ACI 480 Cap 01 Seguridad en Redes y Telecomunicaciones

Alvaro Flores Arratia aflores.udla@gmail.com

Facultad de Ingeniera Sede Stgo-Centro

Agenda
Modelo de referencia ISO / OSI TCP / IP Tipos de cables y Tipos de Transmisin de Datos Tecnologas LAN, WAN, MAN, Internet y Extranet Dispositivos y Servicios de Red Dispositivos de Telecomunicaciones Mtodos y Tecnologas de Acceso Remoto Tecnologas Inalmbricas

Modelo de Referencia ISO/OSI

Separa funciones de Red, Protocolos y Servicios en Capas Integra diferentes Vendors mediante Arquitectura Abierta Cada capa permite 3 funciones especficas: - Comunicacin con la capa superior - Comunicacin con la capa inferior - Comunicacin con la misma capa en un Host Remoto Los protocolos en c/u de las capas pueden comunicarse con su par en otro host gracias a la Encapsulacin.

Capa 7: Nivel de Aplicacin

Nivel ms cercano al usuario Permite el traspaso de archivos, intercambio de mensajes y sesiones de terminales, entre otros. No considera las Aplicaciones; incluye los Protocolos que stas requieren para el intercambio de informacin. Opera mediante el envo de requerimientos a un API (Application Programming Interface) que invoca al Protocolo respectivo.

Capa 6: Presentacin
Procesa los mensajes del nivel de Aplicacin, y los pone en formato comprensible para el equipo destino. Esta capa se preocupa de la Sintaxis y el Formato de los datos, no de su significado. Estndares: ASCII, EBCDIC, TIFF, JPEG, MPEG, MIDI, etc. En este nivel se realiza la Compresin y el Cifrado de datos.

Capa 5: Sesin
Establece, Mantiene y Completa una conexin para el traspaso de informacin entre 2 equipos. Se conoce bajo el nombre de administracin de dilogo (dialog management) Las 3 fases son: Establecimiento de la conexin, Transferencia de datos y liberacin de la conexin. Permite la inicializacin y/o reinicializacin de una conexin, en caso de ser necesario. Modos: Simplex - Half Dplex, Full Dplex. Algunos protocolos de este nivel son: NFS (Network File System), SQL (Structured Query Languaje), RPC (Remote Procedure Call).

Capa 4: Transporte
Provee servicios de Transporte de datos end-to-end, estableciendo comunicacin lgica entre dos equipos. Recibe informacin de otras capas y est encargada de ensamblar los datos para transmitirlos por la red. Diferencia con la capa previa: - Transporte se encarga de la comunicacin entre Computadores - Sesin se encarga de la comunicacin entre Aplicaciones.

Capa 3: Red
Incorpora informacin al paquete para que pueda ser direccionado y ruteado por la red Los protocolos de esta capa determinan la mejor ruta que un paquete debe tomar Esta capa no garantiza la llegada de los paquetes a su destino. Ejs IP, RIP, OSPF, ICMP, etc.

Capa 2: Enlace de datos

Encapsula los datos en frames para que viaje por los diferentes tipos de redes (almbrica, inalmbrica, FO, ir, etc). Dividido en 2 capas funcionales: - Logical Link Control (LLC) Definido por el estndar IEEE 802.2, es la encargada de hablar con la capa de red. - Media Access Control (MAC) Es la encargada de comunicarse con las interfaces de red, segn los requerimientos de la capa fsica.

Capa 1: Fsica
Convierte los bits en voltajes, corrientes, ondas electromagnticas, para una interfaz area o impulsos luminosos. Se relaciona con la sincronizacin de los relojes receptores, deteccin de smbolos recibidos, control de ruido en la lnea y el acceso al medio de transmisin/recepcin. Se definen los estndares 802.3 (ethernet), 802.5 (token ring), 802.6, 802.11 (wireless).

10

El modelo OSI
CAPA NOMBRE FUNCIONES UNIDADES DIRECCIONES EJEMPLOS

APLICACIN

Servicios para las Mensajes Aplicacione s

PRESENTACI Formato y N Sintaxis

Mensajes

Telnet, FTP, TFTP, Process ID HTTP, SMTP ASCII, TIFF; JPEG, MPEG, MIDI RPC, Netbios, NFS, SQL

SESIN

Establecimi ento y Mantencin Mensajes de Sesiones Conexione

11

TCP/IP
Transmission Control Protocol / Internet Protocol. Es una suite de protocolos que gobiernan la forma en que la informacin viaja de un host a otro. Se representa en un modelo de 4 capas, que se relaciona con el modelo OSI de 7 capas.

