lunes, 3 de noviembre de 2014

Seguridad en las comunicaciones


2. Seguridad en las comunicaciones.
2.1 Aspectos a tener en cuenta.
La seguridad en los computadores implica tres exigencias que son:
-        Secreto: acceso a la información y recursos sólo a los entes autorizados.
-        Integridad: modificación de la información y recursos sólo por entes autorizados.
-        Disponibilidad: la información y recursos deben estar disponibles para los entes autorizados.
Una comunicación esté segura de quien  o quienes son las otras partes (man in the midle):
-        Control de acceso
-        Prueba de origen
-        Prueba de recepción
-        No rechazo
-        No publico.
2.2 Amenazas y ataques.
Estas amenazas son violaciones potenciales de la seguridad de un sistema o una red de comunicaciones como:
-        Accidentales.
-        Intencionales.
Podemos clasificar los ataques de forma genérica como ataques pasivos, aquellos que no producen modificación ni en la información ni en el funcionamiento aparente de las redes de comunicaciones y/o sistemas; o activos, aquellos que alteran el comportamiento de los sistemas y las redes de comunicaciones.
Podemos agrupar los ataques en:
-        Acceso no autorizado: revelación de datos, reenvío de datos, manipulación de datos, repudio de datos y recepción de datos.
-        Sobre las identidades: suplantación de identidad, intercepción de identidades.
-        Sobre servicios: denegación de servicio (DoS), encaminamiento incorrecto.

Los ataques tienen distintos tipos de motivación:
-        Gubernamental o militar.
-        Negocios
-        Financieros.
-        Terroristas.
-        Rencor.
-        Diversión.
2.3 Vulnerabilidades.
 Un ataque tiene lugar porque existe una vulnerabilidad en algún punto del sistema.
Ejemplos de vulnerabilidades:
-        Acceso físico.
-        Defectos o errores en el software o en los sistemas operativos (bugs). Estos bugs se descubren analizando el código fuente. Una de las maneras más típicas de aprovecharse de errores de programación suele ser provocar desbordamientos de pila.
-        Sistemas operativos inseguros: un S.O. no seguro es una fuente de vulnerabilidades.
-        Malas configuraciones: son una fuente de vulnerabilidad para sistemas operativos, aplicaciones o dispositivos.
-        Vulnerabilidades en las comunicaciones: son objeto de ataque por la debilidad de muchos de los protocolos de comunicación actuales y también  para utilizar redes públicas para transmitir datos de manera encubierta.
-        Acceso a equipos intermedios: un atacante normalmente no atacará una red de manera directa sino a través de equipos intermedios.
2.4 Tipos de ataques por herramientas.
-                Gusanos (Worms)
-                Trap-Door
-                Caballos de Troya
-                Virus
-                Bombas lógicas.



3. Ataques a redes TCP/IP
3.1 Estructura de un ataque a TCP/IP.
Los podemos clasificar como:
-        Exploración y obtención de información.
-        Ataque a servicios telemáticos
-        Basado en las comunicaciones o el funcionamiento de protocolos.
Cualquier ataque se dividirá en las siguientes etapas:
-        Foot-printing: son técnicas que usaremos para intentar establecer el perfil del funcionamiento y las características de seguridad del sitio o atacar, recopilando información sobre como se conecta a Internet.
-        Scanning: el escaneo de direcciones y puertos podremos averiguar que servidores están activos y como. Los mecanismos usados son “el barrido de pings” y escaneo de puertos.
-        Enumeración: una vez tenemos toda esta información, pasamos a la etapa de enumeración, donde, dependiendo  del sistema operativo objetivo la utilizaremos de una u otra manera.
3.2 Ejemplos de ataques a redes TCP/IP.
Ataques de Denegación de Servicios (DoS).
EL principal objetivo de estos ataques es el consumo de recursos o de ancho de banda de una red o sistema atacado de manera que el atacante consiga, finalmente, dejar este objetivo fuera de servicio.
-        IP SPOOFING: tiene como objetivo la ejecución de comandos de forma remota.
-        TCP HIJACKING: tiene como objetivo la monotorización de los paquetes.
-        Ataques sobre encaminamiento: su objetivo es alterar las rutas de los paquetes para alcanzar su destino, intentando desviarlas a su antojo para su provecho.
-        Ataques sobre DNS: su objetivo es tratar de alterar la resolución de nombres.
-        Virus: son programas maliciosos que son capaces de infectar un sistema y, a veces, capaces de reproducirse y expandirse en otros sistemas.



TEMA 8 PARTE 2 POLÍTICAS DE SEGURIDAD
Una política de seguridad es un plan de acción o un conjunto de reglas a los que atenerse para evitar posibles riesgos o problemas de seguridad de un ordenador, red o un país.



