UNIDAD 4 SEGURIDAD EN TELECOMUNICACIONES E INTERNET

4.1 GENERALIDADES DE TELECOMUNICACIONES Y

VULNERABILIDADES EN TCP/IP
Equipos y topoo!"#s $% &%$
Modems, repetidores, switch, hubs, bridges, routers, gateways, LAN (bus, ring,
star), MAN, WAN, Interconnected networks (enlaces dedicados, enlaces virtuales,
tunneling, irewalls, Internet)
M%$ios $% t&#'s(issio'
! "wisted pair, baseband # broadband coa$ial cable, ibra %ptica, radio
transmission, microwave transmission, cellular radio, satellite&
! 'andwidth, delay, cost, installation and maintenance&
P&oto)oos
! (&)*, (&+* (orientado a cone$i%n)
! I,, -LI,, ,,,, ".,/01,, -NA/-1L./1I., I-1N, .2A,, ,A,, A3,, I.M,,
4rame delay, (cone$i%n y no cone$i%n) Modelo I-5/5-I
! I666 est7ndar 89) para LAN:s y MAN:s
(ethernet&;, token ring&*, MAN&<)
SEGURIDAD EN REDES Y TELECOMUNICACIONES
Asp%)tos !%'%&#%s
,roteger host y los servicios =ue se proporcionan en la red&
Autenticaci%n (passw) y autenticaci%n mutua (emisor y receptor)
.ontrol de acceso a los recursos
.onidencialidad, Integridad y 1isponibilidad
Medidas de encripci%n para aumentar .IA (conidentiality, integrity and
availability)
3esponsabilidad (=ui>n, cu7ndo, c%mo, d%nde, periodicidad)
*+ui,' %s % &%spo's#-%.
6mpleados
2ackers (curiosos, v7ndalos y criminales)
5peradores de tel>ono
.riminales de c%mputo proesionales
IP
La parte undamental de los servicios orecidos por Internet consiste en el sistema de
entrega de pa=uetes& 6ste servicio est7 deinido como?
No coniable
Me@or esuerAo
-in cone$i%n
6l protocolo =ue deine los mecanismos de entrega poco coniable y sin cone$i%n se conoce
como ,rotocolo Internet (I,)&
TCP /T&#'s(isi0' Co't&o P&oto)o1
6s un protocolo de transporte de prop%sito general, puede ser usado sobre cual=uier sistema
de entrega de pa=uetes, no necesariamente sobre I,& "., no supone caracterBsticas de la red
subyacente&
TCP/IP
-uite de protocolos de comunicaciones para redes de tipo abierto utiliAados en un modelo
de C capas desarrollado por la Advanced 3esearch ,ro@ects Agency del 1o1 y tomando
como reerencia el modelo 5-I&
4.2 INTERNET/E3TRANET/INTRANET
Dispositi4os $% )o'%)ti4i$#$ %' #s )o(u'i)#)io'%s
3epeaters& Ampliicador para cuando se e$cede la m7$ima distancia Bsica de
alcance de las seDales&
2ubs& ,ermite enlaAar entre segmentos de cone$i%n de una red&
'ridges& 6nlaAa y direcciona o iltra de un segmento a otro de la red los datos,
adem7s sirve para balancear la sobrecarga en los segmentos de la red&
Multiple$ores& 0ne varias seDales para ocupar el mismo canal de transmisi%n&
3outers& .onecta dos o m7s redes separadas l%gicamente
A&quit%)tu&# I't%&'%t
Los procesos tienen puertos? la combinaci%n de un puerto I1 y el I, destino (address) del
host es un -ocket? las cone$iones son un set de socket:s&
Algunos e@emplos son? puertos "6LN6", 4",, ".,, 01,&
,rotocol 3elationship "ables son los dierentes servicios =ue dan los protocolos y en =ue
puertos se realiAan&
C#&#)t%&"sti)#s $% I't%&'%t
3ed de redes
"opologBa mundial (malla)
'roadcast packet!switched
,eer connected (intercone$i%n entre capas)
.one$i%n de Ecual=uieraE con Ecual=uieraE (no restricci%n)
Interoperatibilidad en incremento
Autoridad N5 centraliAada
S%!u&i$#$ %' I't%&'%t
6l en%meno de la e$tensi%n de la Internet ha ad=uirido una velocidad tan r7pida y unas
proporciones, =ue el panorama actual y muchos de los eectos =ue se dan en su seno
resultan sorprendentes y diBcilmente imaginables hace s%lo una d>cada&
Inicialmente Internet nace como una serie de redes =ue promueven el intercambio de
inormaci%n entre investigadores =ue colaboran en proyectos con@untos o comparten
resultados usando los recursos de la red& 6n esta etapa inicial, la inormaci%n circulaba
libremente y no e$istBa una preocupaci%n por la privacidad de los datos ni por ninguna otra
problem7tica de seguridad& 6staba totalmente desaconse@ado usarla para el envBo de
documentos sensibles o clasiicados =ue pudieran mane@ar los usuarios, situaci%n esta muy
comFn, pues hay =ue recordar =ue la Internet nace como un contrato del 1epartamento de
1eensa Americano !aDo GH<8! para conectar entre sB tanto las 0niversidades como los
.entros de Investigaci%n =ue colaboran de una manera u otra con las 4uerAas Armadas
Norteamericanas&
Los protocolos de Internet ueron diseDados de una orma deliberada para =ue ueran
simples y sencillos& 6l poco esuerAo necesario para su desarrollo y veriicaci%n @ug%
eicaAmente a avor de su implantaci%n generaliAada, pero tanto las aplicaciones como los
niveles de transporte carecBan de mecanismos de seguridad =ue no tardaron en ser echados
en alta&
M7s recientemente, la cone$i%n a Internet del mundo empresarial se ha producido a un
ritmo vertiginoso muy superior a la diusi%n de ninguna otra tecnologBa anteriormente
ideada& 6llo ha signiicado =ue esta red de redes se haya convertido en Ela redE por
e$celencia& 6sto es, el medio m7s popular de intercone$i%n de recursos inorm7ticos y
embri%n de las anunciadas autopistas de la inormaci%n&
-e ha incrementado la variedad y cantidad de usuarios =ue usan la red para ines tan
diversos como el aprendiAa@e, la docencia, la investigaci%n, la bFs=ueda de socios o
mercados, la cooperaci%n altruista, la pr7ctica polBtica o, simplemente, el @uego& 6n medio
de esta variedad han ido aumentando las acciones poco respetuosas con la privacidad y con
la propiedad de recursos y sistemas& 2ackers, rackers, crakers&&& y dem7s amilias han
