3implantacion de tecnicas de acceso remoto

Click here to load reader

Post on 26-Dec-2015

21 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

Implantacin de tcnicas de acceso remoto

Implantacin de tcnicas de acceso remotoAgustn Jimnez GuerraElementos bsicos de la seguridad perimetralSeguridad perimetralPrimer obstculo al que enfrentarse cuando accedemos remotamenteConjunto de hardware y software utilizado para proteger una red de otras redes en las que no se confa Proteger para que no haya intrusiones no deseadasProteger redFiltrar la informacin que entra en dicha redAnalizar y prevenir las posibles intrusionesUtilizar tcnicas seguras en su funcionamientoElementos bsicos de la seguridad perimetralFunciones seguridad perimetralProteger la informacin valiosa de la redRechazar conexiones a servicios que no sean segurosProporcionar un nico punto de conexin con el exteriorControlar el trfico que entra en la redElementos bsicos de la seguridad perimetralElementos para seguridad perimetralRoutersFirewallsRedes virtualesSubredesRouter fronteraEnrutador ms externo de la red corporativaComprueba la seguridad en el trfico de entrada y salidaPueden soportar muchas conexionesEn redes domsticas el nico router hace esta funcinInternet: Distintos sistemas autnomos (los routers frontera conectan distintos sistemas autnomos)Router fronteraProtocolos con los que trabajan estos routersEGP Exterior Gateway ProtocolIntercambiar informacin de enrutamiento entre SABGPBorder Gateway ProtocolEl ms extendido (intercambia informacin de enrutamiento entre SA)Encaminan la informacin en InternetLa ruta ptima viene dada por el n de SA atravesados para llegar al destino y polticas de la redIBGP (se utiliza en el interior de SA); EBGP (exterior SA)Protocolos de enrutamiento

BGP

CortafuegosEn la seguridad perimetral suele encontrarse un router que acta como firewallRouter cortafuegos

Cortafuegos

CortafuegosSe puede configurar parmetros para que el router pueda ser atravesado por conexiones VPNCortafuegos = FiltrarFiltrado de paquetes (IPo, IPd, Port o, Port d, )Aceptar o denegarListas ACL: Listado de restricciones o permisos que se aplican a un router (controlar trafico de E y S)SAD03(config)#access-list N permit|deny [direccin IP] [mscara]SAD03(config-if)#ip access-group N in|outSAD03(config)#access list 2 deny 192.168.1.0 0.0.0.255SAD03(config-if)#ip access-group 2 inSe deniega el trfico entrante a la red 192.168.1.0Proxy firewallCuando una conexin llega al proxy, el proxy completa la conexinCrea una nueva conexin desde el proxy al destino (no enruta el trfico)Guarda informacin y realiza o no la conexinIntermediario entre los equipos de la red corporativa e internet

Redes privadas virtualesVPNTecnologa que permite establecer una conexin similar a la de una red LAN sobre una red pblica (Internet)Mecanismos: Encapsulacin, tunelizacin, encriptacinConectar dos sucursales de una empresa a travs de InternetAcceder remotamente desde un hotel a la empresa

Redes privadas virtuales

Redes privadas virtualesServidor VPN Acepta las conexionesCliente VPN El que se conectaTnel Representacin de cmo viaja la informacin por Internet (ajena al trfico)Cuando un cliente establece una conexin con el servidor aparentemente no ocurre ningn cambio en su equipoLos SO incorporan asistentes para VPNPrimer obstculo al router fronteraHay que especificar en el router que permite este tipo de conexinRed privada virtual

Permetro de red: Zonas desmilitarizadasPermetro de red: Separa el trfico de la redes internas y externesControlar el trficoClasificar el trficoPoner en cuarentenaDenegar conexionesPermetro de redEn lugar de defender la red corporativa con un nico elemento (router frontera), se emplea una red entre la red interna e Internet (Zonas DMZ)Zonas desmilitarizadas

Zona desmilitarizadaLos equipos tienen una relacin bidireccional con la red WAN pero no con la LANUna equipo situado en la WAN podr conectarse con uno de la DMZ y viceversaPero un equipo de la WAN o DMZ no podr comunicarse con otro de la LAN, pero s el paso inversoEn la DMZ se sitan los equipos que proporcionan servicios pblicos (servidores Web, de correo, DNS, )Los equipos que se quiere tener expuesto en la redSi se salta un atacante los servidores de la red permetro an estara el router interno protegiendo la red internaArquitectura dbil de subred protegidaUna subred protegida dbil, establece la proteccin interna empleando una DMZ por detrs del firewall de permetroEl equipo que acta como firewall tiene al menos 3 interfaces para conectar: Internet, DMZ, LANUn fallo del cortafuegos puede desproteger a la red interna

Arquitectura dbil de subred protegidaBastinElemento ms adelantado de la red internaEst ms en contacto con el peligroLos SO y las aplicaciones se han fortalecido para que sean ms segurosSon el objetivo de muchos ataques (son los que ms contacto tienen con la red exteriorArquitectura dbil de subred protegida

Arquitectura fuerte de subred protegidaLa subred protegida fuerte establece la proteccin de la red interna con una DMZ situada entre dos firewall

