Cap 2 Seguridad TCP IP

1. Objetivos.
2. Materiales y recursos.
3. Contenidos.
3.1. Conceptos generales.
3.1.1. Protocolos.
3.1.2. Direcciones IP.
3.1.3. Máscara IP.
3.3.4. Shocket.
3.3.5. DHCP.
3.3.6. Dominios y sistemas de nombres de dominio.
3.2. Puertos de comunicación.
3.2.1. Clasificación de los puertos.
3.2.2. Detección del estado de los puertos.
3.2.2.1. Detección usando el sistema operativo.
3.2.2.2. Detección mediante un escaneado on-line.
3.2.2.3. Detección mediante herramientas específicas.
3.3. Ataques a la conexión y a los puertos de comunicación.
3.3.1. Escaneo de puertos.
3.3.1.1. Fundamentos de comunicación entre dos
ordenadores.
3.3.1.2. Tipos de escaneo de puertos.
3.3.1.3. Técnicas de escaneo de puertos según el protocolo
empleado.
3.3.2. Ataques por intercepción de paquetes y sobre protocolos.
3.3.3. Denegación de servicio.
3.3.4. Denegación de servicio distribuido.
3.3.4.1. Herramientas utilizadas para ataques DDoS.
3.3.4.2. Ejemplo de ataque DDoS.
3.3.4.3. Defensas contra ataques DoS/DDoS.
3.4. Cortafuegos.
3.4.1. Clasificación de los cortafuegos.
3.4.2. Cortafuegos comerciales.
3.4.2.1. Cortafuegos para Windows.
3.4.3. Outpost Personal Firewall Pro
3.4.3.1. Características generales.
3.4.3.2. Trabajando con Outpost Personal Firewall Pro.
3.4.3.3. Comparativas de Outposte Personal Firewall Pro con
otros cortafuegos.
3.5. Sistemas de detección de intrusos.
3.5.1. Componentes de un IDS.
3.5.2. Tipos de IDS.
3.5.3. Colocación de los IDS.
3.5.4. Snort.
3.5.5. GFI Languard Security Event Log Monitor (S.E.L.M.).
4. Resumen.
SEGURIDAD EN LOS PUERTOS Unidad 3
¬ Saber qué función desempeñan los protocolos, direcciones IP, DNS y los
puertos de comunicación.
¬ Conocer los grupos de puertos y los ataques que pueden ir dirigidos a
ellos.
¬ Saber identificar los tipos de ataques contra la conexión y los protocolos.
¬ Conocer y manejar las herramientas de detección de escaneo de
puertos.
¬ Conocer qué es un cortafuegos, los tipos existentes y la instalación y
manejo de uno de ellos.
¬ Conocer en qué consiste un sistema de detección de intrusos y los tipos
más importantes.
Para el estudio de los contenidos de esta unidad y la realización de sus

actividades se utilizará el siguiente software:
¬ Comandos del sistema operativo (netsat, telnet, etc.).

¬ Herramientas de escaneado de puertos on-line.
¬ Herramientas específicas de escaneado de puertos: pcSuper Scanner,
Advanced Port Scanner y SuperScan.
¬ Ethereal. Programa para monitorizar el tráfico de red.
¬ Cortafuegos personales: Zone Alarm Pro, Agnitum Outpost Pro, McAfee
Personal Firewall, Sygate Personal Firewall, Kerio Personal Firewall.
¬ IDS GFI LANguard Security Event Log Monitor
El éxito indiscutible de Internet se debe al revolucionario sistema de

comunicación que existe entre los millones de ordenadores de los usuarios
conectados.
Si la finalidad de esta unidad es saber cómo protegerse de los ataques que

intentan apoderarse de nuestra dirección IP, aprovecharse de los puertos
abiertos de nuestro ordenador para conseguir los datos confidenciales de
nuestro disco duro o utilizar nuestro ordenador como señuelo para acceder a la
información de servidores más importantes es necesario conocer cómo
funciona la comunicación que tiene lugar cuando nos conectamos a Internet.
Los protocolos de comunicación son conjuntos de reglas que deben cumplir los
dispositivos que desean establecer comunicación entre sí. Los protocolos de
SEGURIDAD EN INTERNET 119

Unidad 3 SEGURIDAD EN LOS PUERTOS
comunicación se dividen en varios niveles. De hecho, el estándar OSI

establece hasta siete niveles, de los cuales, nos interesan principalmente dos:
el nivel de transporte y el nivel de red.
El protocolo de nivel de transporte original era NCP (Network Control Protocol),

diseñado para la red ARPANET (la red origen de Internet) y funcionó hasta que
el progresivo crecimiento con otras redes dio lugar a Internet. Este crecimiento
provocó que se fuera degradando la fiabilidad extremo a extremo de la red,
surgiendo la necesidad de un nuevo protocolo para el nivel de transporte, el
Protocolo de Control de transmisión o TCP (Transmision Control Protocol),
diseñado especialmente para tolerar subredes no fiables. Es un protocolo que
se caracteriza por estar orientado a la conexión, la cual queda establecida
cuando un nodo determinado comienza a enviar paquetes a otro nodo. Todos
los paquetes entre ambos nodos circulan por una ruta única y fija durante todo
el tiempo que dura la conexión de forma que si en un momento dado alguno de
los enlaces o enrutadores que forman parte del circuito virtual tiene algún
problema, la conexión entre los nodos origen y destino queda interrumpida.
A principios de los ochenta se introdujo un nuevo protocolo de nivel de red, el

Protocolo de Internet, IP. Se trata de un protocolo no orientado a conexión cuya
función es el direccionamiento de los paquetes suministrados por la capa de
transporte.
Los protocolos más utilizados en Internet son los siguientes:
TCP/IP (Transmission Control Protocol/Internet Protocol). Este protocolo

describe dos tipos de mecanismos de software empleados para posibilitar la
comunicación libre de errores entre múltiples ordenadores. TCP/IP es el
lenguaje común de Internet, el que permite que diferentes tipos de ordenadores
utilicen la red y comuniquen unos con otros independientemente de la
plataforma o sistema operativo que usen. Aunque menciona implícitamente solo
a dos, en realidad está formado por más de 100 protocolos de comunicaciones
de bajo nivel (TCP, IP, ICP, UDP, ICMP, PPP, SLIP, RARP, SMTP, SNMP,
etc.).
UDP (Universal Data Packet). Protocolo de transporte de datagramas, o sea de

los pequeños paquetes que forman la información que se transfiere de y hacia
nuestra computadora a través de Internet.
ICMP (Protocolo de mensajes de control de Internet). Es una extensión del

Protocolo de Internet (IP), y permite generar mensajes de error, paquetes de
prueba y mensajes informativos relacionados con IP. Básicamente, se usa para
comprobar la existencia de la máquina consultada.
120 SEGURIDAD EN INTERNET

Entre los conceptos aportados por el protocolo IP están las denominadas

direcciones IP, encargadas de identificar de manera única cada máquina o
nodo dentro Internet. Esta identificación se realiza gracias a un formato
(datagrama) que reparte los 32 bits de longitud de cada dirección en dos
bloques de campos: cabecera y datos. En el bloque de cabecera es donde se
especifican la dirección IP de la fuente (el nodo que intenta establecer
comunicación) y la dirección IP del destino (el nodo con el que se quiere
comunicar).
Ver Hlen TOS Longitud Total

Identificación Flags Desp. De
Fragmento
TTL Protocolo Checksum
Dirección IP de la Fuente
Dirección IP del Destino
Opciones IP (Opcional) Relleno
DATOS
Las direcciones IP son números de 32 bits (por tanto, comprendidos entre 0 y

232) con una estructura formada por cuatro números separados por puntos.
Para representar cada uno de estos números se utilizan ocho bits y, por tanto el
rango es de 0 a 255. Esta es la denominada notación numérica con puntos y de
este modo, la dirección 198.74.168.12 corresponde exclusivamente a un nodo
de Internet distinto a todos los demás. En Internet no puede haber dos
ordenadores con la misma IP.
La dirección IP más pequeña es la 0.0.0.0 y la mayor es 255.255.255.255.
Dependiendo del tamaño y del número de ordenadores (y por tanto el número

de direcciones IP) que conectan existen cinco clases de redes. Las tres
primeras, además, tienen en cuenta la longitud del campo red y del campo
ordenador. La clase a la que pertenece una dirección puede ser determinada
por la posición del primer 0 en los cuatro primeros bits.
o . Característica de grandes redes formadas por un elevado

número de ordenadores.
o . Característica de redes de tamaño medio formadas por un
número medio de ordenadores.
o Característica de redes pequeñas formadas por pocos
ordenadores. Por ejemplo una red de área local.
o . Característica de redes de multitransmisión o multicasting en
las cuales el paquete IP se envía de forma simultánea a un conjunto de
máquinas que por ejemplo pueden estar cooperando de alguna manera
mediante la utilización de una dirección de grupo.
o Reservado para el futuro.

Longitud Longitud Posición Máximo Nº máximo

Rango campo campo primer 0 nº de de
Clase
direcciones IP RED HOST redes ordenadores
por red
De 0.0.0.0 a 7 bits 24 bits 1 128 16777216

A
127.255.255.255
De 128.0.0.0 a 14 bits 16 bits 2 16384 65536

B
191.255.255.255
De 192.0.0.0 a 21 bits 8 bits 3 2097152 256

C
223.255.255.255
De 224.0.0.0 a 4
D
239.255.255.255
De 240.0.0.0 a 5
E
247.255.255.255
Para que las máquinas bajo TCP/IP sepan cómo y por dónde enviar un
mensaje se utiliza la máscara que no es más que una serie de 4 números,
similar al formato de una dirección IP, que ejecutado bit a bit con una dirección
IP, le indica al sistema si esta dirección IP pertenece a la subred local - y por
tanto es alcanzable mediante broadcast - o no pertenece a la subred local, y
por tanto el mensaje TCP, hay que enviarlo al gateway o puerta de enlace de
nuestra red. Si la máscara está mal en algunos de los equipos, pueden suceder
problemas de todo tipo.

Por ejemplo, la dirección 192.168.0.21 con mascara 255.255.255.0 indica que

son alcanzables en la subred local todas las maquinas de dirección 192.168.0.x
(siendo x cualquiera) y que cualquier otra máquina es alcanzable únicamente
enviando el paquete al gateway por defecto.
Un socket es un canal de comunicaciones entre dos host que se comunican

entre sí mediante TCP. Por tanto, un socket queda totalmente definido por 4
números: la dirección IP y el puerto de la máquina origen y la dirección IP y el
puerto de la máquina destino.
Por ejemplo, cuando se visualiza una página web, los datos que vemos en la
pantalla de nuestro ordenador han viajado a través del socket que se ha
establecido entre la máquina origen (la dirección IP de www.mentor.mec.es por
ejemplo) y el puerto 80 (que es el puerto utilizado para comunicar con los
servidores web), y la dirección IP de la máquina destino (nuestra IP) y un puerto
cualquiera que el navegador ha seleccionado en ese momento del rango de los
puertos libres en nuestra máquina.
Es el mecanismo estándar que permite que un servidor DHCP sea capaz de

suministrar automáticamente direcciones IP a las máquinas que se conectan
sin dirección IP.
Aunque en un principio la dirección IP debe ser única en Internet, por desgracia

no existen suficientes direcciones IP para poder ser asignadas a todos los
usuarios y menos aún, si se quiere distribuir las direcciones IP por rangos. Por
ello, los proveedores de Internet suelen tener asignado un rango de direcciones
y lo normal es que cada ordenador no tenga asignada su dirección IP en la
conexión telefónica. Nuestro proveedor de Internet dispone de un servidor
DHCP que nos asignará una dirección en ese momento, de su rango de
direcciones libre.
Para más información consultar la página de Wikipedia. (Ver dirección en el

apartado de materiales de la mesa de trabajo).
A cada usuario en Internet se le asocia una dirección Internet única, formada

por el identificador de usuario y el identificador del ordenador o dominio en que
se encuentra, separados ambos por el carácter arroba (@).La sintaxis general
de cualquier dirección Internet es: IDENTIFICADOR_USUARIO@DOMINIO.
Existen dos tipos de dominios de nivel más alto: dominios de tipo organización
y dominios de tipo geográfico.
En los dominios de tipo organización el tipo de asignación de direcciones IP

empleado corresponde a un tiempo anterior a cuando Internet pasó a ser una

red internacional. Contienen definiciones del tipo de organización a la que

pertenece el ordenador (educativa, comercial, militar, etc.).
La tabla siguiente muestra el nombre y significado de los más importantes.
.com Organización comercial
.edu Institución educativa
.gob Institución gubernamental
.int Organización internacional
.mil Organización militar
.net Organización de red
org Organización sin ánimo de lucro
Veamos un ejemplo: en la hipotética dirección sosinternacional@host55.org, el

identificador de usuario es sosinternacional y el dominio host55.org.
Dentro del dominio hay que distinguir el dominio de nivel más alto, org, que
indica que el servidor pertenece a una organización sin ánimo de lucro y el
subdominio, host55, que indica el nombre específico del ordenador que utiliza
ese usuario.
Los dominios geográficos se caracterizan porque el nivel más alto se refiere a

una localización geográfica. La siguiente tabla muestra algunos ejemplos.
Ar Argentina Mx México
Br Brasil Ca Canadá
Cu Cuba Es España
Fr Francia Uk Reino Unido
Us Estados Unidos Jp Japón
No Noruega De Alemania
It Italia Ch Chile

Los (Domain Name Server) son grandes ordenadores distribuidos por toda
la web, que comprueban el nombre de dominio y lo convierten a una dirección
IP. De esta forma el usuario solo debe recordar nombres y no números.
Al tratarse de un servicio, para poder utilizarlo hay que indicar a nuestros

programas dónde encontrar al servidor correspondiente, información que es
proporcionada por el proveedor de acceso a Internet. No obstante, en las
conexiones por MODEM (y las actuales ADSL para usuarios domésticos) la
dirección IP que se asigna a nuestra máquina es dinámica, es decir, en el
proceso de conexión, el servidor de nuestro proveedor nos asigna una dirección
IP temporalmente, válida durante esa conexión concreta y que cambiará la
próxima vez que nos conectemos. Sin embargo, nuestra dirección Internet no
se ve alterada. El servidor DNS de nuestro proveedor se preocupará de traducir
en cada ocasión la parte de dominio de nuestra dirección Internet a la dirección
IP que tengamos asignada en ese momento.
Para poder visualizar todos estos parámetros hay que ejecutar el comando
IPCONFIG que, con el parámetro /all permite obtener los resultados mostrados
en la figura 3.2.
Ejecuta el comando IPConfig, primero sin parámetros y, a continuación, con

el parámetro /all. Interpreta los resultados obtenidos.

Cuando cualquier ordenador establece una conexión con Internet pasa a formar
parte de la inmensa red de ordenadores y se diferencia del resto por su
dirección (Internet Protocole) un número formado por cuatro grupos de
cuatro cifras del estilo xxx.xxx.xxx.xxx.
Ahora bien; dependiendo del servicio elegido (web, e-mail, FTP, etc.) la
comunicación con el servidor se realiza abriendo un puerto de comunicación
diferente en cada caso. Así por ejemplo, cuando se abre una página web, el
servidor que contiene dicha página atiende la petición abriendo el puerto 80;
cuando se establece conexión con un servidor de FTP, éste lo hace a través del
puerto 21.
Por tanto, los puertos de comunicación o simplemente los puertos pueden

definirse como los puntos de conexión que se establecen entre el ordenador
que solicita información (cliente) y el ordenador encargado de proporcionarla
(servidor). Ambos ordenadores, mediante el protocolo TCP/IP identifican las
direcciones IP y, dependiendo del servicio, abren los puertos de comunicación
correspondientes. Hay que resaltar que los puertos carecen de significación
física y, por tanto, es inútil intentar localizarlos en cualquier parte del ordenador.
Existen más de 65000 puertos diferentes que pueden clasificarse en tres

grupos:
‚ (Internet Assigned Number Authority). Son los primeros

1024 y se conocen por este nombre porque dicha asociación fue la que
les asignó a cada uno de ellos, las características de comunicación
(utilidad, protocolo, etc.). También se conocen como “puertos más
conocidos” y en Internet encontramos listados de los mismos.
‚ . Son los comprendidos entre el 1024 y el 49151.
También poseen unas características definidas pero que no han sido
estandarizadas por la IANA.
‚ . Son los comprendidos entre el 49151 y el
65535. No están asignados.
‚ . Pertenecen a los tres tipos anteriores y reciben
este nombre porque son los utilizados por defecto por este tipo de
malware. Su número de asignación y los troyanos que tienden a
utilizarlos pueden encontrarse en Internet.
En Internet podemos encontrar listados de los puertos. (Ver dirección en el

apartado de materiales de la mesa de trabajo)
Es conveniente tener un conocimiento de los mismos pues cualquier atacante

que intente tener control sobre nuestro ordenador necesita tener a su
disposición una puerta abierta para poder comunicarse, es decir, un puerto de
comunicaciones abierto.
Un puerto puede estar en cualquiera de los tres estados siguientes:

‚ En este estado, el puerto es capaz de aceptar conexiones. Hay

una aplicación escuchando en este puerto lo que no significa que se
tenga acceso a la aplicación, sólo que hay posibilidad de conectarse.
‚ . En este estado, el puerto rechaza la conexión. Probablemente
no hay aplicación escuchando en este puerto, o no se permite el acceso
por alguna razón. Este es el comportamiento normal del sistema
operativo.
‚ . En este estado no hay respuesta por parte del
puerto. Es el estado ideal para un cliente en Internet ya que, de esta
forma, ni siquiera se sabe si el ordenador está conectado. Este
comportamiento es debido a dos posibles causas: a la existencia de un
cortafuegos o a que el ordenador se encuentra apagado.
En una (Universal Resource Locator) los puertos se identifican con los dos
puntos ':' a continuación del nombre de la máquina, por ejemplo:
http://www.detodounpoco.es:80/agenda.html significa que el documento
agenda.html es solicitado mediante el servicio http conectándose al puerto 80
de este servidor. Como 80 es el puerto por defecto utilizado para http puede
omitirse sin problemas.
Tener un puerto abierto siempre es un peligro ya que los puertos son puntos de
acceso a aplicaciones que pueden tener vulnerabilidades que pueden ser
aprovechadas por otros usuarios. Por tanto, para tener un cierto nivel de
seguridad hay que tener en cuenta el siguiente par de recomendaciones:
‚ Permitir el acceso sólo a los servicios que sean imprescindibles, dado

que cualquier servicio expuesto a Internet es un punto de acceso
potencial para intrusos. Por ejemplo, si no se va a utilizar el servicio FTP
es conveniente tener cerrado el puerto 21 que es el que utiliza dicho
servicio. Las aplicaciones de tipo cliente, como un navegador web, un
cliente de correo electrónico, o de chat (IRC) no necesitan tener puertos
abiertos.
‚ Mantener los puertos en funcionamiento para no dar facilidades
a los intrusos que suelen utilizar herramientas capaces de efectuar
escaneos aleatorios de direcciones IP y puertos por Internet, intentando
identificar las características de los sistemas conectados y creando
bases de datos que más tarde serán vendidas a través de Internet.
Cuando descubren alguna vulnerabilidad, están en disposición de atacar
rápidamente a las máquinas que se sabe que son del tipo vulnerable. Si
los puertos no responden (estado de bloqueo) se frena el escaneo de los
mismos ya que las herramientas de escaneo disponen de un límite de
tiempo, una vez sobrepasado el cual, se descarta el intento de conexión.
Para asegurar el funcionamiento de los puertos de nuestro ordenador es

preciso disponer de una información sobre los mismos que nos permita conocer
si somos vulnerables a ataques remotos (puertos abiertos), o si alguna
aplicación no deseada (como un caballo de Troya) esta utilizando nuestros
puertos de forma inadvertida. Las dos acciones a realizar son las siguientes:
‚ Detectar el estado de los puertos.

