B4-T9_SEG.REDES y VPN Flashcards
Los 2 apartados de la Seguridad en Redes son “Seg. Perimetral y VPN”, ¿podrías definirlos?
- Se llama SEGURIDAD PERIMETRAL, porque abarca el perímetro de la empresa. Protege tanto los que venga de fuera (entrada), como lo que salga de dentro (salida).
Ej: accesos NO autorizados o fugas de información.
- Una red VPN es el mecanismo para extender una LAN privada a través de una red pública (internet). Es decir, es una gran red privada que atraviesa redes públicas (internet).
Ej: para añadir a la red de la empresa un trabajador o puesto remoto.
*Una VPN tiene que garantizar: AUTENTICACIÓN, CONFIDENCIALIDAD e INTEGRIDAD => las 3 cosas!
Sabemos que el ENS (Esquema Nacional de Seguridad) consiste en proteger la información de las personas de amenazas y ataque mediante unas medidas de ciberseguridad adecuadas, define, dentro de dichas medidas, las de PERÍMETRO SEGURO (mp.com.1):
Estas medidas (mp.com.1) se aplican a los 2 activos de la Administración Pública (servicios y datos), atendiendo a la categoría de criticidad:
- Categorías BÁSICA y MEDIA: se dispondrá un sistema de cortafuegos que separe la red interna del exterior => TODO el tráfico deberá atravesar dicho cortafuegos que sólo dejará transitar los flujos previamente autorizados.
- Categoría ALTA:
2.1. El sistema de cortafuegos constará de 2 o más equipos de diferente fabricante dispuestos en cascada.
2.2. Se dispondrán sistemas redundantes.
NOTA: el mp.com.4 abarca las medidas: SEGREGACIÓN DE REDES.
Sabemos que el ENS (Esquema Nacional de Seguridad) consiste en proteger la información de las personas de amenazas y ataque mediante unas medidas de ciberseguridad adecuadas, define, dentro de dichas medidas, las de SEGREGACIÓN DE REDES (mp.com.4):
La Segregación de Redes (mp.com.4) acota el acceso a la información, reduciendo así la propagación de los incidentes de seguridad, pues quedan restringidos al entorno donde ocurren.
Categoría ALTA: la red se segmentará en segmentos de forma que haya:
a) Control de entrada de los usuarios que llegan a cada segmento.
b) Control de salida de la información disponible en cada segmento.
c) Las redes se pueden segmentar por dispositivos físicos o lógicos. El punto de interconexión estará particularmente asegurado, mantenido y monitorizado (como en mp.com.1).
NOTA: el mp.com.1 abarca las medidas: PERÍMETRO SEGURO.
Enumera y describe los 5 tipos de Cortafuegos:
- FILTRADO DE PAQUETES (packet filter): trabaja a nivel de red/transporte y bloquea el tráfico en función de IPs y Puertos.
Ej: NetFilter (es el cortafuegos de linux) administrado por FirewallD, nftables, ufw o IPTABLES (este último también tiene capacidades de “Stateful Inspection”) - STATEFUL INSPECTION (inspección de estado): para definir reglas en relación a lo acontecido en el pasado, es decir, definir reglas para el tráfico entrante en función del tráfico pasado.
Ej: el módulo de IPTABLES: “IPtables Conntrack” - CIRCUIT-LEVEL GATEWAY: (nivel sesión, ej: TCP) utilizado para aquellos protocolos que tengan capacidad de sesiones: TCP, SSL, …
4.APLICATION LEVEL GATEWAY, alias Proxy Inverso: (nivel de aplicación, ej: HTTP). Es el FireWall que esta más arriba.
Hay 4 productos de este tipo PROXY:
*Squid
*Nginx
*Varsnish
*HAProxy
- NEXT GENERATION:
*IPS (protección contra intrusoso)
*WAF (Web Aplication Firewall): firewall especializado en ataques web.
*UTM (gestión unificada de amenazas): puede usarse como firewall, antivirus, antispam, … => por lo cual, es el Happy Meal de los cortafuegos.
¿Realmente el CortaFuegos de LINUX se llama IPtables?
No, se llama “NetFilter”, es del tipo “filtrador de paquetes” de cortafuegos. IPtables es uno de los primeros comandos para administrar las reglas de filtrado de este “packet filer” o tipo de cortafuegos.
Ejemplos de Reglas:
Tráfico que entra le aplico una regla.
Tráfico que sale le aplico otra regla.
NOTA: NetFilter también es conocido como “HUB”, porque puedes engancharte en múltiples puntos de la cadena de filtrado.
Además de IPtables, ¿qué otras maneras, además más sencillas, hay de administrar las reglas de “NETFILTER” (cortafuegos de linux “filtrador de paquetes”)?
*FirewallD: cuyo comando es “cmd”.
Ej: para agregar el servicio “smtp” a la zona pública =>
sudo firewall-cmd –zone=public–add-service=smtp
NOTA: la “D” de FirewallD, es de Demonio, pues habla con un demonio en lugar de llamar a NetFilter directamente.
*ufw (Uncomplicated FireWall = cortafuegos sin compilaciones): cuyo comando es “ufw”.
Ej: para activarlo =>
sudo ufw enable
*nftables: es el de nueva generación. Cuyo comando es “nft”.
Ej: para añadir e insertar regla =>
nft add rule
nft insert rule
NOTA: estos 3 sistemas son más sencillos que IPtables.
¿Qué tipo de cortafuegos es UTM y que funcionalidades proporciona?
