Seguridad Avanzada En

Redes Fijas Y Móviles
YARIEN MORENO
GASTON GONZALEZ
LETSBIA OSORIO
EDURNE CASTILLO
KEVIN DIAZ
ROBERTO MELO

Intro
Durante los últimos años, la tecnología del ámbito de la seguridad para redes ha
experimentado gran cantidad de cambios drásticos.
Los nuevos sistemas operativos móviles, el aumento del uso de dispositivos
personales y el suministro de software como servicio (SaaS) dificultan la protección,
al mismo tiempo que las mejoras de las infraestructuras de red que conectan los
dispositivos hacen posibles estos avances.
El aumento del número de usuarios remotos, y las mejoras de las conexiones de red
y las redes móviles son constantes. Por eso, es necesario encontrar políticas de
seguridad y métodos de protección eficaces

 Compromiso de dispositivos: significa romper en componentes vitales de la infraestructura y la modificación de su configuración. .  Ataques al Border Gateway Protocol (BGP) de enrutamiento y la inyección de rutas BGP defectuosos para la redirección de tráfico: es una de las técnicas que los atacantes están utilizando para obtener el "interesante" de tráfico.Problema de Seguridad Los problemas de seguridad más importantes que enfrentan los proveedores de servicios son los siguientes:   Denegación de servicio (DoS) y denegación de servicio distribuido (DDoS): tienen como objetivo que sea imposible acceder a varios servicios de Internet para los usuarios legítimos.  Agotamiento de tráfico y excesivo de recursos provocado por las máquinas infectadas: puede generar problemas para los proveedores de servicios.  Sistema de nombres de dominio (DNS): a veces se usa para redirigir el tráfico de Internet para servir a las necesidades de las personas con intención criminal.

y no garantizar necesariamente los puntos finales: Muchas de las medidas estándar de borde de seguridad que se aplican en el mundo empresarial no son aplicables en el paradigma de la seguridad proveedor de servicios.  Fijación de las rutas de tránsito y la infraestructura de tráfico. .Amenazas  El tamaño de los proveedores de servicio de red. El ISP debe ser capaz de implementar rápidamente las medidas de seguridad en contra de un gran número de partes que pudieran estar implicados en el ataque.

Proveedor de Servicios y Herramientas de Seguridad Las funciones de red se dividen en tres planos separados:  Plano de control: que incorpora elementos que controlan el flujo de datos reales. .  Plano de gestión: que incluye diversas funciones administrativas y de supervisión realizadas en la red.  Plano de datos que constituye la propia data de tránsito.

Plano de Control El plano de control abarca principalmente el tráfico de señalización IP en la red de un ISP. Los paquetes que pertenecen al plano de control no llevan ninguna de la información de los usuarios. Los siguientes elementos de BGP endurecimiento se considera el más importante en el paradigma de servicios de seguridad de proveedor:  El filtrado de entrada de actualizaciones BGP de clientes: Cada cliente debe permitir hacer publicidad sólo las redes conocidas que se han asignado a los mismos. Algunos de los rangos predeterminados que normalmente deberían ser filtrados de BGP entre pares son las siguientes direcciones:  Las direcciones privadas o de uso especial  Espacios no asignados de direcciones conocidos como bogons. .

permitir que otros.  Filtrado BGP desde otros pares de proveedores de servicios: Estos filtros evalúan los prefijos de una manera "negar algunos. . Sistema intra-autónomo (intra-AS) de filtrado BGP: puede ser implementado en las posiciones dentro de la red donde las rutas propagadas por BGP interno (IBGP) se pueden controlar.   El parámetro prefijo máximo en BGP: se debe utilizar para controlar el número máximo de prefijos que se pueden recibir de un compañero.   Línea de base de la tabla de enrutamiento: Se recomienda que los proveedores de servicios tienen una línea de base de la tabla de enrutamiento y de ese modo puedan controlar su contenido para detectar posibles anomalías de forma más eficiente.

