Cap 6 redes y seguridad.Katz, M.

Capítulo 6
SEGURIDAD EN
REDES
En este capitulo, introducirem os un tem a im portante que no debe ser dejado de
lado al m omento de configurar una red informática: la seguridad. Hablar de
seguridad de una manera concreta es muy complicado, ya que el térm ino en sí se
relaciona con las necesidades y niveles aceptables de cada adm inistrador. Nos
enfocaremos en cubrir los dispositivos y configuraciones que nos permitirán
aum entar al máximo posible los niveles de seguridad en nuestra red.
Firewall
El firew all (cortafuegos) es un componente de red cuya función principal es la de
bloquear los accesos hacia la red y desde ella, según un conjunto de reglas y
criterios personalizabas.
Función
En toda red existe lo que se denom ina perímetro, que consiste en una línea
imaginaria que bordea cada red Esta línea imaginaria se corresponde con las
segm entaciones físicas y lógicas que se establecen utilizando dispositivos de
routing.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 240
http://site.ebrary.com /id/10779862?ppg=240
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT7
220
Seguridad en redes
Una vez que la información pase este perímetro, se considera haber entrado
en la "red pública". Aunque este térm ino pueda ser incorrecto, ya que después del
perímetro de nuestra red privada se podría encontrar otra red privada, y ésta se
considera pública al estar fuera del rango de control de la primera red.
MATÍAS KAT7
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 241
http://site.ebrary.com /id/10779862?ppg=241
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
ALFAOMEGA
221
Redes y seguridad
La función del fírewall es regular la información que transita entre el perímetro
de nuestra red y las redes públicas conectadas a nuestra red. Profundizando este
concepto, la tarea del firew all es revisar cada bit que intenta ingresar o egresar de
nuestra red, aplicarle una lógica de comparación (obtenida de la configuración de
políticas de seguridad en el mismo firewall). y según los resultados perm itir o
denegar el paso de dicha información hacia la red destino.
Sobre la base de este comportamiento, existen dos premisas principales:
1)
Restrictiva: todo lo que no esté explícitamente permitido, será restringido.
2)
Permisiva: todo lo que no esté explícitamente restringido, será permitido.
El firew all basará su proceso de decisión en la premisa que haya sido
seleccionada en su política de configuración, y continuará realizando las
comparaciones necesarias para determ inar si permite el tránsito de la información o
lo bloquea.
Ejemplo de política permisiva
1)
2)
3)
Cierta información intenta ingresaren nuestra red a través del protocolo FTP.
El firew all revisa en su política permisiva alguna restricción explícita hacía el
protocolo FTP
Según la existencia de dicha restricción puede ocurrir lo siguiente:
a) Si existe restricción, el paquete es rechazado
b) Si no existe restricción, el paquete es transm itido hacia la red privada
Ejemplo de política restrictiva:
1)
2)
3)
Cierta información intenta egresar desde nuestra red a través del protocolo
POP.
El firew all revisa en su política permisiva algún permiso explícito hacia el
protocolo POP.
Según la existencia de dicho permiso puede ocurrir lo siguiente:
a) Si existe permiso, el paquete es transm itido hacia la red privada
b) Si no existe permiso, el paquete es rechazado
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 242
http://site.ebrary.com /id/10779862?ppg=242
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
222
Seguridad en redes
El conjunto de normas y reglas que form an la política de seguridad de un
firew all puede ser ampliamente personalizable. Más adelante veremos en detalle
las diferentes opciones disponibles para el armado de dichas normas y reglas.
P o sicio nam ien to
Un firew all puede estar representado por un equipo de hardware dedicado, o puede
tratarse de un software que se ejecuta sobre un sistema operativo. En definitiva, a
modo arquitectónico se trata de un equipo que intermedie las comunicaciones de la
red (o redes) que desea proteger.
Veamos los diferentes tipos de infraestructuras donde se podría im plem entar
un firew all
D ual-hom ed firew all
In te rn e t
DUAL - HOMED
FIREWALL
Red Privada
Fig. 6-3 D ual-hom ed firew all.
En esta situación, el equipo en cuestión cuenta con dos dispositivos de red Una de
ellas se encuentra conectada a la red privada; y la otra, a la red pública. El análisis y
filtrado de información se realiza en el momento en el que los bits atraviesan el
equipo Esta técnica es la más usada debido a su efectividad. En esta situación, es
MATÍAS KAT2
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 243
h ttp://site.ebrary.com /id/10779862?ppg=243
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
223
Redes y seguridad
imposible circunvalar el control, ya que el firew all se encuentra físicam ente
intermediando ambas redes.
M ulti-hom ed firew all
Internet
Fig. 6 -4 M ulti-h om ed firew all.
Esta situación es sim ilar a la anterior, con el agregado de la posibilidad de
interconexión de varias redes en simultáneo. El firew all cumple la misma
funcionalidad y su modo de operación, pero al interconectar diferentes redes se
pueden establecer políticas y reglas independientes para cada red.
Esta arquitectura introduce un nuevo concepto a te n e r en cuenta al hablar de
seguridad en redes: la "DMZ".
DMZ
Utilizando las iniciales DMZ (Dem ilitarized Zone) se identifica a una subred
semipública dentro de nuestra red general También se la puede encontrar
nombrada como 'red de perímetro", ya que ahí es donde justam ente se encuentra
ubicada.
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 244
http://site.ebrary.com /id/10779862?ppg=244
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
224
Seguridad en redes
Esta disposición estructural está diseñada para proveer una capa adicional de
protección a nuestra red general, ya que es aquí donde se deberán posicionar los
servidores que sum inistren servicio hacia las redes públicas. De esta forma, la red
privada permanecerá resguardada, ya que no se necesitará perm itir el acceso a ella
desde otras redes.
