SEGURIDAD ACTIVA EN REDES

1. Ataques a travs de la red.

1.1. Actividades de reconocimiento de sistemas
Escaneo de puertos para determinar qu servicios se encuentran activos o bien un reconocimiento de
versiones de sistemas operativos.
1.2. Deteccin de vulnerabilidades en los sistemas
Tratan de detectar vulnerabilidades para tomar el control
del sistema mediante exploits).
1.3. Robo de informacin mediante la interceptacin de
mensajes.
1.4. Modificacin del contenido y secuencia de los
mensajes transmitidos.
Tratan de reenviar mensajes y documentos que ya haban
sido previamente transmitidos tras haberlos modificado de
forma maliciosa (por ejemplo, para generar una nueva transferencia bancaria contra la cuenta de la
vctima del ataque).
1.5. Anlisis del trfico.
Estos ataques utilizan herramientas como los sniffers.
En redes locales que utilizan switches, desde un equipo slo se
puede acceder a los mensajes broadcast y a los que ese equipo
enva y recibe, lo que en principio impide el acceso al trfico de
otros equipos. Pero un atacante podra llevar a cabo un ataque
conocido como MAC flooding para provocar un
desbordamiento de las tablas de memoria de un switch (tablas
denominadas CAM por los fabricantes, Content Addresable
Memory) para conseguir que pase a funcionar como un simple
hub y retransmita todo el trfico que recibe a travs de sus
puertos (al no poder recordar qu equipos se encuentran
conectados a sus distintas bocas o puertos por haber sido borradas
sus tablas de memoria).
Por otra parte, en las redes VLAN (redes locales virtuales) un atacante podra aprovechar el protocolo
DTP (Dynamic Trunk Protocol), utilizado para poder crear
una VLAN que atraviese varios switches, con el fin de saltar
de una VLAN a otra, rompiendo de este modo el aislamiento
fsico impuesto por la organizacin para separar sus distintas
redes locales.
1.6. Ataques de suplantacin de la identidad
IP Spoofing
Los ataques de suplantacin de la identidad presentan varias
posibilidades, una es el IP Spoofing mediante la cual un
atacante modifica los paquetes para simular que proceden de
un equipo distinto al que verdaderamente los ha
originado. As, por ejemplo, el atacante tratara de utilizar
una direccin IP que corresponde a otro equipo.

hijacking o secuestro, donde el atacante suplanta la IP de

la vctima y genera un nuevo mensaje con el nmero de
secuencia del prximo paquete de datos que va a
transmitir, para, por ejemplo, transferir dinero de la
vctima a su propias cuentas corrientes.

DNS Spoofing
Inyectan informacin falsa en el servidor de nombres, procedimiento conocido como envenenamiento de
la cach del servidor DNS, ocasionando con ello:
Redireccin de los usuarios del servidor DNS atacado a sitios web de Internet que simulan ser los
Websites reales.
La manipulacin de los servidores DNS tambin podra estar detrs de algunos casos de phishing,
on la intencin de obtener datos confidenciales, como sus claves de acceso.
Ataques de Denegacin de Servicio (DoS), al provocar la redireccin permanente hacia otros
servidores en lugar de hacia el verdadero, lo que impide que funcione el servicio DNS y con ello el
funcionamiento de la red atacada.
Los mensajes de correo podran ser redirigidos hacia servidores de correo no autorizados, donde
podran ser ledos, modificados o eliminados. Para ello, basta con modificar el registro MX (Mail
Exchanger) de la tabla de datos del servidor DNS atacado.
SMTP Spoofing.
El envo de mensajes con remitentes falsos para tratar de
engaar al destinatario o causar un dao en la reputacin
del supuesto remitente es otra tcnica frecuente de ataque
basado en la suplantacin de la identidad de un usuario. De
hecho, muchos virus emplean esta tcnica para facilitar su
propagacin, haciendo creer que el remitente es alguien
conocido. Asimismo, este tipo de ataque es muy utilizado
por los spammers.
En la actualidad, falsificar mensajes de correo resulta
bastante sencillo por las deficiencias de autenticacin del
protocolo SMTP As, un servidor configurado para aceptar
conexiones SMTP en el puerto 25 podra ser utilizado por
un usuario externo a la organizacin, empleando los comandos propios del protocolo, para que enve
mensajes que aparenten tener un origen seleccionado por el atacante cuando realmente tienen otro
distinto. No obstante, los servidores de correo tambin podran ser
configurados para no aceptar envos de mensajes desde equipos externos a
la red local.
Captura de cuentas de usuario y contraseas.
Tambin es posible suplantar la identidad de los usuarios mediante
herramientas que permitan capturar sus contraseas, como los
programas de software o los dispositivos hardware que permitan
registrar todas las pulsaciones en el teclado de un ordenador (keyloggers).
Por otra parte, mediante las tcnicas de Ingeniera Social un usuario podra ser engaado,
manipulado o chantajeado por una persona ajena a la organizacin para que le facilite sus contraseas
y claves de acceso.
1.7. Modificaciones del trfico y de las tablas de enrutamiento.
Al modificar las rutas, el trfico atravesar otros equipos facilitando de este modo el sniffing.
1.8. Ataques de Cross-Site Scripting (XSS).
Consisten en la ejecucin de cdigo Script (como Visual
Basic Script o Java Script). El atacante suplanta la identidad de
otro usuario en una navegacin contra un servidor web y enva
cadenas de texto al servidor formadas por cdigo en lenguaje
Script, que a su vez podra ser reenviado a la vctima dentro
de una pgina Web generada por el servidor como respuesta a
una determinada peticin, con la intencin de que este cdigo
se ejecutase en el navegador del usuario. No afectara por lo
tanto al servidor Web, pero s a algunos de los usuarios que
confan en l. Entre las posibilidades de ataque a travs de
Cross-Site Scripting podramos destacar las siguientes:
Obtencin de cookies e identificadores de usuarios, que permiten capturar sesiones y suplantar la
identidad de los afectados.

Robo de datos sensibles, como contraseas, datos

bancarios, etctera.

