Informatica
ELO322: Redes de Computadores
Tomás Arredondo Vidal
Este material está basado en:
Ì material de apoyo al texto Computer Networking: A Top Down
Approach Featuring the Internet 3rd edition. Jim Kurose, Keith Ross
Addison-Wesley, 2004.
8: Network Security
8-1
Seguridad en Redes
Ì 8.1 Que es la
Ì
Ì
Ì
Ì
seguridad
8.2 Principios decriptografía
8.3 Autenticación
8.4 Integridad
8.5 Distribución de
llaves y certificación
Ì 8.6 Control de acceso:
cortafuegos
Ì 8.7 Ataques y contra
medidas
Ì 8.8 Seguridad en capas
múltiples
8: Network Security
8-2
Peligros a la seguridad de Internet
Generar Mapas de objetivos:
Antes de atacar : “investigar el sitio” –
determinar los servicios que estan
implementados en la red
rUsar ping para ver cuales terminales tienen
direcciones en la red
r Usar un escáner de puertos: tratar de
establecer conexiones TCP a cada puerto en
secuencia
r nmap (http://www.insecure.org/nmap/) mapper:
“exploracion y auditoria de seguridad”
r
Contramedidas?
8: Network Security
8-3
Peligros a la seguridad de Internet
Generar Mapas de objetivos: contramedidas
Grabar traficoque entra a la red
r Buscar actividad sospechosa (direcciones IP,
puertos siendo escaneados secuencialmente)
r
8: Network Security
8-4
Peligros a la seguridad de Internet
Oler paquetes (packet sniffing):
r Ethernet es un medio compartido
r NIC promiscua lee todos los paquetes que pasan
por ella
r NIC puede leer datos no encriptados (e.g.
passwords)
r e.g.: C huele paquetes de BC
A
src:B dest:A
Contramedidas?
payload
B
8: Network Security
8-5
Peligros a la seguridad de Internet
Oler paquetes (packet sniffing):
r Todos los terminales en una organización corren
programas que verifican periódicamente si el terminal
esta en modo promiscuo
Solución:
r Un terminal por segmento de medio compartido (usando
un Ethernet switch y no un hub!)
CA
src:B dest:A
payload
B
8: Network Security
8-6
Peligros a la seguridad de Internet
IP Spoofing:
r Se puede generar paquetes IP en bruto (“raw”)
directamente desda la aplicacion poniendo cualquier valor
de terminal origen en un paquete
r Receptor no sabe si el terminal origen fue cambiado
(spoofed)
r e.g.: C pretende ser B
C
A
src:B dest:A
payload
BContramedidas?
8: Network Security
8-7
Peligros a la seguridad de Internet
IP Spoofing: filtrado de ingreso
r Paquetes pueden tener dirección IP de origen errónea
Solución:
r Routers no deberían reenviar paquetes con direcciones
fuente invalidas (e.g., dirección del datagrama no esta en la
red del router)
r Problema: como obligar a que todas las redes usen esta
solución?
C
A
src:Bdest:A
payload
B
8: Network Security
8-8
Peligros a la seguridad de Internet
Denegar servicios (DOS):
Inundación de paquetes maliciosamente
generados “inundan” receptor
r DOS distribuidos (DDOS): múltiples
transmisores coordinados inundan receptor
r e.g., C y terminal remoto B atacan A
r
C
A
SYN
SYN
SYN
SYN
SYN
B
Contramedidas?
SYN
SYN
8: NetworkSecurity
8-9
Peligros a la seguridad de Internet
Denegacion de servicio (DOS): contramedidas
filtrar paquetes causando inundación (e.g., SYN)
antes de llegar al terminal: bota todos
r rutear de vuelta para encontrar fuente de
inundación (probablemente una maquina
comprometida con un virus o algo asi)
r
C
A
SYN
SYN
SYN
SYN
SYN
B
SYN
SYN
8: Network Security8-10
Seguridad en Redes
Ì 8.1 Que es la
Ì
Ì
Ì
Ì
seguridad
8.2 Principios de
criptografía
8.3 Autenticación
8.4 Integridad
8.5 Distribución de
llaves y certificación
Ì 8.6 Control de acceso:
cortafuegos
Ì 8.7 Ataques y contra
medidas
Ì 8.8 Seguridad en capas
múltiples
r
r
r
r
8.8.1. Email seguro
8.8.2. Sockets seguros
8.8.3. IPsec
8.8.4. Securidad en 802.11...
Regístrate para leer el documento completo.