seguridad en redes (pt. 3)ags/rc/downloads/handouts/módulo...redes de computadoras - mg. a. g....
Post on 03-Sep-2020
6 Views
Preview:
TRANSCRIPT
Redes de ComputadorasRedes de ComputadorasDepto de Cs. e Ing. de la Comp.Depto de Cs. e Ing. de la Comp.Universidad Nacional del SurUniversidad Nacional del Sur
Módulo 06Módulo 06 Seguridad en Redes Seguridad en Redes
(Pt. 3)(Pt. 3)
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 22
CopyrightCopyrightCopyright © 2010-2020 A. G. Stankevicius
Se asegura la libertad para copiar, distribuir y modificar este documento de acuerdo a los términos de la GNU Free Documentation License, versión 1.2 o cualquiera posterior publicada por la Free Software Foundation,sin secciones invariantes ni textos de cubierta delantera o trasera
Una copia de esta licencia está siempre disponibleen la página http://www.gnu.org/copyleft/fdl.html
La versión transparente de este documento puedeser obtenida de la siguiente dirección:
http://cs.uns.edu.ar/~ags/teaching
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 33
ContenidosContenidosIntroducción a la seguridad en redes
Principios de la criptografía
Autenticación
Integridad
Distribución de claves y de certificados
Seguridad multinivel
Sistemas de detección de intrusos
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 44
Mails segurosMails segurosLas técnicas criptográficas repasadas permiten el intercambio seguro de correos electrónicos
El emisor seguro genera una clave simétrica privada KS al azar
Posteriormente, encripta el cuerpo m del mail con KS
(naturalmente, por razones de eficiencia)
A su vez, encripta KS con la clave pública K+
R
del receptor seguro
Finalmente, el emisor envía tanto KS(m) como K+
R(K
S)
al receptor
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 55
Mails segurosMails segurosContinúa:
El receptor seguro recibe KS(m) como K+
R(K
S)
Usando su clave privada K-R desencripta la clave
simétrica KS creada al azar por el emisor seguro
Una vez recuperada la clave simétrica, desencriptael cuerpo del mail, accediendo a su contenido m
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 66
KS(K
S(m))K
S(K
S(m))
Mails segurosMails segurosK
S
internet
KS(m)K
S(m)
K+M(K
S)K+
M(K
S) K-
M(K+
M(K
S))K-
M(K+
M(K
S))
K+M
m
K-M
KS
m
KS
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 77
Mails autenticadosMails autenticadosEl mecanismo de firma digital antes introducido se puede adaptar para posibilitar el intercambio autenticado de correos electrónicos
El emisor autenticado simplemente firma digitalmente el cuerpo de todo mensaje enviado
Al igual que antes, se adjunta la firma digital (huella digital encriptada) al mensaje original (es decir,sin encriptar)
De esta forma se logra autenticar el autor yse asegura la integridad del contenido del mensaje
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 88
Mails autenticadosMails autenticadosK-
H
internet H(m)H(m)
K+H(K-
H(H(m)))K+
H(K-
H(H(m)))m K-
H(H(m))K-
H(H(m))
m
H(m)H(m)
mm
¿ ?
K+H
H(m)H(m)
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 99
Mails seguros autenticadosMails seguros autenticadosAmbas técnicas pueden ser combinadas con relativa facilidad, haciendo uso de tres claves:
La clave privada del emisor, para firmar digitalmente el mensaje encriptado
Una clave simétrica generada al azar para encriptarel cuerpo del mensaje
La clave pública del receptor, para encriptar la clave simétrica
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1010
Mails seguros autenticadosMails seguros autenticadosK-
H
m K-H(H(m))K-
H(H(m))
m
H(m)H(m)
KS(m, K-
H(H(m)))K
S(m, K-
H(H(m)))
internet
KS
K+MK+
M(K
S)K+
M(K
S)K
S
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1111
OpenPGPOpenPGPEl estándar abierto OpenPGP reportado en la RFC 4880 implementa el intercambio seguroy autenticado de correos electrónicos
Hace uso de criptografía de clave simétrica,de criptografía de clave publica, una funciónde hash para calcular digestos y firma digitalde la forma antes indicada
Permite asegurar la identidad del emisor y tantola confidencialidad como la integridad del mensaje
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1212
Pretty Good PrivacyPretty Good PrivacyDate: Mon, 28 Jun 2010 01:47:41 -0300From: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>Subject: Prueba de mensaje autenticado.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 7bit
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1
Probando... 1, 2, 3.
- -- Saludos,Alejandro.
