Вы находитесь на странице: 1из 19

CFGM Seguridad Informtica

Unidad 6
Seguridad activa: acceso a redes

1. Redes cableadas
06 Seguridad activa: acceso a redes
Hasta ahora Seguridad Activa de mquinas aisladas.
Tambin hay que protegerse de los ataques que vengan por la red.
Una mquina que ofrece servicios TCP/IP debe abrir ciertos puertos.
A estos puertos pueden solicitar conexin mquinas ables siguiendo el
protocolo estndar, o mquinas maliciosas siguiendo una variacin del
protocolo que provoca un fallo en nuestro servidor.

1. Redes cableadas
06 Seguridad activa: acceso a redes
Las primeras redes LAN cableadas eran
muy inseguras, porque todos los
ordenadores estaban conectados al mismo
cable (arquitectura en bus), de manera
que cualquiera poda poner su tarjeta de
red en modo promiscuo (?) y escuchar
todas las conversaciones.
Actualmente, utilizamos la arquitectura
en estrella: cada equipo tiene un cable
directo a un puerto de un conmutador de
red (switch) y por ah envan sus paquetes
Adems de mejorar la seguridad, estamos
mejorando el rendimiento, porque no
malgastamos recursos en enviar paquetes
a equipos que no les interesan
3

1. Redes cableadas
06 Seguridad activa: acceso a redes

CASO PRCTICO 1
(Hacerlo por
parejas)
PGINAS 144 Y 145
1. Apartado 3:
1. Montar un servidor XAMPP en la mquina de tu compaero.
2. Acceder a este servidor http://IP_de_tu_compaero
1. Comprobar puertos activos con el Monitor de recursos.
3. Montar un FILEZILLA SERVER.
4. Acceder a travs de ftp://IP_de_tu _compaero
1. Comprobar puertos activos con el Monitor de recursos.
5. Acceder a travs de FILEZILLA_CLIENT, dem (Puertos)
2. Apartado 4.
1. Slo lerselo, consiste en acceder a un HD a travs de SAMBA
3. 4 Apartado 5. Lerselo.

1. Redes cableadas
06 Seguridad activa: acceso a redes
Las redes conmutadas tienen sus propias vulnerabilidades:
1. Hay que proteger el switch fsicamente:
Encerrarlo en un armario/rack [buscar imgenes] con llave dentro de
una sala con control de acceso. As evitamos no solo el robo, sino que
alguien acceda al botn de reset y lo configure a su modo.
https://www.youtube.com/watch?v=gOQsSgu0IrU
2. Hay que proteger el switch lgicamente:
Poner usuario/contrasea para acceder a su configuracin.
3. Hay que hacer grupos de puertos:
Porque en un switch suelen estar conectados grupos de mquinas que nunca
necesitan comunicarse entre s. Debemos aislarlas para evitar problemas
de rendimiento y seguridad.
4. Hay que controlar qu equipos se pueden conectar y a qu puertos.
Por el motivo anterior, al grupo de marketing solo deberan entrar mquinas de
marketing.
5

1.1. VLAN
06 Seguridad activa: acceso a redes
Los grupos de puertos que hacemos en un switch gestionable para aislar un
conjunto de mquinas constituyen una VLAN (LAN virtual).
https://www.youtube.com/watch?v=Umd3NCYUtpM
Se le llama virtual porque parece que estn en una LAN propia, que la red est
montada para ellos solos.
VLAN mejora el rendimiento y la seguridad. Si ocurre un problema en una
VLAN las otras VLAN no se ven afectadas. Pero un exceso de trfico en una
CASO PRCTICO 3
VLAN s afectara a todos porque, al fin y al cabo, comparten el switch.
PGINAS 149 a 150
Una VLAN basada en grupos de puertos no queda limitada a un switch; uno
de los puertos puede estar conectado al puerto de otro switch, y, a su vez,
ese puerto forma parte de otro grupo de puertos.
Sin embargo, es raro que las VLAN estn completamente aisladas del resto del
mundo. Necesitarn acceso a Internet, as como conectar con otros servidores
internos de la empresa. Para interconectar VLAN (capa 2) generalmente
utilizaremos un router (capa 3).

