Upload
trinhliem
View
218
Download
0
Embed Size (px)
Citation preview
ProteccióndesuRed
Ing.TeofiloHomsany GerenteGeneral
SOLUTECSA
PaiBllaMall,Local45.Telefono:+507.209.4997E‐mail:[email protected]
Áreasvulnerablesdesured
• Gateway(entradaysalidaainternet) • Routers • Switches • Servidores • Computadorasdeempleados
Areasvulnerablesdesured
Todaslasáreasdesuredsonvulnerablesaataquesporunintruso.
Gateway(Firewall,Routers)
• DenialofService(DoS) • DistributedDenialofService(DDoS) • AtaquesaservidordeWeb. • Ataquesaservidordecorreo. • DebilidadesenelFirewallyRouter.
SwitchesyRouters
• ARPPoisoning • Man–in–the–middle • DNSHijacking • Wirelesshacking
Servidores
• Robodecontraseñasusandosniffing. • AccesoaservidoreswebsincerBficados. • SQLinjecBon. • XSS • Sistemassinparches. • CarpetascomparBdassinpermisosconfigurados.
Ataquesausuarios
• Phishing • DNSHijack • Vulnerabilidadesdeprogramasinstaladosenequipos.
• CarpetascomparBdassinpermisosconfigurados.
• IngenieríaSocial
Comoprotegernos?
1.Revisión
2.Detección
3.Reporte
4.Validación
5.Implementación
Revisión
• Sebuscanlosequiposconectadosalared. • SeidenBficanservidores,estacionesdetrabajo.
• SeidenBficanswitches,routers,equiposvitalesparalacomunicación.
Detección
• Sedetectanlasdebilidadesconherramientasymétodos.
• SeidenBficanydividenlosproblemasporáreaenlared.
• Setratadeexplotaraquellasdebilidadesencontradas(dependiendodelcaso).
Reporte
• Sedocumentatodoloencontradoenunreporte.
• Estereportedebecontenerinformaciónespecíficadecadasistemacondebilidadesyvulnerabilidades.
• Enelreportetambiensedebeincluirlassolucionesalosdiversosproblemasencontrados.
Validación
• Serevisanlospuntosdelreportecontralossistemasafectados.
• Selevantaunplandetrabajoparadichoequipoenplandeasegurarlo.
Implementación
• Seleaplicanlosarreglosalequipo. • Estopuedeincluir: – Parches – Configuracionesespeciales – Reinstalaciones
ProtocolosdeAutenBcación
• Losdividimosendiferentesáreas: – NiveldeRedyTransporte(OSI) – NiveldeAplicación – NiveldeInalámbricos
RedyTransporte
• VPN • IPSec • InternetKeyExchange(IKE)
Aplicación
• SSL/TLS/HTTPS/SSH/SMIME • SSLendetalle • Kerberos • PGP • Ejemplos:PGP,ApacheySSL
SeguridadInalámbrica
• Protocolosdeseguridadinalámbrica. – WEP,WPA,WPA2
• SeguridadparadisposiBvosBluetooth. • UMTS(SeguridadderedesmovilesGPRS)
ProtocolosdeComunicación
Aplicación SSL/TLS
Transporte IPSecTransportLayer
Red IPSecNetworkLayer(Tunnel)
DataLink L2TP,PPTP,WEP,EAP
SMTP,HTTP,SNMP,FTP,etc.
TCP,UDP,ICMP
InternetProtocol(IP)
Ethernet,TokenRing,ATM,GPRS
Serviciosparaaplicaciones(E‐mail,Web,etc)
Serviciodetransporteparaaplicaciones.
Ruteo,direccionamiento
Transmisiondepaquetesenmedioosico.
VirtualPrivateNetworks(VPN)
• ElpropósitobásicodelVPNesofrecerautenBcación,controldeacceso,confidencialidadeintegridaddelainformación.
• Unprocesollamado“Tunneling”acBvalapartevirtualdelVPN.
• HaydosBposdeprotocolosdeTunneling: – PPTP(PointtoPointTunnelingProtocol) – L2TP(Layer2TunnelingProtocol)
• ElservicioIPSecmanBenenlospaquetesprivados,íntegrosyautenBcados. – IPSecAHCabeceradeautenBcación. – IPSecESPEncapsulaBngSecurityPayload.
EjemplodeVPN
SeguridaddeAplicación
• SSL:SecureSocketLayer.SeguridadaplicadaaniveldelaentradaaprotocoloscomoFTP,TelnetyHTTP.
