seguridad en Redes Generalidades y Principios Basado en: Computer Networking: A Top Down Approach, 5 th edition. Jim Kurose, Keith Ross Addison-Wesley,
Capa Transporte 3-1 Capítulo 3: Capa Transporte - IV ELO322: Redes de Computadores Agustín J. González Este material está basado en:  Material de apoyo.
Capítulo 8 Seguridad en Redes Conexiones TCP Seguras: SSL Basado en: Computer Networking: A Top Down Approach 5 th edition. Jim Kurose, Keith Ross Addison-Wesley,
Capa Transporte3-1 Capítulo 3: Capa transporte ELO322: Redes de Computadores Agustín J. González Este material está basado en el material preparado como.
Capa de Red4-1 Capítulo 4: Capa Red - IV ELO322: Redes de Computadores Agustín J. González Este material está basado en:  Material de apoyo al texto Computer.
 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)
Computer Networking: A Top Down Approach. Jim Kurose, Keith Ross.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
2: Capa Aplicación 1 Capa Aplicación: File Transfer Protocol ELO322: Redes de Computadores Agustín J. González Este material está basado en:  Material.
Ing. Elizabeth Guerrero V.
Arquitecturas de cortafuegos:
Capítulo 5: Capa Enlace de Datos - I
Técnicas de cifrado. Clave pública y clave privada:
Unidad 4. Servicios de acceso remoto
Point-to-point protocol PPP Multiprotocol Level Switching MPLS
Capítulo 8 Seguridad en Redes:
Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se.
Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross.
Capítulo 8, Sección 8.6: IPsec
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8, Sección 8.6: IPsec
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8, Sección: IPsec
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8 Seguridad en Redes WEP, FW, IDS
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Transcripción de la presentación:

Capítulo 8 Seguridad en Redes WEP, FW, IDS Basado en: Computer Networking: A Top Down Approach, 5th edition. Jim Kurose, Keith Ross Addison-Wesley, April 2009. 1

Capítulo 8 contenidos 8.1 ¿Qué es la seguridad en la red? 8.2 Principios de criptografía 8.3 Integridad de mensajes 8.4 Dando seguridad a e-mail 8.5 Conexiones TCP seguras: SSL 8.6 Seguridad en capa de Red: IPsec (lo saltamos) 8.7 Seguridad en redes locales inalámbricas 8.8 Cortafuegos y Sistemas de detección de intrusión (IDS) 2

Capítulo 8 contenidos 8.1 ¿Qué es la seguridad en la red? 8.2 Principios de criptografía 8.3 Integridad de mensajes 8.4 Dando seguridad a e-mail 8.5 Conexiones TCP seguras: SSL 8.6 Seguridad en capa de Red: IPsec (lo saltamos) 8.7 Seguridad en redes locales inalámbricas 8.8 Cortafuegos y Sistemas de detección de intrusión (IDS) 3

Wired Equivalent Privacy:WEP Objetivos de diseño Cifrado de clave simétrica Confidencialidad Autorización de acceso Integridad de datos Auto sincronización: cada paquete es cifrado separadamente Dado un paquete cifrado y una clave, podemos descifrarlo; podemos continuar descifrado aún cuando el paquete previo se ha perdido. Distinto a Cifrado de bloques en cadena (Cipher Block Chaining, CBC) Eficiente Puede ser implementado en software o hardware

Recordemos: Cifrado simétrico de flujos keystream generator key Combina cada byte del keystream con byte de texto plano para obtener texto cifrado m(i) = i° unidad de mensaje ks(i) = i° unidad del keystream c(i) = i° unidad del texto cifrado c(i) = ks(i)  m(i) ( = or-exclusive) m(i) = ks(i)  c(i) WEP usa RC4

Cifrado de flujo e independencia de paquetes Recordemos el objetivo de diseño: cada paquete debe cifrarse separadamente Si para trama n+1, usamos keystream desde donde quedó en trama n, no se cumple cifrado independiente de tramas Pues necesitamos saber dónde terminamos en paquete n Esquema WEP: se inicia el keystream con clave y vector de iniciación (Initialization Vector) por cada paquete: keystream generator Key+IVpacket keystreampacket

Encriptación WEP (1) Tx calcula un Valor de Chequeo de Integridad (ICV) de los datos Es un hast/CRC de 4 bytes para integridad a los datos Cada extremo tiene una clave compartida de 40 bits. Tx crea un vector de iniciación (IV) de 24 bits y lo agrega a la clave: se tiene clave de 64 bits Clave de 64 bits ingresa al algoritmo pseudo aleatorio para generar keystream La trama + ICV es encriptado con RC4: Or-ex de bytes de keystream con bytes de datos e ICV IV e ID de clave son agregadas a los datos cifrados El resultado es insertado en trama 802.11 encrypted data ICV IV MAC payload

Encriptación WEP (2) IV nuevo por cada frame 40

Descifrando WEP Rx extrae IV encrypted data ICV IV MAC payload Rx extrae IV Ingresa IV y secreto compartido en generador pseudo aleatorio, obtiene keystream Hace OR-EX de keystream con datos encriptados, así obtiene datos e ICV Verifica integridad de los datos con ICV

Autenticación WEP No todos los APs lo hacen, Aún si usan WEP. AP indica en beacon si autenticación Es requerida. Es hecha Antes de la asociación. AP Requerimiento de autenticación Número único (128 bytes) Número único cifrado con clave compartida Éxito si número único corresponde