Es del tipo NEXT GENERATION (próxima generación). Como su propio nombre indica (gestión UNIFICADA de amenazas), gestionan de una forma centralizada (unificada) la mayoría de las amenazas:
*Antivirus
*Cortafuegos (firewall)
*Sistemas de detección/Prevención de intrusos => IDS/IPS.
*Anti-phishing (vigilan el tráfico de aplicaciones para detectar intentos de obtener información)
*Anti-spam
*VPN (Redes Privadas Virtuales)
*Sistemas de protección de WIFI.
*Filtrado de contenido.
Sabemos que los UTM son sistemas de seguridad perimetrales, pues se ubican entre internet y la red interna para inspeccionar el tráfico, pero ¿qué 2 modos tienen de inspeccionar?
a) Modo TRANSPARENTE: identifica y bloquea las amenazas en tiempo real, y requiere una menor capacidad de procesamiento, por lo que los usuarios apenas reciben retardo en la comunicación (transparente).
b) Modo PROXY: primero, analiza el tráfico igual que el modo Transparente, sobre ese resultado realizará un 2º análisis. Por lo cual, requiere de una mayor capacidad de procesamiento, aunque es más eficaz.
¿Qué es y cómo se instala el módulo “Apache mod-security WAF”?
El “ModSecurity” es un módulo de seguridad Apache, que funciona como cortafuegos de tipo WAF (cortafuegos de aplicaciones web).
SE INSTALA:
apt-get install libapache2-mod-security2
NOTA: su fichero de configuración es: modsecurity.conf
*Aporta reglas CRS (Core Rule Set) para proteger ante ataques de tipo:
XSS
SQLi
CSRF
DDOS
Define algunos tipos de ataques:
*XSS: (Cross-site scripting) tipo de ataque que aprovecha fallas de seguridad en sitios web y permite a un atacante inyectar en un sitio web código malicioso (script) del lado del cliente. Este código es ejecutado por un usuario desprevenido que visita dicho sitio y afectarlo, ya sea robando credenciales, redirigiendo al usuario a otro sitio malicioso, o para realizar DEFACEMENT en un sitio web.
NOTA: “defacement” es un ataque a un sitio web que cambia la apariencia visual de una página web.
*SQLi: un ataque de inyección de SQL usa un código SQL malicioso para manipular la base de datos de backend y acceder a información privada. Esta información puede incluir datos sensibles de empresas, listas de usuarios o detalles de los clientes.
*Otros tipos de ataques: CSRF y DDOS.
Define algunos tipos de ataques:
CSRF: (Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario EN EL QUE EL SITIO CONFIABA.
NOTA: “exploit”, es un fragmento de software, que aprovecha una vulnerabilidad de un sistema para provocar un comportamiento involuntario. Su nombre deriva del verbo inglés to exploit, que significa “usar algo en beneficio propio”.
DDOS: intenta colapsar un sitio web, con tráfico malintencionado para que no pueda funcionar correctamente.
*Otros tipos de ataques: XSS y SQLi.
¿Cuál es el organismo que se encarga de estudiar y publicar las vulnerabilidades del entorno web?
OWASP (acrónimo de Open Web Application Security Project = Proyecto abierto de seguridad de aplicaciones web) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.
Lo reflejan o hacen constar en el OWASP Top 10, que es un informe que se actualiza con regularidad y en el que se exponen los problemas de seguridad de las aplicaciones web, centrándose en los 10 riesgos más importantes.
¿En qué se diferencian los Sistemas de Protección contra Intrusos: IDS (Intrusion DETECTION System) e IPS (Intrusion PREVENTION System)?
IDS, monitoriza redes para SÓLO detectar e informa de actividades no autorizadas. En cambio, IPS, monitoriza redes, pero, además de detectar dichos accesos NO autorizados, también intenta impedirlos descartando/bloqueando los paquetes sospechosos.
Es decir, IDS es un sistema PASIVA e IPS es ACTIVO.
Define 2 tipos de sistemas de DETECCIÓN contra intrusos (IDS):
*NIDS: detectores de intrusos en REDES (vigila la RED).
EJEMPLO: Snort, Suricata, Bro y Kismet.
*HIDS: detectores de intrusos en HOST (vigila cambios en un HOST).
EJEMPLO: Ossec, Wazuh y Samhain.
Enumera 4 tipos de sistemas de PREVENCIÓN contra intrusos (IPS):
*HIPS (Host-based intrusion prevention system): buscan actividades sospechosas en host únicos.
*NIPS (Network-based intrusion prevention system): basados en red, buscan tráfico de red sospechoso.
*WIPS (Wireless intrusion prevention system): basados en Wireless, buscan en la red inalámbrica tráfico sospechoso.
*NBA (Network behavior analysis):basados en el comportamiento de la red, identificando tráfico inusual.
NOTA: BEHAVIOR = COMPORTAMIENTO.
¿Existe alguna herramienta para CENTRALIZAR toda la información recabada de monitorizar las fuentes de una red?
SIEM (Sistema de gestión de eventos e información de seguridad = Security Information and Event Management).
Esta herramienta recopila o centraliza la información (registros “log”) de múltiples orígenes o fuentes.
Con toda esa información o conjunto de registros “log”, el administrador llevará a cabo un proceso de NORMALIZACIÓN y CORRELACIÓN para obtener un neto (EVENTO) de todo ese bruto de información. Este proceso consta del establecimiento de ciertas REGLAS.
EJEMPLOS de Reglas: cuando en el Apache haya un “log” de tal formato conviértelo en algún EVENTO de seguridad, como: “Fallo en Cliente” o “Fallo en el Servidor”.
*Estas REGLAS (Normalización+Correlación) se establecerán de manera particular para cada fuente, para obtener del bruto (todos los registros de todas las fuentes) ese neto o EVENTO.
