Seguridad en Redes

Modelos OSI y TCP/IP
Modelo OSI
1. ATAQUES CONTRA REDES TCP/IP
Diferentes aplicaciones del modelo OSI:
Aplicacin: HTTP. Ejecucin de aplicaciones.
Presentacin: Sntesis y Semntica de la informacin Transportada
(Estructuras de Datos Abstractas).
Sesin: Control del Dilogo.
Transporte: Administracin de Enrutamiento, Sincronizacin, Fragmentar
capas superiores, Ordenar los fragmentos de la capa de red.
Red: En la subred enrutar (direccin y encaminamiento).
Enlace de datos: Lnea de comunicacin entre tramas de datos, Control de
Acceso al medio compartido.
Fsica: Transmisin de bits puros.
Modelo TCP/IP
Equivalencia entre las capas del modelo OSI y el TCP/IP
Generacin de Ataques Informticos
Primera Generacin: Ataques Fsicos: Hardware,
Conexin Redundante.
Segunda Generacin: Ataques Sintcticos: Fallos de
Programas.
Tercera Generacin: Ataques Semnticos: Confianza
del Usuario.
Vulnerabilidades ms comunes en TCP/IP
a) Capa de Red: Medio de Conexin (desvo, intercepcin)
b) Capa de Internet: Datagrama IP (sniffing), suplantacin de identidad
en el paquete del mensaje.
c) Capa de Transporte: TCP o UDP (DoS).
d) Capa de Aplicacin:
DNS: Sproping DNS (Suplantacin)
Telnet y FTP (sniffing)
HTTP: entrega de informacin del servidor al cliente.
Actividades previas a la realizacin de un ataque
a) Uso de herramientas de administracin: ping, traceroute, whois, rusers,
nslookup, rcpinfo, telnet, dig, etc. Con ping se comprueba la existencia,
con el traceroute se ven los equipos intermedios; finger descubrimiento
de usuarios de hosts, dig y nslookup informacin del dominio DNS.
Cadenas identificativas: FTP, Telnet: Pistas. Grupos de Noticias y
buscadores de internet: pistas sobre bsquedas y ayudas.
b) Uso de huellas identificativas (finger printing), Identificacin de
mecanismos de control TCP (c/ tipo de S.O. diferente implementacin).
Identificacin de respuestas ICMP:
ICMP echo: echo_request y echo_reply
ICMP timestamp: timestamp_request y timestamp_reply
ICMP information: informatin_reques e information_reply.
c) Exploracin de puertos
Exploracin de puertos TCP:
TCP connect scan: 3 pasos
TCP SYN scan: SYN, RST_ACK, SYNACK & RST_ASK
TCP FIN scan: FIN -> RST
TCP Xmas Tree scan: FIN, URG y PUSH
TCP Null Scan: Cabera TCP con indicadores a 0 -> Deben RST a los puertos no
activos
Exploracin de puertos UDP:
Abiertos: Ninguna respuesta
Cerrados: Port Unreachable (Puerto 0, si muchos estn abiertos)
Escuchas en la Red (Snnifing)
Sniffer: Programa sencillo que intercepta informacin
Redes Ethernet: Redes basadas en difusin
Tcnicas de sniffing:
Eavesdropping, forma pasiva
Snooping, almacenando la informacin
Desactivacin del Filtro MAC
Poner la tarjeta de red en modo promiscuo:
Direccin MAC: 24 primeros bits del fabricante del hardware y 24
restantes para la asignacin secuencial de nmeros.
Solucin: Segmentacin de la red y de los equipos mediante
conmutadores (switches)
Suplantacin de ARP
Envenenamiento ARP (ARP poisoning) sin modo promiscuo
Normal:
Suplantacin:
Condicin de carrera (race condition): Se queda con el ltimo.
Fragmentacin IP:
IP debe seleccionar la trayectoria a seguir por los datagramas IP.
MTU: Maxim Transfer Unit (Tamao Mximo del Paquete).
Fragmentacin y Reensamblado.
Mal uso de la fragmentacin:
Ataque de DoS: teardrop y ping de la muerte
Ocultar y Facilitar la recogida de la informacin (explotacin de
vulnerabilidades) por que los mecanismos de control no llevan a cabo
tcnicas de reensamblado.
Fragmentacin en redes Ethernet
MTU por defecto del datagrama IP en redes Ethernet es de 1500 bytes.
Cada fragmento (informacin de cabecera):
Identificador de fragmento comn.
Informacin sobre su posicin en el paquete inicial (no fragmentado).
Informacin sobre la longitud de los datos transportados en el fragmento.
Debe saber si existen ms fragmentos a continuacin.
Fragmentacin para enmascaramiento de datagramas IP
DoS. Burlar las tcnicas bsicas de inspeccin de datagramas IP.
Fragmentar a propsito los datos con el fin de pasar desapercibidos
por diferentes dispositivos de prevencin y deteccin de ataques que
no tienen implementados el proceso de fragmentacin y
reensamblado de datagramas IP. Se basan en cabeceras TCP y UDP al
estar fragmentado no se ven los datos maliciosos.
Dispositivos de prevencin bsicos: Router y Firewalls.
Dispositivos de prevencin ms avanzados: Pasarelas a nivel de
aplicacin -> ver las cabeceras IP.
Con el objetivo de conocer el MTU de una red se utiliza paquetes de
diferentes tamaos con la opcin de fragmentar el datagrama IP
deshabilitada y se ve cuando ya no es rechazado.
Solucin: Implantar el proceso de fragmentacin y reensamblado de
datagramas IP en dispositivos de prevencin y deteccin.
Supone un costo adicional: el examinar y el almacenar cada
fragmento, gastando recursos: tiempo, proceso y memoria, entre
otros.
Ataques de Denegacin de Servicio (DoS): Temporal o Parcial
IP Flooding (Inundacin de la red con datagramas IP):
Aleatorio
Dirigido
Broadcast
Tipos de datagramas IP usados:
UDP
ICMP
UDP
Smurf (ICMP echo-request)
TCP/SYN Flooding: No completar el protocolo de intercambio de TCP.
Teardrop: Utilizacin fraudulenta de la fragmentacin IP para confundir al
sistema operativo.
