Transmissió de Dades
6. Seguretat IP
6.1. Protecció de recursos
6.2. Seguretat IP (IPsec)
6.3. Transport Layer Security
6.4. Firewalls i IDS
6.5. Network Forensics
6.1 Protección de recursos
“La información es poder”, y hoy en día ese poder es tremendamente fácil de copiar y de distribuir sin pérdida alguna de calidad. Es por ello que la seguridad de la información se ha convertido en un elemento clave. Podríamos comparar los sistemas de seguridad digitales con los sistemas de seguridad físicos (como cerraduras, cajas fuertes…). Hoy en día el medio que se ha de proteger es la Internet, ya que todo el mundo puede tener acceso.
Podríamos enumerar dos grandes puntos a tener en cuenta a la hora de hablar de seguridad:
• Importante: La información tiene un gran valor. Puede ser vendida directamente o usada de forma indirecta para crear servicios o productos que podrían tener valor añadido y generar beneficios.
• Difícil: Es necesario entender como y cuando los usuarios, los ordenadores, los servicios, las redes deben confiar entre ellos. La seguridad es necesaria en cada ordenador y cada protocolo!! El entorno es muy variado. La seguridad debe estar en todos los niveles, ya que un punto débil puede comprometer la seguridad de todo el sistema.
Además, una internet puede incluir una gran variedad de organizaciones, cada una de las cuales puede tener unas políticas de seguridad diferentes para tratar datos.
Para tratar estos asuntos, existen dos técnicas básicas: Perímetro de seguridad, y cifrado:
-Perímetro de seguridad es una tecnica que nos permite, dentro de una organización definir que servicios y redes hará visible desde el exterior, y a que servicios y redes del exterior se pueden acceder desde el interior.
-El cifrado tiene aplicaciones en muchos aspectos de la seguridad.
Los términos seguridad de la red y seguridad de la información son utilizados en un sentido amplio y tal vez tendríamos que concretar más a que nos referimos.
La seguridad implica el poder mantener la integridad de los datos. Esto quiere decir que debemos limitar el acceso solo a los usuarios autorizados, denegándolo a aquellos que no lo estén. Tener una protección contra las “intromisiones” (escuchas) en las comunicaciones. De la misma forma que no existe un dispositivo físico perfecto que sea totalmente seguro contra los delitos, no existen las redes completamente seguras, pero debemos intentar poner todas las trabas posibles para que dicha tarea no resulte fácil.
Pero de todas formas las organizaciones se esfuerzan en reforzar la seguridad ya que ello hará que cometer un delito sea mucho más difícil.
Asegurar la información necesita de la protección de los dos tipos de recursos existentes:
• Recursos físicos: Proteger el acceso a unidades ópticas, a la red, al cableado… Cabe mencionar que un buen plan de seguridad física permitirá reducir la probabilidad de éxito de los "delitos". Un ejemplo: desconectar un router para que los paquetes sean redirigidos por una ruta alternativa, menos segura.
• Recursos lógicos: Proteger los recursos lógicos es normalmente mucho más difícil que proteger los recursos físicos, ya que la información no es tangible. Existen dos tipos de recursos lógicos: o Wetware o liveware: las personas. Como usuarios de los sistemas, deben recordar nombres de usuario, contraseñas, etc. que a través de técnicas de ingeniería social podrían obtenerse fácilmente. La solución a este problema: la educación / formación de los usuarios (en todos los niveles!!) o Software: La protección de este recurso será el que estudiaremos.
La protección de un recurso abstracto como la información engloba muchos aspectos:
• Integridad de los datos: Un sistema seguro debe proteger la información de alteraciones no autorizadas.
• Disponibilidad: El sistema debe garantizar que agentes exteriores al mismo no bloqueen el uso de un recurso a un usuario legítimo. Es decir, debe prevenir la situación de Denegación de Servicios (DoS)
• Confidencialidad: El sistema debe prevenir que una comunicación entre dos partes se hagan copias de los datos que circulan por la red por una tercera persona. Además, en caso de que la copia se produzca, el atacante no debería ser capaz de descifrar el contenido del mensaje.
