seguridad en redes

[journalis ch. espinoza u.]

Seguridad en redes y  Redes privadas virtuales (VPN)

Debido a que los datos transmitidos por redes internas de las organizaciones (Las redes de área local) se conectan cada vez con más frecuencia a Internet mediante un equipo de interconexión hoy en día son mucho más vulnerables que cuando viajan por una red interna de la organización, ya que la ruta tomada no está definida por anticipado, lo que significa que los datos deben atravesar una infraestructura de red pública que pertenece a distintas entidades. Por esta razón, es posible que a lo largo de la línea, un usuario entrometido, escuche la red o incluso secuestre la señal. Por lo tanto, la información confidencial de una organización o empresa no debe ser enviada bajo tales condiciones.

 

La primera solución que se da para satisfacer esta necesidad de comunicación segura, es la de conectar redes remotas mediante líneas dedicadas. Sin embargo, como la mayoría de las compañías no pueden conectar dos redes de área local remotas con una línea dedicada, a veces es necesario usar Internet como medio de transmisión.

Por lo tanto es una buena solución en utilizar Internet como medio de transmisión con un protocolo de túnel, que significa que los datos se encapsulan antes de ser enviados de manera cifrada.  Y es de este modo se usa el término Red privada virtual (VPN) que se utiliza para hacer referencia a la red creada artificialmente de esta manera.

 

Se dice que esta red es virtual porque conecta dos redes "físicas" (redes de área local) a través de una conexión poco fiable (Internet) y privada porque sólo los equipos que pertenecen a una red de área local de uno de los lados de la VPN pueden "ver" los datos.

 

Por lo tanto, el sistema VPN brinda una conexión segura a un bajo costo, ya que todo lo que se necesita es el hardware de ambos lados. Sin embargo, esto no garantiza una calidad de servicio comparable con una línea dedicada, ya que la red física es pública y por lo tanto no está garantizada.

Al estudiar la VPN se encuentra el funcionamiento de la misma que dice que una red privada virtual se basa en un protocolo denominado protocolo de túnel, es decir, un protocolo que cifra los datos que se transmiten desde un lado de la VPN hacia el otro.

 

La palabra "túnel" se usa para simbolizar el hecho que los datos estén cifrados desde el momento que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para cualquiera que no se encuentre en uno de los extremos de la VPN, como si los datos viajaran a través de un túnel. En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los datos del lado del usuario y el servidor VPN (comúnmente llamado servidor de acceso remoto) es el elemento que descifra los datos del lado de la organización.

 

De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la infraestructura de red pública como intermediaria; luego transmite la solicitud de manera cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y éste envía la respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y finalmente los envía al usuario.

 

Por este motivo MDtel ve un futuro en el que todo el mundo estará conectado a internet. Las empresas estarán conectadas, a través de la red, a sus clientes y proveedores. El mercado estará en la red. Y ofrece soluciones para sus redes y así  garantizar la interconexión y la seguridad en sus redes y utiliza, entre muchos otros los siguientes equipos:

 

Servidores de acceso remoto. Permiten al acceso a los recursos de datos de la compañía, conformando una red privada a nivel físico; el usuario se conecta vía RTC o RDSI a un dispositivo ubicado en las dependencias de la compañía, estableciendo un enlace físico temporal con la misma.

Servidores de túneles VPN. Aprovechando la conectividad a Internet existente en las compañías y sus dependencias, se puede utilizar esta para constituir enlaces virtualmente privados, de manera que se pueda usar un medio público y económico de transmisión de datos como es  Internet. Las dependencias de una compañía y los usuarios remotos quedarán unidos entre sí gracias a la utilización de estos dispositivos.

Firewalls. La presencia pública de las compañías en Internet supone la adopción de mecanismos de seguridad que eviten que usuarios malintencionados accedan a recursos no públicos, o ejecuten ataques sobre las máquinas publicadas en Internet. Los firewalls constituyen una primera barrera en el perímetro de la red, orientada a evitar estos accesos malintencionados a recursos de la compañía.

Sistemas de detección de intrusos. Utilizados junto con los firewalls, complementan la funcionalidad de los mismos detectando ataques más complejos que evitan las reglas establecidas por los firewalls; se basan en un analizador de redes con un software específico de análisis de aplicación, unido a unas firmas de ataque actualizadas constantemente.

Entre otros equipos que pueden garantizar la seguridad en sus redes y que  pueden investigar si es de su interés.

