SEGURIDAD EN REDES

Protocolos y Servicios

Profesor: L.I. Claudio Efran Flores Aguirre Universidad Autnoma del Estado de Mxico Licenciatura en Ingeniera en Computacin

TELNET
El objetivo de este protocolo es definir una interfaz estndar para la intercomunicacin entre sistemas finales, a travs de una terminal virtual.

ASPECTOS GENERALES
El protocolo Telnet se encuentra definido principalmente por los RFC 854 y 855. Se ejecuta sobre TCP y tiene asignado el nmero de puerto 23. Para establecer una conexin Telnet, primero debe establecerse una conexin TCP a travs del saludo de tres vas. Cada tecla que presiona el cliente no es procesada localmente, sino que viaja a travs de la red hasta el servidor, donde es procesada por la aplicacin Telnet, y transferida de vuelta al cliente para que proceda a mostrarla por pantalla.

CONSIDERACIONES SOBRE SEGURIDAD

El protocolo Telnet provee autenticacin de usuarios a travs del ingreso de un nombre de usuario y una contrasea al iniciarse una sesin. El mayor problema de seguridad de Telnet es que el trnsito de los datos se realiza en texto claro, es decir, sin encriptar.

SSH
El protocolo SSH (Secure Shell) fue creado con el fin de segurizar los datos en trnsito de una terminal remota. El funcionamiento es similar al de Telnet, con la diferencia que los datos que se transfieren entre el Cliente y el Servidor viajan encriptados. Existen dos versiones de SSH actualmente: SSH1 y SSH2.

ASPECTOS GENERALES
El protocolo SSH utiliza el puerto TCP 22 para realizar las conexiones. El protocolo SSH necesita claves para poder encriptar la informacin que transmite. Para evitar la escucha de las claves que se transmiten, se utiliza un esquema de claves asimtricas que asegura que las claves transmitidas no podrn ser interceptadas ni modificadas.

CONSIDERACIONES SOBRE SEGURIDAD

SSH permite asegurar: Integridad Autenticacin Confidencialidad No repudio Rechazo de duplicados

FINGER
El protocolo de capa de aplicacin Finger (definido por la RFC 1288), est diseado para proporcionar informacin de los usuarios de una maquina local o de un servidor a travs de la red TCP/IP.

ASPECTOS GENERALES
El protocolo finger realiza conexiones entre un cliente y un servidor, utilizando TCP como protocolo de transporte y el puerto 79 en el servidor.

CONSIDERACIONES SOBRE SEGURIDAD

Las principales caractersticas de finger que debera tener en cuenta son : No utiliza autenticacin No cifra los datos que transmite Muestra los nombres de usuarios actualmente conectados y desde donde estn conectados Brinda toda la informacin que el administrador (o los usuarios) hayan cargado sobre sus perfiles

FTP
El protocolo FTP (File Transfer Protocol) es el estndar actual para la transferencia de archivos en redes TCP/IP. Las principales caractersticas de FTP son: Brinda un acceso interactivo: es decir a travs del uso de comandos. Permite especificar un formato de representacin para la transferencia, optando entre texto o binario. Realiza control de autenticacin.

ASPECTOS GENERALES
El servicio de FTP utiliza dos conexiones TCP : Conexin de Control: para el envo de comandos y negociacin de la conexin de transferencia de datos; utiliza el puerto 21 del servidor. Conexin de transferencia de datos: para el envo de datos; utiliza el puerto 20 del servidor. El acceso al FTP annimo significa que el cliente no necesita tener un usuario y contrasea propios para utilizar el servicio.

CONSIDERACIONES SOBRE SEGURIDAD

Se debe recordar que este servicio es autenticado. Si no son necesarios los accesos annimos, convendr deshabilitarlo. Si debe permitir los accesos annimos, sera recomendable que solo puedan descargar informacin del servidor. Otra caracterstica importante es que la transferencia de datos se realiza en texto claro.

TFTP
TFTP permite realizar transferencias de archivos entre un cliente y un servidor, el cliente realiza la solicitud inicial al puerto UDP nmero 69 del servidor. TFTP es un protocolo que no provee autenticacin de usuarios, ni encripcin de datos en trnsito, por lo que puede considerarse un protocolo no seguro.

DHCP
El Protocolo de Configuracin Dinmica de Hosts (DHCP) fue diseado por la IETF como el sucesor del protocolo BOOTP para la configuracin automtica de hosts en una red TCP/IP.