• Autorización: El acceso a los recursos debe ser posible solamente a aquellos que tengan derecho de acceso. Por ejemplo, los datos de los empleados que estarán visibles (a los que tendrán acceso) el departamento de contabilidad no serán los mismos para el jefe de personal.
• Autentificación: El sistema debe permitir validar la identidad de las partes que intervienen en la comunicación. De esta forma se garantiza que el emisor/receptor de los datos son quienes dicen ser.
• No reutilización: El sistema debe prevenir que terceras partes puedan reutilizar más tarde información que haya sido capturada. Por ejemplo, en el caso de hacer una compra, si alguien intercepta el mensaje de autorización de pago y más tarde vuelve a enviar ese mensaje, haría comprar dos veces ese artículo al emisor del datagrama. Posibles soluciones a este problema es incluir junto al mensaje un número de secuencia, o una marca de tiempo (timestamp) que le den al mismo una “referencia temporal”.
• No repudio: Evitar que una parte implicada en un intercambio de información se “desdiga” o niegue haber participado en la operación total o parcialmente. Antes de asegurar la información de una red, una organización debe determinar los riesgos de definir una política de seguridad de la información. La política debe determinar, entre otras cosas:
• Quien tiene acceso a que tipo de información.
• Reglas para definir como se distribuirá la información entre los otros usuarios. • Como actuará la organización ante una violación de las reglas establecidas.
Las políticas deben tener siempre muy presente a las personas, ya que
los usuarios son los puntos más débiles en el esquema de seguridad. Un
trabajador malicioso, vengativo, o descuidado podría comprometer
cualquier plan de seguridad.
Índex
6.2 Seguretat IP
6.2.1 IPSec
(DavidSánchez)[25/01]
Com ja vam veure, les direccions IP són fàcilment falsejables, (IP Spoofing). Això és una mostra que la seguretat en una internet és complicada, per això més val no confiar en la informació continguda en els datagrames. La seguretat és complicada degut a que els datagrames, en les internets han de circular per l'interior de xarxes i routers intermitjos, es a dir, xarxes i routers que no són propietat del remitent ni del destinatari.
Per garantir una mínima seguretat, o no tan mínima, farem servir el xifrat de missatges, així aquests podrem garantir, no al 100% el secret d'informació.
Per xifrar un missatge, l'emissor aplica una funció depenen d'una clau que canvia els bits del missatge i deixa totalment il.legible aquest. El receptor només podrà desxifrar el missatge si coneix aquesta clau feta servir el xifrat.
Com a exemple de funcionament només esmentar que el sistema és molt similar, pel que es diu aquí en els apunts i pel que hem van explicar en el curset de linux del curs 2005-06, a la seguretat del mailing, es a dir, molt similar a garantir la autenticitat del emisor del mail, ja que el sistema de xifrat de la firma dels mails és similar al procés explicat en aquests apunts.
Com bé hem dit poques línies anteriorment, el xifrat del missatge no serà mai totalment desxifrable per hosts intermitjos i així poder falsejar el seu contingut, però un bon algoritme de xifrat, una clau i un contingut del missatge ben escollit, poden complicar força el procés de falseig del missatge.
L'IETF ha dissenyat IPSec (IP Security) que col.lectivament són, un conjunt de protocols que permeten comunicacions segures sobre internet i ofereixen serveis d'autenticació i confidencialitat a nivell d'IP. Aquest conjunt de protocols, permeten escollir es propietats de seguretat que exactament es volen, seguint una forma asimètrica. Per tant podem dir que IPSec és Flexible i extensible.
Un exemple d'això és que IPSec pot fer que hagi autenticació només en una part del comunicant i xifrat només en un sentit de la comunicació.
La flexibilitat i la extensibilitat de IPSec també pot aplicar-ho als algoritmes d'autenticació i xifrat fent que cada extrem de la comunicació pugui triar els algoritmes i els paràmeters que creguin menester (longitud de claus). Això fa que IPSec no es restringeixi a l'ús d'uns algoritmes específics, però per guanyar interpretabilitat IPSec fa que totes les implementacions reconeguin un conjunt mínim de algoritmes de xifrat.
Com a resum:
IPsec no és només un protocol de seguretat, sinó que dóna
un conjunt d’algorismes i un marc general que permeten a
dues parts comunicants utilitzar la seguretat més adient en una
situació concreta.
