1 / 118

Certified Information Systems Security Professional (CISSP) Domain

Seguridad en Redes y Telecomunicaciones (Telecommunications and Networking Security). Certified Information Systems Security Professional (CISSP) Domain. Conceptos. Telecomunicaciones – es la transmisión eléctrica de datos entre sistemas.

bmelton
Download Presentation

Certified Information Systems Security Professional (CISSP) Domain

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad en Redes y Telecomunicaciones (Telecommunications and Networking Security) Certified Information Systems Security Professional (CISSP) Domain

  2. Conceptos Telecomunicaciones – es la transmisión eléctrica de datos entre sistemas. Protocolo – conjunto estándar de reglas que determinan cómo se lleva a cabo la comunicación entre sistemas. Organismos: FCC (Federal Communications Commission) ITU (International Telecommunication Union) - CCITT ISO (International Standards Organization) IETF (Internet Engineering Task Force) IEEE (Institute of Electrical and Electronic Engineers)

  3. Modelo OSI • En un inicio cada fabricante utilizaba su propio protocolo • OSI (Open Systems Interconnect),1980s, impulsado por ISO • Modelo jerárquico, modular, dividido en capas con funcionalidades específicas. • Objetivo: proveer un conjunto de estándares de sistema abierto para los fabricantes de equipo para promover interoperabilidad. • Encapsulación - adición de información específica de cada capa a los paquetes

  4. Modelo OSI – Capa de Aplicación • Proporciona interfaz hacia el usuario. • Verifica disponibilidad del otro extremo de la comunicación. • Trabaja directamente con los datos del usuario. • i.e. SMTP, HTTP, LDP, FTP, TFTP, SNMP, X.400, etc. Aplicación 7 Presentación Sesión Transporte Red Enlace Física

  5. Modelo OSI – Capa de Presentación • Formato, sintaxis estandarizada. • Conversión de datos • Compresión (RLE, ZIP, LZH, etc.) • Cifrado • i.e. ASCII, GIF, TIFF, JPEG, AVI, DOC, EBCDIC, etc. Aplicación Presentación 6 Sesión Transporte Red Enlace Física

  6. Modelo OSI – Capa de Sesión • Establece, mantiene y termina conexiones entre aplicaciones. • Tipos de comunicación: • Simplex • Half duplex • Full duplex • Control de diálogo: • Establecimiento • Transferencia de datos • Fin de sesión • i.e. NFS, SQL, RPC, Xwindow, DNA SCP, ASP (AppleTalk Session Protocol) etc. Aplicación Presentación Sesión 5 Transporte Red Enlace Física

  7. Modelo OSI – Capa de Transporte • Conectividad de extremo a extremo (end-to-end). • Establece conexiones lógicas entre sistemas (circuitos virtuales) • Segmentación y reensamblaje. • Transferencia confiable y no confiable de información. • Detección y corrección de errores. • Control de flujo (ventanas y buffering) • 3-way-handshake • Mantiene separados los datos de las distintas aplicaciones • i.e. UDP, TCP, SPX (Sequenced Packet Exchange), SSL*, etc. Aplicación Presentación Sesión Transporte 4 Red Enlace Física

  8. Modelo OSI – Capa de Red • Direccionamiento lógico • Determinación de la mejor ruta. • Protocolos ruteables (routed): Contienen información del usuario, i.e. IP, IPX, AppleTalk • Protocolos de ruteo (routing): Contienen información para determinar las rutas, i.e., RIP, IGRP, EIGRP, OSPF, BGP, IS-IS • Otros: ICMP, IPSEC, GRE, IGMP, etc. Aplicación Presentación Sesión Transporte Red 3 Enlace Física

  9. Modelo OSI – Capa de Enlace • Data link • Direccionamiento físico (MAC). • Control de flujo, detección de errores. • Formato de tramas para envío sobre medio físico como una serie de bits. • Subcapas: • LLC (Logical Link Control) • MAC (Media Access Control) • i.e. ARP, RARP, SLIP, PPP, L2F, L2TP, FDDI, ISDN, HDLC, SDLC, SNA, TR, FR, ATM, Ethernet, etc. Aplicación Presentación Sesión Transporte Red Enlace 2 Física

