Seguridad En Redes

Total Page:16

File Type:pdf, Size:1020Kb

Seguridad En Redes Seguridad en Redes Alejandro Corletti Estrada www.darFe.es Seguridad en Redes Madrid, octubre de 2016 Este libro puede ser descargado gratuitamente para emplearse en cualquier tipo de actividad docente, quedando prohibida toda acción y/o actividad comercial o lucrativa, como así también su derivación y/o modificación sin autorización expresa del autor. RPI (Madrid): M-6249/2016 ISBN: 978-84-617-5291-1 Alejandro Corletti Estrada ([email protected] - [email protected]) www.darFe.es Seguridad en Redes Este libro en formato electrónico con extensión “PDF” es el que se encuentra disponible gratuitamente en Internet. La versión impresa del mismo (que sí es de pago) puede ser solicitada por correo electrónico a la cuenta: [email protected] Alejandro Corletti Estrada Página 4 Seguridad en Redes Agradecimientos A todos los que a través del apoyo, reconocimiento y agradecimientos de la obra anterior “Seguridad por Niveles”, me han dado ánimo para seguir reuniendo temas y escribir este nuevo libro. A mi “gran Maestro” Antonio Castro Lechtaler, con el que tuve el placer de iniciarme en la docencia y compartir hermosos años dentro de su Cátedra. A Chema Alonso que con infinita paciencia supo dedicarme algo de su escaso tiempo para escribir uno de los prólogos de este libro. A “Nacho” (José Ignacio Bravo Vicente) y “Paco” (Francisco Martín Vázquez), quienes con su buena onda y enorme conocimiento, logran día a día mantenerme en este ritmo del “cacharreo”, bajándome de las nubes de la teoría de Seguridad y Redes. A un sinnúmero de Operadores de red, gente de Seguridad y de Auditoría de muchos Países (cada uno de ellos sabe bien a quiénes me refiero), que vienen sufriéndome y aguantando desde hace varios años (muchas gracias, de verdad). Por qué no también, mi más sincero reconocimiento al “Grupo Telefónica” que por más de veinte años me permitió jugar en esta “Primera División” aprendiendo, entendiendo y coordinando redes con los mejores profesionales y equipos (de avanzada y última generación) de la Liga Internacional (o mercado). Por último también….. gracias a todas las revistas, editoriales y medios de difusión que por “no encajar” en sus sistemas comerciales, no tuvieron mucha intención de fomentar este libro, el anterior y en general, ningún tipo de material “Open Source” o de libre difusión. Les agradezco de verdad, pues me han abierto puertas a través de las decenas de miles de lectores, a los que no hubiese podido llegar de su mano. (tarde o temprano deberán enrolarse en estas nuevas líneas de difusión). Alejandro Corletti Estrada Página 5 Seguridad en Redes Alejandro Corletti Estrada Página 6 Seguridad en Redes INDICE Prólogo 1 Por Antonio Castro Lechtaler 11 Prólogo 2 Ser un hacker y no un profesional Por Chema Alonso 13 Prólogo del autor 15 1. Historia y evolución de redes 17 1.1. La red de telefonía fija 17 1.2. La red móvil 24 1.3. Las redes de voz y datos 35 1.4 Internet 36 1.5. Voz sobre IP y VoLTE (Voice Over LTE) 41 1.6. NGN (Next Generation Network) 49 1.7. IMS (IP Multimedia Subsystem) 54 1.8. SIP (Session Initiation Protocol) 63 2. Estrategia de Seguridad en grandes redes 101 2.1. Organización del área de Seguridad. 101 2.2. Planificación de la Seguridad. 102 2.3. Gobierno de la Seguridad. 105 2.4. Operación de la Seguridad. 106 3. Procesos de seguridad en redes 113 3.1. Entrada en producción 114 3.2. Gestión de cambios 118 3.3. Gestión de accesos 119 3.4. Configuraciones e inventario 121 3.5. Gestión de Backup 126 3.6. Gestión de Incidencias 129 3.7. Supervisión y Monitorización 132 3.8. Gestión de Logs 135 4. Switching 139 4.1. Presentación. 139 Alejandro Corletti Estrada Página 7 Seguridad en Redes 4.2. Familia 802.1 141 4.2.1. 802.1D (Spanning Tree Protocol: STP). 142 4.2.2. 802.aq Shortest Path Bridging (SPB). 148 4.2.3. 802.1Q (Virtual LAN). 149 4.2.4. MPLS (Multiprotocol Label Switching). 156 4.2.5. 802.1x Autenticación de dispositivos conectados a un puerto LAN. 162 4.2.6. IEEE 802.11 – Redes inalámbricas WLAN. 172 4.3. Controles de Seguridad básicos a implementar en un Switch. 172 5. Routing 179 5.1. Presentación. 179 5.2. Definición de Routers. 179 5.2.1. Routers de Core. 181 5.2.2. Router Reflector. 182 5.2.3. Routers de frontera. 