Tema 1 - Diseño de redes de computadores seguras

Summary

This document provides an introduction to computer networks, subnetting, VLANs, DMZs, wireless security, and secure network protocols. It covers topics such as network segmentation, different types of network addressing, and security measures.

Full Transcript

T1 – DISEÑO DE REDES DE
COMPUTADORES SEGURAS
BASTIONADO DE REDES Y SISTEMAS
CIBERSEGURIDAD EN ENTORNOS DE LAS TECNOLOGÍAS DE LA
INFORMACIÓN
ÍNDICE

1. Introducción
2. Subnetting
3. Redes virtuales (VLAN)
4. Zona desmilitarizada (DMZ)
5. Seguridad en redes inalámbricas
6. Protocolos seguros de red
1.1 - INTRODUCCIÓN

¿Qué es una red de
computadores?
1.1 -
INTRODUCCIÓN
Segun la RAE, una red es un
conjunto de computadoras o de
equipos informáticos conectados
entre sí y que pueden intercambiar
información.
¿Cual es la red de computadores
más grande que conoceis y para que
la utilizais?
1.1 - INTRODUCCIÓN: SEGMENTACIÓN DE REDES

Dividir una red en redes más pequeñas
¿Para qué?
Aumento de rendimiento
Mejora significativa de la comunicación
Mejor gestión
Mayor control
1.1 - INTRODUCCIÓN: SEGMENTACIÓN DE REDES

Tipos de segmentación
Física
La segmentación física es aquella que está condicionada por el cableado y hardware de red que la
conecta.
Lógica
La segmentación lógica es aquella que tan solo utiliza el software para dividir una red en subredes
más pequeñas.
1.1 - INTRODUCCIÓN: SEGMENTACIÓN DE REDES

Consideraciones a la hora de segmentar una red:
Protocolos de enrutamiento
Equipos necesarios
Routers y Switches
Eficiencia
Menos ruido
Seguridad de acceso
1.1 - INTRODUCCIÓN: DIRECCIONAMIENTO DE
RED
El objetivo del direccionamiento de red es identificar a cada uno de los equipos de una
red.
Tipos de direccionamiento de red:
IPv4
Consiste en una cadena de dígitos de de 32 bits que se componen de 4 números separados por
puntos (192.168.1.1)
IPv6
Consiste en una cadena de dígitos de de 128 bits que se compone de 8 números en hexadecimal
separados por dos puntos (2001:0DB8:AC10:FE01:0000:0000:0000:0000)
1.1 - INTRODUCCIÓN: DIRECCIONAMIENTO DE
RED
Direccionamiento IPv4
Clases de redes
Clase A: Redes grandes (0.0.0.0 – 127.255.255.255)
Clase B: Redes medianas (128.0.0.0 – 191.255.255.255)
Clase C: Redes pequeñas (192.0.0.0 – 223.255.255.255)
Clase D: Redes Multicast (224.0.0.0 – 239.255.255.255)
Clase E: Redes de Investigación (240.0.0.0 – 255.255.255.255)
1.1 - INTRODUCCIÓN: DIRECCIONAMIENTO DE
RED
Direccionamiento IPv4
Tipos de direcciones IP
Públicas
Las direcciones IPv4 públicas constituyen el espacio de direcciones de Internet.
Privadas
Rangos de direcciones IPv4 han sido reservados para la operación de redes privadas (
RFC 1918).
Clase A 10.0.0.0 – 10.255.255.255
Clase B 172.16.0.0 – 172.31.255.255
Clase C 192.168.0.0 – 192.168.255.255
1.1 - INTRODUCCIÓN:
DIRECCIONAMIENTO DE RED

Direccionamiento IPv6
Tipos de direcciones
Unicast (1to1)
Multicast (1 to n)
Anycast (n to n)
No hay dirección de broadcast
1.1 - INTRODUCCIÓN: DIRECCIONAMIENTO DE
RED
Direccionamiento IPv6
Tipos de direcciones Unicast
Loopback ::1/128
Link-Local FE80::/10
Unicast Global 2001::/16
Local Única FC00::/7 a FDFF::/7
1.2 - SUBNETTING

