Download - 3Implantacion de Tecnicas de Acceso Remoto
Implantación de técnicas de acceso remoto
Agustín Jiménez Guerra
Elementos básicos de la seguridad perimetral
• Seguridad perimetral– Primer obstáculo al que enfrentarse cuando accedemos
remotamente– Conjunto de hardware y software utilizado para
proteger una red de otras redes en las que no se confía – Proteger para que no haya intrusiones no deseadas
• Proteger red– Filtrar la información que entra en dicha red– Analizar y prevenir las posibles intrusiones– Utilizar técnicas seguras en su funcionamiento
Elementos básicos de la seguridad perimetral
• Funciones seguridad perimetral– Proteger la información valiosa de la red– Rechazar conexiones a servicios que no sean
seguros– Proporcionar un único punto de conexión con el
exterior– Controlar el tráfico que entra en la red
Elementos básicos de la seguridad perimetral
• Elementos para seguridad perimetral– Routers– Firewalls– Redes virtuales– Subredes
Router frontera
• Enrutador más externo de la red corporativa– Comprueba la seguridad en el tráfico de entrada y
salida– Pueden soportar muchas conexiones– En redes domésticas el único router hace esta
función– Internet: Distintos sistemas autónomos (los
routers frontera conectan distintos sistemas autónomos)
Router frontera
• Protocolos con los que trabajan estos routers– EGP
• Exterior Gateway Protocol• Intercambiar información de enrutamiento entre SA
– BGP• Border Gateway Protocol• El más extendido (intercambia información de enrutamiento
entre SA)• Encaminan la información en Internet• La ruta óptima viene dada por el nº de SA atravesados para
llegar al destino y políticas de la red• IBGP (se utiliza en el interior de SA); EBGP (exterior SA)
Protocolos de enrutamiento
BGP
Cortafuegos
• En la seguridad perimetral suele encontrarse un router que actúa como firewall
• Router <> cortafuegos
Cortafuegos
Cortafuegos• Se puede configurar parámetros para que el router pueda ser atravesado por
conexiones VPN• Cortafuegos = Filtrar
– Filtrado de paquetes (IPo, IPd, Port o, Port d, …)– Aceptar o denegar– Listas ACL: Listado de restricciones o permisos que se aplican a un router (controlar
trafico de E y S)SAD03(config)#access-list Nº permit|deny [dirección IP] [máscara]SAD03(config-if)#ip access-group Nº in|outSAD03(config)#access list 2 deny 192.168.1.0 0.0.0.255SAD03(config-if)#ip access-group 2 inSe deniega el tráfico entrante a la red 192.168.1.0
• Proxy firewall– Cuando una conexión llega al proxy, el proxy completa la conexión– Crea una nueva conexión desde el proxy al destino (no enruta el tráfico)– Guarda información y realiza o no la conexión– Intermediario entre los equipos de la red corporativa e internet
Redes privadas virtuales
• VPN– Tecnología que permite establecer una conexión
similar a la de una red LAN sobre una red pública (Internet)
– Mecanismos: Encapsulación, tunelización, encriptación• Conectar dos sucursales de una empresa a través de
Internet• Acceder remotamente desde un hotel a la empresa
Redes privadas virtuales
Redes privadas virtuales
• Servidor VPN Acepta las conexiones• Cliente VPN El que se conecta• Túnel Representación de cómo viaja la información por
Internet (ajena al tráfico)• Cuando un cliente establece una conexión con el servidor
aparentemente no ocurre ningún cambio en su equipo• Los SO incorporan asistentes para VPN• Primer obstáculo al router frontera
– Hay que especificar en el router que permite este tipo de conexión
Red privada virtual
Perímetro de red: Zonas desmilitarizadas
• Perímetro de red: Separa el tráfico de la redes internas y externes– Controlar el tráfico– Clasificar el tráfico– Poner en cuarentena– Denegar conexiones
• Perímetro de red– En lugar de defender la red corporativa con un único
elemento (router frontera), se emplea una red entre la red interna e Internet (Zonas DMZ)
Zonas desmilitarizadas
Zona desmilitarizada
