Propuesta para la implementación de seguridad a nivel de red en la red de datos de la Universidad del Cauca

Texto completo

(1)PROPUESTA PARA LA IMPLEMENTACION DE SEGURIDAD A NIVEL DE RED EN LA RED DE DATOS DE LA UNIVERSIDAD DEL CAUCA. Claudia Patricia Arenas Guerrero Julián Andrés Parra Chacón. Universidad del Cauca Facultad de Ingeniería Electrónica y Telecomunicaciones Departamento de Telecomunicaciones Popayán 2006.

(2) PROPUESTA PARA LA IMPLEMENTACION DE SEGURIDAD A NIVEL DE RED EN LA RED DE DATOS DE LA UNIVERSIDAD DEL CAUCA. Claudia Patricia Arenas Guerrero Julián Andrés Parra Chacón. Documento Final de Trabajo de Grado. Director: Ing. Francisco Javier Terán. Universidad del Cauca Facultad de Ingeniería Electrónica y Telecomunicaciones Departamento de Telecomunicaciones Popayán 2006.

(3) A Dios por ayudarme a sobrepasar todos los obstáculos, A mi papi por su apoyo constante y sus consejos, A mi mami por su amor, sus palabras y su paciencia, A mi hermanita por su compañía incondicional, A toda mi familia por estar siempre ahí Y a todas las personas que de una u otra forma Contribuyeron con la culminación de esta etapa. Este triunfo es para ustedes. Claudia. Por tanto valor, entrega y amor a mi amada madre Por su comprensión y apoyo a mi familia Por tantos momentos tan agradables y por dejarme disfrutar de su compañía, a mis amigos, gracias Julián.

(4) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. TABLA DE CONTENIDO. Pag CAPITULO I. ASPECTOS GENERALES………………………………………………….. 1 1.1 INTRODUCCION …………………………………………………………………………………………………. 1 1.2 DESCRIPCIONDE LOSCAPITULOS……………………………………………………………………. 5 1.3 SEGURIDADENREDESIP…………………………………………………………………………………. 6 1.4 ESTUDIODE LA INFRAESTRUCTURAACTUALDE LA REDDE DATOSDE LA UNIVERSIDADDEL CAUCAY LOS MECANISMOSDE SEGURIDADUTILIZADOS……… 7 1.4.1 InfraestructuraFísicade la Redde Datosde la Universidaddel Cauca……….. 7 1.4.2 InfraestructuraLógicade la Redde Datosde la Universidaddel Cauca ....... 10 1.4.3 Infraestructurade Serviciosde la Redde Datosde la Universidaddel Cauca 17. CAPITULO II. AMENAZAS Y VULNERABILIDADES DE SEGURIDAD EN LA RED DE DATOS DE LA UNIVERSIDAD DEL CAUCA……………………………………….. 22 2.1 PÉRDIDADE AUTENTICACIÓN………………………………………………………………………. 23 2.1.1 SuplantaciónIP (IP Spoofing)………………………………………………………………………. 23 2.1.2 SuplantaciónARP……………………………………………………………………………………………. 41 2.2 PÉRDIDADE CONFIDENCIALIDAD………………………………………………………………… 49 2.2.1 Olfatear(Sniffing)………………………………………………………………………………………….. 50 2.2.2 Hombreen el Medio(Manin the Middle)………………………………………………………. 50 2.2.3 Clonaciónde MAC(MACCloning)………………………………………………………………….. 53 2.2.4 InundaciónARP(ARPFlooding)…………………………………………………………………….. 53 2.2.5 PosiblesVulnerabilidadesde Pérdidade Confidencialidad……………………………. 53 2.3 PÉRDIDADE INTEGRIDAD…………………………………………………………………………….. 59 2.3.1 PosiblesVulnerabilidadesde Pérdidade Integridaden la Redde Datosde la Universidaddel Cauca……………… ……………………………………………………………………………….. 61 2.4 PÉRDIDADE DISPONIBILIDAD………………………………………………………………………. 62 2.4.1 Denegaciónde Serviciopor FuerzaBruta……………………………………………………… 62 2.4.2 AtaquesElegantes…………………………………………………………………………………………..67 2.4.3 PosiblesVulnerabilidadesde Pérdidade Disponibilidaden la Redde Datosde la Universidaddel Cauca………… …………………………………………………………………………………….. 69. CAPITULO III: ESTANDARES DE SEGURIDAD A NIVEL DE RED EN IPv4 E IPv6 …………… ……………………………………………………………………………….. 71 3.1 PROTOCOLOIPSec:IP SECURITY…………………………………………………………………. 71 3.1.1 Arquitecturade IPSec……………………………………………………………………………………. 72 3.1.2 Protocolosde Seguridad……………………………………………………………………………….. 75 3.1.3 Fortalezasy Debilidadesde IPSec……………………………………………………………….. 83 3.2 AUTHENTICATIONHEADER(AH) EN IPv4 E IPv6……………………………………….. 85 3.2.1 HMAC-MD5…………………………………………………………………………………………………….. 89. v.

