Capítulo I Seguridad y Defensa de la Red

Curso: Seguridad y Privacidad en Redes II Prof. Giovana Garrido

Departamento de Arquitectura y Redes de Computadoras Facultad de Ingeniería de Sistemas Computacionales Universidad Tecnológica de Panamá

Objetivos: 1. Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplos de vulnerabilidades en sus protocolos básicos. 2. Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IP para conseguir sus objetivos. 3. Aprender como funcionan las técnicas de sniffing en redes TCP/IP para comprender el peligro que comportan en la seguridad de una red local. 4. Estudiar con mas detalle algunos ataques concretos contra redes TCP/IP, como pueden ser los ataques de denegación de servicio y las deficiencias de programación. 5. Describir los elementos necesarios para un esquema de seguridad en red y la forma de implementarlo. 6. Describir los niveles de seguridad. 7. Aplicar la seguridad en red a través de la creación de perímetros. 8. Estudiar y aplicar la seguridad en equipos de comunicación de datos. 9. Describir la seguridad para el acceso remoto.

1.1 Introducción
“Es imposible que un hacker pueda romper el sistema de una computadora, es algo improbable”. Al principio de su existencia, las redes de computadoras fueron usadas generalmente para el envío de correo electrónico y para compartir recursos, generalmente impresoras, en empresas de mediano/gran tamaño. En estas condiciones la seguridad carecía

Capítulo I Seguridad y Defensa de la Red

prácticamente de importancia y no fue objeto de atención. Sin embargo, en la actualidad millones de ciudadanos usan redes para transacciones bancarias, compras, etc., la seguridad aparece como un problema potencial de grandes proporciones. Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:     El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas. El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.

Aunque muchos de estos problemas tratan de resolverse en capas de la red que se encuentran por debajo de la capa de aplicación, por ejemplo en la capa de red pueden instalarse muros de seguridad para mantener adentro (o afuera) los paquetes, en la capa de transporte pueden cifrarse conexiones enteras terminal a terminal, ninguna de ellas resuelve completamente los problemas de seguridad antes enumerados. La resolución de estos problemas de seguridad se realiza como una parte previa o de apoyo de la capa de aplicación. A continuación se expondrán distintos trabajos que tratan de resolver cada uno de los cuatro problemas de seguridad planteados con anterioridad, esto es, el secreto, la validación de identificación, el no repudio y el control de integridad. La Red esta basada en amenazas, en mentiras que se pueden esperar en la vuelta de cada esquina, y sobre todo, en esta era de la información. Las redes inalámbricas se están convirtiendo en un punto delicado para muchas empresas y organizaciones que todavía no se entiende cómo asegurar sus infraestructuras. Redes se encuentran bajo asedio de muchos tipos diferentes de la amenaza, incluido el basado en Internet los piratas informáticos, gusanos, phreaks teléfono, y asaltos a conexión inalámbrica. En este capítulo estaremos abordando un espacio único a la seguridad de la red en una evaluación estructurada y lógica. Antes de comenzar este capítulo, pasemos a realizar una serie de definiciones: 1. La Organización Internacional de Estándares (ISO), como parte de su norma 7498 en la que se establece el modelo de referencia para la interconexión de sistemas abiertos, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene. Para ello, se han desarrollado protocolos y mecanismos adecuados, para preservar la seguridad.
Prof. Giovana Garrido Página 2

Capítulo I Seguridad y Defensa de la Red

2. El criptoanálisis, es la ciencia que se encarga de descifrar los mensajes (los intrusos utilizan estas técnicas), mientras que la criptografía busca métodos más seguros de cifrado, y se puede clasificar en:  Criptografía clásica: cifrados rudimentarios basados en sustitución y trasposición  Criptografía moderna: cifrados basados en algoritmos parametrizados en base a claves 3. “seguridad de una red” implica la seguridad de cada uno de las computadoras de la red 4. “hacker”: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador 5. “cracker”: no es un programado y utiliza sus ataques para sacar beneficio económico 6. “Amenaza o ataque”: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso), que a su vez, estas amenazas se pueden realizar por:  Compromiso: la entidad atacante obtiene el control de algún elemento interno de la red, por ejemplo utilizando cuentas con contraseña trivial o errores del sistema  Modificación: la entidad atacante modifica el contenido de algún mensaje o texto  Suplantación: la entidad atacante se hace pasar por otra persona  Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto  Denegación de servicio: la entidad atacante impide que un elemento cumpla su función También es importante resaltar, que los temas que vinculan a seguridad son a veces difíciles y están íntimamente relacionados con temas legales, los cuales no estaremos viendo en este curso. Muestra de ello, es que en muchos gobiernos el uso de información cifrada está prohibido. Los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente. Por ejemplo en Francia y EEUU no están permitidas transacciones cifradas, que el gobierno no sea capaz de descifrar, pues pueden utilizarse para comercio de armas, delincuencia. La seguridad es un concepto relativo, pues los mecanismos que minimizan la vulnerabilidad de un bien o recurso en un determinado caso, pueden ser insuficientes en otro caso. Esta suficiencia o insuficiencia vendrá determinada por la importancia de los bienes y recursos que posea, de forma que un computador que solo contenga contabilidad doméstica puede considerarse seguro sin la presencia de ningún mecanismo, mientras que un computador que contenga la contabilidad de una empresa debe poseer mecanismos para asegurar la imposibilidad de manipulación de la misma. Las amenazas a la seguridad pueden clasificarse, atendiendo a la intencionalidad de las mismas en accidentales o intencionadas. Las amenazas accidentales son las que se producen sin necesidad de un intento premeditado, como por ejemplo una avería en el sistema. Las amenazas intencionadas pueden variar desde el examen casual de la

Prof. Giovana Garrido

Página 3

es relativamente fácil si se sabe cómo. es suficiente para protegerse en Internet). por las redes internas. Basta echar un vistazo a las estadísticas para tomar conciencia del riesgo que se corre: el número de incidentes contra sistemas conectados casi se duplica cada año. servidores de datos y aplicaciones. atacar una red conectada a Internet que no haya sido protegida de un modo "especial" (es tan frecuente como erróneo creer que una filosofía de seguridad tradicional.Capítulo I Seguridad y Defensa de la Red información de un computador hasta ataques sofisticados utilizando conocimientos especiales sobre el sistema. sin mucho esfuerzo. y físicamente puede ser desde un simple host hasta un complejo conjunto de redes separadas por routers. listas de debilidades tanto de protocolos como de sistemas operativos. Se obliga a que todo el tráfico entre la red que se pretende proteger y las redes externas pase por un mismo punto. nuevas redes susceptibles de ser atacadas. 1. Si en lugar de atender a la intencionalidad atendemos al daño ocasionado. nuevos atacantes en potencia. según el Computer Emergency Response Team Coordination Center (CERT-CC).1. Este punto se conoce con el nombre de cortafuego. Una red interna como suma de terminales. así como guías que señalan los pasos a seguir para explotar dichas debilidades.1 Las Redes internas La seguridad de redes. la seguridad es un tema que debe inquietar a cualquier organización que hoy día decida conectar su red a otras sobre Internet. etc. Incluso existen servidores de ftp anónimo con todo tipo de herramientas orientadas a tomar el control de cualquier máquina Todas las líneas actuales de investigación en seguridad de redes comparten una idea: la concentración de la seguridad en un punto. la transacción de información confidencial a través de la misma. estas deben ser tenidas en cuenta pues en muchos casos pueden convertirse en activas con la intervención de un agente distinto. Las amenazas activas suponen una alteración del sistema y un cambio en su estado de operación. que implica. por una parte. las amenazas a la seguridad se clasifican en pasivas y activas. La seguridad adquiere cada vez más importancia a medida que la red informática se encuentra presente en más aspectos de la economía mundial. El empleo de un cortafuego presenta enormes ventajas sobre los enfoques de seguridad en redes tradicionales (que requieren la seguridad individual de cada host conectado. aspectos como el comercio electrónico. permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por el cortafuego. Giovana Garrido Página 4 .han sido actualizados ni debidamente "parcheados". y por tanto sólo pueden justificarse en entornos con un reducido número de máquinas). si tenemos en cuenta el vertiginoso crecimiento de Internet en los últimos años. En la red es posible encontrar. basada en contraseñas y protección de ficheros. Las amenazas pasivas son las que no conllevan ninguna modificación en la información que posee el sistema y por tanto no se modifica ni su operación ni su estado. Aunque obviamente las amenazas activas son mucho más perjudiciales que las pasivas. y por otros. Y no debe extrañarnos. reúne una cantidad de recursos Prof. Obviamente. Lo cierto es que tal y como están las cosas. y mucho más aún si se utilizan sistemas operativos antiguos que no. empieza como no.

las unidades de red compartidas por los usuarios. La plataforma de red (Uníx. etc. sus mecanismos fáciles de realizar y por ello la red interna puede ser blanco fácil para los ataques. por no dar permisos de instalación de aplicaciones en sus terminales de empleados. personas.1. la manera de realizar sus fechorías. punto a punto. datos. o que. eliminar carpetas. de sobrado conocimiento de la plataforma (sistema operativo. según las características de la información y los recursos a acceder por los usuarios de la red.) que necesitan de una arquitectura segura y de una política de seguridad a cumplir por cada uno de los recursos de la misma. Es sabido que los primeros problemas de seguridad ocurren en la misma organización interna. las aplicaciones cliente/servidor instaladas en los terminales (ERP/CRM/Intranet. software. Sus herramientas son fácil de encontrar (Internet es su mejor biblioteca). etc. El responsable de seguridad (normalmente el administrador de red) de una organización conoce de sobras su entorno (o debería conocerlo). aplicaciones. ya que entran más peligros: “los de fuera”. sino muchas de las veces por fallos de seguridad o puertas abiertas que se ejecutan “sin quererlo”. las bases de datos corporativas y debe aplicar en los usuarios. datos. no siempre debidos a intrusiones maléficas de empleados. consultar. etc. La seguridad interna de la red de una organización. Estudiamos con más detalles en el Capítulo de hackers. Una seguridad que bien debemos aplicar máquina por máquina. resultando mucho más fácil. etc). pero adelantamos en este punto algunos ejemplos. Linux. el sistema operativo de los terminales y servidores. debemos aplicar al conjunto de la organización.). Mac. Un tema importante y básico es la autenticación de los usuarios en la red. Muchas organizaciones optan en la seguridad de su red interna. Redes externas Cuando hablamos de aplicaciones en la red interna que permiten la conexión hacia fuera (Internet. y regida sobre una política de seguridad que implique a todos los recursos del sistema. Para identificar los usuarios normalmente los sistemas operativos incorporan la suficiente tecnología para ello y habría que disponer de sistemas más fuertes. para poner de manifiesto la obligada seguridad cuando nuestra red está conectada al exterior: Prof. Windows). debe ser administrada por profesionales en la materia.2 Las. RAS. aplicaciones y bases de datos). Giovana Garrido Página 5 . Los peligros pueden venir de:  Ataques dedicados: Un intruso que nos elige y que intenta colarse en nuestra red. 1.  Ataques aleatorios: Un hacker desconocido que ha descubierto un dominio y una IP y curiosea puertos para ver hasta dónde puede llegar. los diferentes permisos para poder instalar. La seguridad interna empieza por la autenticación de los usuarios en un servidor central.Capítulo I Seguridad y Defensa de la Red (hardware. evitando de esta manera los primeros problemas de seguridad derivados de acciones desde aplicaciones no deseadas por la administración de la red. entonces la seguridad es mucho más importante.

a mediados de los 70.  Un servidor web y FTP.  Autenticación remota: Mediante usuario y contraseña.  Seguridad en la conexión a Internet: Servidores DMZ. englobado en el entorno denominado business to business (B2B).). asociado al dominio de la empresa. la agencia empezó a investigar en la interconexión de distintas redes. B2B.Capítulo I Seguridad y Defensa de la Red  Un gateway de correo electrónico permite a los empleados conectarse con los clientes de la empresa y enviarse documentación. ofreciendo por ejemplo un servicio de Call Center a través del email.  Acceso a aplicaciones seguras: La tendencia empresarial es que la organización ofrezca mecanismos para que los empleados y colaboradores puedan acceder de forma remota y segura a través de internet a las aplicaciones internas. certificados digitales o tarjetas hardware. debemos tener en cuenta los siguientes puntos:  Seguridad en la arquitectura de las comunicaciones: Soluciones firewall. permitirá a los clientes de nuestra empresa conectarse directamente con nosotros (extranet/servicios B2C. etc. 1. Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes. podría detectar los puntos vulnerables de estos servicios. puede ser la puerta de entrada de intrusos. dentro del marco de la guerra fría. aplicaciones web/ftp/email seguras. Mas adelante. etc. pero este servidor de correo. la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financió equipos de investigación en distintas universidades con el objetivo de desarrollar una red de computadores con una administración totalmente distribuida. de carácter experimental y altamente tolerable a fallos.2 Seguridad en protocolos TCP/IP Durante la década de los 60. pero también puede ser una puerta muy fácil de entrar por un intruso que en pocos minutos. conexión de routers. y en 1974 estableció las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en día como redes TCP/IP. etc. Algunos de estos temas fueron tratados en detalle en curso anterior. Para desarrollar nuestra red externa teniendo en cuenta los peligros que significa abrir la red a Internet y para mantenerla segura. Servicios de seguridad del operador de telecomunicaciones. o cómo podemos conocerlo más común como teletrabajo. servidor de comunicaciones con separación de la red interna. Giovana Garrido Página 6 . se creó la denominada red ARPANET. Prof.

Giovana Garrido Página 7 . A continuación presentamos algunas de las vulnerabilidades más comunes de las distintas capas que veremos con más detalle a lo largo de este módulo: Prof. La situación relativa de cada protocolo en las diferentes capas se muestra en la siguiente figura: Como ya se ha adelantado. si es posible. la forma de solucionar y contrarrestar los problemas. Cada día se descubren nuevas deficiencias.Capítulo I Seguridad y Defensa de la Red En cada una de las capas encontramos protocolos distintos. tratando de documentar. la mayoría de las cuales se hacen públicas por organismos internacionales. en cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas.

En esta capa. 2. Vulnerabilidades de la capa de red. 3. los retrasos de mensajes y la denegación de mensajes. Si esto es posible. existe una serie de ataques que aprovechan ciertas deficiencias en su diseño. En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesión TCP). el envenenamiento de tablas cache. Prof. Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticación de los equipos involucrados en una sesión. Ataque físico: Este tipo de ataques pueden llegar a ser muy difíciles de realizar. la autenticación de los paquetes se realiza a nivel de maquina (por dirección IP) y no a nivel de usuario. los paquetes se pueden manipular si se modifican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras.Capítulo I Seguridad y Defensa de la Red 1. escuchas no intrusivas en medios de transmisión sin cables. La suplantación de un mensaje se puede realizar. Vulnerabilidades de la capa de transporte. En esta capa podamos encontrar problemas de autenticación. etc. Así. La capa de transporte transmite información TCP o UDP sobre datagramas IP. la modificación de datos. este tipo de ataques suele utilizar otras técnicas. dando una respuesta a otro mensaje antes de que lo haga el suplantado. De ahí que no los trataremos en este curso. Algunos de los ataques mas conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte. Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. como la predicción de números de secuencia TCP. Las vulnerabilidades de la capa de red están Ataques físicos estrechamente ligadas al medio sobre el que se realiza la conexión. Vulnerabilidades de la capa internet. si un usuario hostil puede observar los intercambios de información utilizados durante el inicio de la sesión y es capaz de interceptar con éxito una conexión en marcha con todos los parámetros de autenticación configurados adecuadamente. Esta capa presenta problemas de control de acceso y de confidencialidad. Una de las vulnerabilidades mas graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas. de integridad y de confidencialidad. el receptor no detectara la suplantación. el receptor será incapaz de detectar el cambio. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas. Para conseguir su objetivo. ya que generalmente requieren un acceso físico a los equipos que se quieren atacar. interceptación intrusiva de las comunicaciones (pinchar la línea). la suplantación de mensajes. podrá secuestrar la sesión. Se incluyen como ataques contra esta capa las técnicas de sniffing. con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. Por otro lado. por ejemplo. Giovana Garrido Página 8 . En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. etc. Si un sistema suministra una dirección de máquina errónea.

Si este código que se ejecuta presenta deficiencias de Prof. cuando un sistema solicita conexión a un servicio. FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos). se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas. Al igual que Telnet. que se transmiten en claro por la red. El protocolo HTTP es el responsable del servicio World Wide Web. Aun así. Giovana Garrido Página 9 . La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). la lista de los sistemas que tiene la organización). Como en el resto de niveles. el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña. Actualmente existen otros protocolos a nivel de aplicación (como. un atacante puede modificar la información que suministra ésta base de datos o acceder a información sensible almacenada en la base de datos por error. Un servidor DNS debe entregar la dirección IP correcta pero. éste responde con la dirección IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la dirección IP solicitada. Algunos ejemplos de deficiencias de seguridad a este nivel podrían ser los siguientes:  Servicio de nombres de dominio. Así pues. al enviar el identificador de usuario y la contraseña en claro por una red potencialmente hostil. De este modo. la cantidad de deficiencias presentes también será superior al resto de capas. Vulnerabilidades de la capa de aplicación. pudiendo obtener información relativa a la topología de la red de una organización concreta (por ejemplo. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio.Capítulo I Seguridad y Defensa de la Red 4. por ejemplo. el hecho de cifrar el identificador del usuario y la contraseña no impide que un atacante que las conozca acceda al servicio. Así. al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección**. presenta las mismas deficiencias de seguridad que veríamos anteriormente con el protocolo Telnet. Normalmente. también puede entregar un nombre de dominio dado una dirección IP u otro tipo de información. pide la dirección IP de un nombre de dominio y envía un paquete UDP a un servidor DNS. Por lo tanto. Normalmente. FTP permite la conexión anónima a una zona restringida en la cual sólo se permite la descarga de archivos. Aparte de pensar en mecanismos de protección de información para solucionar el problema. la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos.  Telnet. entonces. SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticación fuerte). el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing. Debido al gran número de protocolos definidos en esta capa. además.  File Transfer Protocol. En el fondo. un servidor de DNS es una base de datos accesible desde internet. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor.  Hypertext Transfer Protocol. sin limitar una de las funcionalidades más interesantes del servicio.