1.2. Autenticacin en el puerto. MAC y 802.1X


06 Seguridad activa: acceso a redes
Hemos protegido el acceso al switch y repartido las mquinas de la empresa en
varias VLAN, interconectadas por routers.
Pero?
Cualquiera puede meterse en un despacho, desconectar el cable RJ45 del
ordenador del empleado, conectarlo a su porttil y ya estara en esa VLAN.
Como sigue siendo un switch, no podr escuchar el trco normal de los dems
ordenadores de la VLAN, pero s lanzar ataques contra ellos.
Cmo evitarlo?
Algunos switch permiten establecer autenticacin en el puerto: solo podr
conectar aquel cuya MAC est dentro de una lista denida en el propio switch.
https://www.youtube.com/watch?v=WlnNRS7h3FY
Pero?
Las MAC son fcilmente falsicables (las tarjetas emiten los paquetes que
genera el software de red del sistema operativo)
Cmo evitarlo?
Autentificar mediante RADIUS en el estndar 802.1X.
7

https://www.youtube.com/watch?v=dCUbEUyMowc (Windows 2008)


https://www.youtube.com/watch?v=P06zGhvEVok (Linux Ubuntu)

1.2. Autenticacin en el puerto. MAC y 802.1X


06 Seguridad activa: acceso a redes

CASO PRCTICO 4
PGINAS 151 a 153

2. Redes inalmbricas
06 Seguridad activa: acceso a redes
El miedos a que las comunicaciones sean
escuchadas por terceros no autorizados pero estn
plenamente justicados en redes inalmbricas o
WLAN (Wireless LAN), el medio de transmisin (el
aire) es compartido por todos los equipos y
cualquier tarjeta en modo promiscuo puede
perfectamente escuchar lo que no debe.
Aunque se pueden hacer redes inalmbricas entre
equipos (redes ad hoc), lo ms habitual son las
redes de tipo infraestructura: un equipo llamado
access point (AP, punto de acceso) hace de switch,
de manera que los dems ordenadores se conectan
a l, le envan sus paquetes y l decide cmo
hacerlos llegar al destino, que puede ser enviarlo de
nuevo al aire o sacarlo por el cable que le lleva al
resto de la red [Ver Figura]
Salir por el cable es la conguracin ms habitual
en las empresas, donde la WLAN se considera
una extensin de la red cableada.
9

2. Redes inalmbricas
06 Seguridad activa: acceso a redes
Como ocurra con el switch en las redes cableadas, hemos de:
1.Proteger el access point fsicamente. La proteccin fsica es ms complicada que en
el caso del switch, porque el Punto de Acceso tiene que estar cerca de los usuarios
para que puedan captar la seal inalmbrica.
2.Proteger el Punto de Acceso lgicamente (usuario/contrasea).
3.Controlar qu clientes pueden conectarse a l (autenticacin):
4.Separar dos grupos de usuarios, haciendo que el mismo Punto de Acceso emita
varias SSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener
asociada una VLAN etiquetada.
5.Hay que encriptar la transmisin entre el ordenador y el Punto de Acceso.

