1 Lámina 1. © ALAPSI 2006 Telecommunications and Networking Security Ing. Víctor González García, CISSP, CISA

2 Lámina 2. © ALAPSI 2006 Telecommunications and Networking Security

3 Lámina 3. © ALAPSI 2006 OSI Model

4 Lámina 4. © ALAPSI 2006 ISO/OSI 7498 Capa Física Capa de Enlace Capa de Red Capa de Transporte Capa de Sesion Capa de Presentación Capa de Aplicación Carateriza interfaz fisia entre dispositivos y reglas mediante las cuales se envian bits de un lugar a otro;cubre aspectos mecanicos, electricos, funcionales y procedurales. Transforma los servicios de transmision en un servicio sin errores; segmenta la informacion en secuencia de tramas y procesa acuses de recibo; su retransmision; sincroniza velocidad de proceso entre entidades Controla la operacion de la subred; ruteo de paquetes, estatico o dinamico; control de flujo de congestion; control de tarifas y costos de comunicacion, interfaz a otras redes. Capa Fuente-Destino, extremo a extremo; provee servicios de comunicacion: envio aislado o en secuencia; control de flujo extremo a extremo; establecimiento y terminacion de cada sesion de transporte. Provee mecanismos para establecer dialogos entre aplicaciones; servicios como duplex, half duplex, simplex; recuperacion como el uso de checkpoints, etc.. Sintaxis de los datos que intercambian las entidades de aplicacion; ayuda en la seleccion y modificaciones posteriores del formato y representacion de datos; compresion y descompresion de datos. Provee los medios para que los programas se aplicacion accesen el ambiente OSI, por ejemplo: protocolos de transferencia de archivos, correo electronico y protocolos de autenticacion.

5 Lámina 5. © ALAPSI 2006 Beneficios del Concepto de Niveles o Capas Fácil para discutir y aprender de muchos detalles de las especificaciones del protocolos. Interfaces estándares entre niveles, de tal manera que permita a diferentes productos proveer solamente funciones de algunos niveles. (Facilitates Modular Engineering). Crea mejores ambientes de interoperatividad. Reduce complejidad, permitiendo cambios sencillos de programación y una rápida evolución de los productos. Cada nivel crea “headers” y “trailers” alrededor de los datos del usuario en el envio y su interpretación en la recepción.

6 Lámina 6. © ALAPSI 2006 OSI Model - TCP/IP Model Physical Layer Data Link Layer Network Layer Transport Layer Session Layer Presentation Layer Application Layer Repeater Bridge Router Gateway Physical Layer Data Link Layer Network Layer Transport Layer Session Layer Presentation Layer Application Layer

7 Lámina 7. © ALAPSI 2006 OSI Model - TCP/IP Model Physical Layer Data Link Layer Network Layer Transport Layer Session Layer Presentation Layer Application Layer Host to Network Layer Internet Layer Transport Layer Application Layer

8 Lámina 8. © ALAPSI 2006 Dispositivos operativos ServidoresEstaciones De Trabajo RuteadoresFirewallsNAT Proxies BridgesHubsLAN SwitchesWAN SwitchesAccess Server Ethernet Leased line Host to Network Layer Internet Layer Transport Layer Application Layer

9 Lámina 9. © ALAPSI 2006 Dispositivos de monitoreo Scanner IDS Sniffers Network Monitor Host to Network Layer Internet Layer Transport Layer Application Layer

10 Lámina 10. © ALAPSI 2006 TCP/IP and many other protocols

11 Lámina 11. © ALAPSI 2006 Protocolos Orientados a Conexión y a No-Conexión Tipo de Protocolo FunciónEjemplos Orientado a Conexión Orientado a No- Conexión Recuperación de Errores (Confiabilidad) Trayectoria pre-establecida Entrega simple de datos, sin overhead para la recuperación de errores o inicialización de flujos en el establecimiento de la trayectoria. LLC Tipo 2 (802.2), TCP (TCP/IP), SPX (Netware), X.25 Circuitos Virtuales X.25 (X.25), Circuitos Virtuales Frame Relay (Sin recuperación de Errores), Conexiones Virtuales ATM IPX (Netware), UDP (TCP/IP), IP (TCP/IP), LLC Tipo 1 (802.2).