*Uno de los SIEM por excelencia es OSSIM.
NOTA: un “evento” en seguridad es CONOCIMIENTO.
Sabemos que un sistema de seguridad SIEM recopila los registros de varias fuentes para obtener un conjunto neto o EVENTO, que no es más que el conocimiento centralizado de dicha información para poderla manejar con mayor inteligencia. Pues indica cuál es el SIEM más importante:
Uno de los SIEM por excelencia es OSSIM, cual realiza su trabajo integrando un conjunto de herramientas, tales como:
*Descubrimientos de activos: prads, Nmap *Detección de amenazas: OSSEC, snort, Suricata *Monitorización: ntop, tcpdump, Nagios *Evaluación de vulnerabilidad: OpenVas, Nikto
NOTA: CUALQUIER SISTEMA DE PROTECCIÓN NO ES SISTEMA SIEM, PARA SERLO TENDRÍA QUE INTRODUCIR ESA CAPA DE NORMALIZACIÓN+CORRELACIÓN PARA OBTENER, EN LUGAR DE SIMPLE INFORMACIÓN, ESE CONOCIMIENTO NETO O “EVENTO”.
Enumera algunos sistemas SIEM:
*OSSIM: es uno de los + importantes.
*Gloria y Mónica: son los que están dentro de la Administración Pública (CCN).
*Otros: ELK, Metron y QRadar.
NOTA: El CCN es el organismo responsable de garantizar la seguridad de los servicios de tecnologías de la información y comunicaciones en las diferentes entidades de la Administración Pública.
¿Hay alguna herramienta para que haga de señuelo para cazar al atacante?
HoneyPots (tarros de miel).
Sistema configurado con vulnerabilidades “evidentes” con el objetivo de atraer y estudiar a los diferentes atacantes.
¿Qué es un host BASTIÓN?
Un host BASTIÓN es un sistema informático especialmente diseñado para resistir ataques informáticos. Se ubica entre la red informática a proteger (por ejemplo fuera del firewall o cortafuegos o en la DMZ -zona desmilitarizada-) y el exterior (Internet), quedando expuesto a las amenazas. Su principal objetivo es el de FILTRAR el tráfico de entrada y de salida según las directrices que tenga configuradas haciendo de “proxy”, permitiendo y denegando conexiones.
*Esta arquitectura se denomina “Screened Host”.
¿En qué se diferencian las arquitectura de filtrado de paquetes (o tráfico de red) “Screened Host” y “Dual-Homed Host”?
Son lo contrario, Dual-Homed Host NO enruta el tráfico, sino que se compone de simples máquinas Unix (que hacen de proxy), denominadas ANFITRIONES de dos bases, equipadas con dos tarjetas de red: una se conecta a la red interna a proteger y la otra a la red externa.
Esta máquina (proxy) establece de donde a donde irá la información, es decir, es quien gobierna las reglas de entrada con su correspondiente salida.
*NO ENCAMINA, ya que simplemente coge petición HTTP y se la entrega directamente al Host destino, ya que tiene acceso a los hosts.
Describe los productos “proxy”: SQUID y NGINX:
*El proxy Squid es un servidor web proxy-CACHÉ, que proporciona un servicio de proxy que soporta peticiones HTTP, HTTPS y FTP a equipos que necesitan acceder a Internet y a su vez provee la funcionalidad de caché especializado en el cual almacena de forma local las páginas consultadas recientemente por los usuarios.
*Nginx, es un servidor web de código abierto que, desde su éxito inicial como servidor web, ahora también es usado como proxy INVERSO, cache de HTTP, y balanceador de carga.
NOTA: ademas los tipos CACHE e INVERSO, hay otros tipos de servidores proxy: WEB, TRANSPARENTES o NAT.
Además de las arquitecturas de filtrado de paquetes (Seguridad en redes) “Screened Host” y “Dual-Homed Host”, existe la “DMZ”, que es la técnica de diseño de Seguridad PERIMETRAL más usada hoy en día. Definela:
La principal función de una DMZ es permitir que los equipos informáticos puedan prestar servicios a la red externa como un correo electrónico. El servidor DMZ, colocado entre la red interna y externa, funciona de filtro protector de la red interna, actúa como “cortafuegos y de esta forma protege la red de intrusiones maliciosas.
EJEMPLO EN FOTO: tenemos un doble FireWall (son los dos routers), uno para filtrar tráfico de nuestra red y el otro de internet.
El tráfico permitido es hacia dentro (indicado por las flechas rojas), pero sólo a elementos que tengamos en la DMZ (Zona Desmilitarizada): mi web, mi DNS, mi FTP, mi MTA (correo), …
Por lo cual, el tráfico que vaya directamente desde Internet a la red interna, sin pasar por la DMZ esta totalmente PROHIBIDO.
*Este sistema aparenta que la red interna con la externa (internet), este desconectada. Pues, no habrá conexión que no permita la DMZ.
¿Cuál es el principal objetivo de una red VPN?
REDUCIR COSTES.
Pues si en lugar de hacer esas nuevas y necesarias conexiones (entre redes privadas o, simplemente, para añadir un puesto), con el mecanismo de extender nuestra red LAN privada por la red pública (VPN), lo hiciéramos a través de lineas dedicadas (PPP), el coste sería mayor.
*Una VPN tiene que garantizar: AUTENTICACIÓN, CONFIDENCIALIDAD e INTEGRIDAD => => las 3 cosas! si no garantizan alguna se DEJARÍA DE UTILIZAR x ser una VPN vulnerable.