12

El modelo DoD (Department Of Defense)

DoD
OSI Application Process / Application Presentation Session Host to Host Internet Transport Network Data Link Physical

Network Access

13

Stack de Principales Protocolos TCP/IP

DoD (TCP/IP)
OSI Application Process / Application Presentation Session Host to Host Internet Transport Network Data Link Network Access Physical Internet Suite Protocols
FTP NNTP TELNET SMTP SSH ASP HTTP NFS XDR RPC NIS DNS NetBIOS SNMP TFTP BOOTP DHCP RTP RTCP DNS

TCP

UDP

IP, ICMP, IGMP, IPSec, RIP, OSPF, EIGRP, BGP, ARP, RARP IEEE 802.3 (Ethernet), IEEE 802.5 (Token Ring), 802.11 (Wi-Fi), HDLC, PPP, Frame Relay, ATM, etc

(basta que sea binario)

14

IPv4

No Confiable No Orientado a la Conexin De Mejor Esfuerzo RFC 791

15

Direccionamiento IPv4
Range (First Octet) Network/Host Portions Default Subnet Mask

Class

Left MSB

A B C D E

0xxxxxxx 10xxxxxx 110xxxxx 1110xxxx 1111xxxx

0 127 128 191 192 223 224 239 240 255

N.H.H.H N.N.H.H N.N.N.H Not Applicable Not Applicable

255.0.0.0 255.255.0.0 255.255.255.0 Not Applicable Not Applicable

16

Direccionamiento IPv4

Redes Privadas CIDR NAT

17

Conversin Binaria
N of Subnet Bits Binary Decimal Hex

8 7 6 5 4 3 2 1

11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000

255 254 252 248 240 224 192 128

FF FE FC F8 F0 E0 C0 80

18

Notacin DDN y Prefijo

DDN Prefijo

255.0.0.0 255.255.0.0 255.255.255.0 255.255.255.252 255.240.0.0 255.255.248.0 255.255.255.255 255.254.0.0

/8 / 16 / 24 / 30 / 12 / 21 / 32 / 15

19

Encabezado del IPv4 (RFC 791)

20

Encabezado del TCP (RFC 793)

CWR (1 bit) Congestion Window Reduced (CWR) flag is set by the sending host to indicate that it received a TCP segment with the ECE flag set and had responded in congestion control mechanism (added to header by RFC 3168). ECE (1 bit) ECN-Echo indicates If the SYN flag is set (1), that the TCP peer is ECN capable. If the SYN flag is clear (0), that a packet with Congestion Experienced flag in IP header set is received during normal transmission (added to header by RFC 3168). URG (1 bit) indicates that the Urgent pointer field is significant ACK (1 bit) indicates that the Acknowledgment field is significant. All packets after the initial SYN packet sent by the client should have this flag set. PSH (1 bit) Push function. Asks to push the buffered data to the receiving application. RST (1 bit) Reset the connection SYN (1 bit) Synchronize sequence numbers. Only the first packet sent from each end should have this flag set. Some other flags change meaning based on this flag, and some are only valid for when it is set, and others when it is clear. FIN (1 bit) No more data from sender

21

Encabezado del UDP (RFC 768)

22

Tipos de Transmisin de Datos

Anloga - Consiste en el envo de informacin en forma de ondas, a travs de un medio de transmisin fsico (aire, par-trenzado, cable coaxial, fibra ptica) Digital - Consiste en el envo de informacin a travs de medios fsicos en forma de seales digitales

23

Definiciones de Transmisin de datos

Comunicaciones Asncronas: Transfiere datos en forma secuencial usando marcas de inicio y parada. Comunicaciones Sncronas: Alta velocidad y es controlada por una seal de reloj para sincronizar cada bit. En Banda Base: usa todo el ancho de banda para un slo canal. En Banda Ancha: divide el ancho de banda en varios canales Unicast: envo desde una fuente a un destino Multicast: envo desde una fuente a varios computadores destino, especficos. Broadcast: envo desde una fuente a todos los computadores de cierto segmento de red o vlan.
24

Tecnologas LAN
Algunas razones para una Red: 1. Permitir la comunicacin entre computadores 2. Compartir informacin 3. Compartir recursos 4. Proveer una administracin centralizada