‚ Defendernos de posibles ataques
Para detectar el estado de los puertos de nuestro ordenador en un momento

determinado es posible utilizar cualquiera de estos tres métodos:
‚ Detección usando el sistema operativo.

‚ Detección mediante un escaneado on-line.
‚ Detección mediante herramientas específicas de escaneado de puertos.
Del mismo modo que anteriores versiones de Windows, Windows XP también

incorpora el comando NETSTAT que hay que ejecutar de la forma netstat –an
previo seguimiento de la secuencia
Para comprobar qué conexiones están establecidas lo más
conveniente es cerrar todas las aplicaciones antes de ejecutar esta orden e ir
desde el principio comprobando que conexiones tenemos y cuales se van
abriendo. La figura 3.3 muestra el resultado obtenido.
El significado de cada una de las columnas que aparecen en el listado es el

siguiente:

‚ Indica el protocolo utilizado para la comunicación por cada una de

las conexiones activas (TCP/UDP).
‚ Indica la dirección origen de la
conexión y el puerto.
‚ Indica la dirección de destino y el
puerto.
‚ Indica el estado de dicha conexión en cada momento.
Los principales estados son:
Listening (Listen). El puerto está escuchando en espera de una

conexión.
Established. La conexión ha sido establecida
Close_Wait. La conexión sigue abierta, pero el otro extremo nos

comunica que no va a enviar nada más.
Time_Wait. La conexión ha sido cerrada, pero no se elimina de la

tabla de conexión por si hay algo pendiente de recibir.
Last_ACK. La conexión se está cerrando.
Closed. La conexión ha sido cerrada definitivamente.
La columna muestra las direcciones IP de conexión de nuestro

ordenador. Como puede observarse en la figura 3.1, además de la IP asociada
a nuestra conexión a Internet, los ordenadores utilizan una dirección IP interna,
denominada loopback, utilizada para realizar pruebas y para la comunicación
entre diversos procesos en la misma máquina. Esta dirección es la 127.0.0.1 y
también se le suele asignar el nombre localhost.
Ahora hay que ir comprobando todas las conexiones que tenemos, qué están
haciendo y qué puerto están utilizando (se identifican porque van después del
signo : ). En el momento que identifiquemos un puerto de troyanos (consultar el
listado de puertos de troyanos) cuyo estado sea ESTABLISHED sabremos con
toda seguridad que estamos siendo víctimas de la actividad de de algún
troyano.
Ejecuta NETSTAT y comprueba el estado de las conexiones de los puertos

de tu ordenador.
Este tipo de escaneo se realiza de forma instantánea a través de páginas web

que contienen herramientas capaces de chequear nuestro ordenador.

Alternativamente a los dos tipos de detectores del estado de los puertos de

comunicación de nuestro ordenador existen una serie de herramientas que
permiten un escaneo más manejable.
Dependiendo de su flexibilidad a la hora de poder elegir rangos de direcciones

IP y de puertos, las herramientas utilizadas para el chequeo de puertos son
más o menos fiables.
A continuación propongo tres de ellas, todas gratuitas:

‚ pcSuper Scanner
‚ Advanced Port Scanner
‚ SuperScan
pcSuper Scanner
Esta herramienta realiza un escaneo automático de los 65535 puertos

detectando los que se encuentran abiertos.
El escaneo realizado por esta aplicación no admite ningún tipo de modificación

y el resultado obtenido debe ser similar al mostrado en la figura 3.4.

Advanced Port Scanner
Esta herramienta, disponible en Internet, (ver dirección en el apartado de materiales de

la mesa de trabajo), es más completa que la anterior ya que permite, desde el
escaneo más sencillo (los puertos más conocidos o puertos IANA) hasta
escaneos que utilizan tanto rangos de direcciones IP como rangos de puertos.
La figura 3.5 muestra el resultado obtenido cuando se realiza un escaneo

sencillo de los primeros 1025 puertos. Como se observa, basta con introducir la
dirección IP (si es dinámica se puede conocer en todo momento mediante
cualquiera de las consultas on-line de la sección 3.2.2.2 o páginas específicas
como la vista en el apartado de Navegación anónima del tema 2) y tener
activados los iconos Mostrar puertos abiertos (punto verde) y Mostrar
ordenadores activos y hacer clic sobre el botón scan.
También se puede seleccionar un rango de direcciones IP (caso de una red

local donde los ordenadores que la componen tienen direcciones IP
consecutivas) activando la casilla Use range así como realizar un escaneo para
un rango determinado de puertos, tal y como se observa en la figura 3.6.

SuperScan
Sin duda alguna, esta herramienta, disponible de forma gratuita en Internet (Ver
dirección en el apartado de materiales de la mesa de trabajo) es bastante completa
ya que además de chequear los puertos del ordenador, permite realizar pings,
efectuar traceroutes o utilizar whois para averiguar el nombre de host de una
determinada dirección IP.
Soporta ilimitados rangos de direcciones IP. Detecta el host usando múltiples

métodos ICMP. Presenta los resultados en un sencillo formato HTML. Muestra,
a partir de una completa base de datos, las funciones de cada puerto TCP y
UDP.
Su funcionamiento no puede ser más sencillo: en primer lugar pulsar sobre la

pestaña Host and Service Discovery y seleccionar el tipo de escaneo Connect
para el escaneo de puertos TCP. A continuación hay que introducir la dirección
IP dinámica (para saber cual es podemos visitar la dirección de Internet dada en el apartado
de Navegación anónima del tema 2) o rango de direcciones IP (si se trata de una
LAN) y hacer clic sobre el botón PLAY. Los resultados obtenidos se visualizan
en pantalla, tal y como muestra la figura 3.7 o en formato HTML, haciendo clic
sobre el botón View HTML Results.
Como se deduce de los resultados mostrados, lo primero que se obtiene es el

nombre del host (Hostname) y los puertos UDP existentes. A continuación se
comprueba el número de host activos y el total de puertos TCP y UDP abiertos.

Instala los tres escaneadores de puertos vistos en la sección anterior y

ejecútalos en tu ordenador, procurando interpretar los resultados obtenidos.
De acuerdo a lo visto hasta el momento, tanto la dirección IP como los puertos

de comunicación de nuestro ordenador pueden ser la puerta de entrada de
numerosos ataques realizados por desaprensivos que se dedican a espiar
continuamente los ordenadores conectados a Internet.
No obstante no hay que ser alarmistas y tener algunas cosas bien claras:
‚ Nadie puede hacer nada en nuestro ordenador si no estamos

conectados a la red.
‚ Al conectarse a la red, nuestro ordenador adquiere una dirección IP de
tipo dinámico y que, por tanto, será diferente cada vez que nos
conectemos.
‚ Quien quiera atacarnos tendrá que conocer previamente nuestra
dirección IP.
‚ Una vez conocida la IP deberá encontrar puertos abiertos, o sea, deberá
encontrar algún programa en nuestro ordenador que esté a la escucha,
esperando que alguien se conecte con él.

‚ Hay puertos abiertos que son totalmente inofensivos pero hay otros que
pueden permitir el control total de nuestro ordenador. Cuantos menos
tengamos abiertos, mejor.
‚ Si nuestro ordenador forma parte de una red de Windows y tenemos NT,
2000 o XP, mejor que 95-98, debemos poner contraseñas a nuestros
recursos y no dejar nada sin proteger, pensando en todo momento como
si no estuviéramos solos en la red.
Los tres tipos de ataques dirigidos a la conexión y a los puertos de

comunicación son los siguientes:
‚ Escaneo de puertos.
‚ Ataques por intercepción de paquetes y sobre protocolos.
‚ Ataques de denegación de servicio.
Una de las primeras acciones que cualquier atacante emprenderá contra

cualquier ordenador o redes de ordenadores conectados a Internet será, sin
duda alguna, un escaneo de puertos (en inglés, un portscan).
En caso de éxito, esto le va a proporcionar información sobre los servicios que

se ejecutan en nuestro ordenador u ordenadores, qué sistema operativo
tenemos instalado, características de la red local de la que forma parte nuestro
ordenador, etc. Claro que, para que todo esto pueda tener lugar el atacante
(intruso, hacker) tiene que descubrir qué puertos están abiertos ya que sabe
perfectamente que cada puerto abierto en una máquina es una potencial puerta
de entrada a la misma.
El escaneo de puertos consiste en efectuar repetidos intentos de conexión a un

determinado número de máquinas remotas para descubrir si existen puertos
abiertos en alguna de ellas. Puesto que el rasgo distintivo de cada máquina
conectada a Internet es su dirección IP, el escaneo de puertos se realizará
seleccionando un rango de direcciones IP (consecutivas en un primer momento
y no consecutivas si existe algún tipo de cortafuegos) y los puertos de cada una
de ellas.
Comprobar el estado de un determinado puerto es a priori una tarea muy

sencilla e incluso es posible llevarla a cabo desde la línea de comandos usando
una herramienta tan genérica como telnet. Así, por ejemplo, si se desea
conocer el estado del puerto 3200 en la máquina cuya dirección IP es
192.168.0.2 hay que introducir la orden de la figura 3.8.

La respuesta ha sido contundente, produciéndose un error en la conexión al

cabo de cierto tiempo. Esto es lo normal. Acertar con un puerto abierto de un
host cuya dirección IP es arbitraria hubiera sido como si tocara la lotería.
Pero si se conoce la IP de la máquina, las posibilidades de éxito son enormes y

si el usuario no tiene instalada la protección necesaria (un cortafuegos o
firewall) estaría a punto de convertirse en víctima.
Si por el contrario el puerto estuviera abierto pero no hay ningún programa

atendiendo peticiones, la respuesta hubiera sido similar a la siguiente:
C:\>telnet 192.168.0.2 3200

Conectándose a 192.168.0.2... Imposible conectar con el
host remoto en puerto 3200. Conexión rechazada.
Por último, si el puerto estuviera protegido por un cortafuegos, lo más probable

es que no se obtenga respuesta alguna; el telnet lanzado se quedará
intentando la conexión hasta que se produzca un timeout o hasta que lo
detengamos manualmente.
C:\>telnet 192.168.0.2 3200

Conectándose a 192.168.0.10...
^C
C:\>
Por lo general, nadie en su sano juicio usaría telnet para realizar un escaneo de
puertos masivo contra un sistema o contra toda una red. Para este cometido
existen multitud de herramientas muy conocidas en ambientes hackers que
pueden realizar esta tarea de una forma más o menos cómoda y automatizable.
Antes de seguir adelante es conveniente saber qué ocurre cuando se establece

la comunicación entre dos ordenadores bajo la tecnología o modelo
Cliente/Servidor, utilizada por todas las aplicaciones de Internet/Intranet en la
cual, un cliente funciona en su ordenador local, se comunica con el servidor
remoto y pide a éste información. El servidor envía la información solicitada y, a
la vez, sirve a una multitud de clientes, ahorrando a cada uno de ellos el
problema de tener la información instalada y almacenada localmente.
El servidor que escucha todo lo que llega a sus puertos se identifica por medio
de su dirección IP y de un puerto determinado. El cliente establece la conexión
con el servidor a través de dicho puerto, que deberá estar abierto y disponible.
Antes de comenzar el intercambio de datos se realiza, bajo el protocolo TCP,

una operación de saludo (handshake) cuya finalidad es reconocerse
mutuamente. Dicho saludo tiene lugar en tres pasos (protocolo de acuerdo de
tres vías):
1. El cliente ‘dice’ al servidor que quiere comunicarse con el enviándole un

segmento SYN (Synchronize Sequence Number).

2. El servidor, siempre y cuando esté abierto y escuchando, al recibir este

segmento SYN envía un acuse de recibo al cliente activando su propio
indicador SYN. En caso de que el servidor esté cerrado envía un
indicador RST.
3. El cliente comprueba la respuesta mediante paquetes ACK (de
reconocimiento), así como el estado del servidor (si se encuentra
disponible o no) y dependiendo de ello comienza el intercambio datos.
Una vez finalizada la transferencia se realiza otra operación en tres pasos pero
con paquetes FYN en vez de SYN.
Los escaneadores de puertos actuales implementan diferentes técnicas que

permiten detectar desde la versión del sistema operativo usado en la máquina
atacada hasta pasar inadvertidos ante diferentes sistemas de detección de
intrusos.
Existen diferentes aproximaciones para clasificar los escaneos de puertos,
tanto en función de las técnicas seguidas en el ataque como en función de a
qué sistemas o a qué puertos concretos va dirigido.
Dependiendo del número de máquinas y puertos que se desea escudriñar, el

escaneo puede ser:
‚ Escaneo . En este tipo de escaneo, el intruso intenta buscar la

disponibilidad de determinado servicio en las diferentes máquinas de
una red; por ejemplo, si el hacker dispone de un exploit que aprovecha
un agujero en el cliente de correo, lo lógico es que trate de averiguar qué
máquinas aceptan peticiones SMTP en un determinado segmento para
posteriormente atacar a dichos sistemas.
‚ Si por el contrario, al hacker sólo le interesa escanear los puertos de una
máquina, al ataque se denomina escaneo
‚ Si comprueba todos los puertos del sistema, al escaneo se le denomina
‚ Si sólo lo hace contra determinados puertos o rangos, se le denomina

(en referencia al programa del mismo nombre).
Según las técnicas utilizadas, el escaneo puede ser: , y .
‚ El escaneo (abierto) se basa en el establecimiento de una conexión