Define los escenarios o tipologías VPN de acceso REMOTO y De SITIO a SITIO:
- De Acceso REMOTO: una vez que esta establecido el camino o tunel VPN (rojo en la foto) entre el software “cliente vpn” y el servidor VPN, se permitirá acceso a los servicios para los que estemos autorizados.
- De SITIO a SITIO: aquí el tráfico tunelizado o securizado (rojo en la foto), es de router a router. En lugar de dentro de las redes.
Dando la apariencia de que ambas redes (routers) están conectados y en medio no hay red pública.
EJEMPLO DE LA FOTO: si alguien de la red A se quiere comunicar con alguien de la red B, los routers envían la información en dicha dirección “securizada” o “tunelizada” (es una especie de envoltura del tráfico).
Es decir, se envuelve el tráfico enviado de una red a otra a través de la red pública (Internet), de manera que parece que es de la misma red.
NOTA: hay una tercera tipología de VPN => de EQUIPO a EQUIPO.
¿Cuáles son los 2 elementos principales que forman una red VPN?
a) El Servidor, Concentrador o Gateway VPN: es el elemento básico de la infraestructura VPN y se encarga de establecer las conexiones seguras (túnel VPN) con los dispositivos del usuario o con otro servidor VPN.
b) Cliente VPN: es el software que debe ser instalado en los dispositivos de usuario para poder establecer la conexión segura con el servidor VPN.
Además de los escenarios o tipologías VPN de acceso REMOTO y De SITIO a SITIO, existe un 3º “De EQUIPO a EQUIPO, definelo:
Para proteger el tráfico entre 2 equipos, es decir, sólo te conectas a un sólo host o servidor..
Normalmente se utilizan para realizar administración remota de servidores que usan protocolos inseguros, o que se encuentran en redes con riesgos de seguridad, como la DMZ.
EJEMPLO FOTO: las conexiones VPN se establecen entre el equipo origen (cliente) y el equipo destino (servidor) (ver FOTO).
El servidor tendrá el software VPN instalado y configurado para proporcionar los servicios VPN y aceptar conexiones de los equipos cliente, que tendrán instalado y configurado el software cliente VPN.
Cuando el equipo cliente solicita la conexión al equipo servidor, se realizará el proceso de autenticación y si ésta es correcta, se establecerá la conexión VPN entre ambos equipos.
¿Qué es CLOUD VPN y VPC (Virtual Private Cloud)?
Cloud VPN conecta de manera segura tu red de intercambio de tráfico a la red de nube privada virtual (VPC) mediante una conexión IPsec VPN.
Una puerta de enlace de VPN encripta el tráfico que viaja entre las dos redes y la otra puerta de enlace de VPN lo desencripta.
*Los + DESTACADOS: AWS (Amazon Web Service) y Microsoft Azure.
*OTROS: Google Cloud o Digital Ocean.
¿Qué es VPNass?
Es una arquitectura nueva y moderna de la tecnología VPN que está concretamente diseñada para la NUBE.
Además, la VPN As A Service mejora la seguridad de la arquitectura en la nube de la empresa con una opción más flexible y escalable en lugar de las obsoletas VPN tradicionales.
MEJORAS:
1. VPNass proporciona al usuario remoto un punto único de acceso seguro VPN.
- Además, da visibilidad de todo el tráfico a la organización, permitiendo inspeccionarlo de forma exhaustiva.
¿Cuáles son los sistemas más usados en Protocolos de Tunneling “VPN de SITIO a SITIO”?
- Familia IPSec: para el túnel entre los dos routers.
- GREE: es otro protocolo de tunneling, pero sólo se usa para envolver/encapsular, ya que NO ES SEGURO.
El envoltorio nos permite hacer ciertas modificaciones como: cambiar el esquema de direccionamiento, pasar de IPv4 a IPv6, … - WireGuard: (protector de cable) es un software libre que permite establecer una red privada virtual (VPN). Con la ayuda de una VPN se abre un túnel virtual entre dos ordenadores de Internet por el que pasa la conexión de red, como si se tratase de un cable de red entre los dispositivos.
¿Qué es la “tunelización” GRE (Encapsulamiento de túnel Genérico)?
La encapsulación de routing genérico (GRE) es un ejemplo de un protocolo de tunneling de VPN de SITIO (router) a SITIO (router) básico y NO SEGURO.
GRE es un protocolo de tunneling desarrollado por Cisco que puede encapsular/envolver una amplia variedad de tipos de paquete de protocolo dentro de túneles IP.
Como se muestra en la FOTO, una interfaz de túnel admite un encabezado para cada uno de los siguientes protocolos:
*Un protocolo encapsulado (o protocolo de pasajeros), como IPv4, IPv6, AppleTalk, DECnet o IPX. *Un protocolo de encapsulación (o portadora), como GRE. *Un protocolo de entrega de transporte, como IP, que es el protocolo que transporta al protocolo encapsulado.
En resumen, GRE, que se usa dentro de un datagrama IP, envuelve/encapsula en su payload (parte amarilla del dibujo) la información privada, para ser enviada por la red pública (Internet).
Es decir, envuelve o encapsula la información de una red privada (parte amarilla del dibujo) enviada por un router a otro router de otra red privada, a través de Internet.
NOTA: PERMITE ENVIAR DENTRO DE UNA RED IPv4, DATAGRAMAS IPV6 y VICEVERSA, x ejemplo => es una especie de sistema de adaptación al poder usar un sistema de un tipo dentro de otro.
¿Cómo configurar un túnel GRE?