hecho aparici%n en el vocabulario ordinario de los usuarios y de los administradores de las
redes&
La propia comple@idad de la red es una diicultad para la detecci%n y correcci%n de los
mFltiples y variados problemas de seguridad =ue van apareciendo& Adem7s de las t>cnicas
y herramientas criptogr7icas antes citadas, es importante recalcar =ue una componente
muy importante para la protecci%n de los sistemas consiste en la atenci%n y vigilancia
continua y sistem7tica por parte de los gestores de la red& .omo e@emplo, en la tabla m7s
aba@o se recoge una lista e$haustiva de problemas detectados, e$traBda del libro? E4irewalls
and Internet -ecurity& (&&&)E&
LISTA DE PELIGROS M5S COMUNES EN SISTEMAS CONECTADOS A
INTERNET
Fuente:"Firewalls and Internet Security. Repelling the Wily Hacker"
1. 1e todos los problemas, el mayor son los allos en el sistema de passwords
2
Los sistemas basados en la autenticaci%n de las direcciones se pueden
atacar usando nFmeros consecutivos&
6 6s 7cil interceptar pa=uetes 01,&
4
Los pa=uetes I.M, pueden interrumpir todas las comunicaciones entre dos
nodos&
7 Los mensa@es I.M, 3edirect pueden corromper la tabla de rutas&
8
6l encaminamiento est7tico de I, puede comprometer la autenticaci%n
basada en las direcciones&
9 6s 7cil generar mensa@es 3I, alsos&
: 6l 7rbol inverso del 1N- se puede usar para conocer nombres de m7=uinas
;
0n atacante puede corromper voluntariamente la cach> de su 1N- para
evitar responder peticiones inversas&
1< Las direcciones de vuelta de un correo electr%nico no son iables&
11 6l programa sendmail es un peligro en sB mismo&
12 No se deben e@ecutar a ciegas mensa@es MIM6&
16 6s 7cil interceptar sesiones "elnet&
14 -e pueden atacar protocolos de autenticaci%n modiicando el N",&
17 4inger da habitualmente demasiada inormaci%n sobre los usuarios&
18 No debe coniarse en el nombre de la m7=uina =ue aparece en un 3,.&
19
-e puede conseguir =ue el encargado de asignar puertos I, e@ecute 3,. en
beneicio de =uien le llama&
1:
-e puede conseguir, en muchBsimos casos, =ue NI- entregue el ichero de
passwords al e$terior&
1; A veces es 7cil conectar m7=uinas no autoriAadas a un servidor NI-&
2< 6s diBcil revocar derechos de acceso en N4-&
21 -i est7 mal conigurado, el "4", puede revelar el /etc/passwd&
22 No debe permitirse al tp escribir en su directorio raBA&
26 No debe ponerse un ichero de passwords en el 7rea de tp&
24
A veces se abusa de 4-,, y se acaba dando acceso a icheros a =uien no se
debe dar&
27 6l ormato de inormaci%n de WWW debe interpretarse cuidadosamente&
28 Los servidores WWW deben tener cuidado con los punteros de icheros&
29 -e puede usar tp para crear inormaci%n de control del gopher&
A la hora de plantearse en =ue elementos del sistema se deben de ubicar los servicios de
seguridad podrBan distinguirse dos tendencias principales?
,rotecci%n de los sistemas de transerencia o transporte& 6n este caso, el
administrador de un servicio, asume la responsabilidad de garantiAar la transerencia
segura de la inormaci%n de orma bastante transparente al usuario inal& 6@emplos
de este tipo de planteamientos serBan el establecimiento de un nivel de transporte
seguro, de un servicio de mensa@erBa con M"As seguras, o la instalaci%n de un
cortauego, (irewall), =ue deiende el acceso a una parte protegida de una red&
Aplicaciones seguras e$tremo a e$tremo& -i pensamos por e@emplo en correo
electr%nico consistirBa en construir un mensa@e en el cual en contenido ha sido
asegurado mediante un procedimiento de encapsulado previo al envBo, de orma =ue
este mensa@e puede atravesar sistemas heterog>neos y poco iables sin por ello
perder la valideA de los servicios de seguridad provistos& Aun=ue el acto de
securiAar el mensa@e cae ba@o la responsabilidad del usuario inal, es raAonable
pensar =ue dicho usuario deber7 usar una herramienta amigable proporcionada por
el responsable de seguridad de su organiAaci%n& 6ste mismo planteamiento, se
puede usar para abordar el problema de la seguridad en otras aplicaciones tales
como videoconerencia, acceso a bases de datos, etc&
6n ambos casos, un problema de capital importancia es la gesti%n de claves& 6ste problema
es inherente al uso de la criptograBa y debe estar resuelto antes de =ue el usuario est> en
condiciones de enviar un solo bit seguro& 6n el caso de las claves secretas el problema
mayor consiste en mantener su privacidad durante su distribuci%n, en caso de =ue sea
inevitable su envBo de un punto a otro& 6n el caso de clave pFblica, los problemas tienen
=ue ver con la garantBa de =ue pertenecen a su titular y la conianAa en su vigencia (=ue no
haya caducado o sido revocada)&
0na manera de abordar esta gesti%n de claves est7 basada en el uso de los .ertiicados de
.lave ,Fblica y Autoridades de .ertiicaci%n& 6l problema de la vigencia de la clave se
resuelve con la generaci%n de Listas de .ertiados 3evocados (.3Ls) por parte de las .As&
4.6 REDES VIRTUALES PRIVADAS
0na 3ed Iirtual ,rivada (I,N ! Iirtual ,rivate Network) es a=uella red privada construida
sobre una red pFblica& Las raAones =ue empu@an el mercado en ese sentido son,
undamentalmente de costes? resulta mucho m7s barato interconectar delegaciones
utiliAando una inraestructura pFblica =ue desplegar una red Bsicamente privada& 6n el otro
e$tremo, por supuesto, es necesario e$igir ciertos criterios de privacidad y seguridad, por lo
=ue normalmente debemos recurrir al uso de la criptograBa&
6n general e$isten dos tipos de redes privadas virtuales?
