Implantacin de tcnicas de

acceso remoto
Agustn Jimnez Guerra
Elementos bsicos de la seguridad
perimetral
Seguridad perimetral
Primer obstculo al que enfrentarse cuando
accedemos remotamente
Conjunto de hardware y software utilizado para
proteger una red de otras redes en las que no se
confa
Proteger para que no haya intrusiones no deseadas
Proteger red
Filtrar la informacin que entra en dicha red
Analizar y prevenir las posibles intrusiones
Utilizar tcnicas seguras en su funcionamiento
Elementos bsicos de la seguridad
perimetral
Funciones seguridad perimetral
Proteger la informacin valiosa de la red
Rechazar conexiones a servicios que no sean
seguros
Proporcionar un nico punto de conexin con el
exterior
Controlar el trfico que entra en la red
Elementos bsicos de la seguridad
perimetral
Elementos para seguridad perimetral
Routers
Firewalls
Redes virtuales
Subredes
Router frontera
Enrutador ms externo de la red corporativa
Comprueba la seguridad en el trfico de entrada y
salida
Pueden soportar muchas conexiones
En redes domsticas el nico router hace esta
funcin
Internet: Distintos sistemas autnomos (los
routers frontera conectan distintos sistemas
autnomos)
Router frontera
Protocolos con los que trabajan estos routers
EGP
Exterior Gateway Protocol
Intercambiar informacin de enrutamiento entre SA
BGP
Border Gateway Protocol
El ms extendido (intercambia informacin de enrutamiento
entre SA)
Encaminan la informacin en Internet
La ruta ptima viene dada por el n de SA atravesados para
llegar al destino y polticas de la red
IBGP (se utiliza en el interior de SA); EBGP (exterior SA)
Protocolos de enrutamiento
BGP
Cortafuegos
En la seguridad perimetral suele encontrarse
un router que acta como firewall
Router <> cortafuegos

Cortafuegos
Cortafuegos
Se puede configurar parmetros para que el router pueda ser atravesado
por conexiones VPN
Cortafuegos = Filtrar
Filtrado de paquetes (IPo, IPd, Port o, Port d, )
Aceptar o denegar
Listas ACL: Listado de restricciones o permisos que se aplican a un router
(controlar trafico de E y S)
SAD03(config)#access-list N permit|deny [direccin IP] [mscara]
SAD03(config-if)#ip access-group N in|out
SAD03(config)#access list 2 deny 192.168.1.0 0.0.0.255
SAD03(config-if)#ip access-group 2 in
Se deniega el trfico entrante a la red 192.168.1.0
Proxy firewall
Cuando una conexin llega al proxy, el proxy completa la conexin
Crea una nueva conexin desde el proxy al destino (no enruta el trfico)
Guarda informacin y realiza o no la conexin
Intermediario entre los equipos de la red corporativa e internet

Redes privadas virtuales
VPN
Tecnologa que permite establecer una conexin
similar a la de una red LAN sobre una red pblica
(Internet)
Mecanismos: Encapsulacin, tunelizacin,
encriptacin
Conectar dos sucursales de una empresa a travs de
Internet
Acceder remotamente desde un hotel a la empresa