Capítulo I Seguridad y Defensa de la Red programación. LDAP. integridad de la red. logs de acceso. control de tráfico. habremos de asegurarnos de que los intentos de conexión provienen de quienes dicen provenir. A continuación se incluye una descripción de las soluciones en cada unos de los anillos de protección:  Perímetro y Transporte de Datos: permiten proteger las zonas de acceso al exterior de la red interna de la organización e igualmente los puntos de interconexión interna. auditoria. filtro de contenido. autorización y control de acceso. En principio. refuerzo de la Seguridad en las estaciones de trabajo. firewall. norma de cableado. así como los equipos de uso cotidiano por los usuarios. desactivación de Puertos Físicos no utilizados en Switch o Hub y monitoreo de activación. Para ello. criptografía. administración basada en roles. cámara de video. además del uso de algunas tecnologías. la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro. Kerberos). DMZ. planes de contingencia. IPS/IDS. dominios seguros. correspondientes a los anillos de protección requeridos. Además. escáner de vulnerabilidad. los cuales a su vez establecen los niveles de prioridad de protección más comúnmente utilizados para la implantación de la Arquitectura. parches. A continuación veremos que el filtro de paquetes y los servidores proxy nos permiten esto. antivirus. o al menos que esté justificado. a aquel que se considere seguro. Elementos de seguridad Una vez conocidos los peligros a los que nos enfrentamos. monitoreo. si decidimos permitir que se pueda acceder a nuestras máquinas desde el exterior. certificados electrónicos. switch. TCP/IP. limitaremos el número de ataques posibles. QoS. herramientas forenses. limitando el tráfico entre nuestra red y las externas. los componentes adicionales que permiten acceder a la información de los procesos de la organización. smart card). deben ser igualmente protegidos. Proxy. intentando así reducir las posibles violaciones a la seguridad. los cuales se revisarán en detalle en el capítulo 3 de esta Guía. autenticación (biometría. se debe cuidar y garantizar la perfecta operación de los componentes y sistemas que soportan los procesos críticos de la organización. diseño multisegmento. protocolo gíreles. necesitamos medios para protegernos contra ellos.  Protección Local y Monitoreo: Partiendo del principio que la seguridad de los sistemas será tan robusta como el componente más vulnerable. deben implantarse esquemas administrativos y de gestión de la seguridad.  Infraestructura Crítica: Una vez protegido el perímetro. software anti espia. herramientas de auditoria o assessment. Para ello no podemos fiarnos Prof. Giovana Garrido Página 10 . Algunas de las técnicas de protección mayormente utilizadas se observan a continuación: administración de control de acceso.3 Elementos de un esquema de seguridad en Red Los elementos están organizados en tres grupos. Tales como: acceso remoto. en estos casos la garantía de operación vendrá dada por las soluciones técnicas que se muestran a continuación: identificación (tokens. 1.

y la de máquina a máquina durante una operación. Básicamente. Los contraseñas tradicionales son demasiado débiles para usarlos sobre una red. el campo de opciones IP. RC4 y Skipjack). El método de autenticación por dirección IP del host (o bien su nombre DNS) es susceptible de ser atacado mediante spoofing con relativa facilidad. el puerto origen TCP o UDP.Capítulo I Seguridad y Defensa de la Red de las contraseñas convencionales. Las aplicaciones básicas de los algoritmos criptográficos son: el cifrado es la encriptación de un mensaje con una clave. se puede tener en cuenta la interfaz de red por la que llega el paquete. y por tanto se usan técnicas de criptografía. no requiere conocimientos ni cooperación por su parte. Sin embargo. Distinguimos dos tipos de autenticación: la de un usuario a una máquina durante la secuencia de login inicial. la dirección IP destino. el puerto destino TCP o UDP. El filtro de paquetes es transparente a los usuarios. Además de la información contenida en el paquete. NAT (Network Address Traslation) e IDS (Intrusión Detection System) 3. el tipo de protocolo (TCP. Estos cambian cada vez que se usan. permitiendo al receptor probar la fuente y la integridad de los mismos. En este caso necesitaremos encriptar la conexión. los elementos utilizados por dichos métodos son: Criptografía: mediante el uso de la criptografía se intenta proteger la información a base de codificarla de una forma desconocida a los elementos que no forman parte de la comunicación: algoritmos de clave privada o simétricos (DES. IPSec. UDP o ICMP). y por tanto no son sensibles al sniffing. si creemos que nuestra red puede ser objeto de un ataque hijacking. Servidores proxy o pasarelas: son aplicaciones que nos permiten redirigir el tráfico del nivel de aplicación a través de un cortafuego en el acceso a una red (ejemplo con Socks. Sock-et-s) y/o puentear con otra aplicación. necesitamos alguna técnica para impedirlos. contando con un Centro de Distribución de Claves (KDC) para la distribución y verificación de las mismas. dentro de un sistema centralizado. la firma digital para protegerlos contra la falsificación. El KDC más conocido es Kerberos. TDES. algoritmos de clave pública o asimétricos (RSA). permite al router bloquear o permitir la conexión a esos servicios simplemente especificando el número de puerto apropiado en el conjunto de reglas especificado para el filtro de paquetes. el campo de banderas TCP y el tipo de mensaje ICMP. Giovana Garrido Página 11 . Seguridad en el sistema centralizado (envolventos y/o proxies) Descritos los métodos. Autenticación: la autenticación es el proceso seguido por una entidad para probar su identidad ante otra. En este Prof. Veremos a continuación métodos de autenticación que nos solucionan este problema. Seguridad perimetral: cortafuegos. Métodos criptográficos: redes privadas virtuales. es decir. El hecho de que los servidores de servicios Internet residan en ciertos números de puertos concretos. IDEA. una función hash segura. las reglas de filtro son difíciles de definir. Filtro de paquetes: los routers permiten realizar un filtrado de paquetes en base a la información contenida en sus cabeceras. puesto que un ataque por sniffing daría la contraseña al atacante. Por último. SSH (Secure Shell) 2. Los métodos a aplicar en una red para ofrecer barreras de seguridad son: 1. la información que se suele examinar es: la dirección IP origen. y una vez definidas. duras de testear. y por tanto se usan contraseñas no reusables.

si se dispone una pasarela de correo electrónico entre dos redes diferentes. por ejemplo entre SMTP (protocolo de correo en Internet) y X. Este sistema no siempre es transparente al usuario. Existen diversas razones por las que esto puede ser conveniente. Además de permitir la interconexión de protocolos distintos las pasarelas de aplicación también se emplean para conectar redes con el mismo protocolo o puenteando a servidores controlan su acceso. Así nos referimos a pasarelas del nivel de transporte o del de aplicación. Para realizar su función los servidores caché actúan como pasarelas del nivel de aplicación. bien con filtro de paquetes). El servidor real cree que está tratando directamente con un usuario en el host donde está corriendo el proxy. puesto que algunos proxies requieren software cliente especial.. a menudo los cortafuegos (o cortafuegos) actúan como pasarelas a nivel de transporte o de aplicación.Capítulo I Seguridad y Defensa de la Red último caso también se llama envolvente. normalmente para el protocolo http. como ocurre al interconectar redes Ethernet y Token Ring. como una clasificación más general. como por ejemplo las siguientes: o Seguridad (cortafuegos): si se quiere tener un control riguroso del tráfico entre una determinada red y el exterior se dispone un cortafuegos que aísle dicha red. Cualquier dispositivo que permite la intercomunicación a niveles superiores al de red se denomina genéricamente pasarela (gateway en inglés). Al cliente le presentan la ilusión de que está tratando directamente con el servidor real. una de las cuales implementa acuse de recibo y la otra no. Giovana Garrido Página 12 . a lo sumo se podría acusar recibo cuando el mensaje se recibe en la pasarela. o Eficiencia (servidores proxy/cache): los servidores cache permiten capturar una copia de la información que un usuario se trae del exterior para disponer de ella a<nte la eventualidad de que más tarde otro usuario requiera la misma información. o bien el software estándar utilizándolo con procedimientos especiales. Los problemas que se plantean en la interconexión de redes diferentes a nivel de pasarelas de aplicación son en cierto modo parecido a los que se dan a niveles inferiores. Los servicios proxy sólo son efectivos usados en conjunción con un mecanismo que restrinja las comunicaciones directas entre los hosts internos y externos (bien con un dual-homed host. Estos tres últimos medios son analizados o estudiados desde el punto de vista de pasarelas. Por ejemplo. se plantea el problema de qué hacer en la pasarela cuando un mensaje es enviado de la primera a la segunda. pero eso no significa que el mensaje haya llegado a su destino. Esto mejora el tiempo de respuesta al usuario ya que la información solicitada se le sirve localmente y reduce el nivel de ocupación de la línea WAN o la conexión a Internet. Otro ejemplo es el servicio que permite enviar desde un formulario Web un mensaje corto a un teléfono GSM.400 (protocolo de correo OSI). normalmente de elevado costo. Una pasarela del nivel de aplicación es un host que implementa dos (o más) pilas completas de protocolos y que puede ‘trasvasar’ datos de una aplicación a su equivalente en la otra pila de protocolos. Un ejemplo de esto es el intercambio de mensajes de correo electrónico. realizando las conversiones adecuadas. la otra alternativa sería simplemente no enviar ningún acuse de recibo en este caso. Prof.

por ejemplo la interconexión de routers multicast a través de routers unicast para constituir la red MBone. y dos de éstas disponen además de redes locales TCP/IP. Los conceptos de túnel y de encapsulado de paquetes van siempre asociados entre sí. Los paquetes IP viajarán ‘encapsulados’ a través del túnel en paquetes SNA. pero sin las limitaciones que tiene ésta en el número de direcciones. además los extremos del túnel se convierten en puntos simples de fallo y potenciales cuellos de botella en el rendimiento de la red. En algunos casos resulta útil encapsular incluso un paquete en otro del mismo tipo y versión. Los dos nodos SNA ubicados en los extremos del túnel serán los encargados de añadir a los paquetes IP la cabecera SNA adecuada para que lleguen al otro extremo. ya que a lo largo del túnel los paquetes han de llevar dos cabeceras. Seguridad en red basada en criptografía Túneles En ocasiones se quiere intercambiar paquetes entre dos redes que utilizan el mismo protocolo. Por ejemplo supongamos que un banco dispone de una red de área extensa con protocolo SNA que une todas sus oficinas. por ejemplo encapsulando un paquete IPv4 en otro podemos forzar la ruta que ha de seguir. al utilizar encapsulado la cabecera interior empezaría a descontar su TTL sólo a partir del punto de salida del túnel. pero que están unidas por una red que utiliza un protocolo diferente. En Internet hay situaciones en las que los túneles se utilizan de forma habitual. Algunas aplicaciones requieren una complejidad mayor en el proceso de traducción de direcciones hasta el punto de que esto solo es posible mediante un programa que interprete y modifique la información contenida en el paquete a nivel de aplicación. Uno de los usos más habituales de los túneles actualmente es para la creación de redes privadas virtuales o VPNs. En estos casos los túneles se utilizan para enviar paquetes del mismo protocolo (IP) pero de distinto tipo (multicast en unicast) o versión (IPv6 en IPv4). o Envolventes o proxies de aplicación: son programas sencillos. Si se desea que estas dos oficinas intercambien tráfico TCP/IP sin establecer para ello una nueva línea ni instalar routers multiprotocolo en todo el trayecto se puede establecer un túnel entre ambas oficinas. Ej tcpwrappers. son pasarelas a nivel de aplicación. como veremos a continuación. Prof. que gestionan todo el control de acceso a los servidores dentro de un sistema centralizado. Los túneles no son una solución deseable en sí mismos. de forma que los paquetes IP no sean vistos por la red SNA. o la interconexión de ‘islas’ IPv6 para constituir el 6bone. cumpliendo así una función similar a la opción ‘loose source routing’ de la cabecera IP. Giovana Garrido Página 13 . Otro uso del encapsulado podría ser para superar el valor máximo del campo TTL. en estos casos es preciso utilizar un dispositivo NAT (Network Address Translation) que nos permita el intercambio de paquetes entre ambas redes. lo cual supone un mayor overhead.Capítulo I Seguridad y Defensa de la Red o NAT (traducción de direcciones): Como veremos más adelante existen situaciones en las que es necesario manejar un direccionamiento diferente en la red interna y la externa.

0/24) no le es posible acceder a dichos servicios.1. ya que esto le permite conectarse a su red pagando tarifa metropolitana. su uso como herramienta de seguridad se ha extendido por numerosas razones:  La lógica de seguridad se encapsula dentro de un programa sencillo y fácil de verificar. Seguridad en red basada en sistema centralizado Encapsuladores (proxies) y pasarelas Los encapsuladores son un invento reciente de la seguridad en UNIX.1. los cuales serán desarrollados en otros capítulos. Como nuestro viajante al conectarse recibe una dirección IP de la red de su proveedor (supongamos que se trata de la red 200. Página 14 Prof.1.0/24).1. Aunque nacieron por la necesidad de modificar el funcionamiento de los sistemas operativos sin acceso a su código fuente.0/24 a través de VPN Supongamos que un viajante quiere conectarse remotamente a la red de su empresa para consultar una base de datos y para ello emplea los servicios de un proveedor comercial cualquiera. Supongamos también que por razones de seguridad o de licencias de software la empresa se ha visto obligada a limitar el acceso a dicha base de datos únicamente a los computadores de la red de la empresa. Giovana Garrido .1. También esta IPSec e SSH.Capítulo I Seguridad y Defensa de la Red Figura: ejemplo de acceso a la Intranet 199.1. es decir aquellos que tienen direcciones IP de su red (supongamos que se trata de la red 199.

un mismo encapsulante puede utilizarse para controlar el acceso a un enorme grupo de programas encapsulados. Levantamiento Información Para tener todos los elementos que ayudan al entendimiento de los servicios tecnológicos más importantes de la organización. lo cual permite actualizar el programa que ha sido encapsulado de forma individual. a las personas que intervendrán y utilizarán las tecnologías. es necesario que se dé una etapa de contextualización. no únicamente un grupo de tecnologías y esta requiere que se tome en cuenta la perspectiva y necesidades de la organización. aparte de la tecnología y los procesos. es decir. bien sea desde el punto de vista netamente técnico o administrativo basándose en que las políticas. los cuales presentan las principales etapas para la implementación de un esquema de seguridad: a. hay que basarse en el estándar ISO/IEC 27001:2005. Giovana Garrido Página 15 . Un ciclo de vida de seguridad permite mantener y actualizar en el tiempo la arquitectura de seguridad. normas y procedimientos (estándares). gestionar los riesgos.Capítulo I Seguridad y Defensa de la Red   El programa encapsulado permanece separado del encapsulante. Implementación de un esquema de seguridad en Red Uno de los principios básicos se refiere a que la seguridad es un proceso.  Documentar los controles y el plan de seguridad  Monitorear la operación y cumplimiento de los controles  Crear un plan de seguridad de la información. estándares procedimientos y métricas son el corazón de la arquitectura y las tecnologías los medios para que éstas se cumplan. balanceando las áreas administrativas y operacionales en conjunto a los controles técnicos de seguridad  Reforzar los componentes y colocar la mayor cantidad de barreras posibles  No depender de tecnologías de fabricantes  Ejecutar el plan de Seguridad en porciones pequeñas y planificadas Para ello. El objetivo de esta actividad es recabar toda la información necesaria para obtener un conocimiento profundo y detallado del funcionamiento del centro de Prof. la definición de una planificación que defina la estrategia de seguridad de la empresa sentará las bases para la permanencia en el tiempo y en ésta deben involucrarse. Como los encapsulados llaman al programa mediante la llamada al sistema exec(). No basta con definir políticas. Las actividades claves que deben ser consideradas al momento de implementar un marco de seguridad son las siguientes:  Categorización de los sistemas y activos de Información  Selección de un grupo de controles mínimos de seguridad  Refinar los controles de seguridad basados en el análisis de los riesgos inherentes y qué tan aceptables son esos riesgos.

Por su parte las vulnerabilidades de infraestructura se detectan con el análisis de vulnerabilidades y con las visitas e inspecciones a las instalaciones. controlar y minimizar los riesgos de seguridad a los que están expuestos los activos informáticos de la empresa. Las internas se desarrollan por el personal del centro de operaciones de la organización. falta de procedimientos. procesos e infraestructura. visitas e inspecciones físicas a las instalaciones del centro de operaciones. Para este análisis se lleva acabo lo siguiente:  Monitoreo de la red: detectar tráfico extraño y verificar si la información sensible o confiable (por ejemplo contraseñas) es transmitida por la red en forma legible (texto claro). así como a través de las entrevistas y revisión del flujo de los procesos. medir. Se obtienen vulnerabilidades en las dimensiones de gente. Las pruebas externas se elaboran por la organización y consiste en examinar el Web site de la organización. las amenazas y vulnerabilidades. b. Esta consiste en el levantamiento de la información en las áreas de las redes y comunicaciones. Prácticamente todo sistema de cómputo es vulnerable a ataque. El objetivo de este análisis es detectar las vulnerabilidades existentes que representan riesgos potenciales para los servicios del centro de operaciones que hemos determinados como críticos. procesos.  Pruebas de penetración: llevar a cabo una gran cantidad de ataques de manera planeada y estructurada para verificar cuál es de ellos tuvieron éxito. Las vulnerabilidades de gente y procesos (administrativas. pueden debilitarlo e incluso inhabilitarlo. c. además se identifican los principales activos bajo riesgo.  Detección de intrusos: detectar acceso no autorizado a equipos y aplicaciones. y se determinan los controles o salvaguardas adecuados con la mejor relación costo beneficio. etc. infraestructura y su nivel de seguridad actual. Con base en el marco metodológico esta etapa corresponde a la contextualización. Se lleva a cabo pruebas internas y externas. Para ello se debe contar con una infraestructura a evaluar que consista en detallar información de aquellos dispositivos importantes para cada uno los servicios que brinde al centro de operaciones. Giovana Garrido Página 16 . Análisis de Riesgos El análisis de riesgos es la actividad que sirve para indicar. Prof. organización. falta de capacitación. Análisis de Vulnerabilidades Las vulnerabilidades desde el punto de vista de seguridad son características inherentes a un equipo o sistema que si son explotadas. Posteriormente. con la finalidad de llevar a cabo una identificación amplia y objetiva de los riesgos y amenazas potenciales. así como la recopilación de información proporcionada por sus miembros. Consiste básicamente en elaboración de entrevistas.) se detectan durante las entrevistas con los empleados y revisión de documentación.Capítulo I Seguridad y Defensa de la Red operaciones. malos hábitos. habilidades y concienciación. servicios electrónicos y la seguridad perimetral. se elabora la descripción de las pruebas según el dispositivo. Algunas de las herramientas que se pueden utilizar son languard y Nessus.

