Qué Proteger? De qué Proteger?

Personas
Hardware
Amenazas Lógicas
Software
Problemas Físicos
Datos
Catástrofes

Cómo Conseguir? SEGURIDAD Cómo Proteger?

Autenticación
Autorización Prevención
Disponibilidad Detención
Confidencialidad Recuperación
Integridad Auditoría
No repudio
PERSONAS

PROBLEMAS
FISICOS

AMENAZAS
LOGICAS
Dispositivos o sistemas que controlan el
flujo de tráfico entre dos o más redes
empleando ciertas políticas de seguridad.
Básicamente son dispositivos cuya
funcionalidad se limita a permitir o
bloquear el tráfico entre dos redes en
base a una serie de reglas. Su
complejidad reside en las reglas que
admiten y en cómo realizan la toma de
decisiones en base a dichas reglas.
Hardware • Normalmente es un router o equipo
especializado, tiene ciertas reglas para
Firewall dejar o no dejar pasar los paquetes.

• Es un programa que esta corriendo

Software preferentemente en un host, que verifica

Firewall los paquetes con diferentes criterios

para dejarlos pasar o descartarlos.
 Packet Filter Circuit Level Gateway

Stateful Multilayer Inspection

Application Level Gateway
Firewall
 NAT
 Protocolo de Configuración Dinámica de Hots (DHCP)
 Administración de Ancho de Banda
 Inspección de Contenido
 Autenticación de Usuarios
 Alta disponibilidad y balanceo de carga
 Sistema de Detección de Intrusos
 Redes Privadas Virtuales (VPN)
Una VPN es una conexión que tiene la apariencia y muchas de las ventajas de un enlace
dedicado pero trabaja sobre una red pública. Los paquetes de datos son enrutados por la
red pública, tal como Internet o alguna otra red comercial, en un túnel privado que simula
una conexión punto a punto.
Razones del creciente interés por las VPN:

 El auge de la Internet,
 Menores costos para acceder a esta gran red
 Principal medio mundial de comunicación,
 Estándares
 Seguridad
Características que deben garantizar todas las VPN:

 Confidencialidad: previene que los datos que viajan por la red sean leídos
correctamente.
 Integridad: asegura que los datos de origen corresponden a los de destino.
 Autentificación: asegura que quien solicita la información exista.
 Control de acceso: restringe el acceso a usuarios no autorizados que quieran
infiltrarse en la red.
Básicamente la técnica de túneles consiste en encapsular los paquetes de datos que salen
de una LAN o del equipo del usuario remoto dentro de protocolos que trabajan a nivel 2
de la torre OSI.

Los componentes básicos de un túnel son:

 Generador del túnel

 Uno o varios dispositivos de enrutamiento
 Uno o varios terminadores de túneles

El inicio y la terminación del túnel pueden ser hechos por una amplia variedad de equipos
o software. Un túnel puede ser empezado, por ejemplo, por unusuario remoto con un
computador portátil equipado con un módem análogo y un software de conexión
telefónica para hacer una VPN, también puede haber un ruteador de una extranet en una
oficina remota o en una LAN pequeña. Un túnel puede ser terminado por otro ruteador o
por un software que haga tal fin.
 Intranet VPN (LAN -LAN)
 Acceso Remoto VPN (Usuario remoto –LAN)
 Extranet VPN
Múltiples redes remotas de la misma compañía son conectadas entre si usando una red
pública, convirtiéndolas en una sola LAN corporativa lógica, y con todas las ventajas de la
misma.Se emplea principalmente IPSec para crear el túnel
El host remoto crea un túnel para conectarse a la Intranet corporativa. El dispositivo
remoto puede ser un computador personal con un software cliente para crear una VPN, y
usar una conexión conmutada, o una conexión de banda ancha permanente.
Esta arquitectura permite que ciertos recursos de la red corporativa sean accesados por
redes de otras compañías, tales como clientes o proveedores.

En este escenario es fundamental el control de acceso. Implementar una topología

Extranet VPN implica incrementar la complejidad de los sistemas de control de acceso y
de autenticación.
La autenticación es el acto de verificar la identidad de alguien o algo en un contexto
definido. En un mundo de seis billones de personas no es suficiente declarar
simplemente que se es quien se dice ser, se debe probarlo.
El objeto de la autenticación (un El autenticador realizando la
usuario o un cliente) que afirma su verificación de la identidad.
identidad

Usuario proporciona identidad y El autenticador verifica la identificación

documentos que acreditan esto del usuario empleando una función. Si
el resultado es el esperado, se acepta
la identidad, sino es rechazada
Transmisión sin Cables
Existen tres formas que pueden emplearse para la transmisión de datos usando como
medio el aire

