Seguridad en Redes (Pt. 3)ags/RC/downloads/Handouts/Módulo...Redes de Computadoras - Mg. A. G. Stankevicius 3 Contenidos Introducción a la seguridad en redes Principios de la criptografía

Redes de ComputadorasRedes de ComputadorasDepto de Cs. e Ing. de la Comp.Depto de Cs. e Ing. de la Comp.Universidad Nacional del SurUniversidad Nacional del Sur

Módulo 06Módulo 06 Seguridad en Redes Seguridad en Redes

(Pt. 3)(Pt. 3)

Redes de Computadoras - Mg. A. G. StankeviciusRedes de Computadoras - Mg. A. G. Stankevicius 22

CopyrightCopyrightCopyright © 2010-2020 A. G. Stankevicius

Se asegura la libertad para copiar, distribuir y modificar este documento de acuerdo a los términos de la GNU Free Documentation License, versión 1.2 o cualquiera posterior publicada por la Free Software Foundation,sin secciones invariantes ni textos de cubierta delantera o trasera

Una copia de esta licencia está siempre disponibleen la página http://www.gnu.org/copyleft/fdl.html

La versión transparente de este documento puedeser obtenida de la siguiente dirección:

http://cs.uns.edu.ar/~ags/teaching

http://www.gnu.org/copyleft/fdl.html

http://cs.uns.edu.ar/~ags/teaching


ContenidosContenidosIntroducción a la seguridad en redes

Principios de la criptografía

Autenticación

Integridad

Distribución de claves y de certificados

Seguridad multinivel

Sistemas de detección de intrusos


Mails segurosMails segurosLas técnicas criptográficas repasadas permiten el intercambio seguro de correos electrónicos

El emisor seguro genera una clave simétrica privada KS al azar

Posteriormente, encripta el cuerpo m del mail con KS

(naturalmente, por razones de eficiencia)

A su vez, encripta KS con la clave pública K+

R

del receptor seguro

Finalmente, el emisor envía tanto KS(m) como K+

R(K

S)

al receptor


Mails segurosMails segurosContinúa:

El receptor seguro recibe KS(m) como K+

R(K

S)

Usando su clave privada K-R desencripta la clave

simétrica KS creada al azar por el emisor seguro

Una vez recuperada la clave simétrica, desencriptael cuerpo del mail, accediendo a su contenido m


KS(K

S(m))K

S(K

S(m))

Mails segurosMails segurosK

S

internet

KS(m)K

S(m)

K+M(K

S)K+

M(K

S) K-

M(K+

M(K

S))K-

M(K+

M(K

S))

K+M

m

K-M

KS

m

KS


Mails autenticadosMails autenticadosEl mecanismo de firma digital antes introducido se puede adaptar para posibilitar el intercambio autenticado de correos electrónicos

El emisor autenticado simplemente firma digitalmente el cuerpo de todo mensaje enviado

Al igual que antes, se adjunta la firma digital (huella digital encriptada) al mensaje original (es decir,sin encriptar)

De esta forma se logra autenticar el autor yse asegura la integridad del contenido del mensaje


Mails autenticadosMails autenticadosK-

H

internet H(m)H(m)

K+H(K-

H(H(m)))K+

H(K-

H(H(m)))m K-

H(H(m))K-

H(H(m))

m

H(m)H(m)

mm

¿ ?

K+H

H(m)H(m)


Mails seguros autenticadosMails seguros autenticadosAmbas técnicas pueden ser combinadas con relativa facilidad, haciendo uso de tres claves:

La clave privada del emisor, para firmar digitalmente el mensaje encriptado

Una clave simétrica generada al azar para encriptarel cuerpo del mensaje

La clave pública del receptor, para encriptar la clave simétrica


Mails seguros autenticadosMails seguros autenticadosK-

H

m K-H(H(m))K-

H(H(m))

m

H(m)H(m)

KS(m, K-

H(H(m)))K

S(m, K-

H(H(m)))

internet

KS

K+MK+

M(K

S)K+

M(K

S)K

S


OpenPGPOpenPGPEl estándar abierto OpenPGP reportado en la RFC 4880 implementa el intercambio seguroy autenticado de correos electrónicos

Hace uso de criptografía de clave simétrica,de criptografía de clave publica, una funciónde hash para calcular digestos y firma digitalde la forma antes indicada

Permite asegurar la identidad del emisor y tantola confidencialidad como la integridad del mensaje


Pretty Good PrivacyPretty Good PrivacyDate: Mon, 28 Jun 2010 01:47:41 -0300From: "Alejandro G. Stankevicius" <[email protected]>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <[email protected]>Subject: Prueba de mensaje autenticado.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 7bit

-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1

Probando... 1, 2, 3.