E'#)%s Ci%'t%=R%$>
6n estos enlaces se encapsula, tBpicamente, ,,, (,oint!to!,oint ,rotocol)& Las tramas del
cliente se encapsulan en ,,,, y el ,,, resultante se encapsula para crear el I,N& -e
emplean, entre otras muchas cosas, para?
Acceso seguro de un cliente a la red&
.lientes m%viles (para independiAarlos de la topologBa Bsica)&
,untos de acceso remoto& ,or e@emplo, un EpoolE de m%dems en otra ciudad, o
clientes nuestros entrando por otro I-,&
3utado de tramas no utiliAables en Internet& ,or e@emplo, tramas Net'60I, I,(,
-NA o 16.N6"&
E'#)%s R%$=R%$>
6n estos casos se est7 encapsulando el tr7ico de una red local, por lo =ue nos ahorramos el
paso ,,, anterior& Las tramas de la LAN se encapsulan directamente para crear el I,N& -e
utiliAa para?
4undir dos redes locales a trav>s de Internet, para =ue pareAcan una sola&
6stablecer canales con privacidad, autenticidad y control de integridad, entre dos
redes independientes&
3utado de tramas no utiliAables en Internet& ,or e@emplo, tramas Net'60I, I,(,
-NA o 16.N6"&
La gran venta@a de este sistema es =ue simplemente con un acceso local a Internet (desde
cual=uier pais) y una correcta coniguraci%n se podrBan conectar a nuestro servidor de N",
)999 o (, server a un coste muy ba@o utiliAando modem y a coste 9 si tenemos una taria
plana&
,ongamos por e@emplo una cone$i%n en 6spaDa entre ) delegaciones, la de 'arcelona y la
de Madrid& .on una punto a punto sobre 31-I pagarBamos <C999 pts&/mes por <C kbps de
ancho de banda& -%lo por unir las dos delegaciones, las cone$iones a Internet serBan aparte,
adem7s la llamada es de un punto a otro (no es bidireccional)&.rear una I,N es
relativamente 7cil pero hay =ue tener en cuenta una serie de observaciones como si
tenemos un router A1-L para acceso corporativo, o si tenemos un modem conectado a un
pc y sobre todo el sistema operativo del servidor y de los clientes&
1ado =ue la coniguraci%n =ue est7 teniendo mas uerAa es la de tener un router para =ue de
acceso a Internet a todos los ordenadores de la red, nos centraremos en esta&
6videntemente toda la teorBa e implementaci%n de I,Ns tambi>n unciona sobre routers
31-I con acceso a Internet, los agu@eros a crear en el router son los mismos&
6n primer lugar tenemos =ue crear dos agu@eros en unos puertos de estos routers, esto es
necesario ya =ue las redes privadas virtuales generan peticiones de entrada y salida sobre
los puertos y adem7s le tenemos =ue decir al router a =ue ordenador local tiene =ue
redireccionar estas peticiones& 6l router al conectarse a Internet recibe una I, del proveedor
de acceso, en cambio a nivel local tiene un I, reservada para redes locales, por lo =ue el
router tiene =ue saber a =ue ordenador local tiene =ue reenviar los pa=uetes =ue lleguen con
una petici%n a los puertos
4.4 SEGURIDAD EN CAPAS RED Y TRANSPORTE
SEGURIDAD A NIVEL RED
S%!u&i$#$ %' IP
I, carece de mecanismos para proveer autenticaci%n, integridad y conidencialidadJ I,
busca adoptar los principios establecidos por 5-I (+CH8!)) para construir su ar=uitectura de
seguridad&
0n poco de historia&&&&&
6l 1o1 de 0-A propone I,-5 (Ip -ecurity 5ptions) para IpvC
-wI,e para IpvC
"0'A ("., and 01, with 'igger Addresses) propuesto para Ipng&
-I,, (-imple Internet ,rotocol ,lus), propuesto para Ipng y retenido como base de
este protocolo
Ipv<, tambi>n conocido como Ipng
E')#psu#$o %' )#p# 4 y )#p# 6
TLSP /C#p# 41
TCP=? DATOS
IP=? @EY=ID
DATOS
ENCRPTADOS

NLSP /C#p# 61
IP=? DATOS
IP=? @EY=ID
DATOS
ENCRIPTADOS

SEGURIDAD A NIVEL TRANSPORTE
SSL /S%)u&% So)A%ts L#y%&1
6s una propuesta de est7ndar para encriptado y autenticaci%n en el WebJ es un es=uema de
encriptado de ba@o nivel usado para encriptar transacciones en protocolos de nivel
aplicaci%n como http& 4",, etc&
.on --L puede autentiicarse un servidor con respecto a su cliente y viceversa&
C#&#)t%&"sti)#s>
-e basa en un es=uema de llave pFblica para el intercambio de llaves de sesi%n&
Las llaves de sesi%n son usadas para encriptar las transacciones sobre http
.ada transacci%n usa una llave de sesi%n& 6sto diiculta al EcrackerE el comprometer
toda una sesi%n&
5b@etivos de --L?
