Seguridad en Redes - bleums/Redes-Comunicaciones GitHub Wiki

Seguridad en Redes

Los problemas de seguridad de las redes se pueden dividir en términos generales en cuatro áreas interrelacionadas: confidencialidad, autentificación, no repudio y control de integridad.

La confidencialidad consiste en mantener la información fuera del alcance de usuarios no autorizados. La autentificación se encarga de determinar con quién se está hablando antes de revelar información delicada o hacer un trato de negocios. El no repudio se encarga de las firmas. El control de integridad tiene que ver con la forma en que podemos estar seguros de que un mensaje recibido realmente fue el que se envió.

En la capa de red se pueden instalar firewalls para mantener los paquetes buenos e impedir que entren los paquetes malos. La seguridad de IP también funciona en esta capa. En la capa de transporte se pueden encriptar conexiones enteras de un extremo a otro; es decir, de proceso a proceso. La autentificación de usuario y el no repudio solo se pueden manejar en la capa de aplicación. El libro de Ross Anderson (2008a) documenta cientos de ejemplos de fallas de seguridad en numerosas industrias, casi todas ellas debidas a lo que cortésmente podríamos llamar prácticas de negocios descuidadas o falta de atención a la seguridad.

Criptografía

Proviene del griego que traduce escritura secreta.

Un sistema de cifrado es una transformación caracter por caracter o bit por bit, sin importar la estructura lingüística del mensaje. Un sistema de código reemplaza una palabra con otra palabra o símbolo.

Introducción a la criptografía

Los mensajes a encriptar, conocidos como texto plano, se transforman mediante una función parametrizada por una clave. El resultado del proceso de encriptación, conocido como texto cifrado, se transmite a continuación, muchas veces por mensajero o radio. Suponemos que el enemigo, o intruso, escucha y copia con exactitud todo el texto cifrado. El arte de quebrantar los sistemas de cifrado, es conocido como criptoanálisis, y en conjunto con el arte de idearlos (criptografía) se conocen como criptografía.

C = EK(P) = Indica que la encriptación del texto plano P mediante el uso de la clave K produce el texto cifrado C. P = DK(C) = Representa la desencriptación de C para obtener el texto plano una vez más. Por lo tanto, DK(EK(P)) = P Esta notación sugiere que E y D son solo funciones matemáticas, lo cual es cierto. Una regla fundamental de la criptografía es que se debe suponer que el criptoanalista conoce los métodos utilizados para encriptar y desencriptar.

Principio de Kerckhoff: Todos los algoritmos deben ser públicos; solo las claves deben ser secretas. El factor de trabajo para descifrar el sistema mediante una búsqueda exhaustiva del espacio de clave crece exponencialmente con la longitud de la clave. solo texto cifrado: El criptoanalista cuenta con cierta cantidad de texto cifrado pero no tiene texto plano. texto plano conocido: El criptoanalista cuenta con texto cifrado y el texto plano correspondiente. texto plano seleccionado: El criptoanalista tiene la capacidad de encriptar piezas de texto plano de su propia elección. Los métodos de encriptación se han dividido históricamente en dos categorías: sistema de cifrado por sustitución y sistema de cifrado por transposición.

Seguridad en la comunicación

  • IPsec: Se describe en los RFC 2401, 2402 y 2406, entre otros, del Security Architecture for the Internet Protocol. No todos los usuarios desean encriptado (ya que exige muchos recursos computacionales); por esta razón, en lugar de hacerlo opcional, se decidió requerir siempre pero permitir el uso de un algoritmo nulo. Cuando IPsec se encuentra en la capa IP, es orientado a conexión.
    • SA: Security Association: una conexión simple entre dos puntos finales y tiene un identificador de seguridad asociado con ella. IPsec tiene dos partes principales. La primera describe dos encabezados nuevos que se pueden agregar a los paquetes para transportar el identificador de seguridad, los datos de control de integridad y demás información. La otra parte, ISAKMP (Asociación para Seguridad en Internet y Protocolo de Administración de Claves, del inglés Internet Security Association and Key Management Protocol), se encarga de establecer las claves. ISAKMP es un marco de trabajo. El protocolo principal que realiza el trabajo es IKE (Intercambio de Claves de Internet, del inglés Internet Key Exchange).