- -- Saludos,Alejandro.

-----BEGIN PGP SIGNATURE-----Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkwoKWwACgkQ54MJ5e1PszZonwCfV0+8E0t9qHvwn9r8SGaIHg6ofkEAn3xqjfTD04s9doQtiJjxzol6J5Pa=4ni4-----END PGP SIGNATURE-----

Date: Mon, 28 Jun 2010 01:47:41 -0300From: "Alejandro G. Stankevicius" <[email protected]>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <[email protected]>Subject: Prueba de mensaje autenticado.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 7bit

-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1

Probando... 1, 2, 3.

- -- Saludos,Alejandro.

-----BEGIN PGP SIGNATURE-----Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkwoKWwACgkQ54MJ5e1PszZonwCfV0+8E0t9qHvwn9r8SGaIHg6ofkEAn3xqjfTD04s9doQtiJjxzol6J5Pa=4ni4-----END PGP SIGNATURE-----


Pretty Good PrivacyPretty Good PrivacyDate: Mon, 28 Jun 2010 01:48:32 -0300From: "Alejandro G. Stankevicius" <[email protected]>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <[email protected]>Subject: Prueba de mensaje autenticado y seguro.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 8bit

-----BEGIN PGP MESSAGE-----Charset: ISO-8859-1Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

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v1Io-----END PGP MESSAGE-----

Date: Mon, 28 Jun 2010 01:48:32 -0300From: "Alejandro G. Stankevicius" <[email protected]>MIME-Version: 1.0To: "Alejandro G. Stankevicius" <[email protected]>Subject: Prueba de mensaje autenticado y seguro.Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 8bit

-----BEGIN PGP MESSAGE-----Charset: ISO-8859-1Version: GnuPG v2.0.15 (GNU/Linux)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

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v1Io-----END PGP MESSAGE-----


Secure Socket LayerSecure Socket LayerSecure Socket Layer (SSL) es una solución que extiende a los sockets para brindar:

Confidencialidad

Integridad

Autenticación

¡Miles de millones de dólares por año cambian de mano usando esta tecnología!

El famoso “candadito cerrado” de los navegadores quizás sea el ejemplo más conocido de su uso


Secure Socket LayerSecure Socket LayerObjetivos al momento de su concepción:

Facilitar las transacciones comerciales en línea

Brindar encriptado de información sensitiva (especialmente el número de la tarjeta de crédito)

Posibilitar la autenticación del servidor web y, en caso de requerirse, también la del cliente

Minimizar el incordio al negociar con un nuevo comerciante


Secure Socket LayerSecure Socket LayerInicialmente se trató de un estándar cerrado, implementado en el navegador Netscape

En la actualidad se trata de un estándar abierto publicado en el RFC 2246

SSL brinda una API accesible desde cualquier lenguaje de programación

IPTCP

aplicación

aplicaciónconvencional

IPTCP

IP

SSL / TLSaplicación

aplicaciónusando SSL


SSL y TLSSSL y TLSAutenticación de servidores en SSL:

Todo navegador seguro viene dotado de las claves públicas de un conjunto de CAs en los que se confía

El navegador solicita al servidor su certificación,la cual debe haber sido emitida por un CA confiable

Luego, haciendo uso de la clave pública del CA recupera la clave pública del servidor del certificado

El menú de seguridad del navegador permite indagar el conjunto de CAs considerados confiables


SSL y TLSSSL y TLSEncriptado de datos en SSL:

El navegador genera una clave simétrica al azar que será usada sólo durante la interacción, la encriptacon la clave pública del servidor y la envía al servidor

Haciendo uso de su clave privada puede desencriptar la clave simétrica que el cliente le alcanzó