183 5.2.4. Routers de criticidad media y baja. 184 5.3. Cómo analizar la configuración y seguridad de un Router. 184 5.4. Aspectos básicos de configuración de seguridad de un Router. 189 6. Plataformas / Infraestructuras de Seguridad en Red 221 6.1. Presentación. 221 6.2. Control y filtrado de accesos. 221 6.2.1. Firewalls. 221 6.2.2. ACLs en routers. 227 6.3. Supervisión / Monitorización / Alarmas. 232 6.4. Centralización y explotación de Logs. 233 6.5. Detección / Prevención / Mitigación. 238 6.5.1. IDSs/IPSs (Sistemas de Detección / Prevención de intrusiones). 239 6.5.2. Plataformas de mitigación/detección. 240 6.6. Infraestructuras para la resolución de nombres. 244 6.7. Balanceo de carga. 246 6.8. Plataformas de sincronización de tiempo. 254 6.9. Plataformas de Control de Accesos 256 6.9.1. Cisco Secure Access Control System. 256 6.9.2. Citrix Access Gateway VPX. 258 Alejandro Corletti Estrada Página 8 Seguridad en Redes 6.9.3. Fortinet. 259 6.9.4. NAKINA. 262 6.10. Herramientas de gestión de Routers. 267 6.11. Herramientas de gestión de Firewalls. 271 6.12. Empleo de máquinas de salto. 277 7. Empleo de protocolos inseguros. 279 7.1. Presentación. 279 7.2. Telnet. 279 7.3. ftp (file Transfer Protocol). 280 7.4. SNMP versión 1 (Single Network Monitor Protocol). 283 7.5. NetBIOS. 284 7.6. CDP (Cisco Discovery Protocol). 293 7.7. SSH en su versión 1 (Secure SHell versión 1). 296 7.8. HTTP en vez de HTTPS. 298 7.9. Ausencia de tunelización (donde corresponda). 300 7.10. Cómo detectar, analizar y recolectar evidencias de estos protocolos 301 inseguros. 8. Seguridad en Centrales o Salas de red. 303 8.1. Presentación. 303 8.2. Ubicaciones. 303 8.3. Seguridad en los accesos físicos al edificio. 304 8.4. Control medioambiental. 306 8.5. Seguridad interna de salas. 307 8.6. Seguridad en los Racks de comunicaciones. 309 8.7. Control de energía. 310 9. Trabajo con diferentes comandos y herramientas. 313 9.1. Presentación. 313 9.2. Kali. 313 9.3. Túneles. 316 9.4. Cómo evaluar SNMP. 329 9.5. Wireshark. 329 9.6. Sistema Syslog. 334 Alejandro Corletti Estrada Página 9 Seguridad en Redes 9.7. John the Ripper. 339 9.8. medusa / hydra. 346 9.9. nmap. 350 Alejandro Corletti Estrada Página 10 Seguridad en Redes Prólogo 1: Antonio Castro Lechtaler Cuando el Doctor Ingeniero Alejandro Corletti Estrada me pidió que prologara su libro Seguridad en Redes vinieron a mi memoria recuerdos muy agradables de muchos años en los que hemos compartido experiencias que se inician a mediados de la década de los años 90 cuando él cursaba la carrera de Ingeniería y empezábamos a hablar de estos temas que hoy nos ocupan a ambos. Seguridad en Redes es una obra que viene a llenar el amplio vacío existente de libros técnicos de nivel universitario orientados al tema de redes, telecomunicaciones y seguridad, provenientes de escritores hispanohablantes, integrándose así al grupo reducido de autores que hemos tratado de cubrir con este tipo de trabajos las currículas de las materias que se cursan en las Universidades de España y América Latina. Es conocido el desinterés editorial en este tipo de obras técnicas escritas en idioma español, básicamente a causa de la costumbre de la fotocopia de libros técnicos editados en nuestro idioma, que desconoce el costo que este tipo de publicaciones implica, en una falta de respeto evidente por la propiedad intelectual de los autores latinos así como de la comunidad que los agrupa. Seguridad en redes es un libro que cuenta con un capitulo introductorio en el que actualiza conocimientos sobre las tecnologías de las redes actuales, tanto fijas como móviles. En esta primera parte clarifica conceptos esenciales sobre conmutación y enrutamiento, los que resultan imprescindibles para entender los aspectos que hacen a la seguridad sobre redes. El centro de gravedad del desarrollo de la obra está puesto en todos los aspectos que hacen a la seguridad de las redes de teleinformática, temática hoy de fundamental importancia a nivel gubernamental, personal, empresarial y educativa. El autor deja entrever muy claramente sus puntos de vista sobre los distintos estándares, los que desarrolla con simplicidad y gran profundidad al mismo tiempo. Por otra parte los gráficos que describen protocolos y pilas de acciones han sido confeccionados con gran categoría, lo