TCP completa mediante el conocido como
(three-way handshake), una técnica que consiste en que el
escaneador intenta establecer una conexión con un puerto concreto del
host atacado y, en función de la respuesta obtenida, conoce su estado.
Se trata de una técnica rápida, sencilla y fiable que no necesita de
ningún privilegio especial en la máquina atacante pero que resulta muy
fácil de detectar y detener.
‚ El escaneo (semiabierto) se caracteriza porque el intruso
finaliza la conexión antes de que se complete el protocolo de acuerdo de
tres vías lo cual dificulta la detección del ataque por parte de algunos
detectores de intrusos muy simples (casi todos los actuales son capaces
de detectarlos). Esta técnica es la utilizada por los escaneos SYN,

fácilmente detectables y que pueden ser bloqueados por cualquier
cortafuegos aunque existe una variación de esta técnica denominada
en la que entra en juego una tercera máquina
denominada `tonta' (por el poco tráfico que emite y recibe) que es
utilizada por el intruso para camuflar su origen real.
‚ El escaneo (invisible) comprende un conjunto de técnicas de
escaneo que cumplen alguna de las siguientes condiciones:
o Son capaces de eludir las reglas del control de acceso establecidas

por el cortafuegos.
o No pueden ser registradas por sistemas de detección de intrusos, ni
orientados a red ni en el propio host escaneado.
o Son capaces de simular tráfico normal y real para no levantar
sospechas ante un analizador de red.
1. . Se trata de un escaneo tipo open

mediante el cual se intenta establecer una conexión con un puerto
concreto del host atacado mediante la llamada CONNECT y, en función
de la respuesta obtenida, conoce su estado. No necesita de privilegios
especiales y se realiza a gran velocidad. Es un método fácilmente
detectable ya que apenas se realice un NETSTAT se observará una gran
cantidad de conexiones y mensajes de error realizadas por una máquina
que se conecta y desconecta continuamente.
2. . Es un escaneo de tipo semiabierto ya que no llega a

establecerse una conexión TCP completa. Básicamente consiste en
enviar un paquete SYN como si se tratara de entablar una
conexión TCP completa y esperar una respuesta. Se puede recibir un
SYN|ACK si el puerto está escuchando o un RST si el puerto está
cerrado. Si se recibe un SYN|ACK en respuesta, inmediatamente se le
envía un RST. Pocos sistemas están preparados para detectar este tipo
de ataques. En UNIX se necesitan privilegios de administrador para
construir estos paquetes SYN.
3. . Es un escaneo de tipo stealth. La mayoría de los

cortafuegos y filtros de paquetes actuales son capaces de escuchar y
detectar los paquetes SYN en algunos puertos. En cambio los paquetes
FIN pueden penetrar sin mayor problema. La idea consiste en que al
enviar un paquete FIN si el puerto esta cerrado nos va a devolver un
RST, y si el puerto esta abierto nos va a ignorar. Esto se debe a un error
en las implementaciones TCP que, por suerte, no funciona al 100%. La
mayoría de los sistemas parecen susceptibles excepto los sistemas
Microsoft que son inmunes.
4. . Utiliza el protocolo IDENT que permite

averiguar el nombre de usuario y el dueño de cualquier servicio que se
esté ejecutando dentro de una conexión TCP. Por ejemplo podemos
conectarnos al puerto http y usar ident para averiguar qué esta

ejecutando la víctima como administrador; esto solo es posible

estableciendo una conexión TCP completa. También se conoce como
REVERSE DNS.
5. . No se trata de una técnica en si misma, sino

de una modificación de otras técnicas que consiste en hacer una división
de los paquetes que se envían con objeto de no ser detectados por los
cortafuegos. Para ello se puede realizar tanto un escaneo tipo SYN
como otro tipo FIN procurando que los paquetes que se envían estén
fragmentados. De esta forma van quedando en la cola y no son
detectados por los cortafuegos ni por los filtradores de paquetes.
6. . En lugar de enviar paquetes completos de

sondeo, se parten en un par de pequeños fragmentos IP. Así es más
difícil de monitorizar por los filtros que pudieran estar ejecutándose en el
sistema atacado. Esta técnica puede producir caídas de rendimiento
tanto en el sistema del cliente como en el del servidor, por lo que lo
hacen detectable.
7. . El protocolo FTP permite lo que se llama

conexión Proxy FTP que consiste en conectarse a un servidor FTP
desde un servidor proxy, establecer una conexión y enviar un archivo a
cualquier parte de Internet. Esto es aprovechado por los atacantes para
realizar escaneos de tipo sigiloso, ya que se realizan detrás de un
firewall (el del proxy), lo que implica que sean difíciles de rastrear. Por
suerte son lentos y poco usados.
8. . Lo que varia
significativamente de esta técnica con respecto a las otras es que se
utiliza el protocolo UDP (Universal Data Packect) que, a pesar de ser
más simple que el TCP, al escanear se vuelve sumamente complejo.
Esto se debe a que si un puerto está abierto no tiene porqué enviar un
paquete de respuesta y si está cerrado tampoco tiene porqué enviar un
paquete de error. Afortunadamente, la mayoría de los host suelen enviar
un paquete de error ICMP_PORT_UNREACH cuando un puerto UDP
esta cerrado. Esta técnica suele resultar desesperadamente lenta.
9. . El ataque por rebote de puertos (port bouncing) se

caracteriza porque utiliza uno o más sistemas intermedios para ocultar la
dirección IP desde la que se origina la agresión, dificultando así que se le
pueda seguir el rastro.
Este tipo de ataque pone de manifiesto la necesidad de ocultar nuestra
dirección IP ya que pueden producirse ataques contra sitios web, que
consisten en realizar cientos de peticiones en un intento de identificar
algún CGI vulnerable o puerta trasera existente. Por suerte, este tipo de
ataques queda registrado en los logs (archivos de texto que muestran la
actividad llevada a cabo por la máquina) del servidor web y son
fácilmente identificables.
Básicamente, esta técnica consiste en abrir un puerto en un sistema, que
hace de puente entre el atacante y la víctima. Todo lo que el atacante
envía a dicho puerto es rebotado al sistema de la víctima y viceversa, de

forma que todo lo que recibe el sistema atacado proviene de la IP donde

se ha instalado el port bouncing, quedando oculta la dirección del
agresor.
10. Consiste en averiguar cuál es el sistema operativo

instalado en el ordenador atacado. Esto, aunque a primera vista parece
trivial es bastante importante para alguien interesado en acceder a los
datos del disco duro del ordenador de la víctima ya que el nivel de
seguridad de una plataforma Windows es distinto al de una plataforma
Unix. El atacante, lo que hace es ir probando varias técnicas de escaneo
de puertos y, según las reacciones y respuestas del ordenador víctima,
determina su Sistema operativo. Hay programas específicos para esta
labor. No es una técnica muy efectiva y aunque no es un escaneo en sí,
se usa para llevarlos a cabo.
El objetivo de este tipo de ataques es conseguir información del ordenador

víctima, bien monitorizando de forma silenciosa los paquetes y tramas que le
llegan (ataques de fabricación activos y pasivos), bien suplantando su
dirección IP (ataques de autentificación).
Para efectuarlos se necesita un conocimiento exhaustivo de los diversos

protocolos que intervienen durante la comunicación.
Las técnicas utilizadas son los siguientes:
1. . Es un ataque de fabricación pasivo que consiste,

básicamente, en la intercepción de paquetes sin modificación. Muchas
redes son vulnerables al eavesdropping o intercepción pasiva (passive
wiretapping) del tráfico de red utilizando, entre otros métodos, la captura
por medio de radiaciones electromagnéticas. Aunque se trate de un
ataque pasivo en un principio, la peligrosidad del eavesdropping consiste
en su difícil detección ya que el intruso es capaz de capturar información
confidencial de forma sigilosa y utilizarla en cualquier momento, con lo
cual el ataque se vuelve activo (sniffing).
2. . Los paquetes sniffer son la versión maligna de la técnica

eavesdropping ya que, al igual que estos, monitorizan la información que
circula por la red, pero su objetivo es aprovechar la información
obtenida, para lo cual se colocan en cualquier máquina de una LAN, en
un router o en una pasarela pudiendo ser controlados tanto por usuarios
legítimos como por atacantes.
Su funcionamiento básico es muy sencillo. Un ordenador que forma
parte de una LAN con conexión a Internet a través de un router está
conectado a la red mediante su tarjeta de red que se configura de forma
que verifica continuamente la dirección de destino de los paquetes TCP
que circulan continuamente por la red. Si la dirección de uno de estos

paquetes coincide con la suya asume que la información es para ella y si

no, la rechaza.
Un ataque de sniffing consiste en configurar la tarjeta de red en modo
promiscuo lo cual se consigue desactivando el filtro de verificación de
direcciones. De esta forma, todos los paquetes que circulan por la red
(con cualquier dirección IP) entran por la tarjeta del ordenador donde
está instalado el software del sniffer. Este software era utilizado en un
principio por los administradores de red para supervisar el tráfico que
circula por la misma y en la actualidad es utilizado por cualquier intruso
para capturar información como password, números de tarjetas de
crédito, etc. Para realizar estas funciones se analizan las tramas de un
segmento de red, presentándose al usuario sólo las que interesan.
es una utilidad de monitorización del estado de la red, capaz de

capturar y analizar los paquetes que se transmiten en cualquier red
Ethernet. Con es posible ver un listado de las conexiones,
estadísticas vitales de IP y examinar los paquetes individuales.
Los paquetes de transmisión se decodifican al máximo con un completo

análisis de los principales protocolos de IP: TCP, UDP, e ICMP.
Permite guardar logs de los paquetes analizados para su posterior
análisis y filtros para seleccionar que paquetes que interesa capturar y
cuáles no.
es un auténtico sniffer muy útil para administradores de red,

profesionales de seguridad, programadores de un sistema de redes, o
cualquiera que quiera tener un completo análisis del tráfico a través de
su PC o LAN y se encuentra disponible, en diferentes versiones, en el
menú Download de la página de Ethereal, (ver dirección en el apartado de
materiales de la mesa de trabajo), así como en la sección Materiales de la
mesa del curso.
Una vez instalado aparece una ventana donde puede observarse una
barra de menús, una barra de iconos (inactivos en un principio) y una
casilla de introducción de filtros. Pulsando el primer icono situado más a
la izquierda, el programa detecta los interfaces de los que puede
capturar información (normalmente son las tarjetas de red a las que
puede acceder). Tras seleccionar una de ellas hay que hacer clic sobre
el botón Capture o sobre el botón Prepare (permite seleccionar algunos
parámetros de la captura) y pulsar sobre el botón Start.
En estos momentos comienza la captura y aparece una pequeña

ventana que muestra una estadística de los protocolos de los paquetes
capturados. Pulsando el botón Stop de dicha ventana, el análisis se
detiene y aparecen todos los paquetes capturados (figura 3.9).

Descarga e instala el paquete de análisis Ethereal y monitoriza el tráfico de

tu red.
3. Este tipo de ataques persiguen el mismo

objetivo que el sniffing: obtener información sin modificarla, pero el
sistema empleado es distinto ya que con esta técnica, además de
interceptar el tráfico de red, el intruso accede a información contenida en
el disco duro de la víctima tal como documentos, mensajes de correo,
archivo de claves, bases de datos, etc. completando su trabajo con la
realización de una copia (downloading) de todo este material a su propio
ordenador para, posteriormente, analizarla en profundidad.
El snooping puede ser realizado por mera curiosidad (como el
eavesdropping) en cuyo caso resulta inofensivo, o con fines de espionaje
y robo de información, transformándose entonces en un delito
informático perseguido por la ley.
Ejemplos de este tipo de ataque han sido el robo de 1700 números de
tarjetas de crédito desde una compañía de distribución de música
mundialmente famosa hasta la difusión ilegal a través de Internet de
informes oficiales reservados de la ONU, relacionados con la violación
de derechos humanos en algunos países europeos en estado de guerra.
4. . El intruso usualmente utiliza algún sistema para obtener

información e ingresar en otro, que luego utiliza para entrar en otro, y así
sucesivamente. Este proceso se llama looping y tiene como finalidad

hacer imposible localizar la identificación y la ubicación del atacante, de

perderse por la red. Entre el origen físico y el sistema que finalmente se
utilice para realizar una fechoría puede estar plagado de muchos
sistemas intermedios, rebasando las fronteras de varios países,
dificultando aún más su localización. Otra consecuencia del looping es
que la víctima puede suponer que están siendo atacada por nosotros (si
somos el sistema final del looping del atacante), cuando en realidad está
siendo atacada por un intruso, o por alguien que se encuentra a miles de
kilómetros tanto de nosotros como de la víctima.
La localización de la procedencia de un looping es casi imposible de
determinar ya que el investigador debe contar con la colaboración del
administrador de cada una de las redes utilizadas en la ruta del looping,
incluso de gobiernos de otros países.
5. . Esta técnica consiste en la creación de tramas TCP/IP

utilizando una dirección IP falsa. Por tanto se trata de un ataque de
fabricación activo que atenta contra la autenticidad del sistema.
Básicamente, consiste en lo siguiente: desde su ordenador, el intruso

simula la identidad de otra máquina de la red con el objetivo de
conseguir acceso a recursos de una tercera máquina que ha establecido
algún tipo de confianza basada en el nombre o la dirección IP del host
suplantado
Por tanto, entran en juego tres máquinas: un atacante, un atacado, y un

sistema suplantado que tiene cierta relación con el atacado; para que el
intruso pueda conseguir lo que se propone necesita, por un lado
establecer una comunicación falseada con su objetivo y, por otro, evitar
que el equipo suplantado interfiera en el ataque. Esto último es
relativamente fácil de conseguir: basta lanzar un ataque de negación de
servicio capaz de bloquearlo o dejarlo fuera de servicio.
El otro punto importante del ataque, la comunicación falseada entre dos

equipos, no es tan inmediato como el anterior y es donde reside la
principal dificultad del spoofing. Para ello, el intruso envía una trama SYN
a su objetivo pero mostrando como dirección origen la de la máquina que
está fuera de servicio (este es el engaño). La máquina objeto del ataque
responde con un SYN+ACK a la tercera máquina, que simplemente lo
ignorará por estar fuera de servicio (si no lo hiciera, la conexión se
resetearía y el ataque no sería posible), y el atacante aprovechará para
enviarle una trama ACK conservando la dirección origen de la tercera
máquina. Lo difícil viene ahora: para que la conexión pueda llegar a
establecerse, esta última trama deberá enviarse con el número de
secuencia adecuado y el intruso debe predecir correctamente este
número (si no lo hace así, la trama será descartada) y si lo consigue, la
conexión quedará establecida y podrá comenzar a enviar datos a su
víctima, normalmente un troyano.
De lo anteriormente expuesto se deduce que el spoofing no es una

técnica de acción inmediata e implica que el intruso tiene que averiguar
cómo son generados e incrementados los números de secuencia TCP y,

una vez conseguido esto, debe conseguir `engañar' a su objetivo

utilizando dichos números para establecer la comunicación, tarea tanto
más difícil cuanto más robusta sea esta generación por parte de la
víctima.
Otro inconveniente es que el spoofing es un ataque ciego ya que el
intruso no ve en ningún momento las respuestas emitidas por su víctima,
ya que éstas van dirigidas a la máquina que previamente ha sido
deshabilitada, por lo que debe presuponer qué está sucediendo en cada
momento y responder de forma adecuada en base a esas suposiciones.
Para evitar ataques de spoofing exitosos contra nuestras máquinas

podemos adoptar diferentes medidas, todas ellas de tipo preventivo:
‚ Reforzar la secuencia de predicción de números de secuencia

TCP, bien mediante un esquema de generación robusto
(plataforma Unix), bien evitando que esta numeración sea
correlativa (plataforma Windows).
‚ Eliminar las relaciones de confianza basadas en la dirección IP o
el nombre de las máquinas, sustituyéndolas por relaciones
basadas en claves criptográficas.
‚ Cifrado y filtrar las conexiones que pueden aceptar nuestras
máquinas.
Hasta ahora hemos hablado del ataque genérico contra un host

denominado IP spoofing pero también existen otros ataques de
falseamiento relacionados en mayor o menor medida con este, entre los
que destacan el DNS spoofing, el ARP spoofing y el Web spoofing.
Consiste en resolver con una dirección IP falsa un cierto nombre DNS o

viceversa, resolver con un nombre DNS falso una cierta dirección IP.
Esto se puede conseguir de varias formas, desde modificar las entradas
del servidor encargado de resolver una cierta petición para falsear las
relaciones dirección-nombre, hasta comprometer un servidor que infecte
la caché de otro (envenenamiento o DNS poisoning); incluso sin acceso
a un servidor DNS real, un atacante puede enviar datos falseados como
respuesta a una petición de su víctima sin más que averiguar los
números de secuencia correctos.
Consiste en la construcción de tramas de solicitud y respuesta ARP

falseadas, de forma que en una red local se puede forzar a una
determinada máquina a que envíe los paquetes a un host atacante en
lugar de hacerlo a su destino legítimo. La idea es sencilla y los efectos
del ataque pueden ser muy negativos: desde negaciones de servicio
hasta interceptación de datos.

Esta técnica es la versión simplificada del moderno phixing ya que

permite al intruso visualizar y modificar cualquier página web que su
víctima solicite a través de un navegador, incluyendo las conexiones
seguras vía SSL. Para ello, mediante código malicioso un atacante crea
una ventana de apariencia inofensiva en el navegador instalado en la
máquina de su víctima; a partir de ahí, enruta todas las páginas dirigidas
al equipo atacado - incluyendo las cargadas en nuevas ventanas del
navegador - a través de su propia máquina, donde son modificadas para
que cualquier evento generado por el cliente sea registrado (esto implica
registrar cualquier dato introducido en un formulario, cualquier click en un
enlace, etc.).
6. . Esta técnica está basada en la intercepción

de una sesión de comunicación ya establecida en la que el atacante
espera a que la víctima se identifique para poder suplantarla como
usuario autorizado.
La (Deny Of Service, DOS) puede definirse como la

imposibilidad de acceso a un recurso o servicio por parte de un usuario
legítimo.
Un (DOS Attack) como se puede definir como

la apropiación exclusiva de un recurso o servicio con la intención de evitar
cualquier acceso de terceros. También se incluyen en esta definición los
ataques destinados a colapsar un recurso o sistema con la intención de destruir
el servicio o recurso.
En un aspecto más restrictivo, los ataques de denegación de servicio en redes

IP pueden definirse como la consecución parcial o total (temporal o totalmente)
del cese en la prestación de servicio de un ordenador conectado a Internet.
Los ataques más importantes que utilizan esta técnica son los siguientes:
El ataque de IP Flooding (inundación de paquetes IP) se realiza habitualmente

en redes locales o en conexiones con un gran ancho de banda disponible.
Consiste en la generación de tráfico espurio con el objetivo de conseguir la
degradación del servicio de red. De esta forma, el atacante consigue un gran
consumo del ancho de banda disponible ralentizando las comunicaciones
existentes en toda la red. Se da principalmente en redes locales dónde el
control de acceso al medio es nulo y cualquier máquina puede enviar/recibir sin
ningún tipo de limitación en el ancho de banda consumido (ver figura 3.10).

El tráfico generado en este tipo de ataque puede ser de dos tipos:
‚ La dirección de origen o destino del paquete IP es ficticia o falsa.

Es el tipo de ataque más básico y simplemente busca degradar el servicio
de comunicación del segmento de red dónde el ordenador responsable del
ataque está conectado.
‚ La dirección de origen, destino o ambas es la de la

máquina que recibe el ataque. El objetivo de este ataque es doble, ya que,
además de colapsar el servicio de red dónde el atacante genera los
paquetes IP, intenta colapsar un ordenador destino, ya sea reduciendo el
ancho de banda disponible para que siga ofreciendo el servicio o
colapsando directamente el servicio enviando una cantidad ingente de
peticiones que el servidor será incapaz de atender y procesar.
Este tipo de ataque por inundación se basa en la generación de datagramas

IP de forma masiva. Dependiendo del protocolo utilizado, estos datagramas
pueden ser de tres tipos:
‚ . Generan peticiones sin conexión a cualquiera de los 65535

puertos disponibles. En muchos sistemas operativos, las peticiones
masivas a puertos específicos UDP (ECHO, WINS...) causan el colapso
de los servicios que lo soportan.
‚ . Generan mensajes de error o de control de flujo malicioso. En

este caso el objetivo es doble: degradar el servicio de red con la
inundación de peticiones y/o conseguir que los sistemas receptores
queden inutilizados por no poder procesar todas las peticiones que les
llegan.
‚ . Generan peticiones de conexión con el objetivo de saturar los

recursos de red de la máquina atacada. Este protocolo es orientado a
conexión y como tal consume recursos de memoria y CPU por cada
conexión. El objetivo es el de saturar los recursos de red disponibles de
los ordenadores que reciben las peticiones de conexión y degradar la
calidad del servicio.

