Curso redes y comunicaciones I 09 Seguridad de redes.
Fue dictado en la Universidad Tecnológica del Perú -UTP, Lima - Perú, en los ciclos 2011-2 (junio/2011), 2011-3 (octubre/2011) y 2012-1 (abril/2012).
Curso redes y comunicaciones I 09 Seguridad de redes
1. Semana 17
Seguridad de redes
Redes y Comunicaciones I
Ingeniería de Telecomunicaciones
Facultad de Ingeniería de Telecomunicaciones y Telemática
Universidad Tecnológica del Perú
Ing. CIP Jack Daniel Cáceres Meza Octubre 2011
2. 2
Ing. CIP Jack Daniel Cáceres Meza
Network Security Strategies
Least Privilege
Most fundamental principle
User or service is given privileges just for performing specific
tasks
Defense In depth
Don’t just depend on one security mechanism
Choke point
Forces the attacker to use a narrow channel
So now one can monitor activities closely
'honey pot'
3. 3
Ing. CIP Jack Daniel Cáceres Meza
Security Strategies
Weakest link or “low hanging fruit”
“a chain is as strong as its weakest link”
Attacker is going to go after the weakest link
So if you cannot eliminate it, be cautious about it.
Fail Safe Stance
If a system fails, it should deny access to the attacker
Default Deny Stance
That which is not expressly permitted is prohibited
Default Permit Stance
That which is not expressly prohibited is Permitted
Universal Participation
Every system is involved in defense
Every one is involved in defense
Diversity of defense
Use different types of mechanisms
Never depend on security through obscurity
Assume your system(s) is the last thing standing
Plan on failure
4. 4
Ing. CIP Jack Daniel Cáceres Meza
Elemento de hardware o software utilizado en una red de
computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”=
¿Qué es un Firewall?
5. 5
Ing. CIP Jack Daniel Cáceres Meza
• No protege de ataques fuera de su área.
• No protege lo que no puede ver.
• No protege de espías o usuarios inconscientes.
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos,
cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.
Limitaciones del Firewall
6. 6
Ing. CIP Jack Daniel Cáceres Meza
Proxy
Un servidor que se encuentra entre una aplicación cliente, como
un navegador Web y un servidor real. Intercepta todas las
peticiones hacia el servidor real para ver si se puede cumplir con
las peticiones él mismo; si no, se envía la solicitud al servidor
real.
Propósitos:
Filtrar requerimientos
Permitir el análisis de patrones de consumo
Incrementar rendimiento ->menor latencia/lentitud
Reducir consumo de ancho de banda ->reduce el tráfico/congestión
Funciones:
Compartición de conexión
Caché (su efectividad depende del patrón de tráfico, miss/hit)
Filtrado
7. 7
Ing. CIP Jack Daniel Cáceres Meza
Elementos de la función compartición de conexión
8. 8
Ing. CIP Jack Daniel Cáceres Meza
Elementos de la función caché
Jia Wang
request
client
Does proxy have
requested pageyes no
Does cooperative proxies
have web page
yes
no
Find web page on server
hit
hit
miss
miss
9. 9
Ing. CIP Jack Daniel Cáceres Meza
Desirable properties of WWW caching system
Fast access
reducir latencia
Robustness
Disponibilidad
caída sin complicación
recuperación rápida
no existir un solo punto de falla
Transparency
el usuario solo debe notar mayor velocidad y disponibilidad
Scalability
de acuerdo con las exigencias de la red
Efficiency
evitar el sobre control y la sub-utilización
Jia Wang
10. 10
Ing. CIP Jack Daniel Cáceres Meza
Desirable properties of WWW caching system
Adaptivity
al cambio dinámico en la demanda del usuario y ambiente de red
Stability
no introducir inestabilidades
Load balance
sin cuellos de botella, distribución uniforme
Ability to deal with heterogeneity
sin importar el hardware o software
Simplicity
para su adopción e implementación, preferentemente empleando
estándares internacionales
Jia Wang
¿Organización, ubicación, contenido, cooperación, compartición,
consistencia, control, ...?
11. 11
Ing. CIP Jack Daniel Cáceres Meza
Recursos requeridos
Disk
Stores cached objects
Memory
Metadata and index
In-transit object data
Networking
CPU
Probable cuello de botella
Distribución de controladores
Distribución de discos
Lo más necesario
Podría incrementarse el tráfico
Tarjetas de alta velocidad
Mejor multiprocesadores que
un solo procesador potente
12. Ing. CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?