Snork: CHARGEN + ECHO: Lazos infinitos (ping-pong infinitos)
Ping of Death: Datagrama IP superior a los 65535 bytes
Ataques Distribuidos: Abrir consola de administracin a la mquina
origen
TRIN00: Atacante ->(TCP) Master ->(UDP) Slave
Tribe Flood Network (TFN). Ataques tradicionales en base a ICMP echo-replay y
echo-request: Atacante -> Cliente -> Demonio
Shaft: Derivado de TRIN00 y TFN, utilizando contraseas y tickets:
Atacante ->(Telnet TCP) ShaftMaster ->(UDP) ShaftNodes
Tribe Flood Network 2000 (TFN2K)
Comunicacin Master-Slave (TCP, UDP, ICMP), aleatoriamente.
Ataques (ICMP Flooding, UDP Flooding, SYN Flooding y Smurf)
Cabeceras aleatorias excepto ICMP (echo-reply)
Comandos cifrados
Cada demonio genera un proceso hijo diferente
Deficiencias de programacin
Exploit es un programa, escrito mayormente en C o ensamblador que fuerza
las condiciones necesarias para aprovecharse de un error de seguridad
subyacente.
Desbordamiento del Buffer: No comprueba lmites de estructuras:
strcpy(), no comprueba.
strncpy(), si comprueba.
Cadenas de Formato: Copiar / Imprimir cadenas de buffer sin las
comprobaciones necesarias.
Mecanismos de Prevencin
Tres reas de riesgo de un equipo conectado a la red:
Incrementa el nmero de puntos posibles de ataques.
La expansin del permetro fsico del sistema informtico al que el
equipo acaba de ser conectado.
Aumento en el nmero de servicios de autenticacin que un sistema
conectado a la red debe ofrecer
Sistemas Cortafuegos / Firewall
Mecanismo de control sobre la capa de red. Separa nuestra red (de
confianza) de los equipos del exterior (hostiles). Efecta control de
trfico entre redes (permitir o denegar el paso de comunicacin de una
red a otra) mediante protocolos TCP/IP.
A la hora de instalar y configurar el sistema cortafuegos, considerar:
Todo trfico que sale o entra a la red debe pasar por el firewall. Bloquear
fsicamente el interior de la red.
Solo el trfico autorizado, segn las PSI, debe traspasar el bloqueo.
El propio Firewall debe estar protegido contra posibles intrusiones.
Construccin de Sistemas Cortafuegos
Firewall = Software + Hardware
Software: Propietario, shareware o freeware.
Hardware: Cualquiera que soporte el software.
Tres tecnologas utilizadas para construir cortafuegos:
Encaminadores con filtrado de paquetes
Pasarelas a nivel de aplicacin
Pasarelas a nivel de circuito
Encaminadores con filtrado de paquetes (Router)
Se tratan de un dispositivo que encamina el trfico TCP/IP sobre la base
de una serie de reglas de filtrado que deciden que paquetes se
encaminan a travs suyo y cuales se descartan.
Las reglas del filtrado de paquete determinan que paquetes pueden
pasar de una red a otra, verificando el trfico de paquetes legtimo
entre ambas partes.
Los encaminadores se fijan en cabeceras de nivel de red:
Direcciones de origen y destino
Tipos de protocolos e indicadores (flags) especiales
Puertos de origen y destino o tipo de mensaje (segn el protocolo)
Contenido de los paquetes
Tamao del paquete
El paquete buscar en la lista de reglas coincidencias, si encuentra se
activar la accin asociada sino se encuentra se aplicar la poltica por
defecto (aceptarlo todo, denegarlo todo, redirigir, etc.).
Una poltica de denegacin por defecto es ms costosa, pues el
administrador debe indicar explcitamente los servicios a permanecer
abiertos.
Una poltica de aceptacin por defecto es ms sencilla de administrar,
pero incrementa el riesgo de ataques a nuestra red, el administrador
solo indicar los paquetes necesarios a descartar, los otros se
aceptarn.
Ejemplos de configuracin:
La PSI est compuesta mediante las siguientes PSI (la configuracin de un
conjunto de reglas de filtrado de paquetes aplicadas en el mismo encaminador):
Todos los sistemas de la red interna 10.0.0.0 pueden acceder a cualquier servicio
TCP de internet.
El trfico ICMP solo est permitido de salida, no de entrada (para evitar la
extraccin de informacin mediante este protocolo).
Los sistemas externos no se pueden conectar a ningn sistema interno, excepto al
servidor de HTTP (10.0.0.1).
Ventajas y Desventajas de los encaminadores con filtrado de paquetes:
Ventajas:
Implementacin econmica: Hardware Existente
Alto rendimiento en redes de carga de trfico elevada
Permite implementar casi todas las PSI.
Desventajas:
Los routers pueden ser vulnerables a ataques existentes si no se implantan parches y
capacidades de logging.
Su capacidad de actuacin se deteriora con filtro excesivamente estricto y es difcil
de administrar si tiene un elevado nmero de reglas.
Las reglas de filtrado suelen ser muy complejas y una distraccin de configuracin
puede ser usado por el atacante para violar la PSI.
Pasarelas a nivel de aplicacin (Servidor intermediario o Proxy)
Retransmisor a nivel de aplicacin: Usuarios de red se contactan con un
servidor intermediario que ofrece el servicio de proxy a una o ms
aplicaciones.
El servicio proxy aplicar normas para ver si acepta o no la conexin.
Caractersticas:
Separa completamente la red interna y la red externa por la capa de enlace,
ofreciendo servicios a nivel de aplicacin.
Los usuarios solicitan peticiones de conexin para su autenticacin y el anlisis de
conexiones se llevan a cabo a travs de aplicacin.
Bueno: Ofrece mayor seguridad que el filtrado de paquetes.
Malo: Empeora, mucho el rendimiento con ms trfico de red. En la prctica se usan
combinados.
Cuando la pasarela verifica al cliente abre una conexin al servidor
proxy, siendo este el responsable de transmitir los datos que reciba el
cliente del servidor intermediario. Esto empeora el rendimiento, para
evitarlo hacer proxy cache.
Ventajas y Desventajas de las pasarelas a nivel de aplicacin:
Ventajas:
Solo permite conexiones a los servicios establecidos
Puede filtrar a nivel de sub-servicios (por comandos o puertos)
Puede filtrar conexiones a nivel IP.
Desventajas:
Configurar el servidor proxy por cada servicio a vigilar.
Para algunos protocolos clientes (FTP) se necesitan pasos adicionales para
conectar al punto final de la comunicacin.