1.9. Ataques de Inyeccin de

Cdigo SQL.
El atacante incluye sentencias
SQL que el servidor acepta
por una vulnerabilidad o fallo.
Como consecuencia de estos
ataques se podra acceder no
slo a las tablas relacionadas
con la operacin de la
aplicacin del servidor Web, sino tambin
a otras bases de datos del mismo servidor Web. E incluso a la
ejecucin de comandos que tomen el control del sistema operativo
del servidor Web.
1.10. Ataques contra los sistemas criptogrficos
Los ataques de fuerza bruta, que tratan de explorar todo el
espacio posible de claves para romper un sistema criptogrfico.
Los ataques de diccionario, que combinan la fuerza bruta con
un diccionario en uno o varios idiomas que contiene una lista de
posibles contraseas: palabras de, nombres comunes, nombres de
localidades o accidentes geogrficos, cdigos postales, fechas del
calendario, etctera.
Los ataques contra el diseo del algoritmo.
Los ataques contra los dispositivos hardware o software que lo
implementan.
1.11. Fraudes, engaos y extorsiones
Se utiliza el trmino de phishing para referirse al tipo de ataques que tratan de
obtener los nmeros de cuenta y las claves de acceso a servicios bancarios.
Generalmente, se utilizan pginas Web falsas que imitan a las originales.
MS INFORMACIN
Estos datos podran ser utilizados para realizar ataques del tipo salami, consistentes en la
repeticin de gran cantidad de pequeas operaciones, como transferencias bancarias de importe
reducido, que podran pasar inadvertidas a nivel individual, pero que en conjunto ocasionan un
importante dao econmico.
los casos de chantaje y extorsin on-line se estn extendiendo en pases como Estados Unidos, a
tenor de los ltimos estudios publicados. En muchos de estos casos, los chantajistas aseguran tener informacin confidencial sobre
la empresa y amenazan con difundirla si no reciben una determinada cantidad de dinero.
Se ha podido comprobar que un porcentaje elevado de estas amenazas eran realizadas por un antiguo empleado de la propia empresa
con acceso a datos internos o, incluso, alguien de la competencia.
Tambin han aumentado los casos de extorsin a particulares a travs de Internet, consistentes en la publicacin o amenaza de
publicacin de alguna informacin difamatoria sobre la vctima, utilizando algn medio de la Red (pginas Web, foros, grupos de
noticias).

1.12. Denegacin del Servicio (Ataques DoS Denial of Service)

Los ataques de Denegacin de Servicio (DoS) consisten en cualquier mtodo que consiga impedir que un
servidor pueda ofrecer sus servicios, habitualmente:
Ejecutar algunas actividades que
produzcan un elevado consumo de los
recursos de las mquinas afectadas hasta
saturarlas.
Provocar el colapso de redes de
ordenadores mediante la generacin de
grandes
cantidades
de
trfico,
generalmente desde mltiples equipos.
Transmisin de paquetes de datos
malformados o que incumplan las reglas
de un protocolo, para provocar la cada
de un equipo que no se encuentre

preparado para recibir este tipo de trfico.

Los ms conocidos son:
Prograas bacteria, cuyo objetivo es replicarse dentro de un sistema informtico, consumiendo
la memoria. Se diferencia del gusano en que no busca replicarse por la red.
Envo masivo de miles mensajes de correo electrnico (mail bombing), provocando la
sobrecarga del servidor de correo y/o de las redes afectadas.
Ataque reflector (reflector attack), que genera un intercambio ininterrumpido de trfico
entre dos o ms equipos para disminuir su rendimiento.
Incumplimiento de las reglas de un protocolo. El mtodo ms conocido es SYN Flood. El cliente
enva multitud de peticiones de conexin al equipo vctima, pero no responde a la aceptacin de
la conexin por parte de este. El equipo vctima deja la conexin en estado de semi-abierta,
consumiendo de este modo recursos de memoria hasta quedar colapsado.
OTROS ATAQUES DOS.
Mediante el comando ping l 65510 direccion_equipo_victima, que enva un paquete IP de un tamao superior a los 65.536 bytes, provocando el reinicio o
cuelgue del equipo vctima que lo recibe (si no ha sido protegido frente a esta eventualidad).
Land Attack: debido a un error en la implementacin del protocolo TCP/IP en algunos sistemas Windows, se consigue colgar un equipo vulnerable mediante
el envo de una serie de paquetes maliciosamente construidos, en los que la direccin y el puerto de origen son idnticos a la direccin y el puerto de destino.
Supernuke o Winnuke: ataque contra algunos sistemas Windows, que se quedan colgados o disminuyen drsticamente su rendimiento al recibir paquetes
UDP manipulados (fragmentos de paquetes Out-Of-Band) dirigidos contra el puerto 137.
Teardrop: tipo de ataque consistente en el envo de paquetes TCP/IP fragmentados de forma incorrecta. Los equipos vulnerables que no hayan sido
conveniente parcheados se cuelgan al recibir este tipo de paquetes maliciosos.
Connection Flood: tipo de ataque que consiste en intentar establecer cientos o miles de conexiones simultneas contra un determinado servidor vctima del
ataque, con lo que se consumen sus recursos y se degrada de forma notable su respuesta ante usuarios legtimos. Este tipo de ataques se han lanzado con xito
contra los Websites de algunas empresas, como en el caso de la tienda de juguetes on-lineeToys, cuyo Website lleg a estar colapsado durante varios das por un
ataque coordinado llevado a cabo desde cientos de equipos.
Net Flood: ataque similar al que se ha expuesto anteriormente, consiste en el envo de trfico masivo contra una determinada red conectada a Internet, para
tratar de degradar su funcionamiento.
Smurf (pitufo): ataque DoS que se lleva a cabo mediante el envo de una gran cantidad de mensajes de control ICMP (Internet Control Message Protocol) de
solicitud de eco dirigidos a direcciones de difusin (direcciones broadcast), empleando para ello la direccin del equipo vctima del incidente, que se ver
desbordado por la cantidad de mensajes de respuesta generados en la red de equipos sondeados, que acta como una red amplificadora del ataque.
Bomba UDP: se considera un ataque del tipo reflector attack (ataque reflector), en el que se mplea el protocolo UDP (User Datagram Protocol) y uno de
los muchos servicios que responden a los paquetes que reciben para crear una congestin en la red que provoque el DoS, generando un flujo de paquetes UDP
continuo entre dos sistemas selecciona dos. As, por ejemplo, se podra elegir en el primer equipo el servicio chargen (es una herramienta de pruebas
disponible en el puerto 9, que genera una serie de caracteres),
mientras que en el segundo equipo se podra hacer uso del servicio echo (servicio disponible en el puerto 7, que responde a cada uno de los paquetes que
recibe), para de este modo conseguir un intercambio interminable de paquetes UDP entre los dos equipos, generando una especie de tormenta de paquetes
UDP. Para evitar este tipo de ataques conviene desactivar estos servicios en los equipos de la red, as como filtrar este trfico a travs de un cortafuegos.
Snork UDP: ataque similar al anteriormente descrito (bomba UDP), dirigido contra sistemas Windows. En este caso se emplea un paquete de datos UDP con
origen en el puerto 7 (servicio echo) o el puerto 19 (servicio chargen), utilizando como puerto de destino el 135, en el que se ubica elservicio de localizacin
de Microsoft a travs del protocolo NetBIOS. De este modo, se consigue un intercambio de paquetes UDP innecesario que reduce el rendimiento de los equipos
y de la red afectada. Se trata, por tanto, de otro ataque del tipo reflector attack.