ASPECTOS GENERALES
Las direcciones que entrega un servidor DHCP a los clientes son asignadas por un perodo de tiempo determinado. Todo el proceso de comunicacin entre el cliente y el servidor DHCP se realiza utilizando el protocolo UDP, a travs del puerto 67 en el servidor. El primer paso que realiza el cliente es enviar un mensaje de broadcast DHCPDISCOVER a toda la red local con el fin de encontrar algn servidor DHCP.

ASPECTOS GENERALES (CONT.)

Todos los hosts y servidores DHCP de la red local reciben el mensaje del cliente. Slo los servidores DHCP interpretan el mensaje y le contestan al cliente enviando un paquete DHCPOFFER. Cuando el cliente recibe las ofertas de los servidores, selecciona una y negocia con el servidor el tiempo de la direccin IP y dems informacin de configuracin. Para esto, el cliente le responde al servidor DHCP seleccionado con un paquete DHCPREQUEST. Con el objeto de enviar un acuse de recibo al cliente el servidor le enva un paquete DHCPACK.

CONSIDERACIONES SOBRE SEGURIDAD

El primer paquete enviado por una estacin cliente DHCP (DHCP Discover), es un broadcast. Este broadcast puede ser respondido por cualquier servidor que se encuentre en la red local. De esta manera una estacin cualquiera que implemente un servidor DHCP podr asignar direcciones IP, provocando problemas de comunicacin entre las estaciones de la red local. Si estamos realizando asignacin dinmica de direcciones, podra suceder que una estacin externa a nuestra red, se conecte a ella y reciba una direccin vlida, obteniendo los mismos permisos y privilegios que una estacin interna.

SNMP
El protocolo SNMP permite a un administrador de red supervisar y controlar el funcionamiento de uno o ms dispositivos a travs de una red.

ASPECTOS GENERALES
SNMP utiliza el protocolo UDP en el puerto 161. Existen actualmente tres versiones de SNMP: SNMP Versin 1, SNMP Versin 2 y SNMP Versin 3. SNMP define tres elementos:

Dispositivos administrados Agentes NMSs (Network Management Stations - Estaciones de administracin de red)

Un dispositivo administrado es un host que contiene un agente SNMP. Routers, switches, hubs, estaciones de trabajo e impresoras pueden ser dispositivos administrados.

ASPECTOS GENERALES (CONT.)

Un agente es un software que ejecutan los dispositivos administrados. Un agente tiene el conocimiento local de la informacin de red del dispositivo y la traduce en una forma compatible al protocolo SNMP. Las estaciones de administracin concentran toda la informacin de los dispositivos de red administrados y la procesan para que sea fcilmente comprensible. Una MIB (Management Information Base - Base de Informacin para Administracin) es un conjunto de informacin organizada jerrquicamente. Esta informacin est compuesta por los objetos que son administrados de cada dispositivo.

ASPECTOS GENERALES (CONT.)

Un objeto administrado es una caracterstica especfica del dispositivo administrado. SNMP es un protocolo de requerimiento-respuesta. El sistema de administracin genera un requerimiento, y los dispositivos administrados devuelven una respuesta. El acceso de las NMS a los dispositivos administrados est controlado por un nombre de "comunidad". Generalmente las comunidades que se utilizan son: public: generalmente configurada en los agentes para permitir el acceso de lectura a sus datos private: generalmente configurada en los agentes para permitir el acceso de lectura y modificacin de sus datos.

CONSIDERACIONES SOBRE SEGURIDAD

Se debe tener en cuenta que SNMPv1 y SNMPv2 no poseen encripcin de los datos que transmiten. Otro punto a tener en cuenta, es la falta de autenticacin de SNMPv1, es decir, la nica verificacin que realizan los agentes SNMP es que concuerde el nombre de comunidad. En contraste, SNMPv3 soporta autenticacin, a travs de MD5, y encripcin de datos, lo que permite crear un ambiente seguro.

DNS
Inicialmente, la relacin de nombres a direcciones IP se mantena por el Network Information Center (NIC) en un slo archivo llamado HOSTS.TXT, que era tomado por todas las estaciones utilizando FTP. Debido al crecimiento explosivo de Internet, este mecanismo dej de ser prctico y fue reemplazado por un nuevo concepto: El Sistema de Nombres de Dominio (DNS). El sistema de nombres de dominio permite que una estacin obtenga la direccin IP de un nombre dado de forma dinmica, sin necesidad de mantener un archivo centralizado con todas las relaciones.

