protocolo de seguridad

                                    definicion y funcionamiento del protocolo ipsec
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLSy SSH operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec.

Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificación y descifrado de la base de datos de asociaciones de seguridad.

En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener múltiples asociaciones de seguridad, permitiendo autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estándar pertinente no describe cómo se elige y duplica la asociación a través del grupo; se asume que un interesado responsable habrá hecho la elección..

El proceso de IPSec

En este tema se proporciona una introducción a conceptos de IPSec que son fundamentales para comprender el proceso IPSec, incluida la configuración de directivas IPSec y el protocolo Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>). Además, en este tema se describe el funcionamiento del procesamiento de tráfico de red de IPSec, con dos equipos de intranet como ejemplo.

Configuración de la directiva IPSec

En Windows 2000, Windows XP y la familia Windows Server 2003, IPSec se implementa principalmente como una herramienta administrativa que se puede utilizar para forzar directivas de seguridad en el tráfico de red IP. Una directiva de seguridad es un conjunto de filtros de paquetes que definen el tráfico de red tal como se reconoce en la capa IP. Una acción de filtrado define los requisitos de seguridad para el tráfico de red. Se puede configurar una acción de filtrado para: Permitir, Bloquear o Negociar seguridad (negociar IPSec).

Los filtros IPSec se insertan en la capa IP de la pila del protocolo de red TCP/IP del equipo para que puedan examinar (filtrar) todos los paquetes IP de entrada o salida. IPSec es transparente para las aplicaciones de usuario final y los servicios del sistema operativo, excepto por un breve retardo necesario para negociar una relación de seguridad entre dos equipos.

Un conjunto colectivo de opciones de seguridad IPSec se conoce como directiva IPSec. Windows 2000, Windows XP y la familia Windows Server 2003 proporcionan una interfaz gráfica de usuario y varias herramientas de la línea de comandos que se pueden utilizar para configurar una directiva IPSec y, después, asignarla a un equipo.

Para asegurar que la comunicación IPSec se realiza con éxito y que IPSec cumple los requisitos de seguridad de la organización, es necesario diseñar, configurar, coordinar y administrar cuidadosamente las directivas IPSec. En muchas organizaciones, un solo administrador puede ser el responsable de configurar y administrar directivas IPSec para muchos, si no todos, los equipos.

                                                                   http sobre ss

Kerberos es un protocolo de autenticación de redes de ordenador creado por Gerard Fillip Kominek que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdroppingy ataques de Replay.

• Cuando un cliente establece una conexión con el servidor SMTP, espera a que éste envíe un mensaje “220 Service ready” o “421 Service non available”

• Se envía un HELO desde el cliente. Con ello el servidor se identifica. Esto puede usarse para comprobar si se conectó con el servidor SMTP correcto.

• El cliente comienza la transacción del correo con la orden MAIL FROM. Como argumento de esta orden se puede pasar la dirección de correo al que el servidor notificará cualquier fallo en el envío del correo (Por ejemplo, MAIL FROM:<fuente@host0>). Luego si el servidor comprueba que el origen es válido, el servidor responde “250 OK”.

• Ya le hemos dicho al servidor que queremos mandar un correo, ahora hay que comunicarle a quien. La orden para esto es RCPT TO:<destino@host>. Se pueden mandar tantas órdenes RCPT como destinatarios del correo queramos. Por cada destinatario, el servidor contestará “250 OK” o bien “550 No such user here”, si no encuentra al destinatario.

• Una vez enviados todos los RCPT, el cliente envía una orden DATA para indicar que a continuación se envían los contenidos del mensaje. El servidor responde “354 Start mail input, end with <CRLF>.<CRLF>” Esto indica al cliente como ha de notificar el fin del mensaje.

• Ahora el cliente envía el cuerpo del mensaje, línea a línea. Una vez finalizado, se termina con un <CRLF>.<CRLF> (la última línea será un punto), a lo que el servidor contestará “250 OK”, o un mensaje de error apropiado.

• Tras el envío, el cliente, si no tiene que enviar más correos, con la orden QUIT corta la conexión. También puede usar la orden TURN, con lo que el cliente pasa a ser el servidor, y el servidor se convierte en cliente. Finalmente, si tiene más mensajes que enviar, repite el proceso hasta completarlos.

Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651, en este caso, la orden HELO puede ser sustituida por la orden EHLO, con lo que el servidor contestará con una lista de las extensiones admitidas. Si el servidor no soporta las extensiones, contestará con un mensaje "500 Syntax error, command unrecognized".