-----BEGIN PGP SIGNATURE-----Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAkwoKWwACgkQ54MJ5e1PszZonwCfV0+8E0t9qHvwn9r8SGaIHg6ofkEAn3xqjfTD04s9doQtiJjxzol6J5Pa=4ni4-----END PGP SIGNATURE-----
Date: Mon, 28 Jun 2010 01:47:41 -0300From: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>Subject: Prueba de mensaje autenticado.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 7bit
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1
Probando... 1, 2, 3.
- -- Saludos,Alejandro.
-----BEGIN PGP SIGNATURE-----Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAkwoKWwACgkQ54MJ5e1PszZonwCfV0+8E0t9qHvwn9r8SGaIHg6ofkEAn3xqjfTD04s9doQtiJjxzol6J5Pa=4ni4-----END PGP SIGNATURE-----
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1313
Pretty Good PrivacyPretty Good PrivacyDate: Mon, 28 Jun 2010 01:48:32 -0300From: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>Subject: Prueba de mensaje autenticado y seguro.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 8bit
-----BEGIN PGP MESSAGE-----Charset: ISO-8859-1Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
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v1Io-----END PGP MESSAGE-----
Date: Mon, 28 Jun 2010 01:48:32 -0300From: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <ags@cs.uns.edu.ar>Subject: Prueba de mensaje autenticado y seguro.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 8bit
-----BEGIN PGP MESSAGE-----Charset: ISO-8859-1Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
hQIOA8pZrSqBeLjFEAf9Fs4q7t17Z1BctloitpNxX11boPryWQkAaN9LmxRW9xkdpju/KcWquBny9F2uuqVgd4WfEE14Zp11A0aUOfi1/GKEcjiN2KJIx5lcvpQ6zxYOQ3rKDT/XlZH5WuqZbho9O9UreRMSOQxCejv5rjMBIckH8R9vrhn+O3u8UaHxSzVRVcI2LDq0SoS++7dBXtpmncxsKfKlny3YpEbme9fjBzQAdIHKAfGM0AXMCqyZQ7iRA2frSpkOelNlBJslZu4xD0Du9VTDu9oal/CHZId3nxHsj60yC0mSwJRgTK2MZa+Rs9HUxhrWy3PG7ye+UhfrOGtKaxwe3iKE60yG1vawiwf9FahNhVhXcBOrYr1pMSU3s7S13sRo7LxVqRS6s98YSr/Zxs/tenXwQDptenR+udoDaJ9izhLBg3b/GLhjIsKqi4gX/pFL/mRZL5Tzu1WsCV417vXuOq3D4iJakMHlj5wnR5A4FxksTcJ+qkCd6zgcn76kPnZTa0YNCQflFUb3jLsUQH6x3DGKkNpStvquBK/2VfwbphqrauZbEcENlrsO0zV16PkAGaqIB1zGBmvDYC/WapgsetQbAPUYBGtUrPQEDHrKp0tpyp29uRtUp/wjKcV90ZIKOxUbEnhGojHVGMlHN3Y5BC5agKBXUBwRlqQ6oMsUW4vwHjbqRfDNByf3ENLAAgHnfFw47Fm321s9fvZZ+LXOcnKdItCc2TtlFQE5/qqwDQUgSvNhuFsPwLtSAX9HVnO20iq7NL5YlG+TTCFsLbjX2670a5El0ElvQBib8719aE12Of8K/fkEhyX+sJa5C7dg+zw8Tgw1sUrRC7juvUq5/7XAEagJK/VsclpMUMSXYOGcLN2pdBJ9KZM8d/6nMmtk7R5Zl5xW/hC1AJNESH/ajGMJvsEdUr6bwuz10AlbqM8S3CnMsU7ymMDaAJBLNo/e=v1Io-----END PGP MESSAGE-----
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1414
Secure Socket LayerSecure Socket LayerSecure Socket Layer (SSL) es una solución que extiende a los sockets para brindar:
Confidencialidad
Integridad
Autenticación
¡Miles de millones de dólares por año cambian de mano usando esta tecnología!