Fonts:
Apunts de Classe
Índex
6.2.2 Capcelera d'Autenticació
A
IPv4 la implementació d'aquesta capçalera s'assembla al plantejament
abordat posteriorment en la definició de IPv6, s'implementa de forma
semblant a les capçaleres d'extensió que vam veure al Tema 5.
La capçalera d'autenticació ( AH, Authentication Header
) s'inclou entre la capçalera IP i la TCP. La seva utilització obliga a
afegir un nou valor per tal de poder interpretar el datagrama, el
nombre assignat es el 51.
Implementació a IPv4
Capçalera IP
AH
Capçalera TCP
Dades TCP
Implementació a IPv6
Capçalera IP
Capçalera bàsica
hop-by-hop, dest*,routing, fragment.
AH
dest, opt*
TCP
Dades
Aquesta capçalera permet només assegurar la integritat de la informació i autenticar a l'origen. Algunes d'aquestes característiques son:
Integritat
Es pot detectar un canvi en les dades o qualsevol part del datagrama posterior a la AH. Un inconvenient son els problemes de IPSec i NAT, degut a que s'ha de modificar el port d'origen/destí ( RFC 3715 )- Autenticació de l'origen
Intenta evitar atacs com l'IPspoofing o de man-on-the-middle.
Protecció dels atacs de replay gracies al camp de nombre de seqüència Aquesta característica necessita d'altres consideracions, ja que a IP els datagrames poden arribar desordenats tenint així que donar un rang permès dintre de la seqüència.
Next Header
- Índica el protocol que hauria d'anar en la capçalera IP. TCP, UDP, etc.
Payload length
- Longitud només de la AH
Security Parameter Index (SPI)
Conté informació sobre quin esquema de seguretat utilitzar (SA, Security Association) . El problema sorgeix de la gran quantitat de dades necessàries: Algoritme d'autenticació, de hash, de xifrat, longitud de les claus, tipus de certificats, etc. Per aixó, es necessari crear una llista externa amb totes les combinacions i així estalviar tamany als datagrames. El protocol per negociar la SA es IKEv2 (Internet Key Exchange).
Sequencie number
- Número de seqüència del datagram dintre del flux.
Authentication Data
- Utilitza un Integrity Check Value acordat segons el SA, normalment un funció hash i un algoritme de signatura per tal de assegurar la integritat i l'autenticitat.
6.2.3 Contingut Securitzat
Per tal d'assegurar també la privacitat de les dades es necessari xifrar-les, la capçalera alternativa a la AH que ho permet es la ESP, Encapsulating Security Payload. En aquest cas no es una part afeixida com si fos una capçalera opcional, si no que canvia la forma en que esta representat el missatge:
Podem veure a la imatge com les dades a partir de la capa de transport no van al darrera de la ESP, sino que estan contingudes. El nombre de protocol a IP es el 50. Respecte als camps que ja te la AH, les novetats son:
Payload data Son les dades xifrades
Cua ESP, conté el Padding i Authentication Data, es opcional i permet l'autenticació, alineació de les dades o ocultació de la mida real.
Degut al disseny de IPv4, es impossible que el datagrama quedi invariant durant tot el trajecte, com a mínim es modificarà el TTL en cada router i es recalcularà per tant el checksum. Per això, s'ha de considerar un nou tipus de camp: els camps mutables. Aquests no s'utilitzaran per fer els càlculs i permetrà així tenir una visió de la comunicació com extrem a extrem en un protocol com IP que es màquina-a-màquina.
Fonts:
Apunts de la assignatura
http://en.wikipedia.org/wiki/Ipsec
http://www.microsoft.com/technet/network/ipsec/default.mspx
http://tools.ietf.org/html/rfc4302
http://tools.ietf.org/html/rfc3715
http://docs.hp.com/en/J4256-90003/ch01s02.html
http://www.cu.ipv6tf.org/pdf/victor_villagra.pdf
6.3.1 SSL i TSL
()[1/02]
El fet de que
s'utilitzi IPsec a nivell de xarxa no implica que la comunicació entre
dues aplicacions sigui segura. Un cop els datagrames IP arriben a la
seva destinació aquests es d'esencripten i s'envien a la següent capa,
el TCP. En aquest punt els datagrames són redirigits per el sistema
operatiu a la aplicació corresponent, pero el contingut del datagrama
ja no és segur.