Giovana Garrido Página 17 . Cuadro con ejemplo Priorización de los riesgos Priorización de los controles Diagnóstico de Niveles de Seguridad Tomando como base las mejores prácticas y particularmente el estándar ISO/27000. considerando el grado de exposición y el valor económico de la destrucción o pérdida de los activos en cuestión. y esto se lleva acabo a través de las clases de riesgos definidas por el personal encargado de velar por la seguridad. se procede a la priorización de los riesgos. Para desarrollar lo anteriormente expuesto. Valoración de Riesgos En esta actividad se involucra al personad del centro de operaciones para estimar de manera conjunta. durante esta actividad se está en posibilidades de establecer un diagnóstico de qué tan Prof. La figura 3 presenta los cuadrantes correspondientes a cada clase. se calcula y estima el costo de implementar o incorporar cada salvaguarda. así como los hallazgos que pertenecen a cada clase. los factores de riesgo (probabilidades) para todas las vulnerabilidades y amenazas encontradas. Una vez que se obtienen los hallazgos. para cada una de las vulnerabilidades y amenazas detectadas se identifican las posibles medidas de seguridad o salvaguardas para controlar o disminuir el riesgo. primero se tabula la información obtenida en la contextualización y análisis de vulnerabilidades (vea figura ejemplo). así mismo.Capítulo I Seguridad y Defensa de la Red Además se determina el nivel de madurez y las mejoras a corto plazo.

Capítulo I Seguridad y Defensa de la Red

lejos o qué tan apegada está la organización en el cumplimiento de los controles establecidos por estos marcos de referencia. d. Plan táctico de seguridad Una vez identificadas las salvaguardas factibles de implementar, y definidas las prioridades y los niveles aceptables de riesgo por parte del centro de operaciones, finalmente se establecen las actividades encaminadas a implementar e incorporar las salvaguardas, sentar las bases para el desarrollo de las políticas de seguridad y la arquitectura tecnológica, y definir las necesidades de capacitación. Este plan está enmarcado en el corto y mediano plazo con base en las prioridades y urgencias detectadas. Políticas de Seguridad (será desarrollado en el último capítulo) En este punto se desarrollan las políticas de seguridad que servirán de guía para los empleados del centro de operaciones a todos los niveles. Así mismo las políticas son la base para definir y desarrollar los procedimientos de seguridad, partiendo de la premisa de que toda clasificación de la información es arbitraria. De acuerdo a la revisión del ISO/IEC 27001, la norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información, ellos son:  Política de Seguridad.  Organización de la Seguridad.  Administración de Activos.  Seguridad de los Recursos Humanos.  Seguridad Física y Ambiental.  Gestión de Comunicaciones y Operaciones.  Sistema de Control de Accesos.  Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.  Administración de Incidentes de Seguridad de la Información.  Plan de Continuidad del Negocio.  Cumplimiento Otros Estándares a considerar para la implementación Británico en el año 1989 y es del dominio público. ITIL contiene las mejores prácticas asociadas a la planificación, provisión y gerencia de servicios de TI (Tecnologías de Información) de calidad, incluyendo las siguientes áreas:  Organización y Procesos.  Infraestructura de TI (hardware, software, redes, aplicaciones y personal).  Gerencia de servicios de TI de calidad.  Mejora de la eficiencia.  Incremento de la efectividad.  Reducción de los riesgos. ITIL cubre todo lo relacionado al marco de los procesos de la organización, para operar y gerenciar las infraestructuras de TI, así como para proporcionar un óptimo servicio a
Prof. Giovana Garrido Página 18

Capítulo I Seguridad y Defensa de la Red

los asociados y justificar los costos. Dividiendo su ámbito de acción en los siguientes servicios:  Entrega de Servicios.  Acuerdo de Nivel de Servicio.  Gestión de las Capacidades.  Gestión de la Disponibilidad.  Planificación de Contingencias.  Gestión de Costos.  Administración de la Configuración.  Escritorio de Ayuda (Helpdesk). Conceptos tales como el Manejo de Incidentes, Gerencia del Cambio y Manejo de Configuraciones, los cuales tienen incidencia directa en las políticas de seguridad de la información, son temas contemplados como parte del soporte de los servicios de TI. La Gerencia de la Seguridad es cubierta por ITIL desde el punto de vista del proveedor de servicios, a la vez que identifica aspectos importantes de la gerencia de la seguridad. COBIT (Control Objectives for Information and related Technologies): fue creado por la Information Audit and Control Association (ISACA), que es una organización global líder de profesionales de mas de 100 países que comprende todos los niveles de la tecnología de la información. Esta asociación se encarga de armonizar los estándares de las prácticas de control de TI a nivel mundial. COBIT está basado en el concepto de “Gestión de TI” que no es más que una estructura de relaciones y procesos para dirigir y controlar la empresa y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Este concepto representa el sistema de control o administración que establece la alta gerencia para asegurar el logro de una Organización. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Suministra un conjunto de buenas prácticas a través de un dominio y el marco referencial de los procesos, además de presentar actividades en una estructura manejable y lógica. COBIT no solo está diseñado para ser usado por usuarios y auditores, sino también para ser utilizado por los propietarios de negocio como una guía clara y entendible. La premisa del Marco de Referencia de COBIT es: “Con el fin de proporcionar la información que la empresa necesita par alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados en forma natural”. Dicho Marco de Referencia está basado en 34 Objetivos de Control de alto nivel, asociados a cada uno de los procesos de TI, están agrupados en cuatro dominios:  Planeación y Organización.  Adquisición e Implementación.  Entrega de Servicios y Soporte.  Monitoreo.

Prof. Giovana Garrido

Página 19

Capítulo I Seguridad y Defensa de la Red

Adicionalmente a los Objetivos de Control de alto nivel, existe una Guía o directriz de Auditoria o de aseguramiento la cual permite la revisión de los procesos de TI contra los 318 objetivos detallados de control, recomendados por COBIT para proporcionar a la gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento. En conclusión, COBIT está diseñado para ser la herramienta de “Gestión de TI” que proporcione herramientas para el entendimiento y la administración de los riesgos así como de los beneficios asociados a la información y sus tecnologías asociadas.

1.4 Seguridad en red perimetral (DMZ “Zona desmilitarizada”,
Demilitarized Zone) Las iniciales DMZ provienen de Demilitarized Zone, es decir, “zona desmilitarizada”. Esta expresión se emplea comúnmente para referirse a una parte de la red que no es realmente de confianza. La DMZ proporciona un lugar en la red para dividir sistemas a los que tienen acceso personas en Internet de aquellos a los que solamente tienen acceso los empleados. Las DMZ también pueden ser utilizadas cuando se trate con socios de negocios y otras entidades externas. Definición de la DMZ La DMZ es creada al proporcionar una zona de red semiprotegida, la zona normalmente es delineada con controles de acceso a la red, como firewall o routers fuertemente filtrados. Es decir, la zona de red a la que se puede acceder desde el exterior. Normalmente un firewall tiene una red pública, una privada y una DMZ. Ejemplo: En la red pública se tiene: la conexión a internet, en algunos casos los servidores trampa. En la red privada están: sus usuarios, sus servidores puramente internos. En la DMZ se coloca: los servidores de acceso externo (mail, web, etc.) los servicios que pueden ser un compromiso a la seguridad como terminadores de red privada virtual y acceso telefónico remoto. Los controles de acceso a la red establecen entonces la política para determinar que tráfico es permitido dentro de la DMZ. En general, cualquier sistema que puede ser directamente contactado por un usuario externo debería ser colocado en la DMZ. Los sistemas a los que pueden tener acceso de manera directa los sistemas o usuarios externos son los primeros en ser atacados y quedar potencialmente comprometidos. Estos sistemas no pueden ser completamente confiables, puesto que podrían quedar comprometidos en cualquier momento. Por tanto, intentamos restringir el acceso que tienen esos sistemas a los sistemas realmente delicados de la red interna. ¿Puertos DMZ? Cualquier equipo capaz de ser firewall que de acuerdo al plan para el DMZ. Si lo llaman DMZ o puerto DMZ dependerá de quien lo configure. Una red no es más o menos DMZ porque se conecte de una manera determinada. La DMZ es un
Prof. Giovana Garrido Página 20

1q en un solo enlace se podrá tener red privada. Para ello hay diferentes arquitecturas DMZ para implementar en las organizaciones. Las reglas del acceso general para la DMZ permiten a los usuarios externos tener acceso a los servicios apropiados en los sistemas de la DMZ. Los sistemas internos pueden tener acceso a la DMZ o a Internet según lo permita la política.. Aquellas redes formadas por múltiples servidores. Este es un tema muy amplio. etc. de correo. Si es posible. no lo convierte en una conexión. pero ningún usuario externo puede tener acceso a los sistemas internos. Supongamos. se beneficiarían de la separación entre dos grupos de sistemas cortafuegos.Capítulo I Seguridad y Defensa de la Red concepto. publica y DMZ sobre el mismo interfaz. la siguiente red: Prof. Los sistemas DMZ deberían estar severamente restringidos respecto al acceso desde los sistemas internos. por ejemplo. Por ejemplo. Giovana Garrido Página 21 .com/article/4415 En ciertas instalaciones. accesibles desde fuera de la organización.linuxjournal. por lo que recomiendo echar un vistazo al siguiente artículo de la publicación Linux Journal: http://www. no es suficiente un único dispositivo cortafuegos. Un claro ejemplo de este tipo de arquitecturas son las redes que disponen de servidores web. el sistema interno debería iniciar la conexión hacia el sistema de la DMZ. si utiliza encapsulacion 802. accesibles públicamente desde el exterior. juntamente con estaciones de trabajo que deberían estar completamente aisladas de conexiones con el exterior. El hecho de permitir tráfico entrante en la red de la organización supone un factor de riesgo que trataremos de mitigar.

Mediante esta arquitectura. internet) y que actúa como punto de contacto entre el interior y el exterior de una red. a no ser que se indique lo contrario. los equipos de la red externa pueden comunicarse con el equipo dual-homed. los equipos de la red interna se pueden comunicar con el equipo dual-homed. pero los equipos de la red interna y externa no se pueden poner en Prof. Una arquitectura de cortafuegos dual-homed se construye mediante el uso de un equipo dual-homed con la capacidad de encaminamiento desactivada. y viceversa. Equipo bastión implantado mediante la utilización de un equipo bastión con una arquitectura dual-homed. El nombre de equipo bastión (bastion host) proviene de las murallas fuertemente protegidas que separaban los castillos medievales del exterior. Giovana Garrido Página 22 .Capítulo I Seguridad y Defensa de la Red En la figura anterior vemos un único sistema cortafuegos como punto de protección. los paquetes IP de un extremo de la red (la parte hostil) no serán encaminados hacia la parte protegida. De esta forma. Un equipo bastión (en ingl´es bastion host) es un sistema informático que ha sido fuertemente protegido para soportar los supuestos ataques desde un lugar hostil (en este caso.

que hace de punto de contacto entre la red interna y la zona desmilitarizada. si un atacante consigue introducirse en uno de los servidores de la zona desmilitarizada. es posible la utilización de dos dispositivos cortafuegos. En la instalación que se muestra en la figura anterior. En las tres siguientes secciones. aunque un atacante se apodere del segmento de los servidores. Esto hace que este cortafuegos con arquitectura dual-homed sea un punto crítico en la seguridad de la red. y contestar a esta interrogante. Es decir. cuáles sistemas deberían colocarse en la DMZ?. se tienen ventajas y desventajas para cada una de ellas.Capítulo I Seguridad y Defensa de la Red comunicación directamente. examinaremos tres de las arquitecturas más comunes. el resto de la red continuara estando protegida mediante el segundo de los cortafuegos Sistemas a colocar en la DMZ Ahora tenemos una política general para la DMZ una lista de servicios que se ofrecerán en Internet. Si un atacante consigue comprometer cualquiera de los servidores que se encuentre detrás de este punto único. Arquitecturas DMZ apropiadas Existen muchas arquitecturas de la DMZ. se configurara para que rechace todos los intentos de conexión que vayan llegando desde el exterior. Giovana Garrido Página 23 . un cortafuegos separa el exterior de la red del segmento desmilitarizado (la DMZ) y los servidores que tienen que ser públicos desde el exterior de la red. Enrutador y muro de fuego Prof. El segundo cortafuegos. Debemos cuestionarnos. y llegar a ser una cuestión de determinar cuál arquitectura es la más apropiada para cada organización. será incapaz de atacar inmediatamente una estación de trabajo. Para prevenir estas situaciones. Como ocurre con muchas cosas en el ámbito de la seguridad. Así. sino que un servidor intermediario se encarga de realizar las conexiones en nombre de estas dos partes. Introduciendo el concepto de zona desmilitarizada o DMZ. las otras máquinas podrán ser atacadas sin ninguna restricción desde el equipo que acaba de ser comprometido.

Otra manera para reducir el riesgo de los sistemas es asegurarlos de manera que solamente los servicios que se están ejecutando en cada sistema sean aquellos que están siendo ofrecidos en la DMZ. El muro de fuego debería estar configurado para permitir el tráfico solamente a los servicios apropiados en cada sistema DMZ. El enrutador no requiere de filtros. Asimismo. y los sistemas a los que se va a tener acceso desde Internet se colocan aquí. la DMZ se diferencia de la red externa como se muestra en la siguiente figura. tenga en mente que los enrutadores tienen la tendencia a utilizar los controles de configuración de líneas de comandos y que los filtros deben ser establecidos de manera apropiada y en el orden correcto para trabajar adecuadamente. Puesto que estos sistemas se encuentran ubicados en la red externa. pueden colocarse filtros sobre el enrutador. Además. Utilizando la arquitectura de un solo muro de fuego. Muro de fuego simple Un muro de fuego (firewall) simple puede emplearse para crear una DMZ. el muro de fuego debe ser capaz de manejarlo además del tráfico interno destinado para Internet. La DMZ está establecida como una tercera interfaz en el muro de fuego. Este muro de fuego sólo controla el acceso a la DMZ. El muro de fuego se convierte en un punto singular de fallas y en un cuello de botella potencial para el tráfico. todo el tráfico es forzado a través del mismo. o bien establecerlos correctamente. aunque alguna clase de filtrado puede hacer que el muro de fuego sea más eficiente. Cuando se hace uso de un solo muro de fuego. Si el enrutador es propiedad de la organización y está administrado por la misma. El muro de fuego controla el acceso a la red interna. puede llegar a ser un problema modificar los filtros. de manera que el único tráfico permitido al interior de la DMZ sea el tráfico a los servicios ofrecidos por los sistemas DMZ. La administración de esta arquitectura está simplificada sobre el enrutador y el muro de fuego en el sentido que solamente el muro de fuego debe ser configurado para permitir o no el tráfico. si se espera que la DMZ atraiga una gran cantidad de tráfico.Capítulo I Seguridad y Defensa de la Red La figura siguiente ilustra una arquitectura simple de enrutador y muro de fuego. Esto significa que los servidores web están ejecutándose únicamente cómo servidores web. La DMZ llega a ser lo mismo que la red externa. los sistemas en la DMZ están un Prof. el muro de fuego debería encontrarse en una configuración de recuperación de fallas. están completamente abiertos a los ataques desde Internet. éste no será un problema. Muchos casos. Telnet. El muro de fuego también proporcionará registros mostrando qué tráfico está permitido y qué tráfico es denegado. Si la disponibilidad es una cuestión de seguridad clave en la arquitectura global. Sin embargo. Giovana Garrido Página 24 . La red externa está formada por el enrutador del ISP y el muro de fuego. el enrutado presentará y será administrado por el ISP. FTP corregidos al nivel más reciente y ser vigilados cuidadosamente. El enrutador está conectado al enlace desde el ISP y hacia la red externa de la organización. Si éste es el caso. Para reducir algo del riesgo de ser comprometidos.

además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías. Prof. puesto que solamente manejará tráfico interno. además de todo el tráfico interno. La arquitectura del doble muro de fuego (dual) requiere que el muro de fuego 1 sea capaz de manera cargas o volúmenes de tráfico que serán significativos si los sistemas DMZ están esperando gran cantidad de tráfico. de la misma manera que el enrutador de filtrado. No estamos sugiriendo que los sistemas inseguros podrán dejarse en la DMZ. pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad. En suma. La DMZ existe ahora entre el muro de fuego 1 y el muro de fuego 2. El muro de fuego 2 se encuentra configurado con una configuración mucho más restrictiva. de modo que alivia parte de la necesidad de eliminar servicios innecesarios. Como en la arquitectura de muro de fuego simple. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas. de manera que solamente permite el tráfico saliente hacia Internet. de modo que la necesidad de asegurarlos se reduce completamente. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad. Esta arquitectura hace uso de dos muros de fuego para separar la DMZ de las redes externa e interna. Muros de fuego dobles (duales) Una tercera arquitectura para un DMZ se ilustra a continuación. Esta configuración puede incrementar la seguridad global en el sentido de que es improbable que un ataque simple comprometa ambos muros de fuego. Sólo se sugiere que el muro de fuego proporciona cierta protección. La red externa todavía está definida por el enrutador del ISP y el primer muro de fuego. Giovana Garrido Página 25 . En seguridad de redes. El muro de fuego 2 puede ser un sistema menos capaz. o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo. El muro de fuego 1 está configurado para permitir todo el tráfico de la DMZ. Combinación de tecnologías para la construcción de una DMZ En la figura siguiente podemos ver el uso de un router con filtrado de paquetes. Los muros de fuego duales incrementan los costos de la arquitectura y requieren de una configuración y administración adicionales. los sistemas de la DMZ están protegidos de Internet por el muro de fuego 1.Capítulo I Seguridad y Defensa de la Red poco protegidos por el muro de fuego. de lo contrario habremos puesto una puerta blindada. Los muros de fuego también pueden ser de dos tipos diferentes. Por ejemplo. juntamente con la utilización de un servidor intermediario para el establecimiento de una zona desmilitarizada.