El firew all que regule esta subred deberá te n e r una política restrictiva, pero
con reglas no muy específicas. Así podrá perm itir el tránsito desde dichos servidores
y hacia ellos:
Fig. 6-5 Estructura de DM Z con m ulti-ho m ed firew all.
Una form a alternativa de im plem entar una red DMZ es utilizando dos dual­
homed firewalls'.
MATÍAS KATZ
e b ra ry
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 245
h ttp://site.ebrary.com /id/10779862?ppg=245
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
225
Redes y seguridad
In te rn e t
' " i " '
DUAL - HOMED
FIREWALL
*
REGLAS RESTRICTIVAS
Red Privada
Fig. 6-6 E structura de DM Z con dos dual-hom ed firew alls.
7 1 6 b e 6 flb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
Este método es el más seguro de todos al requerir que la información
atraviese dos barreras hasta lleg ara la red privada.
Flujo de inform ación en una DM Z
Para obtener el m ejor rendim iento en una red DMZ sin desm erecerla seguridad, los
firewalls que intermedien en las comunicaciones, al Igual que los servidores (tanto
en la red semípública como en la red privada) deberán estar configurados
correctam ente según sus roles y ubicación en la red.
Ejemplo: servidor Web en la red DMZ cuya información a m ostrar reside en un
servidor de archivos en la red privada:
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 246
http://site.ebrary.com /id/10779862?ppg=246
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
226
Seguridad en redes
Fig. 6-7 Servidor W eb con su inform ación en la red privada.
La configuración de seguridad para esta situación deberá ser la siguiente:
1) El fírewall (A) deberá te ne r una política laxa, que permitirá el tránsito a través
del puerto 80 únicam ente hacia el servidor Web (B).
2) El servidor Web (B) deberá te n e r configurado su servicio Web para acceder a la
información en el servidor de archivos (D), utilizando un usuario y contraseña.
3) El fírewall (C) deberá te n e r una política rigurosa, que permitirá el tránsito hacia
el servidor de archivos (D) únicam ente desde el servidor Web (B), y solam ente si
el usuario y contraseña de acceso son correctos.
4) Por último, el servidor de archivos (D) deberá te ne r habilitada una conexión
entrante para el servidor Web (B) con el usuario y contraseña elegidos.
MATÍAS KAT7
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 247
http://site.ebrary.com /id/10779862?ppg=247
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
Redes y seguridad
227
De esta forma, podremos te ne r un servidor Web en nuestra red DMZ que
acceda a la información de un servidor de archivos en nuestra red privada, y con un
nivel de riesgo mínimo.
B astio n host
En esta situación, llamada bastión host (anfitrión bastión), el firew all está ubicado
en la red privada, y tanto las conexiones entrantes como salientes están
configuradas para ser autom áticam ente redirigidas hacia este equipo, que las
filtrará según su propio conjunto de reglas. Este equipo funcionará de intermediario
entre las redes privadas y públicas, aunque no exista una segmentación lógica o
física entre ellas (salvo por el rou ter del perímetro). Esta función es conocida como
proxy Es im portante destacar que, aunque el bastión host se encuentre en la red
privada, tendrá visibilidad directa y total desde la red pública, pasando a ser una
indefectible víctima de ataque.
Proxy
Un equipo configurado como proxy (interm ediario) tendrá como función el tra m ita r
las transacciones que le sean delegadas por los equipos tanto en la red privada
como la pública. Su uso principal es el control del contenido de la información que
ingresa y egresa de nuestra red.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 248
http://site.ebrary.com /id/10779862?ppg=248
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «ATZ
228
Seguridad en redes
El equipo tom ará la información de transacción, la autorizará o rechazará
según su conjunto de reglas de filtrado, y en caso de perm itirla la ejecutará com o
propia Al contar con un proxy. todas las comunicaciones entrantes y salientes
figurarán como si hubieran sido iniciadas por dicho equipo, ocultando la identidad
de otros equipos en la red, minimizando significativam ente el potencial de ataque
Computer C
Fig. 6-9 P roxy en la red.
El uso de proxies es muy común, ya que provee un m ejor control de la
información que fluye por nuestra red Sin embargo, es im portante calcular el
consumo total de recursos y el tam año de datos que posee y transm ite la red, ya
que al centralizar todas las actividades en un equipo, éste puede saturarse y dejar
de funcionar, inhabilitando nuestra red por completo.
También se lo puede encontrar nombrado como Circuit Level Gateway
Existen proxies públicos que ofrecen el mismo servicio que los privados. El
usuario deberá configurar al equipo público como su proxy y a partir de ese
mom ento todas sus comunicaciones salientes serán transm itidas a través de dicho
servidor Desde el aspecto de la seguridad, la única diferencia es que los proxies
públicos no son seguros, ya que no están dentro del rango de control del
administrador. Solo se deben usarprox/es públicos que sean de extrema confianza,
porque la provisión de dichos servicios por parte de desconocidos puede causar el
robo de nuestra información, infecciones de malware y varios otros graves
problemas de segundad.
MATÍAS KAT7
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 249
http://site.ebrary.com /id/10779862?ppg=249
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
ALFAOMEGA
229
Redes y seguridad
Tipos de firewall
Existen diferentes tipos de firewall. categorizados según su modo de operación y la
capa del modelo OSI donde trabajan:
P a c k e t filte rin g fire w a ll
También son llamados "primera generación de firew alls". Estos equipos trabajan
filtrando paquetes de acuerdo con la información de las capas 3 y 4. Por ejemplo,
podrían filtra r todo el tránsito de información proveniente de una IP o puerto
TCP/UDP en particular, o perm itir todo el tránsito de información que se dirija a
cierta IP o puerto TCP/UDP en particular.