10

2.1. Asociacin (y transmisin)


06 Seguridad activa: acceso a redes
En wi hay dos fases: asociacin y transmisin.
1. Durante la asociacin el usuario elige la SSID a la que se quiere conectar y
entonces su tarjeta inalmbrica contacta con ese punto de acceso.
2. Negocian varias caractersticas de la comunicacin (protocolo b/g/n,
velocidad), py el Punto de acceso puede (debera) solicitar algn tipo de
autenticacin. Generalmente es una clave alfanumrica que se registra en la
conguracin del Punto de Acceso y que el usuario debe introducir para poder
trabajar con l.
Las AP admiten 4 (3+1) tipos de autenticacin:
1. Abierta: no hay autenticacin, cualquier equipo puede asociarse con el AP.
2. Compartida: la misma clave para cifrar la usamos que para autenticar.
3. Acceso seguro: usamos 2 claves (autenticar y cifrar). El usuario solo necesita
saber una, (clave de autenticacin): la de cifrado se genera automticamente.
4. Autenticacin por MAC: el AP mantiene una lista de MAC autorizadas que
pueden asociarse.
11

2.1. (Asociacin) y transmisin


06 Seguridad activa: acceso a redes
Asociados a un Punto de Acceso:
Podemos empezar la fase de transmisin, durante la cual estableceremos
conversaciones con el AP, que admite varias combinaciones:
1.Autenticacin abierta y sin cifrado:. La intencin es no molestar al usuario
introduciendo claves. se utiliza en lugares pblicos (Artculo de los puntos
WIFI de Barcelona)
2.Autenticacin abierta y transmisin cifrada: es el esquema habitual de
las primeras redes wifi.
3.Autenticacin compartida y transmisin cifrada: es una mala
combinacin, porque la autenticacin es muy vulnerable y, conocida esa clave,
tendrn acceso a descifrar las comunicaciones de cualquier ordenador
conectado a ese Punto de Acceso

12

4.Autenticacin segura y transmisin cifrada: es la mejor solucin porque


utiliza una clave distinta para cada cosa. La ms conocida es WPA.

2.1. Caso Prctico 5. Pginas 156 y 157


06 Seguridad activa: acceso a redes

CASO PRCTICO 5
PGINAS 156 a 157

https://www.youtube.com/watch?v=E7IptnbEV5s

13

2.2. Cifrado: WEP, WPA, WPA2


06 Seguridad activa: acceso a redes
El primer estndar WEP (Wireline Equivalent Privacy, privacidad equivalente al cable)
1. Intentando compensar las dos realidades: en redes cableadas es difcil el
acceso al cable, pero si alguien lo consigue, puede capturar cualquier
comunicacin que pase por ah; en redes inalmbricas cualquiera puede capturar
las comunicaciones, pero, como van cifradas, no le servir de nada.
2. En poco tiempo se encontraron debilidades al algoritmo de cifrado utilizado en
WEP. Capturando cierto nmero de tramas, en poco tiempo cualquiera poda
obtener la clave WEP.

https://www.youtube.com/watch?v=rvDRBhsg-Gc

https://www.youtube.com/watch?v=MpatERL-kmA

14

2.2. Cifrado: WPA


06 Seguridad activa: acceso a redes
https://www.youtube.com/watch?v=vf-Mt9rTK8I
WPA (Wi-Fi Protected Access) introduce muchas mejoras:
1.Nuevos algoritmos ms seguros (TKIP, AES), tanto
por el algoritmo como por el aumento de longitud de las
claves, lo que dificulta los ataques.
2.Rotacin automtica de claves. Cada cierto tiempo
(varios minutos) el AP y el cliente negocian una nueva
clave. Por tanto, si algn atacante lograra acertar con la
clave de una comunicacin, solo le servira para descifrar
la informacin intercambiada durante ese intervalo de
tiempo, pero no la anterior ni la siguiente.
3.Por primera vez se distingue entre los mbitos
personal y empresarial. En el mbito personal es
suficiente con el esquema habitual de una nica clave que
conocen todos (WPA le llama PSK [Pre-Shared Key]); en
el mbito empresarial no tiene sentido, por- que si una
persona abandona la empresa, habra que cambiar la
clave y comunicarlo de nuevo a todos los empleados.
Para resolverlo, WPA empresarial introduce un servidor
RADIUS donde poder almacenar un usuario y una clave
15
para
cada empleado.