¿Qué es el subnetting?
La división segmentar una red en
varias subredes.
1.2 - SUBNETTING

Dominios de difusión
Redes LAN
Router
Switch
Comunicación entre equipos
DHCP
ARP
1.2 - SUBNETTING

Problemas con los dominios de difusión grandes:
Muchos dispositivos comunicándose entre sí.
Genera mucho trafico
Conexión de red lenta
Operaciones en los equipos lentas
1.2 - SUBNETTING

Beneficios de hacer subnetting
Mayor control sobre la red
Gestión más sencilla
Menor tráfico de difusión
1.2 - SUBNETTING

Criterios para crear subredes
Por ubicación
Pisos
Delegaciones
Por secciones organizativas
Departamentos
Tipo de equipos
Cualquier motivo que sea interesante para la organización
1.2 - SUBNETTING

Parámetros a tener en cuenta a la hora de crear subredes
Ejemplo 192.168.0.0/24
/24 La máscara, indica cuantos bits vamos a coger para diseñar subredes o asignar a hosts.
0 Bits de hosts. La parte variable, en este caso, los 8 bits que nos deja la máscara /24
192.168.0. Identificador de red. Parte fija.

¿Cuántos hosts caben en una red /24?
1.2 - SUBNETTING
1.2 - SUBNETTING

Practica 1.1: Fundamentos de Redes
1.3 REDES VIRTUALES (VLAN)

¿Qué es una VLAN?
1.3 REDES VIRTUALES (VLAN)

Virtual Local Area Network
Protocolo IEEE 802.1Q
Redes lógicas independientes dentro de una misma red física.
Eso nos permite que puedan coexistir varias redes en el mismo medio físico, actuando
como redes distintas a todos los efectos.
Permite reducir el dominio de difusión/dominio de broadcast

Se configuran a través de software
1.3 REDES VIRTUALES (VLAN)

Las VLAN se pueden configurar por varios criterios
Por puerto de switch (Port Switching)
Por direcciones MAC
Por tipo de protocolo
Por direcciones IP
VLAN por usuario
DVLAN (VLAN Dinámica)
1.3 REDES VIRTUALES (VLAN)

Peligros de la VLAN
VLAN Hopping
Pivotar de una VLAN a otra
Dos tipos
Suplantación de Switch
Doble etiquetado de Switch
Prevenir VLAN Hopping
Conveniente tener el estado DTP (Protocolo de Trunking Dinamico), como no negociable
El puerto de enlace troncal (trunk), no tiene que tener una VLAN nativa, que se use como acceso.
1.3 REDES VIRTUALES (VLAN)

Practica 1.2: Creación de una VLAN
1.4 ZONA DESMILITARIZADA (DMZ)

¿Qué es una DMZ?
1.4 ZONA DESMILITARIZADA (DMZ)

La DMZ o zona desmilitarizada, es una red perimetral concebida como una LAN, para
proteger de tráfico no confiable. Se usa habitualmente para albergar servicios críticos. Se
encuentra entre las redes privadas e Internet.
1.4 ZONA DESMILITARIZADA (DMZ)
1.4 ZONA DESMILITARIZADA (DMZ)

Practica 1.3: Iptables
1.5 SEGURIDAD EN REDES INALÁMBRICAS

Puntos de acceso inalámbricos, son un vector de entrada a una organización.
Las ondas de radio no entienden de infraestructuras físicas

Configuración deficiente
Contraseña débil
Cifrado débil

Herramienta de auditoria Wi-Fi aircrack-ng
1.5 SEGURIDAD EN REDES INALÁMBRICAS

Medidas para proteger una red inalámbrica o Wi-Fi:
Fortalecer la red inalámbrica
Cifrados no vulnerables
Proteger datos corporativos
Red de invitados
Utilizar una contraseña segura
Política robusta de contraseñas
Filtrado de direcciones MAC
1.5 SEGURIDAD EN REDES INALÁMBRICAS