Capítulo I Seguridad y Defensa de la Red Otra forma de solucionar los mismos problemas planteados consiste en la utilización de un sistema que implemente una inspección de estados en el filtro de paquetes. La inspección de estados*. diseñada por la empresa de productos de seguridad. De esta forma se puede simplificar el esquema planteado anteriormente y mantener a la vez un nivel de rendimiento sin renunciar a las capacidades de monitorización que ofrece la utilización de un punto de protección único. Prof. En la figura siguiente se ilustra la implantación de un equipo bastión con arquitectura de cortafuegos dual-homed y con implantación de inspección de estados. combina (al igual que las pasarelas a nivel de circuito) el rendimiento de los filtros de paquetes con la seguridad adicional que presenta la utilización de servidores intermediarios. Chekpoint e implementada inicialmente en el producto Firewall-1. Giovana Garrido Página 26 .

o Del exterior pueden llegar virus u otro tipo de programas que perjudicarían seriamente los computadores de la empresa. Prof. Giovana Garrido Página 27 . por ejemplo: o Los computadores de la red local contienen información de carácter confidencial cuya salvaguardia resulta vital para la empresa. sin embargo esto plantea varios problemas de seguridad por diversos motivos. o Los empleados pueden utilizar la conexión a Internet para salir a lugares no autorizados (por ejemplo servidores de información no relacionados con su actividad en la empresa). el cortafuego analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados. Para resolver los problemas de acceso seguro hacia/desde el exterior se ha creado el concepto de cortafuego o firewall.Capítulo I Seguridad y Defensa de la Red Su aplicación Especialmente con el crecimiento comercial de la Internet muchas empresas se enfrentan ante la necesidad de conectar sus redes al exterior. de acuerdo con un criterio establecido de antemano. que consiste en un dispositivo formado por uno o varios equipos que se sitúan entre la red de la empresa y la red exterior (normalmente la Internet).

Giovana Garrido Página 28 . por ejemplo impidiendo o limitando el acceso a determinadas direcciones de red.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos basado en router En su versión más simple el cortafuego consiste únicamente en un router en el que se han configurado diversos filtros. actuando él como router. El host implementa un servidor Web proxy Prof. además las posibilidades de definir filtros en los routers son limitadas y el rendimiento se resiente de forma considerable si al router se le carga con una tarea de filtrado compleja. como vemos en la figura anterior. Dado que los usuarios siguen teniendo conexión directa a nivel de red con el exterior esta solución no es muy fiable. Figura: cortafuegos basados en host bastión (dual homed gateway) El siguiente nivel de cortafuego está formado por un host (dual homed gateway) que conecta por una parte a la Internet y por otra a la red corporativa. como vemos en la figura anterior. o el tráfico de ciertas aplicaciones o una combinación de ambos criterios.

Giovana Garrido Página 29 . filtros o reglas que se han especificado. En base. ya que está directamente conectado a la LAN.). tales como mejores auditorías. de forma que ante posibles ataques a nuestro sistema. NNTPd. de registro.deny y Hosts..allow). También deberemos desechar todos aquellos servicios de red como HTTPd. seria la codificación y encriptación de los mismos. etc. En el caso de GNU/LiNUX. Un buen ejemplo de ello. y además conociendo correctamente su funcionamiento. Se recomienda eliminar el demonio SysKLogd. solo deberá mantenerse aquellas derivadas a daemons y la del administrador.Capítulo I Seguridad y Defensa de la Red que actúa como pasarela de aplicación para los servicios que se quieren permitir. monitorización del sistema. e instalar otro de los muchos disponibles en web sites como http://www. los ficheros. SSH nos ayudará mucho en esta tarea. Este sistema debe haber sufrido un proceso de testing para catalogar posibles fallos no solo en seguridad. Otros autores denominan como Bastion Hos (BH)t a un sistema informático catalogado como punto peligroso en la seguridad de nuestra red informática. control de accesos al mismo (conexiones de la red interna.. sino también en el propio software que utiliza.-) Simplemente es pensar en cómo actuaria una persona ajena al encontrarse con un sistema de este tipo. Prof. puede procesar filtros mas complejos que un router. pero si un usuario malintencionado (hacker o cracker) consiguiera instalar un programa 'espía' (sniffer) en el host bastión podría capturar tráfico de la red interna de la empresa. que nos den un mayor rango de seguridad inherente. Normalmente se suele permitir el paso del tráfico de red autorizado a través del BH debido a que este nos detallara todo en todo momento. etc. excepto aquellos que nos permitan a nosotros. conexiones de la red externa . corran menor peligro. Estos podrían ser el telnetd y el ftpd. entre otros. Deberemos controlar todo lo relativo a enrutado desde el BH. el control remoto de la máquina. Deberemos cambiar los puertos de acceso a los mismos. En principio. limitado por las restricciones. podremos asegurar en un gran margen que el sistema está preparado para evitar posibles ataques o accesos no deseados a nuestra red interna. Evitaremos situaciones como encaminamientos no autorizados. una serie de normas de seguridad. Esta solución ofrece una seguridad mayor que la anterior ya que el servidor proxy .net. El computador que actúa como barrera entre la red interna y la Internet se denomina host bastión (‘bastion host’ BH) en terminología de cortafuegos. al ser un host.freshmeat. el sistema no deberá contener cuentas de de acceso a usuarios. o buscar formas de acceso a la máquina mediante una sola IP de acceso (Revisar Hosts. Un BH deberá incluir.. Los métodos personales propios de administración es preferible mantenerlos offside . administradores. dispone de una serie de medidas que le diferencia del resto.

En este modelo la red que une los routers con el host se denomina zona desmilitarizada o zona DMZ (Demilitarized Zone.  Señalar la manera de corregir las vulnerabilidades encontradas. incluido mecanismos de aviso urgente para las vulnerabilidades más graves. subred apantallada (screened subnet) En un nivel mayor de seguridad el cortafuego se implementa mediante un host y dos routers.  Identificación de vulnerabilidades en los activos públicos que se encuentran en la red perimetral a través de acciones de “hacking”. Esta configuración se llama subred apantallada o screened subnet. Giovana Garrido Página 30 . conectados entre sí por una pequeña red local. pues solo podrá ver los paquetes dirigidos a él. Prof. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas. En suma. uno de los routers conecta a su vez con la red local de la empresa y el otro con la Internet. además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías. de lo contrario habremos puesto una puerta blindada. Por ejemplo. el host implementa una pasarela multiaplicación (servidor proxy) como antes. En seguridad de redes. En ocasiones se utilizan otras variantes de arquitectura de cortafuego aún más complejas. o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo. Los objetivos del Servicio de Seguridad Perimetral se basan en la prevención activa en base a las siguientes prácticas:  Mejora continua de la seguridad de los entornos Internet realizando un seguimiento evolutivo mediante el uso de Normas Estandarizadas y Control Continuo. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos con zona desmiliatarizada. pero al no estar el directamente conectado a la red local de la empresa incluso en el caso de que un hacker consiguiera instalar en él un sniffer no podría capturar tráfico confidencial. algo así como una zona neutra de seguridad). pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad.

así como facilitar la disponibilidad de estándares de seguridad para su aplicación en las tecnologías hardware/software de más amplia difusión en la compañía. así como proveer de un soporte especializado como ayuda para la resolución de los problemas de seguridad encontrados.Capítulo I Seguridad y Defensa de la Red   Establecer un canal de alertas de vulnerabilidades de seguridad potenciales en la Administración Pública. presenta en su Parte 2 una Arquitectura de Seguridad. en el que los responsables de seguridad puedan acceder a la información y conocimiento interno de seguridad del que se dispone. para proteger las comunicaciones de los usuarios en las redes. La percepción del Servicio de Seguridad Perimetral viene dada por la información generada desde el mismo:  Informes de seguridad gestionada sobre las direcciones IP en Internet de la Administración. Puede ser de dos tipos:  Con prueba de origen.  Con prueba de entrega.5 Seguridad en equipos de comunicación de datos El documento de ISO que describe el Modelo de Referencia OSI.  Establecimiento de un mecanismo de aviso urgente para las vulnerabilidades detectadas más graves (Alertas Urgentes). señalando la manera de corregir las vulnerabilidades encontradas. Autenticación de los Datos Este servicio garantiza que los datos recibidos por el receptor de una comunicación coinciden con los enviados por el emisor. Según esta arquitectura. Diseminar en la Administración Pública el conocimiento de las “mejores prácticas” para la fortificación de los sistemas de la información. Cuando el origen tiene prueba de la entrega íntegra de los datos al destinatario deseado.  Establecimiento de un canal de comunicación. Cuando el destinatario tiene prueba del origen de los datos. Prof. Giovana Garrido Página 31 .  Diferentes Informes de Seguridad dirigidos hacia cada Administración tratando de identificar posibles punto débiles en la seguridad El análisis de seguridad no se debe de limitar a los entornos de redes convencionales ya que existen innumerables amenazas en otros ámbitos como:  Análisis de seguridad IP sobre Wifi  Análisis de seguridad IP sobre UMTS  Análisis de seguridad IP sobre 3G 1. es necesario dotar a las mismas de los siguientes servicios de seguridad: Autenticación de las Comunicaciones Este servicio proporciona la prueba ante una tercera parte de que cada una de las entidades comunicantes ha participado en una comunicación.  Informes de seguridad manual sobre direcciones IP del rango público.

con el propósito de generar una alarma y/o registrarlo. tal como la numeración de secuencia. alguna forma de ordenación explícita. probablemente encriptada con técnicas simétricas o asimétricas. El mecanismo de control de acceso soporta el servicio de control de acceso. Control de Acceso Autentica las capacidades de una entidad. Esta cantidad. probablemente encriptada con técnicas simétricas o asimétricas. Garantía de la Integridad de los datos Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. Si una entidad intenta acceder a un recurso no autorizado. o un valor de Prof. y se encarga de asegurar si el fuente está autorizado a comunicar con el receptor y/o a usar los recursos de comunicación requeridos. de tal manera de detectar anomalías en el mismo. o un valor de control criptográfico. El control de acceso se puede realizar en el origen o en un punto intermedio. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos.Capítulo I Seguridad y Defensa de la Red Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. puede ser una información suplementaria compuesta por un código de control de bloque. un sello de tiempo o un encadenamiento criptográfico. puede ser una información suplementaria compuesta por un código de control de bloque. Esta cantidad. Para proporcionar integridad a una secuencia de unidades de datos se requiere. o intenta el acceso de forma impropia a un recurso autorizado. Análisis de flujo del tráfico Contar con herramientas o programas que permitan llevar un control del tráfico de la red. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. Giovana Garrido Página 32 . Garantía de la privacidad de los datos Este servicio proporciona protección contra la revelación deliberada o accidental de los datos en una comunicación. El mecanismo de integridad de datos soporta el servicio de integridad de datos. con el fin de asegurar los derechos de acceso a recursos que posee. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. adicionalmente. al tiempo que puede informar del incidente. entonces la función de control de acceso rechazará el intento.

para lo cual deberá obtener su clave pública.   Compromiso de un router en las tablas de enrutamiento pueden reducir el rendimiento. Para que un usuario confíe en el procedimiento de autenticación. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. alguna forma de ordenación explícita. Compromiso para el control de acceso del router puede resultar en la exposición de los detalles de la configuración de red o de denegación de servicio. La autenticación puede ser sólo de la entidad origen o de la entidad destino. o incluso otras redes con las que se comunica el router.Capítulo I Seguridad y Defensa de la Red control criptográfico. adicionalmente. Un certificado es un documento firmado por una Autoridad de Certificación.5. El emisor envía su nombre distintivo y una contraseña al receptor. El mecanismo de intercambio de autenticación se utiliza para soportar el servicio de autenticación de entidad par. o ambas entidades se pueden autenticar la una o la otra. Cada usuario se identifica por un nombre distintivo y por su clave secreta. válido durante el período de tiempo indicado. que asocia una clave pública a un usuario. 1. Reconocimiento del Receptor y/o Transmisor Existen dos grados en el mecanismo de autenticación:  Autentificación simple.1 Control físico de acceso a redes a. Cuando un segundo usuario desea comprobar la autenticidad de su interlocutor deberá comprobar que éste está en posesión de su clave secreta. La Autoridad de Certificación utiliza un algoritmo de clave pública para certificar la clave pública de un usuario produciendo así un certificado.  Autentificación fuerte. El mecanismo de integridad de datos soporta el servicio de integridad de datos. Utiliza las propiedades de los criptosistemas de clave pública. y la exposición de datos sensibles. el cual es un servicio que corrobora la fuente de una unidad de datos. y puede facilitar los ataques en contra de otros componentes de la red. un sello de tiempo o un encadenamiento criptográfico. Página 33 Prof. el cual los comprueba. El compromiso de un router puede dar lugar a diversos problemas de seguridad en la red. la clave pública de su interlocutor se tiene que obtener de una fuente de confianza. la negación de la red de servicios de comunicación. Para proporcionar integridad a una secuencia de unidades de datos se requiere. tal como la numeración de secuencia. Routers Motivaciones para la Prestación de Guía de Seguridad de Router La prestación de servicios a los Routers es esencial para el correcto y seguro funcionamiento de las redes. a la que se denomina Autoridad de Certificación. Giovana Garrido .

garantizar y facilitar la cooperación entre los elementos claves independientes. Sin embargo. A continuación se describen los principios generales para la protección de un router en sí. a. se debe instalar los componentes para ayudar a proteger contra algunos ataques de denegación de servicio. la protección de una red con un router. la última versión de cualquier sistema operativo tiende a no ser la más fiable debido a su limitada exposición en una amplia gama de entornos de red. no ser negligente. tarjetas de PC. Aunque hay una variedad de recursos disponibles por parte de vendedores de routers. evitando así una grave fuente potencial de problemas de seguridad. un router seguro bien configurado puede mejorar en gran medida la postura de seguridad de una red. ya sea de productos o libros que documentan acerca de la seguridad. un router y la gestión de seguridad. el router debe estar configurado con la máxima cantidad de memoria posible. Configuración fuerte: Un router es similar a muchos computadores en el sentido de que muchos servicios se activan por defecto. La habitación que contiene el router debe estar libre de interferencias magnéticas o electrostáticas. y que le permita apoyarse de la más amplia gama de servicios de seguridad. Muchos de estos servicios son innecesarios y pueden ser utilizados por un atacante para la recopilación de información o de la explotación. con los usuarios finales. garantizar la integridad de los datos. de las exploraciones y los ataques. protección de un router en sí Seguridad física: Hay varias maneras de proporcionar la seguridad física de un router.Capítulo I Seguridad y Defensa de la Red   Una mala configuración del enrutador en el filtrado puede reducir la seguridad general de todo. En general. Aplicar Políticas de seguridad en un router es necesario aunque difícil. exponer los componentes de la red interna. Por otro lado. Además. Principios y Metas de Seguridad en Routers Los routers pueden desempeñar un papel en la obtención de las redes. y facilitar a los atacantes para evitar la detección. módems) se utiliza para conectarse al router para almacenamiento que requieran protección. Debe tener los controles de temperatura y humedad. y utilizar al seleccionar de lista la versión del sistema operativo más apropiada. el router debe ser colocado en una habitación cerrada con llave con acceso de sólo un pequeño número de personal autorizado. Todos los servicios innecesarios deben ser desactivados en la configuración del router. Giovana Garrido Página 34 . el uso adecuado de las funciones de seguridad criptográfica en el router pueden ayudar a proteger datos sensibles. no eludir. Por último. Decidir qué características de las necesidades de red. los dispositivos físicos (por ejemplo. hay que ser malicioso aun. Se debe utilizar la última versión estable del sistema operativo que cumpla con la función de acuerdo a sus necesidades. Prof. Sistema operativo: El sistema operativo en el router es un componente crucial. También considerar si es necesario la disponibilidad de un sistema de alimentación interrumpida (UPS).

basadas en las direcciones y los protocolos. algunos routers necesitan dos filtros para manejar los servicios de bi-direccional. Figura Un router puede ser utilizado también como parte de la defensa en un enfoque profundidad. Algunos routers pueden filtrar en cualquier bit o de cualquier patrón de bits en el encabezado IP. Sin Prof. Este enfoque se recomienda utilizar sólo en un router. Giovana Garrido Página 35 . Por ejemplo. Así pues. un usuario en un sistema telnets del sistema B. Algunos routers tienen filtros que se aplican a los servicios de red en ambas direcciones de entrada y de salida. y de B envía algún tipo de respuesta al sistema A. puerto de origen. y a este se le conoce como un router de selección. (Muchos servicios son bidireccionales.) La mayoría de los routers puede filtrar por una o más texto de la siguiente forma: dirección IP de origen. Actúa como la primera línea de defensa. ya que ofrece más seguridad.Capítulo I Seguridad y Defensa de la Red b. Routers pueden aplicar filtros de diferentes maneras. También puede realizar la autenticación de usuario. puerto de destino. dirección IP de destino. y tipo de protocolo. El diagrama de la parte inferior muestra una típica topología con el router es el componente que conecta a la red protegida a Internet. El servidor de seguridad proporciona control de acceso sobre el contenido de las conexiones. Figura Ejemplo de configuración de conexión típica de Internet con un router Internet Filtrado de paquetes TCP/IP: Un filtro de paquetes de TCP / IP proporciona servicios de control para la transferencia de datos entre las redes. Se puede hacer esto por sí mismo. como se muestra en el siguiente diagrama. protección de la red con el router Reglas de seguridad perimetral y políticas de seguridad: Un router proporciona una capacidad para ayudar a asegurar el perímetro de una red protegida. mientras que otros tienen filtros que se aplican sólo en una dirección. el cual contiene una ruta que pasa por todas las conexiones destinadas a la red protegida por el cortafuego.