Este ataque, al igual que el IP Flooding, suele realizarse en redes locales ya

que requiere un gran ancho de banda por parte del atacante, aunque con la
mejora sustancial de las comunicaciones y anchos de banda disponibles en la
actualidad es posible realizarlo de forma remota.
El protocolo IP dispone de un sistema de radiodifusión (broadcast) que permite

la comunicación simultánea con los ordenadores de la misma red. Para
realizar esta operación simplemente debemos sustituir los bits de la máscara
de red por unos.
En este tipo de ataque se utiliza la dirección de identificación de la red IP

(broadcast address) como dirección de destino del paquete IP. De esta forma,
el router se ve obligado a enviar el paquete a todos los ordenadores
pertenecientes a la red, consumiendo ancho de banda y degradando el
rendimiento del servicio.
Una variante de este ataque consiste en enviar peticiones PING a varios

ordenadores falseando la dirección IP de origen y substituyéndola por la
dirección de broadcast de la red a atacar. De esta forma, todas las respuestas
individuales (los pong de la figura 3.11) se ven amplificadas y propagadas a
todos los ordenadores pertenecientes a la LAN.
El protocolo ICMP es el encargado de realizar el control de flujo de los

datagramas IP que circulan por Internet. Este protocolo consta de diversas
funcionalidades que permiten desde la comunicación de situaciones anómalas
(no se ha podido realizar la entrega del paquete IP) hasta la comprobación del
estado de una máquina en Internet (ping - pong o ECHO - ECHO REPLY).
Este tipo de ataque se basa en falsear las direcciones de origen y destino de

una petición ICMP de ECHO (ver figura 3.12).
Como dirección de origen colocamos la dirección IP de la máquina que va a ser
atacada. En el campo de la dirección de destino situamos la dirección
broadcast de la red local o red que utilizaremos como “lanzadera” para colapsar
al sistema elegido. Con esta petición fraudulenta, se consigue que todas las

máquinas de la red contesten a la vez a una misma máquina, consumiendo el

ancho de banda disponible y saturando al ordenador elegido.
Por definición, un paquete IP tiene un tamaño máximo de 64K (65.535 bytes),

de forma que, para enviar una cantidad de datos mayor hay que enviar varios
paquetes IP al destino. Análogamente, cada red por la que transitan los
paquetes IP tiene un tamaño máximo de paquete ( , Maximum Transfer
Unit), por lo que será necesario fragmentar los paquetes IP en varios trozos que
serán reconstruidos al llegar al destino.
Con objeto de controlar esta fragmentación, el protocolo IP especifica unos

campos en la cabecera del datagrama, cuya función consiste en señalar si el
paquete IP está fragmentado o no y qué posición ocupa dentro del datagrama
original. Para ello, en el campo flags (banderas) existe un bit denominado more
(más) que indica que el paquete recibido es un fragmento de un datagrama
mayor y el campo número de identificación del datagrama especifica la posición
de dicho fragmento en el datagrama original.
El ataque teardrop utiliza esta funcionalidad para intentar confundir al sistema

operativo en la reconstrucción del datagrama original y, de esta forma, lograr el
colapso del servicio y/o del sistema. Para conseguir esto, lo que hace es falsear
los datos de posición y/o longitud de forma que el datagrama se sobreescriba
(overlapping) y produzca un error de sobreescritura del buffer (buffer-overrun) al
tratar con desplazamientos negativos. De esta forma, el sistema operativo
detecta el intento de acceso a una zona de memoria que no corresponde al
proceso ejecutado y aborta el servicio. Dependiendo de la robustez del sistema
operativo el ataque afectará solo al servicio atacado o podrá llegar a colapsar
todo el ordenador.
Otra variante de este ataque consiste en enviar cientos de fragmentos
“modificados” de forma que se solapen con el objetivo de saturar la pila de
protocolo IP de la máquina atacada.
Como la mayoría de protocolos, IP define un sistema de pruebas simple que

permite verificar el funcionamiento del protocolo de comunicación. El sistema
proporcionado se basa en enviar un datagrama “especial” al ordenador destino,

que lo reconoce y envía una respuesta al origen (ECHO s REPLY).
El protocolo IP define para estas pruebas un servicio para la recepción de un

datagrama UDP al puerto 7 (ECHO). Por otro lado, existe un servicio
proporcionado en muchos sistemas operativos tipo UNIX denominado
(CHARacter GENerator, generador de caracteres) que dada una
petición responde con una secuencia aleatoria de caracteres. Este servicio se
encuentra disponible escuchando constantemente datagramas UDP en el
puerto 19.
El ataque snork consiste en cruzar ambos servicios enviando una petición falsa
al servicio CHARGEN (que retorna una secuencia de caracteres pseudo-
aleatoria) falseando la dirección de origen dando como puerto de respuesta el
puerto ECHO (que responde a cualquier petición) de la máquina a atacar. De
esta forma, se inicia un juego de ping-pong infinito entre el PC atacado y la
máquina lanzadera (ver figura 3.13).
Este ataque puede realizarse entre varios ordenadores (consumiendo ancho de

banda y degradando el rendimiento de la red) o desde un mismo ordenador (él
mismo se envía una petición y responde) consiguiendo consumir los recursos
existentes (especialmente CPU y memoria) de la máquina atacada.
Este tipo de ataque puede considerarse una generalización del ataque ECHO-
CHARGEN y su nombre proviene de los dos conocidos juegos de ordenador
que pueden ser compartidos en línea.
El ataque se basa en buscar algún servicio activo (los servidores de juegos en

red del DOOM y el QUAKE por ejemplo) que responda a cualquier datagrama
recibido.
De esta forma, se envían peticiones dando como origen el puerto CHARGEN, lo

que inicia un juego de petición/respuesta (ping-pong) infinito.

El objetivo en este caso es doble, ya que además de consumir recursos e

intentar bloquear la máquina servidora del juego, el juego en cuestión queda
también afectado (ver figura 3.14).
Este tipo de ataque se basa en falsear la dirección y puerto origen para que
sean las mismas que la del destino. De esta forma, se envían al ordenador
atacado peticiones de conexión desde él mismo hasta él mismo (ver figura
3.15).
La mala calidad del software encargado de gestionar las comunicaciones en los

sistemas operativos hace que muchas veces este sencillo ataque consiga
colapsar el sistema atacado.
Con objeto de confundir al ordenador atacado, las peticiones suelen ir

acompañadas de violaciones expresas de los campos de opciones de los
protocolos.

El ping de la muerte (Ping of death) ha sido probablemente el ataque de

denegación de servicio mas conocido y que por la espectacularidad de los
casos acontecidos mas artículos de prensa ha suscitado. En los años 1996 y
1997 fue una práctica común entre la comunidad hacker y su nombre se debe a
las consecuencias imprevisibles y a la probabilidad relativamente alta de éxito
de este ataque.
Para perpetrar un ataque de este tipo, el intruso tiene en cuenta lo siguiente:
‚ La definición de la longitud máxima de paquetes de los protocolos

IP/UDP/TCP/ICMP.
‚ La capacidad de fragmentación de los datagramas IP.
La longitud máxima de un datagrama IP es de 64K (65535 Bytes) incluyendo la

cabecera del paquete (20 Bytes) y asumiendo que no hay opciones especiales
especificadas.
El protocolo ICMP es el que se utiliza para la comunicación de mensajes de

control de flujo en las comunicaciones (si la red está congestionada, si la
dirección de destino no existe o es inalcanzable...) y tiene una cabecera de 8
bytes.
Por tanto, para enviar un mensaje ICMP quedan disponibles:
65535 - 20 - 8 = 65507 bytes
Para poder enviar un paquete de más de 65535 bytes, este se fragmenta (como
se ha visto en el ataque teardrop) y se reconstruye en el destino utilizando un
mecanismo de posición y desplazamiento relativo.
Supóngase que se desea ordenar al sistema operativo que envíe un datagrama

con una longitud de 65510 bytes (correcto, puesto que es inferior a 65535
bytes). Las órdenes correspondientes en Windows y Unix son las siguientes:
ping - l 65510 dirección_ip (Windows).

ping - s 65510 dirección_ip (Unix).
Puesto que el tamaño es inferior a 65535 bytes, los datos a enviar pueden
almacenarse en un único paquete IP fragmentado en n trozos, cada uno
perteneciente al mismo datagrama IP.
Sumando el tamaño de las cabeceras se obtiene:
20 bytes (cabecera IP)+8 bytes (cabecera ICMP)+65510 bytes (datos) =
Este exceso de tamaño en el paquete enviado da lugar a que al ser

reensamblado en el destino produzca errores de overflow/coredump, capaces
de provocar el colapso del servicio o del sistema atacado.

Podemos definir los ataques de denegación de servicio distribuido (DDOS)

como un ataque de denegación de servicio (DOS) dónde existen múltiples
focos distribuidos y sincronizados que focalizan su ataque en un mismo destino
(ver figura 3-16).
A continuación se presenta un análisis de los ataques de denegación de

servicio distribuido (DDOS) más conocidos actualmente, se profundiza en el
modelo distribuido de las fuentes del ataque así como su sincronización y
modus operandi. Los análisis de las diferentes herramientas se presentan
históricamente para poder comparar la evolución en el diseño de los ataques
DDOS.
TRINOO
El proyecto TRINOO, también conocido como TRIN00, es una herramienta que

implementa un ataque de denegación de servicio mediante un modelo
jerárquico maestro/esclavo (master/slave).
Originariamente se encontró en sistemas Solaris desde donde se produjeron

los primeros ataques conocidos, probablemente aprovechando bugs conocidos
del sistema operativo (buffer overflow...). Una vez que los hackers obtuvieron
privilegios de administrador pudieron instalar los programas y demonios
(daemons) necesarios.

TRIBE FLOOD NETWORK (TFN)

El TFN es otro ejemplo de herramienta que permite realizar ataques de
denegación de servicio distribuido (DDOS) mediante el uso de técnicas simples
de DOS como SYN Flood, UDP Flood y SMURF. Además también permite
obtener bajo demanda un “shell de root” mediante la instalación de un daemon
que escucha en el puerto TCP requerido, lo que en la realidad permite al
atacante tener un acceso ilimitado a la máquina cuando desee.
Inicialmente también se encontró en sistemas Solares y, durante un tiempo, se

pensó que simplemente permitía un acceso privilegiado al ordenador como
puerta trasera (back door) para la colocación de “sniffers” de red.
La arquitectura de funcionamiento del TFN es bastante parecida a la del

TRINOO, diferenciando entre la parte cliente (masters en TRINOO) y la parte
de demonios (slaves en TRINOO), siendo su estructura similar a la de la figura
3.18.

STACHELDRAHT
Del alemán, alambre de espinas, es una herramienta de ataque DDOS basada

en código del TFN que añade algunas características más sofisticadas como el
cifrado en el intercambio de mensajes.
Como en TRINOO, la arquitectura básica de STACHELDRAHT mantiene una

jerarquía dónde existen los master (denominados ahora “handlers”,
conductores o controladores) y demonios/daemons o bcast (denominados
ahora “agents” o agentes). La figura 3.19 muestra dicha estructura.
Los ataques permitidos en STACHELDRAHT son ICMP Flood, UDP Flood,

SYN Flood y SMURF. Sin embargo a diferencia del TFN no contiene la
posibilidad de proporcionar un “shell de root” en las máquinas infectadas.
SHAFT
Es otra de las herramientas muy utilizada en los ataques de denegación de

servicio distribuido y derivada de las anteriores.
Como todas las herramientas distribuidas utiliza un paradigma jerárquico que

se basa en la existencia de varios masters/handlers denominados
“shaftmasters” que gobiernan a su vez varios slaves/agents que pasan a
denominarse “shaftnodes”.
El atacante se conecta mediante un programa cliente a los shaftmasters desde
dónde inicia, controla y finaliza los ataques DDOS. SHAFT es posterior a TFN y
como este utiliza el protocolo UDP para el envío de mensajes entre los
shaftmasters y shaftnodes. El atacante se conecta vía TELNET a un
shaftmaster utilizando una conexión fiable, una vez conectado se le pide un

password para autorizar su acceso al sistema. La comunicación entre los
shaftmasters y shaftnodes se realiza mediante el protocolo UDP que no es
fiable, por eso SHAFT utiliza la técnica de los “tickets” para mantener el orden
de la comunicación y poder asignar a cada paquete un orden de secuencia. La
combinación del password y el ticket son utilizadas para el envío de órdenes a
los shafnodes, que verifican que sean correctos antes de aceptarlos.
TRIBE FLOOD NETWORK 2000 (TFN2K)
El TFN2K es la revisión de la herramienta TFN que permite lanzar ataques de

denegación de servicio distribuido contra cualquier máquina conectada a
Internet.
La arquitectura básica, basada en un atacante que utiliza clientes para

gobernar los distintos demonios instalados en las máquinas captadas, se
mantiene de forma que el control de este tipo de ataques mantiene la premisa
de tener el máximo número de ordenadores segmentados. Así si un cliente (o
master en TRINOO) es neutralizado el resto de la red continua bajo control del
atacante.
Distributed reflection DOS
El enfoque clásico utilizado en las herramientas de DDOS se basa en conseguir

que un gran número de máquinas comprometidas (slaves) dirijan un ataque
directo hacía un destino concreto.
El objetivo principal del hacker consiste en concentrar el mayor número de

máquinas bajo su control ya que, un número mayor de máquinas significará
mas potencia de ataque y por lo tanto mas consumo de ancho de banda de la
víctima.
Conviene recordar que aunque el objetivo final es dejar fuera de

funcionamiento los servidores atacados, es suficiente con degradar la calidad

del servicio de comunicaciones de red, aunque los servidores sigan

funcionando.
Este tipo de modelo tiene varios inconvenientes, entre ellos que se necesita
obtener el control de todas las máquinas implicadas en el proceso
(masters/slaves) lo que implica la obtención de un ataque exitoso para cada
máquina bajo control y que la presencia del hacker no sea detectada por el
administrador de red.
En esta sección se expone un ataque real de DDOS sufrido en un famoso

servidor web de seguridad denominado GRC.COM.
La justificación del porqué este ataque se pone como ejemplo, viene dada por
dos factores:
‚ Pese a que los ataques de denegación de servicio son muy abundantes

y hay gran constancia de ellos, la información disponible sobre estos
ataques suele ser mínima, reduciéndose a pequeñas notas en
organismos como el CERT o en boletines electrónicos como
SECURITYFOCUS y grandes titulares de prensa o televisión con más
contenido fantástico que realidad técnica. En este caso concreto, existe
un detallado análisis disponible de forma pública que disecciona
perfectamente el ataque recibido.
‚ Los ataques DDOS suelen ser una generalización de los ataques DOS,
con lo que un ejemplo de ataque distribuido es suficientemente complejo
como para obtener una idea de cómo funcionan realmente.
El 11 de enero de 2002 a las 02:00 am (US Pacific time) el servidor

WWW.GRC.COM fue atacado mediante una inundación masiva de paquetes
de petición de conexión (TCP SYN Flood) utilizando la técnica
(Distributed Reflection Denial Of Service). De repente, las dos conexiones T1
(1.5Mbits/s) mostraron un tráfico de salida nulo, ya que el servidor web era
incapaz de completar una petición de conexión y servir contenidos. Sin
embargo, el tráfico registrado en las conexiones de red era de casi el 100% de
su capacidad 2 x T1 (ver figura 3.21).

Analizando los paquetes recibidos de los ISP QWEST, Verio y Above.net no se

observa ninguna anomalía y parecen paquetes TCP SYN / ACK legítimas hacia
el puerto 80 de GRC.COM dando como puerto de origen de la petición el 179.
Cabe destacar que todas las peticiones provienen de ISP (Internet Service
provider), es decir, organizaciones con conexiones a Internet de un gran ancho
de banda, lo que permite una gran capacidad de generación de tráfico.
El puerto 179 es el destinado al servicio BGP (Border Gateway Protocol) que

permite que diferentes sistemas autónomos se comuniquen e intercambien sus
tablas de rutado (routing tables) para conocer que redes/ordenadores tienen
accesibles en cada momento.
Muchos sistemas troncales conectados a Internet admiten conexiones al puerto

179/TCP para el intercambio de tablas de rutado con otros sistemas mediante
el protocolo BGP. En la figura 3.22 puede observarse cómo se produce un
ataque de DDOS indirecto utilizando un servicio existente de forma correcta
pero falseando la dirección de origen. Los pasos son los siguientes:
1. Se crea la infraestructura necesaria para el DDOS (instalación de los

ordenadores master/slave).
2. Inicio del ataque DDOS consistente en enviar desde los esclavos miles de
peticiones “correctas” de conexión TCP al puerto 179 a diferentes ISP. Se
falsea la dirección de origen de la petición y el puerto, colocando la dirección IP
de la víctima.
3. Obtención de cientos de miles de respuestas de los distintos ISP que

bloquearán todo el ancho de banda del servidor WWW atacado.

Una vez conocida la arquitectura del ataque, comenta Steve Gibson que tardó
más de tres horas en conseguir que su propio ISP bloqueara todos los
paquetes de conexiones que provenían del puerto 179/TCP.
Una vez conseguido el bloqueo del tráfico procedente del puerto 179/TCP, el
servidor web continuó sin estar operativo debido a otros ataques de inundación
de paquetes (TCP/UDP Flood) a los puertos 22/TCP (SSH), 23/TCP
(TELNET), 53/UDP (DNS), 80/TCP (WWW), 4001/TCP (Proxy), 6668/UDP
(IRC).
La explicación dada a que, inmediatamente después de bloquear el primer

ataque continuara atacado el web site, es que este segundo ataque se lanzó
simultáneamente con el primero, sin embargo, debido a que el primero proviene
de ISPs con un gran ancho de banda, habían enmascarado el segundo.
En la figura 3.23 pueden verse algunas muestras tomadas de las peticiones de

TCP SYN Flood obtenidas del segundo ataque. Se puede observar que muchas
de ellas provienen de ordenadores conectados a redes que tienen grandes
conexiones a Internet (.nasa.gov o .yahoo.com)
Después de aplicar los filtros correspondientes, el ISP de GRC.COM (Verio)

descartó un total de paquetes maliciosos de TCP SYN Flood.