Pasarelas a nivel de circuito (Hbrido entre filtrado de paquetes y
servidor intermediario)
Es similar a la pasarela a nivel de aplicacin, donde el usuario establece
primero la conexin con el sistema cortafuegos y este establece
primero una conexin con el sistema cortafuegos y este establece la
conexin con el equipo destino. Pero opera a nivel de red similar al
filtrado de paquetes una vez que la conexin ha sido iniciada.
Retransmitir sin volver a analizar el trfico, una vez establecido el
circuito.
Determina las conexiones permitidos, antes de bloquear las conexiones al
exterior.
Es ms rpida ya que las conexiones pueden ser restringidos a nivel de
usuario sin necesidad de analizar todo el contenido de los paquete
transmitidos.
Zonas desmilitarizadas (DMZ)
Zona intermedia entre dos firewalls (uno de servidores externos y otra
de equipos de produccin).
Un bastion host, es un equipo fuertemente protegido y es el punto de
contacto entre la red interna y la externa.
Una arquitectura de cortafuegos dual-hommed tiene la capacidad de
encaminamiento desactivada a no ser que se indique lo contrario.
nico punto crtico de ataque.
Combinacin de tecnologas para la construccin de una DMZ:
Inspeccin de estados (similar a la pasarela de circuito): Dual-Homed
Caractersticas adicionales de los sistemas cortafuegos:
Filtrado de contenidos
Red Privada Virtual
Traduccin de direcciones de red
Balanceo de carga
Tolerancia a fallos
Deteccin de ataques e intrusiones
Autentificacin de usuarios
La construccin de servicios adicionales en un sistema cortafuegos incrementa el
nmero de vulnerabilidades sobre este, y por lo tanto el riesgo.
La prctica de implantar distintos servicios sobre un cortafuegos no es
recomendable.
Desde el punto de vista de la seguridad es mejor buscar una arquitectura
distribuida.
Mecanismos de Proteccin
Conceptos Bsicos de Criptografa:
Criptografa: Cifrado
Criptoanlisis: Descifrado
Criptologa: Criptografa + Criptoanlisis
Suposicin de Kercknoffs: Algoritmos pblicos + Clave Segura Vs.
Seguridad por Ocultismo.
Algoritmo criptogrfico: Computacionalmente seguro Vs.
Incondicionalmente seguro.
Ataques para romper algoritmos criptogrficos:
Criptoanlisis: Estudio matemtico previo.
Fuerza Bruta: Probando todos los valores posibles.
Principales sistemas criptogrficos:
Criptografa de clave simtrica (privada)
Criptografa de clave asimtrica (pblica)
Criptografa de clave simtrica
Clave de cifrado = Clave de descifrado
Problema: Intercambio de Claves.
Tipos de algoritmos criptogrficos de
clave simtrica:
Algoritmos de cifrado en flujo
Algoritmos de cifrado en bloque
Algoritmos de cifrado en flujo:
Cifrado en flujo secuencial de los
caracteres.
Tipos de algoritmos: sncronos,
asncronos (auto-sincronizante).
Caractersticas:
Cifrado de Vernam (one-time pad).
Secuencias pseudo aleatorias y
sencillas.
Ejemplos: RC4 (Rons Code 4) -> WEP.
Algoritmos de cifrado en bloque
Cifrado o descifrado a bloques de longitud fija
b
Combinacin de dos operaciones bsicas:
Sustitucin y Transposicin
Producto de cifras o combinacin en cascada de
distintas transformaciones: Confusin
(sustitucin) y Difusin (transposicin)
Ejemplos: DES (56 bits), Triple DES = 3DES, AES
(128 bits)
Uso de los algoritmos de clave simtrica:
EBC (Electronic Code Book)
Utilizan VI (Vector de inicializacin):
CBC (Cipher Block Chainning)
CBF (Cipher Feed Back) Algoritmo sobre el VI
OFB (Output Feed Back) En vez de actualizar el VI con el texto cifrado, es
con el resultado del algoritmo de cifrado.
Variantes:
CTR (Counter)
Bits de Sal (Salt-Bit: Distinto Sabor)
Funciones Hash segura
Funciones de resumen de mensajes: H = h(M)
Ataques: Ataque de cumpleaos.
Ejemplos: MD5 (Message Digest 5); SHA; SHA-1 (160, 256, 384 y 512).
Criptografa de clave pblica
Algoritmos de clave pblica o asimtrica
Intercambio de claves:
Autenticacin (Firmas digitales):
Ejemplo: Intercambio de claves de Diffie-Hellman, RSA (Ronald Rivest,
Adi Shamir y Leonard Adleman), El Gamal, DSA (Digital Signature
Algorithm).
Uso de la criptografa de clave pblica: Clave de sesin, clave de transporte
y firmas digitales, entre otras.
Infraestructura de clave pblica (PKI): Entidad de confianza que emite
certificados de clave pblica o certificados digitales.
Certificados de clave pblica, puntos bsicos:
Identificacin del usuario, nombre.
Valor de la clave pblica de ese usuario.
La firma de los dos puntos anteriores por la autoridad de certificacin (CA)
Servicio de directorio X.500 (ITU-T) -> Certificado X.509
Cadenas de certificados y jerarquas de certificacin: Cadenas de
certificados sucesivas hasta llegar a la CA auto-firmada.
Listas de revocacin de certificados (CRL): Las Cas publican una lista de
certificados que han dejado de ser vlidos antes de su fecha de caducidad.
Sistemas de Autenticacin: Nadie a falsificado la comunicacin. Tipos:
Autenticacin de mensaje o de origen de datos (integridad de datos)
Autenticacin de entidad
Autenticacin de Mensaje
Cdigos de Autenticacin de Mensaje (MAC): Clave secreta
computacionalmente inviable hallar con el mismo
cdigo.
Propiedades:
Dado el par no se puede obtener
Ni generar
Firmas digitales: Autenticar mensajes con su firma digital calculada sobre
su clave privada que todo el mundo pueda verificar la autora: Servicio de
No Repudio.
Autenticacin de la Entidad
Se basa en algo que se sabe (clave), algo que se tiene (tarjeta), algo que se es
(caractersticas biomtricas).
La autenticacin del mensaje es intemporal y la autenticacin de la entidad
es en tiempo real.
Contraseas (Autenticacin dbil).
a) Lista de contraseas en claro (A,xA)
b) Lista de contraseas codificadas (A,C(xA)): cifrado o funcin
unidireccional hash. Ej: contraseas en los sistemas Unix. Problemas:
Ataques de fuerza bruta y ataques de diccionario: programas rompe-
contraseas.