Se puede:  aplicar Filtros de paquetes: sólo se requiere permiso de Protocolos y Servicios. Giovana Garrido Página 36 . el nombre del archivo del ftp). Esto se denomina filtrado de entrada.Capítulo I Seguridad y Defensa de la Red embargo. Por ejemplo. Del mismo modo. Esto a veces se denomina filtrado de salida. en la Figura 1. el rechazo de los protocolos y la restricción de los puertos de acuerdo a las políticas de la red de confianza.  aplicar Filtros de paquetes: Rechazar riesgo Protocolos y Servicios. Los filtros también son importantes por su capacidad para hacer valer frente a las limitaciones. El papel del router es hacer cumplir la política de seguridad. los routers no tienen la capacidad para filtrar el contenido de los servicios (por ejemplo. el router debe hacer cumplir la restricción de que los paquetes que llegan de la Internet deben tener una dirección de origen fuera del rango válido para la red protegida. Los Filtros de paquetes son especialmente importantes para los routers ya que actúan como puerta de enlace entre las redes de confianza y no confianza. el router debe hacer cumplir la restricción de que los paquetes enviados desde la seguridad de la red de seguridad o protegida (a la derecha a la izquierda) debe tener una dirección de origen dentro de un rango particular.  estándares en puertos y protocolos Prof.

configuración y gestión del router cumplen su política de seguridad? Una base conceptual para la política de seguridad del router La figura a continuación. Giovana Garrido Página 37 . muestra tabla de servicios en los routers para los clientes externos. políticas de seguridad de routers Los Routers son una parte importante de una red. La seguridad de cada capa depende de la seguridad de las capas dentro de él. y su seguridad es una parte vital de toda la red. muestra una vista de los niveles de seguridad de un router. ¿Qué significa para un router que sea seguro? Una manera sencilla de definir la seguridad de un router es la siguiente: ¿la operación. d.Capítulo I Seguridad y Defensa de la Red Figura tabla de servicios para routers La siguiente figura. Prof.

tanto en términos de funciones. también debe hacerse el control de las dos capas exteriores. tablas ARP. Giovana Garrido Página 38 . Otras partes de la información dinámica. estos puertos suelen prever mecanismos especiales para el control del router. la política de seguridad de un router servirá para. entonces. normas de conducta. y los controles de acceso para el acceso directo a la interfaz de comandos del router. y las responsabilidades. aunque a veces se pase por alto.Capítulo I Seguridad y Defensa de la Red Vista de las capas de seguridad de un router La zona interna representa la seguridad física del router. Si un atacante puede comprometer la configuración dinámica de un router. La política de un router debe encajar en el marco general. Si un atacante puede comprometer cualquiera de estos. por lo tanto. puede comprometer la capa externa. por lo general denominado "consola" o "control" de puertos. son también muy importantes. Las normas de conducta de la administración del router debería aclarar la aplicación de las normas de red al router. Política de Seguridad del Router y de la red general Normalmente en la red. Algunos aspectos importantes de los datos almacenados son la interfaz de configuración de direcciones. La zona exterior de la figura es la configuración dinámica del enrutador. incluye normas estrictas sobre el acceso a esta capa. permisos. La Política de seguridad por lo general. Las funciones que se definen en la política de seguridad del router suele ser un subconjunto de las políticas de la red. La política de seguridad del Router debe definir normas de dónde y cómo estos puertos pueden ser utilizados. el acceso físico debe ser controlada para proporcionar una base sólida para la seguridad general del router. y los registros de auditoría. La mayoría de los routers ofrecen una o más conexiones directas. los nombres de usuario y contraseñas. La siguiente zona más interna de la figura es el software almacenado y el estado de configuración del router en sí. Prof. en particular. Cualquier router puede estar comprometida por un atacante con acceso físico completo. definir roles. tal como el estado de la interfaz. La Política de seguridad para un router debería incluir normas sobre el acceso a esta capa. La ruta de los propios cuadros son los más evidentes de esta parte. la configuración almacenada.

En algunos casos. La política de seguridad del router puede conceder privilegios de acceso del operador al router de manera que puedan acceder a los registros del router. Creando una política de seguridad para un router Existen varios consejos importantes que recordar al crear la política de seguridad de un router:  Especificar los objetivos de seguridad. por ejemplo. Puede ser necesario revisar la política de seguridad del router cuando se produzca un cambio importante en la arquitectura de red o estructura orgánica de la administración de la red. explícitamente los permisos. El router sólo puede incluir dos política de seguridad: el administrador y operador. El router puede especificar normas particulares que puedan ser aplicadas por el router para evitar la administración remota.Capítulo I Seguridad y Defensa de la Red Por ejemplo. al final. Cada una de las funciones que se concederá privilegios en el router. o cuando los objetivos de seguridad ha sido cambiados en el router. tanto la dinámica como con el flujo del tráfico. Protocolos y Servicios que no están explícitamente permitidos se le debe negar: Cuando se representa política de la red en el router. podría ser considerado responsable por la seguridad de la red en la revisión periódica de los registros de auditoría. En cuanto a los demás. los resultados de seguridad que deben alcanzarse. Por ejemplo. pero no en la LAN local. Giovana Garrido Página 39 . el examinar el router y revisar la política de seguridad según sea necesario cuando cualquiera de los siguientes eventos ocurren. Especificar la política de todas las zonas señaladas en la figura anterior: Comience con la seguridad física. la política en el router implica mucho más detalles que la política de la red. se debe concentrar en los protocolos y servicios que han sido identificados como explícitamente necesarios para la explotación de las redes. Actualizar la política del router para que se reflejen los cambios en la red.  Cambios importantes en las prácticas administrativas. una política de seguridad de red podría definir tres funciones: administrador. Prof. operador.   Una política de seguridad debe ser un documento vivo. en lugar de un comando en particular o un mecanismo. El operador. el router aplica la política de red. y el trabaje hacia el exterior hacia la configuración. y negar todo lo demás. los comandos o mecanismos: Cuando se especifican las políticas. la política le permite cumplir sus responsabilidades tal como se indica en una política de la red. y el usuario. la política de seguridad de la red podría prohibir la administración del router desde cualquier lugar. procedimientos. Forman parte de las prácticas de seguridad de la red para ser examinados periódicamente como parte de la política de seguridad de red del router y de la seguridad en sí. o personal. En particular. ambas deben tomarse en cuenta.  Nuevas conexiones entre la red local y las redes externas. no particular. la política del router es más llevadera cuando se dan a través de las versiones del software y entre diferentes tipos de routers.

Prof. Cuando la política de seguridad del router sea objeto de una revisión. no es posible bloquear el acceso Telnet desde dicho router. Las listas de acceso constituyen una eficaz herramienta para el control de la red. Después de la elaboración de una política. Giovana Garrido Página 40 . Las listas de acceso identifican tráfico que ha de ser filtrado en su tránsito por el router. un nuevo servidor de seguridad). Despliegue de nuevas capacidades sustanciales (por ejemplo. Uso de Listas de Control de Acceso (ACLs) como parte de la seguridad en la red para el control de tráfico Los router se sirven de las listas de control de acceso (ACL) para identificar el tráfico. Lista de política de seguridad del router La lista que figura a continuación fue concebida como una ayuda para la creación de la política de seguridad del router.Capítulo I Seguridad y Defensa de la Red    Cambios importantes en la política global de seguridad de red. Las listas de acceso pueden aplicarse también a los puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente. Se pueden usar listas de acceso IP para establecer un control más fino o la hora de separar el tráfico en diferentes colas de prioridades y personalizadas. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP o a protocolos IP de capa superior. El filtrado de paquetes permite controlar el movimiento de paquetes dentro de la red. Esta identificación puede usarse después para filtrar el tráfico y conseguir una mejor administración del tráfico global de la red. Una lista de acceso también pueden utilizarse para identificar el tráfico “interesante” que sirve para activar las llamadas del enrutamiento por llamada telefónica bajo demanda (DDR). Este control puede ayudar a limitar él tráfico originado por el propio router. Las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router. pero no puede filtrar él tráfico originado por el propio router. Estar conciente de que el mantenimiento de la política es crucial para el cumplimiento de la misma. pasar por una la lista y comprobar que cada tema se aborda en forma segura. Ataque de Detección o grave compromiso.  Seguridad física  Configuración estática de seguridad  Configuración dinámica de seguridad  Servicio de seguridad de la red  Respuesta ante compromiso e. una nueva red privada virtual) o de nuevos componentes de la red (por ejemplo. notificará a todas las personas autorizadas de la administración del router y todas las personas autorizadas para el acceso físico a él.

Cisco IOS) que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino. Giovana Garrido Página 41 . antes de que el paquete pueda ser enviado al puerto destinado será verificado por una serie de instrucciones de la lista de acceso asociada con dicha Prof. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo. el paquete puede ser enviado al búfer de salida.Capítulo I Seguridad y Defensa de la Red Las listas de acceso son mecanismos opcionales del software (ejemplo.(evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado). como las actualizaciones de enrutamiento a las sesiones Telnet salientes. De no ser así. el paquete es descartado. que no ha sido agrupado a ninguna lista de acceso de salida. También pueden verificar protocolos especificados. números de puerto y otros parámetros. Si no existe ninguna ruta hasta la dirección de destino. Las listas de acceso no actúan sobre paquetes originados en el propio router. el router comprueba si la interfaz de destino esta agrupada en alguna lista de acceso. basándose en la dirección IP de la red-subred-host de origen. y paquetes que salen de las interfaces de salida del router. Listas de acceso estándar Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. Listas de acceso de salida Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión. Operatividad de las listas de acceso Cuando un paquete llega a una interfaz. dicho paquete será enviado directamente al puerto destinado. o bien descartados. si el paquete pasa las pruebas de filtrado. Listas de acceso extendidas Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada. Las listas de acceso pueden aplicarse de las siguientes formas: Listas de acceso de entrada Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. paquetes que se trasmiten por el router. Si el paquete de salida está destinado a un puerto. A continuación. el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. será procesado para su enrutamiento. Si el paquete de salida está destinado a un puerto ha sido agrupado en una lista de acceso outbound.

instrucción a instrucción. al final de cada lista de acceso. se aplica la opción de permiso o denegación y se pone fin a las pruebas de dicho paquete. Implementación de listas de acceso Una lista de acceso puede ser aplicada a múltiples interfaces. Sólo se permite una lista por protocolo. En lugar de salir por alguna interfaz. Para las listas de entrada permit significa continuar el procesamiento del paquete tras su recepción en una interfaz. por dirección y por interfaz.   Utilice sólo números de listas de acceso dentro del rengo definido por el fabricante para el protocolo y el tipo de listas que va ha crear. Si la cabecera de un paquete no se ajusta a una instrucción de la lista de acceso. el paquete será admitido o denegado. sólo puede haber una lista de acceso por protocolo. Giovana Garrido . Prueba de condiciones en listas de acceso Las instrucciones de una lista de acceso operan en un orden lógico secuencial. La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. la prueba continua con la siguiente instrucción de la lista. todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Esta condición final se aplica a todos esos paquetes y se traducen en una condición de denegación del paquete. siempre esta activa. Para las listas de salida permit significa enviar al búfer de salida. es necesaria que en toda lista de acceso exista al menos una instrucción permit. Esta instrucción final se conoce como la denegación implícita de todo. dirección e interfaz. El proceso de comparación sigue hasta llegar al final de la lista. Página 42 Prof. Es posible tener varias listas para una interfaz. Evalúan los paquetes de principio a fin.Capítulo I Seguridad y Defensa de la Red interfaz. mientras que deny se traduce en descartar el paquete. Una vez que se produce una coincidencia. el resto de las instrucciones de la lista serán omitidas. pero cada una debe pertenecer a un protocolo diferente. Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso. en caso contrario la lista de acceso bloquearía todo el tráfico. Esto significa que una condición que deniega un paquete en una instrucción no puede ser afinada en otra instrucción posterior. y el paquete será permitido o denegado según se especifique en la instrucción competente. ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable. Cuando se descarta un paquete IP. Dependiendo del resultado de estas pruebas. mientras que deny significa descartar el paquete. Aunque esta instrucción no aparece en la configuración del router. cuando el paquete será denegado implícitamente. Debido a dicha condición. Sin embargo.

Consideraciones Finales Cuando los paquetes de información viajan entre su destino y origen. filtros y excepciones que le indican que rutas son las más apropiadas para enviar los paquetes. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo dar á paso (permitirá) a todo el trafico. determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve el paquete a su origen en caso de que él no sea el destinatario del mismo.Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales. En caso contrario. Giovana Garrido Página 43 .No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas. b. si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia el Router de la red destino. pero sí cuando se usan listas de acceso IP con nombre (característica de Cisco IOS v.A menos que termine una lista de acceso con una condición de permiso implícito de todo. No pueden hacer de filtro para el tráfico originado por el propio router. se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista. si se conectan dos redes del tipo LAN se utilizan Bridges. todo el tráfico será denegado.Las adiciones a las listas se agregan siempre al final de éstas. . los cuales son puentes que operan a nivel de Enlace. Cree una lista de acceso antes de aplicarla a la interfaz. vía TCP/IP. estos pasan por diferentes Routers (enrutadores a nivel de Red). Switch Prof.Capítulo I Seguridad y Defensa de la Red    Procesamiento de principio a fin: . Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales. regla. Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router.2) Denegación implícita de todo: . En cambio. . Los Routers "toman decisiones" en base a un conjunto de datos. Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.11. pero siempre delante de la condición de denegación implícita. La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de determinar. .Toda lista de acceso deben incluir al menos una instrucción permit. En caso de que el paquete provenga de afuera.

Si es posible. es preocupante porque no proporciona ninguna seguridad de TFTP. Algunos de estos ajustes pueden afectar la seguridad del switch. Además. A continuación elementos importantes a considerar en un switch. confirmar el éxito por separado y antes de actualizar su contraparte. pueden ser susceptibles a la toma de información y ataques a la red. siempre realice cualquier tipo de copia de seguridad de la configuración de un switch. Contramedidas Instalar la última versión estable del sistema operativo. En primer lugar. Es muy importante leer las notas de la versión de una nueva versión de IOS en forma cuidadosa antes de instalar. Nuevas características de seguridad se añaden a cada nueva versión del sistema operativo. También. actualizar cada switch redundante. Existen varios enfoques para hacer esto. La aproximación más simple a mitigar este riesgo es permitir el cambio de la contraseña secreta inmediatamente después de la instalación. Hay que estar preparado para volver a llevar a cabo la actualización ya sea por que ha sufrido un bajo rendimiento o por comprometer la seguridad del switch.Capítulo I Seguridad y Defensa de la Red A pesar de ser de capa 2 (de acuerdo al modelo OSI). el administrador pueden exponer a las contraseñas encriptadas divulgando la información. Una actualización del IOS tendrá un impacto. es similar a otros sistemas operativos con respecto a ser sensibles a las deficiencias de sus versiones. Cisco mantiene lo que son las imágenes del sistema. algunas versiones más recientes ofrecen servicios que no esté Prof. Por ejemplo. el cambio de rendimiento puede verse afectado debido a la inactividad de la actualización o de características que no funcionan correctamente después de la actualización. sustituir el switch por otro como repuesto para realizar la actualización fuera de línea sin causar una larga interrupción en la conectividad de red. esta podría comprometer una red local. no hay facilidad para modificar o parchear el IOS instalado. Los atacantes pueden encontrar debilidades en las versiones de un sistema operativo a través del tiempo. Giovana Garrido Página 44 . es fundamental que el administrador de TFTP protege el servidor de la transacción y de los posibles atacantes. pero si se hace incorrectamente puede que se de una vulnerabilidad. siempre desactivar inmediatamente después de terminar el procedimiento de instalación.  En segundo lugar. la interconexión del sistema operativo (IOS). Es importante señalar que la mayoría de las actualizaciones del IOS sólo puede lograrse mediante la sustitución de la IOS que se ejecuta en el switch. Sistema Operativo: Si un sistema operativo no se le da un cambio actualizado. y posiblemente un cambio en la red. no deje habilitado el servicio TFTP en el servidor. Una actualización puede ser beneficiosa para la seguridad. Por lo tanto. Ejemplo. Otro aspecto a considerar al momento de actualizar e instalar versiones del sistema operativo es lo siguiente:  Si utiliza un servidor TFTP.  En tercer lugar. En redes con switches redundantes. pero la más simple consiste en garantizar que el tráfico TFTP no atraviese redes hostiles. muchos ajustes por defecto varían entre las distintas versiones del sistema operativo. para asegurar que esta versión puede cambiar totalmente las funciones de apoyo necesarias en la red. el sistema operativo de Cisco. Por ejemplo.

Passwords: Vulnerabilidades Algunos switch tienen dos niveles de acceso por defecto: Usuario (Nivel 1) y privilegiados (Nivel 15).  Si el "enable secret" del switchg no está configurado o es una contraseña débil. el username password. El "enable secret" es el modo de protección de contraseña más segura. letras. establecer la misma contraseña para el "enable secret en múltiples switchs proveyendo un único punto de falla porque se puso en peligro y comprometió uno de los switchs. puede ser capaz de obtener acceso de nivel privilegiado en un momento posterior. porque la contraseña para determinados ajustes (por ejemplo. El atacante que puede recoger las contraseñas de ir a un switch.  Activar el servicio de encriptación de password  En “enable secret” aplicar números. Si un atacante puede toma el archivo de configuración usando un analizador de red.Capítulo I Seguridad y Defensa de la Red presente en versiones anteriores. Por último. El nivel de usuario suele ser visitado a través de Telnet o SSH para conexiones a través de un interruptor o la línea de la consola en el switch. Cada nivel es generalmente configurado con una contraseña. y sobre todo caracteres especiales al password. Vulnerabilidades específicas relacionadas con el puerto de administración son las siguientes: Prof. y cambiarlo cada 90 días (recomendado por Cisco). Las vulnerabilidades específicas que están asociados con estas contraseñas son las siguientes:  Un switch muestra las contraseñas en texto plano por defecto para las siguientes configuraciones en el archivo de configuración: el "enable password". Asimismo. la línea de consola y las líneas de terminal virtual. entonces el switch es susceptible a ataques. Las contramedidas están descritas para los passwords de la línea de consola. Contramedidas Las siguientes son algunas contramedidas para mitigar las vulnerabilidades asociadas con los passwords en los sistemas operativos de los switch. entonces puede utilizar las contraseñas para acceder a este sistema. telnet) pueden ser en texto plano y se puede tomar en una red mediante un analizador de redes. El nivel de privilegio se puede configurar ya sea con un "enable password" o "enable secret”. es importante leer y seguir las notas de la versión de una nueva versión de IOS cuidadosamente. Puerto de Administración: Vulnerabilidades: Un switch tiene un puerto de administración. utilizando una función basada en hash MD5. utilizando la misma contraseña "enable secret". la consola de línea (línea con 0). entonces un atacante podría obtener privilegios de acceso para recuperar o cambiar la información del dispositivo. que un "enable password". El nivel privilegiado suele ser visitado después de la de nivel de usuario está establecido. Si el puerto de administración en la configuración de los switch es demasiado permisivo. que proporciona acceso directo a la administración. Por lo tanto. y otros ajustes en un switch permite el compromiso potencial. las líneas terminal virtual y el usarname en el puerto de administración y de los servicios de red. Giovana Garrido Página 45 .