25

Topologas
Estrella Bus Anillo Malla

26

Resumen Topologas de Red

Tipo
Anillo

Caracterstica

Problemas

Tecnologas

Todos los computadores estn conectados por un medio de transmisin unidireccional y el cable es un aro cerrado. Todos los computadores estn conectados a

Si una Token Ring, FDDI. estacin tiene problemas, puede afectar negativament e a todos los otros computadores sobre el mismo anillo. El dispositivo central es un nico punto de falla. Bus lgico (Ethernet) y topologas de anillo (Token Ring).
27

Estrella

Medios de Transmisin
Medio por el que viajan las seales de informacin. Fibra ptica: - Alta capacidad de transmisin - No susceptible a interferencia electromagntica - Muy difcil de inrterceptar Coaxial: - Usado en redes one-way - Susceptible a interferencia electromagntica - Fcil de interceptar
28

Medios de Transmisin (cont)

Medio por el que viajan las seales de informacin. Twisted Pair: - De costos muy bajos - Blindados (STP) y no blindados (UTP) - Susceptible a interferencia y ruido - Es de fcil interceptacin - Debe estar certificado antes de ponerlo en uso

29

Medios de Transmisin (cont)

Infrarrojo y Radio: - Requiere la asignacin de un espectro de frecuencia - Es susceptible a la interferencia electromagntica - Se ve afectada por paredes gruesas de concreto - Puede ser interceptada y capturada con equipo adecuado - El estndar actual con mayor difusin es el 802.11, que hace uso de tcnicas de Espectro Ensanchado (Spread Spectrum) con Secuencia Directa (DS) saltos de frecuencia (Frequency Hoping).

30

Problemas Presentes en los Medios de Transmisin

Ruido: ruido electromagntico inducido en el cable Atenuacin: prdida de seal con la distancia Crosstalk: la seal elctrica de un cable se induce en otro cercano. UTP tiene este problema.

31

Resumen de Cables UTP

Categora UTP
Categora 1

Caracterstica
Cable para telfono, voz

Uso
No recomendada para uso en la red de datos, pero los mdems pueden comunicarse con esta categora. Uso en computadores mainframe y minicomputadores para conexin de terminales. No se recomienda para redes de alta velocidad. Uso en instalaciones para red 10BaseT Uso principalmente en redes Token Ring.

Categora 2

Transmisin de datos hasta 4 Mbps

Categora 3 Categora 4 Categora 5 Categora 6 Categora 7

Ethernet de 10 Mbps y Token Ring de 4 Mbps 16 Mbps

100Base-TX de 100 Mbps y Uso en instalaciones 100 BaseTX, FDDI y ATM. redes FDDI 1 Gbps 10 Gbps
Diseado para transmisin a frecuencias de hasta 500 MHz Diseado para transmisin a frecuencias de hasta 600 MHz
32

Repetidores y Hubs
Operan a nivel de la capa Fsica del Modelo OSI. Permiten extender la cobertura Oreja con Boca Las estaciones finales ven una sola red fsica. Extienden los Dominios de Broadcast.

Aplicacin Presentacin Sesin Transporte Red Enlace Fsico Repetidor Fsico Fsico

Aplicacin Presentacin Sesin Transporte Red Enlace Fsico

33

Switches Capa 2 y Bridges

Operan a nivel de la capa de Enlace del Modelo OSI. Permiten aislar trfico, incrementando el rendimiento y mejorando la seguridad Las estaciones finales ven una sola red lgica. Separan los Dominios de Colisin

Aplicacin Presentacin Sesin Transporte Red Enlace Fsico Switch / Bridge Enlace Fsico Enlace Fsico

Aplicacin Presentacin Sesin Transporte Red Enlace Fsico

34

Switches Capa 2 y Bridges

Broadcast y Unknown VLANs Spanning Tree

35

Routers y Switches de Capa 3

Operan a nivel de la capa de Red del Modelo OSI. Separan Dominios de Broadcast y Redes Lgicas. Utilizan direcciones lgicas para su operacin. Slo procesan los paquetes dirigidos especficamente a ellos.