CASO PRCTICO 6
PGINAS 158

2.3. WPA empresarial: RADIUS


06 Seguridad activa: acceso a redes
Funcionamiento de WPA empresarial es el siguiente:
1.Dentro de la LAN de la empresa hay un ordenador que
ejecuta un software servidor RADIUS. Contiene una BD de
usuarios y contraseas, y el servidor admite preguntas
sobre ellos.
2.Los Puntos de Acceso de la empresa tienen conexin con
ese ordenador servidor RADIUS.
3.Los Puntos de Acceso ejecutan un software cliente
RADIUS. Este software es capaz de formular las preguntas
y analizar las respuestas.
4.El servidor RADIUS tiene la lista de las direcciones IP de
los Puntos de Acceso que le pueden preguntar. Adems de
estar en la lista, el AP necesita que le configuremos una
contrasea definida en el servidor (una direccin IP es
fcilmente falsificable).
5.Cuando un cliente quiere asociarse a un Punto de
Acceso, le solicita usuario y contrasea. Pero no las
comprueba l mismo, sino que formula la pregunta al
servidor RADIUS utilizando la contrasea configurada para
ese servidor. Dependiendo de la respuesta, el Punto de
Acceso
acepta la asociacin o no.
16

3. VPN
06 Seguridad activa: acceso a redes

http://goo.gl/yCpsh

El objetivo nal de VPN es que el PC de un empleado


no note si est en la empresa o fuera de ella.
En ambos casos recibe una IP privada (direcciones
10.X.X.X, por ejemplo), y no necesita cambiar nada en
la conguracin de sus aplicaciones (correo, intranet)
.
El responsable de conseguir esta transparencia es el
software de la VPN. En el ordenador del empleado
hay que instalar un software cliente VPN. Este
software instala un driver de red, de manera que para
el sistema operativo es una tarjeta ms. Ese driver se
encarga de contactar con una mquina de la empresa,
donde ejecuta un software servidor VPN que gestiona
la conexin, para introducir los paquetes en la LAN.
La gestin consiste en: autentificar al cliente VPN, establecer un tnel a travs de Internet, proteger y
liberar el tnel. Como estamos atravesando Internet, hay que encriptar las comunicaciones (sobre todo si
somos una empresa). Los paquetes irn encapsulados y cifrados.
https://www.youtube.com/watch?v=8bdpxpyuUAQ [Hamachi] CASO PRCTICO 8
El software VPN en el cliente suele llevar una opcin para que las conexiones a Internet se hagan
directamente en la conexin del usuario, sin tener que pasar por el tnel y salir por la conexin a Internet
17 la empresa. Es decir, el tnel se usa solo para comunicaciones internas.
de

4. Servicios de red. Nmap y netstat


06 Seguridad activa: acceso a redes
El software de los servicios de red es especialmente delicado. Debemos vigilar qu software tenemos activo y qu
actualizaciones tiene pendientes. Las actualizaciones llegarn por el mecanismo habitual del sistema operativo; el
software que tenemos activo (haciendo conexiones o esperndolas) lo podemos conocer mediante un par de
herramientas sencillas:
Con el comando netstat podemos conocer los puertos abiertos en nuestra mquina:

http://www.youtube.com/watch?v=eUgSCOkd-Po

18

4. Servicios de red. Nmap (y netstat)


06 Seguridad activa: acceso a redes
La herramienta Nmap, se ha convertido en la navaja suiza de los hackers de red.
Adems del escaneo de puertos para determinar los servicios disponibles en una
mquina, podemos pedir a la herramienta que intente la conexin a cada uno de ellos.
Despus analiza los mensajes que generan estos servidores para identificar la versin
concreta del sistema operativo y la versin concreta del software de servidor (server
fingerprint) que est escuchando en cada puerto. Es decir, aunque intentemos despistar
arrancando servicios en puertos que no son los esperados, la herramienta reconoce el
puerto como abierto y consigue identificar el servicio.

http://www.youtube.com/watch?v=PA_8uGg0hX8

19