.  Tiempo de vida (TTL) de aplicación para los paquetes BGP debe estar configurada.  Mensajes de IP inalcanzables en ICMP: se pueden utilizar para realizar un ataque de denegación de servicio en los routers.  Intercambio de información BGP deben ser registrados y rastreados para que las acciones necesarias se pueden realizar cuando existe tráfico de datos. Esta es una característica relativamente nueva que impone altos valores para el campo TTL de los paquetes BGP. Amortiguación de BGP: se debe utilizar para reducir los ataques DoS que podrían iniciarse a través de BGP. evitando así los ataques a distancia contra sesiones BGP. Los mismos deben estar apagados o limitar su tasa para evitar la posibilidad de un ataque de ese tipo.

   Tiempo de espera agotado se debe usar en los puertos de consola y vty para controlar el tiempo de espera de las sesiones inactivas vty.   Habilitar contraseña secreta: debe ser usada para proteger el acceso administrativo a los routers. es tan relevante como la obtención de root o administrador acceso a hosts. A continuación detallaremos algunas recomendaciones importantes a tener en cuenta con respecto a la obtención del plano de gestión:   Los servicios innecesarios deben ser desactivados: La ejecución de cualquier servicio innecesario y.   Banners apropiados: deben ser utilizados en el inicio de sesión y niveles de ejecucion para asegurar que los aspectos legales de protección de la red están cubiertos adecuadamente. posiblemente.Plano de Gestión Asegurar las conexiones de administración de la infraestructura de la red es importante.  . sin garantía de los dispositivos de red deja un agujero potencial que se puede utilizar para un ataque de denegación de servicio.

Los proveedores de servicios deben hacer hincapié en las políticas apropiadas para el uso de nombres de usuario y contraseñas. . ya que proporciona la confidencialidad de los datos transportados.  Secure Shell Protocol (SSH) es un método conveniente para obtener acceso vty. Los proveedores de servicios pueden utilizar la opción de registro en estas ACL para facilitar el monitoreo y detección de ataques.   Clases de acceso vty deben utilizarse para el control de acceso basado en el origen de las sesiones de terminal en los dispositivos. Los keepalives para TCP pueden configurarse para desconectar y limpiar sesiones inactivas que se ejecutan a través de TCP.

 Registro de mensajes a los servidores syslog debe utilizarse con un nivel informativo o de advertencia. .  Network Time Protocol (NTP) se debe utilizar para mantener sincronizada la hora entre los routers. Autenticación. También es aconsejable activar mecanismos de seguridad para NTP para prevenir ataques contra este protocolo. Registrar en el puerto de la consola deben estar apagados. La dirección de origen para los mensajes de registro del sistema también debe establecerse en la dirección de bucle invertido. o por una red más amplia fuera de la ruta de datos de usuario que proporciona una conectividad total de los puertos de gestión de los equipos de red. Este tipo de acceso se puede proporcionar por la red de servidores de terminales que proporcionan acceso a la consola a través de Telnet inverso.  El Acceso fuera de la banda de la gestión de los routers debe estar garantizado. autorización y contabilidad (AAA) generalmente en el protocolo TACACS porque proporciona el soporte más completo para la autorización de los comandos disponibles en la interfaz de línea de comandos (CLI) sesiones.

Los siguientes tipos de ACL son importantes para asegurar el plano de datos:  ACL antispoofing proporcionan filtrado de tráfico de las direcciones de origen de propio espacio de direcciones del proveedor de servicios. En contraste con la gestión y el plano de control. el tráfico en el plano de datos sólo pasa por los dispositivos de red y no está destinado a cualquiera de las interfaces en el dispositivo. También previenen los ataques de reflexión que se basan en los paquetes de respuesta destinadas a las direcciones falsificadas internos. .Plano de Datos La seguridad del plano de datos incluye los paquetes que llevan el tráfico de clientes.