Arquitectura fuerte de subred protegidaEl cortafuegos externo (de acceso) bloquea y controla el trfico no deseado desde la red externa a DMZEl cortafuegos interno (de contencin) bloquea y controla el trafico no deseado de la DMZ a la red internaUna fallo del cortafuegos externo desprotege slo la DMZSe pueden tener dos proveedores diferentes para cada uno de los dos servidores firewallCada proveedor puede tener diferentes polticas de seguridadSi un atacante se salta uno tendr que emplear otro mtodo diferente para atravesar el otroPolticas de defensa en profundidadHacer que el atacante se desanime al poner varios obstculos en su camino hacia el objetivoNo existe la seguridad totalReducir las posibilidades de que el sistema sea atacadoMinimizar los daos causados por un incidentePolticasPermitir todo lo que no est especficamente prohibido (permiso establecido)Se especifica lo prohibidoProhibir todo lo que no est explcitamente permitido (negociacin preestablecida)Se especifica lo permitidoMs segura y restrictiva (no siempre la ms adecuada)Defensa perimetralPoltica de seguridad entre una red segura (LAN) e insegura (InternetSe establecen los servicios accesibles desde el exterior y a los que se puede acceder desde el interiorSe centran enFiltrar el trfico de la redRedirigir el trfico hacia mquinas segurasAdministrar el contenido del trficoValorarLas amenazas pueden venir del interior (no solo del exterior)Extremar las medidas de seguridad puede provocar limitaciones en el funcionamientoDefensa perimetralFiltrado de trficoAceptar. Se permite el trficoDenegar. Se prohbe el trfico y no hay mensaje de errorRechazar. Se prohbe el trfico y se enva un mensaje de error al emisorDenegar recomendable frente a rechazarMenos trficoEl atacante tiene menos informacinPara este tipo de defensa perimetral se utilizanSistemas de deteccin de intrusos (IDS)FirewallConexiones VPNDefensa internaDefensa en profundidad: Varias lneas de defensaPara llegar a la lnea de defensa interna se ha tenido que atravesar la red perimetralObjetivoEstablecer los parmetros de funcionamiento interno para que la red funcione con seguridadRed interna: Es lo ms valioso (si se accede a ellas se accede a los datos que se estn protegiendo)

Defensa internaEmplear en los servidores y dispositivos de interconexinListas de control de acceso (ACL)Conexiones SSHAuditorias de seguridadVLANLneas de defensa en cada Host y en cada aplicacinContraseasAnti-malwareProgramacin seguraDeteccin de intrusiones

Factor humanoFactor ms imprevisible y difcil de controlarLas lneas de defensa son intiles si el personal las usa mal o no las utilizaLos usuarios deben estar comprometidosPrcticas seguras en:Uso de carpetas personalesUso de carpetas compartidasRealizacin de copias de seguridadEl uso de la redLa modificacin de archivos comunesLa utilizacin de archivos personales en la red internaLa manipulacin de equipos y aplicaciones de redAdemsAdquirir y mantener una buena formacinGestionar adecuadamente los incidentes que se produzcan

VPNRedes privadas sobre la red pblicaEsconder lo que se transmite en el acceso a la red de forma remotaSolucin para garantizar la seguridad en el intercambio de informacinComunicacin entre dos puntos prximos o lejanos sea privada Virtual: La comunicacin se lleva a cabo sobre una lnea pblicaComunicacin privada sobre lnea pblica

VPNTnel: Las tcnicas empleadas en las VPN hacen que no haya transferencia de informacin entre los datos transmitidos y el canal por el que viajanEncriptacin (proceso transparente para el usuario)Garantizan:Confidencialidad, confiabilidad, disponibilidad y el no repudio modificando los paquetes IPCifrando ConfidencialidadFirmando Autenticidad, integridad, y no repudioVPNtilesSeparar en una intranet la informacin confidencial para que sea accesible solo a los usuarios autorizadosComunicar de manera segura dos puntos distantes utilizando una red pblica (Internet)Establecer comunicaciones inalmbricas segurasCreacinHardwareDepende del fabricante del dispositivoMs limitadasSoftwareMs comunes, flexiblesVPNProtocolos utilizadosIPSecPPTPL2TPSSL/TLSVPNLneas dedicadas Alquiladas, con comunicacin segura punto a punto entre dos sitios distintos de una organizacinExtender la LAN fuera de los lmites de la empresaT1, T3, (Europa: E1, E3, )VPN frente a lneas dedicadasBeneficiosAhorro de costos en el alquiler de lneas al ISPFacilidad de manejo en la conexinProceso transparente para el usuarioLos datos viajan encriptadosFacilidad en la movilidad de los usuariosRapidez en la implementacinDesventajasFiabilidadVelocidadEscalabilidad

VPNPrincipal desventaja fiabilidadVa sobre Internet (no del todo fiable)Ms lento que lneas dedicadas El cliente tiene que encapsular los datos y stos saltar de nodo en nodo en InternetSi se encripta, es an ms lento

VPN

VPNTcnicas de cifrado: Encapsulan los datos en paquetes segurosSimtrica o de clave secretaAsimtrica o de cl