(5) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. 3.2.2 3.3 3.3.1 3.4 3.4.1 3.4.2. HMAC-SHA1…………………………………………………………………………………………………… ENCAPSULATINGSECURITYPAYLOAD(ESP)EN IPv4 E IPv6…………………….. 90 TransformadaDES-CBC…………………………………………………………………............... 93 INTERNETKEYEXCHANGEPROTOCOL– IKE……………………………………………….. 94 El protocoloISAKMP…………………………………………………………………………………….… 96 El protocoloOAKLEY……………………………………………………………………………………….97. CAPITULO IV. PRINCIPALES MECANISMOS DE SEGURIDAD EN REDES IP… 98 4.1 FIREWALLS……………………………………………………………………………………………………… 4.1.1 Firewallsde Filtradode Paquetes………………………………………………………………….. 99 4.1.2 Firewallscon Inspecciónde Estado……………………………………………………………….. 101 4.1.3 ProxyFirewalls……………………………………………………………………………………………….. 4.1.4 ServidoresProxyDedicados………………………………………………………………………….. 104 4.1.5 TecnologíasHíbridasde Firewalls………………………………………………………………….. 106 4.1.6 Traducciónde Direccionesde Red(NAT)……………………………………………………… 106 4.1.7 Traducciónde Direccionespor Puerto(PAT)………………………………………………… 107 4.1.8 SistemasFirewall en la Redde Datosde la Universidaddel Cauca…………….. 108 4.2 VPN(REDESPRIVADASVIRTUALES)……………………………………………………………. 115 4.2.1 Tiposde VPN's……………………………………………………………………………………………….. 4.2.2 Requerimientosbásicosde una Red PrivadaVirtual……………………………………. 120 4.2.3 Comofuncionauna VPN……………………………………………………………………………….. 120 4.3 VLANs(REDESVIRTUALESDE AREALOCAL)………………………………………………. 121 4.3.1 Tecnología………………………………………………………………………………………………………. 4.3.4 Ventajasde las VLANs……………………………………………………………………………………. 125 4.4 IDS (SISTEMASDE DETECCIONDE INTRUSOS)………………………………………….. 127 4.4.1 Arquitecturade un Sistemade Detecciónde Intrusos…………………………………. 127 4.4.2 Tiposde sistemasde detecciónde intrusos………………………………………………….. 128 4.4.3 Dóndecolocarel IDS……………………………………………………………………………………….131 4.5 AUTENTICACIÓN……………………………………………………………………………………………… 4.5.1 AutenticaciónBasadaen Puerto, EstándarIEEE802.1X……………………………….. 132. 90. 98. 103. 119. 122. 132. CAPITULO V. IMPLEMENTACION DE LOS PROTOCOLOS DE SEGURIDAD DE IPv6 EN REDES IPv4 EN ENTORNOS LINUX Y WINDOWS……………………………….. 137 5.1 PRACTICAS PARA LA IMPLEMENTACION DE SEGURIDAD A NIVEL DE RED UTILIZANDO LAS HERRAMIENTASDELPROYECTOUSAGISOBRELINUX………………… 137 5.1.1 ProyectoUSAGI……………………………………………………………………………………………….. 137 5.1.2 Práctica1: Instalaciónde USAGISTABLERELEASE5…………………………………….138 5.1.3 Práctica2: Configuraciónde IPSecen ModoTransporte………………………………. 144 5.1.4 Práctica3: Configuraciónde IPSecen ModoTúnel……………………………………….. 155 5.2 PRACTICAS PARA LA IMPLEMENTACION DE SEGURIDAD A NIVEL DE RED UTILIZANDO LAS HERRAMIENTASDELPROYECTOFREES/WANY OPENSWANSOBRELINUX ………………………………………… ………………………………………………………………………………. 162 5.2.1 ProyectoFreeS/WAN……………………………………………………………………………………….162 5.2.2 Tiposde túneles……………………………………………………………………………………………… 163 5.2.3 Instalación………………………………………………………………………………………………………. 163 5.2.4 Entendiendola configuraciónde FreeS/WAN………………………………………………. 164 5.2.5 Configuración……………………………………………………………………………………………….. 166. vi.

(6) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. 5.2.6 Práctica 4: Utilizando FreeS/WANpara configurar autenticación con Pre-shared Keys………………………………… ………………………………………………………………………………………. 167 5.2.7 Práctica 5: Utilizando FreeS/WANpara configurar autenticación con Firmas Digitales RSA………………………… ………………………………………………………………………………… 170 5.2.8 Práctica 6: UtilizandoOpenswanpara configurar autenticación con Certificados Digitales…………………………… ……………………………………………………………………………………… 172 5.2.9 Uso de las herramientasde FreeS/WANy Openswan……………………………….. 179 5.3 PRACTICAPARALA IMPLEMENTACIONDE SEGURIDADA NIVELDE REDSOBREWINDOWS………………… …………………………………………………………………………………………….. 180 5.3.1 Configuraciónde IPSecen Windows2000Server………………………………………. 180 5.4 EVALUACIÓNDEL RENDIMIENTOEN UNA TRANSMISIÓNDE DATOSUTILIZANDOIPSEC……………………… ……………………………………………………………………………………………….. 198. CAPITULO VI: PROPUESTAS DE SEGURIDAD A NIVEL DE RED…………………… 201 6.1 POLÍTICASDE SEGURIDAD………………………………………………………………………….. 201 6.1.1 Conceptode Políticasde Seguridad ……………………………………………………………… 203 6.1.2 Elementosde una Políticade Seguridad……………………………………………………… 205 6.1.3 Ciclo para la implantaciónde una Propuestade Seguridad……………………….. 206 6.2 POLÍTICASDE SEGURIDADPARALA REDDE DATOSDE LA UNIVERSIDADDELCAUCA ………………… ……………………………………………………………………………………………………. 209 6.2.1 Identificación…………………………………………………………………………………………………209 6.2.2 Análisis………………………………………………………………………………………………………….. 211 6.2.3 Diseño …………………………………………………………………………………………………………… 217 6.2.4 Propuestasde Seguridada nivel de Redpara la Redde Datosde la Universidaddel Cauca………………………… ………………………………………………………………………………………. 232 6.2.6 Presupuesto………………………………………………………………………………………………….. 253 6.2.7 Auditoríay Evaluación………………………………………………………………………………….. 254. CONCLUSIONES……………………………………………………………………………………………………….258 RECOMENDACIONES………………………………………………………………………………………………. 260 BIBLIOGRAFÍA……………………………………………………………………………………………………….. 262 ACRÓNIMOS…………………………………………………………………………………………………………….. 264. vii.