En este punto, tanto cliente como servidor tienen acceso a la clave compartida

Todo información intercambiada usando el socket TCP será encriptada usando esa clave


SSL y TLSSSL y TLSAutenticación de clientes en SSL:

La autenticación de clientes en SSL se lleva adelante poniendo a disposición del servidor su certificado

SSL evolucionó en el nuevo estándar TLS:

La nueva versión constituye un estándar abierto de internet, cuya última especificación está disponibleen el RFC 5246

Los servicios provistos por SSL y TLS también pueden ser utilizados en otras aplicaciones (por caso, IMAP)


IPsecIPsecInternet Protocol Security (IPsec) introduce un conjunto de protocolos para proveer seguridad y autenticación en capa de red

Encriptado a nivel de capa de red:

El emisor encripta los datos contenidosen los datagramas IP

Estos datos pueden ser segmentos TCP o UDP, mensajes ICMP o SNMP, etc.

Autenticación a nivel de capa de red:

El receptor puede autenticar la dirección IP de origen


Seguridad en capa de redSeguridad en capa de redFamilia de protocolos IPsec:

Un protocolo para autenticar los datagramas llamado Authentication Header (AH), el cual provee integridad y autenticidad del emisor, pero no confidencialidad

Otro protocolo para encriptar el contenido de los datagramas llamado Encapsulating Security Payload (ESP), el cual provee confidencialidad, integridad y autenticidad del emisor


Seguridad en capa de redSeguridad en capa de redPara hacer uso de tanto AH como ESP emisory receptor deben llevar adelante un procesode inicialización

Este proceso crea un canal lógico a nivel de capade red denominado Security Association (SA)

El SA establece un canal unidireccional

Cada SA se caracteriza a través de la combinacióndel protocolo de seguridad que se esté usando,la dirección IP de origen y un identificadorde conexión de 32 bits


Protocolo AHProtocolo AHEl encabezado del protocolo AH se inserta entre el encabezado IP y la carga útil del datagrama

Los routers en el núcleo de la red procesanel datagrama de la manera usual

El encabezado incluye información acerca de:

El identificador de conexión

Los datos de la autenticación, esto es, el digestodel datagrama original firmado digitalmente

El campo próximo encabezado denota el tipo de carga útil (TCP, UDP, ICMP, etc.)

encab. IP encab. AH carga útil


Protocolo ESPProtocolo ESPEl protocolo ESP incorpora un encabezado yun finalizador y un segundo finalizadorque provee la autenticación

Tanto la carga útil como el finalizador ESPestán encriptados

El campo próximo encabezado se encuentra encriptado dentro del finalizador ESP

La autenticación en ESP se maneja de manera análoga a AH

encab. IP carga útilencab. ESP final. ESP final. aut.encriptado

autenticado


Seguridad en IEEE 802.11Seguridad en IEEE 802.11La naturaleza absolutamente broadcast delos enlaces inalámbricos los hace candidatosa ser atacados por escucha de paquetes

Por caso, basta tomar un celular con wifi y salir a darun paseo para encontrar una multitud de redes inalámbricas desprotegidas

Esta actividad se la conoce como war driving(si el paseo lo hacemos en un vehículo)

Las redes desprotegidas exponen la privacidad ylos datos personales de los usuarios de la misma


Wired Equivalent PrivacyWired Equivalent PrivacyLa primer propuesta para contrarrestar este tipo de ataque la provee el protocolo Wired Equivalent Protocol (WEP)

WEP provee autenticación y encriptado de datos

Autenticación WEP:

El nodo inalámbrico solicita autenticarse con el AP

El AP envia un nonce de 128 bits

El nodo encripta el nonce usando una clave simétrica

El AP al desencriptar el nonce confirma la identidad


Wired Equivalent PrivacyWired Equivalent PrivacyEncriptado de datos en WEP:

El nodo inalámbrico comparte con el AP una clave simétrica de 40 bits

El nodo agrega a la clave un vector de inicialización (IV) de 24 bits para obtener una clave de 64 bits