Medidas para proteger una red inalámbrica o Wi-Fi:
Actualizar los puntos de acceso
Apagar los APN en periodos de inactividad
Mantener SSID oculto
Cambiar los parámetros por defecto como el SSID
1.5 SEGURIDAD EN REDES INALÁMBRICAS

Cifrado de contraseñas
WEP (Wired equivalent privacy)
64/128 bits
No recomendado ya que es vunerable
WPA (Wi-Fi Protected access)
Claves precompartidas PSK
WPA2
Claves AES
WPA3
192 bits modo Enterprise
128 bits modo Personal
1.6: PROTOCOLOS DE
RED SEGUROS
Vulnerabilidades según la capa
TCP/IP
1.6: PROTOCOLOS DE RED SEGUROS

Vulnerabilidades en capa física/acceso a la red
Acceso directo al medio físico
Control de acceso
Comunicaciones punto a punto
Redes inalámbricas
1.6: PROTOCOLOS DE RED SEGUROS

Vulnerabilidades en capa de red (IP, ARP, ICMP, IGMP)
Problemas con la confidencialidad, autenticidad e integridad
Escaneos de red en modo promiscuo
Suplantación de mensajes o direcciones IP (IP spoofing)
Envenenamiento ARP o ARP spoofing
1.6: PROTOCOLOS DE RED SEGUROS

Vulnerabilidades en capa de transporte (TCP/UDP)
Transporte de paquetes en claro
Ataques de denegación de servicio
Secuestro de conexiones/sesiones TCP
1.6: PROTOCOLOS DE RED SEGUROS

Vulnerabilidades en capa de aplicación
Vulnerabilidades en aplicaciones/protocolos
Escaneo de puertos
DNS
Suplantar DNS (resolv.conf)
TELNET
No cifrado
Binomio usuario/contraseña pueden ser capturados con un sniffer
FTP
No cifrado
Binomio usuario/contraseña pueden ser capturados con un sniffer
1.6: PROTOCOLOS DE RED SEGUROS

Vulnerabilidades
Como protegernos
Utilizando cortafuegos
Utilizando IDS o NIDS
Utilizar protocolos seguros
Protocolos de red
IPSec
SSL/TLS
SSH
1.6: PROTOCOLOS DE RED SEGUROS

IPSec
Surgió como protección al
protocolo IP
Permite que dos redes
independientes se comuniquen por
un túnel securizado
Comunicación cifrada punto a
punto
1.6: PROTOCOLOS DE RED SEGUROS

IPSec
Amenazas que evitamos
La escucha y la captura de paquetes
Evita suplantaciones ya que la conexión va cifrada pero también autenticada.
Protocolos básicos
Protocolo AH (Authentication Header)
Protocolo ESP (Encapsulating Security Payload)
Gestión de credenciales
ISAKMP
OAKLEY
IKE/IKEv2
1.6: PROTOCOLOS DE RED SEGUROS

Practica 1.4: IPSec
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Secure Socket Layer/Transport Layer Security
Proteger las conexiones de cualquier aplicación que use sockets
HTTP, FTP….
HTTPS (443) Hyper Text Transfer
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Ventajas en las comunicaciones:
Confidencialidad
Autenticación de las entidades emisoras
Autenticación de mensajes
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Ventajas en las comunicaciones:
Confidencialidad
Se confirma o acuerda que claves se utilizarán en el inicio de sesión entre cliente y servidor.
Habrá un total de 2 claves, una para cada dirección de la comunicación Cliente-Servidor y Servidor-Cliente
Intercambio de claves seguro basados en criptografía asimétrica
Certificado digital
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Ventajas en las comunicaciones:
Autenticación de las entidades emisoras
Es necesario conocer y aceptar la clave pública del servidor
Si se utiliza certificado para inicio de sesión en el inicio de sesión de un cliente en un servidor
Autenticación de mensajes
Los paquetes SSl además de ir cifrados añaden un nivel de seguridad incluyendo un código HMAC, para
garantizar la integridad y la autenticidiad del contenido
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
A tener en cuenta:
Eficiente. Solo se usa el cifrado asimétrico al establecer la conexión y crear la sesión
No se repite la autenticación y el intercambio de claves
Algoritmos de compresión de datos, reducen el tamaño de los mensajes y reducen el tiempo de
transmisión
Varios tipos de cifrado, comprensión de datos e intercambio de claves
Los algoritmos se negocian al establecer la sesión
Siempre que sean compatibles con los vigentes se pueden añadir diferente s algoritmos
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Arquitectura SSl/TLS:
La arquitectura tiene 2 niveles:
Nivel superior
Negociación de los parámetros de la sesión y la conexión
Transferencia de datos del nivel de aplicación
Funciones de control