El famoso “candadito cerrado” de los navegadores quizás sea el ejemplo más conocido de su uso
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1515
Secure Socket LayerSecure Socket LayerObjetivos al momento de su concepción:
Facilitar las transacciones comerciales en línea
Brindar encriptado de información sensitiva (especialmente el número de la tarjeta de crédito)
Posibilitar la autenticación del servidor web y, en caso de requerirse, también la del cliente
Minimizar el incordio al negociar con un nuevo comerciante
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1616
Secure Socket LayerSecure Socket LayerInicialmente se trató de un estándar cerrado, implementado en el navegador Netscape
En la actualidad se trata de un estándar abierto publicado en el RFC 2246
SSL brinda una API accesible desde cualquier lenguaje de programación
IPTCP
aplicación
aplicaciónconvencional
IPTCP
IP
SSL / TLSaplicación
aplicaciónusando SSL
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1717
SSL y TLSSSL y TLSAutenticación de servidores en SSL:
Todo navegador seguro viene dotado de las claves públicas de un conjunto de CAs en los que se confía
El navegador solicita al servidor su certificación,la cual debe haber sido emitida por un CA confiable
Luego, haciendo uso de la clave pública del CA recupera la clave pública del servidor del certificado
El menú de seguridad del navegador permite indagar el conjunto de CAs considerados confiables
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1818
SSL y TLSSSL y TLSEncriptado de datos en SSL:
El navegador genera una clave simétrica al azar que será usada sólo durante la interacción, la encriptacon la clave pública del servidor y la envía al servidor
Haciendo uso de su clave privada puede desencriptar la clave simétrica que el cliente le alcanzó
En este punto, tanto cliente como servidor tienen acceso a la clave compartida
Todo información intercambiada usando el socket TCP será encriptada usando esa clave
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 1919
SSL y TLSSSL y TLSAutenticación de clientes en SSL:
La autenticación de clientes en SSL se lleva adelante poniendo a disposición del servidor su certificado
SSL evolucionó en el nuevo estándar TLS:
La nueva versión constituye un estándar abierto de internet, cuya última especificación está disponibleen el RFC 5246
Los servicios provistos por SSL y TLS también pueden ser utilizados en otras aplicaciones (por caso, IMAP)
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2020
IPsecIPsecInternet Protocol Security (IPsec) introduce un conjunto de protocolos para proveer seguridad y autenticación en capa de red
Encriptado a nivel de capa de red:
El emisor encripta los datos contenidosen los datagramas IP
Estos datos pueden ser segmentos TCP o UDP, mensajes ICMP o SNMP, etc.
Autenticación a nivel de capa de red:
El receptor puede autenticar la dirección IP de origen
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2121
Seguridad en capa de redSeguridad en capa de redFamilia de protocolos IPsec:
Un protocolo para autenticar los datagramas llamado Authentication Header (AH), el cual provee integridad y autenticidad del emisor, pero no confidencialidad
Otro protocolo para encriptar el contenido de los datagramas llamado Encapsulating Security Payload (ESP), el cual provee confidencialidad, integridad y autenticidad del emisor
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2222
Seguridad en capa de redSeguridad en capa de redPara hacer uso de tanto AH como ESP emisory receptor deben llevar adelante un procesode inicialización
Este proceso crea un canal lógico a nivel de capade red denominado Security Association (SA)
El SA establece un canal unidireccional
Cada SA se caracteriza a través de la combinacióndel protocolo de seguridad que se esté usando,la dirección IP de origen y un identificadorde conexión de 32 bits
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2323
Protocolo AHProtocolo AHEl encabezado del protocolo AH se inserta entre el encabezado IP y la carga útil del datagrama
Los routers en el núcleo de la red procesanel datagrama de la manera usual
El encabezado incluye información acerca de:
El identificador de conexión
Los datos de la autenticación, esto es, el digestodel datagrama original firmado digitalmente
El campo próximo encabezado denota el tipo de carga útil (TCP, UDP, ICMP, etc.)
