your own sub headline this is an example text. go ahead and replace it with your own text
DESCRIPTION
Diseño de seguridad en una Red GEPON orientada a servicios X-Play. Templates. Por : Margie Denisse Cervantes Valencia Dolores Margarita Pesantez Pesantez Giomayra Ofelia Rosales Basantes. Your own sub headline This is an example text. Go ahead and replace it with your own text. - PowerPoint PPT PresentationTRANSCRIPT
Your own sub headline This is an example text. Go ahead and replace it with your own text.
Templates
Your Logo
Diseño de seguridad en una Red GEPON orientada a servicios X-Play
Por:Margie Denisse Cervantes ValenciaDolores Margarita Pesantez PesantezGiomayra Ofelia Rosales Basantes
AgendaIntroducción
Asegurando la Red GEPON
Definición del Problema
Tecnología FTTH
Objetivos
Servicios Cuádruple‐PLAY
Tecnologíasy Redes PON
9
6
5
4
3
2
1
Ataques, Vulnerabilidades, Consecuencias y Contramedidas10
Escenarios de Ataque11
Conclusiones y Recomendaciones12
Continua competencia e innovación para un mejor servicio de ancho de banda.
Servicios X-Play analizados : Internet Banda Ancha, Telefonía IP, IPTV, Video Vigilancia IP
Tecnologías FTTH y GEPON permiten ofrecer servicios de mejor calidad a precios competitivos.
Nueva tecnología propensa a ser vulnerable, atacada y comprometida.
Análisis de seguridad para cada elemento de la red GEPON, servicios Cuádruple-Play y escenarios de ataques con sus respectivas soluciones.
Introducción
Objetivos
Analizar las vulnerabilidades en la red y proponer posibles
1
2Proporcionar información oportuna, precisa y concisa.
3 Estudiar el ambiente actual de seguridad de la red GEPON.
4 Definir un mejor diseño..
5 Mantener los sistemas generando resultados.
6 Identificar puntos débiles de los activos.
Confidencialidad
DisponibilidadIntegridad
Velocidades de Ancho de Banda limitado,Mayor inversión, varios medios de transmisión.
Tecnología nueva en nuestro país sujeta a vulnerabilidades, ataques y amenazas.
Controles de seguridad débiles.
Definición del Problema
Generales
TOTAL VISIBILIDAD
TOTAL CONTRAL
Servicios Cuádruple-PLAY
Internet Banda Ancha
Telefonía IP
IPTV
Video Vigilancia IP
Tecnología Fibra Hasta el Hogar (FTTH)
DESVENTAJAS
La unión de los servicios de comunicación en una sola red podría causar un daño en todas las vías de comunicación debido a que se crea un único punto de falla.
1
Transmisión de datos por de cables de fibra óptica.Velocidad de transmisión de 100 megas simétricos.Integrar nuevos servicios y tecnología.
VENTAJAS
Transportar en una única red todos los servicios posibles y abaratar la operación, el mantenimiento y la gestión de la red.
1
Tener un solo proveedor de todos los servicios.
2
Mejorar la calidad de los servicios, llegando hasta los hogares la calidad digital.3
Facilidad para integrar nuevos servicios y tecnología.4
Your Logo
Tecnologías y Redes PON
Tecnología punto - multipunto
Redes PON
OLT ODNONU POS
Elementos:
2FTTHFTTA FTTB
FTTC FTTP
Servicios FTTx :
4
1
Tipos:
3APON, BPON, GPON, EPON y GEPON.
ODN
OLT ONU
EMS
Asegurando la Red GEPON
Vulnerabilidades Ataques Consecuencia
sContramedida
s
Redes GEPONACTIVO AMENAZAS RIESGO
Fibra Óptica
Mala configuración Crítico Fallas Técnicas Medio
Daño de hardware Medio
Fallas Naturales Bajo
OLT Daño de hardware Medio Mala configuración Crítico
Optical splitters
Pérdida o atenuación Crítico Falla de conexión Alto Cambio del equipo Bajo
ONU Daño de hardware Medio Mala configuración Crítico
Red
Pérdida de Óptica Alto Alteración de la información Medio
Ataque "Man In The Middle (MITM)" Alto Ataque de DOS Alto
Daño de hardware Medio
Error de transmisión Medio Mal diseño de la red Bajo
Falla Humana Bajo
Telefonía IP
ATAQUES VULNERABILIDADES CONSECUENCIAS
1. Gusanos y virus, 2. Cortafuegos e IPS/IDS mal
configurados. En Capa Física
a) Mala administración de equipos –ataques 1 y 2.
Acceso a la infraestructura de red
corporativa. Gatekeeper
comprometido. Fraude telefónico.
1. DoS, 2. Secuestro de sesiones (Hijacking),
(Eavesdroping) En capa Física, Enlace de datos, y Red
Aplica ITEM 1 para ataques 1 y 2 a) Robo ancho de banda - ataques
1. b) Inundación de sistema con
llamadas comprometidas - ataques 1.
c) Falta de validación y secuenciación - ataques 2.
d) Cifrado limitado - ataques 2. 1. DoS, DDoS 2. ICMP unreachable 3. Variedad de floods 4. SQL injections 5. Denegación en DHCP 6. Man-in-the-middle 7. Buffer overflows 8. SPIT (SPAM) 9. Vishing (Phising) 10. Fuzzing 11. Floods(INVITE,REGISTER,etc) 12. Secuestro de sesiones 13. Interceptación 14. Redirección de llamadas 15. Reproducción de llamadas
En capa de Red, Transporte y Aplicación.
a) Aplica ataque 1 del ITEM 2 para ataques 1,2,3,4,5,6,7,9,10,12,13
b) Aplica ataque 2 del ITEM 2 para ataques 8,11,14,15, 16,17
c) Inundación sistema con llamadas comprometidas.