- Tcnicas para dificultar los ataques de diccionario:
Ocultar la lista de contraseas codificadas (no off-line, s on-line).
Consecuencia: Bloqueo y ralentizacin.
Reglas para evitar contraseas fciles: longitud, combinacin de
caracteres, relacin con el login, no palabras conocidas, etc. Adems
renovar la contrasea cada cierto tiempo.
Aadir complejidad a la codificacin de la contrasea: N veces la
funcin hash. Ralentiza el ataque de diccionario.
Aadir bits de sal a la codificacin de las contraseas. Consecuencia:
Probar por cada usuario de una lista grande de ataques de diccionario
ms veces.
Uso de passphrases: Utilizar frases codificadas con la funcin hash.
c) Contraseas de un solo uso
- Lista de contraseas compartidas
- Contraseas basadas en una funcin unidireccional (hash + contador)
Ejemplo: S/KEY, OPIE.
Protocolos de auto-respuesta
Basadas en el reto del receptor para la auto-respuesta del emisor. Se
pueden generar: Secuencialmente, Aleatoriamente, Cronolgicamente.
Existen dispositivos de clculo de respuestas.
Clasificacin:
a) Protocolos de reto-respuesta en clave simtrica:
1) Autenticacin con marca de tiempo
2) Autenticacin con nmeros aleatorios
3) Autenticacin mutua con nmeros aleatorios
4) Autenticacin con funcin unidireccional (algoritmo MAC en vez del
algoritmo de cifrado)
b) Protocoles de reto-respuesta en clave pblica:
1) Descifrado del reto: El reto se manda cifrado con la clave pblica y
la respuesta del reto es el reto descifrado un clave privada.
2) Firma del reto: El reto se manda en claro y la respuesta es la firma
del reto.
Proteccin a nivel de red: IPSec
Opciones de proteccin en comunicaciones:
A nivel de red: Superior a TCP o UDP (adaptar router).
A nivel de transporte: Solo adaptar implementaciones de TCP o UDP.
A nivel de aplicacin: Adaptar por cada protocolo.
Arquitectura de IPSec (IPv4, IPv6, TCP, UDP, ICMP, etc.)
Conjunto de dos protocolos seguros:
Protocolo AH (Authentication Header): Autenticacin.
Protocolo ESP (Encaptulating Secury Payload): Confidencialidad y
Autenticacin.
Protocolos de distribucin de claves: ISAKMP, IKE, OAKLEY.
Agentes que intervienen en IPSec: Nodos extremos de la comunicacin
(origen y destino); Nodos intermedios: pasarelas seguras.
Asociaciones de Seguridad (SA): SA de extremo a extremo y SA con una
pasarela segura. SON UNIDIRECCIONALES.
Terminologa en IPSec:
SAD: Base de datos de asociaciones de seguridad.
SPI: ndice de parmetros de seguridad.
SPD: Bases de datos de polticas de seguridad.
El protocolo AH
El Protocolo ESP
Modos de uso del protocolo IPSec
Modo transporte.
Modo tnel.
Proteccin del nivel de transporte: SSL/TLS/WTLS
Secure Socket Layer (SSL)
Transport Layer Security (TLS)
Wireless Transport Layer Security (WTLS) -> WAP
Caractersticas del protocolo SSL/TLS: SOCKETS:
connect SSL_connect
accept SSL_accept
send SSL_send
recv SSL_recv
Servicios proporcionados por SSL/TLS:
Confiabilidad
Autenticacin de entidad
Autenticacin de Mensaje
Criterios adicionales:
Eficiencia
Extensibilidad
Transporte seguro en SSL/TLS:
Soporte a capas superiores Mensajes (Aplicacin)
Soporte a capas inferiores Registros (Comprensin, Autenticado, Cifrado)
El protocolo de registro SSL/TLS
El Protocolo de negociacin SSL/TLS:
Protocolo de encaje de manos (Handshake
protocol)
1) Peticin de saludo (Hello Request)
2) Saludo de cliente (Client Hello)
3) Saludo de servidor (Server Hello), a veces
se corta la secuencia y se pasa al paso 10
4) Certificado de servidor (Certificate) o
intercambio de claves de servidor (Server Key
Exchange)
5) Peticin de certificado (Certificate
Request)
6) Fin de saludo de servidor (Server Hello
Done)
7) Certificado de cliente (Certificate)
8) Intercambio de claves de cliente (Client
Key Exchange)
9) Verificacin de certificado (Certificate
Verify)
10) Finalizacin (Finished)
Ataques contra el protocolo SSL/TLS
Lectura de los paquetes enviados por el cliente y servidor.
Suplantacin del servidor o el cliente.
Alteracin de los paquetes
Repeticin, eliminacin o reordenacin de paquetes.
Aplicaciones que utilizan SSL/TLS: HTTPS, NNTPS, TELNET, FTP, SMTP,
POP3, IMAP, etc.
Redes Privadas Virtuales (VPN): Red Privada y Red Virtual
Tipos de VPN:
VPN entre redes locales o intranets
VPN de acceso remoto (VPDN)
VPN de extranets
Configuracin y Protocolos utilizados en VPNs
Pasarela VPN
Cliente VPN
Combinacin de Cliente y Pasarela VPN
Tneles en VPNs:
Tneles a nivel red: IPSec: ESP y AH.
Tneles a nivel de enlace: PPP, Ipx: PPTP, L2F, L2TP.
Tneles a nivel de transporte: SSH y SSL/TLS (no til para UDP).
Aplicaciones Seguras
El protocolo SSH (Secure Shell) -> Versin segura del programa rsh.
Sustituye:
rsh (Remote Shell)
rlogin (Remote Login)
rcp (Remore Copy)
Viene en las nuevas versiones con los servidores de seguridad.
El protocolo SSH acta directamente debajo de la capa de transporte
(TCP).
Proporciona servicios anlogos a SSL/TLS.
Versiones SSH1 (1995) y SSH2 (dcada de los 2000).
Caractersticas del protocolo SSH
Confidencialidad
Cifrado de datos, cifrados distintos como emisor y como receptor.
Confidencialidad de la identidad del usuario, longitud real de los paquete y otras
caractersticas de trfico.
Autenticacin de la entidad
Autenticacin del servidor en intercambio de claves.
Autenticacin del usuario: con el ordenador cliente o solo con un login.