 Establecer una cuenta única para cada administrador de acceso a la línea de consola. porque la contraseña para determinados ajustes (por ejemplo. Asimismo. Este método no se mezcla con el tráfico de administración operativa y no consume ancho de banda de funcionamiento. utilizando la misma contraseña por el puerto de administración. Este acceso implica el uso de una red de área local virtual (VLAN). El out-of-band management es un sistema de administración y uso dedicado vías de comunicación. letras. Las siguientes contramedidas mitigan las vulnerabilidades a la línea de consola disponibles en cada switch. Giovana Garrido Página 46 .  Crear un banner para el proceso de acceso a la línea de consola para cada switch. y por otros parámetros de un switch. como por ejemplo Cisco que se desactive el tiempo de espera. las actualizaciones del sistema operativo).  Aplicar números. el acceso fuera de banda sería preferible para ciertas funciones (por ejemplo. con una contraseña por defecto o con una contraseña débil. El atacante que comprometa un switch puede comprometer otros switch. Si un switch tiene un puerto de administración establecidos sin contraseña. telnet) pueden ser en texto plano y se puede tomar de red mediante un analizador de redes. Por último. El atacante puede tomar las contraseñas de telnet desde el tráfico de la red e ir a un switch. Si las conexiones en el puerto de administración en un switch no tienen un periodo de tiempo establecido o tiene un gran periodo de tiempo (más de 9 minutos).  Establezca el tiempo de ejecución a 9 minutos o menos para desconectar conexiones inactivas a la línea de consola. security). Sin embargo. establecer la misma contraseña para elpuerto de administración en múltiples switch proporcionando un único punto de fallo. Servicios de Red: Prof. a través de ataques de diccionario) y recuperar o cambiar la información sobre el cambio. basados en la red. y sobre todo caracteres especiales al password. entonces un atacante puede adivinar la contraseña o crack (por ejemplo. puede ser capaz de acceder para cambiar el puerto de administración en un momento dado. y cambiarlo cada 90 días. administrator. porque en algunos switch. La figura muestra una serie de Terminal Server y una administración separada (out-ofband management) de acceso a puerto de consola de todos los switch. Esta solución es suficiente para muchas funciones de administración. permite el potencial compromiso. Contramedidas: El método más seguro para administrar un switch es administración fuera de banda (outof-band management). root. entonces. No establezca el tiempo a cero.Capítulo I Seguridad y Defensa de la Red    Un switch con un puerto de administración usando una cuenta por defecto permite a un atacante que trate de hacer las conexiones mediante uno o más de las bien conocidas cuentas de usuario por defecto (por ejemplo. las conexiones estarán más disponibles para que un atacante pueda hacer daño.

superior a 9 minutos). entonces un atacante puede adivinar la contraseña o crack (por ejemplo. Las características o la mala configuración de los servicios de red en un switch pueden conducir a comprometer al mismo. El atacante que comprometa un switch puede comprometer los otros switchs. Asimismo. sin embargo. las conexiones estarán más disponibles para que un atacante entre a ellos. relacionarlos con estos servicios mediante un analizador de redes. de modo que un atacante puede ser capaz de tomarlo del tráfico de la red. security). con una contraseña por defecto o con una contraseña débil. Un switch que no prevé la protección de los puertos permite que un atacante entre a un sistema por un puerto que no es utilizado por estar habilitado para llevar a cabo la recopilación de información o Prof. contraseñas u otra información de configuración relacionados con el switch. El out-of-band management reduce la exposición de la información de la configuración y mejora la administración por contraseñas.  Si un switch ha establecido un servicio de red sin contraseña. entonces. Los siguientes contramedidas para mitigar las vulnerabilidades de los servicios de red activada en el switch son las siguientes: servicios de red innecesaria y los servicios de red necesarios potencialmente. Las vulnerabilidades específicas de los asociados con los servicios de red incluyen los siguientes:  Conexiones a muchos servicios en un switch no están encriptados.  Amplio acceso a la red de servicios en un switch hace que este sea vulnerable a los ataques. Amplio acceso significa que todos los sistemas o de un gran número de sistemas se puede conectar al switch. administrator. Muchos de estos servicios no suelen ser necesarios para un cambio del funcionamiento normal.  Un switch con un servicio de red utilizando una cuenta de usuario por defecto permite a un atacante tratar de hacer conexiones mediante uno o más de las bien conocidas las cuentas de usuario por defecto (por ejemplo. El tráfico puede contener nombres de usuario. Contramedidas: Si es posible. telnet) para realizar la administración en un switch. Seguridad de los puertos: Vulnerabilidades: Las interfaces de Nivel 2 en un switch se denominan puertos. a través de ataques de diccionario) y recuperar o cambiar la información del switch.Capítulo I Seguridad y Defensa de la Red Vulnerabilidades: Los sistemas operativos de los switch pueden tener una serie de servicios de red habilitada. se recomienda utilizar out-of-band management (por ejemplo. en lugar de utilizar un servicio de red (por ejemplo. si estos servicios están habilitados entonces el switch pueden ser susceptible a la recopilación de información de la red o por ataques. root.  Si las conexiones a un servicio de red en un sistema no tiene un periodo de tiempo establecido o tiene un gran periodo de tiempo (por ejemplo. La mayoría de estos servicios se basan en uno de los siguientes mecanismos de transporte en la capa 4 del modelo OSI: Protocolo de control de transmisión (TCP) y Protocolo de datagramas de usuario (UDP). a través del puerto de consola) para cada uno. Giovana Garrido Página 47 . establecer la misma contraseña para el servicio de red de múltiples switchs proporciona un único punto de fallo.

Este ataque puede desbordar el switch en el búfer de conexión y desactivarlo. una pausa en la trama pueden ser recibir y detener la transmisión de paquetes de datos.  Llevar redes convergentes a tráfico de voz y de datos [por ejemplo. puede permitir que estas redes de tráfico de voz puedan convertirse en un tráfico de datos flood attack.Capítulo I Seguridad y Defensa de la Red ataque. el procesador de sistema. Sin embargo.  El flujo de control 802. a los sistemas o redes. Las Vulnerabilidades específicas asociadas con la disponibilidad del sistema son los siguientes:  Algunos fast flooding attacks pueden provocar que el procesador del switch no este disponible para el acceso administrativo. obteniendo asi los nombres de usuario. Un switch puede ser configurado para actuar como un concentrador. contraseñas o información de configuración sobre los sistemas en la red.  Los switchs directamente conectados funcionan con el protocolo Unidirectional Link Detection (UDLD. Si esta característica está habilitada. Todos los puertos de switch o interfaces deben garantizarse antes de que el switch este funcionando.  El ataque de inundación SYN (SYN Flood attack) envía repetidas peticiones de conexión sin enviar la aceptación de los acuse de reconocimiento a la solicitud de conexión. Giovana Garrido Página 48 . entonces el vínculo se cierra hasta que manualmente sea restaurado. utilizar el puerto de seguridad para activar los puertos en el switch en la mayor medida posible. ya sea parcial o total. Si se detecta uno. Contramedidas: Las siguientes contramedidas mitigan las vulnerabilidades en la disponibilidad del sistema de cada switch.3x permite la recepción de los puertos para hacer una transmisión pausada de los paquetes del remitente en momentos de congestión. Contramedidas: El puerto de seguridad limita el número válido de direcciones MAC permitidas en un puerto. Detección unidireccional Enlace de Datos). puede determinar si existe una relación unidireccional entre ellos. Si no se configura correctamente. Prof. lo que significa que cada sistema conectado al switch puede ver todo el tráfico de red que pasa por el a todos los sistemas conectados al switch. Tenga en cuenta que la protección de los puertos no puede utilizarse para los puertos de acceso dinámico o los puertos de destino para el Analizador de puerto del switch. voz sobre IP (VoIP)]. un atacante podría recopilar información del tráfico. Por lo tanto. Los switch son muy susceptibles a estos ataques. UDLD mensajes podrían utilizarse en ataques por denegación de servicio. Estos ataques se centran en los recursos (por ejemplo. De esta manera los elementos de seguridad se establecen o eliminan según sea necesario en lugar de añadir funciones y el fortalecimiento al azar o como resultado de un incidente de seguridad.  Algunos ataques activos y ciertos errores pueden causar inundaciones de paquetes a los puertos de un switch. Las pausas de tramas de flujo de control podría ser utilizado para un ataque de denegación de servicio. el ancho de banda) disponibles. Disponibilidad del sistema: Vulnerabilidades: Muchos ataques existen y se crean más a causa de la denegación de servicio.

Prof. por medio de la agrupación realizada de una forma lógica en lugar de física. por su conexión al mismo concentrador o segmento de la red. Más aún. Sin embargo. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos. han sido creados por la asociación física de los usuarios en un mismo segmento de la red. dando un tiempo de conectividad al administrador. considerar el uso de Quality of Service (QoS) para el tráfico de voz. o en un mismo concentrador o hub. han sido creados por la asociación física de los usuarios en un mismo segmento de la red. Adicional a esto. existen analizadores de red que pueden fácilmente identificar este tipo de tráfico. hasta ahora. Desactivar el control de flujo en la interfaz.Capítulo I Seguridad y Defensa de la Red      Prevenir fast flooding attacks y garantizar de que la prioridad sea la más baja. Más aún. También se dice que son "dominios de broadcast" (ver router) dado que el tráfico de broadcast a nivel 2 no se difunde entre las diferentes VLANs sino que se queda limitado al conjunto de puertos (físicos o virtuales) que pertenecen a cada una de las VLANs. y en cada interfaz donde no sea requerido. o en un mismo concentrador (hub) Como consecuencia directa. de forma que el tráfico de las distintas redes dentro del mismo switch no se mezcla entre ellas gracias a los mecanismos de enrutado. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo. la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente. Con el fin de que el tráfico de voz pueda tener prioridad a través de una red. nos proporcionan los medios adecuados para solucionar esta problemática. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de “broadcast”. Este concepto surge con la aparición de los conmutadores (ver switch) de nivel 3 o superior. por su conexión al mismo concentrador o segmento de la red. Los esquemas VLAN (Virtual LAN o red virtual). Deshabilitar globalmente el UDLD. Virtual Local Area Networks (VLAN): VLAN es el acrónimo de Virtual Local Area Network o Virtual LAN. incluso los procesos para obtener el uso del tiempo de procesador. que aglutinan tanto las funciones de conmutación (nivel 2 Capa_de_enlace_de_datos) como las funciones de enrutado (nivel 3 Capa_de_red). la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente. Consiste en cada una de las redes de área local (LAN) creadas en los conmutadores. Ayudar a prevenir SYN Flood Attack. determinar fácilmente los paquetes de voz. Como consecuencia directa. aunque la señalización de voz y de datos esté encriptados. Sin embargo. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de "broadcast". Giovana Garrido Página 49 . en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de “broadcast” Los grupos de trabajo en una red. hasta ahora. Los grupos de trabajo en una red.

sino a diferentes oficinas intercomunicadas mediante redes WAN o MAN. Las VLANs proporcionan segmentación lógica de un switch ya sea en sus distintos ámbitos. Hay una variedad de métodos para la aplicación de miembros de una VLAN. por medio de la agrupación realizada de una forma lógica en lugar de física. cuando los sistemas de la VLAN tienen funciones similares. Pero aún se puede llegar más lejos. es más sencillo de aplicar. en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de "broadcast". el incremento del ancho de banda en dicho grupo de usuarios. "moverse" a través de la red. sin limitación ninguna más que la impuesta por el administrador de dichas redes. dependerá de los proveedores. al poder distribuir a los usuarios en diferentes segmentos de la red. Las redes virtuales nos permiten que la ubicuidad geográfica no se limite a diferentes concentradores o plantas de un mismo edificio. por su función específica dentro del grupo. Además. Los métodos de Nivel 2 incluyen VLANs basadas en puertos y agrupación de capa MAC. incluso situándose en diferentes concentradores de la misma. Por ejemplo. los puertos 1 a 5 podrían asignarse a la VLAN 100. así. Giovana Garrido Página 50 . por supuesto. la creación de diferentes VLAN para voz y datos para simplificar el filtrado. Los miembros basados en Puerto es el método más común de la definición de VLANs. Los usuarios pueden. podemos situar puentes y encaminadores entre ellos. La capa 3 incluye métodos de agrupación y de protocolo de red IP multicast. en función tanto de las instalaciones existentes como del ancho de banda que cada uno precise. como consecuencia directa. separando segmentos con diferentes topologías y protocolos. puertos 6 Prof. manteniendo su pertenencia al grupo de trabajo lógico. es que los usuarios de las redes virtuales pueden ser distribuidos a través de una red LAN. Todo ello. Por ejemplo. unos con FDDI y otros con Ethernet. Así por ejemplo. el administrador asigna a cada puerto de un switch a una VLAN. La principal diferencia con la agrupación física. nos proporcionan los medios adecuados para solucionar esta problemática. Sin embargo. Para VLANs basadas en puertos. a través de las listas de control de acceso es una buena guía.Capítulo I Seguridad y Defensa de la Red Los esquemas VLAN (Virtual LAN o red virtual). manteniendo la seguridad deseada en cada configuración por el administrador de la red: Se puede permitir o no que el tráfico de una VLAN entre y salga desde/hacia otras redes. como se ha mencionado. El estado de filtrado. al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos. a lo largo de países y continentes. logramos. podemos mantener diferentes usuarios del mismo grupo. Por otro lado. claro esta. La separación de las redes en VLAN permite un mejor funcionamiento a nivel administrativo. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos.

Tampoco el enlace trunking. Giovana Garrido Página 51 . La PVLANs secundaria puede estar aislada de PVLANs o de una comunidad PVLANs. Esta configuración proporciona grano fino de capa 2 para el control de aislamiento de cada sistema. VTP. Proporcionar redes basados en out-of-band management . VLAN y Saltos y Asignación dinámica de VLAN. las implementaciones de VLAN dinámica asigna específicamente MACs a cada VLAN. deben ser enviadas en una VLAN en los enlaces trunk. para el caso de los hosts en una comunidad de PVLANs se comunican con ellas mismas o con los puertos promiscuos asociados. Private VLAN (PVLAN) Vulnerabilidades: En algunos casos en los que sistemas similares no necesitan interactuar directamente. El propósito de utilizar PVLANs es proteger los sistemas unos de otros para que compartan un mismo segmento de VLAN para proporcionar separación de capa 2. Por otra parte. Otro elemento importante de implementación de VLAN es el método utilizado para indicar cuando un miembro de paquetes viaja entre los switch. Crear una interfaz virtual Switch (SVI) de tres capas para que la interfaz VLAN. También proporciona un acceso más fácil a los atacantes.Capítulo I Seguridad y Defensa de la Red a 8 a VLAN 200 y los puertos 9 a 12 a VLAN 300. tales como De-Zona militarizada (DMZ) subred fuera de un firewall o un servidor de acceso del campus fuera de una zona de un switch de alta velocidad. No permita el acceso a VLAN operativo para la administración del mismo. Esta configuración se encuentra comúnmente en las configuraciones con múltiples servidores. incluidos los de administración de puertos. private VLAN. y conectar la VLAN al switch dedicado y una ruta de comunicaciones para la administración de los hosts. VLAN1 Vulnerabilidades: Los switchs usan VLAN 1 como la VLAN por defecto para asignar a sus puertos. En algunos casos.1q VLAN trunck. Se determina la pertenencia a la VLAN de cada paquete señalando el puerto en el que llega. Los hosts en una comunicad de PVLANs aisladas solamente estarán con puertos promiscuo. La PVLAN primaria define el dominio de broadcast con el cual se asocia a la PVLANs secundaria. A continuación describiremos las vulnerabilidades y las contramedidas correspondientes para las siguientes áreas: VLAN 1. los protocolos de capa 2. entonces ese servidor puede ser la fuente de un ataque a Prof. Además. a. Contramedidas: No utilizar la VLAN 1 fuera o dentro de la administración. como el CDP y VTP. PVLANs ofrece protección adicional. Esto permite que un sistema pueda ser trasladado a otro puerto sin modificar la asignación de VLAN del puerto. Las etiquetas de cada paquete indican la pertenencia a la VLAN de conformidad con los estándares. dedicar una VLAN con puerto físico de switch para el uso administrativo. VLAN 1 puede abarcar toda la red si no está debidamente ramificado. ya sea Cisco Inter-Switch Link (ISL) o el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) estándar 802. trunk autonegotiation. por lo que la VLAN 1 fue seleccionado. Si un servidor se ve comprometido.

Giovana Garrido Página 52 . Aplicar VACLs en la PVLAN primaria para filtrar el tráfico originado por y dirigidas al mismo segmento. VTP permite la adición. Un router puede transmitir de nuevo el tráfico en la misma subred en la que se originó. pero utilizando diferentes protocolos o servicio de coubicación de CallManagers. Un switch en modo transparente recibe y envía paquetes VTP. y un switch podrá participar solamente en un dominio de administración VTP. dos hosts en una PVLAN aislada no va a comunicarse a la capa 2. pero puede tener éxito en el Nivel 3. Un switch en cualquier modo pueden participar en VTP reducido. el cual elude la protección PVLAN de Nivel 2. el cual actúa el mismo conjunto de usuarios.Capítulo I Seguridad y Defensa de la Red otros servidores. supresión y cambio de nombre de VLAN en una red amplia. modificar y suprimir VLAN para todo el dominio de administración VTP. el cual permite que los switch tengan una organización coherente de configuración de VLAN dentro de un dominio de administración VTP. Prof. Un switch puede estar en uno de los tres modos VTP: servidor. la coubicación permite el uso de la misma para el estado del filtro CallManagers. cliente y transparente. Todos los switch en el mismo dominio de administración compartirá su información de VLAN. En las redes de voz pueden estar en el caso de ciertos proxies. Virtual Trunking Protocol (VTP) Vulnerabilidades: VTP es un derecho de propiedad de Cisco del protocolo de mensajería de capa 2 utilizado para distribuir la información de configuración de VLAN sobre trunks. pero no se originan en ellos. no se originan los paquetes VTP. ni utilizan los paquetes que recibe para reconfigurar su base de datos VLAN. Un switch en modo servidor originado por las configuraciones de VLAN VTP de otros switch a utilizar. Las PVLANs tienen una limitación que debe ser abordado para que dicho sistema sea seguro. PVLANs proveerán un adicional ataque de mitigación. que es un sistema de capa 3 y está conectado a un puerto promiscuo. Solamente los servidores que necesiten comunicarse directamente con otros servidores deberán estar en una comunidad PVLAN. mientras que la VLAN privada guarda un CallManager comprometido desde la llegada a los otros directamente a la capa 2. Un router. y servidores en PVLAN aislada. En el modo de servidor los administradores pueden crear. Los routers deben estar en puertos promiscuos. La PVLAN aisla el tráfico en Capa 2. PVLANs mitigar este riesgo se desestimando la comunicación entre los servidores que no tienen contacto con ningún otro. utiliza y transmite paquetes VTP. En este último ejemplo. Un switch en el modo cliente recibe. en la que se abstiene de retransmisión de los paquetes VTP en los puertos seleccionados. Esta situación puede abordarse cuando sea necesario por listas de control de acceso del router. y sincronizan sus bases de datos. Los servidores VTP publican sus configuraciones de VLAN a otros switches en el mismo dominio VTP. podría el tráfico de router llegar a todos los puertos de la PVLAN. b. En algunos casos en los que sistemas similares no necesitan interactuar directamente. Contramedidas: Una configuración con múltiples servidores en una única VLAN podrá utilizar PVLANs de capa 2 entre ellos. Por ejemplo.

