Partial 2 - Network Security - PDF

PARCIAL 2 TEMA 3. SEGURIDAD EN REDES 3.1. Proxy y Proxy Server 3.1.1. Proxy Programa o dispositivo que actúa como intermediario entre dos máquinas. Funcionalidades: - Cache - Control de acceso - Registro del trafico - Proxy Server 3.1.2. Proxy Server Objetivo general. Interceptar conexiones de red cliente-servidor. Actualmente. Servidores proxy como web proxy, permite y facilitan el acceso a contenido de la WWW. No solo orientado al contenido web, HTTP: - Proxy ARP - Proxy FTP - Implementados por HW - Implementados por SW o Máquinas de propósito general Clasificación según quien implementa la política del proxy: - Local. El mismo cliente establece las políticas. o Control de tráfico o Reglas de filtrado ▪ Proxy de filtrado o firewall - Externo. Un servidor externo las establece. o Cache de contenido o Control de tráfico o Compartición de IP NAT actúa en capa 3, red, de la pila de protocolos OSI. - Menos recursos - Menos flexible Proxy: - Capa 7, aplicación. - Capa 3, red. Actúa como NAT. o Transparent Firewall. Proxy de capa 3 reenvía los paquetes a uno de capa 7 para investigar el contenido. Firewall: - Proxy o filtro. Recupera la información solicitada y la envía al host de la petición. - Proxy y balanceador de carga. Distribuye el tráfico entre diferentes servidores para evitar la sobrecarga de alguno. Un Firewall bien configurado NO protege: - Ataques fuera de su área - Ataques en la transferencia de datos - Espías o usuarios inconscientes Tipos de Proxy Firewall: - Packet Filtering. o Trabaja a nivel de red ▪ Capa 3 o Reglas Firewall para controlar flujo de datos hacia la red interna o externa o Muchos routers actúan como filtrado ya o Filtros: ▪ Tipo de paquete ▪ IP destino ▪ IP origen ▪ Puertos - Proxy Server. o Aplicaciones proxy ▪ Capa 7 o Permite y controla el acceso de clientes a una red externa ▪ Reverse. Los clientes del exterior a una red interna, contenida por el Firewall Ventajas: - Control o seguridad. Limita y restringe conexiones de usuarios - Ahorro. Proxy implementado con recursos mínimos necesarios - Velocidad. Utiliza cache para devolver recursos solicitados frecuentemente - Filtrado. Reglas Firewall. - Modificación. Puede cambiar la información o Traduciendo contenido o Adaptado el formato al destinatario Desventajas: - Anonimato. Proxy visto como el origen de la petición - Abuso. - Carga. Proxy como cuello de botella. o Requiere dimensionarse - Privacidad. Dado que es el intermediario tendrá registro de conexiones entrantes y salientes, así como de los paquetes. o Más si utiliza una cache - Incoherencia. Recurso en cache anticuado respecto al original, en el servidor externo. o Problema no existente en servidor actuales ▪ Mecanismos de coherencia y control de versiones - Inseguridad aparente. Problemas en muchos escenarios o Usuario presupone conexión directa punto a punto ▪ Servidor Proxy contiene muchos más usuarios Clasificación según su función: - Tunneling Proxy o Gateway. Pasa la petición y responde sin modificación. - Forward Proxy. Concentra las peticiones de los usuarios para obtener recursos de la red externa, Internet. o Más habituales o Permite la salida al exterior o Open Forward Proxy ▪ Se puede conectar cualquier usuario al Proxy, este ya no contiene una red concreta o Anonymous Open Proxy ▪ Permie a usuarios esconder su IP durante la navegación - Reverse Proxy. Controla y protege el acceso externo a la red interna que contiene el Proxy. o Encriptación. Evitando así hacerlo en cada máquina de la red interna o Balanceo de carga o Cache estática ▪ Imágenes o Compresión. Optimiza y comprime el contenido para mejorar la velocidad de acceso o Seguridad. Proxy como puerta centralizada de defensa contra ataques de SO o Web ▪ No protege el contenido, la aplicación o el servicio o Extranet Publishing. Permite el acceso a un servidor de la red Interna. ▪ Mecanismos de seguridad para proteger la infraestructura interna. 