(7) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. LISTA DE FIGURAS. pag Figura1.1 Figura1.2 Figura1.3 Figura1.4 Figura1.5 Figura1.6 Figura1.7. Infraestructurafísica de la red de datosde la Universidaddel Cauca…… 9 Infraestructuralógicade la red de datos de la Universidaddel Cauca…. 12 Interconexiónentre Internet y la IntranetUniversitaria……………………….. 14 DistribuciónLógicade las subredesde la Redde Datos...................... 15 Red del ProyectoEHAS……………………………………………………………………………. Sistemasde Informaciónde la Redde Datos………….…………………………….. 18 Sistemasde Informaciónde la Divisiónde Sistemas…………………………….. 20. 16. Figura2.1 Establecimientode una conexiónTCP ……………………………………………………. 25 Figura2.2 Generaciónde un ataquede suplantaciónIP…………………………………………. 25 Figura2.3 Funcionamientode NFS…………………………………………………………………………… 28 Figura2.4 Secuestrode una sesiónTCP………………………………………………………………….. 33 Figura2.5 Funcionamientodel protocoloARP………………………………………………………….42 Figura2.6 Funcionamientode la suplantaciónARP…………………………………………………. 43 Figura2.7 Ataquede hombreen el medio………………………………………………………………. 52 Figura2.8 Escenariode pruebapara comprobarvulnerabilidadesde hombreen el medioentre redesde la Universidaddel Cauca……………………………………………………….. 56 Figura2.9 Principiode la Pérdidade Integridadde los datos………………………………… 60 Figura2.10 Funcionamientode un ataqueSmurf……………………………………………………. 63 Figura3.1 Arquitecturade IPSec………………………………………………………………………………. Figura3.2 Componentesde la Arquitecturade IPSec……………………………………………… 75 Figura3.3 TecnologíasUtilizadasen IPSec………………………………………………………………. Figura3.4 IPSec:ModosTúnel y Transporte……………………………………………………………. Figura3.5 TransporteAdyacente………………………………………………………………………………. Figura3.6 EntuneladoIteradocon la mismaterminación……………………………………….. 80 Figura3.7 EntuneladoIteradodondeuna terminaciónno es la misma ………………….. 81 Figura3.8 EntuneladoIteradocon diferentesterminaciones…………………………………… 81 Figura3.9 TramaIPv4 con AH en ModoTransporte…………………………………………………. 86 Figura3.10 TramaIPv6 con AHen ModoTransporte………………………………………………. 86 Figura3.11 TramaIPv4 con AHen ModoTúnel………………………………………………………..86 Figura3.12 TramaIPv6 con AHen ModoTúnel………………………………………………………. 87 Figura3.13 Formatodel Encabezadode AutenticaciónAH…………………………………….. 88 Figura3.14 TramaIPv6 con ESPen ModoTransporte……………………………………………. 91 Figura3.15 TramaIPv4 con AHy ESPen modoTransporte…………………………………… 91 Figura3.16 TramaIPv6 con ESPen modoTúnel…………………………………………………….. 92 Figura3.17 TramaIPv4 con ESPen ModoTúnel………………………………………………………92. 74 77 77 80. viii.

(8) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. Figura3.18 Formatodel encabezadoESP………………………………………………………………… 93 Figura4.1 Configuraciónde Firewall con servidorProxydedicado…………………………..............................105 Figura4.2 Topologíade conexióndel Firewall CiscoPIX 515E………………………………… 109 Figura4.3 Caminode un paquetedurantesu pasopor el kernel de Linux…………….. 111 Figura4.4 Topologíade conexiónde Arges(Firewall IPtables)……………………………….. 112 Figura4.5 Red PrivadaVirtual y su equivalentelógico…………………………………………… 116 Figura4.6 Ejemplode configuraciónde una VPN ………………………………………………….. 119 Figura4.7 Comparaciónentre una LANtradicionaly una VLAN ……………………………. 123 Figura4.8 Ejemplode VLANde PuertoCentral………………………………………………………. 125 Figura4.9 Ejemplode Distribuciónde una VLAN………………………………………………….. 126 Figura4.10 Arquitecturade un sistemade detecciónde intrusos…………………………. 128 Figura4.11 Autenticaciónutilizandoun ServidorRADIUS……………………………………… 133 Figura4.12 Puertoscon y sin autenticación…………………………………………………………….134 Figura4.13 MensajesintercambiadosutilizandoEAPsobreuna red LAN………………. 135 Figura5.1 Escenariode PruebaModoTrasporteHost to Host con direccionesIPv4. 145 Figura5.2 Escenariode PruebaModoTrasportecon direccionesIPv6……………………. 147 Figura 5.3 Escenario de Prueba Modo Trasporte Host to Host utilizando archivos de Configuración………………………… ……………………………………………………………………………………. 152 Figura5.4 Escenariode PruebaModoTúnel con direccionesIPv4………………………….. 156 Figura5.5 Escenariode PruebaRoadWarrior(Host Remoto)to Gateway…………….. 160 Figura5.6 Escenariode pruebaen ModoTransportecon FreeS/WAN……………………. 168 Figura5.7 Escenariode Pruebade Openswanutilizandoautenticaciónpor mediode CertificadosDigitales …… ……………………………………………………………………………………………. 173 Figura5.8 Escenariode Pruebade IPSecentre dos equiposWindows………………….. 183 Figura5.9 Desplazarsea Directivade auditoria en la Consolade IPSec………………..185 Figura5.10 Crear un nuevofiltro IP………………………………………………………………………… 189 Figura5.11 Configurandola Acciónde Filtrado………………………………………………………. 191 Figura5.12 Seleccionarun certificado…………………………………………………………………….. 197 Figura5.13 Escenariode pruebadel desempeñode una comunicaciónque utiliza IPSec …………………………… …………………………………………………………………………………………… 198 Figura5.14 GráficaRendimientovs Configuraciónde IPSec………………………………….. 200 Figura6.1 Figura6.2 Figura6.3 Figura6.4 Figura6.5 Figura6.6 Figura6.7. Diagramadel ciclo para la implantaciónde una propuestade Seguridad. 207 Diagramade Flujo de la Informacióna travésde la red……………………….. 234 Sectoresen que se dividela Redde la Universidaddel Cauca………………237 Subdivisiónen subredesy VLANs…………………………………………………………… Estadoactual del enlacecon la sedede Santanderde Quilichao…………. 240 VPNsen los enlacescon las sedesremotas……………………………………………. 242 Propuestade seguridadIntegrada…………………………………………………………..249. 238. ix.