Vulnerando cifrado WEP 802.11 Hoyo de seguridad: IV de 24-bit y uno por trama -> IV es reusado en algún momento IV no es cifrado -> reuso de IV es detectado Ataque: Intruso causa que Alicia cifre texto conocido d1 d2 d3 … Intruso ve: ci = di XOR kiIV Intruso conoce ci di, puede calcular kiIV Así intruso llega a saber la secuencia de claves k1IV k2IV k3IV … La próxima vez que IV es usado, el intruso puede descifrar mensaje! Hoy existen mejores opciones, por ejemplo EAP: extensible authentication protocol 11

Capítulo 8 contenidos 8.1 ¿Qué es la seguridad en la red? 8.2 Principios de criptografía 8.3 Integridad de mensajes 8.4 Dando seguridad a e-mail 8.5 Conexiones TCP seguras: SSL 8.6 Seguridad en capa de Red: IPsec (lo saltamos) 8.7 Seguridad en redes locales inalámbricas 8.8 Cortafuegos y Sistemas de detección de intrusión (IDS) 12

Cortafuegos Cortafuegos Aísla la red interna de la organización de Internet, permite pasar a algunos paquetes y bloquea otros. Red Administrada Internet Pública firewall 13

Cortafuegos: ¿Por qué? Previene ataques de denegación de servicio: Inundación de SYN: atacante establece muchas conexiones TCP inconclusas, no deja recursos para las reales. Previene modificación/acceso ilegal a datos internos. e.g., atacante cambia la página web del Depto. Permite sólo accesos autorizados al interior de la red. Hay tres tipos de cortafuegos: Filtros de paquete sin estado Filtro de paquetes con estado Gateways de aplicación 14

Filtrado de paquetes sin estado Debería permitirse ingresar al paquete? salir? Red interna conectada a Internet vía router cortafuego router filtra paquete por paquete, decisión es basada en: IP fuente, IP destino Número de puertos fuente y destino TCP/UDP Tipo de mensaje ICMP Bits SYN y ACK de TCP 15

Ejemplo de filtrado sin estado Ejemplo 1: bloquear datagramas de entrada y salida campo protocolo IP = 17 o con puerto fuente o destino = 23. Bloquea todo flujo UDP de entrada y salida, y bloquea conexiones telnet Ejemplo 2: Bloquee segmentos TCP entrantes con ACK=0. Impide a clientes externos hacer conexiones TCP con clientes internos, pero en el otro sentido sí se permite. 16

Más ejemplos de filtrado sin estado Política Configuración de Firewall No permitir acceso a Web externo. Descarte todo paquete saliente a puerto 80, cualquier IP No conexiones TCP entrantes, excepto a servidor web de la institución. Descarte todo SYN TCP a cualquier IP excepto a 130.207.244.203, puerto 80 Impedir que radios Web consumanbandwidth. Descartar todo paquete UDP entrante excepto DNS y broadcasts de routers. Impedir que hagan traceroute sobre la red Descartar todo paquete ICMP de salida señalando TTL expirado 17

Listas de control de acceso (ACL) ACL: Tabla de reglas, aplicada de arriba a abajo a paquetes de paso: pares (acción, condición) action source address dest protocol port flag bit allow 222.22/16 outside of TCP > 1023 80 any ACK UDP 53 --- ---- deny all 18

Filtrado de paquetes con estado Filtrado sin estado Admite paquetes que “no hacen sentido”; ej. puerto destino = 80, ACK bit fijado, aún cuando no existe conexión TCP establecida: action source address dest protocol port flag bit allow outside of 222.22/16 TCP 80 > 1023 ACK Filtrado con estado: sigue estado de cada conexión TCP Sigue los SYN, FIN: Puede determinar si los paquetes “hacen sentido” Puede hacer timeout de conexiones inactivas: no acepta más paquetes 19

Filtrado con estado ACL aumentada para indicar la necesidad de verificar el estado de la conexión antes de admitir paquete action source address dest proto port flag bit check connection allow 222.22/16 outside of TCP > 1023 80 any ACK x UDP 53 --- ---- deny all 20

Gateway de Aplicación Sesión telnet gateway-to-remote host Sesión telnet host-to-gateway Filtra paquetes según datos de aplicación y también campos IP/TCP/UDP. Ejemplo: permite hacer telnet sólo a usuarios seleccionados. application gateway router and filter 1. Requiere que todo telnet sea hecho a través del gateway. 2. Para los autorizados, el gateway hace la conexión al host destino. Gateway hace reenvío entre las dos conexiones. 3. El router filtra todo telnet que no venga desde el gateway. 21

IDS Intrusion detection systems (sistemas de detección de intrusión) Filtrado de paquetes: Operan sólo sobre encabezados TCP/IP No hay correlación entre sesiones IDS: intrusion detection system Hacen inspección profunda del paquete: Se fija en contenido (ej. revisa contenido en base de datos buscando virus, ataques etc.) examina correlación entre múltiples paquetes Scaneo de puertos Mapeo de la red Ataques de DoS 22

Intrusion detection systems múltiple IDSs: diferentes tipos de chequeo en diferentes puntos Gateway de Aplicación firewall Internet Red interna Web server Sensores IDS DNS server FTP server Zona Desmilitarizada 23

Seguridad en Redes (resumen) Técnicas básicas…... Criptografía (simétrica y pública) Integridad de mensajes Autenticación entremo a extremo …. son usadas en muchos escenarios de seguridad email Capa transporte (SSL) Capa de red IP sec (lo saltamos) 802.11 (Wifi) Seguridad Operacional: Cortafuegos e IDS 8: Network Security 24

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.