G& -eguridad criptogr7ica& -e sugiere el uso de --L para establecer cone$iones seguras
entre dos partes&
)& Interoperabilidad& ,rogramadores independienvtes deben poder desarrollar aplicaciones
basadas en --L, =ue intercambien par7metros criptogr7icos sin tener conocimiento de los
c%digos de los programas de cada uno&
;& 6$tensibilidad& --L provee un marco donde pueden incorporarse m>tods criptogr7icos
segFn se necesite& 6sto evita el problema de estar creando nuevos protocolos, asB como
nuevas librerBas de seguridad&
C& 6iciencia 3elativa& ,uesto =ue las operaciones criptogr7icas demandan demasiado
.,0, el protocolo --L incorpora un es=uema opcional de EcachingE, =ue reduce el nFmero
de cone$iones =ue deben establecerse desde inicio& Adem7s se ha tomado en cuenta el
reducir en lo posible la actividad de la red&
P&oto)oo SSL
6l est7ndar de I6"4 E"ransport Layer -ecurityE ("L-) se basa en --LJ re=uiere un
transporte coniable, provee seguridad en el canal&
-e ubica?
APLICACION
SSL
TCP/IP

6$isten dos subprotocolos?
--L record protocol& 1eine los ormatos de los mensa@es empleados en --L&
6$isten dos ormatos principales? 3ecord 2eader 4ormat y 3ecord 1ata 4ormat
(donde se encapsulan los datos a enviar)
--L handshake protocol& Autentiica al servidor para el cliente, permite al cliente y
servidor seleccionar algoritmos criptogr7icos =ue sean soportados por ambos,
opcionalmente autentiica al cliente para el servidor, usa criptograBa de llave
pFblica para generar secretos compartidos y establece una cone$i%n --L encriptada&
4.7 PROTOCOLOS DE SEGURIDAD A NIVEL APLICACION
SET /S%)u&% E%)t&o'i) T&#'s#)tio's1
-6" hace seguras las transacciones en lBnea mediante el uso de certiicados digitalesJ con
-6" se puede veriicar =ue tanto clientes como vendedores est7n autoriAados para realiAar o
aceptar un pago electr%nico, ue desarrollado por Iisa y Master .ard&
AN5LSIS DE LOS NIVELES DE SEGURIDAD
NIVEL
D1
6l nivel 1G es la orma m7s elemental de seguridad disponible& 6ste
est7ndar parte de la base =ue asegura, =ue todo el sistema no es coniable&
No hay protecci%n disponible para el hardware, el sistema operativo se
compromete con acilidad, y no hay autenticidad con respecto a los
usuarios y sus derecho, para tener acceso a la inormaci%n =ue se encuentra
en la computadora& 6ste nivel de seguridad, se reiere por lo general a los
sistemas operativos como M-!15-, M-!Windows y -ystem +&$ de Apple
Macintosh&
NIVEL
C1
6l nivel .G tiene dos subniveles de seguridad .G y .)& 6l nivel .G, o
sistema de protecci%n de seguridad discrecional, describe la seguridad
disponible en un sistema tBpico 0NI(& 6$iste algFn nivel de protecci%n
para el hardware, puesto =ue no puede comprometerse tan 7cil, aun=ue
todavBa es posible&
Los usuarios deber7n identiicarse asB mismos con el sistema por medio de
un nombre de usuario y una contraseDa& 6sta combinaci%n se utiliAa para
determinar =ue derechos de acceso a los programas e inormaci%n tiene
cada usuario& 6stos derechos de acceso son permisos para archivos y
directorios& 6stos controles de acceso discrecional, habilitan al dueDo del
archivo o directorios, o al administrador del sistema, a evitar =ue algunas
personas tengan acceso a los programas i inormaci%n de otras personas&
-in embargo, la cuenta de administraci%n del sistema no est7 restringida a
realiAar cual=uier actividad&
6n consecuencia, un administrador del sistema sin escrFpulos, puede
comprometer con acilidad la seguridad del sistema sin =ue nadie se entere&
NIVEL
C2
6l nivel .), ue diseDado para ayudar a solucionar tales hechos& Kuntos con
las caracterBsticas de .G, el nivel .) incluye caracterBsticas de seguridad
adicional, =ue crean un medio de acceso controlado& 6ste medio tiene la
capacidad de reorAar las restricciones a los usuarios en la e@ecuci%n de
algunos comandos o el acceso a algunos archivos, basados no solo en
permisos si no en niveles de autoriAaci%n& Adem7s la seguridad de este
nivel re=uiere auditorias del sistema&
6sto incluye a la creaci%n de un registro de auditoria para cada evento =ue
ocurre en el sistema& La auditoria se utiliAa para mantener los registros de
todos los eventos relacionados con la seguridad, como a=uellas actividades
practicadas por el administrador del sistema& La auditoria re=uiere de
autenticaci%n adicional& La desventa@a es =ue re=uiere un procesador
adicional y recursos de discos del subsistema&
.on el uso de las autoriAaciones adicionales, no deben conundirse con los
permisos -LI1 M -0I1, =ue se pueden aplicar a un programa, en cambio,
estas son autoriAaciones especBicas =ue permiten al usuario e@ecutar
comandos especBicos o tener acceso a las tablas de acceso restringido&
NIVEL
B1
6n nivel ' de seguridad tiene tres niveles& 6l 'G, o protecci%n de seguridad
eti=uetada, es el primer nivel =ue soporta seguridad multinivel, como la
secreta y la ultrasecreta& 6ste nivel parte del principio de =ue un ob@eto ba@o
control de acceso obligatorio, no puede aceptar cambios en los permisos
hechos por el dueDo del archivo&
NIVEL
B2
6l nivel '), conocido como protecci%n estructurada, re=uiere =ue se
eti=uete cada ob@eto, los dispositivos como discos duros, cintas, terminales,
etc& podr7n tener asignado un nivel sencillo o mFltiple de seguridad& 6ste es
el primer nivel =ue empieAa a reerirse al problema de un ob@eto a un nivel