• Los equipos tienen una relación bidireccional con la red WAN pero no con la LAN– Una equipo situado en la WAN podrá conectarse con uno de
la DMZ y viceversa– Pero un equipo de la WAN o DMZ no podrá comunicarse con
otro de la LAN, pero sí el paso inverso• En la DMZ se sitúan los equipos que proporcionan
servicios públicos (servidores Web, de correo, DNS, …)– Los equipos que se quiere tener expuesto en la red– Si se salta un atacante los servidores de la red perímetro aún
estaría el router interno protegiendo la red interna
Arquitectura débil de subred protegida
• Una subred protegida débil, establece la protección interna empleando una DMZ por detrás del firewall de perímetro– El equipo que actúa como firewall tiene al menos
3 interfaces para conectar: Internet, DMZ, LAN– Un fallo del cortafuegos puede desproteger a la
red interna
Arquitectura débil de subred protegida
• Bastión– Elemento más adelantado de la red interna– Está más en contacto con el peligro– Los SO y las aplicaciones se han fortalecido para
que sean más seguros– Son el objetivo de muchos ataques (son los que
más contacto tienen con la red exterior
Arquitectura débil de subred protegida
Arquitectura fuerte de subred protegida
• La subred protegida fuerte establece la protección de la red interna con una DMZ situada entre dos firewall
Arquitectura fuerte de subred protegida
• El cortafuegos externo (de acceso) bloquea y controla el tráfico no deseado desde la red externa a DMZ
• El cortafuegos interno (de contención) bloquea y controla el trafico no deseado de la DMZ a la red interna– Una fallo del cortafuegos externo desprotege sólo la DMZ– Se pueden tener dos proveedores diferentes para cada
uno de los dos servidores firewall• Cada proveedor puede tener diferentes políticas de seguridad• Si un atacante se salta uno tendrá que emplear otro método
diferente para atravesar el otro
Políticas de defensa en profundidad
• Hacer que el atacante se desanime al poner varios obstáculos en su camino hacia el objetivo– No existe la seguridad total– Reducir las posibilidades de que el sistema sea atacado– Minimizar los daños causados por un incidente
• Políticas– Permitir todo lo que no esté específicamente prohibido (permiso
establecido)• Se especifica lo prohibido
– Prohibir todo lo que no esté explícitamente permitido (negociación preestablecida)• Se especifica lo permitido• Más segura y restrictiva (no siempre la más adecuada)
Defensa perimetral
• Política de seguridad entre una red segura (LAN) e insegura (Internet
• Se establecen los servicios accesibles desde el exterior y a los que se puede acceder desde el interior
• Se centran en– Filtrar el tráfico de la red– Redirigir el tráfico hacia máquinas seguras– Administrar el contenido del tráfico
• Valorar– Las amenazas pueden venir del interior (no solo del exterior)– Extremar las medidas de seguridad puede provocar limitaciones en
el funcionamiento
Defensa perimetral
• Filtrado de tráfico– Aceptar. Se permite el tráfico– Denegar. Se prohíbe el tráfico y no hay mensaje de error– Rechazar. Se prohíbe el tráfico y se envía un mensaje de error
al emisor• Denegar recomendable frente a rechazar
– Menos tráfico– El atacante tiene menos información
• Para este tipo de defensa perimetral se utilizan– Sistemas de detección de intrusos (IDS)– Firewall– Conexiones VPN
Defensa interna
• Defensa en profundidad: Varias líneas de defensa• Para llegar a la línea de defensa interna se ha
tenido que atravesar la red perimetral• Objetivo– Establecer los parámetros de funcionamiento interno
para que la red funcione con seguridad• Red interna: Es lo más valioso (si se accede a
ellas se accede a los datos que se están protegiendo)
Defensa interna
• Emplear en los servidores y dispositivos de interconexión– Listas de control de acceso (ACL)– Conexiones SSH– Auditorias de seguridad– VLAN