Aplicacin Presentacin Sesin Transporte Red Enlace Fsico Router Red Enlace Fsico Red Enlace Fsico

Aplicacin Presentacin Sesin Transporte Red Enlace Fsico

36

Ethernet

Robert M. Metcalf (1972)

Mtodo de acceso al medio: CSMA / CD

37

Ethernet

Robert M. Metcalf (1972)

Mtodo de acceso al medio: CSMA / CD

38

Formato de un Frame Ethernet II

Type: - 0x0800 = IPv4 - 0x0806 = ARP - 0x8100 = 802.1Q - 0x86DD = IPv6

Ethernet stations need to synchronize with the signal's frequency; this is done by means of 64 preamble bits. Ethernet II The preamble is built up by 8 similar octets of '10101010' bit patterns. IEEE 802.3 - CSMA/CD The first seven octets use a '10101010' bit pattern, too. The last octet is a start of frame delimiter (SFD) with a bit pattern of '10101011'.

39

Formato de un Frame Ethernet II

For untagged Ethernet traffic

For 802.1Q VLAN tagging

Maximo para 100BASE-TX sin 802.1Q = 97,53 Mbit/seg.

40

Encapsulamiento
Reque st Reque UDP st Header Reque UDP st Header IP Header

Reque UDP IP MAC st Header Header Header

IP Router IP: 10.1.0.0 IP: 10.2.0.0

IP MAC MAC Tail Reque UDP st Header Header Header

41

Frame Ethernet II Completo

Upper Layer Data carried by the Data Link Layer

Bytes

20

20

1460

Destinati Source Etype on Address (0800) Address (MAC) (MAC)

IP (6)

TCP

Applicatio n Data

CRC

Data Link Layer

Network Layer

Transport Layer

MTU = 1500 bytes 0800 = IP (el protocolo + importante)

42

Ethernet en Wireshark

Ethernet Header

43

Tamaos de los Frames Ethernet

Intrapacket GAP (IPG)

CR C

DATA
46 1500 bytes

Ether net Head er

preamble

64 1518 bytes

84 1538 bytes

44

Visibilidad, Hubbed Network

Router Hub

Visibilidad

Analizador

Server

Cliente

45

Visibilidad, Switched Network

Router Switch

Visibilidad

Analizador

Server

Cliente

46

Spanning en Switches, ejemplo Cisco

set span enable set span disable set span src_mod/src_port dest_mod/dest_port [ rx | tx | both ] set span src_vlan dest_mod/dest_port [ rx | tx | both ] Syntax Description o enable Port Monitoring is enabled o disable Port Monitoring is disbled o src_mod The monitored module (source) o src_port The monitored port (source) o dest_mod The monitoring module (destination) o dest_port The monitoring port (destination) o src_vlan The monitored vlan (source) o rx Information received at the destination is monitored o tx Information transmitted from the source is monitored o both Both, information that is transmitted from the source and received at the destination is monitored.

47

Monitor en Switches, ejemplo Cisco

monitor session <1-66>: Configure a SPAN session, with a SPAN session number

Switch(config)#monitor session 1 source interface fastEthernet 0/1 tx Switch(config)#monitor session 1 source interface fastEthernet 0/1 rx Switch(config)#monitor session 1 source interface fastEthernet 0/1 both Switch(config)#monitor session 1 source vlan 20 tx Switch(config)#monitor session 1 source vlan 20 rx Switch(config)#monitor session 1 source vlan 20 both Switch(config)#monitor session 1 destination interface fastEthernet 0/20 Switch(config)#monitor session 1 destination interface fastEthernet 0/20 encapsulation replicate ingress untagged vlan 10 Switch(config)#monitor session 1 destination interface fastEthernet 0/20 encapsulation replicate ingress dot1q vlan 30

48

Visibilidad, Switched Network con SPAN

Router Switch #Span 7 4 4 7

Visibilidad

Analizador

Server

Cliente

49

Visibilidad, Switched Network con SPAN

Switch #Span all ports 4 4

Visibilidad
Router

Analizador

Cliente

Server

50

Switched Network con VLANs

oVirtual LANs separated by routing processes in Layer 3 switch

VLAN 10 VLAN 20

Trunk

Analizador

51

Switched Network con VLANs

oSpan de vlan 10 a puerto 2

VLAN 10 VLAN 20

11 VLAN 10

Clientes Analizador

Server

52

Switched Network, Hubbing Out

11

Server Analizador

Cliente

53

Full Duplex Ethernet Tap

11

TAP
Cliente Analizador Server Analizador

54

Firewalls
Los Firewalls se implementan para controlar el acceso entre redes. Son el punto de encuentro para el la inspeccin de trfico Por lo general se busca proteger la Red Interna. Se inspeccionan los paquetes entrantes y salientes de la red Los criterios de filtrado son: Origen, Destino, Puertos, Protocolo, Secuencia de bits, etc

55

Zona Desmilitarizada - DMZ

Segmento de red definido como seguridad intermedia entre la red protegida y desprotegida.

