Unidad 3 Seguridad en Banda Ancha FIREWALL Hardware o software que impone una política de seguridad entre la red interna e Internet o entre diferentes redes. Universidad Nacional de Jujuy–Cátedra de Comunicaciones–Redes de Datos de Banda Ancha

Objetivos de un Firewall Visto desde el Exterior Restricción de acceso desde el exterior a puntos críticos de la red interna. Prevención frente a intrusos que tratan de ganar espacio en la red interna. Limitación de servicio para usuarios extra – red. Visto desde el Interior Limitación de los servicios utilizables por los usuarios internos de la red. Prevención de infecciones de virus y malware. Universidad Nacional de Jujuy–Cátedra de Comunicaciones–Redes de datos de Banda Ancha

Limitaciones de un Firewall No ofrece protección una vez que el atacante penetra la barrera. No ofrece protección sobre el tráfico que no pasa por el. No puede proteger contra traidores o usuarios inconscientes dentro de la red. No protege contra ataques de ingeniería social. No protege contra virus o malware dentro de la red interna aunque si suele ayudar a su detección. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Bases para elegir un Firewall Posturas sobre las políticas básicas. Denegar todo salvo……. (Mas seguro) Permitir todo salvo……. (Mas fácil de usar) Políticas internas frente a la seguridad. ¿Hay políticas internas de seguridad? El costo del proyecto “Firewall”. Paquete simple de filtrado. Software embebido en el ruteador. Hardware específico. Capacidad de mantenimiento del Firewall. ¿Existe quien se ocupe de mantener actualizado el Firewall y sus reglas? Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Los factores en contra Ineficiencia Configuración complicada La inspección de paquetes atenta contra el rendimiento. Muchas veces la tasa de transferencia de paquetes se reduce en varios ordenes de magnitud. Configuración complicada La definición precisa de las configuraciones suele ser complicada. Los usuarios por desconocimiento aceptan limitaciones que van en contra de su propia eficiencia. Aplicaciones incompatibles Existen todavía aplicaciones que no funcionan en conjunto con un firewall. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Certificación: ICSA. Inc. ICSA Inc. Desarrolla criterios uniformes para evaluar productos similares de distintos fabricantes. Es reconocida su evaluación y certificación de Antivirus y Firewalls. No evalúan performance sino características. La certificación se basa en la definición de requerimientos mínimos aceptables por una organización típica. No garantiza que el firewall sea impenetrable ya que esto depende de una configuración puntual. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

NAT: Network Address Translation Mecanismo que permite intercambiar paquetes entre dos redes que tienen direcciones IP incompatibles. Consiste en convertir las direcciones en tiempo real dentro de los paquetes transportados. En general transporta redes con IP privadas (RFC 1918) mediante el uso de una sola IP pública. Permite la conectividad a Internet de redes privadas. Existen algunos protocolos y aplicaciones de red que son incompatibles con NAT. Existen varias formas de funcionamiento: Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

NAT: tipos Estático Dinámico Mapea una IP pública unívocamente con una IP privada Dinámico Sobrecarga: una IP pública y varias privadas. También se los conoce como PAT (Port Address Translation) o NAT multiplexado a nivel puerto. Una IP privada y varias IP públicas: poco usado. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Funcionamiento de NAT Source NAT Destination NAT Reemplazo de la dirección de Origen privada por la pública Resguardo del número de secuencia del paquete en una tabla NAT dentro del router. Al regresar el paquete se cambia la dirección de Destino por la correspondiente registrada en la tabla NAT. Destination NAT Se conoce con el nombre de FORWARD. Es el proceso inverso al anterior. Reemplazo de la Dirección destino pública por la privada. Precisa una o varias reglas específicas. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Listas de Control de Acceso ACL (Access Control Lists) Listado de condiciones. Ordenamiento y aplicación Secuencial Posee dos condiciones: Permiso o Prohibición (Permit – Deny) En los routers se usan para filtrar o dejar pasar paquetes IP que cumplan con determinadas condiciones. Si el paquete cumple con una de las condiciones de la ACL las demás condiciones serán omitidas. Cuando un paquete cumple con una condición “Deny” el protocolo ICMP devuelve un paquete de destino inalcanzable. Cuando se llega la final de la lista, el paquete se deniega. En toda ACL debe haber por lo menos un “permit” porque sino bloquearía todo el tráfico. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Acceso Remoto Es la capacidad de manejar vía una conexión de red equipos o servidores intercambiando refrescos de pantalla, movimientos de mouse y teclas. Acceso Remoto a terminales modo texto. Telnet SSH (Secure Shell) Acceso remoto al Escritorio en modo gráfico. VNC (Virtual Network Computing) RDP (Remote Desktop Protocol) NX (No Machine) Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