que no es muy común en obras de este tipo. El desarrollo de las estrategias de seguridad para grandes redes tiene conceptos que solo pueden surgir de aquel que ha trajinado con intensidad los problemas de seguridad que en ellas se pueden generar al tiempo que explica conceptos esenciales que resultan imprescindibles para entender los aspectos que hacen a la seguridad sobre las redes. En resumen: la obra será una herramienta de consulta y uso permanente para aquellos que transitan por el camino de los diversos aspectos que involucran el tema de seguridad en las redes de comunicaciones. Alejandro Corletti Estrada Página 11 Seguridad en Redes Sin duda el autor se ha transformado, y esta obra lo pone de manifiesto, en un referente internacional en esta temática, ya que su trabajo en el área de la Seguridad Informática así lo acredita.
Recommended publications
  • Toip Functionality in Asterisk: Making Toip Communication More Available and Interoperable by Integrating It in the IP-PBX Asterisk
    Final Thesis ToIP functionality in Asterisk: Making ToIP communication more available and interoperable by integrating it in the IP-PBX Asterisk by Sara Hörlin LITH-IDA-EX--07/045--SE 2007-08-17 II Linköpings universitet Department of Computer and Information Science Final Thesis ToIP functionality in Asterisk: Making ToIP communication more available and interoperable by integrating it in the IP-PBX Asterisk by Sara Hörlin LITH-IDA-EX--07/045--SE 2007-08-17 Supervisor: Gunnar Hellström Examiner: Mariam Kamkar III IV V Abstract In the thesis the advantages with Text over IP (ToIP) is explained and it is motivated why it is a good idea to integrate this in Asterisk. It also presents an implementation of a ToIP extension in Asterisk. ToIP means communicating over a network based on Internet protocols with real-time text. Real-time text means a character is sent to the receiving terminal as soon the sender has typed it or with a small delay. There is a presentation level standard for real-time text conversation called T.140 (ITU-T 1998). There is also an Internet standard for transmission of real-time text called RFC 4103 which uses T.140 (Hellström 2005). There are other ways of communicating by the Internet. Most common is with Voice over IP (VoIP) which is the same as using the telephone but on the Internet. Another way of communicating is with Instant Messaging (IM) which is a message oriented text communicating method. In the thesis IM and ToIP is compared in a survey. The result point at IM is not better than ToIP even though it is much more commonly used.
    [Show full text]
  • Next Generation 911 (NG911) Standards Identification and Review
    The National 911 Program Next Generation 911 (NG911) Standards Identification and Review A compilation of existing and planned standards for NG911 systems Washington, DC April 2018 Next Generation 911 (NG911) Standards Identification and Review DOCUMENT CHANGE HISTORY The table below details the change history of this Standards Identification and Review document. Version Publication Date Description 1.0 September 21, 2011 Initial Release 2.0 September 7, 2012 Updated Standards 3.0 January 8, 2014 Routine Revision / Updated Standards 4.0 March 4, 2015 Routine Revision / Updated Standards 5.0 March 2016 Routine Revision / Updated Standards 6.0 March 2017 Routine Revision / Updated Standards 7.0 April 2018 Routine Revision / Updated Standards Page i Next Generation 911 (NG911) Standards Identification and Review Table of Contents Introduction .................................................................................................................................................. 1 What Is a Standard? ...................................................................................................................................... 2 What Are Best Practices? .............................................................................................................................. 3 Stakeholders ................................................................................................................................................. 3 Standards Organizations ..............................................................................................................................
