Partial 2 - Network Security - PDF

Summary

This document provides a synopsis of network security concepts, focusing on proxies, firewalls, and the overall goal of network security. It details different types of proxies (local and external), their functions, and their advantages, along with their disadvantages.

Full Transcript

PARCIAL 2
TEMA 3. SEGURIDAD EN REDES

3.1. Proxy y Proxy Server
3.1.1. Proxy

Programa o dispositivo que actúa como intermediario entre dos máquinas.

Funcionalidades:

- Cache
- Control de acceso
- Registro del trafico
- Proxy Server

3.1.2. Proxy Server

Objetivo general. Interceptar conexiones de red cliente-servidor.

Actualmente. Servidores proxy como web proxy, permite y facilitan el acceso a
contenido de la WWW.

No solo orientado al contenido web, HTTP:

- Proxy ARP
- Proxy FTP
- Implementados por HW
- Implementados por SW
o Máquinas de propósito general

Clasificación según quien implementa la política del proxy:

- Local. El mismo cliente establece las políticas.
o Control de tráfico
o Reglas de filtrado
▪ Proxy de filtrado o firewall
- Externo. Un servidor externo las establece.
o Cache de contenido
o Control de tráfico
o Compartición de IP

NAT actúa en capa 3, red, de la pila de protocolos OSI.

- Menos recursos
- Menos flexible
Proxy:

- Capa 7, aplicación.
- Capa 3, red. Actúa como NAT.
o Transparent Firewall. Proxy de capa 3 reenvía los paquetes a uno de
capa 7 para investigar el contenido.

Firewall:

- Proxy o filtro. Recupera la información solicitada y la envía al host de la
petición.
- Proxy y balanceador de carga. Distribuye el tráfico entre diferentes
servidores para evitar la sobrecarga de alguno.

Un Firewall bien configurado NO protege:

- Ataques fuera de su área
- Ataques en la transferencia de datos
- Espías o usuarios inconscientes

Tipos de Proxy Firewall:

- Packet Filtering.
o Trabaja a nivel de red
▪ Capa 3
o Reglas Firewall para controlar flujo de datos hacia la red interna o
externa
o Muchos routers actúan como filtrado ya
o Filtros:
▪ Tipo de paquete
▪ IP destino
▪ IP origen
▪ Puertos
- Proxy Server.
o Aplicaciones proxy
▪ Capa 7
o Permite y controla el acceso de clientes a una red externa
▪ Reverse. Los clientes del exterior a una red interna, contenida
por el Firewall

Ventajas:

- Control o seguridad. Limita y restringe conexiones de usuarios
- Ahorro. Proxy implementado con recursos mínimos necesarios
- Velocidad. Utiliza cache para devolver recursos solicitados frecuentemente
- Filtrado. Reglas Firewall.
 - Modificación. Puede cambiar la información
o Traduciendo contenido
o Adaptado el formato al destinatario

Desventajas:

- Anonimato. Proxy visto como el origen de la petición
- Abuso.
- Carga. Proxy como cuello de botella.
o Requiere dimensionarse
- Privacidad. Dado que es el intermediario tendrá registro de conexiones
entrantes y salientes, así como de los paquetes.
o Más si utiliza una cache
- Incoherencia. Recurso en cache anticuado respecto al original, en el
servidor externo.
o Problema no existente en servidor actuales
▪ Mecanismos de coherencia y control de versiones
- Inseguridad aparente. Problemas en muchos escenarios
o Usuario presupone conexión directa punto a punto
▪ Servidor Proxy contiene muchos más usuarios

Clasificación según su función:

- Tunneling Proxy o Gateway. Pasa la petición y responde sin modificación.
- Forward Proxy. Concentra las peticiones de los usuarios para obtener
recursos de la red externa, Internet.
o Más habituales
o Permite la salida al exterior
o Open Forward Proxy
▪ Se puede conectar cualquier usuario al Proxy, este ya no
contiene una red concreta
o Anonymous Open Proxy
▪ Permie a usuarios esconder su IP durante la navegación
- Reverse Proxy. Controla y protege el acceso externo a la red interna que
contiene el Proxy.
o Encriptación. Evitando así hacerlo en cada máquina de la red interna
o Balanceo de carga
o Cache estática
▪ Imágenes
o Compresión. Optimiza y comprime el contenido para mejorar la
velocidad de acceso
o Seguridad. Proxy como puerta centralizada de defensa contra
ataques de SO o Web
 ▪ No protege el contenido, la aplicación o el servicio
o Extranet Publishing. Permite el acceso a un servidor de la red Interna.
▪ Mecanismos de seguridad para proteger la infraestructura
interna.
3.1.3. Proxy Socks

Socks. Protocolo de Internet que permite a aplicaciones cliente-servidor utilizar de
manera transparente servicios a través de un Proxy.

Permite autenticación y registro de solicitudes.

Similar a un túnel IP con un servidor de seguridad.

Clientes se conectan al Proxy Socks y adquieren los servicios.