m7s elevado de seguridad en comunicaci%n con otro ob@eto a un nivel
interior&
NIVEL
B6
6l nivel ';, o el nivel de demonios de seguridad, reuerAa a los demonios
con la instalaci%n de hardware& ,or e@emplo, el hardware de administraci%n
de memoria se usa para proteger el dominio de seguridad de acceso no
autoriAado, o la modiicaci%n de ob@etos en dierentes dominios de
seguridad& 6ste nivel re=uiere =ue la terminal del usuario conecte al
sistema, por medio de una ruta de acceso segura&
NIVEL A
6l nivel A, o nivel de diseDo veriicado, es hasta el momento el nivel m7s
elevado de seguridad validado por el libro naran@a& Incluye un proceso
e$haustivo de diseDo, control y veriicaci%n& ,ara lograr este nivel de
seguridad, todos los componentes de los niveles ineriores deben incluirse,
el diseDo re=uiere ser veriicado en orma matem7tica, adem7s es necesario
realiAar un an7lisis de los canales encubiertos y de la distribuci%n coniable&

4.8 ATA+UES DE REDES Y MEDIDAS PREVENTIVAS
1esgraciadamente, el incremento en el uso de Internet tambi>n incluye a individuos con
alta de honestidad y sin >tica proesional (crackers) =ue en un momento dado pueden
comprometer la integridad y la privacidad de la inormaci%n&0nBs proveBa las uentes de
programas =ue lo componen& 6sto permitBa recopilar versiones modiicadas de dichos
programas, pudiendo introducirse con ello caballos de troya o virus& Internet provee muchas
ormas de conectar dos sistemas entre sB, algunas de >stas cone$iones pueden ser no
deseadas& 1ada la gran acilidad de intercone$i%n brindada, es necesario contar con una
administraci%n de seguridad rigurosa&
C#siBi)#)i0' $% os #t#qu%s>
G& Ata=ues activos& 6n un ata=ue activo, el intruso interiere con el tr7ico legBtimo =ue
luye a trav>s de la red interactuando de manera engaDosa con el protocolo de
comunicaci%n
)& Ata=ue ,asivo& 0n ata=ue pasivo es a=uel en el cual el intruso monitorea el tr7ico de la
red para capturar contraseDas u otra inormaci%n para su uso posterior&
S'iBB%&s?6ste programa puede colocarse en una pc en una LAN o en un gateway, por donde
pasan los pa=uetes& 6l snier va leyendo los mensa@es =ue pasan por estos dispositivos y
graba la inormaci%n en un archivo& 6n los primeros mensa@es de una cone$i%n se
encuentran los passwords, normalmente sin cirar&
S'oopi'!>6s la t>cnica de ba@ar los archivos desde un sistema al sistema hacker&
SpooBi'!>.onsiste en entrar a un sistema haci>ndose pasar por un usuario autoriAado& 0na
veA dentro del sistema, el atacante puede servirse de >ste como plataorma para introducirse
en otro y asB sucesivamente&4looding o Kamming?.onsiste en inundar un e=uipo con tanta
cantidad de mensa@es =ue >ste se colapsa& No le =ueda espacio libre en la memoria o en el
disco& 6l ata=ue tipo looing m7s conocido es el -MN attack&
ARP/?#$%s R%soutio' P&oto)o1P%&(it% o-t%'%& # $i&%))i0' B"si)# $% u'# (Cqui'# #
p#&ti& $% su $i&%))i0' IP.
,rotocolo I.M, (Internet .ontrol Message ,rotocol),ermite a ruteadores y servidores
reportar errores o inormaci%n de control sobre la redJ reporta errores como? e$piraci%n de
""L, congesti%n, direcci%n I, destino no alcanAable, etcJ via@a encapsulado en el 7rea de
datos de un datagrama I,&
M%'s#D%s ICMP (Cs )o(u'%s
Tipo D%s)&ip)i0'
< 6cho replay
6 1estination 0nreachable
4 -ource Nuench
7 3edirect (cambio de ruta)
: 6cho 3e=uest
11
"ime 6$ceded or )
1atagram
12
,arameter ,roblem on a
1atagram
16 "imestamp 3e=uest
14 "imestamp 3eplay
M%'s#D% ICMP .ambio de 3uta0tiliAado por un ruteador para indicarle a una m7=uina en
su segmento =ue utilice una nueva ruta para determinados destinos&
1iscusi%n Ata=ues A3, e I.M,
6l ata=ue A3, es considerado como un ata=ue trivial&
6l ata=ue I.M, es considerado como un ata=ue diBcil de implementar&
R%quisito o-s%&4#$o> la direcci%n I, uente del datagrama sobre el cual via@a el mensa@e
I.M,, debe ser igual a la direcci%n I, de cual=uier ruteador en la tabla de ruteo de la
m7=uina vBctima&
M%)#'is(os $% p&ot%))i0'. -e recomienda la utiliAaci%n del sistema arpwatch
desarrollado por el Laboratorio Lawrence 'erkeleyJ adem7s de monitoreo continuo del
tr7ico de la red para detectar inconsistencias en las pare@as (dir I,, dir Bsica) de los
pa=uetes&
S(u&Bi'!.
Ata=ue pasivo =ue aecta, principalmente a la disponibilidad de los e=uipos&
-e lleva (ba) a cabo principalmente en ruteadores .isco y probablemente en otras
marcas&
4.9 MONITORES DE REDES Y SNIEEERS
* +u, %s u' S'iBB%& . * +u, %s u' #'#iF#$o& $% p&oto)oos .
0n snier es un proceso =ue olatea el tr7ico =ue se genera en la red a nivel de enlaceJ de
este modo puede leer toda la inormaci%n =ue circule por el tramo (segmento) de red en el
=ue se encuentre& ,or este m>todo se pueden capturar claves de acceso, datos =ue se
transmiten, numeros de secuencia, etc&&&
0n analiAador de protocolos es un snier al =ue se le ha aDadido uncionalidad suiciente
como para entender y traducir los protocolos =ue se est7n hablando en la red& 1ebe tener
suiciente uncionalidad como para entender las tramas de nivel de enlace, y los pa=uetes
=ue transporten&
"ruco? Normalmente la dierencia entre un snier y un analiAador de protocolos, es =ue el
segundo est7 a la venta en las tiendas y no muestra claves de acceso&
* +u, qui%&% $%)i& qu% %% i'Bo&(#)i0' # 'i4% $% %'#)% .