    [Show full text]
  • The Session Initiation Protocol (SIP): an Evolutionary Study Salman Abdul Baset, Vijay K
    JOURNAL OF COMMUNICATIONS, VOL. 7, NO. 2, FEBRUARY 2012 89 The Session Initiation Protocol (SIP): An Evolutionary Study Salman Abdul Baset, Vijay K. Gurbani, Alan B. Johnston, Hadriel Kaplan, Brian Rosen and Jonathan D. Rosenberg Abstract— The Session Initiation Protocol (SIP) was devel- and control (rewind, forward) multimedia streams from oped to control multi-media sessions on the Internet. Shortly a media server. RTP is a protocol for transporting real- after its debut as a standard in 1999, SIP was adopted time data such as audio, video, or instant messages. In by the 3rd Generation Partnership Project (3GPP) as the preferred signaling protocol for the Internet Multimedia 1996, these were the protocols that powered the Internet Subsystem (IMS). This adoption provided a boost to the multicast backbone (MBONE) for loosely coupled multi- nascent protocol as traditional telecommunication services cast conferences. SIP was introduced into this mix. were interpreted in the context of the new protocol and In early 1996, there were two protocols competing for as SIP introduced richer services in the form of instant session establishment in the IETF: the Session Invitation messaging and rich presence to traditional telephony. In this paper, we study the evolution of the protocol from its Protocol and the Simple Conference Invitation Protocol roots to its use in operational networks today and the issues (SCIP). Session Invitation Protocol was responsible only it faces in such networks. We also provide a glimpse to the for setting up the session and providing rudimentary continued progression of SIP in Peer-to-Peer (P2P) networks capability negotiation; once the session had started, it was and take a critical look at where SIP has succeeded, and not used at all [7].
    [Show full text]
  • 08-003 Detailed Functional and Interface Specification NENA I3 Solution
    Understanding NENA’s i3 Architectural Standard for NG9-1-1 Today, NENA takes a significant step toward achieving the vision of Next Generation 9-1-1 service. As we adopt Version 1.0 of NENA Technical Standard 08-003, Detailed Functional and Interface Specification for the NENA i3 Solution – Stage 3, we consider it important to explain how this standard relates to long-term efforts to modernize our nation’s emergency communications systems. This NENA standard intentionally describes an end-state NG9-1-1 architecture, rather than an immediate “build-to” specification for a complete NG9-1-1 system. Broadly speaking, 9-1-1 systems will reach the end-state envisioned by the i3 Standard only over the long term. In the interim, transitional steps must be taken to maintain support for legacy interfaces from originating service providers such as wireline and cellular telephone carriers, and to accommodate legacy PSAP equipment. At the same time, we recognize that state and local authorities will begin deploying ESInets and other core components of the i3 architecture as those components reach the market. Likewise, originating service providers and access network operators may begin deploying new network elements in support of longer-term NG9-1-1 services. The i3 architecture anticipates the existence of transitional states in origination services, access networks, and 9-1-1 systems and includes specifications for network elements that will be required to support a growing variety of “call” types as deployed systems evolve toward the end-state. Critically, the i3 standard is not, by itself, the same thing as an NG9-1-1 system.
    [Show full text]
  • Ts 101 470 V1.1.1 (2013-11)
    ETSI TS 101 470 V1.1.1 (2013-11) Technical Specification Emergency Communications (EMTEL); Total Conversation Access to Emergency Services 2 ETSI TS 101 470 V1.1.1 (2013-11) Reference DTS/EMTEL-00023 Keywords accessibility, call centre, disability, emergency services, IMS, IP, location, PSAP, real-time text, total conversation ETSI 650 Route des Lucioles F-06921 Sophia Antipolis Cedex - FRANCE Tel.: +33 4 92 94 42 00 Fax: +33 4 93 65 47 16 Siret N° 348 623 562 00017 - NAF 742 C Association à but non lucratif enregistrée à la Sous-Préfecture de Grasse (06) N° 7803/88 Important notice Individual copies of the present document can be downloaded from: http://www.etsi.org The present document may be made available in more than one electronic version or in print. In any case of existing or perceived difference in contents between such versions, the reference version is the Portable Document Format (PDF). In case of dispute, the reference shall be the printing on ETSI printers of the PDF version kept on a specific network drive within ETSI Secretariat. Users of the present document should be aware that the document may be subject to revision or change of status. Information on the current status of this and other ETSI documents is available at http://portal.etsi.org/tb/status/status.asp If you find errors in the present document, please send your comment to one of the following services: http://portal.etsi.org/chaircor/ETSI_support.asp Copyright Notification No part may be reproduced except as authorized by written permission.
    [Show full text]