(9) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. LISTA DE TABLAS. pag Tabla 2.1 Generaciónde númerosde Secuencia………………………………………………………. Tabla 2.2 SistemasOperativosvulnerablesa suplantaciónARP………………………………. 46 Tabla 2.3 Resumende las principalesvulnerabilidades,sus causasy soluciones…… 70. 38. Tabla 3.1 Serviciosde AHy ESP……………………………………………………………………………….. Tabla 3.2 Comparaciónentre AHy ESP…………………………………………………………………….. 76 79. Tabla 4.1 Tabla 4.2 Tabla 4.3 Tabla 4.4 Tabla 4.5 Tabla 4.6. 101 102. Ejemplode reglasde filtrado…………………………………………………………………….. Ejemplode una tabla de estados………………………………………………………………. Ejemplode una tabla de NATestáticas…………………………………………………….. 107 Ejemplode una tabla de ocultamientode NAT…………………………………………. 107 Ejemplode una tabla PAT………………………………………………………………………….. Característicasdel Firewall PIX de CISCO………………………………………………… 110. 108. Tabla 5.1 Nuevaconfiguracióndel Kernel con la herramientaUSAGI…………………….. 141 Tabla 5.2 Resultadosde la Pruebade Rendimiento…………………………………………………. 199 Tabla 6.1 Tabla 6.2 Tabla 6.3 Tabla 6.4. EquiposGestionables…………………………………………………………………………………. EquiposNo Gestionables……………………………………………………………………………. Presupuestopara la Propuesta1………………………………………………………………. Presupuestopara la Propuesta2……………………………………………………………….. 251 251 253 253. x.

(10) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. LISTA DE ANEXOS. ANEXOA. SEGURIDADENREDESINALÁMBRICASDE ÁREALOCAL ANEXOB. NOCIONESDE CRIPTOGRAFÍAY ENCRIPTACIÓN ANEXOC. OTROSPROTOCOLOSDE SEGURIDAD ANEXOD. IMPLEMENTACIÓNPRÁCTICADEVLANSY AUTENTICACIÓN ANEXOE. OTROSMECANISMOSDE SEGURIDADEN REDESIP. xi.

(11) ABSTRACT La falta de medidasde seguridaden las redes es un problemaque está en crecimiento;cada vez es mayor el númerode atacantesy cada vez están más organizados, por lo que van adquiriendodía a día habilidadesmás especializadasque les permitenobtener mayoresbeneficios. Las redesbasadasen el protocoloIP presentancuatro grandesproblemas,los cualespuedenser aprovechadosde diferentesmaneras.Estos problemasson: la pérdidade autenticación,la pérdidade confidencialidad, la pérdida de integridady la pérdida de disponibilidadde los datos. La Red de Datos de la Universidad del Cauca no es ajena a estos problemas; el propósito de este trabajo fue brindar una solución de seguridad que se acomode a las necesidades de la red universitaria sin desmejorar su desempeño. Para ello se realizó un análisis y comprobación de las principales vulnerabilidades que pueden aplicarse sobre dicha red; luego se analizaron los mecanismosde seguridadde mayor importanciaen la actualidad, entre ellos el estándarIPSec, el cual es una familia de protocolos diseñada para ofrecer seguridad al protocolo IPv6 y que hoy en día puede aplicarse a IPv4. Por último se diseñaron dos propuestas de seguridad con los resultados obtenidos anteriormente y se escogió la propuesta mas acertadapara la Red de Datos, teniendoen cuentaaspectostécnicosmás que económicosque asegurenlos resultados esperados.Ademásse plantearonPolíticasde Seguridada nivel Físico, Lógicoy Humano,comouna buenabasepara el comienzode una culturade seguridadde la informaciónen la Universidaddel Cauca.. ABSTRACT. The loss of network security measuresis a constantly growingproblem; the number of attackers is bigger and each time they are more organized, becauseof this reason they are acquiring specializedabilities that allow them to obtain greater benefits. IP Protocol based Networks have four big problems, that attackers can take advantage of in different ways. Theseproblemsare: the loss of authentication, loss of confidentiality, loss of integrity and the loss of data availability. The Universityof Cauca´sData Networkis not free of these problems;the purposeof this work was to offer a security solution adjusted to the needs of the university´s network without worsenits performance.For this, an analysis and verification of the main vulnerabilities that can be applied on this network was made; next, the currently most important mechanismsof security were analyzed, among them the IPSec standard, which is a family of protocols designed to offer security to the IPv6 protocol and that at the present it can be applied to IPv4. Finally, with the previously obtained results two security proposalswere designed;and the most appropriateone was chosenfor the Data Network, consideringtechnical aspects, before economic issues, that can assure the expected results. In addition, Security Policies were propossed, at a physical, logical and a Humanlevel, as a goodbasefor the beginningof an informationsecurity culturein the University..