Una vez analizados los distintos ataques de denegación de servicio, tanto de

tipo DOS como de tipo DDOS es el momento de realizar una breve introducción
a los sistemas anti-DOS/DDOS.
En un ataque de denegación de servicio podemos diferenciar claramente tres

entidades (ver figura 3.24):
1. Los múltiples puntos dónde se origina la generación

masiva de datagramas IP.
2. Sistemas pasivos por dónde circulan los paquetes
IP hasta llegar a su destino.
3. Destino final del ataque.

Si se analiza en profundidad el problema de la denegación de servicio se llega

rápidamente a la conclusión de que no hay ninguna solución completa capaz de
evitar este tipo de ataques.
De existir, dicha solución debería cumplir los cinco requisitos básicos

siguientes:
1. Debe ser una solución distribuida ya que se trata de resolver un

problema distribuido. Las soluciones locales carecen de sentido puesto
que no alcanzarán nunca la visión global que un ataque distribuido
genera.
2. No debería, en ningún caso, penalizar el tráfico de los usuarios legítimos.
Muchas propuestas se basan en complejos sistemas de informes y filtros
que mantienen listas y cuentas de todos los paquetes recibidos. Estos
sistemas penalizan al global de los usuarios ralentizando el sistema.
3. Debe ser una solución robusta y universal, válida tanto para amenazas
externas como internas. El sistema debe ser capaz de identificar los
nodos y usuarios legítimos así como detectar y aislar, si fuera necesario,
los nodos comprometidos o maliciosos.
4. Debe de ser viable en su aplicación y universalmente adoptada por toda
la comunidad Internet, lo que implica que debe de ser sencilla y
realizable con un coste razonable de recursos.
5. Debe de ser una solución incremental que tenga muy en cuenta la
idiosincrasia de Internet. En efecto, la red es un sistema tan heterogéneo
que prácticamente resulta imposible la implantación de un nuevo
protocolo. El sistema propuesto debe permitir su aplicación gradual y ser
compatible con el resto de los sistemas donde aún no esté
implementada.
La mayoría de las soluciones existentes en la actualidad están basadas en

sistemas clásicos de defensa como los cortafuegos (firewalls) y sistemas de
detección de Intrusos (IDS). Estos se encargan de filtrar todo el tráfico existente
en búsqueda de indicios de actividad maliciosa (para más información ver la
sección que trata sobre los IDS).
Por supuesto, ninguna de las dos cumple la totalidad de los requisitos

esgrimidos anteriormente ya que se trata de sistemas tipo que se encuentran
instalados al final de la cadena de ataque (sistema atacado) y por tanto, su
eficacia es mínima debido a que aunque son capaces de detectar y bloquear la
entrada de ataques DDOS a nuestra red, el consumo de ancho de banda se
realiza igualmente, con lo que la respuesta a usuarios legítimos se ve
interrumpida.
En la actualidad empiezan a surgir soluciones agregadas o distribuidas como el

(Aggregated-based Congestion Control), (Secure Overlay Service) o
(Defensive Cooperative Overlay Mash).
Sin embargo estas soluciones requieren de comunicación directa con el resto

de sistemas intermedios, lo que significa que también deben estar instalados en
el resto de los sistemas intermedios para realizar un trabajo cooperativo. En la
realidad, esta necesidad limita su eficacia y expansión únicamente a las redes

de investigación, ya que al no dar una solución global ni estar aceptados como

estándares, casi ningún sistema existente en producción los implementa.
Las dos próximas secciones están dedicadas al estudio de los dos sistemas de
protección contra los ataques vistos con anterioridad: los cortafuegos o firewalls
y los sistemas de detección de intrusos o (Intrussion Detection System).
Aunque en la actualidad todo el mundo está familiarizado con el concepto

antivirus, no ocurre lo mismo con los firewalls o cortafuegos ni, por supuesto,
con los sistemas de detección de intrusos o (Intrusion Detection System).
Para colmo de males, un alto porcentaje de quienes sí han oído hablar de estas
dos herramientas tienen la certeza de que sirven para protegerse de los virus y
de los hackers.
Sobra decir que, a no ser que se trate de usuarios informados y conscientes del
peligro que corre un ordenador al conectarse a Internet, todavía existe un
porcentaje significativo que desconoce que este tipo de software ayuda a estar
al corriente de lo que pasa en nuestro PC y a ser nosotros mismos quienes
controlemos la seguridad del sistema.
La prueba evidente de este desconocimiento son los resultados de la encuesta

realizada en Diciembre de 2004 por MundoPC.NET cuya pregunta era: ¿Tienes
instalado en tu PC un cortafuegos o firewall? Como puede observarse en la
siguiente tabla de resultados de la encuesta, casi un 30% desconoce o no ve
útil la labor de un cortafuegos.
¿Ti e n e s i n st a l a d o e n t u PC u n co r t a f u e g o s o f i r e w a l l ?
Si, por supuest o 48.48 % ( 350)
No, no los veo út iles 7.62 % ( 55)
No se lo que es un firew all 20.64 % ( 149)
Tengo el de Windows XP SP2 21.47 % ( 155)
Ot ra respuest a ( dej ar com ent ario) 1.80 % ( 13)
Vo t o s t o t a l e s: 7 2 2
Todavía existen millones de usuarios que siguen pensando que su ordenador

no será jamás blanco de los ataques perpetrados por intrusos ya que no
contiene información relevante para éstos. Ya hemos visto en la sección
anterior que hay varios tipos de ataques (DoS, por ejemplo) que utilizan un
ordenador cualquiera como puente para acceder al host objetivo y por lo tanto
el cortafuegos se convierte en un elemento de protección imprescindible, sobre
todo si se está conectado de forma permanente a través de ADSL, cable o Wi-
fi.

Se puede definir un (firewall) como un dispositivo (software,

hardware o una combinación de ambos) que es capaz de analizar y filtrar el
tráfico entre hosts, segmentos de red o redes.
Este control de la información debe ser de carácter bidireccional ya que tan

nefasto resulta el que determinada información penetre por un puerto que no
debería estar abierto, como que un programa malicioso instalado en nuestro
sistema (por ejemplo un troyano) envíe paquetes con información sensible
hacia fuera.
Un buen cortafuegos debe ser capaz de detener la mayoría de los ataques

expuestos en la sección anterior (además de otros que aún no hemos visto), es
decir:
‚ Cerrar los puertos de comunicación.

‚ Evitar el rastreo de direcciones IP.
‚ Abortar los intentos de robo de datos confidenciales mediante la
utilización de spyware.
‚ Impedir que los troyanos abran brechas de seguridad.
Una primera clasificación de los cortafuegos es la que tiene que ver con el tipo
de dispositivo empleado. De acuerdo con ésta, se clasifican en tres tipos:
‚ . Constituyen el tipo más tradicional y

consisten en un dispositivo hardware específico instalado en una red
para protegerla del exterior. Se utilizan en entornos profesionales donde
el administrador de red es quien los configura de acuerdo a un conjunto
de reglas capaces de permitir el acceso o de detener los intentos de
conexión no permitidos.
Las figuras 3.25 y 3.26 muestran, respectivamente, el aspecto físico de

un cortafuegos de tipo hardware y la instalación.

‚ . A diferencia de los anteriores, este tipo de

cortafuegos consiste en programas que filtran el tráfico que entra y sale
de un ordenador. Una vez instalados, es el propio usuario quien debe
definir el nivel de seguridad, permitiendo o denegando el acceso de
determinados programas a Internet (de forma temporal o definitiva) y
autorizando o no los accesos desde el exterior.
‚ . Se basan en que los dos tipos anteriores no son

excluyentes y, por tanto, son dispositivos que combinan hardware y
software para obtener un mejor nivel de protección.
Dependiendo del nivel al que se realice el filtrado, los cortafuegos pueden ser
de tres tipos:
‚ (Paquet Filtering Firewalls).

Como su nombre indica, su funcionamiento está basado en el filtrado de
paquetes según las cabeceras de los mismos. No contemplan el
concepto de sesión, y cada paquete individual es analizado, estudiado y
aceptado o denegado según su naturaleza. Aunque en un principio eran
los firewalls más populares, apenas se usan en la actualidad ya que, el
filtrado es tan básico que no contemplaba conceptos como la
autenticación, por lo que resulta muy vulnerable a ataques DoS y
spoofing. Como desventaja añadida, son extremadamente complicados
de administrar en redes complejas y cuanto mayor sea el tráfico de la
red, más es entorpecido por el firewall, produciéndose mayor número de
colisiones de paquetes. La mayoría de los pequeños dispositivos de red
y routers pueden realizar la función de firewall de filtrado de paquetes.
‚ Stateful
Application Inspection firewalls). Se conocen familiarmente como
firewalls a nivel de red ya que trabajan en multitud de capas del modelo

TCP/IP (enlace de datos, red, transporte y parte de la capa de

aplicación, concretamente la capa de sesión), con el consiguiente
aumento en la complejidad de los mismos. Estos firewalls reconocen el
tipo de tráfico y filtran según las necesidades específicas de cada
protocolo, mediante un módulo de control de sesiones, conexiones y su
contexto que trabaja en las capas de red y enlace a datos. Controlan el
inicio de sesiones, filtrando el tráfico por protocolo y puerto y reconocen
el fin de las mismas. Sus principales ventajas son el alto rendimiento
derivado de la operabilidad a nivel de sesión en lugar de aplicación, así
como el bajo consumo de ancho de banda que supone. Por contra, no
revisa la trama del paquete y una vez establecida la conexión, puede
entrar a través de ella todo tipo de tráfico sin que el firewall lo analice.
‚ (Application
Gateway Firewall). Conocidos también como firewalls a nivel de
aplicación, se caracterizan porque, como su nombre indica, trabajan
principalmente en todos los niveles de la capa de aplicación, si bien
también pueden hacerlo en las capas de transporte, de red y de enlace a
datos. Basan su trabajo en reconocer y filtrar el tráfico que es solicitado
por aplicaciones (como un navegador web) o protocolos (FTP, HTTP...),
así como reconocer las sesiones y la autenticación de usuarios.
Constituyen los firewalls de más alto nivel, pero también son los más
lentos en cuanto a consumo de recursos del sistema y pueden provocar
problemas de incompatibilidad con ciertos protocolos con los que tengan
imposibilidad de trabajar.
‚ . En la práctica, cualquier firewall doméstico suele

ser una mezcla entre un firewall de red y un firewall de aplicación. Estos
cortafuegos reconocen el uso de red de determinadas aplicaciones, así
como el establecimiento de sesiones, uso de determinados protocolos
independientes de la aplicación (ICMP, IGMP...), etc. Son quizá el tipo
más completo de firewall y los que se comercializan.
La mayoría de los cortafuegos comerciales más utilizados en la actualidad son

del tipo personal-híbrido, es decir, de tipo software que mezcla de red y
aplicación. La mayoría de ellos son gratuitos aunque también permiten la
descarga de versiones profesionales (a prueba durante un periodo
comprendido entre 15 o 30 días). Estas versiones suelen ser más completas
que las distribuidas de forma gratuita. (Para conocer algunas direcciones de Internet
donde descargar un cortafuegos, ver la página de materiales de la mesa de trabajo)
En español se han seleccionado los siguientes:

.
En inglés se recomiendan los siguientes: y

Este popular cortafuegos incorpora una serie de prestaciones capaces de

proteger nuestro ordenador de las amenazas más comunes en Internet, desde
las inofensivas cookies hasta la detección de gusanos que infectan el correo
electrónico, pasando por el bloqueo de los molestos pop-up (ventanas
emergentes de publicidad no deseada).
Según la publicidad de la empresa fabricante, Outpost Firewall es el primer

cortafuegos personal que admite complementos (Plug-Ins) para que sus
prestaciones y capacidades puedan ser incrementadas fácilmente por
desarrolladores independientes. Es lo que se llama arquitectura abierta cuya
eficacia está más que confirmada en un sistema operativo cada vez más
popular como es Linux y en el desarrollo de numerosas aplicaciones para
Internet. Con esta tecnología, desarrolladores independientes pueden
fácilmente mejorar la funcionalidad de Outpost Firewall creando y distribuyendo
sus propios complementos. Hasta el momento, Outpost Firewall incluye en su
distribución los seis tipos de complementos mostrados en la figura 3.27.
‚ Protección total de la privacidad contra todo tipo de elementos activos en

mensajes de correo electrónico y sitios de Internet (Archivos adjuntos).
‚ Bloqueo de páginas y sitios de Internet que contengan palabras o
contenido indeseado (Bloqueo de contenido).
‚ Bloqueo de banderas publicitarias (banners) y ventanas emergentes
(Bloqueo de publicidad).
‚ Almacenamiento y activación de las direcciones DNS más visitadas para
aumentar la velocidad de conexión (Caché DNS).
‚ Bloqueo de elementos activos en sitios de Internet como controles Active
X, guiones (scripts), aplicaciones de Java (applets) y otros elementos
potencialmente peligrosos (Contenido activo).
‚ Detección, información y bloqueo de todo tipo de ataques como el
escaneado de puertos y ataques DoS (Detección de ataques).

Outpost Firewall está disponible en dos versiones, ofreciendo la más alta

protección y proveyendo la máxima seguridad y facilidad de uso:
‚ Versión gratuita.
‚ Versión comercial con importantes prestaciones
adicionales, incluyendo compatiblidad con Windows XP SP2.
Un buen cortafuegos personal debe combinar al máximo posible estas cuatro

características: , , y .
Respecto a la , Outpost Firewall es un cortafuegos capaz de realizar

las siguientes operaciones:
‚ Detecta e impide todo tipo de intrusiones.

‚ Bloquea los intentos de robo de datos.
‚ Hace funcionar el ordenador en modo invisible, ocultándolo de intrusos.
‚ Analiza los mensajes de correo entrantes y convierte en inofensivos los
archivos adjuntos que contienen virus y gusanos.
En lo concerniente a la , Outpost Firewall no se comporta como un

cortafuegos tradicional ya que protege de un modo efectivo nuestra privacidad
mediante las siguientes acciones:
‚ Previniendo las posibles fugas de información de nuestro ordenador que

puedan producirse como consecuencia de algún ataque.
‚ Impidiendo cualquier tipo de invasión de nuestra privacidad que tenga
lugar a través de Internet.
‚ Ocultando a los potenciales intrusos nuestros hábitos de navegación.
Respecto al , Outpost Firewall es válido para todo tipo de usuarios

siendo capaz de llevar a cabo las siguientes tareas:
‚ Controlar toda la actividad que tiene lugar en la red de área local a la que
está conectado nuestro ordenador.
‚ Proteger a menores del acceso a sitios de Internet ilegales o
inapropiados.
‚ Permitir el acceso total y minucioso al historial de conexiones efectuadas
en nuestro ordenador.
Por último, y en cuanto a la se refiere, la filosofía empleada en

el desarrollo de Outpost Firewall implica que incluso un usuario novato sea
capaz de manejarlo sin dificultad. Para ello, ofrece las siguientes posibilidades:
‚ Se ejecuta bajo todos los sistemas operativos Windows, versión 98 o

superior, como 98SE, ME, NT4, 2000, 2003 y XP.
‚ Opera con cualquier tipo de conexión de Internet y con todo tipo de
aplicaciones, con la única excepción que no es posible ejecutar dos
cortafuegos simultáneamente.

‚ El Asistente de configuración automática selecciona la mejor protección

para su ordenador durante el proceso de instalación.
‚ Actualización frecuente del programa a través de la utilidad
, para asegurar la mejor protección contra nuevos peligros y
ataques.
Tras descargar e instalar la aplicación (es conveniente permitir que el propio

programa de instalación establezca el nivel de seguridad de forma automática),
deberá visualizarse una pantalla como la mostrada en la figura 3.28.
Como puede observarse, la ventana principal consta de tres barras de

herramientas: menús, iconos y elemento activo actual. En la parte superior y de
forma similar a como aparece en los navegadores, se visualiza el nombre de la
configuración cargada (configuración1.cfg en la figura). Esto es muy importante
ya que Outpost Firewall Pro permite seleccionar entre varias configuraciones
(con diferentes niveles de restricción) que se pueden seleccionar mediante la
opción Cargar Configuración del menú Archivo. Para establecer una nueva
configuración hay que seleccionar la opción Nueva configuración del menú
Archivo. Se abre una ventana como la de la figura 3.29, donde, como puede
observarse, deberá optarse por una de las dos opciones disponibles, la
configuración automática (recomendada durante la instalación) o bien la
utilización de un asistente de configuración. Una vez creada la nueva
configuración, deberá ser guardada con un nombre diferente a las ya existentes
(por ejemplo, configuracion2).

Las opciones que pueden ser activadas del menú Ver permiten modificar la
apariencia, visibilidad y algunos otros parámetros (Configuración avanzada)
como los mostrados en la figura 3.30. Lo mejor es dejarlas como están.
El menú Herramientas incluye opciones muy interesantes como la actualización

de la aplicación (Agnitum Update), el visor de registros y Verificar en línea la
seguridad del ordenador. Esta última opción es muy importante porque nos va a
mostrar rápidamente si estamos siendo atacados en este instante.
Así, por ejemplo, la figura 3.31 muestra la solicitud de una conexión saliente (a
Internet) por parte de un proceso (el navegador Firefox) que el cortafuegos
detecta como sospechoso. Las opciones posibles son permitir o bloquear el
acceso.