12 Lámina 12. © ALAPSI 2006 IP Header Vers Total Length Header Checksum Padding Data Options (if any) … Destination IP Address Source IP Address Time to LiveProtocol FlagsFragment Offset Service Type IHL Identification Para mostrar la dirección de IP activa: C:\>ipconfig /all

13 Lámina 13. © ALAPSI 2006 TCP Header TCP Source Port TCP Destination Port Sequence Number Acknowledgment Number Data Offset ReservedControl Bits Window Checksum Urgent Pointer Padding Data Options (if any) … Control Bits URGURG ACKACK PSHPSH RSTRST SYNSYN FINFIN Para mostrar los puertos activos: C:\>netstat –na | more

14 Lámina 14. © ALAPSI 2006 TCP/IP Model Host to Network Layer Internet Layer Transport Layer Application Layer IP.- La parte fundamental de los servicios ofrecidos por Internet, consiste en el Sistema de entrega de paquetes; y es definido como: No confiable Mejor esfuerzo Sin conexion Consta de tres partes: Formato de Datagramas Enrutamiento de Datagramas Manejo de Errores Modulo IPModulo ARPModulo RARP Demultiplexaje basado en el tipo de Trama Arriba de la Trama Protocolo ICMPProtocolo UDPProtocolo TCPProtocolo EGP

15 Lámina 15. © ALAPSI 2006 Layer 4 Transport Layer VoIP H.323 Protocolos Layer 3 Network Layer Layer 2 Data Link Layer SNMP Print TELNET HTTP SMTP FTP NFS RTP Napster E-Commerce WebJava Layer 4 Application TCP Well Known Ports Well Known Ports Dynamic Ports Dynamic Ports UDP TCPUDP Internet Protocol (IP) Internet Control Message Protocol (ICMP) Host to Network Layer Internet Layer Transport Layer Application Layer

16 Lámina 16. © ALAPSI 2006 Estándares TCP/UDP CategoriaNúmero de PuertosEjemplos Puertos conocidos del Sistema ((Well Kown) 0-10237 – TCP/UDP -> echo 20-TCP/UDP -> ftp-data 21-TCP/UDP -> ftp-cmd 22-TCP/UDP -> ssh 23-TCP/UDP -> telnet 25-TCP/UDP -> smtp 49-TCP/UDP -> tacacs 80-TCP/UDP -> http Puertos registrados por el Usuario (User Register) 1024 - 491511080-TCP/UDP -> socks 1169-TCP/UDP -> tripwire 1241-TCP/UDP -> nessus 1433-TCP/UDP -> sql-server 1812-TCP/UDP -> radius Puertos privados o dinámicos49152 - 65535-

17 Lámina 17. © ALAPSI 2006 Seven Layers of the OSI Reference Model Physical Layer Data Link Layer Network Layer Transport Layer Session Layer Presentation Layer Application Layer World Wide Web WWW, File Transfer Protocol FTP, Trivial File Transfer Protocol TFTP, Line Printer Daemons LPD, Simple Mail Transfer Protocol SMTP. Hypertext Transfer Protocol HTTP, Tagged Image File Format TIFF, Joint Photographic Experts Group JPEG, Musical Instrument Digital Interface MIDI, Motion Picture Experts Group MPEG. Network File System NFS, Structured Query Language SQL, Remote Procedure Call RPC. Transmission Control Protocol TCP, User Datagram Protocol UDP, Sequenced Packet Exchange SPX. Internet Protocol IP, Open Shortest Path First OSPF, Internet Control Message Protocol ICMP, Routing Information Protocol RIP. Address Resolution Protocol ARP, Serial Line Internet Protocol SLIP, Point-to-Point Protocol PPP. EIA/TIA-232 and EIA/TIA-449, X.21, High-Speed Serial Interface HSSI.

18 Lámina 18. © ALAPSI 2006 OSI Model - TCP/IP Model Host to Network Layer Frames Bits Host to Network Layer Frames Bits Internet Layer Datagram Internet Layer Datagram Transport Layer Segment Transport Layer Segment Application Layer Message Application Layer Message

19 Lámina 19. © ALAPSI 2006 Estándares IP TipoDirección más bajaDirección más alta A1.0.0.0126.0.0.0 B128.0.0.0191.255.0.0 C192.0.0.0223.255.255.0 D224.0.0.0239.255.255.255 E240.0.0.0247.255.255.255 Dirección Loopback127.0.0.0127.255.255.255 Dirección Privada Tipo A10.0.0.010.255.255.255 Dirección Privada Tipo B172.16.0.0172.31.255.255 Dirección Privada Tipo C192.168.0.0192.168.255.255