ASPECTOS GENERALES
Los mensajes DNS pueden ser transmitidos mediante TCP o UDP, en ambos casos se utiliza el puerto 53. Si se utiliza UDP, el tamao mximo de segmento es de 512 bytes, mientras que si se utiliza TCP, en el comienzo del segmento se especifica el tamao total. El espacio de nombres de dominio es un espacio jerrquico, donde existen dominios y subdominios, conformando un rbol de dominios. Dominios Genricos: Los nombres compuestos por tres caracteres que conforman los dominios de ms alto nivel, son llamados dominios genricos.Ej: com, edu, mil, etc. Dominios nacionales: Existen tambin dominios de alto nivel para cada cdigo de pas conforme a la ISO 3166 (desde .ae para los Emiratos rabes Unidos hasta zw para Zimbawe). Estos son llamados dominios nacionales o geogrficos.

EL PROCESO DE RESOLUCIN DE NOMBRES DE DOMINIO PUEDE SER RESUMIDO EN LOS SIGUIENTES PASOS:

Un programa de usuario realiza una solicitud de resolucin. El cliente DNS (llamado resolver) revisa su tabla de cach para buscar si ya ha realizado la consulta. Si no la ha realizado, enva la solicitud al servidor DNS que tiene configurado.
El servidor recibe la solicitud y comprueba si la respuesta se encuentra dentro de su autoridad, si es as, responde la consulta. De otra forma, consultar a otros servidores disponibles, partiendo desde los servidores root, hasta conseguir la respuesta. El programa de usuario recibir la direccin IP del nombre consultado o un error si no se pudo obtener. Normalmente, el programa no recibir la lista de todos los servidores consultados.

EL SISTEMA DE NOMBRES DE DOMINIO PROVEE MAPEOS DE NOMBRES SIMBLICOS A DIRECCIONES IP Y VICEVERSA. EXISTE OTRO ESPACIO DE NOMBRES PARA MAPEOS REVERSOS. EL DOMINIO SE DENOMINA IN-ADDR.ARPA. Dado que los nombres de dominio tienen la parte menos significativa del nombre al comienzo (es decir, un nombre va de lo particular -un host- a lo general -el dominio-) y que las direcciones IP tienen sus bytes ms significativos al comienzo (una direccin IP va de lo general -red- a lo particular -host-), las direcciones IP se escriben en orden inverso. Por ejemplo, el dominio del nombre de dominio correspondiente a 129.34.139.30 es 30.139.34.129.inaddr.arpa. Una consulta para encontrar un nombre de dominio asociado a una direccin IP se denomina consulta "pointer". En internet se encuentra disponible mucha informacin sobre los diferentes dominios que existen. Una herramienta creada para la obtencin de dicha informacin es el WHOIS. Existen muchas bases de datos WHOIS que se pueden consultar y que pueden proveer informacin sobre un dominio especfico o sobre un bloque de direcciones IP.

CONSIDERACIONES SOBRE SEGURIDAD

El mayor inconveniente de DNS es que no realiza autenticacin ni cifrado de las consultas y las respuestas. Listaremos las amenazas ms importantes al sistema de nombres de dominio:

Modificacin de un paquete: En estos casos, el atacante modifica un paquete para inyectar informacin propia, por ejemplo, con el objetivo de engaar sobre una direccin IP. Ataques basados en nombres: Aqu, lo que realiza el atacante es agregar informacin a una respuesta, para "envenenar" la cach del resolver de una estacin. DNS Spoofing: Este ataque hace referencia al falseamiento de una direccin IP ante una consulta de resolucin de nombre. Denegacin de Servicio: los servidores DNS pueden ser utilizados como amplificadores de DoS, dado que los paquetes de respuesta son significativamente mayores que los paquetes de solicitudes.

NETBIOS
Este protocolo es muy utilizado, junto con el protocolo SMB, por la familia de productos Microsoft para compartir recursos en redes LAN.