Redes privadas virtuales
Redes privadas virtuales
Servidor VPN Acepta las conexiones
Cliente VPN El que se conecta
Tnel Representacin de cmo viaja la informacin
por Internet (ajena al trfico)
Cuando un cliente establece una conexin con el
servidor aparentemente no ocurre ningn cambio en
su equipo
Los SO incorporan asistentes para VPN
Primer obstculo al router frontera
Hay que especificar en el router que permite este tipo de
conexin
Red privada virtual
Permetro de red: Zonas
desmilitarizadas
Permetro de red: Separa el trfico de la redes
internas y externes
Controlar el trfico
Clasificar el trfico
Poner en cuarentena
Denegar conexiones
Permetro de red
En lugar de defender la red corporativa con un nico
elemento (router frontera), se emplea una red entre la
red interna e Internet (Zonas DMZ)
Zonas desmilitarizadas
Zona desmilitarizada
Los equipos tienen una relacin bidireccional con la red
WAN pero no con la LAN
Una equipo situado en la WAN podr conectarse con uno
de la DMZ y viceversa
Pero un equipo de la WAN o DMZ no podr comunicarse
con otro de la LAN, pero s el paso inverso
En la DMZ se sitan los equipos que proporcionan
servicios pblicos (servidores Web, de correo, DNS, )
Los equipos que se quiere tener expuesto en la red
Si se salta un atacante los servidores de la red permetro
an estara el router interno protegiendo la red interna
Arquitectura dbil de subred protegida
Una subred protegida dbil, establece la
proteccin interna empleando una DMZ por
detrs del firewall de permetro
El equipo que acta como firewall tiene al menos
3 interfaces para conectar: Internet, DMZ, LAN
Un fallo del cortafuegos puede desproteger a la
red interna
Arquitectura dbil de subred protegida
Bastin
Elemento ms adelantado de la red interna
Est ms en contacto con el peligro
Los SO y las aplicaciones se han fortalecido para
que sean ms seguros
Son el objetivo de muchos ataques (son los que
ms contacto tienen con la red exterior
Arquitectura dbil de subred protegida
Arquitectura fuerte de subred protegida
La subred protegida fuerte establece la
proteccin de la red interna con una DMZ
situada entre dos firewall
Arquitectura fuerte de subred protegida
El cortafuegos externo (de acceso) bloquea y controla
el trfico no deseado desde la red externa a DMZ
El cortafuegos interno (de contencin) bloquea y
controla el trafico no deseado de la DMZ a la red
interna
Una fallo del cortafuegos externo desprotege slo la DMZ
Se pueden tener dos proveedores diferentes para cada
uno de los dos servidores firewall
Cada proveedor puede tener diferentes polticas de seguridad
Si un atacante se salta uno tendr que emplear otro mtodo
diferente para atravesar el otro
Polticas de defensa en profundidad
Hacer que el atacante se desanime al poner varios
obstculos en su camino hacia el objetivo
No existe la seguridad total
Reducir las posibilidades de que el sistema sea atacado
Minimizar los daos causados por un incidente
Polticas
Permitir todo lo que no est especficamente prohibido
(permiso establecido)
Se especifica lo prohibido
Prohibir todo lo que no est explcitamente permitido
(negociacin preestablecida)
Se especifica lo permitido
Ms segura y restrictiva (no siempre la ms adecuada)
Defensa perimetral
Poltica de seguridad entre una red segura (LAN) e insegura
(Internet
Se establecen los servicios accesibles desde el exterior y a
los que se puede acceder desde el interior
Se centran en
Filtrar el trfico de la red
Redirigir el trfico hacia mquinas seguras
Administrar el contenido del trfico
Valorar
Las amenazas pueden venir del interior (no solo del exterior)
Extremar las medidas de seguridad puede provocar limitaciones
en el funcionamiento
Defensa perimetral
Filtrado de trfico
Aceptar. Se permite el trfico
Denegar. Se prohbe el trfico y no hay mensaje de error
Rechazar. Se prohbe el trfico y se enva un mensaje de
error al emisor
Denegar recomendable frente a rechazar
Menos trfico
El atacante tiene menos informacin
Para este tipo de defensa perimetral se utilizan
Sistemas de deteccin de intrusos (IDS)
Firewall
Conexiones VPN
Defensa interna
Defensa en profundidad: Varias lneas de defensa
Para llegar a la lnea de defensa interna se ha
tenido que atravesar la red perimetral
Objetivo
Establecer los parmetros de funcionamiento interno
para que la red funcione con seguridad
Red interna: Es lo ms valioso (si se accede a
ellas se accede a los datos que se estn
protegiendo)

Defensa interna
Emplear en los servidores y dispositivos de
interconexin
Listas de control de acceso (ACL)
Conexiones SSH
Auditorias de seguridad
VLAN
Lneas de defensa en cada Host y en cada aplicacin
Contraseas
Anti-malware
Programacin segura
Deteccin de intrusiones

Factor humano
Factor ms imprevisible y difcil de controlar
Las lneas de defensa son intiles si el personal las usa mal o no las utiliza
Los usuarios deben estar comprometidos
Prcticas seguras en:
Uso de carpetas personales
Uso de carpetas compartidas
Realizacin de copias de seguridad
El uso de la red
La modificacin de archivos comunes
La utilizacin de archivos personales en la red interna
La manipulacin de equipos y aplicaciones de red
Adems
Adquirir y mantener una buena formacin
Gestionar adecuadamente los incidentes que se produzcan