1.13. Ataques de Denegacin de Servicio Distribuidos (DDoS)

Los Ataques de Denegacin de Servicio Distribuidos
(DDoS) se llevan a cabo mediante equipos zombis,
infectados por virus o troyanos que abren puertas
traseras y facilitan su control remoto por parte de
usuarios remotos. Estos usuarios maliciosos suelen
organizar ataques coordinados en los que pueden
intervenir centenares o incluso miles de estos equipos.
Los equipos zombis tambin estn siendo utilizados
por los spammers para la difusin masiva de sus
mensajes de correo no solicitados.
Incluso en algunos pases ya se han dado casos de
alquiler de redes zombi (conocidas como botnets)
para poder llevar a cabo ataques de Denegacin de
Servicio Distribuidos (DDoS). As, por ejemplo, en el
Reino Unido varios jvenes crackers alquilaban
redes con 30.000 ordenadores zombi por un precio de 100
dlares la hora para realizar ataques masivos de denegacin de
servicio.
Dos ataques clsicos de DDoS son
El ping de la muerte, que consiste en mandar numerosos
paquetes ICMP muy grandes (mayores a 65.535 bytes) con el
fin de colapsar el sistema atacado. Esta vulnerabilidad est
corregida actualmente.
El ataque SMURF (pitufo) consiste en que el atacante enva
un ping con la direccin de broadcast como destino y coloca
en el lugar de la IP del remitente la direccin del equipo a

atacar. En una red muy grande, todos responden a la vez al equipo vctima, saturndolo.

2. Tcnicas de seguridad activa en redes.

2.1 Cambiar la direccin MAC.
Puede hacerse de varias maneras, la ms sencilla mediante un programa: etherchange
para Windows y machanger para Linux y Windows.
Desde Linux tambin puede hacerse con los siguientes comandos:
sudo su
ifconfig eth0 down
ifconfig eth0 hw ether 02:01:02:03:04:08
ifconfig eth0 up

2.2 Uso de MAC e IP SPOFING

Para realizar esta prctica debemos primero

descargarnos el programa CAIN Y ABEL de
http://www.oxld.it/cain.html.

Can envenena las tablas ARP de 2 ordenadores

que se estn comunicando. Para ello inserta en
las tablas ARP de ambos ordenadores una
entrada que une la MAC del equipo atacante con
la IP del interlocutor respectivo de cada equipo.
El resultado es que los mensajes que uno de los
equipos atacados enva al otro se envan
realmente al pc atacante. Este recoge la informacin recibida y nos la muestra.

el programa CAIN tiene ahora que enrutar el paquete que acaba de interceptar y
envirselo al equipo destinatario, que lo recibir creyendo a su vez que viene del
emisor y no ha sido interceptado.
El proceso se repite para cada uno de los
mensajes que intercambian los ordenadores
atacados.
Lgicamente, al trabajar con direcciones MAC,
CAIN solo podr utilizarse en el mbito de una
red local, pero s que puede captar todos los
accesos a Internet de un ordenador realizando el
spoofing entre este y su puerta de enlace
predeterminada.
CAIN funciona con hubs o switches que no
posean caractersticas especficas para detectar
este tipo de ataques y estn activadas.

Procedimiento.
1.
Instalar CAIN.
2.
Para trabajar con CAIN, el equipo atacante debera desactivar su cortafuegos.
3.
Configurar las ventanas de la figura. En una activamos el sniffer y el APR
cada vez que se arranca el programa y en la otra establecemos la IP y MAC del
equipo que hace el envenenamiento de MAC. Existen 2 modos: el marcado, en
el que utilizamos la IP y MAC reales del atacante, y la inferior, en el que
empleamos una IP diferente, que no debe existir lgicamente en la red, y una
MAC que tampoco existe. Por defecto viene establecida la MAC de la imagen,
pero
es
posible
cambiarla
accediendo
a
HKEY_CURRENT_USER\Software\Cain\Settings.

Tambin es posible establecer con qu frecuencia se envan datos envenenados

a las tablas ARP de los equipos atacados,
por defecto cada 30 segundos.
Nota importante: A veces, el programa no nos deja
modificar la IP que Cain contiene del equipo.
Cuando esto sucede, es preciso entrar en el registro
del
sistema,
en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\I
nterfaces\<AdapterID> y comprobar que ah hay una configuracin de IP anterior, se
cambia y listo.
MAC SPOOFING.
Pulsamos en sniffer y APR.
Activamos los botones de ambos, arriba a la izquierda.
La ventana de arriba nos mostrar lo que sucede en la cara lan y la de abajo en la wan.
Pulsamos el botn + e introducimos 2 ip-MAC correspondientes a los equipos que
queremos atacar, situados en nuestra red.
Podremos ir viendo el trfico interceptado entre ambos equipos.

SPOOFING de DNS.
Podemos realizarlo pulsando la opcin APR-DNS y registrando una entrada que hace
que el equipo atacante intercepte las peticiones dns del atacado y sustituya la IP que el
servidor DNS ha suministrado a una peticin por otra que nosotros queramos.