ASPECTOS GENERALES
NetBIOS provee los servicios de la capa 5 del modelo OSI. Este protocolo no fue diseado para hacer llegar sus datos hasta la estacin destino, sea que se encuentre en una red LAN o WAN, por este motivo debe utilizar otro protocolo para transportar sus datos. Los protocolos que pueden prestar el servicio de transporte a NetBIOS son:

IPX/SPX NetBEUI TCP/IP

En lo que respecta al protocolo NetBIOS deben considerarse los siguientes servicios: Servicio de Nombres: (Puerto 137) Este servicio se implementa para identificar los extremos de las conexiones. NetBIOS identifica las entidades que intervienen en una comunicacin mediante nombres formados por 16 caracteres alfanumricos. Utiliza dos tipos de nombres: nombres nicos de hosts, denominado "UNIQUE" y nombres de grupos, denominados GROUP, para asociar ms de un host. Aunque en principio las especificaciones NetBIOS permiten nombres de 16 caracteres, Microsoft los limita a 15 y usa el caracter nmero 16 como un sufijo NetBIOS. Este sufijo es usado para identificar el servicio o dispositivo registrado.

Servicio de Comunicacin no orientado a la conexin: (Puerto 138) Conocido tambin como "Servicio de datagramas". En este servicio la estacin enva los datos encapsulados en datagramas; es decir los mensajes son enviados en forma independiente, sin establecer una conexin con el destino. Servicio de Comunicacin orientado a la conexin: (Puerto 139) Conocido tambin como "Servicio de conexin". Aqu se establece una conexin y un camino entre ambos hosts. En este tipo de comunicacin existe un intercambio seguro de datos, garantizado por el protocolo.

SMB
Este protocolo permite a una aplicacin o al usuario de una aplicacin compartir archivos, discos, directorios, impresoras, y realizar comunicaciones a travs de una red. Est desarrollado siguiendo la arquitectura cliente-servidor.

ASPECTOS GENERALES
El protocolo SMB est definido en las capas de presentacin y aplicacin del modelo de referencia OSI. El servidor mantiene su sistema de archivos y otros recursos tales como: impresoras, APIs; disponibles para los clientes sobre la red. Los clientes se conectan al servidor usando TCP/IP, NetBEUI o IPX/SPX. Una vez que la conexin est establecida, el cliente enva comandos (llamados SMBs) al servidor para trabajar con el sistema de archivos.

ASPECTOS GENERALES (CONT.)

Las principales implementaciones de SMB pertenecen a Microsoft y estn incluidas en Windows for Workgroup 3.x, Windows 9x y Windows NT, por ejemplo, se estn utilizando cuando se usa el File Manager o el Explorador de Windows, para visualizar y acceder a los recursos compartidos en otras estaciones. Existen numerosas implementaciones de SMB para otros sistemas operativos como UNIX, Linux y OS/2.

CONSIDERACIONES SOBRE SEGURIDAD

El protocolo SMB presenta dos mtodos de control de acceso a los recursos: Share level: cada recurso compartido puede tener una contrasea para acceder a los archivos que ste contenga. El usuario podr acceder a los mismos siempre y cuando tenga ese permiso de entrada (la password). User level: Est basado en los derechos de acceso del usuario, para ello es necesario que cada cliente se conecte al servidor con el fin de que sea autenticado.

Al utilizar una estructura de solicitud-respuesta para la comunicacin de un cliente a un servidor, hay que tener en cuenta algunos temas relacionados con su seguridad. Un usuario malicioso ubicado entre el cliente y el servidor puede engaar al cliente, tomando sus datos de autenticacin, luego hacindose pasar por el cliente puede acceder al servidor. Otro punto a tener en cuenta es la debilidad de los algoritmos de encripcin de password utilizados por los sistemas operativos Windows 9x y NT, esto permite que un atacante que capture las credenciales de un usuario cuando viajan a travs de la red, pueda desencriptarlas a travs de ataques por fuerza bruta o criptoanlisis. Los sistemas operativos Windows NT y 2000 incluyen APIs que proporcionan bastante informacin sobre cualquier mquina a travs del puerto 139 en TCP (donde trabaja SMB) incluso a usuarios que no se hayan autenticado. As, cualquier mquina que se conecte a este puerto de un sistema NT/2000 podra obtener acceso al host y obtener informacin como recursos compartidos, nombres de usuarios, claves del registro, etc. Este acceso se conoce como acceso por sesin nula ya que no utiliza autenticacin y consigue acceso a los recursos tpicos de estos sistemas operativos como IPC$, ADMIN$, etc..

UNIVERSIDAD AUTNOMA DEL ESTADO DE MXICO.

CENTRO UNIVERSITARIO UAEM VALLE DE TEOTIHUACN

Licenciatura en Ingeniera en Computacin