VPN
Redes privadas sobre la red pblica
Esconder lo que se transmite en el acceso a la red
de forma remota
Solucin para garantizar la seguridad en el
intercambio de informacin
Comunicacin entre dos puntos prximos o
lejanos sea privada
Virtual: La comunicacin se lleva a cabo sobre una
lnea pblica
Comunicacin privada sobre lnea pblica

VPN
Tnel: Las tcnicas empleadas en las VPN hacen
que no haya transferencia de informacin entre
los datos transmitidos y el canal por el que viajan
Encriptacin (proceso transparente para el usuario)
Garantizan:
Confidencialidad, confiabilidad, disponibilidad y el no
repudio modificando los paquetes IP
Cifrando Confidencialidad
Firmando Autenticidad, integridad, y no repudio
VPN
tiles
Separar en una intranet la informacin confidencial para
que sea accesible solo a los usuarios autorizados
Comunicar de manera segura dos puntos distantes
utilizando una red pblica (Internet)
Establecer comunicaciones inalmbricas seguras
Creacin
Hardware
Depende del fabricante del dispositivo
Ms limitadas
Software
Ms comunes, flexibles
VPN
Protocolos utilizados
IPSec
PPTP
L2TP
SSL/TLS
VPN
Lneas dedicadas
Alquiladas, con comunicacin segura punto a punto entre dos sitios distintos
de una organizacin
Extender la LAN fuera de los lmites de la empresa
T1, T3, (Europa: E1, E3, )
VPN frente a lneas dedicadas
Beneficios
Ahorro de costos en el alquiler de lneas al ISP
Facilidad de manejo en la conexin
Proceso transparente para el usuario
Los datos viajan encriptados
Facilidad en la movilidad de los usuarios
Rapidez en la implementacin
Desventajas
Fiabilidad
Velocidad
Escalabilidad

VPN
Principal desventaja fiabilidad
Va sobre Internet (no del todo fiable)
Ms lento que lneas dedicadas
El cliente tiene que encapsular los datos y stos saltar
de nodo en nodo en Internet
Si se encripta, es an ms lento


VPN
VPN
Tcnicas de cifrado:
Encapsulan los datos en paquetes seguros
Simtrica o de clave secreta
Asimtrica o de clave pblica
Clave secreta
Utiliza una sola clave para encriptar y desencriptar la informacin
Se comparte con todos los participantes en la comunicacin
Clave pblica
Utiliza dos claves, una secreta y otra pblica
Para encriptar Clave secreta del emisor y pblica del receptor
Para desencriptar Clave secreta del receptor y clave pblica
VPN las encriptaciones son en tiempo real con claves vlidas solo
para esa sesin de conexin

