La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Eslared 2006 Seguridad Informática

Publicada porCarolina Nieto Núñez Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Eslared 2006 Seguridad Informática"— Transcripción de la presentación:

1 Eslared 2006 Seguridad Informática
Filtrado de Paquetes Servidores Bastión

2 Filtrado de Paquetes, Tipos
Filtrado a nivel IP (capa 3) Filtrado de fragmentos Filtrado TCP Filtrado UDP Filtrado Dinámico Filtrado ICMP Filtrado RPC Filtrado FTP La solución: FTP Pasivo 28/11/2018 Eslared 2006

3 Filtrado a nivel IP (capa 3)
Los datagramas IP tiene información suficiente para especificar Dirección de Origen y Destino por lo que las reglas a este nivel solo se limitan a esas opciones. Campos de la cabecera IP “interesantes”: Dirección de Origen Dirección de Destino Banderas (fragmentos) 28/11/2018 Eslared 2006

4 Filtrado de fragmentos
El problema se debe a que solo el primer fragmento contiene la información TCP/UDP necesaria. El enfoque común es permitir el paso de todos los fragmentos que no sean iniciales y filtrar solo estos últimos El peligro es que los fragmentos no iniciales pueden contener información útil para un atacante. Puede ser utilizado para un ataque de DoS 28/11/2018 Eslared 2006

5 Filtrado TCP En la cabecera del paquete TCP tenemos:
Puertos de origen y destino Banderas TCP (ACK) Para filtrar una conexión TCP solo basta con “parar” el primer paquete. El chequeo del bit de ACK nos permite filtrar conexiones en un sentido pero no en el otro. 28/11/2018 Eslared 2006

6 Filtrado UDP Los paquetes UDP no necesitan reconocimiento por lo que parece imposible filtrar unidireccional mente. Solución: filtrado Dinámico 28/11/2018 Eslared 2006

7 Filtrado Dinámico Algunos Firewalls “recuerdan” la información de los últimos paquetes que salieron por un enlace, por lo que pueden reconocer aquellos que lleguen como respuestas. 28/11/2018 Eslared 2006

8 Filtrado ICMP Los paquetes ICMP no tiene puertos de protocolos superiores En lugar de esto los paquetes ICMP se diferencian por su tipo (echo request,tiempo excedido, destino inalcanzable, respuesta de eco) Sin embargo, un “destino inalcanzable” puede tener varias causas que posiblemente desearíamos tratar diferenciadamente. La mayoría de los filtros de paquetes no lo permiten El filtrado de paquetes ICMP puede ser un arma de doble filo 28/11/2018 Eslared 2006

9 Filtrado RPC RPC no utiliza los puertos TCP ó UDP sino un número de servicio de 4 bytes RPC está sobre TCP y UDP por lo que debe haber un mecanismo de mapear los números de servicio con los puertos TCP ó UDP: Portmapper El problema es que nunca sabemos cual es exactamente el puerto a bloquear Podemos bloquear el puerto del portmapper (111) pero un atacante podría buscar los puertos reales de las aplicaciones (son solo 65535!!!) 28/11/2018 Eslared 2006

10 Filtrado FTP Cuando un cliente se comunica con el servidor FTP envía una petición al puerto 21 .Esto no es grave, podremos fácilmente y sin grandes peligros, permitir que desde nuestra red salgan solicitudes a un puerto privilegiado externo. Una vez el servidor ha aceptado la comunicación inicial, envía el flujo de información desde su puerto 20 hasta un puerto no privilegiado en la máquina cliente. Esto si es peligroso, pues desconocemos la identidad del servidor y el puerto no privilegiado con que se establecerá la comunicación. Obviamente, no deseamos permitir conexiones desde cualquier puerto 20, es muy sencillo para un atacante introducirse a nuestro sistema haciendo programas que respondan por el puerto 20. 28/11/2018 Eslared 2006

11 La solución: FTP Pasivo
Cliente FTP SERVER 20 datos 21 control PASV 3456 OK, 3456 Canal de datos OK 28/11/2018 Eslared 2006

12 Servidores Bastión Un servidor bastión es nuestra presencia pública en Internet Por definición es la máquina más expuesta de la red El principio que se aplica es que es más fácil asegurar a uno que a muchos 28/11/2018 Eslared 2006

13 Recomendaciones para la construcción de un servidor bastión
Debe tener un sistema operativo mínimo y seguro No debe ejecutar mas aplicaciones que las estrictamente necesarias Debe poseer fuertes mecanismos de auditoría Debe estar conectado a una red lo más aislada posible del resto utilizando filtros de paquetes No debe permitir enrutamiento de paquetes 28/11/2018 Eslared 2006