20 Lámina 20. © ALAPSI 2006 LAN, MAN, WAN, Intranet, and Extranet technologies

21 Lámina 21. © ALAPSI 2006 LAN Network Topology LAN Media Access Technology Cabling LAN Protocols

22 Lámina 22. © ALAPSI 2006 Network Topology Ring Bus Star Mesh

23 Lámina 23. © ALAPSI 2006 LAN Media Access Technology Ethernet Token Ring FDDI

24 Lámina 24. © ALAPSI 2006 Ethernet 10BASE2 10BASE5 10BASE-T Fast Ethernet 802.3 CSMA/CD - CSMA/CA

25 Lámina 25. © ALAPSI 2006 Token Ring 802.5 Token Passing

26 Lámina 26. © ALAPSI 2006 FDDI 802.8 Token Passing

27 Lámina 27. © ALAPSI 2006 Estándares LAN EstándarTasaMediaNomenclaturaDistancia 802.310 MbpsCable Coaxial UTP Fibra óptica 10 Base2 10 Base5 10 BaseT 10 BaseF 185 mts. 500 mts. 100 mts. 500 mts. 802.3u100 MbpsUTP Fibra óptica 100 BaseT100 mts. 400 mts. 802.3z1000 MbpsSTP UTP 1000 Base-CX 1000 Base T 100 mts 802.3ab1000 MbpsFibra óptica1000 Base-SX 1000 Base-LX 500 mts. 3000 mts.

28 Lámina 28. © ALAPSI 2006 Cabling Coaxial Twisted Pair Fiber Optic Cabling Problems –Noise –Attenuation –Crosstalk –Fire Rating of Cables

29 Lámina 29. © ALAPSI 2006 Estándares de Cableado Tipo de Tecnología ClaseDescripción Par trenzadoCategoría 1 UTPUsado para comunicaciones telefónicas, no adecuado para transmisión de datos. “Categoría 2 UTPEspecificado en el estándar de la EIA/TIA-586 para ser capaz de manejar tasas hasta de 4 Mbps. “Categoría 3 UTPUsado en redes 10 BaseT y es especificado para manejar tasa de hasta 10 Mbps. “Categoría 4 UTPUsado en Token Ring y puede transmitir velocidades de hasta 16 Mbps. “Categoría 5 UTPEspecificado para manejar hasta 100 Mbps. “Categoría 6 UTPEspecificado para manejar tasas hasta de 155 Mbps. “Categoría 7 UTPEspecificado para manejar tasas hasta de 1 Gbps. Cable CoaxialThinnet (RG58)Especificado para manejar tasas de 10 Mbps. “Thicknet (RG8 o RG11)Especificado para manejar tasas de 10 Mbps. Fibra ópticaMonomodo (8-10/125 micras)Especificado para largas distancias y hasta 1 Gbps “Multimodo (50-62.5/125 micras)Especificado para cortas y hasta 1 Gbps

30 Lámina 30. © ALAPSI 2006 LAN Protocols ARP – Address resolution Protocol –Knows the IP address and boradcast to find the matching hardware address. RARP – Reverse Address Resolution Protocol –Knows the hardware address and boradcast to find the IP address. ICMP – Internet Control Message Protocol –Messenger boy

31 Lámina 31. © ALAPSI 2006 Routing Protocols Routing Information Protocol - RIP Open Shortest Path First - OSPF Interior Gateway Routing Protocol - IGRP

32 Lámina 32. © ALAPSI 2006 WAN Dedicated Links T-Carriers WAN Technologies –CSU/DSU –Switching –Frame Relay –Virtual Circuits –X.25 –ATM –Quality of service –Switched Multimegabit Data Service (SMDS) –Synchronous Data Lin Control (SDLC) –High-level Data Link control (HDLC) –High-Speed Serial Interface (HSSI) –Multiservice Access Technologies H.323 Gateways

33 Lámina 33. © ALAPSI 2006 Cables types and data transmission types

34 Lámina 34. © ALAPSI 2006 Medios de Transmisión

35 Lámina 35. © ALAPSI 2006 Medios de Transmisión (cont...)

36 Lámina 36. © ALAPSI 2006 Network devices and services

37 Lámina 37. © ALAPSI 2006 Firewalls Types of Firewalls Firewall Architecture

38 Lámina 38. © ALAPSI 2006 Types of Firewalls Firewall TypeOSI LayerCharacteristics Packet FilteringNetwork LayerRouters using ACLs dictate acceptable access to a network. This looks at destination and source addresses, ports, and services requested. Circuit-level ProxyNetwork LayerThis looks only at the header packet information. It protects a wider range of protocol and services than application-level proxies, but does not provide the detailed level of control available to applications-level proxies. Application-level ProxyApplication LayerThis looks deep into packets and makes granular access control decisions. It requires one proxy per service. StatefulNetwork LayerThis keeps track of each conversation using a state table. It looks at the state and context of packets.