El resultado ser que el atacado pide una pgina web y recibe otra pgina situada en un
servidor cuya IP hemos suministrado nosotros.

INTERCEPTAR UNA SESIN TELNET

Despus de activar el envenamiento MAC, pinchamos el botn PASSWORD y
activamos la opcin TELNET. El resultado es que seguimos todo lo que se comunican
los equipos, pudiendo obtener la clave del usuario que se conecta con telnet.

============================================
=== Cain's Telnet sniffer generated file ===
============================================
' Welcome to Microsoft Telnet Service
' P ' '
SFUTLNTVER SFUTLNTMODE'
login: '

SFUTLNTVER 2 SFUTLNTMODE Consoleaaddmmiinniissttrraaddoorr

password: pepitogrillo

ANSI [1;1H*===============================================================
[2;1HBienvenido a Telnet Server de Microsoft.
[3;1H*===============================================================
[4;1HD:\Documents and Settings\Administrador>
[5;1H [K [6;1H [K [7;1H [K [8;1H [K [9;1H [K [10;1H [K [11;1H [K [12;1H [K [
13;1H [K [14;1H [K [15;1H [K [16;1H [K [17;1H [K [18;1H [K [19;1H [K [20;1H [K
[21;1H [K [22;1H [K [23;1H [K [24;1H [K [25;1H [K [4;41Hddiirr
[5;2HEl volumen de la unidad D no tiene etiqueta. [6;2HEl nmero de serie del volumen es: C0F60D01 [8;2HDirectorio de D:\Documents and Settings\Administrador [10;1H10/10/2010 15:35
<DIR>
. [11;1H10/10/2010 15:35 <DIR>
.. [12;1H03/10/2010 19:31 <DIR>
Escritorio [13;1H19/05/2010 18:46 <DIR>
Favoritos [14;1H10/10/2007 22:11 <DIR>
Men Inicio [15;1H15/10/2010 10:09 <DIR>
Mis documentos [16;16H0 archivos
0
bytes [17;16H6 dirs 151.367.680 bytes libres [19;1HD:\Documents and
Settings\Administrador>ccdd [19;44H
[19;43H
[19;42H [19;42H
[19;41H [19;41H ccdd
[19;44Heessccrriittoorriioo
[21;1HD:\Documents and Settings\Administrador\Escritorio>ddiirr
[1;1H Directorio de D:\Documents and Settings\Administrador
[2;1H [K [3;1H10/10/2010
15:35 <DIR>
.
[4;1H10/10/2010 15:35 <DIR>
..
[5;1H03/10/2010
19:31 <DIR>
Escritorio [6;1H19/05/2010 18:46 <DIR>
Favoritos [7;1H10/10/2007
22:11 <DIR>
Men Inicio [8;1H15/10/2010 10:09 <DIR>
Mis documentos
[9;16H0
archivos
0 bytes [10;1H
6 dirs 151.367.680 bytes
libres [11;1H [K [12;1HD:\Documents and Settings\Administrador>cd
escritorio [13;1H [K [14;1HD:\Documents and Settings\Administrador\Escritorio>dir [15;1H El
volumen de la unidad D no tiene etiqueta.
[16;2HEl nmero de serie del volumen es: C0F6-0D01
[17;1H [K [18;2HDirectorio de D:\Documents and

Settings\Administrador\Escritorio [19;1H [K [20;1H03/10/2010 19:31 <DIR>

. [21;1H03/10/2010 19:31 <DIR>
..
[22;16H0 archivos
0 bytes [23;16H2
dirs 137.433.088 bytes libres [25;1HD:\Documents and Settings\Administrador\Escritorio>ccooppyy
[25;57Hccoonn [25;61Hpprruueebbaa
[K [25;1Hddffaasdsdffadadsfsfaasdfsdf
[K [25;1Haadsfdsfaasdsdffaadfdfaasdsd
[K [25;1H ^Z
1 archivos copiados. [K
[K
D:\Documents and Settings\Administrador\Escritorio> [K [25;52Heexxiitt

2.3 OPCIONES DE SEGURIDAD DEL

SWITCH D-LINK DGS 1224T
Smartconsole: utilidades de monitorizacin y
control del switch para realizar desde un equipo en
el que se instalan. Permite ver todos dispositivos
conectados al switch y monitorizar los sucesos
asociados a aquellos que hemos elegido.
Traps: active la intercepcin de sucesos y los enva a la IP que se enva en la
configuracin
Port setting nos permite establecer un control de
flujo en los puertos que indiquemos para evitar que se
saturen por un envo excesivo de tramas.
Control de password de acceso.
IGMP Snooping el snooping es una forma de sniffing
que no utiliza el modo promiscuo. Aqu se refiere a
observar el funcionamiento del protocolo IGMP de
multicast con el fin de evitar saturaciones.
STP spanning tree protocol, protocolo que incluyen
los switches de cierto nivel para que, cuando estn
interconectados no se produzcan tormentas de
broadcast por comunicaciones redundantes entre
varios switches. STP crea una estructura jerrquica de
comunicacin entre switches que evita la redundancia
Port mirroring, uno de los ms interesantes, pues nos
permite redireccionar todo lo que entra o sale (o ambas cosas) a uno o ms puertos hacia
otro puerto al que est conectado el ordenador del administrador con un sniffer. De esta
manera, el sniffer trabaja en modo promiscuo con las ventajas de velocidad y seguridad
de un switch.
En las imgenes, se ha configurado el port mirroring para que el equipo 92.168.1.2,
conectado al switch, reciba la informacin del resto de los puertos, a los que estn

conectados 192.168.1.21 y el router 192.168.1.1. Puede observarse como en medio de

las tramas del 192.168.1.2 aparece un ping desde 192.168.1.21 y su respuesta del router.

Broadcast storm control y Loopback detection,

activados evitan la generacin de tormentas de
broadcast, especialmente si no est activado STP.
Configuracin 802.1x permite utilizar este estndar de
seguridad de red, de modo que un puerto no dar acceso
al equipo conectado hasta que este cumpla con las
condiciones de seguridad y validacin que se le exigen.
Tablas MAC estticas.
Por una parte, es posible aqu habilitar el autoaprendizaje y memorizacin de parejas
MAC-IP de equipos conectados a cada puerto.
Por otra, podemos establecer direcciones MAC estticas a cada puerto.