Autenticacin del mensaje
Se aade el cdigo MAC a cada mensaje.
Cdigo MAC distinto en cada sentido de la comunicacin
Criterios Adicionales
Eficiencia
Compresin (compatible con gzip).
No hay reutilizacin de las claves de sesiones anteriores.
Extensibilidad
Se negocia el algoritmo de cifrado, de autenticacin de usuario, de MAC, de compresin
y de intercambio de claves.
Nombres representados con cadenas de caracteres (definidos localmente): oficiales y
propios.
Adaptacin a idiomas locales para mensajes y usuarios.
Estructura de la capa de transporte SSH
El protocolo de paquetes SSH: Construye e intercambia unidades de
este protocolo (paquetes SSH).
En el envo de datos: la compresin, el cdigo de autenticacin MAC,
el cifrado.
En la recepcin: descifrado, verificacin de autenticidad y
descompresin.
El protocolo de la capa de transporte SSH
Encargado del establecimiento de la conexin de transporte.
Tambin de la autenticacin del servidor y el intercambio de claves.
Las peticiones de servicio de los dems protocolos.
Se cuenta mediante TCP en el puerto 22.
Algoritmos previstos en SSH2:
Intercambio de claves: Diffie-Hellman
Cifrado: RC4, 3DES, BlowFish, TwoFish, IDEA y CAST-128,
MAC: HMAC-SHA1 y HMAC-MD5 (con todos los bytes o slo con los 12
primeros).
El protocolo de autenticacin de usuario SSH
1) Autenticacin nula
2) Autenticacin basada en listas de acceso (SSH1)
3) Autenticacin basada en listas de acceso con autenticacin de
cliente
4) Autenticacin basada en contrasea
5) Autenticacin basada en clave pblica
El protocolo de conexin SSH
Gestiona las sesiones interactivas remotas para la ejecucin de
comandos.
Manda los datos de entrada del cliente al servidor y los de salida en
sentido contrario.
Se encarga de la redireccin de puertos TCP (Tneles, Agente de
Autenticacin, etc.)
Cada sesin interactiva, conexin TCP redirigida o conexin a un
agente es un canal.
Puede haber distintos canales abiertos en una misma conexin SSH.
Funciones posibles a realizar con los mensajes SSH2(14) en la fase de
conexin:
Abrir un canal.
Configurar parmetros del canal.
Empezar sesin interactiva.
Enviar datos.
Cerrar el canal.
Otras operaciones sin el canal abierto:
Redirecciones de puerto.
Redirecciones de direccin IP.
Ataques contra el protocolo SSH
En SSH1:
Repeticin, Eliminacin o Reordenacin de paquetes por no usar un nmero de
secuencia.
Reenvo de paquetes en sentido contrario por el uso de una slo clave (simtrica)
Man-in-the-middle attack (Ataque del hombre en medio camino): Difcil que
se produzca si SSH2 est bien implementado, adems SSH2 tiene una longitud
cifrada de paquetes y datos por lo cual no se sabe cuando acaban o cuando
empiezan.
Aplicaciones que usan SSH:
ssh y slogin.
Correo electrnico seguro
Protocolo SMTP = Simple Mail Transfer Protocol.
Especificacin MIME = Multipurpose Internet Mail Extensiones.
SSL/TLS comando STARTTLS.
Se han aplicado mtodos de seguridad a nivel de aplicacin,
independientemente del sistema de transporte usado. Aplicar
funciones criptogrficas, antes de enviar el correo electrnico por el
medio habitual.
Sistemas de correo electrnico seguro propuestos:
PEM (Privacy Enhanced Mail)
MOSS (MIME Object Security Services)
PGP (Pretty Good Privacity) BUENO Confidencialidad + Autenticacin
S/MIME (Secure MIME): MIME es el estndar PKCS #7. De facto: PGP/MIME.
OpenPGP y GnuPGP.
Seguridad en el correo electrnico
Consideraciones:
Mecanismos de distribucin de clave
Mltiples destinatarios
Servicios proporcionados bsicamente por un sistema de correo electrnico:
Confidencialidad (Solo destinatario)
Autenticacin del mensaje (Originador Autntico)
Otros servicios proporcionados (no por todos los sistemas de correo
electrnico):
Confidencialidad del flujo de trfico
Proteccin contra negacin de recepcin
Proteccin contra ataques de repeticin de mensajes, etc.
Confidencialidad en el correo electrnico:
Clave de intercambio: Clave pblica K1B=K2B=K3B==KPubB
Para cifrar mensajes: Siempre algoritmo de cifrado de clave simtrica.
Problema del Sobre Digital Vs. nico Destinatario.
Problema: Lista de distribucin de correo:
Redistribucin con destino final desconocido,
No garantiza autenticidad.
Autenticacin del mensaje de correo electrnico
Clave simtrica: Aadir al mensaje el cdigo MAC: Clculo distinto
para cada destinatario y no hay proteccin contra el no repudio.
Clave Pblica: Es utilizada actualmente en las firmas digitales,
proporcionando el servicio de no-repudio.
Compatibilidad con los sistemas de correo no seguro
SMTP, prev compatibilidad hacia atrs, existen mecanismos de
transformacin del formato SMTP a formato local y viceversa.
Cuando se aplican operaciones criptogrficas, se debern hacer en la
forma cannica del mensaje.
Los diferentes clientes pueden modificar el contenido del mensaje,
por lo que se debe proteger con una codificacin de transferencia
(base 64=2
6
).
S/MIME (Secure MIME)
Tcnica para transmitir mensajes protegidos criptogrficamente segn
el formato PKCS #7.
Versin 1:
Uso normal en EEUU.
Uso restringido, 40 bits secretos de claves simtricas.
Versin 2 (Algoritmos previstos):
Para el cifrado simtrico: 3DES y RC2.
Para los resmenes de mensajes (hash): MD5 y SHA-1.
Para el cifrado de clave pblica: RSA.
Versin 3:
Basado en CMS (Cryptographic Message Syntax).
Incluye el mtodo de intercambio de claves: Diffie-Hellman
Nuevo servicio ESS (Enhanced Security Services):
Recibos firmados
Etiquetas de seguridad
Listas de correo seguras
Certificados de firma
El formato PKCS #7
Formato para representar mensajes protegidos criptogrficamente. En
la clave pblica se usan certificados digitales X.509 para garantizar la
autenticidad de las claves.