Nivel inferior
Se negocian los servicios de intercambio seguro, como la comprensión y la autenticación sobre la capa superior
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Sesiones y conexiones
Sesiones, a nivel de aplicación
Creación por parte del protocolo de negociación
Definición de parámetros de seguridad para aplicarse en distintas conexiones
Se establece:
Identificador de la sesión
Certificado de la entidad
Método de compresión
Clave maestra
Reanudar automáticamente la sesión
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Sesiones y conexiones
Conexiones, a nivel de transporte
Son transitorias y se asocian a una sesión
Cada conexión tiene asociado:
Valores aleatorios compartidos
Dos pares de claves secretas generadas a través de una maestra, una para HMAC y otra para cifrar la conexión.
Vector de inicialización de la conexión
Numero de secuencia de los mensajes enviados y recibidos
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Los protocolos SSL/TLS se sustentan en
Protocolo de registros (Record)
Confidencialidad mediante cifrado simétrico
Integridad mediante HMAC
Claves secretas
Protocolo de negociación (Handshake)
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Los protocolos SSL/TLS se sustentan en
Protocolo de negociación (Handshake)
Autenticar cliente-servidor y servidor-cliente
Acordar algoritmos mediante cifrado
Compresión
Traspaso de claves de forma segura
1.6: PROTOCOLOS DE RED SEGUROS

SSL/TLS
Los protocolos SSL/TLS se sustentan en
Fases del protocolo de negociación (Handshake)
Establecimiento de las capacidades de cada extremo
Autenticación del servidor y envío del certificado o algoritmo de intercambio de clave
Autenticación del cliente (opcional)
Intercambio de parámetros concretos de conexión
1.6: PROTOCOLOS DE RED SEGUROS

Practica 1.5: SSL/TLS
1.6: PROTOCOLOS DE RED SEGUROS

SSH (Secure Shell)
Permite acceso remoto por terminal a través de la red, a servidores remotos para la
administración de estos, sin necesidad de acceder a estos físicamente.
Servicio en el lado del servidor y aplicación cliente que tuneliza la comunicación.
SSH es la alternativa a Telnet y rlogin (remote login)
SSH combina cifrado asimétrico, simétrico y HMAC
1.6: PROTOCOLOS DE RED SEGUROS

SSH (Secure Shell)
Servicios de seguridad que ofrece SSH
Confidencialidad
Autenticación e integridad en los mensajes
Autenticación de entidades
Autenticación de usuarios
Tunelización de conexiones
1.6: PROTOCOLOS DE RED SEGUROS

SSH (Secure Shell)
Pasos para establecer la conexión
Negociación de la versión del protocolo SSH
Actualmente versión 2, versión 1 obsoleta, misma versión entre cliente y servidor.
Negociación de algoritmos
Se negocian intercambios de clave, cifrado simétrico, HMAC y compresión
Intercambio de claves
SSHv2 solo utiliza Diffie-Hellman
Mensaje NEWKEYS
Fin de la negociación
1.6: PROTOCOLOS DE RED SEGUROS

SSH (Secure Shell)
Tipos de autenticación de usuarios (RFC 4252)
El protocolo de autenticación empieza con el intercambio de mensajes USERAUTH_REQUEST
Autenticación nula
Autenticación con lista de acceso
Autenticación con lista de acceso con autenticación
Autenticación basada en contraseña
Autenticación basada en clave publica
ssh-keygen
Authorized_keys
1.6: PROTOCOLOS DE RED SEGUROS

Practica 1.6: SSH