Por lo tanto. la contraseña no encriptada o de otro modo. Para agravar este problema. vienen con switch VTP en modo de servidor por defecto. Un puerto puede utilizar el Dynamic Trunking Protocol (DTP) para negociar automáticamente con la línea que va a utilizar. simplemente moviendo un switch de lugar a una red operativa podría tener este efecto. Sin embargo. y un servidor con una configuración de mayor número de revisión en su base de datos reemplaza un VTP con un menor número. es más difícil determinar la contraseña de otro tráfico de la red. VTP es suficientemente peligroso por lo cual se aconseja no utilizarlo. Por defecto. Contramedidas: Es evidente que VTP simplifica la administración. y ISL. Aún peor. Cisco implementa dos tipos de trunk: IEEE 802. oculta la información dentro de VTP. la contraseña en hash con otra información. Un ataque de ese tipo no tiene que ser necesariamente malicioso. Un cliente comprueba la contraseña antes de aplicar una configuración de VLAN que recibe a través de VTP. Además. que es un estándar abierto. en particular cuando se hace uso de un gran número de VLAN. Es completamente posible que un solo switch. y si dos switch soportan un protocolo de trunking común. Giovana Garrido Página 53 . que es una norma de propiedad de Cisco. VTP configurado con una contraseña sólo garantiza la autenticidad de mensajes. el miembro de VLAN del nuevo trunk está disponible en todas las VLAN del switch. la configuración de VLAN inexactas puede propagar a lo largo de un dominio VTP. Colocar la línea de interfaces en modo permanente. c. sin negociación. un puerto Ethernet de Cisco con modo por defecto DTP es " dynamic desirable". Trunk Auto-Negotiation Vulnerabilidades: El trunk es el enlace punto a punto entre dos puertos.1q. Asigne interfaz trunk para una VLAN nativa a VLAN1. " dynamic auto ". Si un vecino del puerto de modo DTP se convierte en "trunk". Sin embargo. Sin embargo. normalmente agrega paquetes de múltiples VLANs. Un atacante que pueda explotar DTP puede obtener información útil de estas VLANs. la administración de dominios VTP se establecen un modo de inseguridad sin una contraseña. Contramedidas: No utilizar hasta donde sea posible el DTP. dando a cada switch tengan acceso completo a todas las VLANs en switch vecino. switch comparten información de VLAN sin ningún tipo de autenticación. el cual ha sido objeto de un número suficiente de reconfiguraciones VTP. Es posible mitigar el peligro de accidentes de sobrescritura con la protección de contraseña. sobrescriba o elimine completamente todas las tareas de VLAN de una red operativa con sólo conectarlo a la red. Un atacante con un analizador de redes pueden adquirir conocimientos sobre la estructura de la red VLAN. Por defecto. entonces la línea se convertirá en un trunk automáticamente. permite que el puerto activamente trate de convertir en enlace en un trunk. no colocar la línea de interfaces en modo permanente sin negociación. Prof. o " "dynamic desirable ".Capítulo I Seguridad y Defensa de la Red Por defecto.

gateways MGCP y H. es un protocolo de capa 2 diseñado para evitar bucles en redes conmutadas. Un switch con el menor bridge ID puede convertirse en el bridge raíz. SNMP. aprender. PCCC Teléfonos IP. HTTP. En redes de voz. telnet. y adelante) antes de que un puerto sea capaz de pasar el tráfico de un usuario. Use solo una VLAN nativa para cada trunk en un switch. escuchar. Ambas situaciones resulta en más vías para la obtención de información para sus ataques. Spanning Tree Protocol Vulnerabilidades: Spanning Tree Protocol(STP). se utilizan VLAN separada para CallManagers. f. Una vulnerabilidad asociada con STP. Teléfonos IP SIP.Capítulo I Seguridad y Defensa de la Red Especificar la lista de todas las VLANs que son parte del trunk. Cuanto menor sea el bridge ID. Sin embargo. Giovana Garrido Página 54 . Proxies. adjunta la categorización de los sistemas en los switch a los grupos que utilicen los mismos servicios de red. que es un sistema dentro de la red puede modificar activamente la topología STP.1d. lo que influye en los flujos de tráfico y la reducción de la eficiencia de la red. determina el bridge raíz en una red. Contramedidas: En la preparación de la implementación de la ACL. es probable que el switch elijará el bridge raíz. una combinación de dos bytes y una prioridad de seis byte de dirección MAC. Algunos de estos accesos pueden ser permitidos por defecto y puede ser configurado de manera que no sean evidentes para el administrador.323 son un buen ejemplo de ello. El bridge ID. Los Bucles pueden ocurrir cuando las rutas de red redundantes han sido configuradas para garantizar su resistencia. No hay autenticación que impida de tal acción. todavía STP participa en los cálculos y pasa de un estado bloqueado en el caso de un bucle en la red. La agrupación de los sistemas de esta manera ayuda a reducir el tamaño y la complejidad de las listas de control de acceso asociadas. ftp. Este proceso puede durar entre 30 y 50 segundos. la característica STP Portfast puede ser utilizado para una transición inmediata del puerto a un estado de reenvío. también conocido como 802. Amplio acceso significa que todos los sistemas o un gran número de sistemas se pueden conectar a través del switch. STP pasa por una serie de estados (por ejemplo. bloquear. ICMP) a través de un switch a algún sistema (por ejemplo. DNS. un servidor crítico) en la red protegida. Normalmente. y no hay posibilidad de un bucle que se está creando. d. En los casos en que un único host está conectado a un puerto. Access Control Lists Vulnerabilidades: Un switch o sin lista de control de acceso (ACL) o aplicando una ACL permisiva a una interfaz permitiendo un amplio acceso de las conexiones TCP / IP (por ejemplo. Considere también la red de servicios utilizados por Prof. Contramedidas: Habilitar STP Portfast Bridge Protocol Data Unit (BPDU) Guard para impedir las modificaciones de la topología STP.

Seguridad para el acceso remoto incluye lo que se conoce comúnmente como AAAA: la autenticación de los usuarios. Giovana Garrido Página 55 . y otros servicios Prof.323). y la asignación de configuración de información (por ejemplo.Capítulo I Seguridad y Defensa de la Red sistemas similares de diferentes fabricantes (por ejemplo. y terminales virtuales a través de conexiones de red privada. Lista de control de acceso del router (RACL) y Lista de control de acceso VLAN (VACL. La seguridad de acceso remoto es común en el proveedor de servicios de redes (véase también el proveedor de servicios de modelo arquitectónico). Existen diferentes tipos de listas de control de acceso: Lista de control de acceso de Puerto (PACL). contabilidad de los recursos y la prestación de servicios. gateways H. como se muestra en la siguiente Figura. pero se está convirtiendo en las redes de empresas como las empresas reconocen la necesidad de apoyar un modelo de acceso remoto para su redes. La ACL puede permitir o denegar cada paquete basado en la primera declaración de control de acceso que coincida con el paquete. tal como la mejora de ACL para que puedan tener sentido en virtud de la política de seguridad de red. etc. AAAA es generalmente apoyada por un dispositivo de red como un servidor de acceso de red (NAS) o sistema de gestión de abonados (SMS). pila de direcciones.6 Seguridad para el acceso remoto Consiste en el acceso remoto por medio ya sea de línea telefónica tradicional. sesiones punto a punto. autorización de recursos a los usuarios autenticados. 1.. direcciones o router). Consideraciones a la hora de proporcionar acceso remoto son los siguientes (vea la Figura siguiente):  Método(s) de AAA  Tipos de servidor y ubicación (ejemplo DMZ)  Interacciones con el DNS.

fue el protocolo utilizado por Cisco en sus NAS. autorizar y contabilizar (AAA).1" en Febrero de 1996. Definición Por tanto. desde conexiones remotas. TACACS+. b.Capítulo I Seguridad y Defensa de la Red 1. Cisco continua mejorando el cliente RADIUS con nuevas características y capacidades. Muchas características fueron introducidas en el protocolo TACACS+ tras conocer las necesidades del incipiente mercado de la seguridad. El primer es TACACS ordinario. y adaptarse a las nuevas tecnologías en seguridad mientras el mercado evoluciona. hemos incluido estos protocolos muy utilizados en los sistemas de acceso en red. La intención de Cisco no es competir con RADIUS o influenciar a sus usuarios a utilizar TACACS+. como parte de estos protocolos de autenticación. sistema de control de acceso del Controlador de Acceso de Terminales). RADIUS y otros a. Se debe elegir la solución que mejor satisfaga sus necesidades.1 TACACS.6. Cisco soporta el protocolo RADIUS desde que sacó la "Cisco IOS(R) Software Release 11. Cisco evaluó concienzudamente a RADIUS como un protocolo de seguridad antes de desarrollar TACACS+. para así puedas estar informado antes de tomar una decisión. El segundo es una extensión Prof. La especificación RADIUS (Remote Authentication Dial-In User Service) está descrita en el RFC-2865. apoyando a RADIUS como un estándar. XTACACS. La arquitectura subyacente del protocolo TACACS+ complementa la arquitectura independiente de autentificar. En este documento se comentan las diferencias entre TACACS+ y RADIUS. que sustituye al obsoleto RFC2138. Introducción Hay dos destacados protocolos de seguridad para el control de acceso a las redes son Cisco TACACS+ y RADIUS. Cisco se ha comprometido a apoyar ambos protocolos con las mejores clases de ofertas. Hay tres versiones del protocolo de autenticación "TACACS" (Terminal Access Controller Access Control System. y ha estado en el uso por muchos años. Giovana Garrido Página 56 . Este protocolo fue diseñado para ampliarse a medida que crecen las redes.

El servidor contiene información de los usuarios. RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. El servidor está corriendo en un computador central situado típicamente en domicilio de cliente. Este es un sistema para distribuir acceso remoto seguro a redes y a servicios de red que no cuentan con autorización de acceso. con datos sobre el perfil del usuario (tipo de servicio. El NAS recibe vía módem una petición de acceso y envía los datos que el usuario ha proporcionado al servidor RADIUS. En ese caso. IP asignada. Es éste el que consulta su base de datos y comprueba si el usuario que ha realizado la llamada es en realidad quien dice ser. Cisco introdujo el cliente de RADIUS a Cisco IOS Software Release 11. Authoring y Accounting. el servidor RADIUS guardará logs (informes o históricos del sistema para auditoría) de las conexiones en las que estemos interesados. y el cliente es el encargado de pasar las peticiones de conexión de los usuarios al servidor para que éste las autentique y responda al cliente diciéndole si ese usuario está o no registrado.). comúnmente llamado Extended Tacacs o XTACACS. RADIUS también puede hacer de servidor para registrar y almacenar todos los logs que acontecen en el NAT o RAS. Giovana Garrido Página 57 . opcionalmente. quién es. introducido en 1990. El cliente es responsable de pasar información de usuario al equipo designado como servidor Prof. responde al NAS con una respuesta de aceptación de la llamada y. es totalmente un nuevo protocolo y no es compatible con TACACS o XTACACS.. . y actualmente están fuera de mantenimiento. a pesar del nombre. Un ejemplo de uso de RADIUS se puede dar en un ISP. En caso contrario notifica al NAS que debe rechazar la petición de conexión. Ambos se documentan en RFC1492. mientras que los clientes pertenecen al servidor de acceso dial-up y pueden ser distribuidos a través de la red.  Un cliente. El tercero. Este paso está descrito e implementado en los routers de Cisco Systems con la AAA Authentication. Debido a esto TACACS y XTACACS no serán discutidos. RADIUS es un servidor de acceso que utiliza el protocolo AAA. Fue diseñado para autenticar usuarios y utiliza una arquitectura cliente/servidor. Además de estos logs.1 y para posteriores plataformas de su software. qué puede hacer y auditoría respectivamente. donde el NAS (Network Access Server) hace de cliente RADIUS y un host del ISP podría hacer de servidor RADIUS.  Un servidor. protocolo de conexión.Capítulo I Seguridad y Defensa de la Red al primero. RADIUS se comprende tres componentes:  Un protocolo con un formato que utiliza el Protocolo de Datagrama de Usuarios (UDP)/IP. Opcionalmente.. TACACS+ que. almacenando sus contraseñas y sus perfiles. Modelo Cliente/Servidor Una Network Access Server (NAS) opera como un cliente de RADIUS. TACACS y XTACACS carecen de muchas características de TACACS+ y RADIUS.

sufrir lentitud o que no exista servidor. soporta PPP. TCP ofrece algunas ventajas frente a UDP. TCP ofrece una comunicación orientada a conexión. Giovana Garrido Página 58 . Eliminándose así la posibilidad de que alguien haga snooping en una red insegura pudiendo determinar alguna contraseña de usuario. dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en la red. Disponibilidad de servidores de código Existe un gran número disponible de servidores de código comerciales y libres. Protocolo de Autenticación por Contraseña (PAP). como el número de intentos en la re-transmisión o el tiempo de espera para compensar la entrega. Protocolo de Autenticación por Desafío (CHAP). UDP y TCP RADIUS utiliza UDP mientras TACACS+ utiliza TCP. Comparación TACACS+ y RADIUS En estos apartados se comparan varias características de TACACS+ y de RADIUS. Cisco Secure ACS for UNIX y Cisco Access Registrar. gracias a un servidor de restablecimiento (RST). Cuando se establece un nombre de usuario y una contraseña original del mismo. independientemente de la carga y del lento mecanismo de autenticación de respaldo (un reconocimiento TCP) podría ser. y a continuación actuar sobre la respuesta que se devuelve. Redes seguras Las transacciones entre el cliente y el servidor RADIUS deben ser autenticadas usando una clave compartida (shared secret). Además. Mecanismos de autenticación flexibles Los servidores RADIUS soportan una gran variedad de métodos de autentificación de usuarios. la cual nunca se envía a través de la red. c. y otros mecanismos de autenticación. El servidor RADIUS es el encargado de recibir las peticiones de conexión de usuarios. Puedes determinar cuando se rompió la comunicación y retorno el servicio si usas conexiones TCP long-lived. las contraseñas de usuario son enviadas cifradas entre el cliente y el servidor RADIUS. Los servidores Cisco incluyen Cisco Secure ACS for Windows. TPC proporciona una marca inmediata cuando se rompe o no está corriendo la comunicación. Login UNIX. autenticar a los usuarios y devolver toda la información de configuración necesaria para ofrecer el servicio al usuario. pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP:  TCP proporciona el uso de un identificador para las peticiones que sean recibidas. mientras que UDP ofrece mejor esfuerzo en la entrega. RADIUS requiere además de variables programables. UDP no puede mostrar las diferencias entre estar caído.Capítulo I Seguridad y Defensa de la Red RADIUS.  Prof.

los servicios autorizados. con TACACS+. Giovana Garrido Página 59 . que separa AAA. durante el normal funcionamiento. los accesos al servidor se comprueban con un servidor TACACS+ para determinar si se le conceden permisos para ejecutar un comando en particular. es más util tener el cuerpo de los paquetes sin encriptar. si adicionalmente la autorización de control es necesaria. y la contabilidad pueden ser capturadas por un tercero. como el nombre de usuario. Por ejemplo. Autenticación y autorización RADIUS combina autenticación y autorización. TCP es más escalable y adaptable al crecimiento. el cuerpo del mensaje es enteramente cifrado para más seguridad en las comunicaciones. y solamente necesitas enviar mensajes a los que se sabe que tienen que estar arriba y corriendo. El resto de paquetes está sin encriptar. TACACS+ usa la arquitectura AAA. Durante una sesión. desde el cliente hasta el servidor. y luego el servidor proporcionará la información de autorización.25 con PAD Prof. contienen información de autorización. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos.  Interfaz de Servicios Asíncronos de Novell (NASI)  Conexiónes X.  Encriptación de paquetes RADIUS encripta solamente la contraseña en el paquete de respuesta al acceso (accessrequest). las caídas de servidores pueden ser detectadas outof-band con peticiones reales. Después un NAS de autenticación sobre el servidor Kerberos.Capítulo I Seguridad y Defensa de la Red  Usando los TCP Keepalives. Sin embargo. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente. Esto permite separar soluciones de autenticación. Otra información. Esto hace difícil desasociar autenticación y autorización. Esto proporciona mejor control sobre los comandos que pueden ser ejecutados en un servidor de acceso mientras es separado con mecanismos de autenticación. Dentro de la cabecera hay un campo donde se indica si el cuerpo está encriptado o no. este solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. así como la congestión. Conexiones a múltiples servidores pueden ser mantenidas simultáneamente. permitiendo seguir utilizando TACACS+ para la autorización y la contabilidad. Soporte multiprotocolo RADIUS no soporta los siguientes protocolos:  Protocolo de Acceso Remoto AppleTalk (ARA)  Protocolo de Control de Tramas NetBIOS. es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Para propósitos de depuración. TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. de las redes.

Si el cliente usa solo los atributos de la norma RADIUS en sus servidores. y comandos de contabilidad (con RADIUS no se puede hacer). RADIUS no es tan util para la gestión de router o flexible para servicios de terminal. los comandos que están permitidos. Sin embargo. por usuario o por grupo. exec autorización. uno por usuarios (per-user) o por grupos (per-groups). la interoperatibilidad no está asegurada. autorización del comando (con RADIUS no se puede hacer). y comandos de contabilidad que pueden ser utilizados por un usuario cuando hace telnet a un router. Tráfico Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS. Administración de routers RADIUS no permite al usuario el control de comando que puede ser ejecutados en un router y cuales no. Por lo tanto. Cisco implementa la mayoría de los atributos de RADIUS y coherentemente añade más. Estos ejemplos ilustran el tráfico entre el cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestión de routers con autenticación. El segundo método es para especificar explícitamente en el servidor TACACS+. TACACS+ proporciona dos métodos de control de autorización de los comandos de un router. Interoperatibilidad Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs). exec autorización. Si un cliente usa uno de esos atributos extendidos específicos del proveedor. iniciar-parar exec contabilidad. realiza el comando y sale del router: Prof. la cantidad de tráfico generado entre el cliente y el servidor es diferente. comando autorizado. Ejemplo de tráfico en TACACS+ Este ejemplo asume el login de autenticación. Giovana Garrido Página 60 . exec contabilidad. el cumplimiento de la RADIUS RFCs no garantiza la interoperatibilidad.Capítulo I Seguridad y Defensa de la Red TACACS+ ofrece soporte multiprotocolo. ellos podrán interoperar con varios proveedores siempre y cuando dichos proveedores implementen los mismos atributos. muchos de los proveedores implementan extensiones de atributos propietarios. El primer método asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está o no autorizado en el nivel de privilegios especificado.