El
1996 Netscape publica la versió 3.0 del seu famós navegador. En aquest
llençament Netscape va posar especial ènfasi en assegurar una
comunicació segura entre client i servidor per a possibilitar el comerç
a través d'Internet. És per aquest motiu queE va incloure el protocol
HTTP sobre un socket amb seguretat SSL. Aquesta implementació del SSL
va ser aprobada per Visa, ?MasterCard,
American Express i d'altres institucions financeres com a una
implementació valida per al comerç a Internet. Més tard, el IETF, va
desenvolupar el TSL basantse en la implementació en la versió 3.0 de
SSL.
Funcionament
El
SSL/TSL està s'utilitza a nivell TCP i per tant s'implementa com un
socket qualsevol però que inclou una seguretat afegida. Els passos que
fa l'algorisme són sels seguents:
- Els dos extrems del fluxe TCP negocien quin algorisme de xifrat/autentificació faran servir. Per a fer això el client envia una llista d'algorismes de xifrat i la versió del protocol màxima que pot soportar. A partir d'aquesta llista el Servidor escull els paràmetres connexió.
- S'autentifiquen les dues parts i s'intercanvien les claus. Aquestes claus i els certificats d'autentificació depenen de l'algorisme escollit en el pas anterior.
En aquest punt els dos extrems poden començar a intercanviar informació utilitzant l'algorisme de xifrat escollit i les claus previament intercanviades.
Protocols de Client Segurs
Tal i com s'ha dit anteriorment, el SSL/TSL treballa a nivell de TCP i està implementat com a socket combencional. És per aquest motiu que hi ha un munt de protocols que han creat la seva versió sobre aquest socket. Són el cas de protocols com:
HTTP -> HTTPS
Telnet -> SSH
- SMTP
POP3 -> POP3S
IMAP -> IMAPS
Fonts:
Apunts de Classe
http://es.wikipedia.org/wiki/Transport_Layer_Security#Historia_y_desarrollo
Índex
6.3.2 IPSec i SSL (diferències)
(DavidSánchez)[25/01]
IPSec |
SSL/TSL |
"Treballa" a baix nivell, a nivell de seguretat de datagrames. Fet que fa que fa que una xarxa sigui segura utilitzant canals insegurs (Internet, linies dedidaces) |
"Treballa" a nivell de transport (estrem a extrem) i entre dos hosts que no han de perque estar en la mateixa xarxa segura |
Fa segura una xarxa |
Fa segures dues aplicacions |
Fonts:
Apunts de Classe
Índex
6.4. FIREWALLS I IDS.
6.4.1. FIREWALLS (Cortafuegos).
()
Los diferentes
mecanismos que regulan el acceso a internet tienen que evitar
transmisiones no deseadas, filtrando determinados datagramas. Para ello
hacen uso de los firewalls.
Un firewall es un
dispositivos físicos (hardware) o lógicos (software) que sirve para
controlar las comunicaciones mediante el filtrado del tráfico de red,
siguiendo unas políticas de red que define la organización responsable
de la red. Su modo de funcionamiento está descrito en la recomendación
RFC 2979, donde se definen características de comportamiento y
requerimientos de interoperabilidad.
Los firewalls suelen
situarse entre la red a proteger y las redes a las que está conectada,
para evitar que éstas puedan aprovechar vulnerabilidades de la red que
se desea proteger. Aunque nunca debe considerarse el uso de firewalls
como un recurso suficiente para garantizar la seguridad informática.
La internet quedaría así dividida en dos regiones: interior y exterior de la red protegida.
Aunque parece una idea muy sencilla, los diferentes detalles pueden complicar la construcción de los firewalls.
si la red que se desea
proteger tiene múltiples accesos a internet hay que crear una seguredad
perimental, es decir instalar un firewall en cada acceso, y para poder
garantizar la seguridad efectiva del perímetro todos los firewalls
tienen que tener las mismas restricciones configuradas, ya que la
seguridad perimental está determinada por su punto más débil.
No existe una implementación óptima para firewalls sinó que depende de diferentes factores:
Tecnología de red.
Carga de la red.
Políticas utilizadas.