39 Lámina 39. © ALAPSI 2006 Firewall Architecture Architecture TypeCharacteristics Dual HomedSingle computer with two NICs, one connected to the trusted internal network and one connected to the untrusted external network. Screened HostRouter filters (screens) traffic before it is passed to the firewall. Screened SubnetExternal router filters (screens) traffic before it enters the DMZ. Traffic headed towards the internal network then goes through a firewall and another router.

40 Lámina 40. © ALAPSI 2006 Tipos de Firewall y Arquitecturas Internet External Router Trusted Network Bastion Host Internet External Router Trusted Network Multi-homed Bastion Host Internal Router Dual Homed Internet Trusted Network Screened Host Screened Subnet

41 Lámina 41. © ALAPSI 2006 Tipos de Firewalls y Arquitecturas Internet External Router Trusted Network Multi-homed Bastion Host Internal Router DMZ Proxy Server Application Protocol Analysis Proxy Client Reply Forwarded request Forwarded reply Request Application Proxy File Server Real Client

42 Lámina 42. © ALAPSI 2006 Network Address Translation Static mapping Dynamic mapping Port address translation (PAT)

43 Lámina 43. © ALAPSI 2006 Perímetro: Ruteadores, Firewalls Traducción de Direcciones de Red (NAT) NAT ayuda a resolver el problema del corto rango de direcciones de IP y ayuda a proteger la red y su prívacia. NAT permite la asignación de una dirección pública de Internet en el lado “externo” de un dispositivo a una correspondiente dirección privada de Internet en el lado “interno”. De esta forma, el direccionamiento interno de la red permanece oculto a las terceros externos.

44 Lámina 44. © ALAPSI 2006 TCP header IP header 10.0.0.3 # 1 172.33.0.50 # 2 # 3 # 4 No data Perímetro: Ruteadores, Firewalls Private network Source port Destination addr Source addr Initial sequence # Destination port Flag Ack 172.33.0.50 10.0.0.3 1026 23 49091 Syn 10.0.0.3 172.33.0.50 23 1026 92513 Syn-Ack 49092 Public network 172.33.0.50 192.169.0.20 172.33.0.50 23 1026 92513 Syn-Ack 49770 49769 Syn 1026 23 Start the embryonic connection counter NAT Inicialización TCP - De adentro hacia afuera

45 Lámina 45. © ALAPSI 2006 Perímetro: Ruteadores, Firewalls - NAT –Habilita a un Campus a conectarse a Internet independientemente de sus limitaciones de direcciones de Internet. –Permite el acceso a Internet de usuarios no registrados sin una costosa inversión. global (outside) 1 172.15.1.128-172.15.1.254 nat (inside) 1 10.16.0.0 255.255.0.0 global (outside) 1 172.15.1.128-172.15.1.254 nat (inside) 1 10.16.0.0 255.255.0.0 Campus Usuario No Registrado Direcciones Arbitrarias 10.16.2.1 Internet Traducción de Direcciones 172.15.1.128

46 Lámina 46. © ALAPSI 2006 Perímetro: Ruteadores, Firewalls - NAT global (outside) 3 172.15.1.10-172.15.1.115 nat (inside) 3 10.1.0.0 255.255.255.0 nat (inside) 3 10.1.1.0 255.255.255.0 nat (inside) 3 10.1.2.0 255.255.255.0 nat (inside) 3 10.1.3.0 255.255.255.0 global (outside) 3 172.15.1.10-172.15.1.115 nat (inside) 3 10.1.0.0 255.255.255.0 nat (inside) 3 10.1.1.0 255.255.255.0 nat (inside) 3 10.1.2.0 255.255.255.0 nat (inside) 3 10.1.3.0 255.255.255.0 global (outside) 3 172.15.1.10-172.15.1.115 nat (inside) 3 10.1.0.0 255.255.252.0 global (outside) 3 172.15.1.10-172.15.1.115 nat (inside) 3 10.1.0.0 255.255.252.0 or Traduce las direcciones internas a direcciones especificadas en el comando global. 172.15.1.2 172.15.1.1 172.15.1.3 Bastion Host Firewall Ruteador de Perímetro Ventas 10.1.1.0 Ingeniería 10.1.3.0 10.1.2.0 Sistemas de Información