(12) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. CAPITULO I. ASPECTOS GENERALES. 1.1. INTRODUCCION. En la actualidad, las organizacionesson cada vez más dependientesde sus redes de datos y un problemaque las afecte, por mínimo que sea, puede llegar a comprometerla continuidadde las operaciones. La seguridades un conceptocuya definición exacta es difícil de proporcionar; sin embargo, a grandes rasgos se puede indicar que es el conjunto de elementos (metodologías, documentos, programas, mecanismos y dispositivos físicos) encaminados a lograr que los recursos computacionales y de red disponibles en un ambiente dado, sean utilizados única y exclusivamente por quienes tienen la autorización para hacerlo o para realizar determinadas tareas. Adicionalmente,es importanteentenderque la Seguridaden Redesdebevigilar que los recursosestén siempredisponiblesen todo momento.. La falta de medidasde seguridaden las redes es un problemaque está en crecimiento; cada vez es mayor el númerode atacantesy cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de la organización. La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemasde seguridad que van apareciendo. En medio de esta variedad, han ido aumentandolas acciones poco respetuosasde la privacidad y de la propiedad de recursosy sistemas. Hackers, Crakers, entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes, y todo esto, porque se han identificado cuatro problemasprincipales, a partir de los cuales comienzaa verse la necesidad actual de implementar seguridad en las redes y son: Pérdida de Confidencialidad, de Integridad, de Autenticación y de Disponibilidad de los datos; estos problemasabarcantodas las redes de datos entre ellas las redes IP, a las cualesse hará referenciadebidoa que es el tipo de red que manejala Universidaddel Cauca.. La Pérdida de Confidencialidad de los datos se debe a que la información que pasa de un terminal a otro se transmite por medioscompartidosde maneraque otros terminalesademásdel destinatariopuedentener accesoa los datos. La Pérdida de la Integridad de los datos se presentacuandoun ente tiene accesoa informaciónno autorizadatransmitidapor una red y puedemanipularla para suprimir la informaciónenviadao cambiarla para remplazarlapor informaciónque no correspondea la original.. La Pérdida de la Autenticación de las terminales IP es una de las debilidadesde mayor importancia; se producecuandola máquinaque dice ser el origeno el destinode determinadainformaciónha sido suplantadapor otra..

(13) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. La Negación de Servicio o Pérdida de Disponibilidad se da según el conocimiento que tenga un ente sobre cual es el origeno el destino, solo examinandola estructurade determinadainformación;esto permiteque dichoente interrumpala prestaciónde determinadoservicio, la cual es una de las debilidadesmásaprovechadasen las redesIP del planeta.. Todos estos problemas pueden ser aprovechados de manera interna o externa a la red, por lo que se hace necesario el diseño de modelos que provean seguridad a nivel de enlace de datos y a nivel de red; esto se puede lograr con mecanismos de seguridad como los Firewalls, las VLANs (Virtual Local Area Networks – Redes Virtuales de Área Local), las VPNs (Virtual Private Networks – Redes Privadas Virtuales), entre otros, y protocolos de seguridad como el Protocolo IPSec (IP Security), el cual provee seguridad (autenticación, cifrado, confidencialidad) a nivel de red de acuerdo al Modelo de Referencia OSI1 de la Organización de Estándares Internacional(ISO2).. Ademásde las técnicasy herramientascriptográficas,es importanterecalcarque un componentemuyimportantepara la protecciónde los sistemasconsisteen la atencióny vigilanciacontinuay sistemáticapor parte de los responsablesde la red. A la hora de plantearse en qué elementosdel sistemase debenubicar los serviciosde seguridadpodríandistinguirsedos tendenciasprincipales:. •. Protección de los sistemas de transferencia o transporte: En este caso, el administrador de un servicio asume la responsabilidadde garantizar la transferencia segura de la informaciónal usuario final lo más transparenteposible. Ejemplosde este tipo de planteamientosseríanel establecimientode un nivel de transporteseguro,con protocolosde seguridada nivel de red y transporte, la instalación de un Firewall, que defienda el acceso a una parte protegida de una red y la utilización de otros mecanismosque contribuyana implementarseguridad,comoVLANs,VPNs,etc.. •. Aplicaciones seguras extremo a extremo: Si se piensa, por ejemplo, en el correoelectrónico, consistiría en construir un mensajeen el cual el contenidoha sido aseguradomedianteun procedimientode encapsuladoprevio al envío. De esta forma, el mensaje puede atravesar sistemas heterogéneos y poco fiables sin por ello perder la validez de los servicios de seguridad provistos. Aunque el acto de asegurar el mensaje cae bajo la responsabilidad del usuario final, es razonable pensar que dicho usuario deberá usar una herramienta amigable proporcionada por el responsable de seguridad de su organización. Todo esto puede usarse para abordar el problema de Seguridad en Redes utilizando la seguridad en otras aplicaciones tales como videoconferencia,accesoa basesde datos, etc.. 1. OSI - Open Systems Interconection. Modelode Interconexiónde SistemasAbiertos.. 2. ISO – International Organization for Standarization. www.iso.org.