Modos:

- Forward
- Reverse

Se negocia el establecimiento de conexión.

Versión actual Socks5:

- Capa intermedia entre la de aplicación 7 y transporte 4
- Permite protocolos TCP y UDP

El cliente debe tener en la aplicación instalado Socks o bien dentro de la pila TCP/IP.

Ventajas:

- Provee autentificación para protocolos que no permiten
o Protocolos encriptados

Inconvenientes:

- Cliente con interfaz a Socks (navegador)
o Options -> Advanced -> Network -> Connection y seleccionar SOCKS
- SO con interfaz a Socks
o Interceptar tráfico y reenviarlo a Proxy Socks
- Servidor Socks específico

3.1.4. Apache

Servidor web más popular = protocolo HTTP/FTP.

Puede ser configurado como Proxy:

- Forward
- Reverse
Funcionalidades:

- Cache
- Registro de acceso a Internet
- Servir contenido

Pasos:

- Instalar desde el repositorio
o /usr/local/apache
- Verificar módulos
o apache2ctl -M
▪ mod_proxy.c
- Configurarlo como Forward o Reverse
o Habilitar Proxy
▪ ProxyRequests On
o Configurar el servicio
▪ Reglas
Order deny, allow
▪ Clientes permitidos
Allow from
o Reiniciar Apache
▪ systemctl restart apache2
o Configurar cliente con IP Servidor Proxy.
o Opcional
▪ Bloquear sitios web específicos
ProxyBlock
▪ Redireccionar
▪ Cache

3.1.5. Squid

Servidor Proxy y de cache de páginas popular, bajo licencia GPL.

Utilidades:

- Aceleración servidor web
- Cache peticiones DNS
- Cache de web
o WCCP
- Filtrado de trafico

Características:

- Estable
 - Fiable
- Robusto
- HTTP y FTP
- Otros protocolos
o Gopher
- Modalidades de cifrado
o TLS
o SSL
o HTTPS
- Jerarquía de cache en proxis multiarray.
- Cache transparente
o 3128

Pasos:

- Instalar
- Configurar
o /etc/squid/squid.conf
▪ Puerto que recibe peticiones
http_port
▪ Cantidad de memoria
cache_mem
▪ Espacio de disco para la cache
cache_dir ufs /var/spool/squid
▪ Control de acceso
acl
- Configurar el cliente (navegador)
o Herramientas > Opciones/Preferencias > Avanzadas > Cambiar la
configuración del proxy > Configuración manual del proxy > direccion
IP del proxy > puerto el 3128
3.2. Infraestructura PKI y Certificados digitales
3.2.1. Sistema con seguridad distribuida

Tres tipos de escenario para conectarse a una máquina:

- Local
o Usuario-contraseña
o Listado usuarios y contraseñas cifradas
▪ En un único sentido
▪ Mediante salt
Dos contraseñas iguales se cifran de forma diferente
o No a través de la red
o Se puede romper generando diccionarios
- Remota
o Usuario-contraseña de forma local
o Conexión remota sin SSH
▪ Contraseña se envía por la red, en claro
o Conexión remota SSH
▪ Negocia la sesión y se cifra la contraseña antes de enviarla
▪ O par claves de usuario
ssh-keygen => se sitúan en ~/.ssh/
o Pública y Privada
- Un único domino de acceso remoto
o Un único ID usuario y contraseña para todas las máquinas
o Claves se autentifican en un servidor de confianza
o Implementaciones
▪ Kerberos
▪ YP o NIS
3.2.1.1. NIS

Protocolo de directorios cliente-servidor para el envío de datos en sistemas
distribuidos como:

- Nombres de usuario
- Grupos
- Contraseñas

Antes YP, aun continua como prefijo en algunos comandos:

- NIS domainname. Mismo en todas las máquinas
- ypbind. Vincula cliente con servidor NIS
- ypserv. Daemon que responde las peticiones NIS
- rpc.yppasswdd. Daemon ejecutado por NIS master y modifica las
contraseñas de los usuarios => cambio propagado en todas las máquinas
NIS proporciona acceso a una base de datos genérica utilizada para distribuir la
anterior información.

- Mismas cuentas en todos los nodos
- No hay seguridad real
- Integrable con NFS
o Con SSH solo se tiene acceso a directorios personales, no /home

Funcionamiento:

- Cliente se conecta por SSH
- El servidor SSH en el destino verifica las credenciales del cliente en la base
de datos
- Si son validas se permite el acceso

3.2.1.2. NIS +

Solución a NIS:

- Limitaciones de escalabilidad y seguridad
o Incorpora seguridad y autentificación

Es complejo de configurar y administrar:

- Se continua con NIS
- O se cambia por más modernos como LDAP

3.2.2. Llaves y claves

En un sistema de directorio distribuido se debe garantizar:

- Confidencialidad. Proteger información
- Integridad. Datos consistentes, recuperar la información como se almacenó
- Autentificación.
- No-repudio.
- Autorización. Identidad con derechos para realizar alguna acción