No poseen demasiada inteligencia, por lo cual no se los pueden configurar
siguiendo reglas muy específicas. Su uso aplica a routers o pequeños firewalls de
perímetro, como ser equipos hogareños o de pequeñas empresas.
CAPA 7, DE
APLICACIÓN
REGLAS QUE MANEJAN
CAPA 6, DE
PRESENTACIÓN
CAPA 5, DE
SESIÓN
CAPA 4, DE
TRANSPORTE
CAPA 3, DE
RED
DIRECCION IP ORIGEN
DIRECCIÓN IP DESTINO
PUERTO ORIGEN
PUERTO DESTINO
CAPA 2, DE
ENLACE
CAPA 1,
FÍSICA
Fig. 6-10 P acket filterin g firew all.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 250
http://site.ebrary.com /id/10779862?ppg=250
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «ATZ
230
Seguridad en redes
A p p lic a t io n la y e r fire w a ll
Son tam bién llamados 'segunda generación de firewalls" Estos equipos utilizan la
información proveniente de las siete capas del modelo OSI, y realizan un análisis
detallado y específico, aplicando un conjunto de reglas extrem adam ente
personalizabas. Por ejemplo, estos equipos permiten filtra r información según un
comando específico del protocolo de capa 7 que represente el paquete en análisis
(como pueden ser los comandos POST y GET de HTTP), y perm itir un subconjunto de
comandos m ientras rechaza otro.
REGLAS QUE MANEJAN
CAPA 7, DE
APLICACIÓN
^
PROTOCOLO EN USO
CAPA 6, DE
PRESENTACIÓN
^
FORMATO DE LA INFORMACIÓN
CAPA 5, DE
SESIÓN
CAPA 4, DE
TRANSPORTE
CAPA 3, DE
RED
PROTOCOLO EN USO
[^ >
PUERTO ORIGEN Y/O DESTINO
^
IP ORIGEN Y/O DESTINO
CAPA 2, DE
ENLACE
PROTOCOLO EN USO
CAPA 1,
FÍSICA
Fig. 6 -1 1 A pplica tion layer firew all.
Estos equipos requieren un consumo exhaustivo de recursos de hardware y
red, por lo que se debe calcular detalladam ente los requerim ientos para
implem entarlo. Paralelamente, se recomienda ubicarlo únicamente en los sectores
de la red que realm ente lo necesiten
N o ta Según el autor, al hablar de los tipos de firew all la term inación gateway
podría fig u ra re n reemplazo de firewall.
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 251
http://site.ebrary.com /id/10779862?ppg=251
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
Redes y seguridad
231
S ta te fu l fire w a ll
Son tam bién llamados "tercera generación de firewalls" Estos equipos tam bién
operan en las siete capas del modelo OSI, pero además ofrecen un significativo
refuerzo de seguridad: mantienen el recuerdo de las sesiones establecidas y las
analizan una por una m ientras estén en curso.
Hasta ahora, los firewalls que discutim os cumplían sus funciones
excelentemente. Pero existe un pequeño problema: cada paquete que ingresaba al
firew al era analizado independientemente, sin guardar registro de los paquetes
anteriorm ente recibidos desde el mismo origen. Debido a esto, un agente
m alintencionado podría sim ular una sesión iniciada por un usuario válido, to m a r
control de su sesión e infiltrarse en nuestra red privada.
Los stateful firewalls mantienen en tiempo real un registro detallado de todas
las comunicaciones que estén establecidas, y cada paquete nuevo que llega es
analizado y comparado en base al historial de transacciones realizadas bajo los
mismos parám etros del nuevo paquete. De esta forma, un agente m alintencionado
no podría sim plem ente enviar un paquete y esperar acceder, ya que el firew all
detectará que el paquete no corresponde a ninguna sesión activa y rechazaría su
ingreso
Se considera que estos firewalls son los más avanzados, y requieren un
extremo consumo de recursos de hardware y red, por lo que su uso se deberá
m inim izar al máximo posible.
IDS
Los IDS (Intrusión Detection Systems) son equipos que proveen un nivel de
seguridad mayor a nuestra red, com plem entando al firew all y trabajando en
conjunto con él. Su función principal es la de detectar intrusiones a su área de
cobertura, m ediante el análisis exhaustivo de cada paquete de información que
ingresa en ella. Al detectar una intrusión, el IDS podría realizar cualquier tipo de
tarea preconfigurada por el administrador, ya sea rechazar futuros paquetes de
igual origen o contenido, arrojar alertas de sistema, enviar un correo electrónico o
sms al adm inistrador, reconfigurarel firew all a un modo más preventivo, etcétera.
Cada ataque posee su propio patrón de comportamiento. El IDS detecta este
patrón a mitad de camino y neutraliza el remanente del ataque rechazando las
conexiones que le correspondan. El IDS utiliza una técnica llamada S niffing (olfateo)
m ediante la cual el equipo es capaz de recopilar toda la información que circule
dentro de su área de cobertura, ingresarla en su sistema y analizarla, comparándola
con su conjunto de reglas y políticas preestablecidas. El IDS puede utilizar la
información encontrada en las siete capas del modelo OSI para hacer sus análisis.