(14) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. Este trabajo está dirigidoprincipalmentea la proteccióndel sistemaen los niveles inferiores, tomandomás específicamenteel nivel de red, ya que éste implementael protocolo IP, uno de los más utilizadosa nivel mundial y sobre el cuál la IETF3 ha trabajadomuchoen todoslos aspectos,hasta llegar a su versión6.. El protocoloIP, Internet Protocol, es uno de los másusadospara la interconexiónde redesen todoslos entornos,y naturalmentelo es también en Internet. Su flexibilidad y sus poderosas capacidades lo han impuesto como el vehículo de interconectividad más utilizadoy se piensaque lo seguirásiendopor muchotiempo.La fuerzade IP radica en el sencillo mecanismoque utiliza para el envío de grandesvolúmenesde informaciónen pequeñosdatagramasa travésde los diversosesquemasde enrutamiento. De esta forma,y dadoque la informaciónque se transmitepor la redeses el recursomásvaliosode estas, es de vital importanciadedicarsea encontrar todas las debilidades y toda la serie de problemas que son intrínsecos de las redes de datos, incluidas las redes IP, debido a la estructura de dicho protocolo; estos problemas son la pérdida de confidencialidad, pérdida de integridad, pérdida de autenticación y pérdida de disponibilidad de los datos; cada una de estas debilidades puede ser aprovechadapor personas mal intencionadas para impedirel normalfuncionamientode una red IP.. El objetivo principal que se persiguió con este trabajo fué analizar el estado de la Red de Datos de la Universidaddel Cauca y de los distintos protocolos de seguridad que implementa IP en su versión 6, pero que no contiene IP en su versión 4, además de los mecanismosde seguridada nivel de red másutilizados.Actualmente,la Redde Datosde la Universidaddel Caucase encuentraen un proceso constante de crecimiento debido a la gran cantidad de información que debe manejar y al aumento del número de usuarios que hacen uso de ella; el impresionante crecimiento de Internet, la conectividad, los adelantos tecnológicos, el advenimiento de nuevosservicios y la necesidadde conocimientoson motivospara interesarseen el temade la seguridad,que en los últimosaños ha cobradomuchafuerza.. En la Universidad del Cauca, la información manejada entre las diversas dependencias necesita mantener altos niveles de confidencialidad,integridad,autenticación,y disponibilidad, porquecuentacon un Sistemade InformaciónAdministrativo para pagode nómina,ServiciosFinancieros,de tesorería, admisionesy pagode derechosfinancieros;un Sistemade Informaciónde la Vicerrectoría de Investigacionespara el manejode proyectosde investigación;un Sistemade Informaciónen la bibliotecaparaconsultay gestiónde la misma; además, en este momento se encuentra en desarrollo el proyecto para implantar el Sistema de Información Académica Sócrates,que prestaráservicio de registro, control y gestiónde estudiantesy notas de la comunidaduniversitaria. Esta informaciónes de vital importancia para el buen funcionamiento de la Institución por lo que no debe ser accedida ni manipulada por personas no autorizadasdentrode la Institucióny fuerade ella.. El problema radica en que la Red de Datos actualmente no cuenta con una Arquitectura de Seguridad de Red para proteger la información institucional por lo que surge la necesidad de implantar técnicas, procesos y mecanismosque garanticen seguridad a la Red de Datos de la Universidad del Cauca. En este momento la Red funciona sobre el Protocolo IPv4 el cual no implementa 3. IETF – Internet Engineering Task Force. Grupo de trabajo que se encarga de crear protocolos estándares para redes de comunicación. www.ietf.org.

(15) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. esquemasque evitenlos problemasde falta de autenticación,confidencialidad,integridady disponibilidadde los datos, debidoa que el datagramaIPv4 presentadiversasvulnerabilidadesy cualquierapuedeaprovecharsede esa inseguridad; la informaciónviaja en texto planoy no proveemétodosde cifrado.. Como respuesta a las deficiencias de IPv4, surge el Protocolo IPv6; su aparición a nivel mundial ha cambiado la forma de pensar acerca del Protocolo IP por los grandes cambios en su arquitectura y los adelantos tecnológicos que trajo consigo, entre ellos la implementación de encapsulamiento, autenticación y privacidad. A pesar de los grandes beneficios que provee IPv6 en el campo de seguridad en redes, la migración a esta arquitectura no es un proceso que pueda llevarse a cabo a corto plazo dentro de la Universidaddebidoa limitacioneseconómicas,de infraestructura,y del entornodondeel estándarsiguesiendoIPv4; es por esta razón que el propósito del proyecto fué implementar las ventajas que provee la arquitectura IPv6 en cuanto a seguridad para fortalecer las limitaciones de la red IPv4 actual. Ademáses necesario analizar e implementar algunos mecanismoscomplementarios que podrían fortalecer la Seguridada nivel de Red comoson los Firewalls, las VLANsy las VPNs. De esta formase fortalecerála Seguridadde la Redde Datosde la Universidaddel Caucaa nivel de red con una arquitecturaconfiabley robusta, que sitúe a la Instituciónun paso adelante dentro de la sociedadde la Informacióny que de igual forma sirva como modelo de referencia para proyectos similares que se llevena caboa nivel nacional.. 1.2 DESCRIPCION DE LOS CAPITULOS. En el capítulo 1, se realiza un análisis de la Red de Datos de la Universidad del Cauca, su estado actual, las tecnologías de red empleadas, la distribución física de los equipos de red y hosts, el funcionamiento lógico, los Sistemas de Información, los servicios soportadosy sobretodo los mecanismosque se utilizanparaproveerseguridada la red.. En el capítulo 2, se estudianlos ataquesa los que esta expuesta una Red de Datos y las principales vulnerabilidadesde las mismas, en particular las redes IP, para identificar y analizar cuales de éstos se están presentandoen la Red de Datos de la Universidad del Caucay formar una idea clara de los aspectosa mejorar; además,se mencionanlas posibles solucionespara estas amenazas,como tambiénlos procedimientospara brindarmayorproteccióna la red.. En el capítulo 3, se realiza un estudio detallado de los principales protocolos estándares de seguridad de Red que provee IPv6, implementadossobreredesIPv4, sus principalescaracterísticas,su funcionamiento,ventajas, desventajasy su utilizaciónen las redes actuales.. En el capítulo 4, se detallan los principales mecanismosde seguridada nivel de red y los más utilizados, como son los Firewalls, las VPNs, las VLANs y los IDSs (Intrusion Detection System – Sistemas de Detección de Intrusos), se describen sus características, aplicacionesy ventajasa la hora de implementarlos..