 Antibogon y RFC 1918  filtran el tráfico que proviene de reservado. . Esta técnica tiene dos modos básicos de funcionamiento.  uRPF es una técnica de borde de la red que permite soltar eficiente de los paquetes que vienen de las interfaces inesperados.  Infraestructura (iACLS) normalmente se implementan en los bordes de la red de un proveedor de servicios con el objetivo de bloquear el tráfico que nunca debe ser visto en la red y está destinado hacia el rango IP que pertenece a la infraestructura de red. el espacio de direcciones IP sin asignar. o privado.

 Los algoritmos usados en las comunicaciones seguras de Internet son públicos prácticamente siempre. y es conocido por los posibles atacantes. . pero si el algoritmo es bueno. el algoritmo de cifrado a menudo es público. esto no debe bastarles para descifrar el mensaje. y no debe depender del algoritmo de cifrado usado.Seguridad del Cifrado de Datos  La seguridad de un buen sistema de cifrado depende enteramente de la clave. por lo que es necesario centrarse en crear claves suficientemente seguras. Es decir.

Sin embargo para descifrarlo hace falta la clave B. y no para ocultar información. ya que es privada. y esa misma clave deberá ser la utilizada para descifrarlo. una pública y una privada. Ahora cualquiera puede descifrarlo con la clave privada A. que es la que puede conocer cualquiera.  El emisor cifra el mensaje con la clave privada B. que sólo él conoce.  El emisor cifra el mensaje con la clave pública A. pero sólo quien tenga la clave privada podrá descifrar.  Cifrado asimétrico: Existen dos claves. . cualquiera podría cifrar. pero una vez descifrado con esa clave A. que sólo tiene el receptor. la naturaleza del algoritmo estará garantizando que se ha cifrado con la clave B. por lo que la utilización del algoritmo en este sentido se usa para asegurar la autenticidad. Estos algoritmos son rápidos y permiten cifrar y descifrar eficientemente con claves relativamente grandes. y se puede usar en dos direcciones.Tipos de cifrados  Cifrado simétrico: El emisor cifra el mensaje con una clave. Con esto se garantiza confidencialidad.

.

Ya que compartir una clave simétrica no es seguro. Emplea el cifrado de clave pública para compartir una clave para el cifrado simétrico. Cifrado Hibrido: es un método que usa tanto un cifrado simétrico como un asimétrico. la clave usada es diferente para cada sesión. se cifra usando la clave y enviándolo al destinatario. El mensaje que se esté enviando en el momento. .

Gestión de la seguridad de la información  La norma ISO 27001 define cómo organizar la seguridad de la información en cualquier tipo de organización. privada o pública. lo cual significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.ISO 27001.  También permite que una organización sea certificada.  La ISO 27001 es para la seguridad de la información lo mismo que la ISO 9001 es para la calidad: su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. . pequeña o grande. con o sin fines de lucro.

Está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad. integridad y disponibilidad de la información.Fases de sistema de Gestión  La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información.  Fase de planificación: esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles). .  Fase de implementación: esta fase implica la realización de todo lo planificado en la fase anterior.

 Fase de revisión: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos. todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI. El ciclo de estas cuatro fases nunca termina. .  Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.

 Control y políticas de acceso  Detección y mitigación de anomalías  Seguridad del correo electrónico  Firewalls  Sistema de prevención de intrusiones (IPS)  Seguridad multifunción  Seguridad de la red  Administración de seguridad  Seguridad para empresas en crecimiento  Clientes de seguridad de terminales y redes VPN  Seguridad en la Web .Implementadores Las innovaciones de seguridad de Cisco proporcionan servicios seguros de firewall.Competidores . web y correo electrónico al tiempo que permiten habilitar la movilidad y el teletrabajo.