Elementos esenciales:

- Encriptación
o Simétrica
▪ DES o AES
▪ Misma llave
▪ Muy rápido
▪ También por HW
o Asimétrica o pública-privada
▪ RSA
 ▪ Dos llaves
Publica del destinatario
o Servidores públicos
o Encripta
Privada del destinatario
o Propietario
o Desencripta
▪ Lento
▪ Susceptible a ataques
“known ciphertext”
▪ Problema ubicación llave pública
o Mecanismo híbrido
▪ Cifrado simétrico de los datos
▪ Cifrado asimétrico de la llave simétrica con la publica
Más seguridad
Solo el destinatario con la privada puede descifra la
clave simétrica
▪ Descifra la llave simétrica con la privada
▪ Descifra los datos reales con la llave simétrica obtenida
o Garantiza
▪ Confidencialidad
▪ Autentificación
▪ Integridad
- Algoritmos Hash
o Longitud variable en una fija
o No se deduce la entrada a partir de la salida
o No se genera el mismo resultado
o Útil para
▪ Huella digital
▪ Checksums
▪ Extraer contraseñas
o Llamado “message digest” o huellas dactilares
o MAC = Hash + key. Hash dependiente de una llave
▪ HMAC. La key es la fecha
o Garantiza
▪ Autentificación
▪ Integridad
- Firmas digitales
o Combina hash + algoritmo de firma digital
o Hash de los datos
o Encripta el hash con llave privada del origen = firma digital
 o Envía datos en claro + firma
o Desencripta la firma digital con la pública del origen
o Genera hash de los datos
o Compara el hash de datos con el obtenido con la firma
o Garantiza
▪ Autentificación
▪ Integridad
▪ No-repudio

3.2.3. SSL/TLS

OpenSSL es un conjunto de herramientas con funcionalidades para protocolos TLS
y SSL.

También es una biblioteca de criptografía.

Protocolo que permite:

- Utilizar llaves públicas y privadas

Garantiza:

- Autentificación
- Integridad
- Confidencialidad

Pasos:

- Se pacta un algoritmo de cifrado
o Servidor se adapta a las capacidades del cliente
- Establece una conexión.
- Cliente autentifica el servidor mediante el certificado
- Servidor autentifica cliente mediante certificado
- Autentifica los datos

3.2.4. PKI (Infraestructura de llave pública)

Solución a las firmas digitales:

- Confianza absoluta en el remitente, origen
- El certificado es generado y firmado por
o El propio remitente
▪ Autofirmado = no confiable
o Un tercero
▪ Entidad reconocida

PKI maneja las llaves basadas en certificados digitales.
PKI como conjunto de estándares y autoridades Certificadoras (CA).

Certificados:

- X509 PKI
- X509 Certificado Digital

Componentes:

- CA. Autoridad certificante
o Genera las llaves y certificados
- RA. Autoridad registradora
o Registro, validado y revocación de certificados
- Sistema de distribución de certificados
o Base de datos con certificados digitales y lista de certificados
revocados (CRLs)
▪ CRLs publicadas por Cas
▪ Usuario responsable de conocer dicha lista y certificados
revocados
▪ Alternativa
OCSP. Determina si el certificado es valido o no de
forma automática

Ahora problema en confiar en CAs??

- Jerarquía de certificados
o Más niveles = más seguridad
- Certificación cruzada
o Se confían entre sí las diferentes PKIs, de la misma manera en los
certificados

SW para desplegar una PKI:

- XCA
o Entornos medianos-grandes
- Tiny CA
o Obsoleto
o Entornos medianos-grandes
- OpenCA
o Compleja instalación
o Entornos grandes
3.2.5. Kerberos

Principal objetivo de la autentificación:

- Permitir al usuario iniciar sesión y obtener un ID que lo identifique en todas
las máquinas
o Certificado de identidad universal
▪ Entornos distribuidos
▪ En un único servidor se garantizan todos los aspectos
Vulnerable
o Solución = Kerberos

Kerberos. Protocolo de autenticación de redes que permite demostrar la identidad
de dos máquinas de forma segura en una red insegura.

Utiliza tres servidores en lugar de uno para garantizar todos los aspectos.

Utiliza criptografía de clave simétrica y un centro de distribución de claves (KDC).

KDC:

- AS. Servidor de autenticación
o Comprueba cliente en la BD
o Envía la llave de sesión cifrada + ticket cifrado con llave de TGS
▪ Llave de sesión. Permite comunicación con TGS
- TGS. Emisor de tickets = demuestran ID del usuario
o Descifra el mensaje

Cada máquina comparte una llave secreta con Kerberos.