  10. Modelo OSI – Capa Física • Convierte bits a señales de acuerdo con el medio de transmisión (voltajes, ondas electromagnéticas, pulsos, etc). • Sincronización, velocidad del medio, ruido. • Cables, conectores, tarjetas, señales. • i.e. HSSI, X.21, EIA/TIA-232, EIA/TIA-449, V.90, V.35, G.703 Aplicación Presentación Sesión Transporte Red Enlace Física 1

  11. Encapsulación de Datos L7 – Mensaje Encab. Payload Encab. Payload L4 L4 - Segmento Encab. Payload L3 L3 - Datagrama L2 – Trama (Frame) Encab. Payload L2 FCS / CRC L1

  12. Aplicación Aplicación Presentación Presentación Sesión Sesión Transporte Transporte Red Red Red Enlace Enlace Enlace Física Física Física Modelo OSI ([Enviar]) XXX XXX E0 E1 RED 2 RED 1

  13. TCP/IP • Conjunto de protocolos ampliamente utilizado para la transferencia de datos entre sistemas. • Creado por el Departamento de Defensa de E.U. TCP/IP (detalle) OSI TCP/IP Aplicación Proceso ó Aplicación Proc Proc Proc Proc Proc Presentación Transporte Host a Host Sesión TCP UDP ICMP Transporte Internet o Internetwork IP Red ARP RARP Enlace Acceso a la Red Ethernet, FR, TR, FDDI PPP, SLIP, etc Física Medio

  14. Tipos de Transmisión • Analógica– señales continuas (ondas electromagnéticas a través de un medio) • Digital – pulsos (binarias) • Menor efecto del ruido, confiable en largas distancias v t v t

  15. Tipos de Transmision • Modulación – señal moduladora modifica parámetros (frecuencia, amplitud, fase) de una señal portadora (carrier) • Modem – modulador/demodulador

  16. Tipos de Transmisión • Comunicación Síncrona – sincronización entre los dispositivos (señal de reloj) • Comunicación Asíncrona – sin sincronización, utiliza delimitadores • Banda Base – la señal es transmitida aplicándola directamente al medio, utilizándo su ancho de banda por completo. • Banda Ancha – divide el medio en canales para transmitir varias señales simultáneamente, y por lo tanto, alcanzar mayores velocidades de transmisión (mayores a 56kbps). i.e. T1, E1, ISDN, ATM, DSL, Cable

  17. Medios de Transmisión • Ancho de banda (bandwidth): máxima frecuencia (rango) que puede transmitir un medio • Velocidad (data rate, throughput): capacidad de transmisión de datos • Ruido – señales indeseables en una línea debido al ambiente • Atenuación – pérdida de potencia en la señal al ser transmitida, aumenta con distancia y frecuencia. • Crosstalk – mezcla de señales de diferentes cables. • Cable coaxial: resistente a interferencia (EMI), mayor ancho de banda, permite mayores distancias que cobre, pero es caro y díficil de manejar. • Fibra óptica: transmite pulsos luminosos. Mayor velocidad, inmune a EMI, no emite radiación, pero es más caro. Se usa en backbones. (glass) (kevlar) • Sheath • Conducting layer • Insulation (PVC, Teflon) • Conducting core

  18. Medios de Transmisión • Twisted Pair: par de hilos de cobre, trenzados para minimizar interferencia y crosstalk. Es barato pero no es bueno para largas distancias – atenuación. • UTP – unshielded, sin blindaje • STP – shielded, con blindaje externo adicional

  19. Topologías de Red

  20. Tecnologías LAN • LAN (Local Área Network) – comunicación y recursos compartidos en un área relativamente pequeña (mismo tipo de tecnología de capa de enlace).