56

Tipos de Firewalls
Packet Filtering (hacen uso de ACLs) Stateful (estado de la conexin, Layer 3 - 4) Proxy (intermediarios, Layer 5 (socket) 7 (aplicacin)) Dynamic packet fieltering (hacen uso de ACLs dinmicas) Kernel Proxy (Proxy a nivel de kernel, ms rpido)

57

Resumen tipos de Firewalls

Firewall
Packet Filtering

Capa OSI
Layer 3

Caractersticas
Inspecciona origen, destino, puerto y servicio requerido. Rutea en base a ACLs que aceptan el trfico. Inspecciona dentro del paquete y realiza control de acceso en forma granular. Requiere un proxy por servicio. Inspecciona la informacin contenida en la cabecera del paquete. Protege un amplio rango de protocolos y servicios, pero no provee control detallado de las apliaciones. Inspecciona el estado y el contexto de los paquetes. Mantiene registro de dada conversacin utilizando una tabla de estado. Rpidos debido al procesamiento a nivel de kernel. Un stack de red es creado por cada paquete.

Proxy de Aplicaciones Proxy de Circuito

Layer 7

Layer 5

Stateful

Layer 3

Kernel Proxy

Layer 7

58

Un Firewall debera
Denegar cualquier paquete que no est explcitamente permitido. Denegar cualquier paquete ingresando al Firewall por una interfaz distinta a la interna, cuya interfaz de origen sea de un segmento interno. Denegar ttrfico saliente cuya direccin de origen sea distinta a la red interna. Denegar paquetes que contengan informacin Source Routing
(si no, el Fw no lee la tabla de ruteo y lo enva por donde especifica el paquete IP)

Re-ensamblar paquetes antes de analizarlos y reenviarlos al destino (si no, lo reensambla el host y el ataque se ejecuta)
59

Honeypot
Generalmente un PC o conjunto de estos en la DMZ, para atraer a los atacantes fuera de los servidores de produccin Se habilitan puertos y servicios de los que existen exploits conocidos Generalmente se usa la emulacin de servicios Existe una diferencia entre Seduccin y Entrampamiento, en donde hay aspectos legales a considerar. Ej: MP3s Free Download -> el usuario puede acceder por motivos distintos a daar Ej: Puertos abiertos + Servicios Disponibles

60

Segregacin y aislacin de la red

Routers que aislen los broadcast informacin de los dominios de colisiones Uso de distintos esquemas de direccionamiento para diferentes segmentos La segmentacin debe existir de acuerdo al tipo de informacin que circula por ella Se debe mantener un diagrama detallado y actualizado de la arquitectura de red Se debe considerar la implementacin de un esquema de control de acceso a la red (NAC, IDS, etc)

61

Sistema Operativo de Red (NOS)

Software diseado para controlar el acceso a recursos de red, proveyendo los servicios necesarios para que un usuario pueda interactuar con otros. Construido para trabajar en un modelo cliente-servidor, con recursos, archivos, aplicaciones, etc. Construido con soporte de autentificacin de usuarios. Algunos servicios son: Directorios, Internetworking, routing, soporte wan, acceso a usuarios remotos, Clustering, Autenticacin robusta, Autorizacin, Auditora, Impresin, Archivos, etc. Algunos NOS: Windows, Linux, Unix.
62

Domain Name Services (DNS)

Mtodo para resolver nombres a direcciones IP Base de datos distribuida que contiene informacin de hosts La estructura es similar a la estructura de archivos Cada intrerseccin es llamada nodo El primer nodo es llamado root domain y se representa por un . (punto) El nombre de nodo puede contener hasta 64 caracteres de largo [A-Z a-z 0-9]

63

Traduccin de Direcciones (NAT)

Existen 3 tipos bsicos de NAT - Mapeo Esttico Mapeo de 1 a 1, IP Privada -> IP Pblica - Mapeo Dinmico Mapeo de Many to Many - Traduccin de Puertos Mapeo de Puerto a Puerto La mayora obedece a una implementacin stateful (socket IP/ Puerto)

64

Tipos de Redes WAN

Enlaces Dedicados Circuit Switching PSTN, T1, E, ISDN Packet Switching X.25, Frame Relay

65

Resumen
Construido en Conjunto

69