PDF de programación - Modelos de red segura y ataques de capa 3

Modelos de red segura
y ataques de capa 3

Metodologías y marcos de trabajo en seguridad de la
información. Ataques comunes en capa 3

César A. Cabrera E.
Ing. de sistemas y computación UTP
CCNP, CCAI, CCNA
CIDCA Pereira
Pereira, Marzo de 2012

www.cesarcabrera.info/blog/

1

Objetivos

 Describir marcos de trabajo en seguridad de la

información.

 Conocer el tipos de pruebas de seguridad que se

pueden efectuar en una red de datos

 Clasificar las amenazas a una red o sistema

 Conocer algunas vulnerabilidades de los protocolos

de capa 3

 Conocer algunos programas de ataque y

contramedidas

www.cesarcabrera.info/blog/

2

Modelos y metodologías

Modelos de red segura

• Sirven para analizar el comportamiento de un sistema

complejo a partir de elementos más simples como
sujetos, objetos y permisos.

• Modelo de Bell-LaPadula (BLP)

– Rígido. Confidencialidad y con autoridad.

• Modelo de Clark-Wilson (CW)

– Orientación comercial: integridad.

• Modelo de Take-Grant (TG)

– Derechos especiales: tomar y otorgar.

• Otros: modelo de Goguen-Meseguer (no interferencia entre usuarios);

modelo de Matriz de Accesos (estados y transiciones entre estados: tipo
Graham-Dennig; tipo Harrison-Ruzzo-Ullman), Biba, Chinese Wall, etc.

www.cesarcabrera.info/blog/

3

Modelos y metodologías

• Clasificación de la información gubernamental

• Ultra secreta

• Secreta

• Clasificada

• Desclasificada

• Clasificación de la información n

• Confidencial

• Privada

• Sensitiva

• Pública

• C. Gubernamental enfatiza el nivel de confidencialidad, C.

Comercial enfatiza la integridad.

www.cesarcabrera.info/blog/

4

Modelos y metodologías

Especificaciones vs. implementación:

fuente de problemas

www.cesarcabrera.info/blog/

5

Modelos y metodologías

 Pruebas de seguridad:

–Auditorías de seguridad: conformidad con las políticas

–Exploración de vulnerabilidades: enumerarlas

–Pruebas de penetración (hacking ético): explotarlas

–Ataques de equipo robado

–Entrada física

–Ataques de seguridad de señal: redes inalámbricas

–Ataques de ingeniería social: personas y procesos
organizacionales

www.cesarcabrera.info/blog/

6

Modelos y metodologías

www.cesarcabrera.info/blog/

7

Modelos y metodologías
 Metodología OSSTMM (Open Source Testing

Methodology)

1. Seguridad física

2. S. de Internet

3. S. de la información

4. S. inalámbrica

5. S. de las comunicaciones

6.

Ingeniería social

 Otras metodologías: NIST 800-42, OCTAVE (

http://www.cert.org/octave/ ) e ISO 27000
(previamente 17799:2000).



Indispensable: definición de alcance previo y permiso escrito
de administradores y representantes de la organización. Ley
1273 de Enero 5 de 2009, Colombia.

www.cesarcabrera.info/blog/

8

Modelos y metodologías

Ataques comunes por capa

www.cesarcabrera.info/blog/

9

Tomado de: Hack the Stack. Ed. Syngress. Gregg, Michael.

Modelos y metodologías

Contramedidas por capa

www.cesarcabrera.info/blog/

10

Tomado de: Hack the Stack. Ed. Syngress. Gregg, Michael.

Principios y elementos de seguridad

 Principios de la seguridad informática (J. Ramió)

1. El intruso usará el artilugio que le haga más fácil el

acceso y posterior ataque

2. Los datos confidenciales deben protegerse hasta

que su secreto valor

3. Las medidas de control se implementan para que

tengan un comportamiento efectivo, eficiente sean
fáciles de usar y apropiadas al medio

www.cesarcabrera.info/blog/

11

Principios y elementos de seguridad

 Clasificación de las amenazas (J. Ramió)

1.

Interrupción

2.

Interceptación

3. Modificación

4. Generación



www.cesarcabrera.info/blog/

12

Interrupción Interceptación Flujo Normal Modificación Generación Principios y elementos de seguridad

Elementos básicos de la seguridad informática:

 Confidencialidad: Cifrado



Integridad: Cifrado y firma

 Disponibilidad: Capacidad/redundancia

 No repudio: Autenticación / Autorización /

Contabilización (Accounting)



NOTA: AAA: Se asocia con el no repudio y son siglas de Authentication,

Authorization and Accounting

www.cesarcabrera.info/blog/

13

Principios y elementos de seguridad

Factores de autenticación

Algo que ud. Sabe: contraseña

Algo que ud. Tiene: llaves, tarjetas, tokens

Algo que ud. Es: Biometría (huella, iris, voz, etc.).

Muchos sistemas hoy en día usan autenticación de
doble factor.

La seguridad se ve mejorada si los factores se
transportan por diferentes canales.

www.cesarcabrera.info/blog/

14

Capa 3 del modelo OSI
Categorización de algunos ataques en capa 3:

Encabezado IP

Spoofing (falsificación)

Fragmentación (Inserción/Evasión)

Fingerprinting pasivo

ICMP

Canales encubiertos

Ataques con Echo

Exploración (scanning) de puertos

DoS y redirecciones

Enrutamiento

Falsificación

DoS

www.cesarcabrera.info/blog/

15

Capa 3 del modelo OSI

Aseguramiento de la capa 3

 IP: Túneles IPSec (VPNs), ACLs, SSH

 ICMP: Limitar mensajes (Reject/Drop), ACLs

 Enrutamiento: ACLs, autenticación de enrutadores.



www.cesarcabrera.info/blog/

16

Capa 3 del modelo OSI

 ACL: Access-control lists (listas de control de acceso)



Comparar cada paquete

con reglas para permitirlos

o denegarlos.



Tutorial: http://cesarcabrera.info/blog/leccion-sobre-listas-de-acceso-acls/

www.cesarcabrera.info/blog/

17

Capa 3 del modelo OSI

ACLs 

www.cesarcabrera.info/blog/

18

Capa 3 del modelo OSI

ACLs 

Ejemplo en enrutador Cisco



config)#access-list 10 permit ip 192.168.0.0 0.0.255.255
config)#access-list 10 deny ip host 192.168.10.10
config)#access-list 10 permit ip any

Explicación: La 1ª regla permite los paquetes originados en la red 192.168.0.0,
la 2ª niega el paso a los paquetes que provengan del host de IP 192.168.10.10
y la última regla permite cualquier otro tráfico.
www.cesarcabrera.info/blog/

19

Capa 3 del modelo OSI

 IPSec: VPNs en internet

www.cesarcabrera.info/blog/

20

Capa 3 del modelo OSI

 IPSec: VPNs en internet

www.cesarcabrera.info/blog/

21

Programas

 Tcpdump/windump

 Cain

 Auditor Security collection

 Canales encubiertos: Loki, ICMP Backdoor, 007Shell,
B0CK. Interpretes por canales encubiertos: ptunnel y
ackcmd

 Backtrack

www.cesarcabrera.info/blog/

22

Bibliografía

 Hack the Stack. Ed. Syngress. Gregg, Michael.

 Seguridad informática y criptografía. [En línea:

http://www.criptored.upm.es/descarga/SegInfoCrip_v41
.zip]

 Accessing the WAN (Cisco CCNA 4) Curriculum [

http://cisco.com ]

 www.CesarCabrera.info/blog/

www.cesarcabrera.info/blog/

23