En la configuracin de la imagen, se ha establecido que el puerto 2 no realice

autoaprendizaje, por otra parte, que la mac esttica asociada a ese puerto es aabbccddeff
de manera cualquier equipo con una mac distinta que se conecte al puerto quedar
inhabilitado.
Dynamic forwarding table configuration: muestra la configuracin de la tabla de
encaminamiento dinmico vinculada a cada uno de los puertos, es decir los equipos que
fsicamente estn conectados ahora mismo. Podemos utilizarla para establecer las MAC
estticas a partir de ella.

QoS, Bandwith control o control del ancho de banda. Nos permite asignar anchos de
banda a cada puerto con el fin de evitar el abuso por parte alguien y favorecer las
necesidades especiales de los equipos conectados a un puerto.
OPCIONES SECURITY
Safeguard engine solucin de DLINK para controlar el packet flooding as como
ataques de virus y gusanos.
Trusted host: establece cul es el equipo del administrador, para que desde ningn otro
pueda manipularse el swtich.
Port security establece un nmero mximo de MAC que puede aprender el switch en
cualquiera de sus puertos.
Dos attack prevention.
Contempla un conjunto
de tpicos ataques de
denegacin de servicio
que el switch puede
detectar si le prevenimos
para ellos.
ARP spoofing prevention.
Establece las parejas MAC-IP
permitidas para cada uno de los
puertos con el fin de evitar el
mac spoofing.
DHCP Server screening. Se asegura de slo puedan suministrar direcciones IP los
servidores DHCP cuyas IP se describan aqu.

Smart binding settings. Para los puertos especificados, controla que las parejas IPMAC hayan sufrido alguna alteracin en la red.

Smart binding. Establece automticamente las parejas MAC-IP para que las pasemos
directamente a su lista blanca y tener un binding automtico.

Lista blanca y negra: los anteriores pasarn a formar parte de una lista blanca, que
puede modificarse y los que no cumplan estarn en la negra.

2.4 RESUMEN DE ATAQUES Y SOLUCIONES CAPAS 2 Y 3

En OSI cada capa funciona independiente de las dems. Por lo tanto, una capa puede ser comprometida sin que las dems lo noten.
ATAQUES BASADOS EN MAC Y ARP (CAPA 2)
ATAQUE
DESCRIPCIN
SOLUCIONES
ARP SPOOFING Manipular una MAC. ARP no proporciona
Asignar una MAC a cada puerto
ningn mecanismo de seguridad para reservar las
Utilizar un IDS como SNORT o PATRIOT o
direcciones IP o MAC
PATRIOT o PATRIOT
Utilizar software especfico como ANTIARP
Restringir las tramas broadcast a segmentos
de la red bien controlados utiilizando puentes
o routers
Utilizar aplicaciones que mantienen las
parejas IP-MAC en la configuracin de
algunos switches y routers.
ARP FLOODING Saturar de direcciones MAC la tabla CAM del
Limitar el ancho de banda que puede entrar
switch. Recibe el nombre de CAM table overflow.
por los puertos comprometidos del switch.
Cuando esto sucede, el switch deja de comportarse
Utilizar aplicaciones especficas del switch
como tal (enviando cada trama por el puerto que
como SAFEGUARD ENGINE.
corresponde) y se comporta como un HUB,
Utilizar un IDS como SNORT o PATRIOT
enviando cada trama por todos los puertos. El
Limitar el n de tramas broadcast a recibir por
resultado es que es posible acceder a la
los puertos
informacin que otros equipos se envan entre s.
El programa iniciaL para simular esto se llama
macof, actualmente incluido en la herrarmiento
dsniff.
ARP
Consiste en envenenar las tablas ARP de otros
Asignar una MAC a cada puerto
POISONING
equipos con asociaciones MAC-IP falsas, hechas
Utilizar un IDS como SNORT o PATRIOT
para los intereses del atacante
Utilizar software especfico como ANTIARP

SWITCH PORT
STEALING
MAN IN THE
MIDDLE

SECUESTRO O
HIJACKING
DENIAL OF
SERVICE o
DENEGACIN
DE SERVICIO
Ataques a VLAN

Ataques a
spanning tree

El atacante consigue redireccionar las tramas

dirigidas hacia un puerto de switch hacia su puerto
El atacante engaa a 2 equipos o un equipo y un
router envenenando sus tablas ARP para que
ambos le enven las tramas que deberan enviarse
entre s. El resultado es que el atacante monitoriza
y manipula toda la informacin que viaja entre los
2 equipos.
Sustituir a un equipo o servidor hacindose pasar
por l: utiliza spoofing y poisoning
Cualquier forma de inutilizar un servicio de un
servidor. Puede hacerse de muchas maneras, en el
nivel de capa 2 o 3 asignando una ip o mac
inexistente a un servidor, evitando as que se pueda
acceder a l
Suplantando los trunks, haciendo pasar a un
equipo por un swtich, cambiando las etiquetas de
las vlan

Suplantando la cabecera del rbol

Restringir las tramas broadcast a segmentos

de la red bien controlados utilizando puentes
o routers
Utilizar aplicaciones que mantienen las
parejas IP-MAC en la configuracin de
algunos switches y routers.
Contrasea de administrador del switch robusta
Utilidades como TRUSTED ADMINISTRATORS
Asignar una MAC a cada puerto
Utilizar un IDS como SNORT o PATRIOT
Utilizar software especfico como ANTIARP
Restringir las tramas broadcast a segmentos
de la red bien controlados utilizando puentes
o routers
Asignar una MAC a cada puerto
Utilizar un IDS como SNORT o PATRIOT
Utilizar software especfico como ANTIARP
Restringir las tramas broadcast a segmentos
de la red bien controlados utilizando puentes
o routers

desactivar el auto trunking para todas las

interfaces
desactivar los puertos no utilizados y
colocarlos en una una vlan no utlizada
nunca utilizar la vlan1
Utilizar software especfico para evitar
ataques a STP

protocol
ATAQUES BASADOS EN CAPAS 3 Y 4
ATAQUE
DESCRIPCIN
DHCP
Un equipo en la red se presenta como un servidor
SPOOFING/
DHCP alternativo al real, ofreciendo IP falsas del
FLOODING/
router, del servidor DNS, puerta de enlace, etc, y
POISONING
secuestrar as las sesiones con la tcnica man-in-themiddle.
Tambin puede saturar la lista de IP del servidor
correcto envindole peticiones falsas.
Igualmente puede envenenar las tablas ARP de los
clientes para que no se dirijan a l sino al servidor
falso.
DNS
SPOOFING
DENEGACI SYN FLOOD: inundar al servidor con peticiones de
N DE
conexin TCP no respondidas
SERVICIO
ICMP FLOOD Y SMURF: inundar al servidor con
peticiones ping
UDP FLOOD: dem con peticiones UDP

