Diseño de seguridad en una Red GEPON orientada a servicios X-Play Templates Por: Margie Denisse Cervantes Valencia Dolores Margarita Pesantez Pesantez Giomayra Ofelia Rosales Basantes Your own sub headline This is an example text. Go ahead and replace it with your own text. Your Logo

Agenda 1 2 3 4 5 6 9 10 11 12 Introducción Objetivos Definición del Problema 4 Servicios Cuádruple‐PLAY 5 Tecnología FTTH 6 Tecnologíasy Redes PON 9 Asegurando la Red GEPON 10 Ataques, Vulnerabilidades, Consecuencias y Contramedidas 11 Escenarios de Ataque 12 Conclusiones y Recomendaciones

Introducción Continua competencia e innovación para un mejor servicio de ancho de banda. Servicios X-Play analizados : Internet Banda Ancha, Telefonía IP, IPTV, Video Vigilancia IP Tecnologías FTTH y GEPON permiten ofrecer servicios de mejor calidad a precios competitivos. Nueva tecnología propensa a ser vulnerable, atacada y comprometida. Análisis de seguridad para cada elemento de la red GEPON, servicios Cuádruple-Play y escenarios de ataques con sus respectivas soluciones.

Objetivos Analizar las vulnerabilidades en la red y proponer posibles 1 Confidencialidad Disponibilidad Integridad 2 Proporcionar información oportuna, precisa y concisa. 3 Estudiar el ambiente actual de seguridad de la red GEPON. 4 Definir un mejor diseño.. 5 Mantener los sistemas generando resultados. 6 Identificar puntos débiles de los activos.

Definición del Problema Velocidades de Ancho de Banda limitado, Mayor inversión, varios medios de transmisión. Generales TOTAL VISIBILIDAD TOTAL CONTRAL Tecnología nueva en nuestro país sujeta a vulnerabilidades, ataques y amenazas. Controles de seguridad débiles. Total Visibilidad y Total Control

Servicios Cuádruple-PLAY Internet Banda Ancha Telefonía IP IPTV Video Vigilancia IP Internet Banda Ancha Transmisión de varios datos por un mismo medio Telefonía IP Voz sobre el protocolo de Internet Comunicaciones más económicos IPTV Televisión y video a través de Internet banda ancha Ocio y entretenimiento basada en la televisión VideoVigilancia IP Seguridad física a través de IP Acceso a videos desde cualquier lugar

Tecnología Fibra Hasta el Hogar (FTTH) Transmisión de datos por de cables de fibra óptica. Velocidad de transmisión de 100 megas simétricos. Integrar nuevos servicios y tecnología. VENTAJAS Transportar en una única red todos los servicios posibles y abaratar la operación, el mantenimiento y la gestión de la red. 1 Tener un solo proveedor de todos los servicios. 2 Mejorar la calidad de los servicios, llegando hasta los hogares la calidad digital. 3 Facilidad para integrar nuevos servicios y tecnología. 4 DESVENTAJAS La unión de los servicios de comunicación en una sola red podría causar un daño en todas las vías de comunicación debido a que se crea un único punto de falla. 1

Tecnologías y Redes PON EMS Redes PON ODN Tecnología punto - multipunto 1 Servicios FTTx : FTTH FTTA FTTB FTTC FTTP 2 Tipos: APON, BPON, GPON, EPON y GEPON. 3 OLT ONU Capitulo 3 APON: estandar ATM, se adecúa a distintas arquitecturas de redes de acceso FTTH FTTB FTTC. El canal de bajada tiene una máxima velocidad bajada de 155.52 Mbps que se reparten entre el número de usuarios que estén conectados al nodo óptico. Para el canal de subida, la trama se construye a partir de 54 celdas. BPON: acceso a más servicios como Ethernet, distribución de video, VPL, y multiplexación por longitud de onda (WDM). ITU-T 983 desde la G.983.1 hasta la G.983.8, al principio simétrica después del 2001 asimétricas (155 Mbps de subida y 622 Mbps de bajada). GPON: soporta tasas de transferencia de 2.488 Gbps para el canal de bajada y de 1.244 para el canal de subida Tecnologías Ethernet de primera milla Punto a punto: 1Gbps, 100Km, bajo costo, alto rendimiento y facil acceso para una familia en condiciones normales Multipunto 1Gbps, 20Km, minimiza el tendido de fibra, al emplear tecnologías punto multipunto ofrece servicios FTTP, FTTH, servicios de encriptación s/b GEPON: tecnología creada para el uso de las telecomunicaciones y acopla las tecnplogías de Ethernet y Red Óptica Pasiva en una misma estructura, simplifica y abarata la gestión de la red ya que la fibra facilita la llegada hasta los abonados y los equipos con los q se accede son más económicos al usar interfaces Ethernet. El estandar IEEE 802.3 funciona con velocidades de Gigabit, QOS (calidad de sreviciio) en ambos canales. OLT: Terminal de Línea Óptica. Interfaz de Red de distribución óptica (PDU y la gestión de la ONU), Función de conexión cruzada(tecnologías depende de los servicios, OLT y otras), Función de interfaz de puerto de servicio (interpretación entre interfaces de servicios y interfaz de distribución). ONU: Unidad Óptica de Red. ODN: Red de Distribución Óptica. POS: Splitter Óptica Pasiva. Balanceado entre ramificación alta de fibras, distancias a los clientes y las potencias manejadas por los equipos. EMS: analiza y controla todos los elementos en la red, incluyen funcionalidades como detención de fallos, configuraciones, rendimiento, cumplimiento de estándares, consumo de ancho de banda y seguridad. Trafico de Bajada: TDM (Multiplexación por división de tiempo) Trafico de Subida: TDMA (Acceso multiple por división de tiempo) Elementos: OLT ODN ONU POS 4 Your Logo

