This page was exported from Administración y Diseño de Redes Departamentales [ https://redes.noralemilenio.com ]
Export date: Fri Feb 26 1:02:43 2021 / +0000 GMT

Seguridad en Redes



La seguridad en redes tiene que garantizar que todos los usuario de las máquinas y la información posean los derechos que les han sido concedidos. Para poder conseguir esta seguridad se ha de estudiar y aplicar las técnicas necesarias para lograrlo. Además, una red es particularmente sensible de accesos no deseados para intenetar conseguir información, debido a que hoy en día tanto empresas, bancos, como particulares utilizan este medio digital para poder enviarse desde datos personales hasta informaciones confidenciales o datos bancarios.

Es importante entender que los medios de comunicación inseguros implican tener una amenaza constante.

Conceptos Generales

Actualmente se exponene tanto las empresas como las personas y los gobiernos a la dependencia de las redes informáticas, necesitando seguridad en tanto que se comparte, posee o comunica información.

Los conceptos que han de cumplirse para poder tener garantías en una comunicación por red que tiene correctamente implantada su seguridad son:

Propiedades de una comunicación segura

Se debe contar con un proceso integral de segurida que requiera los mecanismos tecnológicos necesarios para evitar pérdidas de información o vulnerabilidades.

Los dos tipos de seguridad más afectados en una comunicación hoy en día son:

Criptografía

La criptografía es el estudio de técnicas y mecanismos para transformar un mensaje inteligible en un mensaje no inteligible y su posterior transformación en el mensaje inteligible original. El proceso de transformación del mensaje inteligible a no inteligible se conoce como cifrado. Al mensaje transformado en no inteligible se le conoce como mensaje cifrado.

Para llevar a cabo el cifrado de un mensaje se utilizan dos elementos:

Existen dos tipos de criptografías:

Criptografía simétrica, también conocida como criptografía de clave privada.

Las dos partes de la comunicación acuerdan y comparten una clave secreta única.

Los datos se encriptan y desencriptan utilizando la misma clave y el mismo algoritmo. Para garantizar la seguridad de los datos transmitidos, debe protegerse la clave y solo debe ser conocida por aquellos que participan de la comunicación. Este sistema de cifrado es rápido y eficaz, hablando en términos computacionales. Actualmente existen diversos algoritmos muy robustos y potentes para llevarlo a cabo. Las claves utilizadas no son muy largas, aunque el grado de protección de la información es directamente proporcional a la longitud de la clave secreta. El mayor inconveniente de este sistema se presenta en la distribución de la clave entre las partes a comunicarse. La distribución de la clave debe ser por medios seguros, ya que de otra forma podría ser interceptada y verse comprometida la privacidad de las transmisiones. actualmente, los algoritmos de clave privada más usados son DES, 3DES, AES, RC4, RC2.

Criptografía asimétrica, también conocida como criptografía de clave pública.

En este caso se utilizan dos claves, llamadas clave pública y clave privada.

La base de la criptografía asimétrica es que la información que se cifra usando una de las claves solo se puede descifrar usando la otra. Lo normal es que se utilice la clave pública para cifrar y la clave privada para descifrar. En un proceso de comunicación cifrada, el receptor debe generar el par de claves pública/privada. La clave pública puede ser distribuida a todos los posibles remitentes de información, sin embargo la clave privada nunca debe ser facilitada (tampoco es necesario). Cuando un dispositivo quiera enviar información al receptor, utilizará la clave pública para cifrar dicha información, la cual solo podrá descifrarse utilizando la clave privada que solo conoce el receptor.

Por tanto, la clave pública puede ser distribuida libremente, pero la clave privada no es necesario distribuirla y solo el receptor necesita conocerla. Ésta es la principal ventaja de este tipo de cifrado, ya que proporciona un alto nivel de seguridad.

La principal desventaja es que el proceso de encriptación es bastante más lento que en el caso de la criptografía simétrica. Por ello, en algunos casos se utiliza la criptografía asimétrica solo para transmitir una clave secreta que luego se utilizará para cifrar los datos con criptografía simétrica.

Las claves en el caso de la criptografía asimétrica son más largas que en la criptografía simétrica.

Los algoritmos de criptografía asimétrica más utilizados son RSA, PGP y Diffie-Hellman.

OJO! En la criptografía asimétrica o de clave pública: Se utilizan siempre dos claves, una pública y otra privada. Solo el dispositivo que conozca la clave privada podrá descifrar la información cifrada con la clave pública. La clave pública se puede distribuir sin problema, la clave privada ¡nunca!.