Estructura general de un mensaje PKCS #7:
Campo Tipo Descripcin
- contentType - Identificador nico
- content (opcional) - Data - Ninguna proteccin criptogrfica
- Signed Data - Firmadas digitalmente
- Enveloped Data - Mensaje en sobre digital cifrado
- Signed and Enveloped Data - Datos firmados y cerrados en un sobre digital
- Digest Data - Datos que se le aade un resumen o hash
- Encrypte Data - Datos cifrados con clave secreta
Para S/MIME solos se usan los tres primeros y combinaciones de estos:
SignedData [Data] Mensaje con datos firmados
SignedData [EnvelopedData [Data]] Mensaje con datos firmados
EnvelopedData [Data] Mensaje con datos cifrados
EnvelopedData [SignedData [Data]] Mensajes con datos firmados y
cifrados.
Formato de los mensajes S/MIME
Su tipo de contenido (content_type = application/pkcs7_mime
En su cuerpo hay una estructura PKCS #7 codificada segn la
notacin ASN.1.
La cabecera adems debe tener uno de estos dos parmetros:
smime_type: Tipo de contenido PKCS #7 que hay en el campo del mensaje.
name: Archivo asociado al cuerpo del mensaje.
Existen tres formatos bsicos de mensaje S/MIME:
1) Mensajes S/MIME con sobre digital EnvelopedData.
2) Mensajes S/MIME firmados SignedData.
3) Mensajes S/MIME en claro SignedData, pero si el campo de
content en la contentInfo.
Distribucin de claves con S/MIME
Idealmente la distribucin de certificados se debera realizar
mediante el servicio de distribucin X.500, pero se deben tener
mtodo alternativos:
Mensajes S/MIME para transportar certificados o listas de revocacin:
Contenido segn el dato, sin datos firmados (content del contentInfo) ni firmas
(signerInfos con 0 elementos). Campos tiles: certificates y crls.
smime-type = certs-only.
Si se especifican archivos = extensin .p7c.
Mensajes S/MIME con peticiones de certificacin a una CA: Se usa el
certificado X.500 de la norma PKCS #7:
El cuerpo del mensaje con entrada PKCS #10.
content-type = application/pkcs10
Extensin del fichero .p10.
PGP y Open PGP (Pretty Good Privacity)
Aplicacin de seguridad para cualquier dato con el uso ms comn de
correo electrnico. No verificada por una CA sino que depende de la
confianza propia de los usuarios. Es eficiente con el intercambio de
mensajes pues lo comprime antes.
Evolucin:
Hasta v2.3: Obsoletas, incompatible el formato de firmas con versiones
posteriores.
v2.5: Cambio de formato. Algoritmos privados RSA en EEUU.
v2.6x (versin 2 o versin 3): Los ms difundidos:
IDEA para cifrados simtricos.
RSA para cifrados de clave pblica.
MD5 para el hash.
v4.x: Firmas de una sola funcin: para cifrar o para descifrar.
v5.x: Conocido como OpenPGP o versin 4, usa:
3DES, CAST-128 para cifrado simtrico.
DSA y ElGamal para firmas.
SHA-1 y RIPEMD-160 para el hash.
v6.x y posteriores: Aaden mejoras, para mantener la compatibilidad
hacia atrs.
En paralelo se ha desarrollado GNUPG (GNU Privacy Guard), basado
en OpenPGP pero sin usar algoritmos patentados como RSA o IDEA.
Formato de los mensajes PGP
Un mensaje est formado por uno o ms paquetes PGP (estructuras que son
secuencias de bytes: una cabecera que indica el tipo y la longitud y luego
otros campos dependiendo del tipo de paquete). Los principales tipos son:
1) Paquete de datos literales.
2) Paquete de datos comprimidos.
3) Paquete de datos cifrados con clave simtrica.
4) Paquetes de datos cifrados con clave pblica.
5) Paquete de firma.
6) Paquete de clave pblica.
7) Paquete de nombre de usuario.
8) Paquete de clave privada.
9) Paquete de nivel de confianza de una clave.
Distribucin de claves PGP
Cada usuario dispondr de un
almacn de claves pblicas
certificadas (Keyning).
Bloque de claves: El paquete de la
clave pblica + El del nombre del
usuario + El de la firma.
Existen servidores de claves PGP que
tienen Keyning globales, pero no son
CA.
El proceso de certificacin PGP
Se asignan a cada clave pblica una huella (fingerprint) que es un hash de la clave.
Hace prcticamente imposible la suplantacin.
Integracin de PGP con correo electrnico
Como los mensajes PGP constan de una secuencia de paquetes PGP. Se utilizan dos
tcnicas de encapsulacin: RFC 934 y MIME para enviarlos por el correo tradicional:
1) Mensajes PGP cifrados y/o firmados.
2) Mensajes PGP firmados en claro.
3) Mensajes PGP de bloques de claves pblicas
4) PGP/MIME
En ms habitual el uso de armaduras ASCII para encapsular los mensajes PGP, que
la tcnica PGP/MIME.
Mecanismos para la deteccin de ataques e
intrusiones (sistemas de deteccin)
Necesidad de mecanismos adicionales en la prevencin y la
proteccin:
Estas son las fases de una intrusin para aprender de la red y llevar a
cabo una escalada de privilegios:
Fase de vigilancia
Fase de explotacin de servicio
Fase de ocultacin de huellas
Fase de extraccin de la informacin
Instalacin de rootkits
La instalacin de un firewall (prevencin) y cifrado (proteccin) no es
suficiente.
Sistemas de deteccin de Intrusos (IDS)
Mecanismos para la deteccin de ataques e intrusiones, encuentran y
reportan la actividad maliciosa en la red, pudiendo llegar a reaccionar
adecuadamente a un ataque:
Intrusin: Es un acceso no autorizado.
Deteccin de intrusiones, identificacin y respuesta a actividades ilcitas.
Antecedentes de los sistemas de deteccin de intrusos
Primeros sistemas de auditora: Bell Telephone Systems.
Sistemas de confianza, Hardware y Software potente, diferentes niveles de
confidencialidad.
Primeros sistemas para la deteccin de ataques en tiempo real: IDEA, Discovery,
MIDAS.
Sistemas de deteccin de intrusos actuales: Monitorizacin del S.O., la red, y
sistemas distribuidos. Existen: comerciales, militares, cientficos y libres.