VPN
Tcnicas de cifrado
Cifrado simtrico
DES
IDEA
3DS
Cifrado asimtrico
RSA
http://www.slideshare.net/jpadillaa/criptograf
ia-asimetrica-rsa#btnNext
VPN a nivel de enlace
Se elimina la necesidad de utilizar routers en los
extremos que se encarguen del enrutado VPN
Objetivo: Construir una comunicacin segura
independiente del protocolo de nivel 3 (IP u otro)
Extender la LAN a travs de la MAN o WAN
Protocolos utilizados
MPLS
L2TP
VPLS
VPN a nivel de red
Protocolos
IPSec: Mejor para conexiones sitio a sitio
SSL: Ideal para el acceso remoto
Son complementarios
Hay dispositivos que usan las dos tecnologas
VPN a nivel de red
Ventajas de SSL frente a IPSec
No utiliza clientes especficos, utiliza navegadores web
estndar (limita acceso a travs del puerto 443 hhtps)
Facilita el acceso remoto
Requiere menor administracin
No tiene problemas con NAT
Desventajas de SSL frente a IPSec
No soporta trfico de voz
No favorece las conexiones sitio a sitio
Dificulta el acceso a estaciones de trabajo individuales
A veces tiene problemas con NAT
VPN a nivel de aplicacin
SSH es un protocolo de niel de aplicacin para
establecer una conexin remota con un
servidor de manera segura
Encripta los datos (garantiza la integridad)
Soporta varios mtodos de autentificacin (clave
pblica - privada)
En Linux solo pueden acceder al servidor las claves
pblicas que aparezcan en el fichero del servidor
.ssh/authorized_keys
VPN a nivel de aplicacin
ssh se puede considerar una VPN a nivel de
aplicacin
Asegurar Se utiliza mucho para administrar
servidores de forma remota
Soporta cualquier protocolo TCP/IP las
transacciones entre cliente y servidor
por debajo empleado por muchas aplicaciones
VPN a nivel de aplicacin
El cliente y el servidor deben ponerse de acuerdo en el sistema criptogrfico
Se intercambian la clave pblica para generar la clave de cifrado que se utilice en la comunicacin
Esta clave cambia en cada conexin SSH
El usuario genera su par de claves:
ssh -keygen
.shh/identity.pub Almacena la clave pblica
.shh/identity Almacena la clave privada
Intrprete de comando SSH
SSH es un protocolo pero tambin recibe el
mismo nombre el programa que es capaz de
ejecutarlo
Para ejecutar
Servidor: Tener instalado ssh
P.e.: openssh-server
Cliente: Tener un cliente ssh
putty cliente de telnet, ssh,
Cliente en los SO
Intrprete de comando SSH
root@linux-tomas:/# aptitude install openssh-
server
/etc/ssh/sshd_conf
/etc/ssh/sshd_config
AllowUsers usuario
/etc/init.d/ssh restart


Conexin ssh mediante lneas de
comandos
Pasos para conectar el cliente con el servidor
Generar las claves de cifrado asimtrico (algoritmo RSA)
ssh-keygen
Colocar la clave pblica del cliente en el servidor
Copiar en authorized-keys
scp fichero.pub usuario@10.10.10.2:/tmp
Se copia la clave pblica en un fichero temporal del servidor SSH con IP
10.10.10.2
Conectar con el servidor
ssh usuario@10.10.10.2 (conectarse)
cd /etc/ssh (situarse en el directorio donde est instalado ssh)
cat /tmp/fichero.pub >> authorized-keys (copiar la clave pblica en
el fichero donde se almacena las claves autorizadas
Gestin de archivos ssh
Proporciona un sistema de archivos en red
(similar a NFS) de manera segura
Servidor: Servidor SSH
Cliente: SSHFS
Permite montar en el equipo local un FS que est en el
equipo remoto (usando ssh)
sshfs usuario@10.10.10.1:/examenes/sad
/home/sad01/micarpeta/examenes/sad
VPN PROTOCOLOS
Capa enlace MPLS
Aade etiquetas a los paquetes que circulan por la red para poder enrutarlos en cada nodo de comunicacin
Se inserta entre la informacin correspondiente de la capa 2 y 3
Crea conexiones punto a punto
PPTP
De Microsoft
A veces tiene problemas con NAT
L2F
De Cisco
L2TP
Surge de PPTP y L2F
Encapsula los datos utilizando PPP y necesita un protocolo de nivel 3 para ser completamente seguro
Crea conexiones punto a punto
VPLS
Crea conexiones multipunto
Emula el comportamiento de un conmutador o puente creando una LAN compartida por todas las LAN situadas en
diferentes sitios, con un nico dominio de difusin
Capa red SSL
Ideal para el acceso remoto
No utiliza clientes especficos, utiliza navegadores web estndar (limita acceso a travs del puerto 443 hhtps)
Facilita el acceso remoto
Requiere menor administracin
No tiene problemas con NAT
Dificulta las comunicaciones sitio a sitio
IPSEC
Es el mejor para conexiones sitio a sitio
Soporta trfico de voz
A veces tiene problemas con NAT
Capa
aplicacin
SSH
Encripta los datos entre cliente y servidor con clave asimtrica (u otra)
Asegurar Se utiliza mucho para administrar servidores de forma remota
Soporta cualquier protocolo TCP/IP las transacciones entre cliente y servidor
por debajo empleado por muchas aplicaciones
Servidores de acceso remoto: RAS
Un servidor remoto es un equipo que permite que otro
equipo se conecte a l
Se encarga de mltiples llamadas entrantes de los
usuarios remotos
Necesitan recursos de red
Hacen la funcin de puerta de enlace entre el cliente de
acceso remoto y la red local
Hay que realizar una autentificacin antes de establecer la
conexin
Se puede establecer la conexin sin Internet
Con el mvil, rtc o rtb (mdem) a travs de PPTP
Puede actuar en redes Microsoft, Unix, Netware, con
PPP o SLIP