Etc.
Existen
diferentes tipos de Firewalls, aunque los más usuales son los que
trabajan en la capa de IP/transporte, pueden trabajr en las capas de:
Red Física.
IP: filtros de paquetes IP. A este nivel se gún dirección IP origen o de destino destino.
Transporte: filtros según puertos de origen y destino, suelen asociarse a filtrados de IP.
Aplicación: filtros adaptados a las características de los protocolos de aplicación. Por ejemplo, pueden ser filtros según la URL si es tráfico HTTP, éste tipo de filtro concreto suele denominado Proxy y permite un acceso controlado a Internet de los hosts de una organización.
Los
firewalls suelen basarse en filtros que el router aplicará a cada
datagrama. Los firewalls más sencillos analizan cada datagrama por
separado, no se guarda ningún registro de interacción ni un histórico
de datagramas. TCP/IP no define en ningún caso la configuración de los
filtros de los firewalls, así que existen múltiples implementaciones
distintas.
Si se utilizan filtros suele haber dos aproximaciones en el diseño de firewalls:
Política permisiva: por defecto se deja pasar todo el tráfico por defecto excepto el que explícitamente se bloquea, mediante filtros para los datragramas no deseados.
Política restrictiva: por defecto se bloquea todo el tráfico excepto el que está explícitamente autorizado, mediante filtros que dejan pasar únicamente ese tráfico autorizado.
La
política restrictiva es la más segura que la permisiva, ya que siempre
es más dificil permitir por error tráfico que debería ser bloqueado que
"olvidarse" de bloquear dicho tráfico o "desconocer" que debe ser
bloqueado, ya que la política permisiva obliga al administrador a
actualizar constantemente las reglas de filtrado y permite que se creen
"túneles" a otros puertos.
Un tipo de
implementación muy extendida de firewall es el iptables sobre netfilter
que hemos usado en las prácticas. Iptables, como muchos otros
firewalls, está basado en cadenas de reglas, que contienen unas
condiciones y una acción que se producirán en caso de cumplirse las
condiciones.
Ejemplo :
iptables -I FORWARD -s 10.0.0.0/8 -j DROP
Donde "-s 10.0.0.0/8" es la condición y "-j DROP" es la acción. Es decir, si el origen es 10.0.0.0/8 será bloqueado.
Fuentes y más información:
http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29
http://www.ietf.org/rfc/rfc2979.txt
Apuntes de clase
6.4.2. HOST BALUARD (bastion host).
()
Es muy usual no
permitir las comunicaciones directas entre la red interna y el
exterior, sinó que se usa un host intermedio llamado host baluard
(bastion host) que hace de proxy y ofrece servicios.
El host baluard puede estar ublicado:
Entre la red interna y el exterior.
En la misma red interna. En este caso el tráfico externo que va o viene del baluard también afectará a las comunicaciones internas.
Fuentes y más información:
http://en.wikipedia.org/wiki/Bastion_host
http://www.sans.org/resources/idfaq/bastion.php
Apuntes de clase
6.4.3 Sistemes per a la Detecció d'Intrusions
Els Intrusion Detection Systems (IDS) detecten (i en alguns casos prevenen) activitats hostils en una xarxa que podrien comprometre la seguretat. Hi ha dos tipus bàsics:
basats en coneixement: busquen en una base de dades patrons)
basats en comportament: troben desviacions de l'ús "normal"
Els IDS actius bloquen els atacs quan els detecten (normalment afegint filtres en un firewall). Els passius només activen una alarma (p.e. enviant un e-mail)
Els tipus d’atacs poden ser molt variats:
- Intercepció d’informació, spoofing, ús no autoritzat de recursos, trojans...
- Alteració no autoritzada de recursos.
- Denegació de servei (inundació, shutdown remot).
Els atacs no solen ser accions aïllades, sinó sèries d'events individuals realitzats de manera coordinada.
Infraestructura d’un sistema de detecció d'intrusions:
Monitorització -> Detecció -> Notificació -> Resposta
Principals components dels IDS:
Sensors Monitoritzen el host i/o la xarxa per detectat activitat sospitosa i envien la informació als analitzadors.
Analitzadors/Correladors: Analitzen la informació enviada pels sensors i produeixen alertes segons la informació d'una base de dades.