Algoritmos utilizados en la criptografía asimétrica:

AUTENTICACIÓN

La autenticación es la comprobación de la identidad del emisor del mensaje y la integridad de los datos del mismo. Los principales métodos de autenticación, como son las firmas digitales y los certificados digitales, se basan en la utilización de la criptografía asimétrica.

Existen diferentes métodos de identificación digital para poder comprobar la identidad de una persona y autenticarse:

Clave secreta (privada o simétrica)

Clave pública (asimétrica) con métodos como:

Integridad

La integridad es la propiedad que busca mantener los datos sin sufrir modificaciones no autorizadas, manteniendo la información inalterada sin ser manipulada por parte de personas o procesos sin autorización.

Los datos puede ser alterados por dos causas:

Distribución de claves y certificados

Firmas digitales

En las firmas digitales, el emisor de un mensaje firma el mismo cifrando la información con su clave privada y esa “firma” es única, ya que solo él dispone de dicha clave privada. El receptor puede verificar esa firma utilizando la clave pública correspondiente emitida por el emisor del mensaje. Con este proceso se proporciona autenticación para el mensaje enviado, pero no seguridad mediante cifrado porque cualquiera puede disponer de la clave pública correspondiente y recuperar el mensaje original

Certifiacados

Un certificado es un documento digital que acredita que la clave pública que contiene es de quien dice ser. Para avalar tal afirmación, este documento es respaldado por una autoridad de certificación (CA, Certification Authority) mediante su firma digital.

Las entidades de certificación son organismos seguros e independientes que emite certificados de autenticidad de claves públicas.

Un certificado consta de la clave pública que certifica, el nombre del propietario, un período de validez, el nombre de la autoridad de certificación y un número de serie. Este certificado viene firmado digitalmente por el emisor. Los navegadores web contienen una lista de las principales entidades de certificación, por lo que si establecemos una comunicación segura con alguna entidad (banco, comercio electrónico) que haya certificado su clave pública con alguna de éstas, la comunicación se realizará de forma segura y transparente al usuario.

Si la entidad de certificación no está reconocida por el navegador web, es el usuario el que debe aceptar o no la comunicación.

Un certificado ha de contener la siguiente información:

Existen dos clases de distribución certificada de claves:

Aplicaciones

De manera general se intenta crear aplicaciones que puedan reforzar la seguridad en Internet. Estas aplicaciones suelen trabajar a partir de la capa tercera o red del modelo OSI; es decir, a partir de la zona de encminamiento que es donde más vulnerable se vuelve una comunicación.

SSL (Secure Sockets Layer) Capa de Conexión Segura

Es un protocolo criptográfico de los más usados diseñado para la transferencia de datos de manera segura entre ordenadores conectados a través de Internet o de red interna. Consiste en un cifrado que deben conocer ambos ordenadores para que haya entendimiento entre ellos.

SSL se ejecuta entre los protocolos de aplicación y el protocolo de transporte TCP. Se emplea habitualmente para formar páginas web seguras (HTTPS).

SSH (Secure Shell)

Es un protocolo que se emplea para intercambiar información y mensajes a través de un canal seguro entre dos hosts. Emplea la arquitectura cliente-servidor. Puerto o Socket 22.

Se emplea habitaulmente para entrar de forma remota a un sistema, reemplazando a comandos menos seguros. Otros protocolos asociados como SCP y SFTP.

SCP (Secure Copy)

SCP es un medio de transferencia segura de archivos informáticos entre un host local y otro remoto o entre dos hosts remotos, usando el protocolo Secure Shell. El término SCP puede referir a dos conceptos relacionados, el protocolo SCP o el programa SCP.

SFTP

SSH File Transfer Protocol es un protocolo del nivel de aplicación que proporciona la funcionalidad necesaria para la transferencia y manipulación de archivos sobre un flujo de datos fiable.

IPSEC

El término IPsec se refiere al conjunto de protocolos implementados para proporcionar seguridad a las comunicaciones a través de redes IP. Inicialmente IPsec fue diseñado para IPV6, pero debido a las fuertes necesidades de seguridad actuales se ha adaptado para poder utilizarlo sobre IPV4. IPsec proporciona: servicios de seguridad, incluyendo:

Estos servicios son proporcionados en el nivel IP (nivel 3) y ofrece protección para éste y los niveles superiores. Para ofrecer tales servicios, IPsec utiliza dos protocolos de seguridad:

Además del uso de protocolos y procedimientos de administración de claves criptográficas. el protocolo de administración automática de claves por defecto es IKE (Internet Key Exchange). IKE es usado para establecer una política de seguridad compartida y claves autenticadas para servicios que los requieran (como IPsec). Antes del envío de tráfico IPsec, cada router/firewall/host debe ser capaz de verificar la identidad de su par.