(16) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. En el capítulo 5 se presentauna especificaciónde las principalesherramientasque permitenla implementaciónde los protocolosmás importantes de IPv6 sobre redes IPv4, sus características, ventajas y desventajas de funcionamiento; se detallan los procedimientos que se siguierona la hora de realizar las pruebasde laboratorio utilizandoel protocoloIPSecen sus dos modosde funcionamiento,la creación de túneles para Redes Privadas Virtuales, y la implementación de los mecanismosde autenticación más utilizados: Claves Precompartidas, Firmas Digitales RSA y Certificados Digitales; se analizan los resultados de éstas, como base para el diseño de las diferentespropuestasde Seguridadde Red.. Ya que ningún protocolo o mecanismode Seguridad es totalmente robusto si no está apoyado por un comportamiento ejemplar por parte de los usuarios de una red, es importante plantear Políticas de Seguridad que eduquen a los usuarios de la institución a comportarsede formaque complementenla arquitecturade seguridad.. En el capítulo 6, primerose hace una introduccióna las creaciónde Políticas de Seguridad, qué se debe tener en cuenta a la hora de plantearlas, y se presenta una propuesta sencilla para usuarios y administradores de la red. Seguidamente, se presentan dos propuestas de Seguridad a nivel de Red para la Red de Datos de la Universidad del Cauca, que surgen a raíz de la configuración, implementación y análisis de los resultados obtenidos en los distintos escenarios de prueba de los protocolos y mecanismos de seguridad analizados, sobre las plataformas respectivas. Entre las propuestas planteadas se selecciona la más adecuada para ser implementadaen la Institución,su respectivoanálisis y justificación,y las ventajasy desventajasde implantardichaarquitectura.. Al final del documento se presentan las diferentes conclusiones que surgen al finalizar el proyecto, algunas recomendaciones y se proponentrabajos futuros que pueden llevarse a cabo a partir de la propuesta desarrollada y posibles áreas de estudio. Ademásse adjuntaun listadode acrónimosque sirvenal lector a familiarizarsecon las siglas que se manejana lo largo del documento.. 1.3 SEGURIDAD EN REDES IP. IPSec es un estándar que proporcionaservicios de seguridada la capa IP y a todos los protocolos superiores basados en IP (TCP y UDP, entre otros). Es una muy buena solución para abordar las carencias en cuanto a seguridad del protocolo IP. Dichas carencias son muy graves y, tal como se ha constatado en los últimos años, afectan a la infraestructura misma de las redes IP. Todas las soluciones anteriores se basaban en soluciones propietarias que dificultaban la comunicación entre los distintos entornos empresariales, al ser necesario que éstos dispusierande una mismaplataforma.La falta de interoperabilidadha sido el principal freno para el establecimientode comunicacionesseguras, dado que no se ve factible la migracióna una determinadaplataformaen función de una colaboraciónempresarial puntual.. Entre las ventajas de IPSecse destacan,que está apoyadoen estándaresdel IETF y que proporcionaun nivel de seguridadcomúny homogéneopara todas las aplicaciones, ademásde ser independientede la tecnologíafísica empleada.IPSec puedeintegrarseen la versión actual de IP (IP versión 4) y, lo que es todavía más importante, se incluye por defecto en IPv6. Puestoque la seguridades un.

(17) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. requisito indispensable para el desarrollo de las redes IP, IPSec está recibiendo un apoyo considerable: todos los equipos de comunicacioneslo incorporan, así como las últimas versiones de los sistemasoperativos más comunes. Al mismotiempo, ya existen muchas experiencias que demuestran la interoperabilidad entre fabricantes, lo cual constituye una garantía para los usuarios. Otra característica destacable de IPSec es su carácter de estándar abierto. Se complementaperfectamente con la tecnología PKI (Public Key Infrastructure - Infraestructura de Llaves Públicas) y, aunque establece ciertos algoritmos comunes, por razones de interoperabilidad,permiteintegraralgoritmoscriptográficosmásrobustosque puedenser diseñadosen un futuro.. Entre los beneficios que aporta IPSec, cabe señalar que posibilita nuevas aplicaciones como el acceso seguro y transparente de un nodo IP remoto, facilita el comercio electrónico de negocio a negocio al proporcionar una infraestructura segura sobre la que realizar transaccionesusandocualquieraplicacióny permiteconstruir una red corporativasegurasobreuna red pública.. El protocoloIPSeces ya uno de los componentesbásicosde la seguridaden las redes IP. En este momentose puedeconsiderarque es una tecnología suficientementemadura para ser implantada en todos aquellos escenarios en los que la seguridad es un requisito prioritario. Dentro de este trabajo se han descrito, desdeun punto de vista técnico, las característicasdel protocoloIPSecdefinidas en el estándar de la IETF, así como los servicios de seguridad que proporciona. Finalmente, se han presentado varios ejemplos de aplicaciones prácticas en las que IPSec se constituye como la solución más apropiada para garantizar la seguridad de las comunicacionesen cualquierred IP.. 1.4 ESTUDIO DE LA INFRAESTRUCTURA ACTUAL DE LA RED DE DATOS DE LA UNIVERSIDAD DEL CAUCA Y LOS MECANISMOS DE SEGURIDAD UTILIZADOS. Actualmente,la Red de Datosde la Universidaddel Caucase encuentraen un procesoconstantede cambiodebidoa la gran cantidad de informaciónque debemanejar, al aumentodel númerode usuariosque hacenuso de ella, el impresionantecrecimientode Internet, la conectividad, los adelantos tecnológicos y el advenimiento de nuevos servicios. El estudio realizado se dividió en tres partes, la infraestructurafísica, la infraestructuralógicay la infraestructurade serviciosde la red universitaria.. 1.4.1 Infraestructura Física de la Red de Datos de la Universidad del Cauca. La Red de Datos de la Universidad del Cauca tiene una estructura física la cual se basa en un campus universitario dividido por sectores:. • • • • • •. Sectorde Ingenierías Sectorde Medicina Sectorde Educación Sectorde El Carmen Sectorde SantoDomingo Sectorde Vicerrectoríade Investigaciones.