  21. A B G H J D E Printer Collision File Server Ethernet • CSMA/CD: Carrier Sense Multiple Access with Collision Detection, monitorean medio para verificar que nadie esté transmitiendo, si hay una colisión, envían una señal para abortar (jam) y esperan un tiempo aleatorio para retransmitir (back-off algorithm). • CSMA/CA: Collision Avoidance, los equipos indican su intención de transmitir antes de hacerlo.

  22. D A B G C F E Printer Token MAU File Server Token Ring • Topología: estrella física, anillo lógico • Token: trama de control de 24 bits (encabezado – con direcciones, campo de datos, y trailer) • El token va recorriendo el anillo, y sólo el equipo con el token puede transmitir. • Active monitor: elimina tramas atrapadas en ciclo (loop) • Beaconing: envío de un beacon (trama) para indicar errores

  23. FDDI • Fiber Distributed Data Interface (ANSI) • Utiliza dos anillos, uno en el sentido de las manecillas del reloj para datos, el otro en sentido contrario para redundancia. • Ring wrap – señal que indica fallo en anillo primario

  24. Conceptos • Dominio de colisión: grupo de equipos que “compiten” por el uso del mismo medio compartido. Separados por dispositivos L2. • Dominio de broadcast: grupo de equipos que escuchan el mismo tráfico broadcast. Separados por dispositivos L3. • Tipos de Acceso al Medio: • CSMA • Tokens • Polling: tipo de acceso al medio en el que las estaciones secundarias sólo pueden transmitir si se lo pregunta una primaria. • Métodos de transmisión LAN • Unicast: dirigido a un sólo host • Multicast: dirigido a un grupo de hosts • Broadcast: dirigido a todos los hosts dentro de un segmento de red.

  25. IP • Protocolo no orientado a conexiones • Utiliza direccionamiento lógico (jerárquico) para ruteo de paquetes. • IPv6 – 128bits • IPv4 – 32bits (red/host). • Subnet mask – determina que porción de la dirección es de red y de host. Esta máscara determina la clase de la red. • Clase A: 8bits para dirección de red, 24 para host • Clase B: 16 bits para dirección de red, 16 bits para host • Clase C: 24 bits para dirección de red, 8 par host • Direcciones privadas: • 10.0.0.0 (1 Clase A) • 172.16.0.0 a 172.31.255.255 (16 Clases B) • 192.168.0.0 – 192.168.255.255 (256 Clases C) 196.64.1.1 255.255.255.0 24 Bits 8 Bits

  26. IP 15 16 31 0 Version (4 bit) Header length (4 bit) Type of Service (8-bit) Total Length of IP datagram (16-bit) Identification (16-bit) Flags (3 bit) Fragment Offset (13-bit) Time to Live (8-bit) Protocol (8-bit) Header Checksum (16-bit) 20 bytes Source IP address (32-bit) 28 bytes Destination IP address (32-bit) IP Options (if any) Pad Upper Layer Data

  27. TCP y UDP • Protocolos de la capa de transporte, se encargan de “transportar” los datos entre dos sistemas.

  28. TCP y UDP TCP UDP Source Port Destination Port Source Port Destination Port Sequence Number UDP Msg Length UDP Checksum Acknowledgment Number Data HLEN Rsvd Code Window TCP Checksum Urgent Pointer Options (if Any) Padding Data *Code=SYN, ACK, RST, PSH, FIN, URG

  29. TCP • Establecimiento de conexiones TCP sigue un 3-way-handshake Emisor Receptor (Escuchando) Envía Syn (x) SYN Envía Syn (y), Ack (x+1) SYN, ACK Recibe Ack (x+1) Envía Ack (y+1) ACK Recibe Ack (y+1) Establecida Establecida

  30. Números de Puertos y Protocolos • UDP y TCP utilizan puertos para comunicarse con las capas superiores y separar las diferentes conexiones. • Conocidos (well known): 0-1023 • Registrados (registered): 1024 – 49151 • Dinámicos (dynamic/private): 49152-65535 • Socket – puerto y dirección fuente y destino. • De manera similar, IP utiliza un número de protocolo para identificar lo que corresponde a capas superiores. FTP DNS TFTP Telnet SMTP HTTP SNMP L5 a L7 21/20 23 25 80 161/162 53 69 Puerto L4 UDP TCP 6 17 Protocolo L3 IP