Tráfico malicioso que afecte la calidad del servicio.
IPTV
ATAQUES VULNERABILIDADES CONSECUENCIAS
1. Captura de tráfico, cuando datos de bajada de usuarios llegan a todos los CM (Cable-Modems) – En capa Física
a) Desvío de cables de conexión hacia otros sistemas
Acceso no autorizado a los
equipos con los que la red opera 1. MAC: en fichero de configuración de un CM
viene el número de equipos que pueden acceder a la red. El CM registra las MAC – En todas las capas
a) Interceptación intrusiva de comunicación entre equipos para
1. Modificación IP 2. Suplantación de mensajes. 3. Denegación de mensajes.- En capa de Red,
Transporte y Aplicación
a) Bajo nivel de autenticación (IP)
Acceso malintencionado a los datagramas IP
1. Suplantación de DNS. 2. Suplantación de IP. 3. Husmear. 4. Exploit de desbordamiento de buffer. - En
capa de Red, Transporte y Aplicación
a) Deficiencias de programación – Telnet - para ataque 3.
b) Deficiencias en proceso de autenticación - para ataques 1 y 2
Acceso malintencionado a BD del servidor DNS.
Internet Banda Ancha
ATAQUES VULNERABILIDADES CONSECUENCIAS
1. Virus, 2. Troyanos Spyware, 3. Malware, 4. Código malicioso en
general - En capa Física, de Red, Transporte y Aplicación
a) Mala administración de los equipos Información de la Organización Comprometida
1. Envío y recepción de correo basura - En capa de Red y Transporte
a) Registro de cuenta de correo en foros. b) Falta de cultura de las personas.
Saturación de red. Enviados a listas negras lo que produce el rebote de todos mis correos.
1. Phishing (ataque transparente) - En capa de Red, Transporte y Aplicación.
a) Falta de cultura de la gente al revisar correos mal intencionados. (spam).
Robo de credenciales. Robo de datos al ingresar en páginas web falsas.
1. Hijacking (Secuestro) En capa de Red, Transporte y Aplicación.
a) Mala administración de los equipos Secuestro de identidad del usuario.
1. Inundación 2. Desbordamiento de buffer.
- En capa de Red, Transporte y Aplicación.
a) Robo de ancho de banda b) Inundación del sistema con llamadas
comprometidas
Bloqueo de la red impidiendo su normal funcionamiento
Video Vigilancia IP
ATAQUES VULNERABILIDADES CONSECUENCIAS
1. Ataques de Autenticación
a) Interfaz con usuario y contraseña por defecto.
b) Falta de control de acceso de direcciones IP
c) Servidores web desactualizados Capa de Aplicación
Control total del sistema de Video Vigilancia
1. Ataque de Diccionario a) Contraseña débil Capa de Aplicación
El atacante puede descubrir la contraseña.
1. Inundación de direcciones MAC/Ataques de Envenenamiento
a) Tamaño limitado de la tabla CAM b) Mala segmentación de la memoria
asignada a la tabla CAM Capa de Enlace de Datos
Desbordamiento de la tabla CAM(Content Addressable Memory) Denegación de servicio. Inundación de los puertos. El atacante puede ver todas las tramas enviadas de un host victima a otro host sin entrar a la tabla CAM.
1. Suplantación del Servidor DHCP
a) Falta de control para que exista otro DHCP en la red Capa de Enlace de Datos
Suplantación del Servidor DHCP.
1. Al Protocolo de Resolución de direcciones (ARP Attacks)
2. Suplantación ARP, 3. Envenenamiento de
enrutamiento ARP
a) No usar mecanismos de control que asocien direcciones IP con MAC Capa de Enlace de Datos
Un atacante puede husmear los paquetes de datos en la red LAN, modificar el tráfico, o incluso detener el tráfico ocasionando DoS.
Escenario de Ataque
Creación de ONU falso (Hacker 3)
Obtención de información mediante ataque de descifrado,
modificación y vigilancia de tramas entre Divisor y ONU
(Hacker 2)
Modificación y vigilancia de la
información entre OLT y Divisor
(Hacker 1)
Acceso a un puerto de Divisor
y adición de nuevo Divisor
(Hacker 4)
Escenario de Ataque
This is placeholder text.
Intrusión a través del Divisor Óptico
Escenario de Ataque
This is placeholder text.
Ataque IP Spoofing
Tecnologías GEPON no producen cambios bruscos en la red.
GEPON ha superado grandes distancias.
Sistemas X- Play que no funcionen correctamente, representan una pérdida financiera.
1
2
3
4
5
Usuarios requieren mejores precios y mayor calidad.
Se puede obtener una red óptica en su totalidad..
Conclusiones
En una red GEPON con Arquitectura Tecnológica se analizan activos vinculados al negocio para brindar servicios con alta visibilidad y control total.
Un análisis efusivo permite implementar las contramedidas necesarias.
En tecnologías actuales no se pueden brindar los servicios x play juntos.
6
7
8
9
10
GEPON hereda todas las vulnerabilidades de la capa IP.
Amenazas comunes se dan por vulnerabilidades no contempladas en el diseño de la red.
Conclusiones
Contar con personal capacitado en estas nuevas tendencias tecnológicas.
Recomendaciones
1
2
3
4
5
6
Tener una correcta planificación del crecimiento de los servicios de telecomunicaciones.
Utilizar tecnología GEPON con respecto a GPON, por su gran ancho de banda, seguridad y bajo costo
Obtener alta visibilidad y control total de infraestructura tecnológica.
Además de análisis de riesgo de activos, estudiar escenarios críticos que puede sufrir la red.
Contar con equipos de seguridad perimetral (IPS/IDS).
GRACIAS!!!