(18) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. • •. Sectorde Las Guacas Sectorde Santanderde Quilichao. En cada sector se encuentranuno o más edificios, los cuales se conectanentre sí por un backbonede fibra óptica multimodo,el cual poseefísicamenteuna topologíade doble estrella, que tienencomocentrolos edificios del Institutode Postgrados(IPET)y El Carmen, como se muestra en la Figura 1.1. Ademásexisten otros sectores tales como Alfonso López y el Consultorio jurídico en los cuales la densidadde equiposes muybaja.. La conexión con el sector de Santander de Quilichao se realiza a través de la Red Metropolitana de Emtel, conectándose a la Red Nacional de Fibra Óptica para llegar hasta el nodo ubicado en la ciudad de Cali. Desdeeste nodo se realiza una conexión por medio de un radio-enlacehacia la sedeubicadaen Santanderde Quilichao.. Actualmente,el accesoWANo accesoa Internet se realiza a través de los proveedoresde servicio de Internet Telecom y Orbitel. La conexión con Telecom se realiza a través de un Modem HDSL a 2 Mbps; la conexión con Orbitel se realiza por Fibra Óptica a travésde la RedMetropolitanade Emtel a 4 Mbps.. El acceso remoto o acceso telefónico se realiza por medio de un enlace primario (PRI – Primary Rate Interface) de la Red Digital de Servicios Integrados (Integrated Service Digital Network – ISDN) para 30 canales (los cuales permiten una velocidad máxima de 56 Kbps si el usuario se conectaa través de una línea telefónicaanalógica; 64 Kbps cuandoel usuario tiene el servicio ISDN;y 128 Kbps cuandotieneel servicio ISDNy utiliza los 2 canalesB; este enlacees provistopor la empresaEmtel.. La infraestructura física dentro de cada sector del campus universitario y específicamentedentro de cada edificio posee un cableado estructuradocertificadoutilizandopar trenzadono-apantallado(UnshieldedTwistedPair - UTP)Categoría5 o superior, teniendopor lo menosun centro de cableado(o rack) en cada edificio y sus respectivos puntos de red que se extiendenhasta los puestos de trabajo dentro de ese edificio. En grandes edificios donde las limitaciones de distancia del Cableado Estructurado no permiten que un solo centro de cableado recoja todos los puntos de red, se tienen centros de cableado secundarios que recogen esos puntos de red distantes, y que a su vez se conectan al centro de cableado principal (generalmente conocido como centro de cableado 1, CC1) a travésde un númerode cablesUTP, determinadopor el tamañoen puntosde red de los centrosde cableadosecundarios..

(19)

(20) Facultadde Ingeniería Electrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. Figura 1.1 Infraestructura física de la Red de Datos de la Universidad del Cauca. 9.

(21) Facultadde IngenieríaElectrónicay Telecomunicaciones Propuestapara la Implementaciónde Seguridada Nivel de Red en la Red de Datosde la Universidaddel Cauca. La infraestructura física dentro de cada sector del campus universitario y específicamentedentro de cada edificio posee un cableado estructuradocertificadoutilizandopar trenzadono-apantallado(UnshieldedTwistedPair - UTP)Categoría5 o superior, teniendopor lo menosun centro de cableado(o rack) en cada edificio y sus respectivos puntos de red que se extiendenhasta los puestos de trabajo dentro de ese edificio. En grandes edificios donde las limitaciones de distancia del Cableado Estructurado no permiten que un solo centro de cableado recoja todos los puntos de red, se tienen centros de cableado secundarios que recogen esos puntos de red distantes, y que a su vez se conectan al centro de cableado principal (generalmente conocido como centro de cableado 1, CC1) a travésde un númerode cablesUTP, determinadopor el tamañoen puntosde red de los centrosde cableadosecundarios.. 1.4.2. Infraestructura Lógica de la Red de Datos de la Universidad del Cauca. La Red de Datos de la Universidaddel Caucaes una red de área local (LAN) que utiliza la tecnología que se describe en el estándar 802.3 de la IEEE, en el cual se habla de una red LAN que tiene un método de acceso al medio denominado Acceso Múltiple por Detección de Portadora con Detección de Colisión (Carrier Sense Multiple Access/Collision Detection - CSMA/CD). De manera esquemática el procedimiento seguido por las estaciones que siguen esta técnica es el siguiente: antes de transmitir, una estación monitoriza el medio para escuchar si alguna otra estación está transmitiendo. Si se detecta una transmisión, la estación espera un tiempo aleatorio antes de volver a intentar la transmisión, escuchando de nuevo el medio en primer lugar; si no detecta ninguna transmisiónsobre el medio físico, la estación comienzasu transmisión. Durantela transmisiónde una trama, la estación monitoriza el medio continuamentey si no detecta la transmisión de ninguna otra estación, continúa su transmisión hasta completar la trama. Una vez que se completa la transmisión de la trama, la estación espera un intervalo de 9,6 ms (intervalo entre tramas) antes de volver a efectuarningunatransmisión.Este intervalose aprovechapara una comprobación.. IEEE 802.3 permite un funcionamientoa 10 Mbps sobre diferentes medios físicos (coaxial, par trenzado, fibra óptica); sin embargoel estándar ha evolucionadopermitiendo alcanzar velocidades de 100, 1000 y 10000 Mbps, oficialmente conocidos como IEEE 802.3u, IEEE 802.3z, e IEEE 802.3a y comúnmentellamados Fast-Ethernet, Gigabit-Ethernet y 10 Gigabit-Ethernet respectivamente. Con el desarrollo posterior de los switchs nivel 2 (conmutadores) la tecnología IEEE 802.3 basada en CSMA/CD (conocida también como Ethernet compartida) ha superado una de sus limitaciones, al permitir la incorporación de mayores cantidades de hosts a la red sin disminuir su nivel de desempeño, objetivo que se alcanza segmentando la red al tener un segmento diferente en cada uno de los puertosdel switch, lo que da origena la tecnologíaconocidacomoEthernetconmutada.. Para su funcionamiento,la Red de Datos cuenta con un backboneen fibra óptica, el cual a pesar de poseerfísicamenteuna topología de doble estrella, lógicamentetiene una topologíade una sola estrella centradaen el IPET comose muestra en la Figura 1.2. Aunque físicamente Santo Domingose conecta al Carmen, lógicamentetiene una conexión directa al IPET ya que se ha “puenteado” la fibra ópticaen El Carmenevitandola conmutaciónde datosen ese punto.. 10.