  31. Otros Protocolos TCP/IP • ARP – Address Resolution Protocol, busca obtener una dirección física (MAC) que corresponde a una lógica (IP) • Susceptible a envenenamiento (ARP poisoning, es decir, colocar información incorrecta en la tabla ARP • RARP – Reverse Address Resolution Protocol, utilizado por terminales sin disco para obtener su dirección IP, conociendo su dirección física. • BOOTP – Boot Protocol, proporciona más información que RARP a estaciones sin disco. • DHCP – Dynamic Host Configuration Protocol, utilizado por equipo con su propio S.O. para obtener una IP • ICMP – Internet Control Message Protocol, entrega mensajes, reporta errores e información de rutina, y se utiliza para probar conectividad y resolución de problemas • Ping – echo request + echo reply • ICMP unreachables – indican que el destino no es alcanzable

  32. Dispositivos de Red • Repetidor • L1, hardware • Repite y amplifica señales • “Cable invisible” • Switches • L2, hardware • Puede tener muchos puertos. • Funcionalidad similar a un bridge. • Permite creación de VLANS (LANS virtuales, es decir, segentación en distintos dominios de colisión en un mismo switch, e independiente deubicación física) • Multilayered – combinan funcionalidades de otras capas • Hub • L1, hardware • Repetidor multipuertos • Bridges • L2, software • Segmenta LANs - divide dominios colisión • Tablas de reenvío: • Transparente: Tabla CAM (MAC vs puerto) • Source Routing: los paquetes contienen la información necesaria para ser reenviados. • Spanning Tree – prevención de ciclos infinitos (loops) • Reenvía broadcasts => broadcast storms • Local (una misma LAN), remoto (a través de una WAN) o de traducción (diferentes tecnologías LAN)

  33. Dispositivos de Redes • Routers • L3, software • Decisiones basadas en IP • Interconecta redes • No reenvía broadcasts – divide dominios de broadcast • Si desconoce la dirección destino, no reenvía los paquetes. • Lleva una tabla de ruteo (IP vs interfaz) • Crea un nuevo encabezado L2 para cada trama. • El ruteo se lleva a cabo en base a la dirección destino. • Estático – configurado en el router • Dinámico – la tabla se construye a partir de protocolos de ruteo. • Sistema Autónomo (AS) – red individual manejada por una entidad específica.

  34. Dispositivos de Redes • Gateway: software que interconecta dos ambientes diferentes, actuando como traductor o restringiendo la interacción entre ellos. Usualmente L7, pero puede variar. Ejemplos: routers, gateways de correo, gateways de voz • PBX: Private Branch Exchange, conmutador de telefonía privado, proporciona servicios telefónicos, puede ser analógico o digital. Se conecta a la red pública telefónica (PSTN) • Phreaker – hacker telefónico • Local loop – lazo entre usuario y central telefónica • DISA – Direct Inward System Access – código de autorización para acceso a líneas

  35. Firewalls • Filtran tráfico, facilitan segregación. L3 a L7. • DMZ (demilitarized zone): zona de buffer entre redes protegidas y desprotegidas • Dual-homed: equipo con dos tarjetas de red conectadas a diferentes redes con distintos niveles de confianza • Multi-homed: equipo con varias tarjetas de red • Desventajas: punto central de falla, posible bajo desempeño, pueden limitar servicios deseables, no proporcionan protección contra virus y atacantes internos. Internet

  36. Tipos de Firewall • Packet filtering: filtra basado en los paquetes (reglas que evalúan los encabezados). 1ª generación. • Dynamic: añade puertos dinámicos a reglas temporales para permitir las conexiones de regreso. UDP. 4ª generación. • Stateful inspection: lleva una tabla con el estado de las conversaciones y filtra con base en esto. Analiza todo el paquete, permite seguir protocolos no orientados a conexión. 3ª generación. • Proxy: intermediario, redirige peticiones a su destino. • Application Level: Inspecciona todo el paquete y toma decisiones con base en todo su contenido, específico para cada protocolo. • Circuit Level: crea un circuito entre cliente y servidor; sólo inspecciona los encabezados y puede usarse para varios protocolos. i.e. SOCKS • Kernel Proxy: crea stacks dinámicos personalizados de TCP/IP cuando necesita evaluar un paquete. Examina todo el paquete de acuerdo con protocolo identificado. 5ª generación.