JOURNALIS

[miguel acosta]

Nuestro Objetivo principal es conseguir una red inalámbrica Wi-Fi más
segura
El protocolo 802.11 implementa encriptación WEP, pero no podemos
mantener WEP como única estrategia de seguridad ya que no es del todo
seguro. Existen aplicaciones para Linux y Windows (como AiroPeek,
AirSnort, AirMagnet o WEPCrack) que, escaneando el suficiente número
de paquetes de información de una al circulo de nuestra red podemos
conseguir un nivel de seguridad muy alto y bastante útil. red Wi-Fi,
son capaces de obtener las claves WEP utilizadas y permitir el acceso
de intrusos a nuestra red.
Para que un intruso se pueda meter un nuestra red inalámbrica tiene
que ser nodo o usuario, pero el peligro radica en poder escuchar
nuestra transmisión. Vamos a dar unos pequeños consejos para poder
estar mas tranquilos con nuestra red inalámbrica.
1. Cambiar las claves por defecto cuando instalemos el software del
Punto De Acceso.
2. Control de acceso seguro con autentificación bidireccional.
3. Control y filtrado de direcciones MAC e identificadores de red para
restringir los adaptadores y puntos de acceso que se puedan conectar a
la red.
4. Configuración WEP (muy importante) , la seguridad del cifrado de
paquetes que se transmiten es fundamental en la redes inalámbricas, la
codificación puede ser mas o menos segura dependiendo del tamaño de la
clave creada y su nivel , la mas recomendable es de 128 Bits.
5. Crear varias claves WEP ,para el punto de acceso y los clientes y
que varíen cada día.
6. Utilizar opciones no compatibles, si nuestra red es de una misma
marca podemos escoger esta opción para tener un punto mas de
seguridad, esto hará que nuestro posible intruso tenga que trabajar
con un modelo compatible al nuestro.
7. Radio de transmisión o extensión de cobertura , este punto no es
muy común en todo los
modelos ,resulta mas caro, pero si se puede controlar el radio de
transmisión

Otra forma de mejorar la seguridad en estas redes es usar protocolos
para tal fin tales como.

WPA

WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta
de la asociación de empresas Wi-Fi a la seguridad que demandan los
usuarios y que WEP no puede proporcionar.
El IEEE tiene casi terminados los trabajos de un nuevo estándar para
reemplazar a WEP, que se publicarán en la norma IEEE 802.11i a
mediados de 2004. Debido a la tardanza (WEP es de 1999 y las
principales vulnerabilidades de seguridad se encontraron en 2001), Wi-
Fi decidió, en colaboración con el IEEE, tomar aquellas partes del
futuro estándar que ya estaban suficientemente maduras y publicar así
WPA. WPA es, por tanto, un subconjunto de lo que será IEEE 802.11i.
WPA (2003) se está ofreciendo en los dispositivos actuales.
WPA soluciona todas las debilidades conocidas de WEP y se considera
suficientemente seguro. Puede ocurrir incluso que usuarios que
utilizan WPA no vean necesidad de cambiar a IEEE 802.11i cuando esté
disponible.

Mejoras de WPA respecto a WEP
WPA soluciona la debilidad del vector de inicialización (IV) de WEP
mediante la inclusión de vectores del doble de longitud (48 bits) y
especificando reglas de secuencia que los fabricantes deben
implementar. Los 48 bits permiten generar 2 elevado a 48 combinaciones
de claves diferentes, lo cual parece un número suficientemente elevado
como para tener duplicados. El algoritmo utilizado por WPA sigue
siendo RC4. La secuencia de los IV, conocida por ambos extremos de la
comunicación, se puede utilizar para evitar ataques de repetición de
tramas (replay).
Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32
que se demostró inservible en WEP y se ha incluido un nuevo código
denominado MIC.
Las claves ahora son generadas dinámicamente y distribuidas de forma
automática por lo que se evita tener que modificarlas manualmente en
cada uno de los elementos de red cada cierto tiempo, como ocurría en
WEP.
Para la autentificación, se sustituye el mecanismo de autentificación
de secreto compartido de WEP así como la posibilidad de verificar las
direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS.
Su inconveniente es que requiere de una mayor infraestructura: un
servidor RADIUS funcionando en la red, aunque también podría
utilizarse un punto de acceso con esta funcionalidad.


WPA2 (IEEE 802.11i)
802.11i es el nuevo estándar del IEEE para proporcionar seguridad en
redes WLAN. Se espera que esté concluido todo el proceso de
estandarización para mediados de 2004. Wi-Fi está haciendo una
implementación completa del estándar en la especificación WPA2.
Sus especificaciones no son públicas por lo que la cantidad de
información disponible en estos momentos es realmente escasa.
WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption
Standard), desarrollado por el NIS Se trata de un algoritmo de cifrado
de bloque (RC4 es de flujo) con claves de 128 bits. Requerirá un
hardware potente para realizar sus algoritmos. Este aspecto es
importante puesto que significa que dispositivos antiguos sin
suficientes capacidades de proceso no podrán incorporar WPA2.
Para el aseguramiento de la integridad y autenticidad de los mensajes,
WPA2 utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message
Authentication Code Protocol) en lugar de los códigos MIC.
Otra mejora respecto a WPA es que WPA2 incluirá soporte no sólo para
el modo BSS sino también para el modo IBSS (redes ad-hoc).