Algunas características de una buena política de seguridad son:
-        Deber ser posible su implementación a nivel organizativo.
-        Deber ser posible su implementación a nivel técnico.
-        Debe ser posible su cumplimiento obligatorio mediante la utilización de herramientas de seguridad.
-        Debe definir claramente las áreas de responsabilidad de los usuarios.
-        Deber ser flexible y adaptable a los cambios que se puedan producir.

Aspectos que se debe incluir una política de seguridad son:
-        Definición de las clases de usuarios.
-        Definición del sistema de passwords.
-        Definición de las clases de información.
-        Definición de los permisos de acceso.

2. Implementación de una política de seguridad.
1. Planificación de las necesidades de seguridad.
Confidencialidad, integridad de los datos, disponibilidad, consistencia, control y auditoría.
2. Análisis de riesgos.
Identificación de amenazas y puntos críticos de la red. La toma o no de una medida ha de estar directamente relacionada con el análisis coste beneficio. Hemos de tener en cuenta que el análisis realizado será siempre diferente para cada organización.
El objetivo de estos métodos es intentar medir los posibles riesgos que afronta nuestra empresa y cual sería la probabilidad de que estos se produjeran.
3. Análisis de de coste-beneficio.
Los posibles riesgos inherentes al sistema y habiendo hecho una clasificación  según su gravedad y probabilidad de ocurrencia, hemos de pasar a decidir como vamos a afrontarlos.
Ejemplos de coste-beneficio:
-        SAI en un entorno en que no se producen muchas caídas de red eléctrica.
-        Perdida del password de un administrador en una entidad financiera.

4. Desarrollo de políticas de seguridad.
Las políticas deben de ser:
-        Sencillas y generales.
-        Complejas y por servicio.
Deben:
-        Aclarar que se está protegiendo.
-        Establecer las responsabilidades de la protección.
-        Establecer las bases para resolver e interpretar conflictos posteriores

5.Auditoria y respuesta ante incidentes.
Las auditorías son la última parte de nuestro sistema. Pese a haber instaurado una política de seguridad y confiar en los usuarios, debemos de verificar que esta política realmente se lleva a cabo, mediante aplicaciones que comprueben que efectivamente los usuarios siguen las recomendaciones.

DISEÑO DE SISTEMAS Y ESTACIONES DE TRABAJO


1.     Diseño de sistemas
El volumen de datos que tendrá que soportar el sistema de información, la cantidad de usuarios,  si se necesita interconexión con otras redes o salida al exterior.
1.1  Hardware.
Servidor: redes pequeñas o medianas será suficiente con un PC de gama alta. En redes grandes se utilizan equipos diseñados para obtener un buen rendimiento.
Los parámetros:
·       Básicos: son PCs de gama alta apropiados para redes pequeñas. Pueden dar servicio a unos 50 puestos como máximo con un rendimiento moderado.
·       Avanzadas: multiproceso, tarjetas de red de alto rendimiento, para redes medias de hasta 200 estaciones.
·       Superservidores: son apropiados para redes grandes. Poseen buses de alto rendimiento, baterías de microprocesadores.
-        Sus objetivos:
§  Maximizar el throughtput.
§  Minimizar el tiempo de respuesta.
§  Maximizar la fiabilidad.

Estaciones de trabajo.
La elección es mucho menos crítica que la del servidor. La influencia de una estación lenta en un sistema en red es bastante limitada. Una posibilidad no muy empleada es utilizar estaciones sin disco. El arranque del S.O. se ha efectuar desde la BIOS de la tarjeta de red.
Tiene como ventajas que el usuario no puede administrar el terminal cargando aplicaciones o alterando parámetros y como desventajas la sobrecarga de trabajo que supone para el sistema y lo complejo de su configuración.

1.2  Software
-        Sistema operativo: se elige en función del hardware seleccionado.
-        Software complementario: se estudiará la necesidad de incorporar software para posibilitar todos los servicios requeridos.
-        Aplicaciones: la compatibilidad entre el software de red y aplicaciones.

1.3  Servicios

-        Discos: planificar los nombres de los discos, su situación en la red y la seguridad de la información.
-        Impresoras: planificar los tipos de impresoras a instalar y como la vamos a conectar.

1.4  Conexiones con el exterior.

Habrá que decidir cómo se realizará esta interconexión: punto a punto, RTB, ADSL o fibra óptica, en función de la velocidad y el volumen de datos que se van a retransmitir.
Todo los que no está explícitamente permitido, está prohibido. Todo lo que no está explícitamente prohibido, está permitido.

2.     Parámetros del diseño
El sistema de cableado está formado por dos elementos: la topología y los componentes físicos. La topología determina la disposición geográfica, coste de la instalación, seguridad, protocolos y posibles medios de transmisión que podría utilizar.
2.1  Componentes físicos.

-        Cables UTP, fibra óptica…
-        Conectores
-        Rack
-        Latiguillos
-        Canaleta
-        Rosetas y placas de conectores
-        Soporte inalámbrico:
·       Radio frecuencia
·       Microondas
·       Infrarrojos
·       Bluetooth.