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 252
h ttp://site.ebrary.com /id/10779862?ppg=252
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
Seguridad en redes
Según sus niveles de tolerancia, esperará más o menos al sospechar de un
supuesto ataque, antes de tom ar una acción correctiva
Nota: Cubriremos más en detalle la técnica de Sniffing en el capítulo 7
P ro b le m á tic a con los IDS
Existen dos problemáticas importantes que afectan a todo IDS:
1)
Falso negativo: el IDS pasa por alto un ataque o intento de intrusión, tom ándolo
como una comunicación legitima y sin realizar ninguna acción correctiva al
respecto. De esta forma, el atacante puede satisfactoriam ente realizar su
intrusión sin ser detectado ni detenido.
2)
Falso positivo: El IDS identifica un supuesto ataque y realiza las acciones
correctivas correspondientes, basándose en un análisis incorrecto sobre una
comunicación en realidad legítima. Esto puede tornarse un problema serio si el
IDS tiene configurado acciones correctivas que sean restrictivas en relación al
acceso a la red. Por ejemplo, si un IDS está configurado para cerrar el puerto 8 0
del firew all de perímetro al encontrarse con un supuesto ataque. En este caso,
un falso positivo deshabilitaría el acceso público a los sitios Web que la
organización maneje, por culpa de una mala configuración del IDS.
El nivel de tolerancia y rigurosidad que se le configure al IDS determ inará la
cantidad de falsos negativos y falsos positivos que ocurran. Cada IDS deberá ser
configurado acorde a los parám etros y límites aceptables de cada organización.
Tipos de IDS
Existen diferentes tipos de IDS, según su modo de ser ¡mplementado:
NIDS
Los NIDS (Network IDS, IDS de red) son equipos IDS que trabajan sobre los
paquetes que circulan en el segmento de red al que estén conectados, analizando
todo el tránsito en él. Al igual que un firewall, puede estar representado por un
equipo de hardware dedicado o puede tratarse de un software ejecutándose sobre
un sistema operativo.
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 253
h ttp://site.ebrary.com /id/10779862?ppg=253
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
7 1 6 b e 6 flb a c e b e 6 9 6 4 ^ |_ p ^ i|^ ¿ c l5 c l9 e 4 e 8
233
Redes y seguridad
In te rn e t
FIREWALL
SERVIDOR
SERVIDOR
------------ v
NIDS
Fig. 6-12 NIDS en la red.
HIDS
Los HIDS (Host IDS, IDS de equipo) son un aplicativo de software que trabaja sobre
el sistema operativo de un equipo, proveyéndole de una protección adicional a ese
equipo en particular. Al combinarse con un fírewall por software, el equipo en
cuestión tendrá lo que se llama "protección en capas":
FIREWALL
HIDS
ANTIVIRUS
SISTEMA
OPERATIVO
Fig. 6-13 P rotec ción en capas con HIDS.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 254
h ttp://site.ebrary.com /id/10779862?ppg=254
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
Seguridad en redes
El HIDS cumple las mismas funciones que el NIDS, pero su área de cobertura
se remite únicamente al equipo donde el software esté instalado.
M o d a lid a d es de análisis
Existen dos principales m odalidades de análisis que pueden ser adoptadas por un
IDS para detectar intrusiones:
S ignature-based
Al adoptar la modalidad signature-based (basado en firm as) el IDS comparará los
paquetes que ingresen en su área de cobertura con la llamada "base de firm as",
que contiene los datos de todos los patrones y com portam ientos conocidos. Esta
base es entregada y actualizada regularmente por el proveedor del IDS, y deberá
estar instalada y al día en cada IDS Su modo de operación es sim ilar al de un
antivirus.
Dentro de sus cualidades principales, se encuentran:
1)
2)
3)
Su im plem entación es rápida y simple.
No requiere de un seguim iento exhaustivo por parte del adm inistrador.
M anteniendo actualizada su base de firmas, el IDS estará protegido contra
todos los ataques conocidos hasta el momento.
Sin embargo, esta modalidad de análisis presenta ciertos defectos:
1)
2)
El equipo es vulnerable ante ataques zero-day (día cero). Estos ataques son
llamados de este modo, ya que hasta el m omento de su publicación, no existe
conocim iento ni documentación de su existencia. Al basarse estos IDS en
patrones conocidos, estos ataques pueden burlar su seguridad fácilm ente
Ante cualquier problema con la distribución de la base de datos de firmas, el
equipo quedaría desactualizado y vulnerable: y en algunos casos extremos,
podría quedar com pletam ente inhabilitado para funcionar (por ejemplo, si el
proveedor actualiza su base de firm as con una información corrupta o
incorrecta).
Más allá de sus defectos, la signature-based es la modalidad de análisis
mayormente elegida, debido a su simplicidad de im plem entación y uso.
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 255
h ttp://site.ebrary.com /id/10779862?ppg=255
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
7 1 6 b e 6 flb a ce b e 6 9 6 4 ^ p ß ^ | j| g ^ d 5 d 9 e 4 e 8
Redes y seguridad
235
A n om aly-based
La modalidad anomaly-based (basada en anomalías) consiste en configurar al IDS
en "modo aprendizaje" durante el tiem po que el adm inistrador considere prudente.
Este tiem po puede ser de una semana, extenderse hasta tres meses, o más
inclusive.
Durante el período en que el IDS se encuentra en este modo, aprenderá los
com portam ientos y las comunicaciones que se realicen regularmente en la red, y
armará una estadística de uso cotidiano. Luego de finalizado el tiem po que el
adm inistrador haya considerado prudente, el IDS se configurará en "modo
productivo". A partir de ese momento, el equipo únicam ente permitirá el tránsito
que haya detectado anteriormente, durante el período de aprendizaje.
Dentro de sus cualidades, se pueden encontrar.