La clave de 64 bits es utilizada para generar un flujo de claves K

iIV

Las claves KiIV se usan para encriptar los bytes d

i

de las tramas de la siguiente forma:

ci = d

i Å K

i

IV


Wired Equivalent PrivacyWired Equivalent Privacy

clave secreta + IV

gen. de claves

0 1 1 0 0 0 1 0 1 0

1 1 0 1 0 1 0 1 1 1

Å

1 0 1 1 0 1 1 1 0 1

=

clave secreta + IV

gen. de claves

0 1 1 0 0 0 1 0 1 0

1 1 0 1 0 1 0 1 1 1

Å

1 0 1 1 0 1 1 1 0 1 =

secuencia declaves

trama sinencriptar

tramaencriptada

semilla delgenerador

secuencia declaves

tramaencriptada

trama sinencriptar

semilla delgenerador

trama transmitida


Vulnerabilidad en WEPVulnerabilidad en WEPWEP presenta una seria vulnerabilidad:

Como se consume un IV por trama y el campo IV tiene sólo 24 bits, eventualmente se reusarán IVs

El IV se transmite sin encriptar, por lo que la reutilización del IV puede ser detectada

Considerando lo simple y rápido que se puede quebrar el protocolo WEP, en la actualidad selo considera obsoleto

El nuevo protocolo WPA provee un nivel adecuadode autenticación y seguridad a nivel hogareño


Control de accesoControl de accesoEl cortafuego (firewall) es la primera barreraen la defensa de la infraestructura de redde una organización

El cortafuego permite aislar la red interna deuna organización del resto de internet, permitiendoque algunos paquetes lo atraviesen pero otros no

red interna red externa

internet


FirewallFirewallEl cortafuego provee un atractivo conjuntode funcionalidades desde la perspectivadel encargado de la seguridad en la red:

Impide que se acceda y/o modifiquen los datos alojados en las computadoras de la red interna

Posibilita que sólo un determinado conjuntode computadoras externas puedas accedera las computadoras de la red interna

Permite detener los ataques estilo DoS (Denial of Service), tales como la inundación con segmentosTCP con el flag SYN activado


Filtrado por paqueteFiltrado por paqueteLa red interna se conecta a la externa a través de un gateway cortafuego

El gateway decide paquete por paquetecuál filtrar y cuál dejar pasar

Esta decisión puede ser tomada en base a la dirección IP origen/destino, el puerto origen/destino, el tipode mensaje ICMP, los flags TCP, etc.

internet

¿debe pasar o no?


Ejemplos de filtradoEjemplos de filtradoPara impedir el tráfico UDP:

Bloquear los datagramas entrantes o salientes cuyo campo protocolo del encabezamiento contenga un 17

Para impedir el uso de telnet:

Bloquear los datagramas entrantes o salientes cuyo puerto origen o destino sea el 23

Para impedir el uso de ping:

Bloquear los datagramas entrantes conteniendo mensajes ICMP de tipo 8 (echo request)


Firewall personalFirewall personalLos distintos sistemas operativos recientemente han incorporado una variante del gateway cortafuego a nivel de las computadorasde escritorio denominado firewall personal

La argumentación es que cada usuario tieneun conocimiento más preciso de qué tráfico permitiry qué tráfico filtrar

Sin embargo, la administración de firewalls personales es una tarea más demandante que la administración de un único firewall en el router gateway

Pueden usarse ambos tipos de firewall en simultáneo


Proxy por aplicaciónProxy por aplicaciónLas aplicaciones que tengan dificultades atravesando el cortafuego pueden hacer usode un proxy que facilite el acceso al exterior

la aplicación se conectaprimero al proxy

el server proxy esel único autorizado

a atravesar el cortafuego

routercortafuego

red interna

red externa


LimitacionesLimitacionesExisten técnicas diseñadas específicamente para contrarrestar la presencia del cortafuego

Por caso, la adulteración de los camposdel datagrama puede confundir al cortafuego

A su vez, la defensa ante un ataque estilo DoS no puede distinguir los paquetes legítimosde aquellos que constituyen el ataque

Esto es, los usuarios legítimos se verán afectadospor las contramedidas antes un ataque DoS


LimitacionesLimitacionesOtra limitación de las técnicas de filtradoes que basan su decisión exclusivamenteen el contenido del encabezamiento