Pasos:

- Autenticación Inicial:
o El usuario ingresa sus credenciales (nombre de usuario y contraseña)
en su dispositivo.
o El dispositivo envía una solicitud de autenticación al servidor de
autenticación (AS) de Kerberos.
- Ticket Granting Ticket (TGT):
o El servidor de autenticación verifica las credenciales del usuario.
o Si las credenciales son correctas, el AS emite un Ticket Granting
Ticket (TGT) cifrado con la clave secreta del usuario y lo envía al
dispositivo del usuario.
- Solicitud de Servicio:
o Cuando el usuario desea acceder a un servicio en la red, el
dispositivo utiliza el TGT para solicitar un ticket de servicio (ST) del
servidor de concesión de tickets (TGS).
- Ticket de Servicio (ST)
o El TGS verifica el TGT y, si es válido, emite un ticket de servicio cifrado
con la clave secreta del servicio solicitado.
o El dispositivo del usuario recibe el ST y lo utiliza para autenticarse
ante el servicio deseado.
- Acceso al Servicio:
o El dispositivo del usuario presenta el ST al servicio solicitado.
o El servicio verifica el ST y, si es válido, permite al usuario acceder al
servicio
3.3. Firewalls

Parte de un sistema dedicado al bloqueo o autorizado de acceso según si es o no
autorizado.

Implementados tanto por SW como por HW.

Principal función:

- Evitar que usuarios de Internet no autorizados accedan a la red interior o
privada.
- Examina los paquetes entrantes y salientes

Se suele conectar una tercera red:

- DMZ. Servidores de la organización accesibles desde el exterior

Tipos:

- Nivel de aplicación (7). Mecanismos de seguridad para datos de
aplicaciones.
o FW de tráfico HTTP = Proxy
o WAF. Firewall que supervisa y filtra tráfico HTTP.
▪ Protege de ataques
SQL
XXS
- Nivel de Transporte (4). Mecanismo de seguridad para comunicación TCP o
UDP.
- Nivel de paquetes o red (3). Filtro de paquetes IP (reglas iptables)

Firewall personal. FW como SW y filtra comunicaciones con Internet.

Principal ataque DoS es el flooding, enviar pings de gran tamaño para saturar la red.
3.3.1. Iptables

FW más popular = IPchains, pero presenta deficiencias

- Solución: Iptables

Iptables. Paquete predeterminado de FW en Linux:

- Mejor integración
- Inspección de paquetes mediante tablas, controlada por una cadena de
filtrado (chain) = reglas aplicadas al paquete
o Mangle. Bits de calidad de la cabecera TCP.
▪ Paquete con destino al FW
o Filtro. Filtrado de paquetes.
▪ Chains importantes con reglas de política FW:
Forward
Input
Output
o NAT.
▪ Chains
Pre-routing. Se cambia IP destino
o dNAT
Post-routing. Se cambia IP origen
- Filtrado de paquetes
- Mejor traducción de direcciones de red
- Limitaciones de velocidad para bloqueo de ataques DoS

Reglas:

- ACCEPT
- DROP
- LOG. Información del paquete enviada a syslog.
- REJECT. Proporciona mensaje de error.
- DNAT
- SNAT. Pequeño volumen de paquetes
- MASQUERADE. Para hacer SNAT automático a gran volumen de paquetes

Flags:

- t. Seleccionar la tabla
- p. Protocolo
- s / d. IP origen o destino del paquete
- i / o. Interfaz, nombre, de entrada o salida
- F. Flush. Borra todas las reglas de la tabla seleccionada
Formas de implementar un FW:

- Política por defecto ACEPTAR. Facilita la gestión del FW
o Se especifica únicamente lo que se rechaza
▪ Suele haber más FORWARD
- Política por defecto DENEGAR. La más recomendada
o Especifica lo que se acepta
o Más complejo de configurar
▪ Especificar IN y OUT

3.3.2. NFTables

Iptables tiene muchos problemas difíciles de solucionar:

- Escalabilidad
- Rendimiento
- Solución
o NFTables

NFTables:

- Filtrado de paquetes
- NAT
- Manipulación y clasificación de paquetes
- No trabaja con tablas
o Iptables con NAT y filtro
- Varias acciones en una única regla
o Iptables solo una acción por regla
▪ ACCEPT
▪ …
- Gestiona reglas para las diferentes familias de trafico en una única línea
o Iptables requiere de paquetes complementarios para gestionar
diferentes tipos de tráfico de red
▪ Iptables
IPv4
▪ Ip6tables
IPv6
▪ arptables
ARP

Desventajas:

- Nueva sintaxis
o Pero se compensa con mayor flexibilidad y funcionalidad
3.3.3. DMZ

Es común poner uno o más FW para establecer
perímetros de seguridad.

En algunas instituciones es común que algunos
servidores tengan acceso a Internet y a la vez
acepten conexiones externas.

En estos casos dicho servidor se sitúa fuera de la
red interna, en una DMZ.

El FW pasa a tener tres interfaces, redes.

3.3.4. Interno

El FW se coloca para proteger un conjunto de servidores, mientras que otra queda
totalmente expuesta.

La parte expuesta es debido que son servidores que requieren acceso a Internet.

No se utiliza una DMZ.