3.1.3. Proxy Socks Socks. Protocolo de Internet que permite a aplicaciones cliente-servidor utilizar de manera transparente servicios a través de un Proxy. Permite autenticación y registro de solicitudes. Similar a un túnel IP con un servidor de seguridad. Clientes se conectan al Proxy Socks y adquieren los servicios. Modos: - Forward - Reverse Se negocia el establecimiento de conexión. Versión actual Socks5: - Capa intermedia entre la de aplicación 7 y transporte 4 - Permite protocolos TCP y UDP El cliente debe tener en la aplicación instalado Socks o bien dentro de la pila TCP/IP. Ventajas: - Provee autentificación para protocolos que no permiten o Protocolos encriptados Inconvenientes: - Cliente con interfaz a Socks (navegador) o Options -> Advanced -> Network -> Connection y seleccionar SOCKS - SO con interfaz a Socks o Interceptar tráfico y reenviarlo a Proxy Socks - Servidor Socks específico 3.1.4. Apache Servidor web más popular = protocolo HTTP/FTP. Puede ser configurado como Proxy: - Forward - Reverse Funcionalidades: - Cache - Registro de acceso a Internet - Servir contenido Pasos: - Instalar desde el repositorio o /usr/local/apache - Verificar módulos o apache2ctl -M ▪ mod_proxy.c - Configurarlo como Forward o Reverse o Habilitar Proxy ▪ ProxyRequests On o Configurar el servicio ▪ Reglas Order deny, allow ▪ Clientes permitidos Allow from o Reiniciar Apache ▪ systemctl restart apache2 o Configurar cliente con IP Servidor Proxy. o Opcional ▪ Bloquear sitios web específicos ProxyBlock ▪ Redireccionar ▪ Cache 3.1.5. Squid Servidor Proxy y de cache de páginas popular, bajo licencia GPL. Utilidades: - Aceleración servidor web - Cache peticiones DNS - Cache de web o WCCP - Filtrado de trafico Características: - Estable - Fiable - Robusto - HTTP y FTP - Otros protocolos o Gopher - Modalidades de cifrado o TLS o SSL o HTTPS - Jerarquía de cache en proxis multiarray. - Cache transparente o 3128 Pasos: - Instalar - Configurar o /etc/squid/squid.conf ▪ Puerto que recibe peticiones http_port ▪ Cantidad de memoria cache_mem ▪ Espacio de disco para la cache cache_dir ufs /var/spool/squid ▪ Control de acceso acl - Configurar el cliente (navegador) o Herramientas > Opciones/Preferencias > Avanzadas > Cambiar la configuración del proxy > Configuración manual del proxy > direccion IP del proxy > puerto el 3128 3.2. Infraestructura PKI y Certificados digitales 3.2.1. Sistema con seguridad distribuida Tres tipos de escenario para conectarse a una máquina: - Local o Usuario-contraseña o Listado usuarios y contraseñas cifradas ▪ En un único sentido ▪ Mediante salt Dos contraseñas iguales se cifran de forma diferente o No a través de la red o Se puede romper generando diccionarios - Remota o Usuario-contraseña de forma local o Conexión remota sin SSH ▪ Contraseña se envía por la red, en claro o Conexión remota SSH ▪ Negocia la sesión y se cifra la contraseña antes de enviarla ▪ O par claves de usuario ssh-keygen => se sitúan en ~/.ssh/ o Pública y Privada - Un único domino de acceso remoto o Un único ID usuario y contraseña para todas las máquinas o Claves se autentifican en un servidor de confianza o Implementaciones ▪ Kerberos ▪ YP o NIS 3.2.1.1. NIS Protocolo de directorios cliente-servidor para el envío de datos en sistemas distribuidos como: - Nombres de usuario - Grupos - Contraseñas Antes YP, aun continua como prefijo en algunos comandos: - NIS domainname. Mismo en todas las máquinas - ypbind. Vincula cliente con servidor NIS - ypserv. Daemon que responde las peticiones NIS - rpc.yppasswdd. Daemon ejecutado por NIS master y modifica las contraseñas de los usuarios => cambio propagado en todas las máquinas NIS proporciona acceso a una base de datos genérica utilizada para distribuir la anterior información. - Mismas cuentas en todos los nodos - No hay seguridad real - Integrable con NFS o Con SSH solo se tiene acceso a directorios personales, no /home Funcionamiento: - Cliente se conecta por SSH - El servidor SSH en el destino verifica las credenciales del cliente en la base de datos - Si son validas se permite el acceso 3.2.1.2. NIS + Solución a NIS: - Limitaciones de escalabilidad y seguridad o Incorpora seguridad y autentificación Es complejo de configurar y administrar: - Se continua con NIS - O se cambia por más modernos como LDAP 3.2.2. Llaves y claves En un sistema de directorio distribuido se debe garantizar: - Confidencialidad. Proteger información - Integridad. Datos consistentes, recuperar la información como se almacenó - Autentificación. - No-repudio. - Autorización. Identidad con derechos para realizar alguna acción Elementos esenciales: - Encriptación o Simétrica ▪ DES o AES ▪ Misma llave ▪ Muy rápido ▪ También por HW o Asimétrica o pública-privada ▪ RSA ▪ Dos llaves Publica del destinatario o Servidores públicos o Encripta Privada del destinatario o Propietario o Desencripta ▪ Lento ▪ Susceptible a ataques “known ciphertext” ▪ Problema ubicación llave pública o Mecanismo híbrido ▪ Cifrado simétrico de los datos ▪ Cifrado asimétrico de la llave simétrica con la publica Más seguridad Solo el destinatario con la privada puede descifra la clave simétrica ▪ Descifra la llave simétrica con la privada ▪ Descifra los datos reales con la llave simétrica obtenida o Garantiza ▪ Confidencialidad ▪ Autentificación ▪ Integridad - Algoritmos Hash o Longitud variable en una fija o No se deduce la entrada a partir de la salida o No se genera el mismo resultado o Útil para ▪ Huella digital ▪ Checksums ▪ Extraer contraseñas o Llamado “message digest” o huellas dactilares o MAC = Hash + key. Hash dependiente de una llave ▪ HMAC. La key es la fecha o Garantiza ▪ Autentificación ▪ Integridad - Firmas digitales o Combina hash + algoritmo de firma digital o Hash de los datos o Encripta el hash con llave privada del origen = firma digital o Envía datos en claro + firma o Desencripta la firma digital con la pública del origen o Genera hash de los datos o Compara el hash de datos con el obtenido con la firma o Garantiza ▪ Autentificación ▪ Integridad ▪ No-repudio 3.2.3. SSL/TLS OpenSSL es un conjunto de herramientas con funcionalidades para protocolos TLS y SSL. También es una biblioteca de criptografía. Protocolo que permite: - Utilizar llaves públicas y privadas Garantiza: - Autentificación - Integridad - Confidencialidad Pasos: - Se pacta un algoritmo de cifrado o Servidor se adapta a las capacidades del cliente - Establece una conexión. - Cliente autentifica el servidor mediante el certificado - Servidor autentifica cliente mediante certificado - Autentifica los datos 3.2.4. PKI (Infraestructura de llave pública) Solución a las firmas digitales: - Confianza absoluta en el remitente, origen - El certificado es generado y firmado por o El propio remitente ▪ Autofirmado = no confiable o Un tercero ▪ Entidad reconocida PKI maneja las llaves basadas en certificados digitales. PKI como conjunto de estándares y autoridades Certificadoras (CA). Certificados: - X509 PKI - X509 Certificado Digital Componentes: - CA. Autoridad certificante o Genera las llaves y certificados - RA. Autoridad registradora o Registro, validado y revocación de certificados - Sistema de distribución de certificados o Base de datos con certificados digitales y lista de certificados revocados (CRLs) ▪ CRLs publicadas por Cas ▪ Usuario responsable de conocer dicha lista y certificados revocados ▪ Alternativa OCSP. Determina si el certificado es valido o no de forma automática Ahora problema en confiar en CAs?? - Jerarquía de certificados o Más niveles = más seguridad - Certificación cruzada o Se confían entre sí las diferentes PKIs, de la misma manera en los certificados SW para desplegar una PKI: - XCA o Entornos medianos-grandes - Tiny CA o Obsoleto o Entornos medianos-grandes - OpenCA o Compleja instalación o Entornos grandes 3.2.5. Kerberos Principal objetivo de la autentificación: - Permitir al usuario iniciar sesión y obtener un ID que lo identifique en todas las máquinas o Certificado de identidad universal ▪ Entornos distribuidos ▪ En un único servidor se garantizan todos los aspectos Vulnerable o Solución = Kerberos Kerberos. Protocolo de autenticación de redes que permite demostrar la identidad de dos máquinas de forma segura en una red insegura. Utiliza tres servidores en lugar de uno para garantizar todos los aspectos. Utiliza criptografía de clave simétrica y un centro de distribución de claves (KDC). KDC: - AS. Servidor de autenticación o Comprueba cliente en la BD o Envía la llave de sesión cifrada + ticket cifrado con llave de TGS ▪ Llave de sesión. Permite comunicación con TGS - TGS. Emisor de tickets = demuestran ID del usuario o Descifra el mensaje Cada máquina comparte una llave secreta con Kerberos. Pasos: - Autenticación Inicial: o El usuario ingresa sus credenciales (nombre de usuario y contraseña) en su dispositivo. o El dispositivo envía una solicitud de autenticación al servidor de autenticación (AS) de Kerberos. - Ticket Granting Ticket (TGT): o El servidor de autenticación verifica las credenciales del usuario. o Si las credenciales son correctas, el AS emite un Ticket Granting Ticket (TGT) cifrado con la clave secreta del usuario y lo envía al dispositivo del usuario. - Solicitud de Servicio: o Cuando el usuario desea acceder a un servicio en la red, el dispositivo utiliza el TGT para solicitar un ticket de servicio (ST) del servidor de concesión de tickets (TGS). - Ticket de Servicio (ST) o El TGS verifica el TGT y, si es válido, emite un ticket de servicio cifrado con la clave secreta del servicio solicitado. o El dispositivo del usuario recibe el ST y lo utiliza para autenticarse ante el servicio deseado. - Acceso al Servicio: o El dispositivo del usuario presenta el ST al servicio solicitado. o El servicio verifica el ST y, si es válido, permite al usuario acceder al servicio 3.3. Firewalls Parte de un sistema dedicado al bloqueo o autorizado de acceso según si es o no autorizado. Implementados tanto por SW como por HW. Principal función: - Evitar que usuarios de Internet no autorizados accedan a la red interior o privada. - Examina los paquetes entrantes y salientes Se suele conectar una tercera red: - DMZ. Servidores de la organización accesibles desde el exterior Tipos: - Nivel de aplicación (7). Mecanismos de seguridad para datos de aplicaciones. o FW de tráfico HTTP = Proxy o WAF. Firewall que supervisa y filtra tráfico HTTP. ▪ Protege de ataques SQL XXS - Nivel de Transporte (4). Mecanismo de seguridad para comunicación TCP o UDP. - Nivel de paquetes o red (3). Filtro de paquetes IP (reglas iptables) Firewall personal. FW como SW y filtra comunicaciones con Internet. Principal ataque DoS es el flooding, enviar pings de gran tamaño para saturar la red. 3.3.1. Iptables FW más popular = IPchains, pero presenta deficiencias - Solución: Iptables Iptables. Paquete predeterminado de FW en Linux: - Mejor integración - Inspección de paquetes mediante tablas, controlada por una cadena de filtrado (chain) = reglas aplicadas al paquete o Mangle. Bits de calidad de la cabecera TCP. ▪ Paquete con destino al FW o Filtro. Filtrado de paquetes. ▪ Chains importantes con reglas de política FW: Forward Input Output o NAT. ▪ Chains Pre-routing. Se cambia IP destino o dNAT Post-routing. Se cambia IP origen - Filtrado de paquetes - Mejor traducción de direcciones de red - Limitaciones de velocidad para bloqueo de ataques DoS Reglas: - ACCEPT - DROP - LOG. Información del paquete enviada a syslog. - REJECT. Proporciona mensaje de error. - DNAT - SNAT. Pequeño volumen de paquetes - MASQUERADE. Para hacer SNAT automático a gran volumen de paquetes Flags: - t. Seleccionar la tabla - p. Protocolo - s / d. IP origen o destino del paquete - i / o. Interfaz, nombre, de entrada o salida - F. Flush. Borra todas las reglas de la tabla seleccionada Formas de implementar un FW: - Política por defecto ACEPTAR. Facilita la gestión del FW o Se especifica únicamente lo que se rechaza ▪ Suele haber más FORWARD - Política por defecto DENEGAR. La más recomendada o Especifica lo que se acepta o Más complejo de configurar ▪ Especificar IN y OUT 3.3.2. NFTables Iptables tiene muchos problemas difíciles de solucionar: - Escalabilidad - Rendimiento - Solución o NFTables NFTables: - Filtrado de paquetes - NAT - Manipulación y clasificación de paquetes - No trabaja con tablas o Iptables con NAT y filtro - Varias acciones en una única regla o Iptables solo una acción por regla ▪ ACCEPT ▪ … - Gestiona reglas para las diferentes familias de trafico en una única línea o Iptables requiere de paquetes complementarios para gestionar diferentes tipos de tráfico de red ▪ Iptables IPv4 ▪ Ip6tables IPv6 ▪ arptables ARP Desventajas: - Nueva sintaxis o Pero se compensa con mayor flexibilidad y funcionalidad 3.3.3. DMZ Es común poner uno o más FW para establecer perímetros de seguridad. En algunas instituciones es común que algunos servidores tengan acceso a Internet y a la vez acepten conexiones externas. En estos casos dicho servidor se sitúa fuera de la red interna, en una DMZ. El FW pasa a tener tres interfaces, redes. 3.3.4. Interno El FW se coloca para proteger un conjunto de servidores, mientras que otra queda totalmente expuesta. La parte expuesta es debido que son servidores que requieren acceso a Internet. No se utiliza una DMZ. El FW vuelve a tener dos interfaces, redes. 