Asegurando la Red GEPON Vulnerabilidades Ataques Consecuencias Contramedidas

Redes GEPON VULNERABILIDADES 1. Contratar personal No calificado 2. Problemas de atenuación debido a varios factores: la absorción interna de la fibra, la difusión de la fibra, las conexiones y las discontinuidades 2. Instalación ineficiente 3. Envejecimiento del hidrógeno por el tiempo que tiene la fibra óptica 3. Comprar de hardware de mala calidad 3. Fragilidad de las fibras 3. Dificultad de reparar un cable de fibra roto en el campo 4. Utilizar tramos largos de fibra hacia cada abonado 4. Descargas atmosféricas 4. Incendios 4. Impactos Peligrosos 4. Agresividad Química de la atmósfera 5. Compra de hardware no compatible 6. Falta de políticas, Control de Cambios 7. Dispositivo pasivos no requiere alimentación 8. Pérdidas por fallas en la señal del OTDR 9. Causar molestia en los clientes durante la conexión 10. Compra de hardware no compatible 11. Falta de políticas, Control de Cambios 12. Larga duración de la fibra 13. Falta de especificación de tipos de identificación OLT y mecanismos de autenticación. 14. Contraseña y clave enviada en texto plano 15. Ataque a nivel GPON durante las fases de activación 16. Mayor capacidad de servicios soportados por un mismo cable de FO, vuelve más crítico los incidentes de roturas 17. Inconvenientes en el OLT, ONU,etc 18. No se estableció la atenuación 19. Tecnología nueva y requiere un mayor esfuerzo de capacitación y adaptación de las estructuras operativas

Telefonía IP Tabla 4.2 Contramedidas   Mantener el sistema operativo y antivirus actualizados y parcheados. Mantener activo el firewall. Configuración de los equipos adecuada a la red.    El uso de autenticación evita portátiles no autorizadas o la conexión de visitantes sin derecho de acceso. Configurar dispositivos para que utilicen autenticación, autorización y cifrado. Establecer VLAN’s. Establecer un número máximo de direcciones MAC por cada puerto, asignar estáticamente las direcciones MAC por puerto. Como medida adicional se deben separar las redes de voz y datos en VLAN’s distintas. Los dispositivos de telefonía IP también deben ser aislados para tráfico entrante y saliente. Llevar a cabo una auditoría del riesgo.