El FW vuelve a tener dos interfaces, redes.
3.4. Autentificación, PASSWD, hashing, PAM, LDAP

Modelo de capas para la seguridad:

3.4.1. Autentificación

Es necesario técnicas de encriptación para garantizar seguridad del mensaje.

Para un acceso seguro:

- Autenticación. Verificar identidad del usuario mediante par usuario-
contraseña
o crypt(). Cifra la contraseña y la almacena en /etc/shadow
▪ En cada inicio se emplea la función con la contraseña
introducida
▪ Únicamente se autentica el usuario cuando el cifrado de dicha
contraseña y la situada en el directorio coinciden
▪ Problema: Usuarios con contraseñas “fáciles”
password
123456
123456789
guest
- Autorización. Verificar usuario tiene acceso a un determinado recurso.

3.4.2. PASSWD y Hashing: Crypt()

Basado en DES y utiliza la contraseña del usuario como clave de cifrado para un
bloque de bits de ceros => misma contraseña = mismo cifrado

Repite la acción un número de 25 veces.

Problema:

- Ataques de fuerza bruta o diccionario
o Posibles contraseñas realizan la acción y se comparan con la
almacenada en /etc/passwd
▪ Ahora en /etc/shadow => contiene el hash de la contraseña
- Solución = elemento salt
Salt. Número aleatorio de 0 a 4095 que se añade a la clave cifrada.

- Misma contraseña = diferente cifrado
o 4096 posibilidades
- En la modificación se utiliza como salt la hora del día y se añade al hash en
el directorio
- Formato
o Contraseña, salt, contraseña cifrada
- Problema:
o Rainbow tables. Herramienta para descifrar contraseñas
▪ BD que contiene hash de diferentes contraseñas
o Potencia de cómputo
o Descifrado de contraseñas
- Solución:
o Técnicas que mejoren aún más la autentificación
o Algoritmos de la glibc2
▪ Formato
ID, salt, hash
ID identifica el método de encriptación

3.4.3. PAM

Problema:

- Autentificación gestionada por la aplicación
o Requiere conocimientos

Solución:

- PAM

PAM. Conjunto de librerías que proporciona una API para a las aplicaciones delegar
tareas de autentificación.

- Servidor, administrador o empresa

Características:

- Dinámicamente configurable
- Permite decidir autentificación de cada servicio
o /etc/pam.conf
- Arquitectura interconectable y modular = flexibilidad
- Permite independizar el desarrollo de la aplicación de la política de
autentificación
Ventajas:

- Autentificación común y centralizada
- Facilita mantenimiento
- Flexibilidad y control

Áreas de gestión:

- Account. Verificación de cuentas
- Auth. Comprueba identidad del usuario
o Sistema de credenciales para otorgar privilegios
- Password. Mantiene actualizada la contraseña
- Session. Módulos encargados de configurar y administrar sesiones de
usuario

Cada área de gestión contiene módulos organizados de forma de pila que realizan
las tareas.

PAM ofrece funciones a la aplicación para dichas tareas de las áreas.

La aplicación ofrece a PAM una función para intercambiar información textual.

- La APP debe contener librería Linux-PAM

Configuración:

- Formato
o Servicio = APP o servicio
o Tipo = área de gestión
o Control. Que hacer en caso de que se valide o no el servicio
▪ Required. Módulos con éxito
▪ Requisite. Si falla uno se devuelve el control a la APP
▪ Sufficient. Si no fallan los anterior y este es válido, se devuelve
control a la APP
▪ Opcional. Ignorado por PAM
o Ruta. Del módulo a emplear
▪ Man pam => saber módulos disponibles de PAM

Se pueden definir definiciones generales => @include servicio

Módulos comunes:

- Pam_cracklib.so. Verifica clave de usuario (palíndromo, simple, ya usada…)
- Pam_deny.so. Genera un fallo
- Pam_env.so. Establece variables de entorno por defecto
- Pam_limits.so. Controla limites impuestos a los recursos disponibles
- Pam_unix.so. Comprueba la contraseña
 - Mod_auth_pam. PAM para el protocolo de autentificación Apache
o apt-get install apache2 libapache2-mod-authnz-pam
o /etc/pam.d/apache
o Problema:
▪ Apache debe tener permisos de lectura de /etc/shadow

3.4.4. LDAP

LDAP. Protocolo para acceder a datos basados en servicios X500.

Ejecutado sobre TCP/IP.

Directorio similar a una BD.

Servicio modelo cliente-servidor:

- Servidor contiene información
o La devuelve
o O devuelve un puntero a otro servidor
- Cliente pide la información

LDIF. Formato para importar y exportar información entre servidores LDAP.

- Jerarquía orientada a objetos
o Grupos
o Localizaciones
o Organizaciones y personas
- Estructura de los objetos
o Schema. Indica atributos permitidos para el objeto
▪ /etc/ldap/schema
o Hay atributos obligatorios y optativos
o Datos = par atributo-valor

Utilidades:

- Servidor de autentificación
o En lugar de /etc/passwd o /etc/shadow

Pasos:

- apt-get install libnss-ldap libpam-ldap ldap-utils
- dpkg-reconfigure slapd. Asistente de configuración de LAPD
- apt-get install phpldapadmin. Acceder al directorio global LDAP
o http://localhost/phpldapadmin/
▪ Crear usuarios
▪ Crear grupos
3.4.5. TCP Wrappers

Sistema de ACL de red utilizado para filtrar el acceso de red a servicios de
protocolos de Internet.