3.4. Autentificación, PASSWD, hashing, PAM, LDAP Modelo de capas para la seguridad: 3.4.1. Autentificación Es necesario técnicas de encriptación para garantizar seguridad del mensaje. Para un acceso seguro: - Autenticación. Verificar identidad del usuario mediante par usuario- contraseña o crypt(). Cifra la contraseña y la almacena en /etc/shadow ▪ En cada inicio se emplea la función con la contraseña introducida ▪ Únicamente se autentica el usuario cuando el cifrado de dicha contraseña y la situada en el directorio coinciden ▪ Problema: Usuarios con contraseñas “fáciles” password 123456 123456789 guest - Autorización. Verificar usuario tiene acceso a un determinado recurso. 3.4.2. PASSWD y Hashing: Crypt() Basado en DES y utiliza la contraseña del usuario como clave de cifrado para un bloque de bits de ceros => misma contraseña = mismo cifrado Repite la acción un número de 25 veces. Problema: - Ataques de fuerza bruta o diccionario o Posibles contraseñas realizan la acción y se comparan con la almacenada en /etc/passwd ▪ Ahora en /etc/shadow => contiene el hash de la contraseña - Solución = elemento salt Salt. Número aleatorio de 0 a 4095 que se añade a la clave cifrada. - Misma contraseña = diferente cifrado o 4096 posibilidades - En la modificación se utiliza como salt la hora del día y se añade al hash en el directorio - Formato o Contraseña, salt, contraseña cifrada - Problema: o Rainbow tables. Herramienta para descifrar contraseñas ▪ BD que contiene hash de diferentes contraseñas o Potencia de cómputo o Descifrado de contraseñas - Solución: o Técnicas que mejoren aún más la autentificación o Algoritmos de la glibc2 ▪ Formato ID, salt, hash ID identifica el método de encriptación 3.4.3. PAM Problema: - Autentificación gestionada por la aplicación o Requiere conocimientos Solución: - PAM PAM. Conjunto de librerías que proporciona una API para a las aplicaciones delegar tareas de autentificación. - Servidor, administrador o empresa Características: - Dinámicamente configurable - Permite decidir autentificación de cada servicio o /etc/pam.conf - Arquitectura interconectable y modular = flexibilidad - Permite independizar el desarrollo de la aplicación de la política de autentificación Ventajas: - Autentificación común y centralizada - Facilita mantenimiento - Flexibilidad y control Áreas de gestión: - Account. Verificación de cuentas - Auth. Comprueba identidad del usuario o Sistema de credenciales para otorgar privilegios - Password. Mantiene actualizada la contraseña - Session. Módulos encargados de configurar y administrar sesiones de usuario Cada área de gestión contiene módulos organizados de forma de pila que realizan las tareas. PAM ofrece funciones a la aplicación para dichas tareas de las áreas. La aplicación ofrece a PAM una función para intercambiar información textual. - La APP debe contener librería Linux-PAM Configuración: - Formato o Servicio = APP o servicio o Tipo = área de gestión o Control. Que hacer en caso de que se valide o no el servicio ▪ Required. Módulos con éxito ▪ Requisite. Si falla uno se devuelve el control a la APP ▪ Sufficient. Si no fallan los anterior y este es válido, se devuelve control a la APP ▪ Opcional. Ignorado por PAM o Ruta. Del módulo a emplear ▪ Man pam => saber módulos disponibles de PAM Se pueden definir definiciones generales => @include servicio Módulos comunes: - Pam_cracklib.so. Verifica clave de usuario (palíndromo, simple, ya usada…) - Pam_deny.so. Genera un fallo - Pam_env.so. Establece variables de entorno por defecto - Pam_limits.so. Controla limites impuestos a los recursos disponibles - Pam_unix.so. Comprueba la contraseña - Mod_auth_pam. PAM para el protocolo de autentificación Apache o apt-get install apache2 libapache2-mod-authnz-pam o /etc/pam.d/apache o Problema: ▪ Apache debe tener permisos de lectura de /etc/shadow 3.4.4. LDAP LDAP. Protocolo para acceder a datos basados en servicios X500. Ejecutado sobre TCP/IP. Directorio similar a una BD. Servicio modelo cliente-servidor: - Servidor contiene información o La devuelve o O devuelve un puntero a otro servidor - Cliente pide la información LDIF. Formato para importar y exportar información entre servidores LDAP. - Jerarquía orientada a objetos o Grupos