SOLUCIONES
Algunos switches pueden dar servicio DHCP
y establecer por qu puertos puede o no
llegar servicio DHCP.
Restringir las tramas broadcast a segmentos
de la red bien controlados utilizando puentes
o routers
Asignar una MAC a cada puerto
Utilizar un IDS como SNORT o PATRIOT
Utilizar software especfico como ANTIARP
Restringir las tramas broadcast a segmentos
de la red bien controlados utilizando puentes
o routers
Configurar cortafuegos del router o switch
Configurar el servidor para que deje de
aceptar peticiones cuando esto sucede
Utilizar un IDS
Configurar el cortafuegos para que no
responda a peticiones ping
Configurar cortafuegos del router o switch
Configurar el servidor para que deje de
aceptar peticiones cuando esto sucede
Utilizar un IDS

En las figuras, 2 ejemplos

de configuracin para
evitar las amenazas de
capas 2 y 3 en un router:

En la primera, el
router
mantiene
el
enlace (binding) entre
las IP y MAC de la red,
de forma que detectar e
impedir
cualquier
intento de alterarlas.

En la segunda,
podemos activar la
defensa contra 3 formas
de ataques DoS.

2.5 SSH o (SECURE SHELL)

La aparicin de problemas de seguridad en el protocolo Telnet, que lo han convertido en un
medio inseguro para acceder a un equipo, ha dado lugar a que este protocolo est deshabilitado
por defecto en la mayor parte de los sistemas.
Para sustituirlo por otro medio de administrar remotamente equipos, apareci ssh. Ssh es un
protocolo exclusivo para equipos Linux, que se ha desarrollado con el mismo fin que telnet.
Ssh y x-windows. Se llama x-windows a la posibilidad de utilizar un entorno grfico. A travs
de l podemos realizar sesiones grficas como la del escritorio remoto de Windows, pero con
equipos Linux. Para ello son precisos programas espciales como nx o xmin.
Existen versiones de ssh para Windows, con las que podemos montar un servidor ssh en un
equipo con ese sistema operativo.

A travs de ssh podemos utilizar el servicio ftp, como hicimos con telnet, pero con mayor
seguridad, para ello existe un cliente especial llamado winscp.

2.6 VPN O REDES PRIVADAS VIRTUALES.

Una VPN es un tnel establecido a travs de una red WAN, normalmente Internet,
que comunica de forma exclusiva y cifrada ante accesos indebidos, a dos extremos.
Aunque no es habitual, se pueden utilizar VPN dentro de una red local, lo que
garantiza una comunicacin cifrada y segura entre los equipos implicados.

La tunelizacin consiste en coger las

tramas que funcionan por la red local en
el formato correspondiente al tipo de
LAN que se emplea (por ejemplo, IEEE
802.3 con protocolo NetBeui) y
encapsularlo en un formato especial
adecuado para Internet. Cuando los
mensajes llegan al otro extremo del
tnel se les quitan la cabecera y cola
que les permiti viajar por el tnel y
entran en el equipo o red destinatarios
como un mensaje ms de la red local.
De esta manera, lo que estamos
haciendo es simular conexiones de red
local entre equipos situados a distancias imposibles para una LAN.
Situaciones en que pueden utilizarse.
Conexin de un usuario local a un servidor. Su mayor ventaja es el ahorro de
costes, ya que se realiza a precio de llamada local.
Conectar dos redes corporativas, cada una con un acceso dedicado a internet.
Conectar 2 equipos independientes, bien sea a travs de internet, o bien sea dos
equipos que comparten el canal con otros en una red local. Esta ltima posibilidad
se emplea para aprovechar la encriptacin de la VPN, que ocultara el contenido de
los datos enviados por la red si desde un tercer equipo se emplea un analizador de
protocolos para acceder a ellos.
VPN y niveles OSI.
El envo de datos por un medio inseguro como es internet requiere un sofisticado
sistema de encriptacin de datos, cuyo resultado es que la transmisin tenga la
seguridad de una red privada.
En un tnel se emplean protocolos de nivel 2 y 3.

En el nivel 2 son PPTP (Protocolo punto a punto de tunelacin), L2TP (Protocolo de

capa 2 de tunelacin) y L2F (Reenvo de capa 2). Estos se encargan de crear, mantener
y eliminar el tnel, de forma semejante a los protocolos de capa 2 en otros tipos de
redes.
En el nivel 3 se emplea habitualmente IP para realizar sus funciones habituales.
PPTP es un protocolo menos seguro que L2TP, siendo ms recomendable este ltimo.
La falta de seguridad del protocolo IP ha dado lugar a un estndar de cifrado de datos en
datagramas IP llamado Ipsec. Adems, pueden utilizarse otros protocolos de
autenticacin que garanticen ms seguridad, como EAP, CHAP o MS-CHAP.

Proceso de creacin del tnel.

Comienza cuando los extremos negocian las caractersticas de compresin y
encriptacin de datos, as como el mtodo de autenticacin empleado.
Se crea la conexin punto a punto sobre la que se monta el tnel.
El cliente es autenticado por el servidor con alguno de los protocolos de
autenticacin vistos ms arriba.
Posteriormente, el servidor remoto validar la entrada del usuario comprobando
su nombre y contrasea. Finalizada esta fase, comienza la transmisin de datos,
que son encapsulados en el origen, comprimidos y encriptados, para sufrir el
proceso inverso al llegar a su destino.
Terminada la transmisin, el tnel es eliminado junto con la conexin.