Para implementar un túnel GRE, el administrador de red primero debe descubrir las direcciones IP de las terminales. Después, se deben seguir cinco pasos para configurar un túnel GRE:
Paso 1. Cree una interfaz de túnel con el comando interface tunnel number:
# interface tunnel10
Paso 2. (Optativo) Especifique el modo de túnel GRE como modo de interfaz de túnel. El modo de túnel GRE es el modo predeterminado de interfaz de túnel para el software IOS de Cisco:
# tunnel mode gre ip
Paso 3. Configure una dirección IP para la interfaz de túnel:
# ip address 192.168.2.1 255.255.255.0
Paso 4. Especifique la dirección IP de origen del túnel:
# tunnel source 209.165.201.1
Paso 5. Especifique la dirección IP de destino del túnel:
# tunnel destination 198.133.219.87
*Continuaríamos indicando el protocolo de direccionamiento:
# router ospf 1
¿Qué es KERBEROS?
Kerberos es un protocolo o servidor de AUTENTICACIÓN utilizado en redes informáticas abiertas o NO seguras, que permite a dos ordenadores en una red insegura (Internet) demostrar su identidad mutuamente de manera segura.
NOTA: se creo L2TP como heredero aparente de los protocolos PPTP y L2F, creado para corregir las deficiencias de estos protocolos y establecerse como un estándar aprobado por el IETF.
IMPORTANTE: otros Servidores de Autenticación: RADIUS, TACACS y DIAMETER.
¿Cuáles son los sistemas más usados en Protocolos de Tunneling “VPN de ACCESO REMOTO”?
*NO SEGURO (y apenas usados hoy en día:
a) PPTP (Point to Point Tunneling Protocol) aunque se puede encripar usandolo junto al protocolo MPPE (Microsoft Point to Point Encryption). Es decir, sin usar dicha esta extensión no hay cifrado.
b) L2F (Layer 2 Forwarding) NO cifrado.
c) L2TP (Layer 2=enlace Tunneling Protocol): su usa junto a IPSec para dotarlo de seguridad de encriptación y garantizar la confidencialidad de la información.
NOTA: son protocolos de nivel 2 (enlace), porque la pila original se tuneliza hasta nivel de enlace.
*SEGUROS (y los más usados):
a) SSL (OpenVPN se basa en OpenSSL)
b) SSH
c) SSTP (Secure Socket Tunneling Protocol): es una tecnología de protocolo a través del cual el tráfico PPP o L2TP se envía a través de un canal SSL, es decir, también se basa en OpenSSL.
NOTA: SSL y SSH tunelizan en la capa de arriba, por lo cual producen menos OverHead.
IMPORTANTE: la Autenticación de estos protocolos la gestionan los Servidores de Autenticación: RADIUS, KERBEROS, TACACS y DIAMETER.
¿Cuál es la diferencia entre los protocolos de tunneling PPTP (Point to Point Tunneling Protocol) y L2F (Layer 2 Forwarding)?
Como PPTP, L2F fue diseñado por Cisco para establecer túneles de tráfico desde usuarios remotos hasta sus sedes corporativas.
La principal diferencia entre PPTP y L2F es que, como el establecimiento de túneles de L2F no depende del protocolo IP, es capaz de trabajar directamente con otros medios, como Frame Relay o ATM.
Los protocolos de tunneling VPN de Acceo Remoto (PPTP, L2TP, L2F, SSL, SSH o SSTP) NO cifran, pero que protocolos usan para el AUTENTICADO?
*PAP (Password Authentication Protocol): es un subprotocolo usado por la autenticación del protocolo PPP (Point to Point Protocol)l, que transmite CONTRASEÑAS (password) en ASCII sin cifrar, por lo que se considera inseguro.
Es decir, simplemente es una PDU que envía USUARIO y CONTRASEÑA.
NOTA: se usaba, porque se suponía que entre el usuario y el Servicio de Acceso Remoto (RAS), no había nada.
*CHAP (Challenge Handshake Authentication Protocol): es una mejora del anterior, pues este ya NO envía la contraseña. Ahora el servidor en lugar de pedirte la password te ofrece un RETO (challenge), que sólo sabrás tú, a través de una negociación “handshake”.
*EAP (Extensible Authentication Protocol): no usa password ni reto, a diferencia de los anteriores este es un sistema moderno que incluye CERTIFICADOS DIGITALES.
IMPORTANTE: la Autenticación de estos protocolos la gestionan los Servidores de Autenticación: RADIUS, KERBEROS, TACACS y DIAMETER.
NOTA: los protocolos de ACCESO REMOTO (PPTP, L2TP, L2F, SSL, SSH o SSTP) necesitan autenticación, a diferencia de los protocolos VPN de SITIO a SITIO (Familia IPSec, GRE y WireGuard), ya que estos últimos son de router a router y un router NO necesita autenticarse, sólo los usuarios tienen que autenticarse.
¿Qué es RADIUS?
RADIUS (Remote Authentication Dial-In User Service) es un protocolo o Servidor de AUTETICACIÓN de red que proporciona administración centralizada de Autenticación, Autorización y contabilidad (Accounting)=> AAA, para los usuarios que se conectan y usan un servicio de red.
Gracias al uso de los servidores RADIUS, el administrador de red podrá controlar en todo momento el inicio y final del periodo de autenticación y autorización de los clientes, por ejemplo, podremos expulsar fácilmente a un usuario que ha iniciado sesión previamente por el motivo que sea o asignar tiempos determinados para cada usuario.
En resumen, es una tecnología para la autenticación de los usuarios, que es uno de los puntos importantes a la hora de diseñar una VPN
IMPORTANTE: otros Servidores de Autenticación: KERBEROS, TACACS y DIAMETER.