3.     Cableado estructurado.
La infraestructura de cable destinada a soportar, a lo largo y ancho de un edifico. Se trata físicamente de una red de cable única y completa y permite una administración sencilla y sistemática.
3.2 Subsistemas de cableado estructurado.
-                Entrada al edificio.
-                  Cuarto de equipos
-                Cableado vertical
-                Conexión vertical entre pisos.
-                Cables entre cuartos de equipos.
-                Cables entre edificios.
-                Gabinete o rack de telecomunicaciones.
-                Cableado horizontal.
-                Enchufe de telecomunicaciones.
-                Conexiones de transición.
-                Terminaciones de cable
-                Área de trabajo.

3.3 El subsistema horizontal.
 El cableado horizontal incluye los cables horizontales, las tomas/conectores de telecomunicaciones.
Consta de 2 elementos básicos:
-        Cable horizontal y hardware de conexión
-        Rutas y espacios horizontales.
Recomendaciones:
-        Topología:
o   Estrella
o   Cada conector del área de trabajo se debe conectar a un único conector en el cuarto de telecomunicaciones.
o   No se permiten empalmes.

-        Distancias:
o   No debe pasar de los 90m.
o   Los paneles de parcheo no deben pasar de 6m de longitud.
o   Van desde el equipo de la zona de trabajo al conector de telecomunicaciones no debe pasar de los 3m.
-        Cables:
o   UTO de 100 ohms y 4 pares
o   STP de 150 ohms y 2 pares.
o   Fibra óptica multimodo.
Elementos del cableado horizontal.
Categoria 5.
Cable, el medio de transmisión. Rosetas de conexión que actúan como terminaciones del cableado horizontal. RJ-11 para telefonía y RJ-45 para datos. Panel de parcheo. Canaletas.
3.4 Documentación de la red.
-        Establecer una nomenclatura de documentación.
-        Etiquetar interior y exteriormente todos los cables, paneles y salidas.
-        Realizar esquemas lógicos claros.
-        Confeccionar planos de los edificios donde se ha instalado la red, indicando los recorridos.

4.     Documentación del sistema.

-        Mapa de red.
-        Mapa de nodos.
-        Mapa de protocolos.
-        Mapa de grupos, usuarios y recursos.
-        Calendario de averías.
-        Informe de costes.

5.     Ejecución del diseño.

1.     Verificar que la instalación eléctrica funciona correctamente.
2.     Instalación del cableado de datos.
3.     Preparación del hardware/software.
4.     Instalación de la infraestructura de comunicaciones.
5.     Particionado de los discos duros.
6.     Arranque de la instalación.
7.     Instalación y configuración de la lógica de encaminamiento.
8.     Instalación:
a.     Creación de sistemas de archivos y espacio de intercambio.
b.     Instalación de los programas del sistema operativo.
c.     Instalación del acceso a sistemas de comunicación.
d.     Instalación remota masiva en estaciones.
9.     Configuración de convertidores de protocolo.
10.  Instalación y configuración de los clientes de red.

DISPOSITIVOS DE INTERCONEXIÓN NAT PARTE 2


DISPOSITIVOS DE INTERCONEXIÓN NAT
El nivel de transporte se encarga de gobernar el acceso múltiple a la red.
Puertos.
En una máquina multiproceso debe preocuparse de saber a qué proceso va destinado.
Por ello, los procesos que usan la red lo hacen a través de las abstracciones denominadas puertos. Cada puerto proporciona a un proceso un punto de acceso a la red de comunicaciones, con la que ésta puede dialogar con otro proceso situado en un puerto de una máquina remota.
El nivel de Transporte TCP/IP:
-        Multiplexa las unidades de datos que envían las aplicaciones a través de los puertos, encapsulándolas en unidades de datos de TCP.
-        Demultiplexa las unidades de datos TCP, pasando los datos a las aplicaciones.
Se identifican por un número de 16 bits.
2. NAT (Network Adress Translation)
Recibe este nombre la reescritura por parte de un router de campos la cabecera IP de los datagramas que encamina:
-        Cambia dirección IP origen y puerto origen en el tráfico saliente.
-        Cambia dirección IP destino y puerto destino en el tráfico entrante.
2.1 Direccionamiento
 Todos los ordenadores de la red interna utilizan direcciones privadas, que no son validas en Internet.
El router que da acceso a Internet tiene una dirección pública, valida en Internet. Siempre que haya disponibles menos IPs públicas que maquinas en la red interna habrá que realizar NAT.
2.2 Tráfico saliente. Mecanismo básico.
El router NAT cambia la IP de origen sustituyendo la IP privada de la máquina. La máquina que recibe el datagrama cree que el origen del mismo es el propio router NAT.
2.3 Tráfico saliente. Mecanismo detallado.
El router NAT mantiene una tabla con los cambios que hace en el tráfico saliente, para más tarde poder hacer los cambios correspondientes en el tráfico entrante.