47 Lámina 47. © ALAPSI 2006 Perímetro: Ruteadores, Firewalls - PAT ip address (inside) 10.1.1.3 255.255.255.0 ip address (outside) 172.15.1.1 255.255.255.0 route (outside) 0.0.0.0 0.0.0.0 172.15.1.2 1 global (outside) 1 172.15.1.15 netmask 255.255.255.0 nat (inside) 1 10.1.0.0 255.255.0.0 ip address (inside) 10.1.1.3 255.255.255.0 ip address (outside) 172.15.1.1 255.255.255.0 route (outside) 0.0.0.0 0.0.0.0 172.15.1.2 1 global (outside) 1 172.15.1.15 netmask 255.255.255.0 nat (inside) 1 10.1.0.0 255.255.0.0 Solamente PAT Asigna una sola dirección de IP (172.15.1.15) a un pool global. La dirección de IP debe ser registrada ante el InterNIC Las direcciones fuente de los hosts en la red 10.1.0.0 son traducidos a la dirección 172.15.1.15 en su acceso de salida. 172.15.1.2 172.15.1.4 172.15.1.3 Bastion Host Firewall Ruteador del Perímetro Ventas 10.1.1.3 Ingeniería 10.1.3.0 10.1.2.0 Information Systems

48 Lámina 48. © ALAPSI 2006 Communications security management

49 Lámina 49. © ALAPSI 2006 Evolución de las Vulnerabilidades en la Red Wkst Sucursal Ruteador Interno Internet Ruteador Externo Firewall Servidores Internet /DMZ Carencia de la aceptación y de la promulgación de buenas políticas de seguridad, los procedimientos, guías y estándares mínimos. Servicios No Autenticados Passwords débiles, fáciles de adivinar y reusables que a nivel de estación de trabajo pueden comprometer los servidores Versiones de software sin parches o desactualizados, manteniendo las configuraciones de default Usuarios o cuentas de prueba con privilegios excesivos Excesivas relaciones de confianza tales como NT Domain Trust y archivos UNIX.rhost y host.equiv que pueden proveer a los atacantes acceso no autorizado a sistemas sensitivos Mala configuración en las listas de control de acceso del firewall o del ruteador que pueden permitir acceso a los sistemas internos directamente o una vez que los servidores de la DMZ han sido comprometidos Servidores con mala configuración o ejecutando servicios no necesarios Filtración de información que puede proveer al atacante las versiones del sistema operativo y aplicaciones, usuarios, grupos, información del DNS y servicios ejecutándose como SNMP, finger, SMTP, telnet, etc. Inadecuado logeo o registro, monitoreo y capacidades de detección al nivel de red y servidores Inadecuado control de acceso del ruteador; listas de control de acceso mal configuradas que filtra información a través de ICMP, IP, NetBIOS, y conduce a acceso no autorizado a los servicios de la DMZ Puntos de acceso no seguro y sin monitorear proveen un medio de acceso fácil a la red corporativa Servidor de Acceso Remoto Usuario remoto

50 Lámina 50. © ALAPSI 2006 RootKits Spyware and Adaware Instant Messaging

51 Lámina 51. © ALAPSI 2006 Remote access methods and technologies

52 Lámina 52. © ALAPSI 2006 Tunneling Protocols IPSec PPP PPTP L2TP

53 Lámina 53. © ALAPSI 2006 PPP PPP provides two optional authentication protocols. These are used during initial link setup by the Link Control Protocol (LCP) to deny PPP connections to unauthorized devices. The two authentication protocols are the Password Authentication Protocol (PAP) and Challenge Handshake Authentication Protocol (CHAP).

54 Lámina 54. © ALAPSI 2006 PAP/CHAP PAP –RFC1334 http://www.cis.ohio-state.edu/htbin/rfc/rfc1334.htmlhttp://www.cis.ohio-state.edu/htbin/rfc/rfc1334.html –Password Authentication Protocol (PAP) provides a simple method for the peer to establish its identity using a 2-way handshake. This is done only upon initial link establishment. CHAP –RFC1334 http://www.cis.ohio-state.edu/htbin/rfc/rfc1334.html –Challenge Handshake Authentication Protocol (CHAP) is used to periodically verify the identity of the peer using a 3-way handshake. This is done upon initial link establishment and may be repeated any time after the link has been established.

55 Lámina 55. © ALAPSI 2006 Wireless technologies

56 Lámina 56. © ALAPSI 2006 Wireless Standards 802.11b 802.11a 802.11e 802.11f 802.11g 802.11h 802.11i 802.1X 802.11j 802.11n 802.16 802.15