¿Cuáles son los SERVIDORES DE AUTENTICACIÓN que se encargan de autenticas los Protocolos de Tunneling “VPN de ACCESO REMOTO”?
Es muy importante la asociación de estos servidores con el servidor VPN, porque la VPN lo primero que pide es que te AUTETNIQUES.
*RADIUS
*Kerberos
*TACACS
*Diameter
NOTA: TODOS estos protocolos o Servidores de AUTETICACIÓN de red que proveen de manera centralizada autenticación, autorización y Accounting=contabilidad (consumo de recursos) => AAA.
Define los dispositivos de red virtual del kernel: TUN (TUNel) y TAP (Test Anything Protocol):
Estos interfaces virtuales conectan la pila privada (donde va nuestra información antes de salir a internet) con la pila pública envuelta en el túnel.
Aunque ambos tienen fines de tunelización, TUN y TAP no se pueden usar juntos porque transmiten y reciben paquetes en diferentes capas de la pila de red.
TUN, (TUNnel), simula un dispositivo de capa de RED y opera dicha capa 3 transportando paquetes IP.
TAP, simula un dispositivo de capa de ENLACE y opera en dicha capa 2 que transporta tramas Ethernet.
En resumen, el dispositivo TUN es un enlace virtual IP de punto a punto. Por otra parte, el dispositivo TAP es un dispositivo ethernet virtual, se puede utilizar para crear un puente de red de espacio de usuario.
*En las dos terminaciones de conexión se tendrá que utilizar uno u otro.
De los 2 modos de funcionamiento de la Familia IPSec (Transporte y Túnel), explica el Modo TRANSPORTE:
Una ve realizado el autenticado (AH), cifrado (ESP) e intercambio de claves (IKE), la Familia IPSec puede funcionar tanto en modo TRANSPORTE, como en modo TÚNEL.
*En ambos protocolos (ESP y AH) se añade una nueva cabecera en modo túnel.
*“AH” SE SUELE USAR EN MODO TRANSPORTE (AUTENTICAR) Y “ESP” EN MODO TÚNEL (CIFRAR).
a) Modo TRANSPORTE: (host to host) Aquí el sistema es autenticar, por lo cual, NO se añade nueva cabecera
Ej HOST to HOST: L2TP+IPSec, que va desde el PC del empleado al servidor de túneles.
a.1) AH -> M. TRANSPORTE => SE AUTENTICA TODO, EXCEPTO LOS MUTABLES FIELDS (campos mutables), es decir, los campos que puedan variar como el TTL (establece el tiempo de vida en número de saltos) => ya que al primer cambio, el código HMAC sería invalido al ser distinto.
a.2) ESP -> M. TRANSPORTE => NO se añade cabecera y sólo se encripta (cifra) el payload.
b) Modo TÚNEL: (site to site o de router a router)
b.1) AH -> M. TÚNEL
b.2) ESP -> M. TÚNEL
¿Cuáles son los 2 modos de funcionamiento de la Familia IPSec?, explica el Modo TÚNEL:
Una ve realizado el autenticado (AH), cifrado (ESP) e intercambio de claves (IKE), la Familia IPSec puede funcionar tanto en modo TRANSPORTE, como en modo TÚNEL.
*En ambos protocolos (ESP y AH) se añade una nueva cabecera en modo túnel.
*“AH” SE SUELE USAR EN MODO TRANSPORTE (AUTENTICAR) Y “ESP” EN MODO TÚNEL (CIFRAR).
a) Modo TRANSPORTE: (host to host)
a.1) AH -> M. TRANSPORTE
a.2) ESP -> M. TRANSPORTE
b) Modo TÚNEL: (site to site o de router a router Añade una una nueva cabecera IP para enolver el paquete privado IP (cabecera+payload), quedando, este, cifrado
b.1) AH -> M. TÚNEL => aquí lo que NO se autentican son los campos de la nueva cabecera IP.
b.2) ESP -> M. TÚNEL =>todo el paquete IP privado (cabecera+payload) es cifrado, por eso hay que encapsularlo dentro de otro paquete IP (ESP) añadiendo una nueva cabecera.
¿Cuando hablamos de arquitectura Dual-Homed Host?
Cuando dicho host tiene dos tarjetas de red, una con la red externa y otra con la interna. En ese host esta prohibido el routing.
Son las tarjetas las que se encargan del envío de información de un punto a otro.
Si de una misma CADENA (INPUT, PREROUTING, OUTPUT o POSTROUTING) de reglas de IPTables una da match, ¿qué pasa con el resto?
NO SE MIRAN.
Con que una de match vale, si están en la misma cadena (chain), PERO, si una norma es tipo INPUT y la otra es PREROUTING no se cumple esta norma, de hecho, se ejecutan antes las normas de PREROUTING que las de INPUT.
Hay 3 ordenes diferentes, según los caminos del tráfico:
PREROUTING -> INPUT (rojo=> entrada en misma interface de red o misma tarjeta)
PREROUTING -> FORWARD (verde:de una interface de red a otra => dos tarjetas)
OUTPUT -> POSTROUTING (azul => salida de misma tarjeta de red)
Y dentro, de dichos 3 ordenes o cadenas, hay otro orden de las tablas:
EJEMPLO EN LA CADENA PREROUTING -> INPUT:
se ejecutan las reglas en el siguiente orden:
PRIMERO LAS TABLAS DE “PREROUTING:
raw-> connection tracking -> mangle -> nat
LE SEGUIRÁN LAS TABLAS DE INPUT:
mangle-> filter
La foto simplifica un PC, donde vemos los 3 sentidos u ordenes del tráfico y en cada lado:
LA ENTRADA x la tarjeta de red (network interface) hasta la CPU, rojo.