o Localizaciones o Organizaciones y personas - Estructura de los objetos o Schema. Indica atributos permitidos para el objeto ▪ /etc/ldap/schema o Hay atributos obligatorios y optativos o Datos = par atributo-valor Utilidades: - Servidor de autentificación o En lugar de /etc/passwd o /etc/shadow Pasos: - apt-get install libnss-ldap libpam-ldap ldap-utils - dpkg-reconfigure slapd. Asistente de configuración de LAPD - apt-get install phpldapadmin. Acceder al directorio global LDAP o http://localhost/phpldapadmin/ ▪ Crear usuarios ▪ Crear grupos 3.4.5. TCP Wrappers Sistema de ACL de red utilizado para filtrar el acceso de red a servicios de protocolos de Internet. ACL. Lista de control de acceso Define reglas de control de acceso basadas en direcciones IP o nombres de host. - /etc/hosts.allow o Direcciones host con acceso al servicio - /etc/hosts.deny o Direcciones host con acceso denegado al servicio Utiliza la librería libwrap. Ventajas: - Reconfiguración ACL en tiempo de ejecución o Servicios no tienen que ser reiniciados - Protección contra ataques en conjunto con Fail2ban o Bloquea direcciones IP cuando se realizan intentos de conexión excesivos o fallidos Problemas: - Hay que vigilar los DoS Pasos: - Observar los servicios o inetd.conf - El super servidor, inted, no ejecuta el servicio, se lo pasa al daemon de tcp (tcpd). - Este comprueba si se le da acceso o no mediante la ACL. - Si tiene acceso lo ejecuta y le pasa el control 3.4.6. Xinetd Daemon que gestiona la conexión a Internet y presenta extensión más segura que inetd. Ventajas respecto inetd: - Controla TCP, UDP y RPC - DoS - Intervalos de tiempo - Número de servidores Pasos: - Configuración parámetros globales o /etc/xinetd.conf - Configuración de los servicios o /etc/xinetd.d/ ▪ Tipo de paquete ▪ Protocolo ▪ Usuario. El que ejecutará el servidor ▪ Wait. Multi thread o no ▪ Instances. Numero de servidores activos para el servicio 3.5. VPN, IDS, Seguridad en WIFI 3.5.1. VPN Proporciona acceso a una red privada a través de una red pública. Es decir, conexión segura y cifrada en una red no segura como Internet. Permite enviar o recibir datos desde una red pública, como si estuviera en una privada. Es necesario conexión virtual punto a punto. Conexión VPN a través de Internet = enlace WAN. El usuario lo ve como un enlace de red privada. VPN basadas en técnicas de cifrado mediante el uso de protocolos “túnel” y técnicas de seguridad (encriptación). Garantiza: - Confidencialidad - Autentificación - Integridad Ataques sin VPN: - Usurpación de identidad - Perdida de la integridad de datos o Datos pueden modificarse - Solución o Seguridad a nivel de aplicación ▪ SSH Tipos de VPN: - Según los protocolos “túnel” utilizados o IPSec ▪ Estándar ▪ Capa 3 o de red ▪ Encripta y encapsula paquete IP dentro de uno IPSec ▪ Problemas NAT FW o SSL o TLS ▪ Capa 4 o de transporte ▪ Realiza un túnel sobre todo el tráfico de la red OpenVPN ▪ O sobre una única conexión ▪ Proveedores VPN-SSL ▪ Soluciona problemas de IPSec ▪ Problemas: UDP ▪ Ventajas Sencilla configuración Seguridad Bajo coste ▪ Más utilizadas o en potencial auge o DTLS ▪ Soluciona problemas de TLS o SSH VPN ▪ Capa 7 o de aplicación ▪ Túnel para asegurar conexiones remotas a una red. ▪ OpenSSH ▪ Problemas: Límite de túneles - Según el punto de acceso o Acceso remoto. Usuarios acceden a la intranet de la institución desde su máquina. ▪ VPN LAN. Utiliza la LAN de la institución en lugar de una intranet. o Punto a punto. Usuarios comparten una red virtual cohesionada. ▪ También es útil para interconectar dos redes de diferentes protocolos IPv4 IPv6 - Según los niveles de seguridad - Según la capa OSI que presentan Se pueden implementar mediante: - HW o Mayor rendimiento o Fácil configuración o Menos flexibles o Permite FW - SW o Menor rendimiento o Fácil y delicada configuración o Permite FW o Solución cuando hay problemas de interoperabilidad entre los protocolos túnel o HW o Soluciones Linux ▪ OpenSSH ▪ OpenVPN 3.5.2. IPSec Proporciona mecanismo de seguridad para comunicaciones IP. Capa 3 o de red. Complejo de configurar. Protocolos de seguridad: - AH o Autenticación o Integridad en la sesión - ESP o Encriptación Modos de trabajo: - Transporte. Protege el dato - Túnel. Se protege el dato y cabecera original. o Permite pasar por NATs