14 Servidores Bastión mas comunes SMTP
Envíe y reciba todo el correo en el servidor bastión, nunca en los verdaderos servidores SMTP Utilice Filtrado de Paquetes para limitar las conexiones SMTP desde el exterior solo a los servidores bastión 28/11/2018 Eslared 2006

15 Servidores Bastión mas comunes DNS
28/11/2018 Eslared 2006

16 FIN 28/11/2018 Eslared 2006

Descargar ppt "Eslared 2006 Seguridad Informática"

Presentaciones similares

TEMA1. Servicios de Red e Internet

TEMA1. Servicios de Red e Internet
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.

Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.
Redes I Unidad 5.

Redes I Unidad 5.
DHCP protocolo de configuración dinámica de host.

DHCP protocolo de configuración dinámica de host.
TCP/IP Introducción TCP/IP Introducción. TCP/IP vs OSI Aplicación Presentación Sesión Transporte Red Enlace Física Aplicación Acceso a la red Física TCP/IP.

TCP/IP Introducción TCP/IP Introducción. TCP/IP vs OSI Aplicación Presentación Sesión Transporte Red Enlace Física Aplicación Acceso a la red Física TCP/IP.
Fundamentos de TCP/IP.

Fundamentos de TCP/IP.
Christian Zurita Ávila.  En el momento que nuestro ordenador se conecta a internet, éste pasa a ser un elemento más dentro de la Red, es decir, forma.

Christian Zurita Ávila.  En el momento que nuestro ordenador se conecta a internet, éste pasa a ser un elemento más dentro de la Red, es decir, forma.
Ing. Elizabeth Guerrero V.

Ing. Elizabeth Guerrero V.
Ing. Elizabeth Guerrero V.

Ing. Elizabeth Guerrero V.
Protocolos de Transporte y Aplicación

Protocolos de Transporte y Aplicación
LOGO Protocolos de internet Definición  La definición del término protocolo es importantísimo. En la vida real, los protocolos son un conjunto de hábitos.

LOGO Protocolos de internet Definición  La definición del término protocolo es importantísimo. En la vida real, los protocolos son un conjunto de hábitos.
Principios de Redes JORGE CRUZ OCAMPO ALDO CUEVAS HERNANDEZ ADRIAN NAVA.

Principios de Redes JORGE CRUZ OCAMPO ALDO CUEVAS HERNANDEZ ADRIAN NAVA.
Protocolos de Transporte y Aplicación Javier Rodríguez Granados.

Protocolos de Transporte y Aplicación Javier Rodríguez Granados.
REDES Y SISTEMAS COMUNICACIONALES “INSTITUTO TECNOLOGICO SUPERIOR “RUMIÑAHUI”” Tercero Año de Bachillerato Informática Paralelo F Lic. Esp. Gonzalo Balverde.

REDES Y SISTEMAS COMUNICACIONALES “INSTITUTO TECNOLOGICO SUPERIOR “RUMIÑAHUI”” Tercero Año de Bachillerato Informática Paralelo F Lic. Esp. Gonzalo Balverde.
Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.

Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.
Capítulo 2. Direccionamiento Instalación y Mantenimiento de Servicios de Redes Locales I.E.S. Murgi Curso 2006-2007 Jose L. Berenguel Gómez Mª Jose Peinado.

Capítulo 2. Direccionamiento Instalación y Mantenimiento de Servicios de Redes Locales I.E.S. Murgi Curso Jose L. Berenguel Gómez Mª Jose Peinado.
Trabajo De Informática Presentado Por : Juan Pablo Caviedes Javier Carvajal Shirley Cortes Grado 10-01 J.T.

Trabajo De Informática Presentado Por : Juan Pablo Caviedes Javier Carvajal Shirley Cortes Grado J.T.
Qué es un Firewall Es un dispositivo que filtra el tráfico entre redes, como mínimo dos. Este puede ser un dispositivo físico o un software sobre un sistema.

Qué es un Firewall Es un dispositivo que filtra el tráfico entre redes, como mínimo dos. Este puede ser un dispositivo físico o un software sobre un sistema.
Un servidor FTP es un programa especial que se ejecuta en un servidor conectado normalmente en Internet (aunque puede estar conectado en otros tipos de.

Un servidor FTP es un programa especial que se ejecuta en un servidor conectado normalmente en Internet (aunque puede estar conectado en otros tipos de.

Presentaciones similares

Anuncios Google