  37. Arquitecturas de Firewall • Bastion Host: sistema configurado de manera “invulnerable”, debido a su alta exposición: divide redes confiables y no confiables. • Screened Host: firewall que se comunica directamente con un dispositivo de filtrado previo y con la red interna. • Screened Subnet: El firewall está ubicado entre otros dos dispositivos que filtren tráfico. • Consideraciones: negar lo no permitido, anti-spoofing, fragmentación, source routing. Internet Internet

  38. Servicios de Red • Network Operating System (NOS): controla acceso a los recursos de red y proporciona los servicios para habilitar la interacción de una computadora con la red. • DNS: Domain Name Service; resuelve nombres de host a direcciones IP • Las redes se dividen en zonas dentro de un servidor • Resource records: archivo que relaciona IPs con nombres • Authoritative name server: contiene el listado para una zona. • Los servidores se encuentran organizados jerárquicamente, con dominios de diferentes niveles. COM AT&T Root Top Level 2nd Level MX Uninet

  39. Servicios de Directorio • Contiene una base de datos jerárquica de los usuarios, computadoras, impresoras, recursos y los atributos de cada uno. • Basados en el modelo X.500 • LDAP (Lightweight Directory Access Protocol) – protocolo para acceso a la base de datos del directorio. • Metadirectories – permiten encontrar información en otros directorios a través de uno de mayor nivel. • Ejemplos: Microsoft Active Directory, Novell Directory Services

  40. 10.2.0.0 /24 Global pool 192.168.0.17-30 192.168.0.0 192.168.0.3 NAT Internet Internet 10.0.0.0/24 192.168.0.20 Port 2000 10.0.0.11 10.0.0.11 192.168.0.20 Port 2001 10.0.0.4 10.0.0.4 PAT NAT • Network Address Translation: traduce de una dirección IP a otra • Static - Uno a uno • Dynamic - Uno a muchos – permite compartir IPs, stateful, overload • Port translation - Mapeo de puertos (PAT)

  41. Tipos de Redes • Intranet – red interna, privada, que utiliza tecnologías Web. • Extranet – red de comunicación entre diferentes compañías • LAN – red local, en zona geográfica pequeña • MAN (Metropolitan Area Network) – backbone que interconecta redes locales, de área amplia e Internet en una zona geográfica grande. Utiliza SONET/SDH ó FDDI (fibra) • WAN (Wide Area Network) – establecen comunicación a través de grandes distancias.

  42. Telecomunicaciones • Multiplexing – combinar múltiples canales de datos sobre un mismo medio de transmisión. • TDM (Time Division Multiplexing) – asigna diferentes espacios de tiempo sobre la línea a cada canal. Escalable. DS-0 DS-1 DS-2 DS-3 6 5 4 3 2 1 0 6 5 4 3 2 1 0 DS-4 DS-5 DS-6

  43. Telecomunicaciones • Enlace dedicado – enlace punto a punto exclusivo para esa conexión. Costo proporcional a distancia. • Conmutación – establecimiento de conexión solo cuando se necesita. • Circuit switching – establece una conexión virtual que actúa como un enlace dedicado entre dos sistemas. i.e. telefonía • Packet switching – los datos son divididos en paquetes, que pueden seguir diferentes rutas para llegar a un destino. • CSU/DSU (Channel/Data Service Unit) – conversor entre señales digitales y señales apropiadas para las líneas de transmisión. • DTE – Data Terminal Equipment – del usuario • DCE – Data Circuit-terminating Equipment – del Telco, señalización DTE DCE T1 (Telco) DSU/CSU CSU/DSU