LA SALIDA del procesador (CPU) del PC hasta la tarjeta, azul.
Y COMUNICACIÓN ENTRE 2 INTERFACES (color verde)
NOTA: nunca van a mezclarse reglas de distintas cadenas, es decir, no nos vamos a encontrar reglas de INPUT junto a reglas de FORWARD o POSTROUTING, x ejemplo.
IMPORTANTE: si no indicamos ningún orden para nuestras reglas (PREROUTING, INPUT,FORWARD,OUTPOST, POSTROUTING), mandarán las establecidas por defecto, QUE HAY 2 TIPOS, una para aceptarlo todo (ACCEPT, y luego ir prohibiendo) y otra para prohibirlo todo (DROP, e ir aceptando una a una).
Explica la siguiente regla de IPTables:
iptables -A INPUT -i eth0 -p TCP -dport 80 -j ACCEPT
iptables: comando
-A: añadir regla (ADD)
-i eth0: indica que es una regla referida al interfaz de entrada, es decir, estas diciendo: lo que me entre por esta tarjeta de red… (con -o se indicaría salida => -o eth0)
-p TCP: especificas el protocolo, aunque también se puede especificar con: -m TCP (m de modulo) => con “m” puedes especificar una regla mas detalladamente para un modulo concreto.
-dport 80: especificamos el puerto destino (d=destino)/ –sport: sería para un puerto origen (source).
-j ACCEPT: con -j (jump) se especifica a que acción saltamos => DROP, ACCEPT, REDIRECT y REJECT
NOTA: la diferencia entre DROP y REJECT, es que DROP elimina el tráfico (el paquete) y NO informa al origen de que lo ha eliminado. En cambio, REJECT si informa al origen.
En definitiva, esta regla te esta diciendo que lo que entre por el eth0 (tarjeta de red) por el protocolo TCP dirigido al puerto 80 ese tráfico es ACEPTADO, aunque también podría ser borrado (DROP o REJECT) o redirigido (REDIRECT).
*SI ESTA REGLA HACE MATCH EL RESTO SE IGNORARÍA, PERO EL RESTO DE LA MISMA CADENA
EXAMEN: la respuesta de la pregunta de la foto es la C.
Explica la siguiente regla de IPTables:
iptables -A PREROUTTING -t nat -i eth0 -p TCP -dport 8888 -j REDIRECT –to-port 80
-A: AÑADIR
PREROUTING -t nat: indica donde esta localizada esta regla (cadena: PREROUTING/tabla: -t nat, la “t” es de table)
En definitiva, lo que entra por la tarjeta de red (por la cadena PREROUTING y la table “nat”) dirigido al puerto 8888, se redirige al puerto 80.
*PREGUNTA EXAMEN (FOTO): ya sabemos que la cuarta regla NO se va a ejecutar, ya que la tercera se cumple => pues NO ES ASÍ, ya que las reglas tiene un cierto orden divididas en 3 partes:
PREROUTING -> INPUT (rojo=> entrada en misma interface de red o misma tarjeta)
PREROUTING -> FORWARD (verde:de una interface de red a otra => dos tarjetas)
OUTPUT -> POSTROUTING (azul => salida de misma tarjeta de red)
*Lo cual quiere decir que las reglas del grupo PREROUTING se ejecutarán antes que las de INPUT (y da= en el orden en el que estén escritas). Después de ejecutarse la regla PREROUTING se ejecuta la INPUT, es decir, la PREROUTING redirige al puerto 80 y la regla INPUT, indica que se acepta dicho tráfico => esto pasa porque son reglas de distintos grupos, si fueran del mismo, una vez que una hace match ya no se mira el resto.
NOTA: si no indicamos ningún orden para nuestras reglas (PREROUTING, INPUT,FORWARD,OUTPOST, POSTROUTING), mandarán las establecidas por defecto, QUE HAY 2 TIPOS, una para aceptarlo todo (ACCEPT, y luego ir prohibiendo) y otra para prohibirlo todo (DROP, e ir aceptando una a una).
EXAMEN: la respuesta de la pregunta de la foto es la D.
Pregunta de examen en FOTO:
A
Cuando configuramos reglas de firewall por iptables, estas reglas no son persistentes, es decir, son volátiles y se eliminarán en el momento del reinicio, ¿qué paquete adicional habría que instalar para que las reglas sean persistentes?
El paquete es iptables-persistent.
Si está instalado, carga en el momento del arranque las reglas del firewall desde los ficheros /etc/iptables/rules.v4 y /etc/iptables/rules.v6.
En estos ficheros estableceríamos las reglas y, lo que es más importante, las guardaríamos con los comandos:
iptables-save e ip6tables-save
*Reglas de IPv4:
root@debdev ~ # iptables-save > /etc/iptables/rules.v4
*Reglas de IPv6
root@debdev ~ # ip6tables-save > /etc/iptables/rules.v6
UNA VEZ GUARDADAS, HAY QUE HABILITAR EL DEMONIO ENCARGADO DE LLAMAR A NUESTRAS REGLAS (PREVIAMENTE SALVADAS) RESTAURÁNDOLAS, EN EL MOMENTO DEL ARRANQUE.
1º Habilitar demonio:
root@debdev ~ # systemctl enable netfilter-persistent.service
2º Este demonio (iptables-persistent) llamará en el momento del arranque a:
iptables-restore < /etc/iptables/rules.v4
En resumen:
1º INSTALAR PAQUETE: iptables-persistent
2º ESTABLECER REGLAS EN LOS FICHEROS: los ficheros /etc/iptables/rules.v4 y /etc/iptables/rules.v6
3º GUARDAR/SALVAR REGLAS:
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
4º HABILITAR DEMONIO:
systemctl enable netfilter-persistent.service
Y, ya este demonio (iptables-persistent), llamará a nuestras reglas establecidas,
iptables-restore < /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v6
en el momento del arranque RESTAURÁNDOLAS.