• TLS:TransportLayerSecurity=SSL3.0(TLS1.0) • HTTPS:HTTPsobreSSL/TLS • SSH:SecureShellsoportaaccesosremotosylosautenBca.Esunprogramayprotocolo.
• SMIME:ProtocolodeseguridadMIME.Formatoparaelsegurointercambiodecorreos.
ResistenciadeSSLanteataques
• ReplayAsack:NumerosaleatoriosdentrodelSSLhandshakeprevieneataquesdereplay.
• Man‐in‐the‐middle:Cambiodellavesdinámicasatravesderetoyrespuesta.
• PaquetesdeunIPfalsonopuedenserprevenidosporqueSSLnoofreceprotecciónparalacapaderedydetransporte.
SeguridaddeRedesInalámbricas
• NousarlosSSIDspordefectoquevienenconlosequipos(nombredelared).
• EsconderelSSIDenelequipoparaprevenirusuariosquebuscanpenetrarsured.
• LimitaraccesoalequipopordireccionesMAC.(direccionesMACpuedenserengañadas)
• AcBvarWPAoWPA2paraproteccióndelared.
SeguridaddeBluetooth
• Usarunallavedecombinaciónentrelosequipos.
• Retoyrespuestaenlallavedeenlace. • Llavedeencriptaciónparallavedeenlaceusandounnumeroaleatorio.
PreocupacionesdeSeguridadBluetooth
• UsodeunasolallavefijaparaautenBcacióncausaproblemas.
• Lacalidaddelnumeroaleatoriopuedesermuydebildependiendodelasdiferentesimplementaciones.
• SeguridaddependedeunnumeroPINporqueelretodeseguridadyladirecciónsonconocidos.
SeguridadBlackberry
• OfreceseguridadmediantedosBposdeencriptaciónparatransporte: – AES(AdvancedEncrypBonStandard) – 3DES(TripleDataEncrypBonStandard)
• LlavesdeencriptaciónsongeneradasparacadaequipoparaunaautenBcaciónbidireccionalconelservidor.
• Lacomunicaciónviajatotalmenteencriptadaentrelosservidores.
AplicaausuariosconunBlackberryEnterpriseServer.
TecnologíaSwitchPort
• TecnologíausadaenequiposparalimitarelrobodedireccionesMACdentrodelared.
• TiposdeoperacióndelSwitchport: – Shutdown:Elpuertoseapagaynopermitemasconexiones.EstafunciónsedeshabilitamanualmenteparareacBvarlo.
– Protect:PermitetraficosdedireccionesMACconocidasytumbacualquierpaquetedeMACdesconocidas.
– Restrict:FuncionadelamismaformaqueelProtectperoenvíanoBficacióndequehubounaviolación.
QuecausaunaalertaalSwitchport?
• CuandoelmáximonumerodedireccionesMAChansidoagregadasalatabladedireccionesyelmismorecibeunanuevasolicitud.
• Cuandounadirecciónyasehavistopreviamenteenotroswitchport(MACclonado).
Kerberos
• ProtocolodeautenBcaciónporredcreadoparaautenBcarusuarios,clientesyservidoresentreellos.
• Elsistemausacriptograoaconunallavesecretaatravesdeunaredinsegura.
• LacomunicaciónentreclienteyservidorpuedeserseguraunavezsehayausadoKerberosparacomprobarsuidenBdad.
SSL
• ProveeunaconexiónencriptadadeequipoaequiposinimportarlaplataformanielsistemaoperaBvo.
• SeguridadyserviciosdeautenBcaciónsonbrindadosporlaencritacióndedata,autenBcacióndeservidor,integridaddelmensaje,ylaautenBcacióndelclienteporunaconexiónTCPcomoHTTPS,LDAPyPOP3.
ProteccióncontraARPSpoofing
• NohaymuchosmetodosparapreveniresteBpodeenvenenamiento.
• ElmascomunesusarentradasARPestáBcas.
ProtecciónaniveldeunaPC
• AnBvirus • AnBspam • AnBspyware • ControladordedisposiBvosperiféricos. • PoliBcascentralesdedominio.
Comoaseguromired?
• Paraasegurarsureddebeusarvariasdelastecnologíasalavez.
• Nohayunasolatecnologíaqueprotegetodo. • Ningunsistemaes100%seguro. • Ningunatecnologíaes100%segura. • Conrevisionesperiodicassuempresapuedeminimizarlosriesgosderobodeinformación.
Preguntas