ACL. Lista de control de acceso

Define reglas de control de acceso basadas en direcciones IP o nombres de host.

- /etc/hosts.allow
o Direcciones host con acceso al servicio
- /etc/hosts.deny
o Direcciones host con acceso denegado al servicio

Utiliza la librería libwrap.

Ventajas:

- Reconfiguración ACL en tiempo de ejecución
o Servicios no tienen que ser reiniciados
- Protección contra ataques en conjunto con Fail2ban
o Bloquea direcciones IP cuando se realizan intentos de conexión
excesivos o fallidos

Problemas:

- Hay que vigilar los DoS

Pasos:

- Observar los servicios
o inetd.conf
- El super servidor, inted, no ejecuta el servicio, se lo pasa al daemon de tcp
(tcpd).
- Este comprueba si se le da acceso o no mediante la ACL.
- Si tiene acceso lo ejecuta y le pasa el control

3.4.6. Xinetd

Daemon que gestiona la conexión a Internet y presenta extensión más segura que
inetd.

Ventajas respecto inetd:

- Controla TCP, UDP y RPC
- DoS
- Intervalos de tiempo
- Número de servidores
Pasos:

- Configuración parámetros globales
o /etc/xinetd.conf
- Configuración de los servicios
o /etc/xinetd.d/
▪ Tipo de paquete
▪ Protocolo
▪ Usuario. El que ejecutará el servidor
▪ Wait. Multi thread o no
▪ Instances. Numero de servidores activos para el servicio
3.5. VPN, IDS, Seguridad en WIFI
3.5.1. VPN

Proporciona acceso a una red privada a través de una red pública. Es decir,
conexión segura y cifrada en una red no segura como Internet.

Permite enviar o recibir datos desde una red pública, como si estuviera en una
privada.

Es necesario conexión virtual punto a punto.

Conexión VPN a través de Internet = enlace WAN.

El usuario lo ve como un enlace de red privada.

VPN basadas en técnicas de cifrado mediante el uso de protocolos “túnel” y
técnicas de seguridad (encriptación).

Garantiza:

- Confidencialidad
- Autentificación
- Integridad

Ataques sin VPN:

- Usurpación de identidad
- Perdida de la integridad de datos
o Datos pueden modificarse
- Solución
o Seguridad a nivel de aplicación
▪ SSH

Tipos de VPN:

- Según los protocolos “túnel” utilizados
o IPSec
▪ Estándar
▪ Capa 3 o de red
▪ Encripta y encapsula paquete IP dentro de uno IPSec
▪ Problemas
NAT
FW
o SSL o TLS
▪ Capa 4 o de transporte
▪ Realiza un túnel sobre todo el tráfico de la red
OpenVPN
 ▪ O sobre una única conexión
▪ Proveedores
VPN-SSL
▪ Soluciona problemas de IPSec
▪ Problemas:
UDP
▪ Ventajas
Sencilla configuración
Seguridad
Bajo coste
▪ Más utilizadas o en potencial auge
o DTLS
▪ Soluciona problemas de TLS
o SSH VPN
▪ Capa 7 o de aplicación
▪ Túnel para asegurar conexiones remotas a una red.
▪ OpenSSH
▪ Problemas:
Límite de túneles
- Según el punto de acceso
o Acceso remoto. Usuarios acceden a la intranet de la institución
desde su máquina.
▪ VPN LAN. Utiliza la LAN de la institución en lugar de una
intranet.
o Punto a punto. Usuarios comparten una red virtual cohesionada.
▪ También es útil para interconectar dos redes de diferentes
protocolos
IPv4
IPv6
- Según los niveles de seguridad
- Según la capa OSI que presentan

Se pueden implementar mediante:

- HW
o Mayor rendimiento
o Fácil configuración
o Menos flexibles
o Permite FW
- SW
o Menor rendimiento
o Fácil y delicada configuración
 o Permite FW
o Solución cuando hay problemas de interoperabilidad entre los
protocolos túnel o HW
o Soluciones Linux
▪ OpenSSH
▪ OpenVPN

3.5.2. IPSec

Proporciona mecanismo de seguridad para comunicaciones IP.

Capa 3 o de red.

Complejo de configurar.

Protocolos de seguridad:

- AH
o Autenticación
o Integridad en la sesión
- ESP
o Encriptación

Modos de trabajo:

- Transporte. Protege el dato
- Túnel. Se protege el dato y cabecera original.
o Permite pasar por NATs y Routers

IKE. Genera automáticamente llaves de descifrado.