VPN: Virtual Private Network Permite la extensión de una red privada sobre una red insegura como internet. Autenticación Usuario y Contraseña: ¿Quién está del otro lado? Autorización Usuario y Contraseña: ¿Qué nivel de acceso debe tener? Integridad Garantiza que los datos no han sido modificados mediante el uso de MD (Message Digest) y SHA (Secure Hash). Confidencialidad Los datos no pueden ser interceptados por terceros. Se usa encriptación DES (Data Encryption Standard), 3DES o AES (Advanced Encryption Standard). No repudio Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Tipos de VPN VPN de Acceso Remoto. VPN punto a punto. Tunneling. Acceso a la red interna desde sitios inseguros utilizando internet como vínculo de acceso. VPN punto a punto. Interconexión de dos o mas redes remotas a una red central usando Internet como vínculo. Tunneling. Intercambio de información cifrada. Utiliza generalmente una conexión SSL. Utiliza Encriptación y Compresión a la vez. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

VPN Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Proceso AAA Autenticación. Autorización. Auditoría. Verificar la identidad digital del remitente de una petición de conexión. Autorización. Verificar los recursos de la red a los que tiene acceso el usuario autenticado. Suele ser un proceso conjunto al de autenticación. Auditoría. Proceso continuo que registra todos y cada uno de los accesos que un usuario realiza en la red, esté autorizado o no. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Autenticación Características Tipos de Autenticación. Debe ser fiable con una probabilidad muy alta. Debe ser económicamente factible. Debe soportar ataques de fuerza bruta o diccionarios. Debe ser lo suficientemente simple para que sea aceptado por los usuarios. Tipos de Autenticación. Basados en algo conocido: Ej: passwd Basados en algo poseído: Ej: smartcard, token, ePass Basados en una característica física o gesto involuntario del usuario: Ej: huellas digitales, patrón de voz, patrones oculares. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Protocolo AAA: Radius Radius: (Remote Authentication Dial In User Service) Protocolo estándar de AAA Esquemas de autenticación: PAP, CHAP, EAP, LDAP, etc. Registra eventos como: Fecha y hora de inicio de sesión Fecha y hora de finalización de la sesión Total de Bytes y paquetes transferidos durante la sesión. La razón de terminación de la sesión. Permite pasar parámetros a medida al usuario. Permite la asignación dinámica de IP. Prevé métodos para desconectar al usuario cuando la sesión finaliza. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Protocolo AAA: Radius Esquema de funcionamiento Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Seguridad en Redes Wireless Autentificación de direcciones MAC. Lo poseen casi todos los sistemas inalámbricos. El administrador tiene que cargar cada MAC habilitada Es susceptible a la clonación de MAC Seguridad IP (IPSec). Encriptación de paquetes en capa 3 de OSI. No todos los sistemas inalámbricos lo implementan. WEP (Wired Equivalent Privacy) Encriptación de los paquetes en capa 6 de OSI. Utiliza una llave única para encriptar la información periódicamente. Es un sistema de seguridad relativamente sencillo de romper. WPA (WiFI Protected Access) Se crea para mejorar la seguridad que brinda WEP. Utiliza TKIP (Temporal Key Integrity Protocol) para cambiar la clave de encriptación en forma periódica. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha

Seguridad en Redes Wireless WIDS (Wireless Intrusion Detection System) Sistema que monitorea el espacio inalámbrico en busca de estaciones no autorizadas. Alerta cuando encuentra estaciones sospechosas. VPN Utiliza el concepto de VPN considerando a la red inalámbrica como la red insegura. HoneyPot Herramienta de seguridad para conocer sobre los atacantes y sus técnicas. 802.1x Norma del IEEE para control de admisión de Red basada en puertos ethernet. Se está empezando a utilizar en conjunto con WAP y Radius. Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Redes de datos de Banda Ancha