Nuiere decir =ue el snier se dedica a leer "3AMA- de red, por lo =ue los datos =ue
obtendremos de >l ser7n tramas =ue transpor7n pa=uetes (I,, I,(, etc&&&)& 6n estos pa=uetes
se incluyen los datos de aplicaci%n (entre ellos claves de acceso)&
6stos programas ponen al menos un interaA de red (o tar@eta de red o NI.) en Omodo
promiscuoOJ es decir =ue al menos uno de los interaces de red de la m7=uina est7
programado para leer toda la inormaci%n =ue transcurra por el tramo de red al =ue est>
conectado, y no solamentelos pa=uetes con dirigidos a >l&
T%'!o u'# &%$ )o' topoo!i# %' %st&%#G * Soy 4u'%&#-% .
Muy probablemente -B& .ual=uier tipo de red basada en '0- o ANILL5 l%gicos es
vulnerable& Aun=ue los cables se envBen a un concentrador (hub) haciendo =ue la topologBa
Bsica sea de estrella, si la topologBa l%gica de la red es en bus o en anillo las tramas podr7n
escucharse desde cual=uier host conectado al concentrador&
6n general, I666 89)&; (ethernet), 89)&C (token bus), 89)&* (token ring), 6thernet ), etc&&
suelen ser vulnerables con la siguiente salvedad? algunos concentradores de nueva
generaci%n aBslan el tr7ico entre hosts conectados a una misma redJ por lo =ue en estas
redes la utiliAaci%n de sniers es poco menos =ue inFtil (e$cepto en ciertos casos donde la
carga de la red obliga al concentrador a unir varios buses l%gicos en uno Bsico ! ! !! esta
salvedad puede no cumplirse dependiendo del concentrador utiliAado)&
+ui%&o $#& #))%so # (i &%$ 4"# (o$%(. * Pu%$%' %%& # i'Bo&(#)i0' qu% )i&)u# po&
(i &%$ %D%)ut#'$o u' s'iBB%& # ot&o #$o $% # "'%# .
1epende de c%mo se conigure la cone$i%n&
6n este caso tendr7s =ue engaDar al router para =ue crea =ue las direcciones =ue se asignan
para acceso tele%nico pertenecen a tu misma red& -i tienes (un poco de) cuidado al
conigurar la m7=uina =ue controla estos hosts remotos no deberBas tener ningFn problema,
ya =ue las tramas =ue se enviar7n a estas m7=uinas ser7n Fnicamente a=uellas =ue les
corresponda recibir&
.asi siempre los proveedores de acceso a internet (.omo InovBa en 6spaDa, Inosel en
M>$ico o similares) interponen entre tu red y el usuario remoto una serie de mecanismos
(routers y cone$iones punto a punto) =ue hacen ineectivo el uso un -nier en la m7=uina
remota&
* C0(o pu%$o s#-%& si H#y #!ui%' )o&&i%'$o u' s'iBB%& %' (i &%$ .
6sto es m7s diBcil de lo =ue parece&
La orma m7s comFn de saber si un interaA de red est7 en modo promiscuo consiste en
e@ecutar (en m7=uinas 0NI() el programa iconig de la siguiente orma?
Piconig !a Q Muestra el estado de las placas de red& La salida serBa similar a esto R
eth9 Link 6ncap? G9Mbps 6thernet 2Waddr? $$?$$?$$?$$?$$?$$
inet addr? a&b&c&d 'cast? a&b&c& Mask? m&m&m&m
0, '35A1.A-" 30NNINL ,35MI-. M0L"I.A-" M"0?G*99 Metric?G
3( packets? 9 errors?9 dropped?9 overruns?9
"( packets?9 errors?9 dropped?9 overruns?9
Interrupt?G* 'ase Address?9$;99
6l problema de esta soluci%n es =ue se necesita tener acceso root a todas las m7=uinas =ue
deben comprobarse (otra opci%n serBa hacer un crontab =ue compruebe el estado cada cierto
tiempo, sin embargo un cracker con acceso al sistema puede ver los traba@os en cron y
deshabilitar esta veriicaci%n)&
4.: COMUNICACIONES DE VOI SEGURAS
6l H9S de las escuchas se realiAa en las pro$imidades de la uente =ue se desea monitorear,
directamente sobre los cables tele%nicos de la red de acceso, con un costo e$tremadamente
ba@o y una instalaci%n muy simple& 6l HS de los casos se hace con aparatos de control
directamente en la central pFblica , pero esta operaci%n re=uiere de elevados conocimientos
y t>cnicos especialiAados& -olo el GS de las intercepciones se realiAan en el lugar de destino
de la comunicaci%n (esta t>cnica es muy rara pues re=uiere iltrados y costos muy
elevados)&
,uede ser =ue usted no est> solo en la lBnea tele%nicaT 6l espiona@e industrial, raude
inanciero, rivalidades comerciales, asuntos de seguridad nacional y aun las investigaciones
sobre asuntos personales ocurren todos los dBas& La porci%n m7s vulnerable de la red
tele%nica es el laAo local de abonado, el cual lo conecta con la red pFblica& 6l laAo local
est7 compuesto por dos alambres de cobre, de modo tal =ue la EpinchaduraE de la lBnea es
t>cnicamente muy simple& .omo contraste, una veA =ue la seDal llega a la 3ed ,Fblica de
"eleonBa .onmutada, la intercepci%n re=uiere de e$periencia t>cnica y una inversi%n
mucho m7s importante& -in una completa protecci%n usted es muy vulnerable a las
intercepciones y escuchas tele%nicas&
,ara solucionar este tipo de probremas usted podrBa instalar una unidad de encriptaci%n en
cada tel>ono&&& Las soluciones actuales est7n limitadas a tecnologBas de encriptaci%n punto!