El menú de Opciones se compone de cinco pestañas: General, Aplicaciones,

Sistema, Política y Complementos.
La pestaña General (figura 3.32) permite algunas configuraciones como el

modo en que se iniciará el cortafuegos, botones de ventana y protección por
contraseña.

La pestaña Aplicaciones (figura 3.33) permite visualizar las aplicaciones

instaladas agrupadas de tres formas: bloqueadas (rechazadas siempre por el
firewall), con reglas (permitidas por el firewall si cumplen unas determinadas
reglas) y permitidas (transparentes para el firewall).
Los botones Agregar, Eliminar y Modificar permiten realizar las operaciones

necesarias entre las aplicaciones pertenecientes a cada grupo.
La pestaña Sistema (figura 3.34) es muy interesante ya que además de permitir

la configuración de los parámetros de red, del protocolo ICMP y del tipo de
respuesta, permite la configuración de reglas que afectan tanto al tráfico como
a las aplicaciones.

En efecto; pulsando sobre el botón Configuración perteneciente a la opción

Reglas globales de Sistema y Aplicaciones aparece una ventana con todas las
reglas establecidas. Si se desea añadir una regla que, por ejemplo, bloquee el
acceso remoto de una máquina con una dirección IP determinada hay que
pulsar el botón Agregar, marcar el evento de la regla “Si la dirección remota
especificada es “, sustituir el valor “Indefinida” del punto 3 (detalles de la regla)
por la dirección que se desea bloquear y marcar la acción Bloquear del punto 2.
Por último, dar un nombre a la nueva regla creada. La figura 3.35 muestra las
reglas seleccionadas. Pulsando sobre aceptar, la nueva regla deberá aparecer
en la lista de reglas, tal y como muestra la figura 3.36.

No hay que olvidar pulsar sobre el botón Aplicar antes de cerrar la ventana
Sistema para que los cambios sean efectivos.
La pestaña Política permite seleccionar uno de los cinco modos de

funcionamiento del cortafuegos (figura 3.37). El modo Asistente de reglas
(seleccionado por defecto) es el más apropiado, aunque los modos Restrictivo y
Bloquear todo pueden ser utilizados en casos de necesidad extrema de
seguridad.
La barra de iconos está compuesta por siete iconos, cada uno de los cuales
activa opciones incluidas en los diferentes menús de la barra de menús. Así por
ejemplo, si se activa el primer icono (un interrogante) puede seleccionarse
cualquiera de las cinco políticas mostradas en la figura 3.37, obtenidas
mediante la pestaña Política del menú Opciones.
De especial relevancia son los iconos Filtrar por intervalo de tiempo y el Visor
de registros (presente en el menú Herramientas). Ambos están relacionados ya
que el visor de registros mostrará los eventos que se produzcan en el intervalo
de tiempo establecido por el icono del filtrado: sesión actual, hoy o todo.
El visor de registros es una herramienta que le confiere a este firewall una de

las características más típicas de un IDS (sistema de detección de intrusos) ya
que permite visualizar la actividad
Permite visualizar todos los eventos registrados relativos a las siguientes

actividades desarrolladas por el firewall:

‚ Alertas visuales.
‚ Los seis tipos de complementos de Outpost Firewall Pro.
‚ Conexiones bloqueadas.
‚ Conexiones Permitidas.
‚ Control de componentes.
‚ Registro de sistema.
Los contenidos de los registros son archivos log (archivos que registran todo lo
que detecta y responde el cortafuegos). Las siguientes figuras ilustran los
contenidos de algunos de estos registros.



Con todo lo visto hasta el momento se puede comprobar la facilidad de manejo

de Outpost Firewall Pro, así como la abundante información que suministra
sobre todo lo que realiza en el intervalo de tiempo configurado.
El menú de Ayuda, aunque se encuentra en inglés puede servir como

información de algún elemento concreto de esta magnífica herramienta.
La selección de este cortafuegos ha sido meditada y probada ampliamente en

el trabajo diario y cotidiano con distintas aplicaciones de Internet y una
conexión ADSL de 512 Kb/s.
Las dos secciones que se relatan a continuación justifican esta decisión y

abundan en datos y comparaciones, en primer lugar con el cortafuegos
suministrado por Windows XP y en segundo lugar con cortafuegos personales
de similares prestaciones.
Comparativa con el ICF de Windows XP
Como consecuencia del aumento desmesurado de los ataques y amenazas

que, a través de Internet, se ceban a diario con los sistemas operativos de
Microsoft, este fabricante, con muy buen criterio, ha decidido integrar un
cortafuegos con el Service Pack 2 de Windows XP y ha denominado al mismo

como Internet Connection Firewall (ICF o cortafuegos para la conexión a

Internet).
No obstante, se trata de una herramienta con un nivel de prestaciones muy

básico que puede generar una falsa sensación de seguridad, ya que aunque
mejora la seguridad de los ordenadores que ejecutan aplicaciones sobre dicho
sistema operativo, quedan sin cubrir varios aspectos críticos que no bloquean la
totalidad de las actuales amenazas y pueden causar graves daños a la
seguridad e integridad de nuestro equipo, nuestros datos y nuestra privacidad.
La siguiente tabla compara el comportamiento de ambos cortafuegos ante

ataques de fugas de privacidad, ataques de gusanos y troyanos, ataques DoS,
ataques de contenido no deseado y facilidad de manejo.
El cortafuegos de Windows no filtra ni impide El complemento Bloqueo de contenido

el tráfico saliente, por lo que nuestros datos incluido en Outpost Firewall Pro evita el robo
personales pueden ser susceptibles de fuga de información sensible y la fuga hacia el
hacia el exterior y ser captados por individuos exterior de nuestros datos privados
ajenos sin ningún tipo de control ni impidiendo la ejecución de programas
impedimento (spyware). legítimos modificados maliciosamente.
El cortafuegos de Windows no filtra ni impide El de Outpost

el tráfico saliente, no teniendo posibilidades Firewall Pro conserva un registro (log) de toda
de bloquear la actividad ilegal causada por la actividad de red efectuada por los
troyanos. elementos y módulos de cada aplicación,
Por la misma razón, no puede impedir la impidiendo toda conexión ilegal desde y hacia
distribución de gusanos a través de su correo el exterior. De esta forma, si hubiera troyanos
electrónico. instalados en nuestro ordenador, estos no
podrían enviar información hacia el ordenador
del intruso.
El impide que
aplicaciones legítimas ejecuten programas
desconocidos que pudieran poner en peligro
nuestro sistema.
El cortafuegos de Windows no está diseñado Outpost Firewall detecta y bloquea

para efectuar un análisis exhaustivo y rápidamente todo tipo conocido de ataques,
profundo del tráfico entrante de datos ni incluyendo denegación de servicio (DoS) ya
tampoco dispone de ninguna utilidad capaz que, por defecto, Outpost Firewall configura

de detectar un ataque DoS. nuestro sistema en modo invisible.
El cortafuegos de Windows también es El complemento

incapaz de bloquear intrusos por dirección IP protege nuestro ordenador de la introducción
y de cerrar a tiempo el puerto atacado. Por de paquetes peligrosos, alertando y
tanto, nuestro ordenador puede ser agredido y bloqueando todo tipo de ataques y
nunca nos daremos cuenta de ello hasta generando un informe detallado de los
comenzar a sufrir las consecuencias. mismos en el .
El filtrado de protocolos es una herramienta

que nos permitirá establecer un exhaustivo
control de todos los paquetes que acceden a
los puertos de nuestro ordenador, impidiendo
el acceso de códigos maliciosos.
El cortafuegos de Windows puede bloquear El complemento puede

dominios de Internet introduciendo, de forma impedir el acceso a dominios completos
manual, su dirección en una lista de exclusión cuyos contenidos no sean adecuados para
pero no es capaz de realizar un filtrado de menores como, por ejemplo, sex.com o
información basado en palabras clave y por cualquier página que contenga en su
tanto, no es capaz de ofrecer una protección dirección o dentro del texto, palabras
efectiva al 100%. determinadas por el usuario.
Una vez establecidos estos parámetos, es

imposible acceder a los sitios y/o páginas
bloqueadas sin conocer la contraseña
definida por el administrador del ordenador, lo
cual constituye una protección efectiva para
padres y una forma de controlar el acceso de
los trabajadores de una oficina o empresa.
El cortafuegos de Windows no provee El sistema de configuración automática, que

herramientas especiales para registrar y se activa durante la instalación del
analizar la actividad de la red, siendo cortafuegos permite establecer los mejores
particularmente difícil de configurar para parámetros de seguridad para cada programa
usuarios novatos. instalado en nuestro ordenador.
Posteriormente, durante su uso, el modo

permite establecer las
reglas de funcionamiento que mejor se
adapten a cada nuevo programa o necesidad
de comunicación, protegiendo de forma
permanente nuestro ordenador.
El sistema de alertas visuales nos informa

cada vez que un ataque haya sido bloqueado
o se haya cambiado el nombre a cualquier
mensaje de correo sospechoso.

Comparativa con otros cortafuegos personales de similares prestaciones
La siguiente tabla muestra los resultados de las pruebas realizadas con ocho
de los cortafuegos más utilizados.
La explicación de cada una de las pruebas aplicadas a cada cortafuegos se

expone al final de la tabla.
Zone
Outpost Outpost Kerio Sygate McAfee Zone
Producto Alarm Sygate
Pro Free PF Pro PF Alarm
PRO
Versión 2.0.212.2918 1.0.1817 2.1.4 3.7.159 5.0 5.0 4.1 3.7.159
Tamaño de la descarga
antes de la instalación, en 5.17 2.72 2.05 3.9 5.2 5.04 2.02 3.57
MB
Gratuito
Cantidad de análisis de
fuga bloqueados (Leak
Test)
Filtrado de aplicaciones
por nivel
Filtrado de paquetes por
nivel
Detección de ataques de
Internet
Protocolo para el filtrado
dinámico de paquetes
(Stateful Inspection)
Invisible a intrusos
Cuarentena para adjuntos
de correo (gusanos)
Bloqueo de referencias
de navegación
(referrers)
Bloqueo de animaciones
Flash
Bloqueo de publicidad
Bloqueo de ventanas
emergentes
Filtrado de código
ejecutable (ActiveX) en
sitios de Internet
Filtrado de código
ejecutable (ActiveX en
correo electrónico
Filtrado de Cookies en
sitios de Internet
Filtrado de Cookies en
correo electrónico
Filtrado de guiones
activos en sitios de
Internet
Filtrado de guiones
activos en correo
electrónico
Detección automática de
aplicaciones durante la
instalación
Detección automática de
parámetros de red

durante la instalación
Niveles predefinidos de
acceso para aplicaciones
Niveles predefinidos de
acceso al sistema
Actualización automática
Cambio simple de
configuraciones de
usuario
Grupo de direcciones
confiables
Visualización de
conexiones activas
Visualización de puertos
abiertos
Visualización del histórico
de conexiones
Filtrado del histórico de
conexiones
Protección de
configuración por
contraseña
Permitir / detener todo el
tráfico de Internet
Control paternal de
acceso
Visualización de traza
Mensajes de alerta
Operación en modo
silencioso
Disminución del tiempo
de conexión
Puntuación 37 26 19 28 20 20 12 14
‚ Cantidad de análisis de fuga bloqueados (Leak Test)

Las pruebas denominadas Leak Test se ejecutan para verificar la eficiencia
del filtrado de conexiones salientes en cortafuegos personales. Equivalen al
efecto que producen los troyanos (y que instalan una puerta trasera) aunque
la tecnología aplicada es mucho más complicada.
‚ Filtrado de aplicaciones por nivel

El filtrado de aplicaciones por nivel habilita al cortafuegos para monitorizar el
comportamiento de las aplicaciones. Esta forma de filtrado permite el control
específico de la actividad individual para cada aplicación.
Ejemplo: "Permitir a Outlook Express comunicaciones salientes usando el
protocolo TCP al puerto remoto 80 y servidor remoto mymail.server.com
impidiendo cualquier otra actividad".

‚ Filtrado de paquetes por nivel

El filtrado de paquetes por nivel le permite al cortafuegos monitorizar el
comportamiento de las aplicaciones a un nivel más elemental.
Esta forma de filtrado permite el control específico de de la actividad individual
para cada aplicación y de forma más específica.
‚ Detección de ataques de Internet

Capacidad que tiene el cortafuegos para detectar ataques remotos y
utilización de vulnerabilidades para infiltrar el ordenador, como por ejemplo, la
actividad desplegada por ataques Nuke, Teardrop, NesTea, IGMP_SYN entre
otros.
‚ Protocolo para el filtrado dinámico de paquetes (Stateful Inspection)

La tecnología para el filtrado dinámico de paquetes mantiene una tabla de
sesiones TCP y UDP activas, siendo más segura que el filtrado de paquetes
debido a que permite el control de segmentos más pequeños a través del
tráfico de Internet.
‚ Invisible a intrusos
Normalmente, cuando su ordenador recibe una solicitud de conexión desde
un equipo remoto a un puerto cerrado, éste envía una respuesta al ordenador
solicitante indicando justamente, que dicho puerto está cerrado.
En modo invisible, el ordenador no responderá a dicha petición,
comportándose como si estuviera apagado o desconectado de Internet.
‚ Cuarentena para adjuntos de correo (gusanos)

Al cambiar la extensión de los archivos adjuntos que llegan con el correo
electrónico, los mismos son convertidos en inofensivos
‚ Bloqueo de referencias de navegación (Referrers)

Al navegar por distintos sitios o páginas de Internet, su navegador puede
revelar información sobre sus hábitos de consulta y sitios visitados.
Si esa información privada es utilizada por administradores inescrupulosos, la
misma pudiera ser incorporada a listados de correo no solicitado, para ser
usada con fines comerciales. El bloqueo de estas referencias de navegación,
mantienen la privacidad a resguardo.
‚ Bloqueo de animaciones Flash

La capacidad del cortafuegos para bloquear animaciones desarrolladas en
Flash disminuye el uso del ancho de banda e incrementa la velocidad de
acceso a las páginas de Internet así como la satisfacción del usuario al
navegar.
‚ Bloqueo de publicidad
La capacidad del cortafuegos para bloquear animaciones y publicidad no
solicitada, disminuye el uso del ancho de banda e incrementa la velocidad de
acceso a las páginas de Internet así como la satisfacción del usuario al
navegar.

‚ Bloqueo de ventanas emergentes

La capacidad del cortafuegos para bloquear ventanas emergentes disminuye
el uso del ancho de banda y el consumo de recursos del sistema,
incrementando la satisfacción del usuario al navegar.
‚ Filtrado de código ejecutable (ActiveX) en sitios de Internet

Es la capacidad que tiene el cortafuegos para filtrar código ActiveX
potencialmente peligroso en sitios de Internet.
‚ Filtrado de código ejecutable (ActiveX) en correo electrónico

Es la capacidad que tiene el cortafuegos para filtrar código ActiveX
potencialmente peligroso en mensajes de correo electrónico.
‚ Filtrado de Cookies en sitios de Internet

Es la capacidad que tiene el cortafuegos para permitir o denegar la instalación
de los pequeños archivos de texto de 1 Kb de tamaño denominadas Cookies,
que contienen información sobre hábitos de navegación, con la particularidad
que las mismas son transferidas desde una página visitada en Internet, a
través del navegador, al ordenador del usuario. En algunas ocasiones, dicha
información puede ser transferida nuevamente a un sitio previamente visitado.
‚ Filtrado de Cookies en correo electrónico

Capacidad similar a la anterior, pero relativa al correo electrónico.
‚ Filtrado de guiones activos en sitios de Internet

Es la capacidad que tiene el cortafuegos para bloquear el accionar de guiones
activos potencialmente peligrosos (Java, VBS, etc.), que pudieran intentar
ejecutarse al visitar ciertas páginas de Internet.
‚ Filtrado de guiones activos en correo electrónico

Capacidad similar a la anterior pero en contenidos de correo electrónico.
‚ Detección automática de aplicaciones durante la instalación

Es la habilidad que tiene el cortafuegos para detectar las aplicaciones que
pudieran necesitar conexión con Internet o la red local y configurar los
parámetros adecuados para cada una de ellas. Esta característica le permite
al usuario gozar de la protección del cortafuegos inmediatamente después de
la instalación.
‚ Detección automática de parámetros de red durante la instalación

Es la habilidad que tiene el cortafuegos para detectar las características de la
red local y configurar los parámetros adecuados para su utilización inmediata
después de la instalación.
‚ Niveles predefinidos de acceso para aplicaciones

Las reglas predefinidas, elaboradas por los desarrolladores de Agnitum
Outpost Firewall, para aplicaciones que pudieran necesitar conexión a
Internet y/o a la red local, han sido verificadas y optimizadas para el mejor
funcionamiento del sistema en general logrando un excelente nivel de

protección sin que el usuario deba conocer el funcionamiento específico y

profundo de cada programa, puertos y protocolos involucrados.
‚ Niveles predefinidos de acceso al sistema

Las reglas predefinidas, elaboradas por los desarrolladores de Agnitum, para
el funcionamiento del sistema operativo y de la red local, han sido verificadas
y optimizadas y optimizadas para el mejor funcionamiento del sistema en
general logrando un excelente nivel de protección sin que el usuario deba
conocer el funcionamiento específico y profundo de cada programa, servicio,
puertos y protocolos involucrados.
‚ Actualización automática
Cuando el cortafuegos posee una herramienta específica que permite la
actualización del programa de forma totalmente automática, en cada uno de
los procesos involucrados: descubrimiento de los nuevos componentes,
selección e instalación de los mismos sin necesidad del conocimiento y/o
ejecución por parte del usuario, se está garantizando la protección contra
nuevas amenazas y evitando los errores u olvidos propios de una actividad
manual y voluntaria.
‚ Cambio simple de configuraciones de usuario

Capacidad que posee el cortafuegos para permitir la creación de
configuraciones independientes, para distintas situaciones y/o usuarios aún
bajo la misma sesión y/o perfil de Windows, admitiendo el cambio de
configuración con una simple pulsación del ratón.
‚ Grupo de direcciones fiables

Posibilidad de crear grupos de direcciones confiables, dentro de la red local o
con direcciones remotas, que permita toda actividad sin necesidad de crear
reglas especiales.
‚ Visualización de conexiones activas

Capacidad del cortafuegos para visualizar el estado de las conexiones
activas.
‚ Visualización de puertos abiertos

Capacidad del cortafuegos para visualizar el estado de los puertos abiertos.
‚ Visualización del histórico de conexiones

Posibilidad que ofrece el cortafuegos de generar informes para todas las
conexiones efectuadas y sucesos detectados.
‚ Filtrado del histórico de conexiones

Capacidad que ofrece la herramienta específica para filtrar los informes
generados por el cortafuegos y visualizar sólo los sucesos de preferencia del
usuario, como por ejemplo: "Todas las conexiones efectuadas por Outlook
Express desde las 9 hasta las 11 horas del día 14 de Agosto".