Puertos utilizados por los protocolos anteriores.

Cada protocolo anterior emplea un puerto para su funcionamiento, que debe estar
reservado, si queremos tener un servidor VPN conectado a internet, en el router que sale
a internet. Por lo tanto, deberemos reservar estos puertos en el router para que NAT
trabaje adecuadamente y permita pasar los mensajes. Los puertos son:
PPTP utiliza el puerto TCP 1723
L2TP utiliza el puerto 1701 UDP

Estructura de una trama PPTP capturada con un sniffer. Podemos ver cmo, detrs de las cabeceras de
la capa de red se incluye una cabecera PPP y a continuacin, en azul, el contenido de la trama cifrado.

PASOS PARA MONTAR UN

SERVIDOR VPN
1. Asegurarse de que est instalado
Active Directory, y si no lo est
instalarlo. Crear los usuarios
que vayan a entrar como
clientes VPN. Para que lo hagan
es necesario activar una casilla
al efecto en la pestaa
marcado de las propiedades
de la cuenta.
2. Instalar, si no lo estuviera, el servicio de enrutamiento y acceso remoto. Entrar a
configurarlo,
activar
personalizado, y activar slo la
casilla acceso VPN. Arrancar el
servicio, y dentro de las
propiedades del servidor de
acceso remoto, entrar en la
pestaa IP y establecer el rango
de direcciones IP que el servidor
suministrar a los clientes que se
conecten.
3. Para trabajar en un entorno de

red local, bastara con configurar una nueva conexin en el ordenador cliente.
Conexiones de red -> nueva conexin ->conectarse a mi lugar de trabajo ->
conexin de red privada virtual -> suministrar la IP o nombre DNS del servidor
y conectarse con el usuario creado anteriormente.
4. Si el servidor VPN va a dar servicio a travs de un router, ser necesario adems
configurar ste abriendo el puerto correspondiente y vinculando este puerto con
la IP privada del servidor.

2.7 IDS (SISTEMA DE DETECCIN DE INTRUSOS)

Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o
a una red. Estos accesos pueden ser ataques de hackers, o de Script Kiddies que usan
herramientas automticas.
El IDS suele tener un sniffer de red y
otros elementos de software para detectar
anomalas que pueden ser indicio de la
presencia de ataques.

Script kiddie es un trmino despectivo utilizado

para describir a aquellos que utilizan programas y
scripts desarrollados por otros para atacar
sistemas de computadoras y redes. Es habitual
asumir que los script kiddies son mayormente
adolescentes(no todos, solo la mayora) sin
habilidad para programar sus propios exploits, y
que su objetivo es intentar impresionar a sus
amigos o ganar reputacin en comunidades de
entusiastas de la informtica. Suelen tener
intenciones maliciosas

Las reglas (rules) de un IDS es un

conjunto de normas que le indican qu
incidencias debe dejar pasar y cules
pueden suponer un riesgo para el
sistema. Estas reglas vienen en su mayora preinstaladas por el fabricante y se bajan
peridicamente de la web de ste sus actualizaciones. Pero tambin podemos escribir
nosotros reglas adaptadas a las caractersticas de nuestro sistema y aadirlas al fichero
comn.
El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico
de red, el cual al entrar al analizador es comparado con
firmas de ataques conocidos
comportamientos sospechosos
alteraciones MAC-IP
escaneo de puertos
paquetes malformados, etc.
El IDS no slo analiza
qu tipo de trfico es,
sino que tambin revisa el
contenido
y
su
comportamiento.
Normalmente esta herramienta
se integra con un firewall. El
detector de intrusos es incapaz de
detener los ataques por s solo,
excepto
los
que
trabajan
conjuntamente con un firewall,

convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y
el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los
paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso
fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de
un ataque o intento del mismo.
Existen dos tipos de sistemas de deteccin de intrusos:
HIDS (HostIDS): el principio de
funcionamiento de un HIDS, depende del
xito de los intrusos, que generalmente
dejaran rastros de sus actividades en el
equipo atacado, cuando intentan aduearse
del mismo, con propsito de llevar a cabo
otras actividades. El HIDS intenta detectar
tales modificaciones en el equipo afectado,
y hacer un reporte de sus conclusiones.
NIDS (NetworkIDS): un IDS basado en
red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en
modo promiscuo capturando as todo el trfico de la red.

Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusin, almacena la
informacin y manda una seal de alerta que se almacena en una base de datos.
En un sistema reactivo, el IDS responde a la actividad sospechosa
reprogramando el cortafuegos para que bloquee trfico que proviene de la red
del atacante.
Es posible optar por una solucin hardware,
software o incluso una combinacin de estos
dos. La posibilidad de introducir un elemento
hardware es debido al alto requerimiento de
procesador en redes con mucho trfico.
Dentro de las soluciones software, podemos
instalar un programa especfico de IDS en
cada uno de los equipos o un programa para el
conjunto de la red.
En este ltimo caso, el IDS se instala en un
equipo en forma de servidor dedicado y se
sita en un punto de paso obligado de toda la
informacin, por lo que necesita 2 interfaces
de red. Las soluciones gratuitas estn
fundamentalmente desarrolladas para Linux.
La ms conocida se llama Snort. Requiere
bastante trabajo de administracin.

EL IDS PATRIOT
Se trata de un IDS para Windows de uso gratuito, proporcionado por Microsoft. Tiene
el completo conjunto de controles que puede verse en la imagen adjunta, obtenida del
panel de control del programa. Eso no impide que sea un software muy sencillo y
limitado en cuanto a sus prestaciones.
Cada vez que se produce una conexin o un intento de sta, Patriot nos informa del
suceso dndonos la oportunidad de eliminarla.
Pulsando en el botn derecho del icono de Patriot en la barra de tareas podemos
actualizar la lista de reglas del servidor que suministra el programa.
Las reglas se encuentran en el fichero badtraffic.ini. Si el usuario quiere aadir reglas
propias, debe hacerlo en el fichero ownrules.ini ubicado en la misma carpeta. Existe un
tercer fichero llamado desrports.ini en el que figuran los puertos que deben ser
monitorizados cuando se recibe un intento de conexin.
En la figura de abajo, el contenido del fichero badftraffic.ini con las reglas del IDS

2.8 SEGURIDAD WIFI

Repaso de tecnologas WIFI
PROTCLO. FRECCIA. ALCANCE
802.11a
5Ghz
50 m

802.11b

2.4 Ghz

100 m.