Infrarrojo

Microondas

Radio frecuencia
IEEE 802.11 Wi-Fi (WLAN)

 Para Redes LAN Inalámbricas

 Usando transmisión DSSS

IEEE 802.15Bluetooth (WPAN)

 Redes usuario usuario

 Usando transmisión FHSS
 Cel–PC; PC –PC; PC -Palmpilot
 Estándar para redes inalámbricas.
 Define opciones de la capa física para la transmisión inalámbrica y la capa de
protocolos MAC.
 Velocidades de 1 y 2 Mbps.
 En las actualizaciones de este estándar 802.11b, 802.11a y el 802.11g se ha llegado a
obtener velocidades de hasta 600 Mbps
Configuración
Para este modo de Operación existen dos formas de configurar los equipos
inalámbricos, los cuales son:

1.Ad Hoc Network

La comunicación entre las estaciones es point-to-point.

Varios dispositivos conforman una red
para intercambiar información sin
contar el apoyo de elementos
auxiliares.
2.InfraestructureNetwork

La comunicación entre las estaciones es a través de un Access Point, el cual a su vez se

conecta al cableado estructurado de la red.

 Las WLAN se utilizan como una

extensión a la infraestructura de
red basada en cable.
 Nodos inalámbricos (estaciones
remotas) actúan como clientes que
solicitan servicios a nodos
conectadas a la infraestructura
alambrada.
2.1 Un Caso Particular de la Configuración Infraestructurees:

El Roaming Es la capacidad que tienen las estaciones clientes para “transitar” a través de
múltiples Access Point, manteniendo la conectividad a la Red, siempre que se tenga el
mismo nombre o grupo de red para todos los componentes.
Roaming, es una forma de ampliar la cobertura de la zona inalámbrica configurada en
Infraestructure, a traves de múltiples AccesPoint.

CH 6

CH 11 CH 11

CH 1

CH 6 CH 6

CH 11
1. LAN-to-LAN Point-to-Point. Permite conectar directamente dos redes Lan, usando para
esto, los Access Point n configuración Bridge Punto a Punto.
2. LAN-to-LAN BridgePoint-to-Multi-Point. Permite conectar directamente múltiples
redes Lan, usando para esto, los Access Point en configuración Bridge Punto Multipunto.
….. Siendo la solución Inalámbrica una de las tecnologías con mayor demanda, se ha
considerado que :

Estamos seguros de que nuestra información transmitida no esta siendo interceptada

esta siendo interceptada.

Los usuarios conectados a nuestra red, son los autorizados

• Las redes WiFi tienen todos los problemas / fallos / vulnerabilidades de las redes
cableadas.

• Además, tienen problemas adicionales relacionados con sus características

inalámbricas:

 Ondas de Radio (con scanners puedo detectar señales).

 Denegación de Servicio(DoS).
 Flexibilidad vs Seguridad...
Encontrar redes wireless:

 Facilísimo.
 Bastante divertido.
 No es ilegal.
 Hay muchas más de las que pensamos:
o Hoteles.
o Tiendas.
o Despachos / Oficinas.
o Aeropuertos.
Encontrar redes wireless,

Pasos:

1.Poner la tarjeta inalámbrica :

2.Utilizar un sniffer que capture tramas 802.11b ó
en 802.11g.
3.Salir a la calle
Utilizar un snifferque capture tramas 802.11b en modo monitor:

a.Windows:
• Netstumbler
• Airopeek
• AirLine, etc

b.GNU/Linux:
• AirSnort
• Kismet
• Airtraf
• WifiSlax
• WifiWay, etc

c.MacOS X
• iStumbler
• KisMAC
• MacStumbler

d.Otros
• MiniStumbler(PocketPC)
• WiStumbler(BSD)
El enemigo se limita a la escucha, sin modificar el contenido

El enemigo puede Transmitir suplantando a alguno de los usuarios, o capturar, modificar,

eliminar, repetir, retrasar o reordenar los mensajes.
 Autenticación

Control de Acceso

Confidencialidad e Integridad

No Repudio

Criptografía
 SEGURIDAD

DATOS EQUIPOS USUARIOS

Encriptación Control de Acceso Autenticación

WEP MAC Filtering OPEN System

TKIP Shared Key
Para alcanzar un buen nivel de seguridad en una red inalámbrica, es necesario combinar
los mecanismos propios de las redes inalámbricas, con mecanismos de seguridad
empleados en una red cableada. Dichos métodos se pueden englobar en dos grupos. Un
grupo de métodos los cuales podremos considerar básicos, y que estarían compuestos
por WEP, SSID, filtrado de direcciones MAC. Y un segundo grupo de métodos más
avanzados, que mejorarían el nivel de seguridad junto con los primeros. Este segundo
grupo englobaría TKIP, EAP, LEAP.