  44. Tecnologías WAN

  45. Otros Protocolos WAN • SMDS – Switched Multimegabit Data Service – packet-switched, de alta velocidad para extender LANs. Reemplazada por FR. • SDLC – Synchronous Data Link Control – de IBM, utiliza polling para establecer comunicación en ambientes SNA, entre mainframes y sitios remotos, orientado a bits. • HDLC – High-level Data Link Control – extensión de SDLC para múltiples tipos de conexiones (punto a punto y multipunto). Método de encapsulación para enlaces seriales. Incompatible entre fabricantes. • HSSI – High Speed Serial Interface – interface DTE/DCE utilizada para conectar dispositivos de comunicación a servicios de alta velocidad.

  46. Otros Protocolos • H.323 – estándar para transmisión de video, audio y datos sobre redes IP, utilizado en gateways de voz. • VoIP – voz sobre IP, transmisión de voz digitalizada sobre redes IP. Problemas: latencia, jitter • MPLS – Multi Protocol Layer Switching, tecnología que asigna etiquetas a las tramas y rutea con base en esas etiquetas. • Encapsula otros protocolos de capa 2 y 3 • Soporta tecnologías de conmutación de paquetes y circuitos • Solución de alta velocidad • Soporta VPNs • Gran flexibilidad

  47. Acceso Remoto • Dial-up/RAS – conexión a un servidor de acceso (NAS) a través de una línea telefónica. • La autenticación puede ser local, mediante RADIUS, y puede utilizar mecanismo de call-back. • Wardialing: escaneo automático de rango telefónico • ISDN – Integrated Services Digital Network. Transmite voz y datos sobre líneas telefónicas, de forma digital. • BRI (Basic Rate Interface) = 2B (datos) + 1D (control) = 144Kbps • PRI (Primary Rate Interface) = 23B + 1D = 1544Kbps • BISDN (Broadband ISDN) – puede manejar muchos servicios, utilizado por carriers de telecomunicaciones. • DSL – Digital Subscriber Line. Usa las líneas telefónicas, alcanza hasta 52Mbps. • Simétrico – mismo ancho de banda de subida que de bajada • Asimétrico – mayor ancho de banda de bajada • Cable - Utiliza cable coaxial (usualmente de TV) para proporcionar conexiones de hasta 50Mbps. Ancho de banda compartido entre los usuarios del área local.

  48. Dial-up • PPP (Point-to-Point Protocolo) –Se utiliza para establecer conexiones dial-up. Protocolo de capa 2, encapsula datos de IP y otros protocolos para su transmisión en enlaces seriales. Métodos de autenticación: • PAP – Password Autentication Protocol, transmite la contraseña en texto claro • CHAP – Challenge/Handshake Authentication Protocol, reto/respuesta • EAP – Extensible Authentication Protocol, extensible a otros métodos de autenticación • SLIP (Serial Line Internet Protocol) – Similar a PPP, pero sólo soporta IP, es menos eficiente y requiere el conocimiento de la IP asignada por el proveedor antes de establecer la conexión.

  49. BusinessPartner Supplier Enterprise AAA CA Service Provider B Extranet DMZ RemoteOffice Service Provider A Intranet Remote Access RegionalOffice Mobile UserOr CorporateTelecommuter SmallOffice VPN • VPN – conexión privada, segura, a través de una red pública. • Túnel - camino virtual a través de una red. Encapsulación.

  50. Túneles • PPTP (Point-to-Point Tunneling Protocol) • Encapsula las tramas de PPP en datagramas IP, utiliza GRE (Generic Routing Encapsulation). • Permite establecer una VPN cuando el acceso a Internet es por dial-up. • Cifrado – Microsoft Point-to-Point encryption, MS-CHAP ó EAP-TLS • Diseñado para conectividad cliente/servidor. • Sólo puede transmitir sobre redes IP. • L2F (Layer 2 Forwarding) • Protocolo propietario de Cisco • Junto con PPTP originó L2TP • Permite túneles de PPP sobre redes que no son IP • Autenticación mutua • Sin cifrado

More Related