encab. IP encab. AH carga útil
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2424
Protocolo ESPProtocolo ESPEl protocolo ESP incorpora un encabezado yun finalizador y un segundo finalizadorque provee la autenticación
Tanto la carga útil como el finalizador ESPestán encriptados
El campo próximo encabezado se encuentra encriptado dentro del finalizador ESP
La autenticación en ESP se maneja de manera análoga a AH
encab. IP carga útilencab. ESP final. ESP final. aut.encriptado
autenticado
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2525
Seguridad en IEEE 802.11Seguridad en IEEE 802.11La naturaleza absolutamente broadcast delos enlaces inalámbricos los hace candidatosa ser atacados por escucha de paquetes
Por caso, basta tomar un celular con wifi y salir a darun paseo para encontrar una multitud de redes inalámbricas desprotegidas
Esta actividad se la conoce como war driving(si el paseo lo hacemos en un vehículo)
Las redes desprotegidas exponen la privacidad ylos datos personales de los usuarios de la misma
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2626
Wired Equivalent PrivacyWired Equivalent PrivacyLa primer propuesta para contrarrestar este tipo de ataque la provee el protocolo Wired Equivalent Protocol (WEP)
WEP provee autenticación y encriptado de datos
Autenticación WEP:
El nodo inalámbrico solicita autenticarse con el AP
El AP envia un nonce de 128 bits
El nodo encripta el nonce usando una clave simétrica
El AP al desencriptar el nonce confirma la identidad
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2727
Wired Equivalent PrivacyWired Equivalent PrivacyEncriptado de datos en WEP:
El nodo inalámbrico comparte con el AP una clave simétrica de 40 bits
El nodo agrega a la clave un vector de inicialización (IV) de 24 bits para obtener una clave de 64 bits
La clave de 64 bits es utilizada para generar un flujo de claves K
iIV
Las claves KiIV se usan para encriptar los bytes d
i
de las tramas de la siguiente forma:
ci = d
i Å K
i
IV
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2828
Wired Equivalent PrivacyWired Equivalent Privacy
clave secreta + IV
gen. de claves
0 1 1 0 0 0 1 0 1 0
1 1 0 1 0 1 0 1 1 1
Å
1 0 1 1 0 1 1 1 0 1
=
clave secreta + IV
gen. de claves
0 1 1 0 0 0 1 0 1 0
1 1 0 1 0 1 0 1 1 1
Å
1 0 1 1 0 1 1 1 0 1 =
secuencia declaves
trama sinencriptar
tramaencriptada
semilla delgenerador
secuencia declaves
tramaencriptada
trama sinencriptar
semilla delgenerador
trama transmitida
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 2929
Vulnerabilidad en WEPVulnerabilidad en WEPWEP presenta una seria vulnerabilidad:
Como se consume un IV por trama y el campo IV tiene sólo 24 bits, eventualmente se reusarán IVs
El IV se transmite sin encriptar, por lo que la reutilización del IV puede ser detectada
Considerando lo simple y rápido que se puede quebrar el protocolo WEP, en la actualidad selo considera obsoleto
El nuevo protocolo WPA provee un nivel adecuadode autenticación y seguridad a nivel hogareño
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3030
Control de accesoControl de accesoEl cortafuego (firewall) es la primera barreraen la defensa de la infraestructura de redde una organización
El cortafuego permite aislar la red interna deuna organización del resto de internet, permitiendoque algunos paquetes lo atraviesen pero otros no
red interna red externa
internet
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3131
FirewallFirewallEl cortafuego provee un atractivo conjuntode funcionalidades desde la perspectivadel encargado de la seguridad en la red:
Impide que se acceda y/o modifiquen los datos alojados en las computadoras de la red interna
Posibilita que sólo un determinado conjuntode computadoras externas puedas accedera las computadoras de la red interna
Permite detener los ataques estilo DoS (Denial of Service), tales como la inundación con segmentosTCP con el flag SYN activado
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3232
Filtrado por paqueteFiltrado por paqueteLa red interna se conecta a la externa a través de un gateway cortafuego
El gateway decide paquete por paquetecuál filtrar y cuál dejar pasar
Esta decisión puede ser tomada en base a la dirección IP origen/destino, el puerto origen/destino, el tipode mensaje ICMP, los flags TCP, etc.
internet
¿debe pasar o no?
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3333
Ejemplos de filtradoEjemplos de filtradoPara impedir el tráfico UDP:
Bloquear los datagramas entrantes o salientes cuyo campo protocolo del encabezamiento contenga un 17
Para impedir el uso de telnet:
Bloquear los datagramas entrantes o salientes cuyo puerto origen o destino sea el 23
Para impedir el uso de ping:
Bloquear los datagramas entrantes conteniendo mensajes ICMP de tipo 8 (echo request)
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3434
Firewall personalFirewall personalLos distintos sistemas operativos recientemente han incorporado una variante del gateway cortafuego a nivel de las computadorasde escritorio denominado firewall personal
La argumentación es que cada usuario tieneun conocimiento más preciso de qué tráfico permitiry qué tráfico filtrar
Sin embargo, la administración de firewalls personales es una tarea más demandante que la administración de un único firewall en el router gateway
Pueden usarse ambos tipos de firewall en simultáneo
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3535
Proxy por aplicaciónProxy por aplicaciónLas aplicaciones que tengan dificultades atravesando el cortafuego pueden hacer usode un proxy que facilite el acceso al exterior
la aplicación se conectaprimero al proxy
el server proxy esel único autorizado
a atravesar el cortafuego
routercortafuego
red interna
red externa
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3636
LimitacionesLimitacionesExisten técnicas diseñadas específicamente para contrarrestar la presencia del cortafuego
Por caso, la adulteración de los camposdel datagrama puede confundir al cortafuego
A su vez, la defensa ante un ataque estilo DoS no puede distinguir los paquetes legítimosde aquellos que constituyen el ataque
Esto es, los usuarios legítimos se verán afectadospor las contramedidas antes un ataque DoS
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3737
LimitacionesLimitacionesOtra limitación de las técnicas de filtradoes que basan su decisión exclusivamenteen el contenido del encabezamiento
Por otro lado, no tienen en cuenta la relación que puede existir entre múltiples datagramas
Los Sistemas de Detección de Intrusos (IDS) apuntan a subsanar estas dos objeciones:
Analizan los datagramas en su totalidad
Tienen en cuenta la correlación entre ellos
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3838
Vector de ataqueVector de ataqueAtaque de descubrimiento (network mapping):
La primer fase de un ataque consiste en conoceral enemigo, recolectando información acerca de qué servicios están implementados en la red interna
La herramienta ping sirve para determinarqué direcciones IP están en uso
Los escaneadores de puertos permiten descubrirqué servicios están activos en los distintos nodos
Uno de los más conocidos es el nmap
¿Posibles contramedidas?