Los mecanismos utilizados por IPsec están diseñados para ser independientes de los algoritmos empleados. Esta modularidad permite la selección de diferentes conjuntos de algoritmos sin afectar al resto del sistema.

Protoclo AH

El protocolo AH  proporciona autenticación, integridad y antirreproducción para todo el paquete. AH firma el paquete entero pero no cifra la información, por lo que no proporciona confidencialidad. La información es legible, pero está protegida contra modificaciones. Utiliza algoritmos HASH con claves que se denominan HMAC (Códigos Hash de Autenticación de Mensajes), para firmar el paquete.

Protoclo ESP

El protocolo ESP proporciona confidencialidad (además de autenticación, integridad y antirreproducción) para los datos de un datagrama IP. No firma, normalmente, el paquete entero (a no ser que se esté realizando un túnel), ya que solo protege la información, y no el encabezado IP. Puede utilizarse por sí solo o en combinación con AH.

Existen dos modos de utilización de IPsec:

Modo túnel, se utiliza para comunicaciones red a red, red a host o host a host a través de internet. El encabezado IP interno (encapsulado) es encriptado ocultando la identidad del destinatario y el origen del tráfico.

Modo transporte, utilizado para comunicaciones de extremo a extremo, es decir, de host a host. solo se cifran los datos. La cabecera no va encriptada pero sí puede ir firmada, por lo que no se puede modificar.

Todo el proceso de encapsulación, encaminamiento y desencapsulación se denomina túnel

Cortafuegos (Firewall)

El concepto de firewall o cortafuegos apareció en el ámbito de las redes de datos para describir los diferentes mecanismos de seguridad destinados a bloquear la transferencia de datos que no cumplan unos criterios de seguridad determinados. Está considerado en la actualidad como un mecanismo de seguridad necesario pero no suficiente para proteger las redes y los equipos conectados a las mismas. Se puede aplicar en dos ámbitos:

router-firewall

firewall-equipo

Las funciones básicas de un firewall consisten en inspeccionar todo el tráfico intercambiado entre dos entidades (entre dos redes o entre un equipo y una red) y comprobar que cumplen ciertas reglas de seguridad permitiendo o denegando dicho tráfico en función de que se cumplan o no dichas reglas. El tipo más habitual de reglas se basa en el criterio de selección de puertos. De esta manera se establecen una serie de reglas para permitir el paso de datos dirigidos a una serie de puertos determinados, denegando el acceso al resto de los puertos.

A este proceso de inspección de paquetes intercambiados entre dos entidades para permitir o denegar el propio intercambio se le denomina generalmente filtrado.

Tercera generación o cortafuegos de aplicación

Los firewalls de tercera generación actúan directamente sobre la capa 7 del modelo OSI, lo que les provee de mayor seguridad y versatilidad, ya que entienden de aplicaciones y protocolos de aplicación directamente. Entiende y es capaz de rechazar un protocolo distinto a través de un puerto que debería de trabajar un protocolo determinado. Estos cortafuegos tiene que procesar mucha más información.

Funciones de un firewall

Zona DMZ de un Firewall

Un cortafuegos contiene como mínimo dos interfaces de red para operar y crear reglas de conexión entre ambas.

La zona desmilitarizada (DMZ) actúa de forma que los servidores que requieren acceso a Internet, como servidores de archivos, páginas web, correo electrónico, etc. puedan tener un acceso a Internet apartado de la red interna por motivos de seguridad.

Sistemas IPS

Los sistemas IPS o de prevención de intrusos son sistemas desarrollados a partir de las deficiencias que traen  los firewalls o faltas de opciones para tener un sistema integral que pueda manejar las amenazas actuales.

 

 


Post date: 2015-03-07 14:08:04
Post date GMT: 2015-03-07 14:08:04
Post modified date: 2015-04-01 19:01:15
Post modified date GMT: 2015-04-01 19:01:15

Powered by [ Universal Post Manager ] plugin. MS Word saving format developed by gVectors Team www.gVectors.com