Protocolos de autenticacin
Validacin de la identidad de un usuario o dispositivo, necesaria para
acceder a un recurso
Protocolos
PAP
Protocolo inseguro (no cifra el usuario, ni la contrasea en la comunicacin con el
servidor)
Se utilizaba mucho en UNIX
CHAP
Obliga al cliente a verificar su identidad cada cierto intervalo de tiempo
MSCHAP: variante implementada por Microsoft
TACACS, TACAS+
Permite que el servidor de acceso remoto utilice un servidor de autenticacin para
verificar si el usuario tiene acceso o no
Similar a RADIUS
Del tipo AAA: Autenticacin, autorizacin, contabilizacin
RADIUS
SPAP
El cliente de acceso remoto enva una contrasea cifrada al RAS, que la descifra y utiliza
el formato sin cifrar para autenticar al cliente de acceso remoto
Ms seguro que PAP y menos que CHAP
Protocolos de autenticacin
RADIUS
Tipo AAA
Se utiliza en combinacin con PAP o CHAP
Puede manejar sesiones, determinando o
limitando el tiempo de conexin de cada usuario
Se emplea en la seguridad de redes inalmbricas
Proceso autenticacin RADIUS
El usuario llama al RAS (nombre, password)
iniciando las negociaciones PPP
RAS acta slo como intermediario pasando la
autenticacin al servidor RADIUS
RADIUS autentica al usuario y emite una
respuesta de aceptacin (si no una notificacin)
Con la informacin remitida por RADIUS, RAS
completa la negociacin PPP, permitiendo la
conexin a la red o denegando el acceso
RADIUS
Configuracin de parmetros de
acceso
Gestionar mltiples llamadas a travs de la rtb y mdems
Puertos de comunicaciones, protocolos de red o sistemas de
codificacin
Los SO incorporan interfaz grfica para configurar RAS (con red y sin
mdem)
Configuracin el Linux de mgetty (gestionar conexiones entrantes)
/etc/inittab
Configurar parmetros para escuchar las conexiones entrantes
Modo automtico o manual de operacin en el mdem
/etc/mgetty/login.config
Usuarios que acceden al servidor RAS
/etc/ppp/pap-secrets
Usuarios que se pueden autenticar en el RAS

Configuracin de parmetros de
acceso
Ejemplo configuracin inittab
S0:234:respawn:/sbin/mgetty -n2 -s 57600 -D
/dev/ttyS0
En el login.config
Cambiar: #/AutoPPP/ -a_ppp/usr/sbin/pppd auth -chap +pap login
debug
Por: /AutoPPP/ - a_ppp /usr/sbin/pppd file /etc/ppp/options
En el pap-secrets
# Every regular user can use PPP and has to use passwords from
/etc/passwd
#* hostname "" *
ASIR01 * "alisal2012" *
ASIR02 * "alisal2012" *

Defensa perimetral
Sistemas de deteccin de intrusos (IDS)
Firewall, Routers (filtrar, redirigir, ACL)
Conexiones VPN
DMZ (Subredes protegidas: arquitectura dbil y fuerte)
Defensa interna
Listas de control de acceso (ACL)
Conexiones ssh
Auditoras de seguridad
VLAN
Host
Contraseas
Anti-malware (antivirus, troyanos, gusanos, )
Programacin segura
Deteccin de intrusiones
Actualizacin de sistemas y aplicaciones (parches)
Aplicacin
Personal
Prcticas seguras en:
Uso de carpetas personales
Uso de carpetas compartidas
Realizacin de copias de seguridad
El uso de la red
La modificacin de archivos comunes
La utilizacin de archivos personales en la red interna
La manipulacin de equipos y aplicaciones de red
Cifrado
Firma digita, certificado digital,
Lneas de defensa