Arquitectura de un sistema de deteccin de intrusiones
Requisitos:
Precisin Falsos positivos
Eficiencia Falsos negativos
Rendimiento Tiempo real
Escalabilidad Soporta el aumento de eventos
Tolerancia a fallos Soporta ataques parciales
Elementos necesarios para un IDS:
1) Recolectores de la informacin
2) Procesadores de eventos
3) Unidades de respuesta
4) Elementos de almacenamiento
Recolectores de Informacin Sensores:
Basado en equipos: Analiza el S.O.
Basado en la red: Trfico de red.
Basado en la aplicacin: Monitoriza las aplicaciones.
Procesadores de Eventos Analizadores:
Esquema de deteccin basado en usos indebidos (firmas de ataque):
Analizadores basados en reconocimiento de patrones: if-then-else.
Analizadores basados en transicin de estados: autmatas.
Esquema de deteccin basado en anomalas (perfil del usuario).
Unidades de Respuesta Actuador:
Tipos de Respuesta:
Respuesta activa automtica.
Respuesta pasiva Manual o Humana.
Tipos de Unidades de Respuesta:
Basado en el equipo: S.O.
Basado en la red: conexiones (contar)
Elementos de almacenamiento (Backups):
Anlisis a corto plazo (buffers internos del sensor).
Anlisis a mediano plazo (dispositivos secundarios).
Escneres de Vulnerabilidades. Tecnologa Esttica Vs. Los IDS que son
dinmicos. Conjunto de aplicaciones que permiten realizar ataques de
pruebas para ver si un equipo o una red tiene problemas de
seguridad explotables por un atacante.
Funcionamiento del escner de vulnerabilidades:
1) Extraccin de muestras en conjunto de atributos del sistema.
2) Los resultados son organizados y comparados con un conjunto de referencia
de datos.
3) Se genera un informe las diferencias entre ambos conjuntos.
Escneres basados en mquinas:
Ven errores en permisos de ficheros, cuentas de usuario abiertas por
defecto, entradas de usuarios duplicadas o sospechosas, etc. Muy
relacionados con el S.O. que evalan. Ejemplo: COPS y TIGER.
Escneres basados en red
Ofrecen la informacin necesaria de las conexiones de red analizadas.
Tcnicas:
Prueba de explotacin Ataques programados, xito o no.
Mtodos de inferencia Busca indicios de posibles ataques.
Ejemplo: NESSUS.
Sistemas de deteccin: Sistemas que llevan la iniciativa (pro-activos).
En vez de utilizar las acciones de los atacantes, utiliza tcnicas de monitorizacin
para analizar y registrar estas acciones, tratando de aprender de los atacantes.
Equipos de Decepcin: Tarros de miel o Honeypots. Tratan de atraer el trfico de
uno o ms atacantes, para que los administradores vean los intentos de ataques y
analicen como reaccionan los elementos de seguridad implementados.
Celdas de aislamiento (Padded Cells)
Similar a los equipos de decepcin mediante el uso de un dispositivo
intermedio con capacidades de deteccin y almacenamiento, que
direcciona el trfico a la celda de aislamiento. Se utilizan para
comprender mejor los mtodos utilizados por los intrusos.
Redes de Decepcin (Honey Nets):
Todo un segmento de red construido slo con equipos de decepcin
podrn ser accedidos sin mucha dificultad, pero sern imitaciones
reales de los equipos de produccin para atraer a los intrusos. Una
pasarela que combina elementos de deteccin y prevencin unir las
redes de decepcin y produccin.
Principio: Todo el trfico que entre por los equipos de la red de
decepcin se considerar sospechoso. Las redes de decepcin son
herramientas de anlisis para mejorar la seguridad de las redes de
produccin. Son una solucin muy valiosa para una organizacin que
puede dedicarle el tiempo y los recursos necesarios.
Sistemas de Prevencin de Intrusos (Intrusion Prevention Systems
(IPS))
Unen las capacidades de bloqueos de los mecanismos de prevencin
(encaminadores de filtrado de paquete y pasarelas) con las capacidades
de anlisis y monitorizacin de los sistemas de deteccin de intrusos.
De una forma proactiva, as todos los paquetes que pertenezcan a una
misma sesin sospechosa sern eliminados de la misma forma.
Categoras de IPS:
Basados en mquinas (HIPS): Aplicaciones relacionadas con el S.O.
Basados en red (NIPS): Dispositivos de red con dos interfaces:
monitorizacin interna y monitorizacin externa, integra capacidades
de filtrado de paquetes y motor de deteccin.
Sistemas de Deteccin el Lnea
Dispositivo de deteccin en modo escucha (tap mode), que tiene una
interfaz para la monitorizacin conectada a un dispositivo de escucha
(network tap) y otra interfaz para realizar tareas de gestin y
administracin.
Para tener el control total del trfico que pasa por el segmento de red
que revisa (no solo analizar el trfico recibido, sino poder gestionar el
ancho de banda), tendr dos interfaces de gestin de trfico: una a la
red interna (que hay que proteger) y otra a la red externa (con trfico
potencialmente hostil), adems la tercera interfaz para administracin
y gestin:
Una de las aplicaciones desarrolladas es hogwash, que implementa
capacidades de deteccin y bloqueo de trfico, adems que puede
reescribir el trfico de la red, recibido de un atacante, para que no
afecte a la red interna:
Conmutadores de Nivel Siete: Trabajan a nivel de aplicacin (Capa 7 del modelo
OSI) y no de red. Realiza tareas de balanceo de carga entre varios servidores,
examinando informacin a nivel de aplicacin: HTTP, DNS, FTP, etc., para poder
tomar decisiones de encaminamiento. Protegen contra el DoS. Se basan en la
deteccin de los usos indebidos mediante patrones de ataques.
Sus ventajas: Se pueden usar en redes de alta velocidad y posibilitan la
redundancia.
Sistemas cortafuegos a nivel de aplicacin.
Se pueden instalar directamente sobre el sistema final a proteger.
A parte de analizar el trfico de la red, pueden analizar: gestin de
memoria, llamadas al sistema o intentos de conexin al sistema donde
estn instalados.
Utilizan perfiles estadsticos: Primera fase de inicializacin de perfiles
(fase de entrenamiento) y segunda fase en la que las acciones son
comparadas por el sistema contra estos perfiles.
El nico mtodo que monitoriza la actividad de las aplicaciones y la
relacin entre estas y los sistemas operativos.