.Alcatel-Lucent Kindsight ™  ayuda a los proveedores de servicios ofrecer una experiencia mejor y más seguro para los abonados fijos y móviles. Se analizan los patrones de tráfico para que pueda detectar el malware y localizar las infecciones en las redes domésticas de los suscriptores y dispositivos móviles. Kindsight Analytics Security ayuda a detener la amenaza de malware. nuestras soluciones basadas en la red analizan continuamente el tráfico de Internet e identificar los dispositivos infectados de manera que pueda identificar los riesgos y tomar medidas. Respaldado por la experiencia de los laboratorios de seguridad de Kindsight.

norma que no vemos en ninguna otra legislación. Fuente: “TEXTO UNICO DEL CODIGO PENAL DE LA REPUBLICA DE PANAMA. LA LEY 68 DE 2009 Y LA LEY 14 DE 2010. . hasta sanciones para aquellas personas que enseñen a construir bombas o reclutar personal por medio de la internet para fines terroristas. ADOPTADO POR LA LEY 14 DE 2007. CON LAS MODIFICACIONES Y ADICIONES INTRODUCIDAS POR LA LEY 26 DE 2008. alteración. se encuentran tipificados los delitos informáticos en el Código Penal. encontramos una legislación muy completa en el tema de la regulación de los delitos informáticos. LA LEY 5 DE 2009.Regulaciones En Panamá. regula las conductas que van desde la manipulación. sustracción de la información. imponiendo como sanción penas de prisión de uno a seis años. en este caso.

.

empresa financiera u otra que capte o intermedie con recursos financieros del público o que se le hayan confiado. valores u otros recursos financieros de una entidad bancaria. cuando el hecho punible es cometido por un empleado.  Aplicaciones Malware. Banca electrónica. . Para obtener un beneficio.  Phishing  Pharming  Alteración de software de ATMs. será sancionado con prisión de cuatro a seis años.  Transferencias automatizadas de fondos por montos pequeños. aprovechándose de su posición o del error ajeno. etc. dignatario.Título VIII Delitos contra el orden económico | Capítulo III . fraudulenta o de medios tecnológicos. en beneficio propio o de un tercero. se apodere. ocasione la transferencia ilícita o haga uso indebido de dinero. La sanción será de seis a ocho años de prisión.Artículo: Contenido: Áreas de aplicación: 243 . administrador o representante legal de la entidad o empresa. o realice esas conductas a través de manipulación informática. trabajador. directivo.Delitos financieros Quien.

 En este trabajo hemos aprendido sobre los diferentes métodos y maneras en que se les puede brindar seguridad contra ataques externos en las redes de banda ancha. Mantenerse actualizado e investigar constantemente es uno de los mejores métodos de prevención el cual permite tener una ventaja ante las constantes amenazas informáticas. Es de suma importancia tener en cuenta que así como la tecnología va cambiando constantemente. que exigen mayores velocidades de transferencia de datos. la red antigua carece de las frecuencias que limitan la capacidad de los canales para transmitir datos adicionales. van apareciendo nuevas herramientas y aplicaciones para atacar las redes de todo tipo. Estos equipos de reducido ancho de banda no pueden integrarse con las nuevas aplicaciones avanzadas. . Además.Conclusiones  La mayor parte de los sistemas antiguos que utilizan los organismos gubernamentales locales se basan en sistemas de comunicaciones que se adquirieron hace años.

personales o corporativos. aparte de invertir en mejoras en cuanto a su velocidad o planes de servicios. deben tener en cuenta la parte de la seguridad de su red. los ISP deberían organizar campañas de capacitación para concientizar a los afiliados a sus servicios sobre las múltiples amenazas y peligros que se pueden encontrar en la internet para así prevenirlos y evitar ser victimas de los hackers.  La concienciación del personal es un aspecto importante de seguridad para que la red corporativa no sea vulnerable por el uso de dispositivos móviles.Recomendaciones  Los proveedores de servicios (ISP). contribuye a la adopción de las políticas y estrategias de seguridad establecidas para el acceso a los datos y recursos de la compañía. lo cual les brinda mayores ganancias en general. . Al invertir en hardware y software de seguridad garantizan un servicio de alta calidad y confiabilidad lo cual se traduce en más afiliados.  En cuanto a la seguridad de sus clientes.