1)
2)
No requiere el uso de una base de firmas, permitiéndole al IDS te ne r una
independencia absoluta.
No es susceptible a ataques de tipo zero-day, ya que todo com portam iento no
realizado durante su aprendizaje será rechazado.
Lamentablemente, esta modalidad de análisis presenta un defecto muy grave
Si en algún momento del modo de aprendizaje la red (o el equipo) fuera víctima de
algún ataque, el IDS podría to m a r ese com portam iento como normal y perm itir
futuras comunicaciones similares, habilitando a un agente m alintencionado a
repetir dicho ataque para siempre
IPS
Los IPS (Intrusión Prevention Systems) son equipos que trabajan de la misma form a
que los IDS, pero con la diferencia de perm itir el análisis de la información en
tiem po real. Estos equipos poseen una puerta de entrada y una de salida. En el caso
de los MIPS (N etwork Intrusión Prevention Systems), estas puertas están
representadas por dispositivos de red. En el caso de los HIPS (Host Intrusión
Prevention Systems), las puertas están representadas por dispositivos de l/O en las
capas bajas de comunicación de red del sistema operativo del equipo donde esté
instalado el HIPS
Al momento de recibir información por un extremo de conexión, se la analiza
inm ediatam ente en búsqueda de potenciales ataques o intrusiones. Si la
información es aprobada, el paquete es transm itido a través del otro extremo de
conexión. En caso de sospechar de un ataque, el IPS podría reaccionar de manera
preventiva, logrando que ni siquiera un paquete malicioso sea incorporado en la red
o el equipo bajo su protección.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 256
http://site.ebrary.com /id/10779862?ppg=256
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
236
Seguridad en redes
Es im portante resaltar que al im plem entar un IPS, todas las conexiones, tanto
entrantes como salientes, que se realicen en el área de cobertura del IPS serán
analizadas constantem ente. Esto puede ocasionar graves problemas de
rendim iento en la red y los equipos protegidos, por lo que es recomendable analizar
puntillosam ente el entorno en donde se implem entará el IPS.
En el caso de un HIPS, el equipo a proteger deberá contar con suficientes
recursos de hardware y un sistema operativo capaz de perm itirle al IPS operar con
efectividad sin saturar al equipo.
En el caso de un NIPS, es im portante situar el IPS en un segmento con poco
tránsito o d ota r a la red de suficientes recursos de hardware y ancho de banda. El
m ejor lugar para ubicar a un NIPS es en la DMZ, ya que podrá controlar las
conexiones que se realicen desde las redes públicas hacia nuestros servidores.
Fig. 6 -1 4 NIPS en la DM Z.
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 257
h ttp://site.ebrary.com /id/10779862?ppg=257
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
Redes y seguridad
Por otro lado, un NIDS es mucho más útil al ser implem entado en la red
privada, puesto que le permitirá revisar pasivamente las actividades que se realicen
a llí sin perjudicar su rendimiento.
Honeypots
El térm ino honeypot (tarro de miel) se refiere a un equipo que posee un bajo nivel
de seguridad de manera intencional, con el fin de te n ta r y atraer potenciales
atacantes, y de esa manera intentar identificarlos y analizar sus técnicas de ataque.
Son una herramienta de seguridad muy im portante que nos permite proteger
nuestra red y equipos de una manera simple y económica. En resumen, su
im plem entación se centraliza en la instalación de un equipo en la red pública o en la
red DMZ. Es preciso instalarle aplicaciones y servicios, pero sin realizarle
configuraciones de seguridad. Además, se le debe asignar una conexión directa
hacia la red pública con total visibilidad desde fuera de nuestro perímetro.
In te rn e t
Fig. 6-15 H o neypot en la red pública.
ALFA0ME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 258
h ttp://site.ebrary.com /id/10779862?ppg=258
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
238
Seguridad en redes
Los atacantes poseen herramientas automatizadas de análisis y búsqueda de
equipos vulnerables. Una honeypot aparecerá rápidamente en esa búsqueda, y el
atacante procederá luego a intentar una intrusión en dicho equipo. Como el equipo
en cuestión es extrem adam ente vulnerable, el atacante probablemente podrá
obtener acceso y comenzará a buscar información utilizando métodos propios y
personales
En ese momento, la honeypot comenzará a alm acenar información de toda la
actividad del atacante, que luego estará a disponibilidad del adm inistrador para
revisar los com portam ientos del atacante, y sobre la base de ello analizar el nivel de
seguridad de sus verdaderos equipos ante las técnicas de intrusión que se
ejecutaron sobre la honeypot Paralelamente, el uso de una honeypot logrará
desviar la atención del atacante de los equipos reales e importantes en nuestra red.
Existen dos tipos de honeypots, según su nivel de interacción:
1)
2)
Honeypots de baja interacción: sim plem ente simulan sistemas operativos y
servicios, sin proveer una interacción real. Son fácilm ente detectables por el
atacante, pero requieren menores recursos y su im plem entación es
extrem adam ente simple.
Honeypots de alta interacción: son equipos reales con sistemas operativos y
servicios reales ejecutándose. Son más difíciles de detectar por el atacante,
pero requieren de un servidor dedicado ejecutando servicios reales, que
deberán configurarse con información falsa para sim ular ser un equipo real.
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 259
h ttp://site.ebrary.com /id/10779862?ppg=259
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
239
Redes y seguridad
Sin embargo, una honeypot mal configurada se puede to rn a r en un arma de
doble filo, ya que un atacante podría ingresara nuestra red a través del acceso que
obtuvo en la honeypot. Como medida de seguridad, las honeypots no deberán te ne r
información real ni conexiones privadas con el resto de la red. Deberá ser un equipo
aislado del resto de la red al que solo se podrá acceder físicam ente para
administrarlo, y el cien porciento de la información que almacene deberá se rfa lso.