y Routers IKE. Genera automáticamente llaves de descifrado. Garantiza: - Confidencialidad - Integridad - Autenticidad - No-repudio 3.5.3. SSL o TLS Protege el canal utilizando encriptación de llave pública. Capa 4 o de transporte. Garantiza: - Autenticación - Integridad Diferentes versiones soportan cientos de algoritmos criptográficos. Ventaja: - Gran flexibilidad = admite diferentes clientes Problema: - Configuración compleja - Propensa a errores 3.5.4. VPNSSL VPN vía túnel driver, puente entre dos interfaces. Configuración: - sshd_config o PermitTunnel yes - PKI 3.5.5. OpenVPN Monta VPN utilizando claves simétricas o asimétricas (PKI). Utiliza el puerto UDP (1194). Modos de trabajo: - Llave estática o Clave simétrica ▪ static.key o Llave instalada en cliente y servidor o Archivo de configuración ▪ /etc/openvpn/tun0.conf o Ventajas ▪ Configuración simple ▪ No requiere CA o Desventajas ▪ Un cliente por servidor ▪ Llave almacenada en archivo de texto ▪ Intercambio de llaves complicado - Modo certificado o Clave asimétrica o 4 llaves ▪ Dos públicas ▪ Dos privadas o Ventajas ▪ Más de un cliente por servidor o Desventajas ▪ Configuración compleja ▪ Requiere de CA 3.5.6. WireGuard Crea una VPN a través de redes que no son de confianza, tanto para IPv4 como IPv6. Permite crear una VPN para acceder a la propia infraestructura. Cifrado basado en clave pública y privada. Cada versión un cifrado criptográfico específico. Puede utilizar cliente con otro SO: - Windows - Android 3.5.7. Seguridad en WIFI Conexiones inalámbricas: - Beneficios en la movilidad - Propensa a problemas de seguridad o Solución = Definir políticas de seguridad inalámbrica que protejan el acceso no autorizado a los recursos ▪ WIPS ▪ WIDS Incremento popularidad en conexiones inalámbricas = incremento del conocimiento de algoritmos y técnicas que atacan a dichas redes. Protocolos de seguridad inalámbrica: - WEP. o Cifrado estático ▪ Cifrado débil o Algoritmo vulnerado o Poco seguro o Solución ▪ Radius. Mejora seguridad con servidor de autentificación ▪ VPN ▪ Restringir señal RF. Inhibir la señal para impedir que se propaga más allá del destino - WPA o Mejora seguridad WEP ▪ TKIP o cifrado dinámico Mensaje no puede ser vulnerado Secuencia MIC al final del mensaje o Michael Previene captura, alteración y reenvío de paquetes Mecanismo de detección de rotura TKIP o Bloquea temporalmente la conexión ▪ Cifrado más fuerte ▪ Cada paquete se encripta con una llave diferente y única o Permite autentificación o Incompatible con HW antiguo o Modos ▪ Enterprise Gestión centralizada de las credenciales de usuario Radius para distribución de llaves Soporta variedad de métodos de autentificación o TLS o TTLS o PEAP TKIP ▪ Personal TKIP o PSK Llave en todas las STAs y APs Establecer conexión segura entre cliente y AP o four-way-key handshake Dispositivos inalámbricos operan en RF: - Hay diferentes normas que establecen bandas frecuenciales o canales para determinados servicios o 802.11 Definiciones: - STA. Dispositivo con interfaz inalámbrica. - AP. o Puente entre la red inalámbrica y cableada o Repetidor de paquetes - Red ad-hoc. Red temporal con estaciones comunicándose sobre el mismo canal - IN. Red con uno o más AP - Canal. Banda de RF para la comunicación - BBS. Conjunto de estaciones comunicándose sobre el mismo canal - EES. Conjunto de BBS y redes cableadas con AP - SSID. ID cabecera de paquete sobre una WLAN que actúa como contraseña cuando un dispositivo intenta conectarse a una BBS 3.5.8. Seguridad en WLAN Historia: - SISD y WEP o SISD o EESID ▪ Redes ad-hoc SSID. Clientes sin AP o BBS ▪ IN ESSID. Clientes con AP o EES o Autenticación de usuario ▪ Open system. Autentifica a todo el que lo solicite Simple ▪ Shared-key. Autentifica a aquellos con llave compartida Problema en intercambio de llaves - Se crea WECA para la integración rápida de productos - Se identifican problemas de seguridad WEP - WECA renombrado a WIFI - WIFI introduce WPA cumple parte del estándar - WPA2 como nueva versión o Cumple todo el estándar 802.11 o AES como mecanismo de encriptación ▪ Cifrado simétrico o Deja de utilizarse TKIP - WPS como intento de método alternativo o Distribución de llaves o Autentificación o Problema de seguridad ▪ PIN recovery 3.5.9. IDS Problema: - Atacante enmascara el transito - Se