• Líneas de defensa en cada Host y en cada aplicación– Contraseñas– Anti-malware– Programación segura– Detección de intrusiones
Factor humano• Factor más imprevisible y difícil de controlar• Las líneas de defensa son inútiles si el personal las usa mal o no las utiliza• Los usuarios deben estar comprometidos• Prácticas seguras en:
– Uso de carpetas personales– Uso de carpetas compartidas– Realización de copias de seguridad– El uso de la red– La modificación de archivos comunes– La utilización de archivos personales en la red interna– La manipulación de equipos y aplicaciones de red
• Además– Adquirir y mantener una buena formación– Gestionar adecuadamente los incidentes que se produzcan
VPN
• Redes privadas sobre la red pública• Esconder lo que se transmite en el acceso a la red
de forma remota• Solución para garantizar la seguridad en el
intercambio de información• Comunicación entre dos puntos próximos o lejanos
sea privada – Virtual: La comunicación se lleva a cabo sobre una línea
pública– Comunicación privada sobre línea pública
VPN
• Túnel: Las técnicas empleadas en las VPN hacen que no haya transferencia de información entre los datos transmitidos y el canal por el que viajan– Encriptación (proceso transparente para el usuario)
• Garantizan:– Confidencialidad, confiabilidad, disponibilidad y el
no repudio modificando los paquetes IP– Cifrando Confidencialidad– Firmando Autenticidad, integridad, y no repudio
VPN
• Útiles– Separar en una intranet la información confidencial para que
sea accesible solo a los usuarios autorizados– Comunicar de manera segura dos puntos distantes utilizando
una red pública (Internet)– Establecer comunicaciones inalámbricas seguras
• Creación– Hardware
• Depende del fabricante del dispositivo• Más limitadas
– Software• Más comunes, flexibles
VPN
• Protocolos utilizados– IPSec– PPTP– L2TP– SSL/TLS
VPN• Líneas dedicadas
– Alquiladas, con comunicación segura punto a punto entre dos sitios distintos de una organización
– Extender la LAN fuera de los límites de la empresa– T1, T3, … (Europa: E1, E3, …)
• VPN frente a líneas dedicadas– Beneficios
• Ahorro de costos en el alquiler de líneas al ISP• Facilidad de manejo en la conexión• Proceso transparente para el usuario• Los datos viajan encriptados• Facilidad en la movilidad de los usuarios• Rapidez en la implementación
– Desventajas• Fiabilidad• Velocidad• Escalabilidad
VPN
• Principal desventaja fiabilidad– Va sobre Internet (no del todo fiable)– Más lento que líneas dedicadas • El cliente tiene que encapsular los datos y éstos saltar
de nodo en nodo en Internet• Si se encripta, es aún más lento
VPN
VPN• Técnicas de cifrado:
– Encapsulan los datos en paquetes seguros– Simétrica o de clave secreta– Asimétrica o de clave pública
• Clave secreta– Utiliza una sola clave para encriptar y desencriptar la información– Se comparte con todos los participantes en la comunicación
• Clave pública– Utiliza dos claves, una secreta y otra pública – Para encriptar Clave secreta del emisor y pública del receptor– Para desencriptar Clave secreta del receptor y clave pública
• VPN las encriptaciones son en tiempo real con claves válidas solo para esa sesión de conexión
VPN
• Técnicas de cifrado– Cifrado simétrico• DES• IDEA• 3DS
– Cifrado asimétrico• RSA
• http://www.slideshare.net/jpadillaa/criptografia-asimetrica-rsa#btnNext
VPN a nivel de enlace
• Se elimina la necesidad de utilizar routers en los extremos que se encarguen del enrutado VPN
• Objetivo: Construir una comunicación segura independiente del protocolo de nivel 3 (IP u otro)
• Extender la LAN a través de la MAN o WAN• Protocolos utilizados– MPLS– L2TP– VPLS
VPN a nivel de red
• Protocolos– IPSec: Mejor para conexiones sitio a sitio– SSL: Ideal para el acceso remoto
• Son complementarios• Hay dispositivos que usan las dos tecnologías
VPN a nivel de red
• Ventajas de SSL frente a IPSec– No utiliza clientes específicos, utiliza navegadores web