H oneynets
Para grupos grandes de honeypots dentro de una red, se utiliza el térm ino honeynet.
Red In te rn e t
FIREWALL
HONEYNET
HONEYPOT
HONEYPOT
HONEYPOT
SERVIDOR
SERVIDOR
.
SERVIDOR
Fig. 6-17 Honeynet.
Las honeynets se utilizan para proveer una mayor ilusión de 'red insegura' al
atacante.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 260
h ttp://site.ebrary.com /id/10779862?ppg=260
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
240
Seguridad en redes
H oneyfarm s
Para redes form adas en su totalidad por honeypots se utiliza el térm ino honeyfarm
Red In te rn e t
FIREWALL
HONEYFARM
HONEYPOT
HONEYPOT
HONEYPOT
HONEYPOT
HONEYPOT
Fig. 6-18 H o neyfarm .
Estas redes de honeypots se usan com únm ente en entornos de investigación,
para obtener información de manera masiva que servirá para com batir al crimen
cibernético.
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 261
http://site.ebrary.com /id/10779862?ppg=261
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
7 1 6 b e 6 f lb a c e b e 6 9 G 4 ^ | _ p ^ j| ^ ^ d 5 d 9 e 4 e 8
e b ra ry
Redes y seguridad
241
VPN
Muchas organizaciones operan de manera distribuida, teniendo diferentes
sucursales en diversas partes del mundo. Hasta hace un tiempo, la única form a de
interconectar dichas sucursales era mediante líneas dedicadas o enlaces punto a
punto. Estos enlaces son extrem adam ente costosos, por lo que muchas
organizaciones desistían de su uso.
Las VPN (Virtual Prívate Network) representan una infraestructura de red
privada, establecida de modo virtual a través de comunicaciones públicas (Internet),
de manera tal que las organizaciones puedan interconectar sus sucursales en form a
segura y económica. Al im plem entar una red VPN, una organización podrá contar
virtualm ente con una única red privada con total visibilidad e interoperabilidad, sin
im portar donde se ubiquen geográficamente los equipos que la conformen.
De esta forma, nuestra infraestructura inform ática puede permanecer
com pletam ente protegida perimetralmente, dejando como único punto de acceso
remoto la conexión VPN. Así lograremos te n e r recursos disponibles hacia usuarios
remotos, pero restringirsu acceso a quienes tengan permisos explícitos sobre ellos.
Como método de seguridad en el acceso, las redes VPN ofrecen diferentes
medios de autenticación para establecer las comunicaciones, de esta form a
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 262
h ttp://site.ebrary.com /id/10779862?ppg=262
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
Seguridad en redes
proveyendo un nivel adicional de protección a la red. Los medios de autenticación
pueden ser contraseñas, tokens, controles biométricos, sm art cards, certificados,
etcétera
Tipos de VPN
Existen dos form as de im plem entar una conexión de red VPN:
1)
Remóte Access VPN: en este caso, una computadora que se encuentre en la
red pública podrá conectarse a la red privada a través de una conexión VPN
única para ese equipo. Cada usuario tendrá sus propias credenciales de acceso
y deberá gestionar sus propias conexiones. Es útil para proveer acceso remoto a
la red a un subgrupo específico de usuarios.
Fíg. 6-20 V P N de acceso rem oto.
2)
VPN Site-to-Site: en esta implementación, dos redes independientes pueden
estar com unicadas al cien por ciento a través de un único túnel. Esta técnica
incorpora el uso de term inadores VPN en cada extremo del túnel. Estos equipos
poseen dos (o más) dispositivos de red, uno de ellos estará conectado a la red
pública y el otro (u otros) a la red privada. Son estos equipos los que generarán
la negociación de conexión, las asignaciones de seguridad necesarias y
establecerán las comunicaciones, sum inistrando los servicios de VPN a todos
los equipos que estén conectados a la red privada. Es útil para interconectar
MATÍAS KAT2
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 263
http://site.ebrary.com /id/10779862?ppg=263
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
ALFAOMEQA
Redes y seguridad
243
sucursales separadas geográficamente de manera transparente, ya que los
usuarios de cada red privada no tendrán que gestionar sus propias conexiones
Con el simple hecho de estar conectados a sus redes privadas, tendrán acceso
transparente a los recursos en el otro extremo del túnel, al igual que a los
recursos locales de su propia red. El proceso es tan transparente que el usuario
no se enterará siquiera de cuáles recursos pertenecen a cada red.
E n c ap s u lam ien to y tú n e le s
Al hablar de redes VPN debemos incorporar los conceptos de encapsu la miento y
tunelización, ya que conceptualm ente ambos ocurren al establecer una red VPN.
Los protocolos que operen en las diferentes capas del modelo OSI al momento de
establecer una red VPN englobarán la información que reciban de las capas
superiores y la transm itirán de manera encapsulada, form ando lo que comúnm ente
se llama túnel.
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 264
http://site.ebrary.com /id/10779862?ppg=264
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
244
Seguridad en redes
Fig. 6 -22 E n capsulam ie nto VP N .
Este encapsulamiento, generalmente, es acompañado de un proceso de
encriptación, por lo que un agente m alintencionado que intercepte las
comunicaciones VPN no podrá acceder a la información perteneciente al túnel.
TÚN ELVPN
INFORMACIÓN INTERPRETABLE
DESDE ADENTRO
NODO
A
NODO
B
\
INFORMACIÓN NO
INTERPRETABLE DESDE AFUERA
Fig. 6-23 En criptación del túnel.