Conmutadores Hbridos
Instalados como conmutador de nivel
7, pero no utilizan un conjunto de
reglas, sino est basado en polticas
como el sistema de cortafuegos a
nivel de aplicacin. Permite reducir
problemas de seguridad por
programacin deficiente, as como
detecta ataques a nivel de aplicacin.
Se combina con conmutadores a nivel
siete, para reducir la carga, estos
primero filtran y el conmutador
hbrido finaliza la deteccin.
Deteccin de Ataques Distribuidos:
Sistemas para evitar el DoS basados en modos master-slave. Mltiples
indicios encontrados en diferentes equipos de nuestra red.
Modelo Centralizado: Problema: Sobrecarga en el Nodo Central
Prefiltrado Masivo: Cada
sensor filtra la informacin
recibida, enviando al nodo
central, solo la informacin
considerada necesaria.
Problema: Gran cantidad de
falsos negativos al no ver cada
sensor la figura global.
Nodos intermedios: Cada rea
monitorizada completamente.
Problema: La correlacin global
de los eventos puede producir
sobrecarga o prdidas de
informacin.
Anlisis descentralizado
Se trata de identificar y de analizar en paralelo distintos fragmentos de
informacin a travs de un algoritmo de deteccin descentralizada.
Existen dos propuestas:
Anlisis descentralizado mediante paso de mensajes: Se pasan mensajes de
alarmas entre los nodos respectivos.
Anlisis descentralizado mediante cdigo mvil: El agente se mueve de
un nodo a otro (se mueve el software, los programas).
Seguridad en Redes Inalmbricas
Introduccin
Proliferacin, Problemtica de Seguridad y Soluciones: WEP y WPA.
Proliferacin de las redes inalmbricas
Motivos:
Reduccin del coste del hardware necesario.
Movilidad.
Rpida instalacin.
Flexibilidad.
Escalabilidad.
Topologa y funcionamiento bsico de las redes inalmbricas:
Redes Ad-Hoc: DCF (Distributed Coordination Function).
Redes de Infraestructura: DS (Sistema de Distribucin), es un ESS (Extended
Service Set) que une muchos BSS (Basic Service Set).
Necesidad de seguridad en comunicaciones inalmbricas:
Las seales de WLAN no se limitan a los edificios en los que se utilizan.
Existe un riesgo potencial de acceso no autorizado por parte del personal
fuera del rea de cobertura.
Posibilidad de riesgo potencial para el acceso no autorizado a los recursos de
la red a travs del medio de radio.
Espionaje de la seal Wireless.
Problemas de Seguridad en Redes Inalmbricas:
Wardriving: Inspirado en Wardialing. Material necesario:
Una porttil con WiFi y Linux de S.O.
Antena receptora de alta ganancia.
Software utilizado (Kisnet, airSnort, etc.).
Automvil (opcional).
Simbologa:
Punto de acceso no autorizado: Para que otros ingresen a la red.
NetStumbler Localiza fsicamente la red.
Mecanismos de seguridad en WLANs
Protocolo WEP (Wired Equivalent Protocol): Define un mtodo de
autenticacin y encriptacin. Funcionamiento:
Cifrado mediante la codificacin XOR a partir de una clave.
La clave genera una secuencia de nmeros, RC4 para WEP.
Para recuperar la secuencia enviada, a partir de la clave inicial, se genera la misma
secuencia de nmeros aleatorios y se realiza un XOR a la secuencia recibida.
La clave generadora de WEP es de 40 bits ms 24 bits del Vector de Inicializacin
(VI).
En total la clave WEP es de 64 bits.
Fallos de WEP:
Relacionadas con la gestin de claves:
La gestin manual de las claves es problemtica.
Clave de 40 bits, muy corta actualmente.
Si se utiliza keystream, susceptible de anlisis de vulnerabilidades (vulnerabilidad en el
VI).
WEP utiliza CRC para integridad, no fuerte criptogrficamente hablando.
El A.P. es un punto de desencriptacin privilegiado.
Hay I.V.s dbiles se conocen los 2 primeros bits (RC4 en WEP) 1280 IV
dbiles.
En vez de claves de 40 bits se utilizan de 128 bits, cuadruplicando los IV
dbiles.
Airsnort publicado en agosto de 2001 implementa un ataque terico.
Las redes WEP son completamente vulnerables.
Soluciones para WEP:
Mltiple autenticacin.
Generacin y gestin de certificados.
Encriptacin a diferentes niveles de la capa OSI: IPSec, OpenSSH.
Filtrado HMAC (dbil).
Todo esto mejora WEP pero no lo hace 100% confiable.
WPA (WiFi Protected Access): Propuesta por la WiFi Alliance en 2003:
Emplea RC4 como algoritmos de cifrado.
Usa TKIP (Temporal Key Integrity Protocol) como algoritmo de gestin de claves.
WPA2, estandarizado por la IEEE 802.11:
Utiliza AES (Advanced Encriptation Standar) como algoritmo de cifrado.
Toma CCMP (Counter Mode with Cipher Block Chaining Message Authentication
Code Protocol) como encriptacin.
Fundamentos de WPA2:
Tanto TKIP como AES garantizan que las claves de encriptacin utilizadas son
distintas en cada paquete, eliminando una importante vulnerabilidad en WEP.
Se calcula el MIC (Message Integrity Check):
Incrementado en cada trama (evita ataques por retransmisin).
Garantiza integridad generando un hash del IV de claves y transmitiendo el hash en lugar del
IV.
Dos entornos posibles: Enterprise y Domstico o personal.
Soluciones adicionales de proteccin:
Filtrado de direcciones MAC.
Utilizacin de redes privadas virtuales (VPNs)
Limitar la potencia de emisin de los puntos de acceso.
Habilitar el A.P. en modo pasivo.
Consejos bsicos para que nuestra red inalmbrica sea segura (red
domstica):
1) Habilitar el cifrado mediante WEP en el punto de acceso.
2) Habilitar los mismos parmetros de configuracin WEP en los
clientes.
3) Utilizar claves WEP no triviales y cambiarlas regularmente.
4) No utilizar TCP/IP para compartir archivos y/o impresoras. NetBEUI.
5) Establecer autentificacin compartida. Shared Key.
6) Ocultar el SSID.
7) Restringir el acceso solo a determinadas tarjetas de red.
8) Limitar la potencia de emisin del A.P.

Seguridad en Redes

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguridad en Redes

Enviado por

Direitos autorais:

Formatos disponíveis

Modelos OSI y TCP/IP

Você também pode gostar