Unitats de resposta: Segons les alarmes rebudes activen contramesures per aturar o prevenir atacs (blocar connexions, tancar ports, blocar comptes d'usuaris, etc.).
Monitorització |
--> |
Detecció |
--> |
Notificació |
--> |
Resposta |
Sensors |
--> |
Analitzadors/Correladors |
--> |
Unitats de resposta |
||
Aquí veiem un exemple del model de funcionament d'un sistema IDS comú.
Aquí veiem una topología típica IDS, amb un firewall per protecció i un sistema IDS que monitoritza i loggeja tota la xarxa.
A servidors UNIX-like, el comú es fer servir SNORT com a sistema integral d'IDS i ACID per analitzar les dades recollides per SNORT i fer informes.
Xarxa típica amb sensors IDS a gairebé tots els components.
Fonts:
Apunts de classe
http://www.packetalarm.de/packetalarm/produkte.php3
http://www.networkdictionary.com/security/ids.php
http://www.linux-tip.net/workshop/ids-snort/ids-snort.htm
http://www.snort.org/
http://www.andrew.cmu.edu/user/rdanyliw/snort/acid_config.html
6.5. Network Forensics
6.5.1 Informàtica Forense
(DavidSánchez)[25/01]
És un equip especial d'especialistes informàtics els quals descriuen els procediments amb la finalitat d'obtenir evidències suficients per a que siguin acceptades en un procés judicial.
La metodologia clàssica (diagnóstic forense) de la informàtica forense és la següent:Assegurar l'escena ==> crear els perímetres de seguretat, desconectar el/s equip/s de la xarxa, etc.
Identificar les evindències ==> En aquest pas es determina la volatibilitat de les dades (evidències), es desen, etc.
Preservar les evidències ==> Fer copies de les dades, epaquetar-les, etc.
Analitzar les evidències ==> En aquests pas es tracta de reconstruir els fets, trobar informació oculta, etc.
Presentació de les evidències ==> Totes les evidències obtingudes durant tot el procés, en aquest es presenten davant el jutge.
Pel
que fa el diagnóstic forense en una xarxa és més difícil de dur terme
en certes activitats en aquesta, ja que les dades no se'emmagatzemen,
es a dir, la majoria són dades efímeres i dinàmiques (protocol d'un
exploit, acte de cucs,etc.). Per aquests dos motius els anàlisis
forenses s'han de realitzar en directe.
Fonts:
Apunts de Classe
Índex
6.5.2 Honeypots and Honeynets
()[01/02]
Tal
i com la seva analogia indica, els honeypots són servidors que tenen
com a única intenció atraure als atacants. Aquests honeypots creen un
escenari que atrau a l'atacant i guarden traces de totes les activitats
que aquest ha efectuat per a permetre un posterior anàlisisp per part
de l'Administrador del sistema.
Podem classificar els honeypots en dos subcategories:
Els honeypots de baixa interacció: Són bàsicament aplicacions que simulen el funcionament d'un sistema operatiu. Recullen un conjunt d'informació limitada. Un tipus especial d'aquests són els stiky honeypot (honeypot engaixos), la missió del qual es reduir la velocitat dels atacs automatitzats.
- Els honeypots d'alta interacció: Aquests treballen sobre un sistema operatiu real i bàsicament són una rèplica del servidor que es pretén protgeir eliminantne la informació confidencial. Permeten, com el seu nom indica, una interacció totalment idèntica a la del servidor original i per tant aconsegueixen un grau d'informació sobre l'atal molt superior.
Dins dels honeypots d'alta interacció podem trobar les anomenades Honeynets. Són xarxes senseres que presenten un escenari idèntic o similar al escenari que s'està protegint. Aqueses honeynets venen cobertes per un firewall especial anomenat Honeywall que en el cas de ser atacat desvia el tràfic a la honeynet especialment preparada per a tal motiu. En el cas de les honeynets no tansols s'enregistra tot el que passa dins de cada honeypot sinó que també s'enregistra tot el tràfic que passa per la xarxa. D'aquesta manera es pot arribar a detectar atacs que involucrin múltiples màquines.
Fonts:
Apunts de classe
http://es.wikipedia.org/wiki/Honeypot[[BR]]