Protocolos de tu n e liza c ió n
Existen diferentes protocolos disponibles para establecer los túneles
comunicación VPN. Los dos habitualm ente más usados son PPTPy L2TP.
de
P PTP
PPTP (Point-to-Point Tunnelíng Protocol) es uno de los protocolos más antiguos para
el uso de redes VPN. Su uso es simple, liviano y rápido, pero a la vez presenta un
bajo nivel de seguridad. Su aceptación se hizo masiva gracias a su adopción por
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 265
h ttp://site.ebrary.com /id/10779862?ppg=265
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
ALFAOMEQA
245
Redes y seguridad
parte de grandes empresas como M icrosoft y 3Com. Más allá de ello, no deja de ser
un protocolo débil y anticuado Sin embargo, se convirtió rápidamente en un
estándar de facto en cualquier red VPN de baja envergadura por su simple y rápida
implem entación. Paralelamente, no todos los dispositivos y sistemas operativos
(incluso actuales) soportan otros protocolos más que PPTP.
L2TP
El L2TP (L a ye r2 T u n n e lin g Protocol) es el sucesor de PPTP. Fue creado a partir de la
unión entre PPTP y un protocolo privativo de Cisco llamado L2F (L a y e r2 Forwardíng
Protocol) Trabaja en capa 2 (al igual que PPTP). pero ofrece mayores servicios de
seguridad que su antecesor. No brinda encriptación por sus propios medios, por lo
que la opción popular para poder proveer dichos servicios es mediante la
combinación L2TP/IPSec. IPSec es un protocolo de seguridad que veremos más
adelante en este capitulo.
Su configuración es más extensa y compleja, y al aplicársele IPSec tiende a
consum ir una mayor cantidad de recursos que PPTP, por lo que su cobertura a nivel
mundial no es tan grande como lo es con PPTP. Sin embargo, ofrece varias e
im portantes mejoras en cuanto a seguridad, rendimiento, com patibilidad y calidad
de servicio que PPTP.
Aquí podremos ver una tabla comparativa de ambos protocolos, en donde se
listan sus diferencias más significativas:
CARACTERÍSTICAS
PPTP
L2TP
Soporta Remóte Access VPN
Sí
Sí
Soporta VPN Síte-to-Site
Sí
Sí
Disponible en arquitecturas
Microsoft
Sí
Sí
Disponible en arquitecturas Open
Source
Sí
Sí
Disponible en dispositivos
móbiles
Sí
No en todos
Protocolo de transporte
TCP
UDP (más liviano, más compatible
con firewalls)
Complejidad de uso
Baja
Alta
Seguridad
Baja
Alta
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 266
http://site.ebrary.com /id/10779862?ppg=266
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
246
Seguridad en redes
Medios de autenticación
Solo contraseñas
Contraseñas, tokens, smart-cards,
certificados y más
Soporta IPSec
No
Sí (mayor seguridad)
Consumo de recursos
Bajo
Alto
Como se observa, no existe un único vector comparativo que entregue un
resultado favorable unilateralm ente. Cada protocolo cuenta con sus pro y contra, y
deberemos seleccionar cuidadosam ente cuál u saren nuestra implementación.
Es im portante resaltar que cualquiera sea el protocolo que elijamos para
nuestras conexiones VPN igualmente obtendrem os un significativo incremento en
nuestro nivel de seguridad perimetral, al establecer una protección hacia los
accesos a nuestra red privada desde la red pública.
IPSec
El IPSec (Internet Protocol Securlty) es un protocolo de capa 3 específicamente
diseñado para el protocolo IP, que brinda herramientas de seguridad a través de la
autenticación de orígenes y la encriptación de las comunicaciones que se realicen
m ediante su uso. La principal particularidad que presenta este protocolo es el hecho
de operar en una capa muy baja del modelo OSI, lo cual le perm ite ofrecer
interoperabilidad con casi todos los protocolos de capas superiores. Este beneficio
se debe a que al operar en una capa tan baja, los protocolos de altas capas no
tienen necesidad de enterarse de que la red en donde transitan opera bajo IPSec,
por ende no deben prepararse para trab aja r con él.
Los servicios de seguridad proveídos por IPSec son:
1) Autenticación y autenticidad de origen: cada extremo de una comunicación
IPSec deberá pasar inevitablem ente por un proceso de autenticación, que
validará su identidad ante el agente de control. Asimismo, cada paquete
enviado en la comunicación será verificado para corroborar que realmente haya
sido enviado desde la entidad que reclama haberlo efectuado.
2) Confidencialidad: las comunicaciones que se realicen con este protocolo
pasarán por un proceso de encriptación fuerte que lo protegerá de
divulgaciones.
3) Integridad: todo mensaje transm itido a través de IPSec pasará por
verificaciones en destino para corroborar si fue recibido íntegramente o si hubo
corrupción de datos
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 267
http://site.ebrary.com /id/10779862?ppg=267
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
247
Redes y seguridad
4)
Anti-replay: cada paquete cuenta con una identificación propia que será
utilizada únicam ente para dicho paquete y luego será descartada. Esta técnica
inhabilita el llamado replay attack, que consta de la captura y repetición de
mensajes específicos por un agente malicioso, con fines de obtener réplicas de
las respuestas de dicho mensaje desde destino.
C o m p on entes de IP Sec
IPSec utiliza dos componentes clave para conferir seguridad:
1)
2)
A uthentication H eader (AH).
Encapsulating Security Payloads (ESP).
Estudiemos en detalle cada uno de ellos:
A uthentication Header (AH)
Este componente se encarga de autenticar los orígenes de cada paquete IP que
fluya en una comunicación a través de IPSec. Además, provee servicios de
verificación de integridad del contenido de cada paquete, previniendo la corrupción
de datos, pero lo más importante, su falsificación o ejecución de un replay attack.
Paquete onginal
IP HDR
TCP
DATA
Paquete con IP Sec A uth e n tica tio n H eader
IP HDR
AH
TCP
DATA
4--------------------------------------------------------------------- ►
A utenticado
Fig. 6 -2 4 A u th enticatio n Header.
E ncapsulating Security Payloads (ESP)
Este componente contiene todas las medidas de seguridad proveídas por AH, y
adiciona los servicios de encriptación para agregar confidencialidad a las
ALFAOME6A
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 268
h ttp://site.ebrary.com /id/10779862?ppg=268
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «AT2
248
Seguridad en redes
comunicaciones. Es importante resaltar que al m igrar de AH a ESP, los recursos de
hardware y ancho de banda se increm entarán significativam ente en el enlace. Sin
embargo, representa un incremento del nivel de seguridad que merece ser
considerado
Paquete original
TCP
IPHDR
DATA
Paquete con IP Encapsulating Security Payload (ESP)
IP HDR
ESP HDR
TCP
DATA
TCP
Trailer
ESP
Authentication
*------------ Cifrado ------------ H
Autenticado
Fig. 6-25 En capsulatin g Security P ayloads.
M odos de operación
El IPSec se puede im plem entaren dos modos:
1)
2)
Transport mode (modo transporte).
Tunnel mode (modo túnel).
Analicemos en detalle cómo funciona cada uno de ellos:
Tran sp o rt m ode
Este modo de operación es el que se utiliza en comunicaciones host-to-host.
Solamente el mensaje de capas superiores es el que pasa por el componente de
seguridad de IPSec (AH o ESP). La información de routing permanece intacta, y es
visible ante componentes de red que intermedien la comunicación
MATÍAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 269
h ttp://site.ebrary.com /id/10779862?ppg=269
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
7 1 6 b e 6 f lb a c e b e 6 9
aLFAOMEQA
5d9e4e8
e b ra ry
249
Redes y seguridad
/
/
/
'
✓
NN
In te rn et \
\
SERVIDOR 1
\
\
/
\N
^
^/
/
/
•
SERVIDOR 2
Encapsulado:
IP
header
IPsec
header
Transport data IPsec trailer
(TCP, UDP, etc) (ESP only)
■
4-------------- C ifrado
►
4- Autenticado *■
Fig. 6-26 Tra n sp o rt m ode.
Así quedará un paquete luego de pasar por un proceso de IPSec en modo
transporte, utilizando AH.
-Antes de aplicar AH Original
IP header
Data
(protocolo de capa supenor)
- Después de aplicar AH -
Original
IP header
AH
4-------------------------------
Data
(protocolo de capa supenor)
Autenticado ----------------------------- ►
Fig. 6-27 Tra n sp o rt m ode + AH.
Así quedará un paquete luego de pasar por un proceso de IPSec en modo
transporte, utilizando ESP.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 270
http://site.ebrary.com /id/10779862?ppg=270
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «ATZ
250
Seguridad en redes
IP
IP
Pavload
Payload
Esp
ESP
Authentication
Data
Cifrado
Autenticado -
Fig. 6-28 T ra n sp o rt m ode + ESP.
Tunnel m ode
Este modo de operación es comúnm ente utilizado al configurar redes VPN utilizando
IPSec, ya sea en comunicaciones network-to-network (VPN site-to-site) o host-tonetw ork (rem óte access VPN). En este caso, el paquete entero es procesado por
IPSec. El paquete es encapsulado dentro de un nuevo paquete IP, y es este nuevo
paquete el que se enviará a través del enlace
Encapsulado:
Outer
IP header
IPsec
header
inner
IP header
IP payload
Ipsec trailer
(solo ESP)
Cifrado
Autenticado
Fig. 6-29 Tra n sp o rt m ode.
MATIAS KATZ
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 271
http://site.ebrary.com /id/10779862?ppg=271
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
ALFAOMEOA
251
Redes y seguridad
Así quedará un paquete luego de pasar por un proceso de IPSec en modo
túnel, utilizando AH.
Paquete original
IPHDR
TCP
DATA
New
IPHDR
ESP HDR
O riginal
IP HDR
TCP
DATA
TCP
Cola
ESP
A ute n tifica ción
Cifrado
H-----------------Autenticado \4------------------------
Fig. 6-30 Tu nnel m ode + AH.
Así quedará un paquete luego de pasar por un proceso de IPSec en modo
túnel, utilizando ESP.
- Antes de aplicar ESP Onginal
IP header
Data
(protocolo de capa supenor)
- Después de aplicar ESP -
New
IP HDR
ESP
header
Original
IP header
Data
(protocolo de capa supenor)
TCP
Trailer
Authentication
Data
«-------------- Cifrado (confidencialidad)---------------- ►
4------------ -------------------- Autenticado ----------------------------- »
Fig. 6 -3 1 Tu n n el m o d e + ESP.
ALFAOMEGA
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 272
http://site.ebrary.com /id/10779862?ppg=272
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATÍAS «ATZ
7 1 6 b e 6 flb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
7 1 6 b e 6 f lb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
7 1 6 b e 6 flb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
7 1 6 b e 6 f lb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
Katz, M atías David. R edes y seguridad.
: A lfaom ega G rupo Editor, . p 273
h ttp://site.ebrary.com /id/10779862?ppg=273
C opyright © A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.