¿Cómo podemos hacer que nuestras reglas IPTables PERSISTAN?
1º INSTALAR EL PAQUETE: iptables-persistent
2º ESTABLECER REGLAS EN LOS FICHEROS:
/etc/iptables/rules.v4 y /etc/iptables/rules.v6
3º GUARDAR/SALVAR REGLAS:
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
4º HABILITAR DEMONIO:
systemctl enable netfilter-persistent.service
Y, ya este demonio (iptables-persistent), llamará a nuestras reglas establecidas en el momento del arranque RESTAURÁNDOLAS:
iptables-restore < /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v6
Sabemos que de las 2 formas que tenemos de configurar un cortafuegos con IPTables x DEFECTO (ACCEPT o DROP), para llevar un buen control es mejor la opción de prohibirlo todo en un principio (DROP), explica dicha opción:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
-P es de Policy (política)
Ahora tendríamos todo prohibido, es decir, no se permite el paso de NINGÚN paquete.
Cuando se utiliza un cortafuegos con política por defecto DROP, las reglas de iptables de la tabla filter suelen ir por parejas, ya que cada proceso que se permite incluye dos tipos de paquetes: las solicitudes y las respuestas.
Estas parejas son de reglas de INPUT/OUTPUT para procesos que tienen como origen o destino el propio cortafuegos y FORWARD/FORWARD para procesos que tiene como origen y destino otros equipos.
Expón algunas sintaxis de IPTables:
*Recordar el manejo de IPTable se reduce al ROOT y administradores.
*CREA una nueva (-N) cadena con el nombre TEST:
sudo iptables -N TEST
*MUESTRA la lista (-L) de la cadena con el nombre TEST:
sudo iptables -L TEST
Ej: sudo iptables -t nat -L => para listar las reglas de la tabla “nat” o para listar, dentro de la tabla nat, las reglas de la cadena prerouting:
sudo iptables -t nat -L PREROUTING -n
*ELIMINA todas las reglas (-F) de la cadena con el nombre TEST:
sudo iptables -F TEST
Ej: borrar todas las reglas de la tabla nat de la cadenas OUTPOST:
sudo iptable -t nat -F OUTPOST
*ELIMINA una regla (-D) de la cadena con el nombre TEST:
sudo iptables -D TEST -s 120.0.0.1 -j DROP
NOTA: también puedes eliminar la regla usando la posición de la misma:
sudo iptables -D TEST 1
Con -L podemos ver la posición que ocupa
En IPTables, ¿cómo se referencia el puerto destino u origen a la hora de establecer reglas?
DESTINO: –dport
(d=>destiny)
ORIGEN: –sport
(s=>source)
LINUX no permite pasar paquetes de una interfaz de red a otra (FORDWARD), ¿de qué 2 maneras podemos solucionarlo?
- Manera NO PERSISTENTE:
ACTIVAR (dar valor 1) EL BIT DE FORWARD:
echo 1 > /proc/sys/net/ipv4/ip_forward
- Manera PERSISTENTE:
La activación anterior se borra cuando se reinicia el equipo, ya que el directorio /proc esta en memoria.
Para que dicha activación persista habría que definirla en el fichero /sys/sysctl.conf, añadiendo la linea:
net.iptv4.ip_forward=1
¿Cómo configurar SNAT estático (Source NAT) con IPTables, es decir, cómo cambiar la ip fija que usamos por otra comprada?
La regla que hay que poner para que se haga SNAT de todos los equipos de la red 192.168.3.0/24 es tan simple como:
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j SNAT –to 80.58.1.14
*Estamos diciendo que los paquetes que tuvieran como dirección origen 192.168.3.0/24, cambiarían a la 80.58.1.14.
-A POSTROUTING: Añade (Add) una regla a la cadena POSTROUTING
-s 192.168.3.0/24: Se aplica a los paquetes que tengan como dirección origen (source) la 192.168.3.0/24
-o eth0: Se aplica a los paquetes que salgan (out-interface) por eth0
-j SNAT –to 80.58.1.14 (–to aquí es equivalente a –to-source): Cambia la dirección de origen por la 80.58.1.14
Ej: si un equipo fuera a recibir la 192.168.3.4, SNAT la sustituye por 80.58.1.14.
NOTA: esto se hace si hubiéramos comprado una IP fija (estática), pero si fuera DINÁMICA simplemente cambiamos la IP comprada x MASQUERADE:
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE
SNAT => ip ESTÁTICA
MASQUERADE: ip DINÁMICA
*SNAT: se usa para cambiar la ip origen por otra nueva=> Source (origen) NAT.
¿Para qué usamos el parámetro VERBOSE (-v) de IPTables?
Para una salida más completa de iptables utilizamos el parámetro -v, que nos informa de los paquetes y bytes que «atraviesan» una cadena y en caso de que hubiese reglas, se contarían los paquetes y bytes a los que se ha aplicado cada una:
iptables -t nat -L PREROUTING -n -v
Chain PREROUTING (policy ACCEPT 21 packets, 4133 bytes)
pkts bytes target prot opt in out source destination
NOTA: -Z se usa si queremos poner a cero los contadores de paquete que se aplican en las cadenas de una tabla:
iptables -t nat -Z
Mnemotecnia:
Z =Zero
Chain Ç= cadena