Garantiza:

- Confidencialidad
- Integridad
- Autenticidad
- No-repudio

3.5.3. SSL o TLS

Protege el canal utilizando encriptación de llave pública.

Capa 4 o de transporte.

Garantiza:

- Autenticación
- Integridad
Diferentes versiones soportan cientos de algoritmos criptográficos.

Ventaja:

- Gran flexibilidad = admite diferentes clientes

Problema:

- Configuración compleja
- Propensa a errores

3.5.4. VPNSSL

VPN vía túnel driver, puente entre dos interfaces.

Configuración:

- sshd_config
o PermitTunnel yes
- PKI

3.5.5. OpenVPN

Monta VPN utilizando claves simétricas o asimétricas (PKI).

Utiliza el puerto UDP (1194).

Modos de trabajo:

- Llave estática
o Clave simétrica
▪ static.key
o Llave instalada en cliente y servidor
o Archivo de configuración
▪ /etc/openvpn/tun0.conf
o Ventajas
▪ Configuración simple
▪ No requiere CA
o Desventajas
▪ Un cliente por servidor
▪ Llave almacenada en archivo de texto
▪ Intercambio de llaves complicado
- Modo certificado
o Clave asimétrica
o 4 llaves
▪ Dos públicas
▪ Dos privadas
 o Ventajas
▪ Más de un cliente por servidor
o Desventajas
▪ Configuración compleja
▪ Requiere de CA

3.5.6. WireGuard

Crea una VPN a través de redes que no son de confianza, tanto para IPv4 como IPv6.

Permite crear una VPN para acceder a la propia infraestructura.

Cifrado basado en clave pública y privada.

Cada versión un cifrado criptográfico específico.

Puede utilizar cliente con otro SO:

- Windows
- Android

3.5.7. Seguridad en WIFI

Conexiones inalámbricas:

- Beneficios en la movilidad
- Propensa a problemas de seguridad
o Solución = Definir políticas de seguridad inalámbrica que protejan el
acceso no autorizado a los recursos
▪ WIPS
▪ WIDS

Incremento popularidad en conexiones inalámbricas = incremento del
conocimiento de algoritmos y técnicas que atacan a dichas redes.

Protocolos de seguridad inalámbrica:

- WEP.
o Cifrado estático
▪ Cifrado débil
o Algoritmo vulnerado
o Poco seguro
o Solución
▪ Radius. Mejora seguridad con servidor de autentificación
▪ VPN
▪ Restringir señal RF. Inhibir la señal para impedir que se
propaga más allá del destino
 - WPA
o Mejora seguridad WEP
▪ TKIP o cifrado dinámico
Mensaje no puede ser vulnerado
Secuencia MIC al final del mensaje
o Michael
Previene captura, alteración y reenvío de paquetes
Mecanismo de detección de rotura TKIP
o Bloquea temporalmente la conexión
▪ Cifrado más fuerte
▪ Cada paquete se encripta con una llave diferente y única
o Permite autentificación
o Incompatible con HW antiguo
o Modos
▪ Enterprise
Gestión centralizada de las credenciales de usuario
Radius para distribución de llaves
Soporta variedad de métodos de autentificación
o TLS
o TTLS
o PEAP
TKIP
▪ Personal
TKIP o PSK
Llave en todas las STAs y APs
Establecer conexión segura entre cliente y AP
o four-way-key handshake

Dispositivos inalámbricos operan en RF:

- Hay diferentes normas que establecen bandas frecuenciales o canales para
determinados servicios
o 802.11

Definiciones:

- STA. Dispositivo con interfaz inalámbrica.
- AP.
o Puente entre la red inalámbrica y cableada
o Repetidor de paquetes
- Red ad-hoc. Red temporal con estaciones comunicándose sobre el mismo
canal
- IN. Red con uno o más AP
 - Canal. Banda de RF para la comunicación
- BBS. Conjunto de estaciones comunicándose sobre el mismo canal
- EES. Conjunto de BBS y redes cableadas con AP
- SSID. ID cabecera de paquete sobre una WLAN que actúa como contraseña
cuando un dispositivo intenta conectarse a una BBS

3.5.8. Seguridad en WLAN

Historia:

- SISD y WEP
o SISD o EESID
▪ Redes ad-hoc
SSID. Clientes sin AP
o BBS
▪ IN
ESSID. Clientes con AP
o EES
o Autenticación de usuario
▪ Open system.
Autentifica a todo el que lo solicite
Simple
▪ Shared-key.
Autentifica a aquellos con llave compartida
Problema en intercambio de llaves
- Se crea WECA para la integración rápida de productos
- Se identifican problemas de seguridad WEP
- WECA renombrado a WIFI
- WIFI introduce WPA cumple parte del estándar
- WPA2 como nueva versión
o Cumple todo el estándar 802.11
o AES como mecanismo de encriptación
▪ Cifrado simétrico
o Deja de utilizarse TKIP
- WPS como intento de método alternativo
o Distribución de llaves
o Autentificación
o Problema de seguridad
▪ PIN recovery
3.5.9. IDS