a!punto& 6sto signiica =ue solo se podr7 tener una comunicaci%n segura cuando se instalen
dispositivos similares en ambos e$tremos de la lBnea& Aun asB, usted no puede realmente
pretender tener unidades de encriptaci%n dispersas entre todos sus posibles interlocutores
tele%nicos o de a$, por lo =ue esa no es una soluci%n muy pr7ctica&
6$isten en el mercado diversos productos =ue orecen una soluci%n un e@emplo de esto es
3ed-egura le brinda protecci%n aFn si su contraparte no tiene ningFn tipo de dispositivo de
protecci%n instalado& 4ue diseDada para proteger las comunicaciones de voA y a$ cursadas
a trav>s de lBneas anal%gicas de la red tele%nica pFblica, utiliAando un elevado nivel de
criptograBa& .rea un canal seguro entre el "erminal 3ed-egura ("3-) y la .entral
3ed-egura (.3-) ubicada en la red pFblica
Llamadas salientes ! .uando el abonado realiAa una llamada saliente, el "3- disca
autom7ticamente el nFmero del servidor m7s pr%$imo y establece un canal seguro a
trav>s del cual ser7 establecida la comunicaci%n&
Llamadas entrantes ! .uando alguien desee establecer una llamada segura con un
abonado de 3ed -egura, deber7 llamarlo a su nFmero seguro especial, el cual
enrutar7 la llamada al servidor y desde allB en orma codiicada al abonado& ,or lo
tanto, y sin importar si =uien llama es o no abonado, la red de acceso est7 protegida
en orma permanente&
0tiliAa una robusta y probada tecnologBa de encriptaci%n de alto nivel& La unidad de
encriptaci%n transmite las claves pFblicas con tecnologBa 6lgamal, la =ue unida a la
encriptaci%n con la tecnologBa sim>trica 16- orecen una protecci%n de la inormaci%n =ue
est7 e$tremadamente en la vanguardia de todo lo conocido
4.; SEGURIDAD EN E=MAIL
PEM (privacy enhanced mail) se deine con reglas =ue contemplan la integridad,
autenticaci%n del origen del mensa@e y soporta no repudiaci%n& ,ar la conidencialidad
(opcional) re=uiere encripci%n, @erar=uBa de certiicaci%n y servicios de directorio& 6sto
puede verse como una limitaci%n para su uso e$tendido& ,6M es un est7ndar de Internet,
est7 diseDado dentro de la ar=uitectura -M",, usa conceptos del (&C99 de la I"0& No est7
ligada necesariamente a ningFn algoritmo de encripci%n pero aplica en criptograBa de llave
pFblica, en particular irma digital&
1ebido a =ue ,6M es de uso reducido, ,L, (,ret Lood ,rivacy) ha crecido en demanda&
Ambos usan una combinaci%n de llave pFblica y m>todo sim>trico& -in embargo ,L,, no
re=uiere una autoridad certiicadora, proporciona la conidencialidad y irma digital s%lo
con la encripci%n del archivo& 0sa I16A, para la encripci%n de datos, 3-A para encriptar la
llave pFblica y la Eirma digitalE adem7s usa M1- para el compendio del mensa@e en irma
digital&
POLJTICAS
,ara asuntos ormales de negocios y oiciales de la empresa
,ara asuntos personales o complementarios (no crBticos)
.ontrol de acceso y conidencialidad de mensa@es
Administraci%n y archivo de mensa@es
LISTA DE USUARIOS
0no a uno
1e uno a un grupo de usuarios o una organiAaci%n
Lrupos de discusi%n (central mailing list server and broadcast to the other
participants)& 0-6N6" groups&
PROTOCOLOS
-M", (-imple Mail "ransport ,rotocol)& Acepta mensa@es de otros sistemas y los
almacena&
,5, (,ost 5ice ,rotocol)& ,ermite a un cliente en ,5, ba@ar el e!mail =ue ue
recibido en otro servidor de e!mail&
IMA, ( Internet Mail Access ,rotocol)& 6s m7s conveniente =ue ,5,, pues no
re=uiere guardarse la sincronBa entre las listas local y del server para la lectura del e!
mail
AMENAIAS
1ANL6350- A""A.2M6N"- (por e@emplo? tro@an e$ecutables, virus inected
iles, dangerous macro)
IM,63-5NA"I5N
6AI6-135,,INL
MAIL'5M'INL& Muchos Internet -ervice ,rovider (I-,) proporcionan cuentas
gratutitas =ue posteriormente pueden usarse para lanAar ata=ues&
-,AM
E=MAIL AEEGUARS. Po"ti)#s qu% $%-%' $%Bi'i&s% p#&# % 'i4% $% p&ot%))i0'
$%s%#$o.
,revenci%n a contenidos peligrosos
,revenci%n a modiicaciones o suplantaciones de usuarios
,revenci%n a eavesdropping
MESSAGE ?ANDLING SYSTEM /M?S1. 1e 5-I es el est7ndar $&C99 para e!mail,
proporciona seguridad protegiendo a los mensa@es contra modiicaciones y divulgaci%n,
adem7s autentiica la identidad de las partes& M-2 contiene?