IPsec puede utilizarse en uno de dos modos:

  • En el modo de transporte, el encabezado IPsec se inserta justo después del encabezado IP. El campo Protocolo del encabezado IP se modifica para indicar que sigue un encabezado IPsec después del encabezado IP normal (antes del encabezado TCP). El encabezado IPsec contiene información de seguridad, principalmente el identificador SA, un nuevo número de secuencia y tal vez una verificación de integridad del campo de carga. Operación de IPSec en modo transporte

  • En el modo de túnel, todo el paquete IP, con encabezado y demás información, se encapsula en el cuerpo de un paquete IP nuevo con un encabezado IP totalmente nuevo. El modo de túnel es útil cuando termina en una ubicación que no sea el destino final. En algunos casos, el final del túnel es una máquina de puerta de enlace de seguridad; por ejemplo, el firewall de una empresa. Éste es el caso común para una VPN (Red Privada Virtual). En este modo, la puerta de enlace de seguridad encapsula y desencapsula paquetes conforme pasan a través de ella. Al terminar el túnel en esta máquina segura, las máquinas en la LAN de la empresa no tienen que estar al tanto de IPsec. Sólo la puerta de enlace de seguridad tiene que saber acerca de ello. Operación de IPSec en modo tunel

    *El primer nuevo encabezado es AH(Encabezado de Autentificación, del inglés Authentication Header), el cual proporciona la verificación de integridad y la seguridad antirrepetición, pero no la confidencialidad (es decir, no hay encriptación de datos). Formato del datagrama IPv4 con el encabezado de autenticación AH IPsec Formato del datagrama IPv6 con el encabezado de autenticación AH IPsec El encabezado IPsec alternativo es ESP (Carga útil de Encapsulamiento de Seguridad, del inglés Encapsulating Security Payload ). Es posible que AH sea desplazado en el futuro, pues ESP se encarga tanto de integridad como de confidencialidad, mientras que AH solo se encarga de integridad.

Firewalls

Utilizando IPsec se puede proteger a los datos en tránsito entre los sitios seguros. Sin embargo, IPsec no sirve de nada en una red LAN para controlar fugas de información o intrusos. Los firewalls sson servidores de seguridad y sirven como filtro de paquetes, inspeccionando todos y cada uno de los paquetes entrantes y salientes. Los paquetes que cumplen cierto criterio descrito en reglas formuladas por el administrador de la red se reenvían en forma normal. Los que fallan la prueba simplemente se descartan. La DMZ (Zona Desmilitarizada, del inglés DeMilitarized Zone) es la parte de la red de la empresa que se encuentra fuera del perímetro de seguridad. Los firewall con estado asocian paquetes a las conexiones y usan campos del encabezado TCP/IP para mantener un registro de las conexiones. Si el firewall implementa puertas de enlace a nivel de aplicación, el firewall analiza el interior de los paquetes, todavía más allá del encabezado TCP, para ver lo que está haciendo la aplicación. Son dispositivos de capa de red, pero husmean en las capas de transporte y de aplicación para realizar su operación de filtrado. Esto los hace frágiles. La encriptación mediante IPSEC u otros esquemas oculta la información de las capas superiores al firewall. Los ataques en los que el objetivo del intruso es bloquear el destino en lugar de robar datos se conocen como ataques DoS (Negación de Servicio, del inglés Denial of Service). Una variante aún peor es aquella en la que el intruso ha entrado en cientos de computadoras en cualquier parte del mundo, y después ordena a todas ellas que ataquen al mismo objetivo y al mismo tiempo. Un ataque de este tipo se conoce como ataque DDoS (Negación de Servicio Distribuida, del inglés Distributed Denial of Service).

Redes Privadas Virtuales

Una red constituida por computadoras de la empresa y líneas telefónicas alquiladas se conoce como red privada. VPN (Redes Privadas Virtuales, del inglés Virtual Private Networks), que son redes superpuestas sobre redes públicas, pero con muchas propiedades de las redes privadas. Se llaman “virtuales” porque son sólo una ilusión, al igual que los circuitos virtuales no son reales ni la memoria virtual es real. Una ventaja principal de una VPN es la de ser completamente transparente para todo el software de usuario.

Seguridad Inalámbrica

Seguridad del 802.11

WPA2 (Acceso Protegido WiFi 2, del inglés WiFi Protected Access 2). Es el sucesor de WEP (Wired Equivalent Privacy). Los estándares principales para autentificarse son:

  • 802.1X, en el que el punto de acceso permite al cliente dialogar con el servidor de autentificación y observa el resultado, y
  • EAP (Protocolo de Autentificación Extensible, del inlgés Extensible Authentication Protocol ) (RFC 3748), el cual indica cómo deben interactuar el cliente y el servidor de autentificación.

Existe un protocolo recomendado para proveer confidencialidad en los mensajes, integridad y autentificación:

  • CCMP Es la abreviación del nombre: Protocolo de modo de contador con código de autentificación de mensaje mediante encadenamiento de bloques de sistema de cifrado. Para la difusión o multidifusión de mensajes, se utiliza el mismo procedimiento con la clave de grupo.

imágenes tomadas de: http://www.tecnodelinglesalcastellano.com/2013/01/protocolos-de-seguridad-ip-ipsec.html#tema8