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 3939
ContramedidasContramedidasContramedidas al ataque de descubrimiento:
Filtrar los intentos de ping (ICMP echo request) originados fuera de la organización
Llevar un detallado registro (log) del tráficoque ingresa a la red interna
Inspeccionar este registro buscando patrones sospechosos de acceso (por caso, intentosde conexión en secuencia a los puertosproviniendo desde una misma subred)
Actualmente existen programas que automatizan parte del monitoreo de los registros
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 4040
Vector de ataqueVector de ataqueAtaque escucha de paquetes (packet sniffing):
El ataque escucha de paquetes saca provechode la naturaleza broadcast de los enlacesque conforman la red local
La interfaz de red descarta por defecto las tramas destinadas a otros nodo, pero también puede ser configurada en “modo promiscuo” para que aceptelas tramas destinadas a todos los destino posibles
Este tipo de ataque permite tener acceso a todala información que circule sin encriptación por la red
¿Posibles contramedidas?
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 4141
ContramedidasContramedidasContramedidas al ataque escucha de paquetes:
Impedir que los usuarios configuren los adaptadores de red en modo promiscuo llevando un estricto control de los privilegios a nivel de sistema operativo
Ejecutar en todos los nodos en la organizaciónun pequeño programa que periódicamente verifiqueque la interfaz no se encuentre en modo promiscuo
Otra posibilidad es restringir el número de nodos activos cada segmento de tipo broadcast (por caso, utilizando switches en lugar de concentradorestoda vez que sea posible)
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 4242
Vector de ataqueVector de ataqueAtaque adulterando (spoofing) camposdel encabezamiento de los protocolos:
Cualquier aplicación tiene la capacidad de generar directamente un datagrama IP (es decir, salteandolas capas de aplicación y transporte)
Al hacerlo, puede controlar el valor de los distintos campos del encabezamiento
El cortafuego puede no ser capaz de distinguirlos datagramas legítimos de los adulterados
¿Posibles contramedidas?
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 4343
ContramedidasContramedidasContramedidas al ataque adulterando campos del encabezamiento de los protocolos:
Los routers cortafuegos no deberían hacer forwardde datagramas inválidos (por ejemplo, datagramas cuyo origen no pertenezca a la red internadel cortafuego)
Excelente contramedida, pero debe ser implementada a nivel de routers fuera del alcance del administrador de la red siendo atacada
Este problema se puede solucionar con el protocolo AHde IPsec, el cual nos permite autenticar el origen
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 4444
Vector de ataqueVector de ataqueAtaque de negación de servicio (DoS):
El ataque de negación de servicio consiste en inundar un cierto servidor con innumerables requerimientos espurios, a fin de que sea incapaz de atenderlos requerimientos legítimos
La variante de negación de servicio distribuido(DDoS), consiste en coordinar el ataque desde múltiples punto en simultáneo, para hacer másdifícil la implementación de contramedidas
¿Posibles contramedidas?
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 4545
ContramedidasContramedidasContramedidas al ataque de negaciónde servicio:
La primer contramedida consiste en filtrar los paquetes involucrados en el ataque antes de que alcancen al servidor (por caso, los segmentos TCPque contengan el flag SYN activado)
El proceso de filtrado eliminará los paquetes involucrados en el ataque junto con los legítimos
Se debe rastrear el origen de la inundación (usualmente se trata de computadoras de terceros que se encuentran comprometidas)
Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 4646
¿¿Preguntas?Preguntas?
top related