estándar (limita acceso a través del puerto 443 hhtps)– Facilita el acceso remoto– Requiere menor administración– No tiene problemas con NAT
• Desventajas de SSL frente a IPSec– No soporta tráfico de voz– No favorece las conexiones sitio a sitio– Dificulta el acceso a estaciones de trabajo individuales– A veces tiene problemas con NAT
VPN a nivel de aplicación
• SSH es un protocolo de niel de aplicación para establecer una conexión remota con un servidor de manera segura– Encripta los datos (garantiza la integridad)– Soporta varios métodos de autentificación (clave
pública - privada)– En Linux solo pueden acceder al servidor las claves
públicas que aparezcan en el fichero del servidor.ssh/authorized_keys
VPN a nivel de aplicación
• ssh se puede considerar una VPN a nivel de aplicación– Asegurar Se utiliza mucho para administrar
servidores de forma remota– Soporta cualquier protocolo TCP/IP las
transacciones entre cliente y servidor– por debajo empleado por muchas aplicaciones
VPN a nivel de aplicación
• El cliente y el servidor deben ponerse de acuerdo en el sistema criptográfico– Se intercambian la clave pública para generar la clave de cifrado que se utilice en la comunicación– Esta clave cambia en cada conexión SSH
• El usuario genera su par de claves:ssh -keygen.shh/identity.pub Almacena la clave pública.shh/identity Almacena la clave privada
Intérprete de comando SSH
• SSH es un protocolo pero también recibe el mismo nombre el programa que es capaz de ejecutarlo
• Para ejecutar– Servidor: Tener instalado ssh• P.e.: openssh-server
– Cliente: Tener un cliente ssh • putty cliente de telnet, ssh, …• Cliente en los SO
Intérprete de comando SSH
root@linux-tomas:/# aptitude install openssh-server
/etc/ssh/sshd_conf/etc/ssh/sshd_config
AllowUsers usuario/etc/init.d/ssh restart
Conexión ssh mediante líneas de comandos
• Pasos para conectar el cliente con el servidor– Generar las claves de cifrado asimétrico (algoritmo RSA)
ssh-keygen
– Colocar la clave pública del cliente en el servidorCopiar en authorized-keysscp fichero.pub [email protected]:/tmp
– Se copia la clave pública en un fichero temporal del servidor SSH con IP 10.10.10.2
– Conectar con el servidorssh [email protected] (conectarse)cd /etc/ssh (situarse en el directorio donde está instalado ssh)cat /tmp/fichero.pub >> authorized-keys (copiar la clave pública en el
fichero donde se almacena las claves autorizadas
Gestión de archivos ssh
• Proporciona un sistema de archivos en red (similar a NFS) de manera segura– Servidor: Servidor SSH– Cliente: SSHFS • Permite montar en el equipo local un FS que está en el
equipo remoto (usando ssh)• sshfs [email protected]:/examenes/sad
/home/sad01/micarpeta/examenes/sad
VPN PROTOCOLOS
Capa enlace MPLS Añade etiquetas a los paquetes que circulan por la red para poder enrutarlos en cada nodo de comunicaciónSe inserta entre la información correspondiente de la capa 2 y 3Crea conexiones punto a punto
PPTP De MicrosoftA veces tiene problemas con NAT
L2F De Cisco
L2TP Surge de PPTP y L2FEncapsula los datos utilizando PPP y necesita un protocolo de nivel 3 para ser completamente seguroCrea conexiones punto a punto
VPLS Crea conexiones multipuntoEmula el comportamiento de un conmutador o puente creando una LAN compartida por todas las LAN situadas en diferentes sitios, con un único dominio de difusión
Capa red SSL Ideal para el acceso remotoNo utiliza clientes específicos, utiliza navegadores web estándar (limita acceso a través del puerto 443 hhtps)Facilita el acceso remotoRequiere menor administraciónNo tiene problemas con NATDificulta las comunicaciones sitio a sitio
IPSEC Es el mejor para conexiones sitio a sitioSoporta tráfico de vozA veces tiene problemas con NAT
Capa aplicación