Problema:

- Atacante enmascara el transito
- Se comunica directamente con una aplicación remota
o FW no puede hacer nada

Solución:

- IDS. Sistema de Detección de Intrusos
o Aplicaciones que hacen auditorias al sistema para detectar indicios
de acciones que violen las políticas de seguridad

Acciones:

- Informar
o IDS pasivo.
▪ Detectan y generar alerta
o IDPS. Sistema de Detección y Prevención de Intrusos
▪ Detecta
▪ Registra
▪ Informa
- Tomar una decisión para detenerlo
o IDS activo.
▪ Quita al usuario del sistema
▪ Reconfigura el FW

Categorías según su especificidad:

- NIDS. Network
o Examina el tránsito de la red
o Snort
o Ventajas
▪ Detectan accesos indeseados a la red
▪ Fácil instalación
▪ No requiere de programa adicional
o Inconvenientes
▪ Numero elevado de falsos positivos
▪ Incrementa el tránsito de la red
▪ No detecta ataques encriptados
- HIDS. Host
o Examina el host, las actividades y estado
▪ Logs
▪ Sistema de ficheros
 o Tripwire
o Ventajas
▪ Potente
▪ Menor número de falsos positivos
o Inconvenientes
▪ Instalación en cada host
▪ Incrementa la carga del sistema
▪ Confía el login a la maquina
- SIDS. Stack
o Examina paquetes TCP/IP
o Evolución de HIDS

Sirve como como complemento de un FW.

IDS vs FW:

- Toma decisiones analizando diferentes elementos
- FW únicamente deja pasar o no el tránsito

Ubicación del IDS:

- Antes del FW
o Aviso anticipado
- En la DMZ
- En la intranet (red interna o privada)
o Menos tránsito = IDS menos potente

Técnicas de análisis:

- Heurística. Genera alertas cuando las mesuras varían de un estado
considero seguro
o Ancho de banda
o Puertos
o Protocolos
- Basada en patrones. BD que almacena patrones de ataques comunes, así
como la información extraída

Herramientas comunes:

- Nmap.
o Host y red
o Inyecta tránsito a la red para comprobar cómo responde el sistema
- Snort.
o Más utilizada para red
o Analiza protocolos y búsqueda de contenido
 o Utiliza lenguaje basado en reglas para describir el tránsito y su forma
de análisis
- Tripwire
o Monitoriza ficheros y directorios
o Compara estado actual con uno de referencia
o Si es un cambio esperado, se actualiza el estado de referencia
- OpenVas
o Entorno para integrar servicios y herramientas especializadas en el
escáner y gestión de vulnerabilidades.
- OSSEC
o Analiza registros
o Adecuado para monitorizar FW

3.5.10. Snort

Tecnología más utilizada en IDPS

- Estándar de facto

Características:

- Pequeño y flexible
- Se adapta y detecta infinidad de ataques
- Permite que las alertas vayan a una BD
o PostgreSQL

Partes principales:

- Packet sniffer. Captura los paquetes
- Detection Engine. Aplica las reglas a los paquetes.
o Algoritmo de comparación de strings
▪ Boyer Moore string matching
o Algoritmos de detección y toma de decisiones eficiente
o Reglas creadas a partir del conocimiento y experiencia
▪ snort.conf
o Prioridad de las reglas
▪ Alert rules
▪ Pass rules
▪ Log rules.
- Packet logger. Guarda los datos en un fichero
- Honeypot monitor. Engaña partes hostiles
- Core system. Analiza, descodifica y procesa la información para tomar
decisiones
Ubicación:

- En la intranet

Trabaja sobre:

- Capa de red
- Capa de transporte
- Capa de aplicación

3.5.11. Nmap

Analiza paquetes IP.

Características:

- Detecta puertos y servicios
- Adivino SO de la máquina objetivo
- Descubre ruta de los paquetes
- Supervisa anfitriones

Útil para tareas de inventario de redes y supervisión de redes/servicios.

Tipo de exploración:

- SCAN TCP. Se detecta fácilmente.
- SCAN UDP.
o Exploración lenta
o Falsos positivos
o Detecta caballos de Troya
- SYN SCAN.
o Paquete para establecer conexión
o Conexión nunca se establece
o Respuestas útiles para producir resultados de escaneo
- ACK SCAN. Comprueba si hay FW.
- Fin SCAN.
o Igual que SYN
o Responde mucho con RST
▪ Falso positivo
- SCAN NULL.
o Cabeceras nulas
o Útil para detección
- SCAN XMAS.
o Exploraciones nulas
o No útil para Windows
- SCAN RCP. Descubre que máquinas responden a RPC
 - SCAN IDLE. Supervisa y controla paquetes de un anfitrión.

3.5.12. Honeypot

Recurso informático monitorizado para determinar si hay ataques o no.

Identifica posibles ataques y aprende de ellos.

Se sitúa dentro de una red.

Dos formas de implementación:

- Físicos
o Maquina real
- Virtuales
o Simulan hosts y servicios