802.11g
802.11n

2.4 Ghz
100 m.
5Ghz y 2.4 100 m.
Ghz

VELOCIDAD OTROS
54 Mbs
Sensible a obstculos
Pocas interferencias por la
banda
11Mbs
Interferencias por la banda
Menos sensible a obstculos
54 Mbs
Semejantes al anterior
600 Mbps
Mejora sobre los anteriores
Hay productos pre-n

ESTNDARES DE SEGURIDAD WIFI

ESTANDAR
WEP

WPA PERSONAL
o WPA-PSK

DESCRIPCIN
Utiliza una clave que las estaciones deben
conocer para autenticarse ante el punto de
acceso.
La comunicacin se cifra con la clave y una
secuencia aleatoria llamada vector de
inicializacin, utilizando una algoritmo de
cifrado llamado RCA
Creada antes de la aparicin del estndar
IEEE802.11i
Las estaciones deben conocer una clave comn
con la que se autentican ante el AP.
Esta clave no vuelve a utilizarse.
Las estaciones negocian con el AP claves
diferentes que adems cambian cada cierto
tiempo.
Utiliza cifrado TKIP

WPA
PROFESIONAL

Evita el uso de claves compartidas de acceso de

los anteriores.
Utiliza para ello un servidor Radius, que debe
estar instalado en un equipo de la red local.
El servidor Radios se encarga de permitir o
denegar el acceso de los equipos a la red.
Se crean cuentas en la base de datos de Radius
de los puntos de acceso y los usuarios que
acceden desde los equipos

WPA 2
PERSONAL
(WPA2-PSK) y
PROFESIONAL

Creada tras la aparicin del estndar

IEEE802.11i
Es como los 2 WPA anteriores con algunas
mejoras, como la aparicin del estndar de
cifrado AES, mejor que TKIP

VENTAJAS

INCONVENIENTES
Al utilizar una clave
comn para todos los
puestos, presente en todas
las comunicaciones, se
descifra fcilmente

SOLUCIONES
Utilizar una clave lo ms larga
posible
Cambiar la clave con la mayor
frecuencia posible
Mantener una lista de direcciones
MAC de los equipos

La clave comn slo se

transmite en el momento de la
autenticacin.
Cada estacin tiene una clave
propia que adems cambia con
una
frecuencia
que
establecemos nosotros.
Lo ms seguro para una
pequea red sin un tener que
utilizar un servidor Radius
Es el sistema ms seguro que
existe en la actualidad

TKIP es un buen cifrado

pero es mejorable.
Se emplean ataques de
fuerza
bruta
y
con
diccionario

La clave debe ser muy larga para

dificultar los ataques de fuerza
bruta y no utilizar palabras
existentes para evitar ataques por
diccionario.

Los anteriores ms la
posibilidad de utilizar AES,
mucho ms robusto.

Igual que los anteriores

Precisa el uso de un equipo

que haga de servidor
Radius, su instalacin,
configuracin
y
mantenimiento

2.9 SERVIDOR RADIUS

Es la solucin ms segura para wifi, implementada
en el estndar wpa y wpa2 Professional. El acceso
de las conexiones inalmbricas a la red cableada es
aceptado o denegado mediante este servidor, que
est instalado en un equipo ubicado en un punto
que pueda controlarlas.
Aunque existen soluciones Radius para Windows,
el sistema operativo natural es Linux.
Se crean cuentas en la base de datos de Radius de
los puntos de acceso y los usuarios que acceden
desde los equipos.
El inconveniente de este sistema es la necesidad
de instalar y mantener el servidor Radius en un
equipo, algo excesivo para pequeas redes.
Tambin es posible utilizar servidores Radius
exclusivamente para seguridad en redes cableadas.
La red cableada, la inalmbrica y el servidor Radius se conectan a un switch que tenga
prestaciones Radius o a un router que las tenga, para que regule el acceso. En nuestro
caso, utilizaremos un router y uno o ms puntos de acceso segn muestra la figura.

INSTALACIN Y CONFIGURACIN DE UN SERVIDOR

RADIUS
1. Entrar con el usuario administrador de Linux y ejecutar apt-get install freeradius.
2. Entrar en el fichero /etc/init.d/freeradius /users y escribir los nombres de
usuarios
y
contraseas
sandokan
Cleartext-Password := "laperladelabuan"
que van a
utilizar quienes se conecten desde los equipos.
3. Entrar en el fichero /etc/init.d/freeradius
/clients. conf para dar de alta a cada uno de
los puntos de acceso o routers que vayan a
funcionar con el servidor radius. Para cada
uno de estos es necesario introducir su IP y el
secret que es una contrasea que debe
figurar tambin en la configuracin de esos
puntos de acceso.
client 192.168.10.1 {
secret
= prueba
4. Configurar ahora el router. Aqu
shortname
= prueba-wpa
establecemos:
}
el tipo de estndar WPA o WPA2
shortname
= prueba-wpa
la encriptacin: TKIP o AES
}
el secret, en el ejemplo prueba
Podemos habilitar un servidor DHCP si queremos dar IPes en la red cableada.
5. Configurar ahora los puntos de acceso,
si los hay. Aqu debemos prestar
especial atencin a:
Que coincida el tipo de estndar WPA
o WPA2
Que coincida la encriptacin: TKIP o
AES
el modo de autenticacin, que debe ser PEAP
no utilizaremos certificados digitales
no utilizaremos el nombre y
contrasea de Windows, sino los que
tecleamos nosotros.
6. Arrancar
el
servidor
radius:
/etc/init.d/freeradius. Observar si al
arrancarlo se producen errores, en caso
de que sea as, entrar en /var/log/freeradius
a buscar el log de los errores del servicio y
encontrar la causa del problema.
7. Instalar y configurar la tarjeta inalmbrica

de forma que sea compatible con las

caractersticas establecidas en el
punto 5.