IPTV Tabla 4.3 Seguridad en sistemas IPTV es un asunto delicado, sobre todo en aquellos soportados en redes P2P, 1 fallo puede provocar caidas parciales o totales del servicio. Ataques: Inundación de tráfico: rechazos de acceso a suscriptores de servicio por ataques DOS. Accesos no autorizados y ataques enmascarados, robando servicio del subscriptor, y compromete info restringida. Eavesdropping (escuchas secretas): da lugar a ataques DoS, Tos(Robo de servicio), y captura de info confidencial En un ataque MAC, si cambio MAC de mi tarjeta por la de otro usuario, me llegará tráfico de otro equipo conectado al mismo Sistema de Terminación de Cablemódems, y al otro usuario le llegará mi tráfico de bajada, y habrá una alerta de duplicidad de MAC´s en la red. Esta alerta se evita no generando tráfico de red. El secuestro de sesión (tomar control sobre sesión TCP intercambiada entre 2 computadoras (cliente/servidor)) es muy difícil de detectar por dispositivos de detección de intrusos. Medidas de seguridad: En la capa 2, las direcciones MAC no pueden ser falsificadas, un conmutador no permite hacer sniffing (robo de información de la red), y las VLAN’s están aisladas completamente unas de otras. Asignar dirección MAC de host en cada puerto del conmutador físico. Aplicar seguridad de puerto. Crear listas de acceso. Enrutar todos los paquetes a través del CMTS (Sistema de Terminación de Cablemódems). El Espionaje DHCP son técnicas de internet. Asegura integridad del IP en otro dominio de la capa 2. Se configura en los interruptores del LAN para seguridad y permitir solo a clientes con el IP específico Utilizar complemento DHCP de MMC (Microsoft Management Console - consola de administración de miscrosoft) para supervisar el DHCP Usar protocolos seguros. Usar PGP (Pretty Good Privacy) para cifrar mails con información sensible. Utilizar conmutadores, en lugar de repetidores convencionales. Para el secuestro de sesión se necesita de una aplicación de software de correo electrónico (cookie)

Internet Banda Ancha Tabla 4.4 Internet: herramienta indispensable y de uso masivo Virus, Spyware y Malware: programas que roban privacidad del usuario Se instalan sin que el usuario lo sepa y actúan como un cliente (agente) que manda información (privada) del usuario de ese ordenador a servidores. Conocen las webs por las que navegamos, los enlaces q los q accedemos, se adjudican contraseñas almacendas por defecto en el navegador, ralentizan ordenador, redirigen a otras webs, etc. Vias de infección: Al ejecutar archivo con spyware oculto. Navegando por webs vulnerables. Al pichar un pop-up. Al instalar herramientas shareware o freeware Medidas de seguridad: Antivirus, anti-spy, firewall eficaces. Atención a correos con archivos .exe, .com, etc…. Spam: envío y recepción de correos electrónicos por parte de spamer, anunciando cualquier producto. spamer busca correos en páginas web usando programas llamados spam bots. intercambian entre ellos bases de datos de millones de correos Poner correo solo a disposición de personas de confianza. Phishing: envío de correos electrónicos que aparentan provenir de fuentes fiables (bancos) Intentan obtener datos confidenciales del usuario. Incluyen enlaces que llevan a webs falsificadas. Información privada llega a manos de estafador. No responder a solicitudes con info personal por correo. Asegurarse de que sitio web tenga cifrado. Consultar frecuentemente saldos bancarios y tarjetas de crédito. Informar abusos a autoridades competentes.

Video Vigilancia IP Solucion ataque 1: Modificar usuario y contraseña que vienen por defecto o de fábrica.  Denegar el acceso a todos los ordenadores excepto a los que tengan una dirección IP determinada. Solucion ataque 2: La contraseña debe seguir todos los protocolos de seguridad necesarios.  Solucion ataque 3: Protección y Seguridad en los puertos.  Limitar e identificar el número de direcciones MAC de las estaciones de acceso permitido a a los puertos. Aplica contramedidas del ITEM 3 Solucion ataque4: Definir puertos de confianza para servidores DHCP legítimos de la red servidores DHCP que puede enviar peticiones y hacer ofertas.  Al interceptar todos los mensajes DHCP dentro de la VLAN.  Identificar los puertos confiables y no confiables.Aplica contramedidas del ITEM 6 Solucion ataque 4:Configurar tanto en los conmutadores como en los servidores que una IP solo puede estar relacionado con una MAC. Proteger y almacenar las direcciones IP origen. Realizar inspecciones dinámicas del ARP. Uso de tablas ARP estáticas, añadir entradas estáticas ARP. Registro de las direcciones MAC con DHCP snooping. Establecer redes VLAN’s privadas. Aplica contramedidas del ITEM 6  