En el ejemplo pueden verse las órdenes básicas de SMTP:

• HELO, para abrir una sesión con el servidor
• MAIL FROM, para indicar quien envía el mensaje
• RCPT TO, para indicar el destinatario del mensaje
• DATA, para indicar el comienzo del mensaje, éste finalizará cuando haya una línea únicamente con un punto.
• QUIT, para cerrar la sesión
• RSET Aborta la transacción en curso y borra todos los registros.
• SEND Inicia una transacción en la cual el mensaje se entrega a una terminal.
• SOML El mensaje se entrega a un terminal o a un buzón.
• SAML El mensaje se entrega a un terminal y a un buzón.
• VRFY Solicita al servidor la verificación del argumento.
• EXPN Solicita al servidor la confirmación del argumento.
• HELP Permite solicitar información sobre un comando.
• NOOP Se emplea para reiniciar los temporizadores.
• TURN Solicita al servidor que intercambien los papeles.
•                                                            tcp
• 1. Resulta curioso comprobar cómo el funcionamiento de una red de ordenadores tan grande como internet se basa en una idea conceptualmente sencilla: dividir la información en trozos o paquetes, que viajan de manera independiente hasta su destino, donde conforme van llegando se ensamblan de nuevo para dar lugar al contenido original. Estas funciones las realizan los protocolos TCP/IP: el Transmission Control Protocol se encarga de fragmentar y unir los paquetes y el Internet Protocol tiene como misión hacer llegar los fragmentos de información a su destino correcto.
  2. Los ordenadores personales precisan de un software especial que sepa interpretar correctamente las órdenes del TCP/IP. Este software, que recibe el nombre de pila TCP/IP, realiza una labor de intermediario entre internet y el computador personal. En el caso de los PC es el conocido Winsock, del que existen diversas versiones. Para los Macintosh el software es el MacTCP. Por otra parte, cuando un ordenador personal se conecta a una red de área local a través de la línea telefónica por medio de un módem y un puerto serie, necesita también una pila TCP/IP, así como un protocolo de software, siendo el más extendido el PPP, que al proporcionar más fiabilidad en la conexión ha dejado atrás al más rudimentario protocolo SLIP.
  3. TCP (que significa Protocolo de Control de Transmisión) es uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación, posibilita la administración de datos que vienen del nivel más bajo del modelo, o van hacia él, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipación que el protocolo es TCP). TCP es un protocolo orientado a conexión, es decir, que permite que dos máquinas que están comunicadas controlen el estado de la transmisión. 
     Las principales características del protocolo TCP son las siguientes:
     • TCP permite colocar los datagramas nuevamente en orden cuando vienen del protocolo IP.
     • TCP permite que el monitoreo del flujo de los datos y así evita la saturación de la red.
     • TCP permite que los datos se formen en segmentos de longitud variada para "entregarlos" al protocolo IP.
     • TCP permite multiplexar los datos, es decir, que la información que viene de diferentes fuentes (por ejemplo, aplicaciones) en la misma línea pueda circular simultáneamente.
     • Por último, TCP permite comenzar y finalizar la comunicación amablemente.
     •                                                         ip
     • Las direcciones IP hacen referencia al equipo de origen y llegada en unacomunicación a través del protocolo deInternet. Los conmutadores de paquetes (conocidos como switches) y los enrutadores (routers) utilizan las direcciones IP para determinar qué tramo de red usarán para reenviar los datos.
       La dirección IP está compuesta por unnúmero que permite identificar jerárquica y lógicamente la interfaz de unacomputadora u otra máquina que se encuentra conectada a una red y que emplea el protocolo de Internet. Los usuarios de Internet, por ejemplo, utilizan una dirección IP que suele cambiar al momento de cada conexión. Esta modalidad de asignación es conocida como dirección IP dinámica.
       Reducir lo que es el número de IP que han sido asignadas y están inactivas o disminuir los costes de operación que tienen los encargados de ejercer como proveedores de servicios de Internet son básicamente las dos ventajas que trae consigo el uso de las citadas IP dinámicas, que son las que en la actualidad ofrecen la gran mayoría de operadores.
       El protocolo IP es parte de la capa de Internet del conjunto de protocolos TCP/IP. Es uno de los protocolos de Internet más importantes ya que permite el desarrollo y transporte de datagramas de IP (paquetes de datos), aunque sin garantizar su "entrega". En realidad, el protocolo IP procesa datagramas de IP de manera independiente al definir su representación, ruta y envío.
       El protocolo IP determina el destinatario del mensaje mediante 3 campos:
       • el campo de dirección IP: Dirección del equipo;
       • el campo de máscara de subred: una máscara de subred le permite al protocolo IP establecer la parte de la dirección IP que se relaciona con la red;
       • el campo de pasarela predeterminada: le permite al protocolo de Internet saber a qué equipo enviar un datagrama, si el equipo de destino no se encuentra en la red de área local.

firewall

Que es un firewall?

Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada «zona desmilitarizada» o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

 Que son los routers y bridges?

 Un router anglicismo también conocido como enrutador o encaminador de paquetes es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI. Su función principal consiste en enviar o encaminar paquetes de datos de una red a otra, es decir, interconectar subredes, entendiendo por subred un conjunto de máquinas IP que se pueden comunicar sin la intervención de un router (mediante bridges), y que por tanto tienen prefijos de red distintos.

Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El término bridge, formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D. En definitiva, un bridge conecta segmentos de red formando una sola subred (permite conexión entre equipos sin necesidad de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado. Cuando detecta que un nodo de uno de los segmentos está intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred como destino. Para conocer por dónde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje automático (autoaprendizaje) por lo que no necesitan configuración manual.

 Tipos de firewall

  

1.-Hardware: este tipo de sistema es colocado sobre los dispositivos usados para ingresar a Internet, los llamados “routers”. Frecuentemente la instalación ya se encuentra realizada cuando compramos el router. En caso contrario es muy  recomendable realizar la instalación. La colocación del firewall en este caso es muy compleja, es hecha gracias a un navegador que tiene acceso a Internet. 

2.-Software: pueden ser distinguidos dos tipos de estos firewalls, el primero es el gratuito: también conocido bajo el nombre de software firewall, que puede ser usado con total libertad y de manera totalmente gratuita como su nombre indica. Su objetivo es rastrear y no permitir acceso a ciertos datos a las computadoras personales. Hoy en día la mayoría de las PC ya tienen el firewall colocado. 

Este sistema es caracterizado por su fácil instalación, al que pueden ser sumados otros sistemas para asegurar la computadora, cuando deja de funcionar, es la misma PC  quien se encarga de avisarlo, no es requerido un sistema de Hardware para colocarlo y generalmente son utilizado en una sola computadora.

3.-Por otro lado se encuentran los comerciales. Estos sistemas de software poseen el mismo funcionamiento que el anterior. Además se les suma mayores niveles de control y protección. Muchas veces son vendidos con otros sistemas de seguridad como antivirus, para que resulten aún más eficientes a la hora de proteger la computadora.

Puede ser realizada otra clasificación según su nivel de aplicación o de red: 

4.-Aplicación: normalmente estos son utilizados con los servidores llamados proxy. En este caso no es posible el pasaje de datos de manera directa entre redes, ya que hay un monitoreo de los datos. Estos sistemas son utilizados para poder traducir ciertas direcciones de la red, pero siempre escondiendo el lugar donde se origina el tráfico. 

5.-Red: en este caso las decisiones son tomadas dependiendo de los puertos de los datos, la dirección de destino y de origen de la información.  Para ejemplificarlo esta clase de firewalls, podría ser un router, aunque el mismo resulte un tanto obsoleto ya, porque existen firewalls que resultan más eficaces, sobre todo cuando es necesario tomar una decisión y también en cuento a los datos. Estos resultan ser muy veloces y claros para aquella persona que los utilicen.

Politicas del diseño de firewalls

Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura.

Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios.

¿Qué se debe proteger?.Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.).

¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.

¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a establecer el nivel de monitorización, control y respuesta deseado en la organización. Puede optarse por alguno de los siguientes paradigmas o estrategias.

Se permite cualquier servicio excepto aquellos expresamente prohibidos.

Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio.

Paranoica: se controla todo, no se permite nada.

Prudente: se controla y se conoce todo lo que sucede.

Permisiva: se controla pero se permite demasiado.

Promiscua: no se controla (o se hace poco) y se permite todo.

¿Cuánto costará?. Estimando en función de lo que se desea proteger se debe decidir cuanto es conveniente invertir. 

 Beneficios de un firewall

Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la “Dureza” con que cada uno de los servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad posible del sistema.
El firewall permite al administrador de la red definir un “choke point” (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada.
El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa , este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algún problema en el transito de los datos. Esto se podrá notar al acceder la organización al Internet, la pregunta general es “si” pero “cuando” ocurrirá el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitácora del trafico significativo a través del firewall. También, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado!

Limitaciones de un firewall

• Un cortafuegos o firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación.
• El cortafuegos no puede protegerse de las amenazas a que esta sometido por traidores o usuarios inconscientes.
• El cortafuegos no puede prohibir que los traidores o espías corporativos copien datos sensibles en disquetes o tarjetas PCMCIA y sustraigan éstas del edificio.
• El cortafuegos no puede proteger contra los ataques de la “Ingeniería Social”
• El cortafuegos no puede protegerse contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real esta en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por medio de disquetes o cualquier otra fuente.
• El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a internet.