Modelo uncional
6structura de mensa@e
3eporte de liberaci%n
TACACS Y RADIUS
-on sistemas de autentiicaci%n y control de acceso a una red vBa cone$i%n remotaJ
permiten redireccionar el EusernameE y EpasswordE hacia un servidor centraliAado& 6ste
servidor decide el acceso de acuerdo a la base de datos del producto o la tabla de passwords
del -istema 5perativo =ue mane@e&
CORREO ELECTRKNICO
6l correo electr%nico es el servicio de envBo y recepci%n de mensa@es entre los usuarios =ue
conorman una red de computadoras& 6stos mensa@es llegan a cual=uier parte del mundo en
segundos, a lo sumo en minutos& .ada usuario tiene su propia direcci%n en la red,
tBpicamente en la orma EnombreUcone$i%nE&
6l correo electr%nico es uno de los servicios m7s importantes de su cone$i%n al usar la red&
0na veA =ue usted se acostumbra a utiliAar seriamente este medio de comunicaci%n es muy
7cil depender de >l& 6n unos meses decenas de amigos, amiliares, colegas, etc&, tendr7n su
direcci%n electr%nica al igual =ue usted la de ellos&
La importancia de este medio de comunicaci%n est7 creciendo cada veA m7s en nuestros
dBas, hasta el punto =ue dentro de varios aDos, segFn los e$pertos, el correo electr%nico ser7
el medio m7s utiliAado despu>s del tel>ono para comunicarse con otras personas&
6$isten dierentes pa=uetes soportados EoicialmenteE por 3edula con los cuales se puede
enviar y recibir mensa@es&
5tra orma de utiliAar el correo electr%nico es ba@o el ambiente WIN15W-, iniciando
previamente una sesi%n de "6LN6" ubicando el apuntador sobre el icono identiicado con
"6LN6" (el cual no es est7ndar, sino =ue es creado), y luego pulsando con el rat%n,
aparecer7 otra pantalla donde debe escoger la opci%n .5NN6." y elegir el servidor al cual
desea conectarse, luego debe introducir la identiicaci%n y clave respectiva y asB podr7
probar cual=uiera de los tres pa=uetes mencionados descritos& Igualmente ba@o Windows se
encuentra el grupo de programas WINNI"/N6" y el 60153A, los cuales permiten
enviar, recibir correos y acceder a grupos de noticias en un entorno de ventanas y botones
gr7icos bastante agradable y sencillo& 6ntre los editores usados en los programas de correo
electr%nico igura el editor pico para el pine y el elm&
6sto es realmente el correo electrnico? 0na herramienta =ue le permite enviar correo
seguro a cual=uier persona en toda la Internet&
4.1< SEGURIDAD EN EA3
6$isten dierentes tipos de productos en el mercado =ue proporcionan seguridad en la
transmisi%n de datos por a$, a continuaci%n presento un e@emplo?
6l .-1 ;+99 habilita la transmisi%n de alta seguridad y autom7tica de mensa@es de a$&
0na veA recibidos los mensa@es, >stos pueden ser almacenados con seguridad en memoria
no vol7til opcional hasta =ue los receptores autoriAados entren su c%digo de identiicaci%n
personal, ,IN (,ersonal Identiication Number)& .ompacto y 7cil de usar, el .-1 ;+99
opera con cual=uier m7=uina de a$ del Lrupo III&
M#'%Do $% )#4%s
.on cada clave negociada, se produce una nueva clave aleatoria en cada transmisi%n de a$&
6sta clave de sesi%n es Fnica a las dos partes en comunicaci%n& Ninguna otra unidad puede
generar esta clave&
6l .-1 ;+99 apoya tanto las redes de a$ abiertas como las cerradas& Las redes de a$
abiertas les permiten a dos personas cual=uiera en el sistema .-1 ;+99 enviar a$es con
seguridad& No se re=uiere ninguna relaci%n de claves previa& Las redes abiertas son ideales
para uso industrial donde un nFmero siempre cambiante de compaDBas necesitan
comunicarse entre sB&
Las redes cerradas apoyan aplicaciones de gobierno y otras de alta seguridad donde
solamente a un nFmero especiicado de personas les es permitido enviar y recibir
inormaci%n sensitiva& 6l .-1 ;+99 aDade una clave de red (privada) al intercambio de
claves negotiada para ormar una red cerrada& -olamente las m7=uinas con la misma clave
de red se pueden comunicar entre sB y cada unidad puede almacenar hasta )9 claves de red&
Mo$os $% %'4"o
E'4"o )o' s%!u&i$#$. 6nviar en el modo de seguridad solamente&
E'4"o )o'
s%!u&i$#$/D%s4"o p#&#
si(p%.
0n usuario puede enviar un a$ normal sin
seguridad&
E'4"o #uto(Cti)o )o'
s%!u&i$#$/No&(#.
Autom7ticamente envBa con seguridad a una unidad
receptora .-1 ;+99& -i no, envBa en orma normal&
Mo$os $% &%)%p)i0'
R%)%p)i0' )o' s%!u&i$#$. 3ecibe en el modo seguro solamente&
R%)%p)i0' #uto(Cti)# )o'
s%!u&i$#$/No&(#.
Autom7ticamente recibe en el modo seguro si se
est7 comunicando con otro .-1 ;+99& -i no, recibe
normalmente&
Independientemente del modo de "(/3(, el .-1 ;+99 imprime un encabeAamiento de
estado, indicando si est7 en Normal o -eguro en todos los mensa@es de a$ recibidos&
CSD 691<
6l .-1 ;+G9 tiene todo el poder de seguridad y de automatiAaci%n del .-1 ;+99, pero con
otro nivel de protecci%n ! un 'uA%n de .orreo 6lectr%nico con -eguridad& 6l buA%n
electr%nico provee la seguridad interna eliminando el peligro de =ue mensa@es de a$
conidenciales =ueden a la vista en la bande@a de salida de a$&
6l =ue envia y el =ue recibe el mensa@e de a$ encriptado pueden hacer =ue el mensa@e de
a$ sea almacenado en orma encriptada en el buA%n de la unidad receptora& Los mensa@es
almacenados son dados (descirados e impresos) solamente despu>s de la entrada de un
NFmero de Identiicaci%n ,ersonal v7lido, ,IN (,ersonal Identiication Number)&
6l .-1 ;+G9 apoya hasta *9 buAones y G)9 p7ginas de te$to& "ambi>n est7 disponible la
adici%n de memoria de alta capacidad& La memoria del buA%n est7 protegida y es retenida
en caso de interrupci%n en la energBa el>ctrica&
.alidad
".. est7 dedicada a productos y servicios de calidad& ".. est7 certiicada por I-5 H99G&
I-5 H99G otorgado por "0I es el est7ndar m7s riguroso para sistemas de calidad total en
diseDo/desarrollo, producci%n, instalaci%n y servicios