comunica directamente con una aplicación remota o FW no puede hacer nada Solución: - IDS. Sistema de Detección de Intrusos o Aplicaciones que hacen auditorias al sistema para detectar indicios de acciones que violen las políticas de seguridad Acciones: - Informar o IDS pasivo. ▪ Detectan y generar alerta o IDPS. Sistema de Detección y Prevención de Intrusos ▪ Detecta ▪ Registra ▪ Informa - Tomar una decisión para detenerlo o IDS activo. ▪ Quita al usuario del sistema ▪ Reconfigura el FW Categorías según su especificidad: - NIDS. Network o Examina el tránsito de la red o Snort o Ventajas ▪ Detectan accesos indeseados a la red ▪ Fácil instalación ▪ No requiere de programa adicional o Inconvenientes ▪ Numero elevado de falsos positivos ▪ Incrementa el tránsito de la red ▪ No detecta ataques encriptados - HIDS. Host o Examina el host, las actividades y estado ▪ Logs ▪ Sistema de ficheros o Tripwire o Ventajas ▪ Potente ▪ Menor número de falsos positivos o Inconvenientes ▪ Instalación en cada host ▪ Incrementa la carga del sistema ▪ Confía el login a la maquina - SIDS. Stack o Examina paquetes TCP/IP o Evolución de HIDS Sirve como como complemento de un FW. IDS vs FW: - Toma decisiones analizando diferentes elementos - FW únicamente deja pasar o no el tránsito Ubicación del IDS: - Antes del FW o Aviso anticipado - En la DMZ - En la intranet (red interna o privada) o Menos tránsito = IDS menos potente Técnicas de análisis: - Heurística. Genera alertas cuando las mesuras varían de un estado considero seguro o Ancho de banda o Puertos o Protocolos - Basada en patrones. BD que almacena patrones de ataques comunes, así como la información extraída Herramientas comunes: - Nmap. o Host y red o Inyecta tránsito a la red para comprobar cómo responde el sistema - Snort. o Más utilizada para red o Analiza protocolos y búsqueda de contenido o Utiliza lenguaje basado en reglas para describir el tránsito y su forma de análisis - Tripwire o Monitoriza ficheros y directorios o Compara estado actual con uno de referencia o Si es un cambio esperado, se actualiza el estado de referencia - OpenVas o Entorno para integrar servicios y herramientas especializadas en el escáner y gestión de vulnerabilidades. - OSSEC o Analiza registros o Adecuado para monitorizar FW 3.5.10. Snort Tecnología más utilizada en IDPS - Estándar de facto Características: - Pequeño y flexible - Se adapta y detecta infinidad de ataques - Permite que las alertas vayan a una BD o PostgreSQL Partes principales: - Packet sniffer. Captura los paquetes - Detection Engine. Aplica las reglas a los paquetes. o Algoritmo de comparación de strings ▪ Boyer Moore string matching o Algoritmos de detección y toma de decisiones eficiente o Reglas creadas a partir del conocimiento y experiencia ▪ snort.conf o Prioridad de las reglas ▪ Alert rules ▪ Pass rules ▪ Log rules. - Packet logger. Guarda los datos en un fichero - Honeypot monitor. Engaña partes hostiles - Core system. Analiza, descodifica y procesa la información para tomar decisiones Ubicación: - En la intranet Trabaja sobre: - Capa de red - Capa de transporte - Capa de aplicación 3.5.11. Nmap Analiza paquetes IP. Características: - Detecta puertos y servicios - Adivino SO de la máquina objetivo - Descubre ruta de los paquetes - Supervisa anfitriones Útil para tareas de inventario de redes y supervisión de redes/servicios. Tipo de exploración: - SCAN TCP. Se detecta fácilmente. - SCAN UDP. o Exploración lenta o Falsos positivos o Detecta caballos de Troya - SYN SCAN. o Paquete para establecer conexión o Conexión nunca se establece o Respuestas útiles para producir resultados de escaneo - ACK SCAN. Comprueba si hay FW. - Fin SCAN. o Igual que SYN o Responde mucho con RST ▪ Falso positivo - SCAN NULL. o Cabeceras nulas o Útil para detección - SCAN XMAS. o Exploraciones nulas o No útil para Windows - SCAN RCP. Descubre que máquinas responden a RPC - SCAN IDLE. Supervisa y controla paquetes de un anfitrión. 3.5.12. Honeypot Recurso informático monitorizado para determinar si hay ataques o no. Identifica posibles ataques y aprende de ellos. Se sitúa dentro de una red. Dos formas de implementación: - Físicos o Maquina real - Virtuales o Simulan hosts y servicios

Partial 2 - Network Security - PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue