• Author / Uploaded
• JOssy LOvesita

Citation preview

MONOGRAFÍA

TÍTULO

Seguridad en redes de banda ancha

Lima - Perú 2015

PORTADA ÍNDICE CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA 1.1 Situación problemática 1.2 Definición del problema CAPÍTULO II: SEGURIDAD EN LAS REDES DE BANDA ANCHA CAPÍTULO III: DISEÑO Y MANEJO DE SUBTEMAS Y DEL SISTEMA DE SEGURIDAD CAPITULO IV: TECNOLOGIAS CAPITULO V: CONCLUSIONES FUENTES DE INFORMACIÓN ANEXOS

RESUMEN La presente investigación se basó en la investigación acerca de las tecnologías, diseño y políticas que se manejan en la seguridad de las redes de banda ancha.

INTRODUCCIÓN

La invasión de correos electrónicos masivos indeseados, falsos mensajes y ciberataques ha puesto de manifiesto la vulnerabilidad de los usuarios ante los fallos de seguridad y las medidas que se han de adoptar para protegerse. Si bien los fallos de la seguridad pueden afectar a las conexiones de marcación directa y de banda ancha, estas últimas, que siempre están activas, son indudablemente un blanco más fácil, ya que pueden ser objeto de ataques y de intrusiones indebidas a cualquier hora del día o de la noche y por lo tanto son mucho más vulnerables que las conexiones que sólo están activas durante breves periodos (véase el recuadro). Por fortuna, se dispone de numerosas herramientas con las cuales las conexiones de banda ancha resultan seguras y atractivas para los usuarios.

CAPITULO I: PLANTEAMIENTO DEL PROBLEMA 1.1

Situación problemática Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas. 1.3 Definición del problema Investigación sobre los recursos a usar para proporcionar de una seguridad robusta en las redes de banda ancha.

CAPITULO II: SEGURIDAD EN LAS REDES DE BANDA ANCHA 2.1 ¿Qué es seguridad? 

La seguridad absoluta es indemostrable. Se habla de



fiabilidad. Mantener un sistema seguro consiste en garantizar:



Confidencialidad: solo pueden acceder a los recursos de un sistema a los agentes autorizados.



Integridad los recursos del sistema solo pueden ser modificado por los agentes autorizados.



Disponibilidad: los recursos del sistema tienen que estar a disposición de los agentes autorizados (contrario: denegación de servicio).

2.2 ¿Qué queremos proteger? 



Los recursos del sistema 

Hardware



Software



Datos

Tipos de ataque a los recursos:

Interrupción: recursos queda inutilizable o no disponible Intercepción: captura de un recurso o acceso al mismo Modificación o destrucción: intercepción y manipulación del recursos. Fabricación: generación de recursos similares a los atacados. 2.3 ¿De qué nos queremos proteger? 

De todos aquellos agentes que puedan atacar a nuestros recursos  Personas: empleados, ex empleados, curiosos, piratas, terroristas, intrusos renumerados  Amenazas lógicas: software defectuoso, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, etc.  Catástrofes

2.4 ¿Cómo nos podemos proteger? 

Análisis de amenazas



Evaluación de posibles pérdidas y su probabilidad



Definición de una política de seguridad



Implementación de la política: mecanismo de seguridad o Prevención: durante el funcionamiento normal del sistema o Detección : mientras se produce un intento de ataque o Recuperación: tras ataque, para retornar a un funcionamiento correcto: análisis forense.

2.5 Vulnerabilidad Vulnerabilidad de una organización depende de:  El grado de publicidad de la organización  El costo de los ataques  La exposición de la organización a los ataques externos  La exposición de la organización ante ataques Internos, o ante la facilitación de servicios (Involuntaria o consciente) desde el interior. En definitiva, depende de la:

 Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o destruir información?  Confianza: ¿En qué medida se puede contar con los usuarios? 2.6 Amenazas Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos. 

¿los malos van a tratar de actuar sobre mi sistema?



¿puede ocurrir que elementos no deseados accedan (leyendo o modificando) información importante para mi organización?



¿puede ocurrir que la reputación de mi organización se vea comprometidas?

2.7 Tipos de amenazas 

Fallo de componentes (hardware o software). Ejemplo caída de



los cortafuegos, fallos de un protocolo. Exposición de la información: correo mal enrutador, salida de una



empresa, grupos o listas de acceso, mal configuradas. Utilización de la in formación para usos no previstos: puede venir



del exterior o del interior. Borrado o modificación de la información: puede conllevar



pérdidas de integridad o confidencialidad. Penetración: ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación



de servicio. Suplantación: intentos de confundirse con un usuario legitimo para sustraer servicios, información, o para iniciar transacciones que comprometen a la organización.

2.8 Servicios que pueden comprometer la seguridad Acceso remoto o Específico (p. ej. e-mail con POP o IMAP). El menos vulnerable

o Control remoto (terminales). Usualmente dentro de la misma red o Nodo remoto (estación de trabajo). El más vulnerable El acceso remoto se puede realizar por distintos procedimientos: o Conexión telefónica: Control de los números de acceso, pares username/password, módems dial-back, claves de un solo uso, control de acceso basado en la localización. o Telnet/Xwindow. Bastante inseguro o Mobile computing. Inseguro 2.9 Servicios que pueden comprometer la seguridad 

Correo electrónico. Problemas: o Direcciones fáciles de suplantar o Contenidos fáciles de modificar o El mensaje pasa por muchos puntos durante el envío o No existe garantía de entrega



Distribución de información o Listas de correo, grupos de noticias, FTP, WWW, BBS, Gopher.

2.10 Ejemplos de signos de ataque  El sistema para Discrepancias en la información sobre las cuentas (p. ej. /usr/admin/lastlog disminuye a veces)  Intentos de escritura en los archivos del sistema.  Algunos archivos desaparecen  Denegación de servicio (el sistema pasa a monousuario, y ni siquiera el administrador puede entrar)  El desempeño del sistema es inexplicablemente bajo. 2.11 Contramedidas

Identificación y Autenticación (I&A). Proceso por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos: o Estática (username/password) o Robusta (claves de un solo uso, firmas electrónicas) o Continua (firmas electrónicas aplicadas a todo el contenido de la sesión. Control de la adquisición de software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias Cifrado: Proporciona confidencialidad, autenticidad e integridad Actuaciones en el nivel de arquitectura: Redes virtuales privadas, Sistemas de acceso remoto, acceso a bases de datos, etc. Gestión de incidentes: Detección de ataques, históricos, control de integridad, etc. Acciones administrativas: Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc. Formación: Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc.

CAPÍTULO III: DISEÑO Y MANEJO DE SUBTEMA Y DEL SISTEMA DE SEGURIDAD El creciente uso y popularización de Internet ha ofrecido nuevas oportunidades a operadores, empresas y usuarios finales, que han visto la proliferación de nuevos servicios y aplicaciones basadas en el protocolo IP. Al mismo tiempo, los operadores están ofreciendo servicios de conectividad cada vez más rápidos y asequibles, desde los accesos

ADSL, Cable o Wireless, hasta conectividad Ethernet en redes metropolitanas, gracias al uso de infraestructuras de fibra óptica. Esta nueva situación y disponibilidad de ancho de banda favorece la aparición de nuevas aplicaciones y servicios ricos en contenido multimedia, que abren un amplio abanico de servicios de valor añadido. Pero, ¿cómo encaja la seguridad en este nuevo ecosistema? Las necesidades tradicionales de seguridad siguen vigentes: control de acceso, autenticación, autorización y confidencialidad e integridad de la información. Sin embargo, la aparición de accesos y redes MAN de banda ancha y la demanda de nuevos servicios ricos en contenido, consumidores de ancho de banda y sensibles a retardo hace que surjan nuevos matices en las necesidades de seguridad. Estos matices se centran en evitar que la seguridad penalice a los nuevos servicios que se ofrecerán gracias a la banda ancha. ¿De qué sirve contratar un acceso o conectividad de banda ancha si el firewall no rinde lo suficiente? ¿Por qué las aplicaciones corporativas no funcionan a través de una VPN? La respuesta está en que también los sistemas de seguridad deben adaptarse a esta nueva situación. Los sistemas de control de acceso han de tener un rendimiento acorde al crecimiento en ancho de banda, del mismo modo que el cifrado de datos ni debe penalizar el rendimiento ni debe introducir retardos inaceptables para determinadas aplicaciones. Otro aspecto a destacar en entornos de VPNs basadas en IPSec es la conveniencia de hacer un tratamiento del tráfico. Si el tráfico se encuentra cifrado en el transcurso de la red, el único tratamiento de dicho tráfico que se puede realizar sería en ambos extremos del túnel. Esto permite hacer una gestión del ancho de banda en la frontera LANMAN. 2.1 Diseño de la seguridad de una red de banda ancha

La arquitectura de una red empresarial requiere un diseño que permita la separación entre los usuarios, servidores internos y los servidores perimetrales o DMZ. Un diseño básico inicial consiste en un cortafuegos principal que separa el tráfico que va a la red perimetral del que va al resto de redes, existiendo un segundo cortafuegos de distinto fabricante en la entrada de la red de servidores internos, y entre ambos el servidor de VPN. Un esquema resumido sería el siguiente:

Un diseño de red como el expuesto suele acarrear una mayor dificultad a la hora de obtener ventaja de vulnerabilidades existentes en la DMZ, así como, para saltarse las restricciones de acceso a internet por parte de los usuarios (y por tanto de los empleados) sin pasar por el proxy web con filtrado de acceso y contenidos. Asimismo nuestra red deberá contar con las siguientes características para dar seguridad a la red de banda ancha: 

Instalar un firewall separando la red interna de Internet.



Si se instala algún tipo de proxy (como AnalogX, WinGate, WinProxy, etc), configurarlo para que sólo responda a



peticiones que surjan de la red interna. Si es necesario, compartir recursos como el disco o la impresora entre computadoras de la red interna, se deben tomar los cuidados debidos para que el firewall no permita que esta compartición sea visible por Internet.

CAPÍTULO IV: POLITICAS DE SEGURIDAD 4.1 Objetivo Definir cómo se va a proteger una organización ante los ataques. Tiene dos partes: 4.2 Política general: define el enfoque general: o Análisis de vulnerabilidad o Identificación de las amenazas Reglas específicas: definen las características y acciones concretas, para cada servicio o sistema, orientadas a cumplir los objetivos de la política general.

4.3 Características de una buena política de seguridad (RFC 2196) Se tiene que poder poner en práctica mediante procedimientos concretos de administración de sistemas, mediante la publicación de guías sobre el uso aceptable de los recursos informáticos, o mediante otros métodos prácticos apropiados.  No debe ser una entelequia.  Debe ser implementable  Se debe obligar su cumplimiento mediante herramientas de seguridad, donde sea posible, y mediante sanciones, donde la prevención no sea posible técnicamente.  No debe tener agujeros, y si los tiene hay que poder detectarlos  Debe definir claramente las áreas de responsabilidad de los usuarios, los administradores y la dirección.  Tiene que haber un responsable para toda situación posible 4.4 Componentes de una buena política de seguridad (RFC 2196) Guía de compra de hardware y software, donde se especifique las funciones relacionadas con la seguridad requeridas o deseadas. 

Una política de privacidad que asegure un nivel mínimo de privacidad en cuanto a acceso a correo electrónico, ficheros de usuario, ficheros de



traza, etc. Una política de acceso que defina los niveles de seguridad, los derechos y privilegios, características de las conexiones a las redes internas y



externas, mensajes de aviso y notificación, etc. Una política de responsabilidad que defina las responsabilidades de los usuarios, y del personal técnico y de gestión. Debe definir los procedimientos de auditoría y de gestión de incidentes (a quién avisar,



cuándo y cómo, etc.) Una política de autenticación que establezca un esquema de claves o palabras de paso (passwords), que especifique modelos para la autenticación remota o el uso de dispositivos de autenticación.



Una declaración de disponibilidad, que aclare las expectativas de los usuarios en cuanto a la disponibilidad de los recursos. Debe definir temas como la redundancia, la recuperación ante intrusiones, información de contacto para comunicar fallos en los sistemas y/o en la



red, etc. Una política de mantenimiento que describa cómo se lleva a cabo el mantenimiento interno y externo, si se permite mantenimiento remoto y/o



mantenimiento por contratas externas, etc. Una política de comunicación de violaciones que defina qué tipos de



amenazas, y cómo y a quién se deben comunicar. Información de apoyo que indique a los usuarios, personal técnico y administración cómo actuar ante cualquier eventualidad, cómo discutir con elementos externos los incidentes de seguridad, qué tipo de información se considera confidencial o interna, referencias a otros procedimientos de seguridad, referencias a legislación de la compañía y externa, etc.

CAPITULO V: TECNOLOGIAS DE SEGURIDAD, PRODUCTOS Y SOLUCIONES La habilidad de los crackers, la simplicidad de los protocolos de comunicaciones y la debilidad de, muchas sistemas operativos pueden causar serios problemas de seguridad a las organizaciones, aunque ya se dispone de un importante número de soluciones para luchar contra todo tipo de ataques. 5.1 PRODUCTOS 1. Red firewall -

Red firewall (cortafuegos) una red firewall es cualquier de las formas de proteger una red que deseamos asegurar de otras redes de las que desconfiamos. Los mecanismos actuales de cortafuegos son bastante complejos aunque pueden resumirse en un par de variantes: un mecanismo que consiste en bloquear el tráfico de red y otro considera el máximo caudal de tráfico.

2. TCP-WRAPER

-

Es un sistema para definir los puntos autorizados a acceder remotamente a nodos de donde esta instalado el wraper. Permite elegir también el servicio internet al que se permite acceder ( ftp,telnet,rlogin,finger.etc)

3. COPS (Computer Oracle And Password System) -

Es un chequeador de seguridad de sistemas UNIX. Comprueba varios ficheros y configuraciones de software que hayan podido ser violados. Existen otros sistemas de este estilo como MIRO Y AUDIT.

4. SOCKS -

Es otra manera de implementar un TCP Wraper, pero SOCKS no esa pensando para hacer más seguro un sistema, sino para centralizar (firewall) todos los servicios externos de internet.

5. CAP (Controlled Acceso Point) -

Es mas un método o definición de protocolo que un producto. CAP es, esencialmente un router con funcionalidades para detectar peticiones de conexión externas, interceptar el proceso de comprobación de usuario y llama a un servidor de comprobación de usuarios.

SISTEMA DE ANALISIS SNIFFER DE DATA GENERAL 6. SNIFFERS -

No son herramientas para luchar contra la inseguridad sino al contrario, ya que son programas usados por los crackers para

escuchar los paquetes que viajan por las redes (Ethernet ,por ejemplo) para poder averiguar los password de cuentas. 7. CRACK -

ESTE ES UN PROGRAMA que utiliza para los instalaciones de los administradores de sistemas pueden usarlos para detectar password débiles de los usuarios .

8. XWATCH -

Producto con fines docentes que permite capturar las seciones de X Windows remotas para seguir diversas actividades. También puede ser empleado por los administradores de sistemas para auditar a posibles sospechosos aunque usado por los usuarios maiIntesinados es una serie amenaza contra la seguridad de la red y de los sistemas que la forman al violar la intimidad de la persona monitorizada.

5.2 SOLUCIONES 1. CRIPTOSISTEMA DE LA CLAVE SECRETA -

Los dos usuarios de la criptografía conoce la clave secreta que es generalizada por un algoritmo conocido. El criptosistema de clave secreta mas usado es el DES (data encryption Standart desarrollado por IBM y adopto por las oficinas gubernamentales estadounidenses para proteges los datos desde 1977 y también como algoritmo de cifrado-descifrado de UNIX.

HUB ETHERTNET OLICOM con sistema de gestión SNMP.

2. CRIPTOSISTEMA DE CLAVE PUBLICA -

El más popular es el RSA implementado en el MIT en 1977. Cada usuario tiene dos claves, una secreta y otra pública. Las clave pública se usa para encriptar el mensaje para destinatario del mismo, y propietario de esa clave pública. El cual será el único que podrá descifrar dicho mensaje cuando indique su clave secreta. Si el mensaje es interceptado, aunque el intruso conozca la clave pública no podrá descifrarlo por desconocer la clave secreta.

CAPITULO VI: CONCLUSIONES Se puede concluir que es necesario tener en cuenta las tecnologías de seguridad perimetral en una red de banda ancha para evitar problemas de malwares que puedan traer mayores costos de reparación a la empresa.

FUENTES DE INFORMACIÓN Cabral, M., I. Almeida, C. Melo, A. Klautau, 2009. Low-cost gsm telephony in the amazon región based on open-source / open-hardware projects. IEEE Latin-American Conference on Communications (LATINCOM '09), 6 pp. El Comercio, 2015. OSIPTEL-Telefonía móvil y su penetración en hogares pera el 91% de la expansión en zonas rurales. Descargado de: http://elcomercio.pe/economia/peru/osiptel-telefonia-movil-penetracionhogares-supera-91-expansion-zonas-rurales-noticia-1837649? ref=flujo_tags_514725&ft=nota_4&e=titulo el 21 de octubre 2015. Garcia, J. (2002) Seguridad y banda ancha. Recuperado el 01 de diciembre, en: http://www.networkworld.es/archive/seguridad-y-banda-ancha Union Nacional de Telecomunicaciones – UIT (2003) Banda ancha – seguridad para la red, recuperdo el 01 de diciembre, en: https://www.itu.int/osg/spu/spunews/2003/oct-dec/security-es.html Forné, J. (2009) Seguridad en redes de banda ancha: contribución al diseño evaluación de un sistema de seguridad para la RDSI-BA. Recuperado en pdf, el 01 de diciembre, en: http://www.researchgate.net/publication/277743187 ANEXOS 1. Cuadro comparativo entre seis marcas de Firewall para una red estructurada:

A partir del cuadro podemos apreciar que el FotiGate-310B es una muy buena opción para ser implementada en una red de banda ancha. Sin embargo también es necesario ver la aplicación que se le va a dar y la factibilidad. En este caso, el Firewall antes mencionado está costando $1,199.00 mientras que el NOKIA IP390 está constando alrededor de $185.55.