Escenario de Ataque Ataque 1: hacker obtiene info ilegalmente desde tramas de enlace descendente GTC (GPON, Transmission Convergence) transmitidos a las ONUs por acceso al vinculo entre OLT y divisor óptico (q distribuye señal desde OLT´s a todas las ONU´s). Aunq hacker tenga éxito al atacar las tramas, no puede hackear la carga de las tramas porque esta cifrada. Solución 1: Tener a los OLT’s en capa 3 para poder configurar las ACLs. Ataque 2: Hacker obtiene info a traves de ataque de cifrado accesando al enlace entre el divisor y la ONU. Existe posibilidad de q el hacker tenga exito. Solución 2: Tener filtros MAC en cada ONU. Port Security con medidas de seguridad a nivel de puertos para restringir acceso a puertos según la MAC, y número de MAC’s por puerto. Renovar en cada ONU la clave establecida en cada sesión. Tener buen método de cifrado. Ataque 3: Hacker crea un ONU falso y obtiene info transmitida a otra ONU sin filtrar. Se usa un ONU falso que actúa como un ONU real, alterando transmisión del enlace ascendente de la ONU real. Solución 3: Utilizando la información de registro y los mensajes de puerta puede ser posible hacerse pasar por otro ONU, por eso es necesario tener un buen método de cifrado - Políticas de firewall muy seguras. Ataque 4: Hacker interviene en sistema accesando a un puerto que quedaba de un divisor entre la OLT y la ONU. Recibe las tramas mediante la adición de un divisor entre el 1er divisor y la ONU. Hacker actúa como ONU real alterando transmisión ascendente de ONU Real. Aquí se puede interceptar cifrado de clave transmitida desde ONU real mediante enlace ascendente, y hacker obtiene los datos cifrados en la trama, causando un gran daño. Solución 4: Utilizando la información de registro y los mensajes de puerta puede ser posible hacerse pasar por otro ONU, por eso es necesario tener un buen método de cifrado - Políticas de firewall muy seguras. Modificación y vigilancia de la información entre OLT y Divisor (Hacker 1) Creación de ONU falso (Hacker 3) Acceso a un puerto de Divisor y adición de nuevo Divisor (Hacker 4) Obtención de información mediante ataque de descifrado, modificación y vigilancia de tramas entre Divisor y ONU (Hacker 2)

This is placeholder text. Escenario de Ataque This is placeholder text. Solución: Desconectar a los atacantes mediante controladores ópticos en el divisor: Controlador detecta que señal. Controlador identifica el puerto con breve desconexión de los usuarios. Intrusión a través del Divisor Óptico

This is placeholder text. Escenario de Ataque This is placeholder text. Ataque: La figura 4.19 muestra un ataque de suplantación de IP, donde un atacante intenta reemplazar la dirección IP del remitente (152.12.25.4), quien es un usuario válido, o en ciertos casos también suelen cambiar la dirección IP del destinatario, con el único fin de negar los servicios que proporciona el servidor a sus usuarios, por lo que se concluyen que en este tipo de ataques la dirección IP del remitente puede ser falsa.   En este escenario el atacante establece una conexión normal a internet desde una estación de trabajo con una IP válida (168.12.25.5), conectándose con el servidor cuya dirección IP es (132.12.25.1), el paquete de solicitud se construye con una dirección IP origen 168.12.25.5 y una dirección IP destino de 132.12.25.1. Así, el servidor devuelve la petición mediante la dirección IP origen especificado en la solicitud como la IP destino (168.12.25.5) y su propia IP como la dirección IP origen (132.12.25.1), de esta manera evita que el servicio proporcionado por el servidor llegue a sus respectivos usuarios, como se aprecia en la figura 4.20: Solución: Eliminar relaciones de confianza basadas en dirección IP de máquinas. Cifrado y filtrado de las conexiones para evitar suplantación. Ataque IP Spoofing

Conclusiones Se puede obtener una red óptica en su totalidad.. 1 Se puede obtener una red óptica en su totalidad.. 2 GEPON ha superado grandes distancias. Usuarios requieren mejores precios y mayor calidad. 3 4 Sistemas X- Play que no funcionen correctamente, representan una pérdida financiera. 5 Tecnologías GEPON no producen cambios bruscos en la red.

Conclusiones 6 Amenazas comunes se dan por vulnerabilidades no contempladas en el diseño de la red. 7 Un análisis efusivo permite implementar las contramedidas necesarias. GEPON hereda todas las vulnerabilidades de la capa IP. 8 9 En tecnologías actuales no se pueden brindar los servicios x play juntos. En una red GEPON con Arquitectura Tecnológica se analizan activos vinculados al negocio para brindar servicios con alta visibilidad y control total. 10

Recomendaciones 1 2 3 4 5 6 Tener una correcta planificación del crecimiento de los servicios de telecomunicaciones. Utilizar tecnología GEPON con respecto a GPON, por su gran ancho de banda, seguridad y bajo costo Contar con personal capacitado en estas nuevas tendencias tecnológicas. Además de análisis de riesgo de activos, estudiar escenarios críticos que puede sufrir la red. Obtener alta visibilidad y control total de infraestructura tecnológica. Contar con equipos de seguridad perimetral (IPS/IDS).

GRACIAS!!!