SSH Encripta los datos entre cliente y servidor con clave asimétrica (u otra)Asegurar Se utiliza mucho para administrar servidores de forma remotaSoporta cualquier protocolo TCP/IP las transacciones entre cliente y servidorpor debajo empleado por muchas aplicaciones
Servidores de acceso remoto: RAS
• Un servidor remoto es un equipo que permite que otro equipo se conecte a él
• Se encarga de múltiples llamadas entrantes de los usuarios remotos– Necesitan recursos de red– Hacen la función de puerta de enlace entre el cliente de acceso
remoto y la red local– Hay que realizar una autentificación antes de establecer la conexión– Se puede establecer la conexión sin Internet
• Con el móvil, rtc o rtb (módem) a través de PPTP
– Puede actuar en redes Microsoft, Unix, Netware, … con PPP o SLIP
Protocolos de autenticación• Validación de la identidad de un usuario o dispositivo, necesaria para acceder a
un recurso• Protocolos
– PAP• Protocolo inseguro (no cifra el usuario, ni la contraseña en la comunicación con el servidor)• Se utilizaba mucho en UNIX
– CHAP• Obliga al cliente a verificar su identidad cada cierto intervalo de tiempo• MSCHAP: variante implementada por Microsoft
– TACACS, TACAS+• Permite que el servidor de acceso remoto utilice un servidor de autenticación para verificar si el
usuario tiene acceso o no• Similar a RADIUS• Del tipo AAA: Autenticación, autorización, contabilización
– RADIUS– SPAP
• El cliente de acceso remoto envía una contraseña cifrada al RAS, que la descifra y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto
• Más seguro que PAP y menos que CHAP
Protocolos de autenticación
• RADIUS– Tipo AAA– Se utiliza en combinación con PAP o CHAP– Puede manejar sesiones, determinando o
limitando el tiempo de conexión de cada usuario– Se emplea en la seguridad de redes inalámbricas
Proceso autenticación RADIUS
• El usuario llama al RAS (nombre, password) iniciando las negociaciones PPP
• RAS actúa sólo como intermediario pasando la autenticación al servidor RADIUS
• RADIUS autentica al usuario y emite una respuesta de aceptación (si no una notificación)
• Con la información remitida por RADIUS, RAS completa la negociación PPP, permitiendo la conexión a la red o denegando el acceso
RADIUS
Configuración de parámetros de acceso
• Gestionar múltiples llamadas a través de la rtb y módems– Puertos de comunicaciones, protocolos de red o sistemas de
codificación• Los SO incorporan interfaz gráfica para configurar RAS (con red y
sin módem)• Configuración el Linux de mgetty (gestionar conexiones entrantes)
– /etc/inittab • Configurar parámetros para escuchar las conexiones entrantes• Modo automático o manual de operación en el módem
– /etc/mgetty/login.config• Usuarios que acceden al servidor RAS
– /etc/ppp/pap-secrets• Usuarios que se pueden autenticar en el RAS
Configuración de parámetros de acceso
• Ejemplo configuración inittabS0:234:respawn:/sbin/mgetty -n2 -s 57600 -D
/dev/ttyS0• En el login.config
Cambiar: #/AutoPPP/ -a_ppp/usr/sbin/pppd auth -chap +pap login debugPor: /AutoPPP/ - a_ppp /usr/sbin/pppd file /etc/ppp/options
• En el pap-secrets# Every regular user can use PPP and has to use passwords from
/etc/passwd#* hostname "" *ASIR01 * "alisal2012" *ASIR02 * "alisal2012" *
Defensa perimetral Sistemas de detección de intrusos (IDS)Firewall, Routers (filtrar, redirigir, ACL)Conexiones VPNDMZ (Subredes protegidas: arquitectura débil y fuerte)
Defensa interna Listas de control de acceso (ACL)Conexiones sshAuditorías de seguridadVLAN
Host ContraseñasAnti-malware (antivirus, troyanos, gusanos, …)Programación seguraDetección de intrusionesActualización de sistemas y aplicaciones (parches)
Aplicación
Personal Prácticas seguras en:Uso de carpetas personalesUso de carpetas compartidasRealización de copias de seguridadEl uso de la redLa modificación de archivos comunesLa utilización de archivos personales en la red internaLa manipulación de equipos y aplicaciones de red
CifradoFirma digita, certificado digital, …
Líneas de defensa