‚ Protección de configuración por contraseña

Característica de seguridad que permite proteger los parámetros de
funcionamiento del cortafuegos, impidiendo la modificación no autorizada de
sus reglas.
‚ Permitir / detener todo el tráfico de Internet

Posibilidad que ofrece el cortafuegos de permitir o detener todo el tráfico de
Internet con sólo una pulsación del ratón, ignorando cualquier tipo de regla
creada.
‚ Control paternal de acceso

El control paternal de acceso (incluyendo en su sentido más amplio, niños,
empleados y dependientes) permite bloquear el acceso a sitios considerados
inapropiados por el Administrador del sistema, ya sea restringiendo por
dominio, palabras clave en las direcciones de Internet y/o en el contenido de
las páginas visitadas.
‚ Visualización de traza
Utilidad específica que permite rastrear y obtener el origen de un ataque a su
ordenador.
‚ Mensajes de alerta
Los mensajes emergentes de alerta permiten advertir al usuario sobre
actividades potencialmente peligrosas que pudieran requerir su inmediata
atención.
‚ Operación en modo silencioso

Posibilidad de ejecutar el cortafuegos como servicio, bloqueando tráfico y/o
contenido indeseado sin conocimiento ni visualización por parte del usuario.
‚ Disminución del tiempo de conexión

La habilitación del Caché DNS permite resolver localmente los nombres de
dominio accedidos con mayor frecuencia, disminuyendo drásticamente el
tiempo necesario para establecer las conexiones y para los servicios más
frecuentes, como WWW, correo electrónico, noticias, ICQ, etc.
‚ Puntuación
Cada característica marcada con un SI suma un punto. La puntuación es el
resultado de la suma de todos los Sí.
‚ Listado de productos evaluados:
/ Agnitum Outpost Firewall Pro

/ Agnitum Outpost Firewall Free
/ Kerio Personal Firewall
/ Zone Alarm Pro
/ Sygate Personal Firewall Pro
/ Sygate Personal Firewall
/ McAfee Personal Firewall
/ Zone Alarm.

Los productos mencionados aquí son marcas de fábrica, denominación

comercial y/o marcas registradas propiedad de sus respectivos dueños.
Durante mucho tiempo el mecanismo de seguridad en redes más extendido ha

sido el uso exclusivo de un firewall. Este sistema nos permite de una manera
simple y eficaz aplicar filtros, tanto para el tráfico de entrada como para el de
salida en nuestra red.
Podemos diferenciar entre dos políticas básicas de configuración de firewalls:

‚ (allow everything) caracterizada porque el uso de
filtros es mínimo o inexistente. Esta política permite prácticamente la
circulación de todo el tráfico y se utiliza principalmente en Intranets/LAN,
campus universitarios y organizaciones donde la libertad de uso de
aplicaciones (o la gran cantidad de ellas) es necesaria para el
funcionamiento ordinario del sistema.
Es una política que dificulta enormemente el uso de otros sistemas y deja

a la red muy vulnerable a prácticamente cualquier tipo de ataque interno
o externo. En estos casos se recomienda segmentar la red en dominios y
acotar cada uno de estos dominios, ya que raramente todos los
ordenadores tienen que acceder a todos los recursos disponibles de la
red.
‚ (deny everything) aplica una política contraria a la

anterior. En este caso se deniega acceso a todos los servicios de la red
y se van permitiendo accesos a estos a medida que se necesiten. De
esta forma es bastante improbable que recibamos un ataque a un
servicio que desconocíamos que teníamos en la red. Por otro lado, el
trabajo de otros sistemas se facilita enormemente ya que pueden
configurarse para que detecten fácilmente cualquier comportamiento
anómalo en la red (simplemente se debe monitorizar los accesos a los
servicios y comprobar si esos accesos están permitido expresamente o
no). El inconveniente de este tipo de política es que requiere un gran
esfuerzo y dedicación ya que es poco flexible y en organizaciones con
gran cantidad de usuarios con diferentes requerimientos puede llevar a
tener que permitir tantos accesos cruzados que deje de ser práctico.
Destacar que el simple uso de un firewall puede crear una falsa sensación de
seguridad que de nada sirve si no son configurados y “mantenidos al día”
(aplicación de los parches/patches del fabricante, supervisión y adaptación al
tráfico de la red...).
Muchas organizaciones con cientos de ordenadores y decenas de firewalls no

disponen de una sola persona cualificada asignada exclusivamente a su
mantenimiento. Por otro lado, este tipo de sistemas son incapaces de detectar
tipos de ataques cada vez más sofisticados lo que hace necesario la adopción
de otros sistemas de control para completar la seguridad en nuestra red.

Un es un sistema de alerta en tiempo real que recolecta y analiza

información procedente de distintas áreas de un ordenador o red de
ordenadores con el objetivo de identificar posibles fallos de seguridad. Este
análisis en busca de intrusiones incluye tanto los posibles ataques externos
(desde fuera de nuestra organización) como los internos (debidos a un uso
abusivo o fraudulento de los recursos) y para ello utiliza, normalmente, una
base de datos capaz de identificar y reconocer algún patrón definido como
potencialmente peligroso.
La supervisión realizada por un IDS se realiza de forma diferente según se trate

de ordenadores aislados o de redes de ordenadores:
‚ En el caso de los ordenadores se realiza a nivel de sistema operativo
para controlar los accesos de los usuarios, modificación de ficheros del
sistema, uso de recursos (CPU, memoria, red, disco...) con el objetivo de
detectar cualquier comportamiento anómalo que pueda ser indicativo de
un abuso del sistema.
‚ En el caso de redes de ordenadores pueden monitorizarse usos de
anchos de banda, accesos a/desde direcciones no permitidas, uso de
direcciones falsas, etc. con el objetivo de encontrar un comportamiento
anómalo o atípico en el tráfico de la red supervisada que nos pueda
indicar una posible anomalía.
Los IDS aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra

red, examinan los paquetes analizándolos en busca de datos sospechosos y
detectan las primeras fases de cualquier ataque como pueden ser el análisis de
nuestra red, barrido de puertos, etc.
Se puede afirmar que un IDS es al tráfico de red lo que un antivirus al análisis

de los archivos almacenados en disco.
Existen tres conceptos básicos que es necesario conocer para comprender la

filosofía de funcionamiento de un IDS:
‚ (signature) que se puede definir como aquello que define o

describe un patrón de interés en el tráfico de nuestra red.
‚ (filter) que se puede definir como la trascripción de una firma
(signature) a un lenguaje compresible por los sensores que monitorizan
nuestra red.
‚ (Events Of Interest, EOI) que son el subconjunto
mínimo de muestras que deben analizarse para considerar una red como
“segura” o también, el subconjunto de los genuinos positivos verdaderos
(genuine non-false positives)
La diferencia entre un IDS y un firewall consiste en que mientras el firewall

solamente filtra y genera registros (logs), un IDS vigila constantemente de
modo que, cuando reconoce un patrón, actúa según haya sido programado (no
siempre filtrando), generando alertas en tiempo real por pantalla, o por correo
electrónico.
Cada vez es más común que los fireawalls incluyan funcionalidades de IDS,
como ya hacen Agnitum Outpost Firewall, Kerio Personal Firewall, BlackICE PC

Protection... y bastantes otros. Aún así, las características IDS que incluye un
firewall son bastante limitadas, siendo preferible el uso de software IDS
especializado, como SNORT, CIDS (Cerberus Intrusión Detection System) y
MIDAS (Monitoring Intrusion Detection Administration System).
La combinación más usual suele ser un buen IDS (Snort suele ser la opción
elegida) con un sistema de base de datos (normalmente mySQL), generación
web con estadísticas (PHP), herramienta de control por consola (ACID,
Analysis Console for Intrusion Databases) y servidor web (Apache). El IDS
supone el núcleo central, la base de datos controla tanto la programación del
IDS como el registro de logs, PHP genera webs que Apache sirve y que
podemos consultar en tiempo real mediante cualquier navegador. ACID ayuda
a la programación y orquestación de todos los elementos. La única desventaja
es que la instalación y correcta configuración de Snort + mySQL + PHP + ACID
+ Apache es bastante tediosa y compleja.
Los dos componentes básicos de un IDS son los sensores y la consola.
Los (sensors) de un IDS son elementos pasivos que examinan todo el

tráfico de su segmento de red en búsqueda de eventos de interés.
Dependiendo del paradigma que utilicen para comunicarse con la consola del
sistema detector de intrusos pueden clasificarse en dos grupos:
‚ . Cuando se detecta un evento de interés el sensor crea un paquete

de datos que envía a la consola. Un protocolo muy utilizado con este tipo
de sensores es el SNMP que permite la definición de traps para el envío
de información a un receptor (la consola en este caso). Su principal
inconveniente es que pueden ser observador por el atacante para
descubrir cómo ha sido configurado y ante qué tipo de patrones
reacciona, lo que permite establecer qué patrones ignora el sensor y por
tanto, cuales emplear en un ataque.
‚ . Almacenan los eventos de interés hasta que la consola pregunta
por ellos al sensor. Si se establece un protocolo de intercambio de

mensajes cifrado y se pregunta regularmente a los sensores puede

ofrecer un mecanismo eficaz de comunicación con la consola. Para
evitar susceptibilidades, en caso de que el sensor no detecte eventos
incluirá una cadena de caracteres aleatoria para evitar enviar siempre el
mismo paquete de cuando no existen eventos detectados.
La (console) de un sistema de detección de intrusos es la encargada

de recibir toda la información de los sensores (ya sea mediante "pull" o "push")
y presentarla de forma inteligible para el operador. Desde la consola se pueden
configurar los distintos sensores así como emprender acciones en respuesta a
los datos recibidos de los sensores.
1. Respecto al tipo de sistema al que están orientados. Son los siguientes:
‚ (Host Intrusion Detection System), conocidos como IDS

simplemente, que están orientados a un único host; es decir, se
instalan y actúan en una sola máquina. Son los IDS más
comunes. La ventaja sobre otros tipos de IDS es que consumen
muy pocos recursos de sistema.
‚ (Network Intrusion Detection System), orientados a la
monitorización de redes completas y (Virtual Private
Networks). Se instala en una máquina pero actúa en un grupo de
ellas. Normalmente además del uso de una base de datos, se
apoyan en la búsqueda de patrones en los paquetes que pasan
por la red (similar al firewall de filtrado de paquetes).
‚ (Distributed Intrusion Detection System), que son
básicamente un tipo de estructurados de forma distribuida
(ver figura), esto es, con diversos módulos que operan desde
distintas máquinas. Se instalan en diversas máquinas con un
control centralizado. La principal ventaja sobre los otros tipos de
IDS consiste en que un sistema DIDS no cae en caso de ataque a
una de las máquinas que lo sustentan, si bien un potencial
atacante que conozca el sistema procurará lanzar un ataque
DDoS. Tanto los NIDS como los DIDS, especialmente los últimos,
realizan un consumo de recursos de sistema bastante importante.
2. Según el tipo de respuesta, los IDS se clasifican en:
‚ . Se caracterizan porque notifican a la autoridad

competente o administrador de la red mediante el sistema que
sea, alerta, etc., pero no actúan sobre el ataque o atacante. Es
decir; sólo se limitan a notificar cuando se produce un ataque.
‚ Se caracterizan porque siempre generan algún tipo de
respuesta ante cualquier ataque como, por ejemplo, cerrar la
conexión o enviar algún tipo de respuesta predefinida en nuestra
configuración.


Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en
cada host o en cada tramo de red, lo cual tendría cierta lógica en el caso de
grandes redes, aunque lo que realmente se prefiere es instalar el IDS en un
dispositivo por donde pase todo el tráfico de red que nos interese.
En este sentido, uno de los problemas de los IDS es su implementación en

redes conmutadas ya que este tipo de redes no cuenta con ningún segmento
de red por donde pase todo el tráfico. Otro problema para un IDS son las redes
con velocidades de tráfico muy altas en las cuales es difícil procesar todos los
paquetes. Las tres formas más utilizadas a la hora de situar un IDS son:
‚ (ver figura 3.47). Esta arquitectura se basa en detectar

todos los paquetes que llegan a nuestra red antes de ser filtradas por el
firewall. De esta forma, realizamos una búsqueda de eventos de interés
en todo el tráfico recibido sin interferencias de filtros del firewall. La
posibilidad de falsas alarmas es grande.
‚ (ver figura 3.48). Consiste en situar el sensor

en el propio firewall. De esta forma se evitan ataques de intrusos a los
sensores externos y se eliminan muchos falsos positivos, ya que
procesamos únicamente el tráfico que el firewall deja pasar.

‚ (ver figura 3.49). Es la opción más costosa pero la

que ofrece mayor seguridad, ya que permite obtener lecturas del tráfico
total y del tráfico filtrado por el firewall. Permite examinar la configuración
del firewall y comprobar si filtra correctamente o no.
En ambientes domésticos, lo normal es colocar el IDS en la misma máquina

que el cortafuegos. En este caso actúan en paralelo, es decir, el firewall detecta
los paquetes y el IDS los analiza.
Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS)

que implementa un motor de detección de ataques y barrido de puertos capaz
de registrar, alertar y responder ante cualquier anomalía previamente definida
como patrones que corresponden a ataques, barridos, intentos aprovechar
alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo esto en
tiempo real.
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas
Windows y UNIX/Linux. (Ver dirección en el apartado de materiales de la mesa de
trabajo). Es uno de los más usados y dispone de una gran cantidad de filtros o
patrones ya predefinidos, así como actualizaciones constantes ante casos de
ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de
los distintos boletines de seguridad.
Este IDS implementa un lenguaje de creación de reglas flexibles, potente y

sencillo. Durante su instalación proporciona cientos de filtros o reglas para
detectar ataques tipo backdoor, ddos, finger, ftp, ataques web, CGI, escaneos
Nmap...
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué
ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite
guardar en un archivo los logs para su posterior análisis, un análisis off-line) o
como un IDS normal (en este caso NIDS).
La colocación de Snort en una red puede realizarse según el tráfico que se

desea vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera
del firewall, etc. y, prácticamente donde queramos.
Una característica muy importante e implementada desde hace pocas

versiones es . Permite, dada una conexión que emita tráfico
malicioso, darla de baja, hacerle un DROP mediante el envío de un paquete
con el flag RST activa, con lo cual cumpliría funciones de firewall, cortando las
conexiones que cumplan ciertas reglas predefinidas. No sólo corta las
conexiones ya que puede realizar otras muchas acciones.
A continuación se ilustran ejemplos de funcionamiento de este IDS.
C:\Snort20\bin>snort
-*> Snort! <*-
Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)
1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
USAGE: snort [-options] <filter options>
snort /SERVICE /INSTALL [-options] <filter options>
snort /SERVICE /UNINSTALL
snort /SERVICE /SHOW
Options:
-A Set alert mode: fast, full, console, or none (alert file alerts only)
-b Log packets in tcpdump format (much faster!)
-c <rules> Use Rules File <rules>
-C Print out payloads with character data only (no hex)
-d Dump the Application Layer
-e Display the second layer header info
-E Log alert messages to NT Eventlog. (Win32 only)
-f Turn off fflush() calls after binary log writes
-F <bpf> Read BPF filters from file <bpf>
-h <hn> Home network = <hn>
-i <if> Listen on interface <if>
-I Add Interface name to alert output
-k <mode> Checksum mode (all,noip,notcp,noudp,noicmp,none)
-l <ld> Log to directory <ld>
-L <file> Log to this tcpdump file
-n <cnt> Exit after receiving <cnt> packets
-N Turn off logging (alerts still work)
-o Change the rule testing order to Pass|Alert|Log
-O Obfuscate the logged IP addresses
-p Disable promiscuous mode sniffing
-P <snap> Set explicit snaplen of packet (default: 1514)
-q Quiet. Don't show banner and status report
-r <tf> Read and process tcpdump file <tf>
-R <id> Include 'id' in snort_intf<id>.pid file name
-s Log alert messages to syslog
-S <n=v> Set rules file variable n equal to value v
-T Test and report on the current Snort configuration
-U Use UTC for timestamps
-v Be verbose
-V Show version number
-W Lists available interfaces. (Win32 only)
-w Dump 802.11 management and control frames
-X Dump the raw packet data starting at the link layer
-y Include year in timestamp in the alert and log files
-z Set assurance mode, match on established sesions (for TCP)
-? Show this information
<Filter Options> are standard BPF options, as seen in TCPDump
Uh, you need to tell me to do something...
: No such file or directory
El formato genérico para este modo es:

snort [-opciones] < filtro >

C:\Snort20\bin>snort -v
Running in packet dump mode
Log directory = log
Initializing Network Interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
--== Initializing Snort ==--

Initializing Output Plugins!
Decoding Ethernet on interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
--== Initialization Complete ==--
-*> Snort! <*-
Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72)

1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
05/21-11:00:28.593943 ARP who-has 192.168.2.92 tell 192.168.2.60
05/21-11:00:28.594419 ARP who-has 192.168.2.8 tell 192.168.2.60
05/21-11:00:28.594544 ARP who-has 192.168.2.93 tell 192.168.2.60
05/21-11:00:30.467265 192.168.2.5:1025 -> 192.168.2.1:139