Por otro lado, no tienen en cuenta la relación que puede existir entre múltiples datagramas

Los Sistemas de Detección de Intrusos (IDS) apuntan a subsanar estas dos objeciones:

Analizan los datagramas en su totalidad

Tienen en cuenta la correlación entre ellos


Vector de ataqueVector de ataqueAtaque de descubrimiento (network mapping):

La primer fase de un ataque consiste en conoceral enemigo, recolectando información acerca de qué servicios están implementados en la red interna

La herramienta ping sirve para determinarqué direcciones IP están en uso

Los escaneadores de puertos permiten descubrirqué servicios están activos en los distintos nodos

Uno de los más conocidos es el nmap

¿Posibles contramedidas?


ContramedidasContramedidasContramedidas al ataque de descubrimiento:

Filtrar los intentos de ping (ICMP echo request) originados fuera de la organización

Llevar un detallado registro (log) del tráficoque ingresa a la red interna

Inspeccionar este registro buscando patrones sospechosos de acceso (por caso, intentosde conexión en secuencia a los puertosproviniendo desde una misma subred)

Actualmente existen programas que automatizan parte del monitoreo de los registros


Vector de ataqueVector de ataqueAtaque escucha de paquetes (packet sniffing):

El ataque escucha de paquetes saca provechode la naturaleza broadcast de los enlacesque conforman la red local

La interfaz de red descarta por defecto las tramas destinadas a otros nodo, pero también puede ser configurada en “modo promiscuo” para que aceptelas tramas destinadas a todos los destino posibles

Este tipo de ataque permite tener acceso a todala información que circule sin encriptación por la red



ContramedidasContramedidasContramedidas al ataque escucha de paquetes:

Impedir que los usuarios configuren los adaptadores de red en modo promiscuo llevando un estricto control de los privilegios a nivel de sistema operativo

Ejecutar en todos los nodos en la organizaciónun pequeño programa que periódicamente verifiqueque la interfaz no se encuentre en modo promiscuo

Otra posibilidad es restringir el número de nodos activos cada segmento de tipo broadcast (por caso, utilizando switches en lugar de concentradorestoda vez que sea posible)


Vector de ataqueVector de ataqueAtaque adulterando (spoofing) camposdel encabezamiento de los protocolos:

Cualquier aplicación tiene la capacidad de generar directamente un datagrama IP (es decir, salteandolas capas de aplicación y transporte)

Al hacerlo, puede controlar el valor de los distintos campos del encabezamiento

El cortafuego puede no ser capaz de distinguirlos datagramas legítimos de los adulterados



ContramedidasContramedidasContramedidas al ataque adulterando campos del encabezamiento de los protocolos:

Los routers cortafuegos no deberían hacer forwardde datagramas inválidos (por ejemplo, datagramas cuyo origen no pertenezca a la red internadel cortafuego)

Excelente contramedida, pero debe ser implementada a nivel de routers fuera del alcance del administrador de la red siendo atacada

Este problema se puede solucionar con el protocolo AHde IPsec, el cual nos permite autenticar el origen


Vector de ataqueVector de ataqueAtaque de negación de servicio (DoS):

El ataque de negación de servicio consiste en inundar un cierto servidor con innumerables requerimientos espurios, a fin de que sea incapaz de atenderlos requerimientos legítimos

La variante de negación de servicio distribuido(DDoS), consiste en coordinar el ataque desde múltiples punto en simultáneo, para hacer másdifícil la implementación de contramedidas



ContramedidasContramedidasContramedidas al ataque de negaciónde servicio:

La primer contramedida consiste en filtrar los paquetes involucrados en el ataque antes de que alcancen al servidor (por caso, los segmentos TCPque contengan el flag SYN activado)

El proceso de filtrado eliminará los paquetes involucrados en el ataque junto con los legítimos

Se debe rastrear el origen de la inundación (usualmente se trata de computadoras de terceros que se encuentran comprometidas)


¿¿Preguntas?Preguntas?

Documents

Seguridad en Redes (Pt. 3)ags/RC/downloads/Handouts/Módulo...Redes de Computadoras - Mg. A. G. Stankevicius 3 Contenidos Introducción a la seguridad en redes Principios de la criptografía