TCP TTL:128 TOS:0x0 ID:16685 IpLen:20 DgmLen:104 DF
***AP*** Seq: 0x6B703 Ack: 0x2266A0C Win: 0x2238 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/21-11:00:30.467731 192.168.2.1:139 -> 192.168.2.5:1025

Con el parámetro modo verbouse) iniciamos Snort en modo Sniffer

visualizando en pantalla las cabeceras de los paquetes TCP/IP, UDP y ICMP.
Para visualizar, además, los campos de datos que pasan por la interface de
red, añadiremos el parámetro (data).
C:\Snort20\bin>snort -vd
Log directory = log
Initializing Network Interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
.....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/21-11:06:18.943887 192.168.4.5:3890 -> 192.168.4.15:8080

***A**** Seq: 0xE3A50016 Ack: 0x8B3C1E4D Win: 0xFAF0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/21-11:06:18.962018 192.168.4.5:3890 -> 192.168.4.15:8080

***AP*** Seq: 0xE3A50016 Ack: 0x8B3C1E4D Win: 0xFAF0 TcpLen: 20
47 45 54 20 68 74 74 70 3A 2F 2F 77 77 77 2E 6F GET http://www.x
6D 65 6C 65 74 65 2E 63 6F 6D 2E 62 72 2F 73 75 xxxx.com.br/xx
70 65 72 6F 6D 65 6C 65 74 65 2F 64 6F 77 6E 6C xxxxxxx/downl
6F 61 64 73 2F 64 65 66 61 75 6C 74 2E 61 73 70 oads/default.asp
20 48 54 54 50 2F 31 2E 30 0D 0A 55 73 65 72 2D HTTP/1.0..User-
41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 Agent: Mozilla/4
2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 .0 (compatible;
4D 53 49 45 20 36 2E 30 3B 20 57 69 6E 64 6F 77 MSIE 6.0; Window
73 20 4E 54 20 35 2E 30 29 20 4F 70 65 72 61 20 s NT 5.0) Opera
37 2E 31 31 20 20 5B 65 6E 5D 0D 0A 48 6F 73 74 7.11 [en]..Host
3A 20 77 77 77 2E 6F 6D 65 6C 65 74 65 2E 63 6F : www.xxxxx.co
6D 2E 62 72 0D 0A 41 63 63 65 70 74 3A 20 74 65 m.br..Accept: te
78 74 2F 68 74 6D 6C 2C 20 69 6D 61 67 65 2F 70 xt/html, image/p
6E 67 2C 20 69 6D 61 67 65 2F 6A 70 65 67 2C 20 ng, image/jpeg,
69 6D 61 67 65 2F 67 69 66 2C 20 69 6D 61 67 65 image/gif, image
2F 78 2D 78 62 69 74 6D 61 70 2C 20 2A 2F 2A 3B /x-xbitmap, */*;
71 3D 30 2E 31 0D 0A 41 63 63 65 70 74 2D 4C 61 q=0.1..Accept-La
......

Añadiendo la opción , Snort mostrará las cabeceras a nivel de enlace.
Con estas opciones y dependiendo del tráfico de la red, se puede visualizar por
pantalla bastante información que sería interesante registrar, guardando los
datos en el disco duro para su posterior estudio. El modo de trabajo de Snort
sería entonces como packet logger o registro de paquetes.
C:\Snort20\bin>snort -dev -l ./log
El parámetro indica a Snort que debe guardar los logs en un directorio

determinado.
También es posible indicar la dirección IP de la red a registrar (parámetro ) y

que el formato de los logs sea en modo binario (parámetro ). La salida del log
en el caso de la opción de salida binaria ya no será una estructura de
directorios sino un único archivo.
C:\Snort20\bin>snort -vde -l ./log -h 192.168.4.0/24

Running in packet logging mode
Log directory = ./log
C:\Snort20\bin>snort -l ./log -b
Running in packet logging mode
Como puede observarse, con el parámetro -b no es necesario indicar la IP de

nuestra red. Tampoco serán necesarios los parámetros -de y, por supuesto,
tampoco el parámetro -v.
El archivo generado por snort en modo binario también podemos leerlo con
este usando la opción nombrearchivo.log.
Otro parámetro a tener en cuenta es (interfaz) que permite seleccionar el tipo

de interfaz de red que se desea usar en caso de tener dos o más. Hay que
distinguir si se usa Snort para Win32 o para Linux/UNIX. Para averiguar las
interfaces de que se dispone, en Win32 se usará el parámetro .
C:\Snort20\bin>snort -vde -i 1
# snort -vde -i eth0
C:\Snort20\bin>snort -W
Además de los parámetros utilizados hasta el momento, es posible utilizar una

serie de filtros capaces de optimizar los resultados obtenidos. Estos filtros se
añadirán en el mismo formato que usa programas como TCPDump ya que usan
las mismas librerías de captura de paquetes (libpcap).
C:\Snort20\bin>snort -vd host 192.168.4.5 and dst port 8080

Initializing Network Interface eth0

--== Initializing Snort ==--

Initializing Output Plugins!
Decoding Ethernet on interface eth0
--== Initialization Complete ==--
-*> Snort! <*-
Version 2.0.0 (Build 72)

07/15-12:34:26.059644 192.168.4.5:4533 -> 192.168.4.15:8080
***A**** Seq: 0xC47AC53E Ack: 0xC83C2362 Win: 0xFAF0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/15-12:34:26.059880 192.168.4.5:4533 -> 192.168.4.15:8080

***A**** Seq: 0xC47AC53E Ack: 0xC83C31E4 Win: 0xFAF0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Snort aceptará también filtros más avanzados en su modo sniffer:
C:\Snort20\bin>snort -vd icmp[0] = 8 and dst host 192.168.4.1
C:\Snort20\bin>snort -vd icmp[0] != 8 and icmp[0] != 0
C:\Snort20\bin>snort -vd 'udp[0:2] < 1024' and host 192.168.4.1
El modo detección de intrusos de red se activa añadiendo a la línea de

comandos de Snort la opción . En el archivo snort.conf se guarda
toda la configuración de las reglas, preprocesadores y otras configuraciones
necesarias para el funcionamiento en modo NIDS.
C:\Snort20\bin>snort -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
Con al opción indicará a Snort que corra como un servicio. Esto es sólo
válido para las versiones Linux/UNIX.
# snort -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -D
Para Win32 se usará .
C:\Snort20\bin>snort /SERVICE /INSTALL -dev -l ./log -h 192.168.4.0/24 -c

../etc/snort.conf
desinstala snort como servicio.
Existen varias formas de configurar la salida de Snort en modo alerta. Las

alertas detectadas se almacenarán estas en el archivo .
Snort dispone de siete modos de alerta en la línea de ordenes: completo,

rápido, socket, syslog, smb (WinPopup), consola y ninguno.

1. Fast. El modo Alerta Rápida devuelve información sobre tiempo, mensaje de

la alerta, clasificación, prioridad de la alerta, IP y puerto de origen y destino.
C:\Snort20\bin>snort -A fast -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
09/19-19:06:37.421286 [**] [1:620:2] SCAN Proxy (8080) attempt [**]

[Classification: Attempted Information Leak] [Priority: 2] ...
... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080
2. Full. El modo de Alerta Completa devuelve información sobre tiempo,

mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de
origen/destino e información completa de las cabeceras de los paquetes
registrados.
C:\Snort20\bin>snort -A full -dev -l ./log -h 192.168.4.0/24 –c ../etc/snort.conf
[**] [1:620:2] SCAN Proxy (8080) attempt [**]

[Classification: Attempted Information Leak] [Priority: 2]
09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080
******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
3. Socket. Manda las alertas a través de un socket, para que las escuche otra
aplicación. Está opción es para Linux/UNIX.
# snort -A unsock -c snort.conf
4. Console. Visualiza las alarmas en pantalla.

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
5. None. Desactiva las alarmas.

# snort -A none -c snort.conf
6. SMB. Permite a Snort realizar llamadas al cliente de SMB (cliente de Samba,

en Linux), y enviar mensajes de alerta a hosts Windows (WinPopUp). Para
activar este modo de alerta, se debe compilar Snort con el conmutador de
habilitar alertas SMB (enable –smbalerts). Evidentemente este modo es para
sistemas Linux/UNIX. Para usar esta característica enviando un WinPopUp a un
sistema Windows, añadiremos a la línea de comandos de snort:
WORKSTATIONS.
7. Syslog. Envía las alarmas al syslog.

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s
192.168.4.33:514
Eventlog. Registra las alertas para visualizarse a través del visor de sucesos de
un sistema windows. Esta opción se activará mediante y sólo para Win32.
Actualmente la mayoría de las amenazas a la seguridad empresarial proceden

de fuentes internas, contra lo cual los cortafuegos no ofrecen protección. GFI
LANguard S.E.L.M. monitoriza los registros de sucesos de seguridad de todos

sus servidores y estaciones de trabajo Windows NT/2000/XP/2003 y alerta de

posibles intrusiones/ataques en tiempo real.
Esta herramienta realiza la detección de intrusos basándose en los registros de

sucesos y gestión de los registros de sucesos de toda la red. GFI LANguard
S.E.L.M. archiva y analiza los registros de sucesos de todos los equipos de la
red y le alerta en tiempo real de problemas de seguridad, ataques y otros
sucesos críticos. Gracias a los análisis inteligentes de GFI LANguard S.E.L.M.
no se necesita ser un 'Gurú de Sucesos' para poder:
‚ Vigilar usuarios intentando acceder a recursos compartidos seguros y

archivos confidenciales.
‚ Vigilar los accesos a servidores críticos y crear alertas para sucesos y
sucesos específicos que están ocurriendo en la red.
‚ Realizar copia de seguridad y borrado de registros de sucesos en
equipos remotos.
‚ Detectar ataques utilizando cuentas de usuario local.
Una versión completa de esta utilidad, válida por 30 días se puede descargar
desde Internet. (Ver dirección en el apartado de materiales de la mesa de trabajo).
En la misma dirección desde donde está la descarga, también se encuentran
disponibles dos archivos .pdf (en inglés) con las Instrucciones de instalación y
Manual de usuario.
Descarga e instala GFI Languard Security Event Log Monitor (S.E.L.M.) y

visualiza los eventos de seguridad de tu sistema.


‚ Los protocolos de comunicación son conjuntos de reglas que deben cumplir

los dispositivos que desean establecer comunicación entre sí.
‚ TCP es un protocolo orientado a la conexión mientras que IP es un
protocolo que se encarga del direccionamiento de los paquetes. El protocolo
encargado de generar los mensajes de error que se originan cuando los
paquetes no llegan a su destino es el ICPM, una extensión del IP.
‚ Los datagramas son los pequeños paquetes que forman la información que
se transfiere de y hacia nuestra computadora a través de Internet. El
protocolo encargado de su transporte es UDP.
‚ Dependiendo del número de direcciones IP existen cinco clases de redes.
‚ La máscara IP indica al sistema si esta dirección IP pertenece a la subred
local.
‚ Un socket es un canal de comunicaciones entre dos host que se comunican
entre sí mediante TCP y queda totalmente definido por 4 números: la
dirección IP y el puerto de la máquina origen y la dirección IP y el puerto de
la máquina destino.
‚ Los DNS (Domain Name Server) son grandes ordenadores distribuidos por
toda la web, que comprueban el nombre de dominio y lo convierten a una
dirección IP.
‚ Los puertos de comunicación pueden definirse como los puntos de conexión
que se establecen entre el ordenador que solicita información (cliente) y el
ordenador encargado de proporcionarla (servidor).
‚ La detección del estado de los puertos puede llevarse a cabo mediante
comandos del sistema operativo, on –line o con herramientas específicas.
‚ Los tres tipos de ataques dirigidos a la conexión son: escaneo de puertos,
intercepción de paquetes y denegación de servicio.
‚ Dependiendo del número de máquinas que se pretende escudriñar, el
escaneo puede ser horizonta, vertical, vanilla y strobe.
‚ Según las técnicas utilizadas el escaneo puede ser abierto semiabierto y
sigiloso.
‚ Según el protocolo empleado, las técnicas de escaneo son: TCP Connect,
TCP SYN, TCP FIN, TCP REVERSE IDENT, por fragmentación, de
protección, FTP BOUNCE ATTACK, UDP ICMP PORT UNREACHEBLE,
PORT BOUNCING y FINGER PRINTING.
‚ Las principales técnicas utilizadas en los ataques de intercepción son:
EAVESDROPPING, SNIFFING, SNOOPING-DOWNLOADING, LOOPING,
SPOOFING, IP SPLICING – HIJACKING.
‚ La (Deny Of Service, DOS) puede definirse como la
imposibilidad de acceso a un recurso o servicio por parte de un usuario
legítimo.
‚ Los ataque más importantes DoS son: IP Flooding, Broadcast, Smurf,
Teardrop, ECHO-CHARGEN / Snork, DOOM/QUAKE, LAND, Ping de la
muerte.
‚ Los ataques de denegación de servicio distribuido (DDOS) son ataques de
denegación de servicio (DOS) dónde existen múltiples focos distribuidos y
sincronizados que focalizan su ataque en un mismo destino.
‚ Las principales herramientas utilizadas en ataques DDOS son: TRINOO,

RIBE FLOOD NETWORK, STACHELDRAHT, SHAFT, Distributed reflection
DOS.
‚ Se puede definir un cortafuegos (firewall) como un dispositivo (software,
hardware o una combinación de ambos) que es capaz de analizar y filtrar el
tráfico entre hosts, segmentos de red o redes.
‚ Dependiendo del nivel al que se realice el filtrado, los cortafuegos se
clasifican en: PFF, SAIF, AGF e híbridos.
‚ Los cortafuegos personales de tipo comercial más conocidos son: Zone
Alarm, Agnitum Outpost, Sygate Personal Firewall, Kerio Personal Firewall.
‚ Un IDS es un sistema de alerta en tiempo real que recolecta y analiza
información procedente de distintas áreas de un ordenador o red de
ordenadores con el objetivo de identificar posibles fallos de seguridad.
‚ Respecto al sistema al que están orientados, los IDS se clasifican en: HIDS,
NIDS y DIDS.

Cap 2 Seguridad TCP IP

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cap 2 Seguridad TCP IP

Enviado por

Direitos autorais:

Formatos disponíveis

1. Objetivos.

Para el estudio de los contenidos de esta unidad y la realización de sus

¬ Comandos del sistema operativo (netsat, telnet, etc.).

El éxito indiscutible de Internet se debe al revolucionario sistema de

Si la finalidad de esta unidad es saber cómo protegerse de los ataques que

SEGURIDAD EN INTERNET 119

comunicación se dividen en varios niveles. De hecho, el estándar OSI

El protocolo de nivel de transporte original era NCP (Network Control Protocol),

A principios de los ochenta se introdujo un nuevo protocolo de nivel de red, el

Los protocolos más utilizados en Internet son los siguientes:

TCP/IP (Transmission Control Protocol/Internet Protocol). Este protocolo

UDP (Universal Data Packet). Protocolo de transporte de datagramas, o sea de

ICMP (Protocolo de mensajes de control de Internet). Es una extensión del

120 SEGURIDAD EN INTERNET

Entre los conceptos aportados por el protocolo IP están las denominadas

Ver Hlen TOS Longitud Total

Las direcciones IP son números de 32 bits (por tanto, comprendidos entre 0 y

La dirección IP más pequeña es la 0.0.0.0 y la mayor es 255.255.255.255.

Dependiendo del tamaño y del número de ordenadores (y por tanto el número

o . Característica de grandes redes formadas por un elevado

SEGURIDAD EN INTERNET 121

Longitud Longitud Posición Máximo Nº máximo

De 0.0.0.0 a 7 bits 24 bits 1 128 16777216

De 128.0.0.0 a 14 bits 16 bits 2 16384 65536

De 192.0.0.0 a 21 bits 8 bits 3 2097152 256

122 SEGURIDAD EN INTERNET

Por ejemplo, la dirección 192.168.0.21 con mascara 255.255.255.0 indica que

Un socket es un canal de comunicaciones entre dos host que se comunican

Es el mecanismo estándar que permite que un servidor DHCP sea capaz de

Aunque en un principio la dirección IP debe ser única en Internet, por desgracia

Para más información consultar la página de Wikipedia. (Ver dirección en el

A cada usuario en Internet se le asocia una dirección Internet única, formada

En los dominios de tipo organización el tipo de asignación de direcciones IP

SEGURIDAD EN INTERNET 123

red internacional. Contienen definiciones del tipo de organización a la que

La tabla siguiente muestra el nombre y significado de los más importantes.

.com Organización comercial

.edu Institución educativa

.gob Institución gubernamental

.int Organización internacional

.mil Organización militar

.net Organización de red

org Organización sin ánimo de lucro

Veamos un ejemplo: en la hipotética dirección sosinternacional@host55.org, el

Los dominios geográficos se caracterizan porque el nivel más alto se refiere a

Fr Francia Uk Reino Unido

Us Estados Unidos Jp Japón

124 SEGURIDAD EN INTERNET

Al tratarse de un servicio, para poder utilizarlo hay que indicar a nuestros

Ejecuta el comando IPConfig, primero sin parámetros y, a continuación, con

SEGURIDAD EN INTERNET 125

Por tanto, los puertos de comunicación o simplemente los puertos pueden

Existen más de 65000 puertos diferentes que pueden clasificarse en tres

‚ (Internet Assigned Number Authority). Son los primeros

En Internet podemos encontrar listados de los puertos. (Ver dirección en el

Es conveniente tener un conocimiento de los mismos pues cualquier atacante

Un puerto puede estar en cualquiera de los tres estados siguientes:

‚ En este estado, el puerto es capaz de aceptar conexiones. Hay

‚ Permitir el acceso sólo a los servicios que sean imprescindibles, dado

Para asegurar el funcionamiento de los puertos de nuestro ordenador es

‚ Detectar el estado de los puertos.

Para detectar el estado de los puertos de nuestro ordenador en un momento

‚ Detección usando el sistema operativo.