Giovana Garrido Página 61 . e iniciar-para exec contabilidad que pueden ser utilizados con RADIUS cuando un usuario hace telnet a un router.Capítulo I Seguridad y Defensa de la Red Ejemplo de tráfico en RADIUS Este ejemplo asume el login de autenticación. exec autenticación. realiza un comando y sale del router (la gestión de otros servicios no están disponibles): Prof.

Giovana Garrido Página 62 .1 5.0 -12.33 -5.(8)SA6 10 12.0(5)WC511 2. Esto permite usar otro método de autentificación (Kerberos.4. Revise las notas de la versión de su producto para obtener más información.2(4)JA 10.27 -12.4.2X12 11. autorización.204 5.0 8.15 -- 5.20 4. RADIUS no soporta el protocolo NASI de Novell (Novell Async Services Interface).2.0 RADIUS authorization all Accesspoints 11. mientras que se usa TACACS+ para autorización y contabilidad.2X12 Resumen:       Mientras que TACACS+ encripta el paquete entero. TACACS+ considera la autentificación. 4 RADIUS accounting all Accesspoints 11.1.20 -4. 5 3.2(4)JA 10. o directamente no funcione. TACACS+ soporta todos los protocolos mencionados.0(5)WC5 11.0(5)WC511.5 -- 4.28.03 RADIUS authentication all Access-points 11.4.0 5. el ensamblador/desensamblador (PAD) de paquetes X. Esto influye la versión del software en el que se añadió el soporte.14 1.1 5.012 5.04 5. RADIUS no puede controlar el nivel de autorización de los usuarios.2 5.56 5. por ejemplo).4.1.33 -2. o el protocolo del acceso remoto de Appletalk (ARA o ARAP).25.15 -5.2.14 5. y contabilidad como procesos separados.03 TACACS+ accounting 12.5 -- 5.07 -11.(8)SA610 5.28.1 1.1. el Protocolo de Marcos de NetBIOS.03 TACACS+ authorization 12.333 -5. haciendo muy difícil correr uno sin el otro. pero TACACS+ si lo puede hacer Prof.2(4)JA 10.2X12 2.1 5.2.0 -- --- 2.(8)SA610 4.012 5. La implementación de RADIUS de diversas compañías puede que de errores. si su producto no está en la lista Cisco Device Cisco Aironet1 Cisco IOS Software2 Cisco Cache Engine Cisco Catalyst switches Cisco CSS 11000 Content Services Switch Cisco CSS 11500 Content Services Switch Cisco PIX Firewall Cisco Catalyst 1900/2820 switches Cisco Catalyst 2900XL/3500XL switches Cisco VPN 3000 Concentrator 6 Cisco VPN 5000 Concentrator TACACS+ authentication 12. RADIUS encripta en el paquete cliente-servidor inicial solamente la contraseña.0 -- 3.x enterprise9 11. RADIUS en realidad combina los procesos de autenticación y autorización.Capítulo I Seguridad y Defensa de la Red Dispositivos soportados En la siguiente tabla se muestra la lista de soporte AAA TACACS+ y RADIUS para los tipos de equipos y la plataforma elegida.20 4.5 5.20 5.

por ejemplo un router Cisco 2511 o 5300) obtenga datos de administación del usuario a un servidor central y por tanto se descarge de la tarea administrativa de autenticación y comprobación de dicha información. que permite gestionar los usuarios y sus Prof. que permiten que un servidor del acceso de red (NAS Network Access Servers o RAS Remote Access Server. También. cabe considerar otro tipo de servidor para autenticación muy extendido en las redes Microsoft llamado Active Directory. PPP sobre Ethernet (PPPoE) y RADIUS en una red de acceso remoto RAS Todos son protocolos e implementaciones de control de acceso por validación y autenticación. Giovana Garrido Página 63 .Capítulo I Seguridad y Defensa de la Red Ejemplo que muestra un proceso de sesión PPP.

Puede manejar tanto la comunicación síncrona como la asíncrona e incluye detección de errores y procesos de autenticación como CHAP o PAP. El protocolo punto a punto es el de preferencia para las conexiones WAN conmutadas seriales. pero antes una escueta descripción de autenticación. Giovana Garrido Página 64 .. la autenticación y la capa de red.) Se puede configurar PPP en los siguientes tipos de interfaces físicas:     Serial asíncrona Serial síncrona. no son considerados sistemas de clave simétrica compartida. fibra. Cada etapa se basa en la anterior a fin de establecer la sesión de PPP. Además. Conozcamos ya algunos protocolos de autenticación. DC). PPP proporciona un método para encapsular datagramas de varios protocolos en un enlace de punto a punto y usa la capa de enlace de datos para probar esta conexión PPP está compuesta de 2 subprotocolos:   Protocolo de control de enlaces : para establecer el enlace de punto a punto LCP Protocolo de control de red : para configurar los distintos protocolos de capa de red ( IPCP . Los dominios Microsoft son gestionados por el Controlador de Dominio (Domain Controller. Arquitectura PPP en capas PPP usa una arquitectura en capas. Una vez que el protocolo PPPoE y PPP se han establecido períodos de sesiones. Interfaz serial de alta velocidad (HSSI) ISDN PPP usa el Protocolo de control de enlace (LCP) para negociar y configurar las opciones de control en el enlace de datos de la WAN. simplemente para poder autenticar. 1. IPXCP . porque en un principio no están pensados para intercambiar claves para cifrar. es importante resaltar que Active Directory incluye Kerberos y servidores de directorio como veremos a continuación. concretamente LDAP. PPP usa el componente del Protocolo de Prof. satélite).Capítulo I Seguridad y Defensa de la Red permisos (exportando incluso el escritorio) independientemente de la máquina conectada dentro de un dominio Microsoft. Todos ellos se pueden considerar el soporte a los sistemas de autenticación basado en contraseñas.2 Autenticación en PPP La autenticación permite saber quién es cada uno y realizar comunicaciones seguras. Una sesión de PPP consta de tres fases: establecimiento del enlace... el usuario puede comenzar a utilizar la red. Este capítulo es esencialmente importante para el acceso de un cliente a un determinado servicio que necesita autenticación previa. Y PPP se puede usar en diversos medios físicos (cable par trenzado.6.

Capítulo I Seguridad y Defensa de la Red control de red (NCP) para encapsular y negociar las opciones para los protocolos de capa de red . Proporciona balanceo de carga en las interfaces del router que usa PPP Devolución de llamadas en PPP: IOS 11. Los NCP incluyen campos funcionales que contienen códigos estandarizados que indican el tipo de protocolo de capa de red que encapsula PPP Los campos de la Trama PPP:  Señalador: Comienzo / fin de trama. PPP no asigna direcciones de estaciones individuales  Control: 1 byte 00000011. Giovana Garrido Nombre del Protocolo IPCP p de control de capa de red OSI p de contro Appletalk p de control Novell IPX p de control de enlace Página 65 . configurar y probar las conexiones de enlace de datos PPP usa también LCP para acordar automáticamente opciones de formato de encapsulamiento. Por ejemplo el IP usa el Protocolo de control de IP (IPCP). El LCP se ubica en la parte más alta de la capa física y se usa para establecer . 01111110  Dirección: formada por la dirección de broadcast estandar 11111111. Se suministra un servicio de enlace sin conexión similar al del Control de enlace lógico (LLC) tipo 1  Protocolo : 2 bytes que identifican el protocolo encapsulado en el campo de datos de la trama Valor ( Hexadecimal) 8021 8023 8029 802b c021 Prof. Para cada protocolo de capa de red que se utiliza.1 y posteriores admiten PPP multienlace .1 . se proporciona un protocolo de control de red (NCP) distinto. Con esta opción un router Cisco puede actuar como cliente de la devolución de llamada o servidor de la devolución de llamada LCP también hace:     Maneja limites variables del tamaño de paquete Detecta errores comunes de mala configuración Termina el enlace Determina si un enlace funciona o falla PPP permite que varios protocolos de capa de red operen en el mismo enlace de comunicación. como:      Autenticación: Las 2 opciones de autenticación son PAP o CHAP Compresión : Stacker y Predictor son 2 protocolos de compresión disponibles en routers Cisco Detección de errores : Calidad y nº mágico ( garantizan un enlace de datos confiable y sin bucles ) Multienlace: IOS 11. que requiere la tx de datos del usuario en una trama no secuencial.

informa a los ps de capa de red . compresión . Como parte de esta fase LCP permite efectuar una prueba opcional de determinación de la calidad de enlace Fase de protocolo de capa de red: los dispositivos ppp envían paquetes NCP para seleccionar y configurar uno o varios protocolos de capa de red (como ip). Antes de intercambiar cualquier datagrama de capa de red. Para establecer y configurar un enlace Tramas de terminación de enlace. envía tramas LCP para configurar y probar el enlace de datos. LCP primero debe abrir la conexión y negociar los parámetros. Giovana Garrido .Capítulo I Seguridad y Defensa de la Red c023 c223  p de autenticación de contraseña p de autenticación de intercambio de señales  Datos: 0 o más bytes que contienen el datagrama para el protocolo especificado en el campo de protocolo. La longitud máxima por defecto del campo de datos es de 1500 bytes FCS : 16 bits o 2 bytes que se refieren a los caracteres adicionales que se agregan a la trama con el fin de controlar los errores Como establecer una sesión PPP El establecimiento de una sesión : 3 fases : 1 Establecimiento del enlace 2 autenticación (optativa) 3 fase del protocolo de la capa de red Las siguientes tramas las usa LCP:    Tramas de establecimiento de enlace. Si LCP cierra el enlace . Los paquetes LCP contienen un campo de opción de configuración que permite que los dispositivos negocien: MTU ( ud máxima de tx) . Para terminar un enlace Tramas de mantenimiento de enlace. Si no se incluye ninguna opción de configuración en un paquete LCP . El comando show interfaces muestra los estados de LCP y NCP bajo la config PPP El enlace PPP queda configurado para las comunicaciones hasta que se presenta una de las siguientes situaciones: o o Las tramas LCP o NCP cierran el enlace Se vence el tiempo de inactividad Página 66 Prof. Después de configurar cada uno de los ps de la capa de red elegidos. Se puede autenticar el dispositivo par. se toma el valor por defecto. protocolo de autenticación. la fase quedará completa al recibir y enviar una trama de acuse de recibo de configuración Fase de autenticación (optativa): Una vez establecido el enlace y seleccionado el protocolo de autenticación. El fin del campo de datos se detecta al encontrar la secuencia de señalador de cierre y dejando 2 bytes para el campo de la secuencia de verificación de trama (FCS). Para administrar y depurar un enlace Las 3 fases del establecimiento de una sesión PPP:     Fase de establecimiento del enlace : cada dispositivo ppp . se pueden enviar paquetes de cada uno de los ps de capa de red. si se produce se da antes de la fase de protocolo de capa de red.

Protocolo de autenticación de intercambio de señales (CHAP) CHAP se realiza al iniciar el enlace y verifica de forma periódica la identidad del nodo remoto . El par envía el desafío. El nodo remoto responde con un valor calculado mediante la función hash de una vía ( en general es MD5 o Message Digest 5 ). Como la comprobación es única y aleatoria. Una vez establecido el enlace y seleccionado el protocolo de autenticación se puede autenticar el dispositivo par . se acusa recibo de autenticación . Ejemplo: Prof. el valor hash resultante será único y aleatorio. Se envía usuario pass (la contraseña se envía en texto sin cifrar) el par envía Aceptar/Rechazar CHAP . si no se termina la conexión de inmediato CHAP brinda protección contra los intentos de fuerza bruta. Protocolo de autenticación de contraseña (PAP) PAP: intercambio de señales de 2 vías. esta respuesta se basa en la contraseña y el mensaje de comprobación. se le envía usuario pass . Giovana Garrido Página 67 . a través del uso de un valor de comprobación variable que es exclusivo e impredecible.protocolo de autenticación de intercambio de señales: saludo de tres vías. se envía un un mensaje de comprobación al nodo remoto.Capítulo I Seguridad y Defensa de la Red o Interviene el usuario Protocolos de autenticación PPP La fase de autenticación de una sesión ppp es opcional. por medio de intercambio de señales de 3 vías . El router local verifica la respuesta contra su propio cálculo del valor hash esperado . el Desafío. Tras establecerse el enlace ppp . el nodo remoto envía el conjunto de usuario / contraseña por el enlace repetidas veces hasta que se acusa recibo de la autenticación o el enlace se termina ( el dispositivo par controla los intentos ) PAP no es un p de autenticación sólido. el router local o un servidor de terceros tiene el control de la frecuencia y la temporización de las comprobaciones. Tras completar el establecimiento del enlace PPP. el par envía Aceptar/Rechazar Por lo general el protocolo usado es CHAP. El nodo remoto tiene control de la frecuencia y la temporización de los intentos de conexión. Las contraseñas se envían en texto sin cifrar y no hay protección contra fuerza bruta ( ensayo / error ). Si los valores concuerdan. Esto ayuda a garantizar que el usuario tenga permisos. PAP . y si se efectúa será antes de la fase de config del protocolo de la capa de red Las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca la información de autenticación.protocolo de autenticación de contraseña: saludo de 2 vías.

Comando ppp authentication {pap|chap} ppp compress Página 68 . CHAP Stacker . el nombre del router remoto y el ID de desafío se usan para generar el paquete de respuesta E: El desafiador pasa los mismos valores de desafío al generador de hash que el router remoto. si es positiva se inicia sesión ppp . Incluyen el ID .Capítulo I Seguridad y Defensa de la Red !!!crear un conjunto de routers de conexión telefónica que aparecen como el mismo host al realizar la autenticación router(config-if)# ppp chap hostname Lab_C !!! configuramos la contraseña class router(config-if)# ppp chap password class Proceso de encapsulamiento y autenticación PPP Cuando se utiliza encapsulation ppp la autenticación CHAP o PAP se puede agregar de forma optativa. se acuerda autenticación CHAP durante negociación PPP LCP.detección de errores .admisión de multienlace Opciones de configuración de LCP de routers Cisco que usen encapsulamiento PPP Opciones Función Autenticación Compresión Prof. o o o o o o A: el router remoto establece enlace. El valor de hash se usa para responder al desafío D: El valor del paquete de desafío de hash . Si se requiere autenticación se dan los siguientes pasos :    Se determina el método de autenticación Se revisa la bbdd local o el servidor de seguridad con una bbdd de usuarios:contraseñas Se verifica la respuesta de autenticación . el nº aleatorio de desafío original y la contraseña asociada con el nombre del router remoto.métodos de autenticación. Giovana Garrido Protocolo PAP. se usa para encontrar la contraseña en la bbdd local del router remoto . Si no se especifica ninguna clase de autenticación.. Router local desafía al remoto B: El paquete de desafío CHAP se envía a router remoto. Se comparan valores F: Si falla la autenticación se construye un paquete de falla CHAP a partir de los siguientes componentes 04=tipo de mensaje de falla CHAP . "Falla de autenticación" o mensaje de texto parecido Configuración PPP Los aspectos configurables de ppp: . El nombre del router local se usa para autenticar el router local al router remoto C: El nombre del desafiante que es el router local. id=copiado del paquete de respuesta . la sesión PPP comienza de inmediato.compresión.El generador hash (MD5) produce un valor a partir de la información recibida en el paquete de desafío y la contraseña asociada con el nombre del router local. si no se termina Proceso de autenticación CHAP. .

Verificación de la configuración de encapsulamiento serial PPP show interfaces serial x : para verificar el encapsulamiento HLDC o PPP show interfaces : Estadísticas de todas las interfaces configuradas en el router o servidor de acceso Prof. se solicita el primer método especificado durante la negociación del enlace.1 Predictor Número mágico .1 o posterior. Calidad MP {stacker|predictor} ppp quality <number 1-100> ppp multilink Ejemplo de configuración: !!!Activar encapsulamiento ppp en una interfaz serial 0/0 router(config-if)# encapsulation ppp !!! Configurar la compresión. Giovana Garrido Página 69 . por medio de intercambio de señales de 3 vías. secret = contraseña . ya que está deshabilitada por defecto router(config-if)# ppp pap sent-username name password pass PAP ofrece un método sencillo para autenticarse por medio del intercambio de señales de 2 vías CHAP se usa para verificar periódicamente la identidad del nodo remoto. Si el vecino sugiere el uso de un segundo método o rechaza el primero. se intenta el segundo método Paso 6: En Cisco IOS 11. ( No se recomienda si la mayoria del tráfico son archivos comprimidos ) router(config-if)# compress [ predictor | stac ] !!! Para monitorear los datos que se pasan al enlace y evitar la formación de bucles en las tramas router(config-if)# ppp quality percentage !!! de 1 a 100 .idéntica para ambos routers Paso 2: Entrar al modo de config de la interfaz router(config)# interface serial 0 Paso 3: Configurar la interfaz para encapsulamiento PPP router(config-if)# encapsulation ppp Paso 4: Configurar la autenticación ppp router(config-if)# ppp authentication { chap | chap pap | pap chap | pap } Paso 5: Si chap o pap están habilitados.Capítulo I Seguridad y Defensa de la Red Detección de errores Multienlace >= Cisco IOS Release 11. es necesario habilitar PAP en la interfaz. especifica el umbral de calidad del enlace !!!para ejecutar el equilibrio de cargas en múltiples enlaces router(config-if)# ppp multilink Configuración de la autentificación PPP Paso 1: Definir en cada router user:pass router(config)# username name password secret name = nombre del router remoto .

drizzle. Para prácticar Pequeño juego de seguridad informática. Dr. Por último. Manual de Seguridad en Internet. Ashwin. Prof.com/%7Eaboba/IEEE/11-01-TBD-I-RADIUS-Security. la seguridad de acceso remoto también debe considerar las comunicaciones inalámbricas.htm Referencia Bibliográfica: 1. y la computadora portátil. http://www.1X and RADIUS Security.ppt 2. PAP.0. Versión 4. Aboba. tarjetas inteligentes (smart card) certificado digitales. Jorque Ramió Arguirre.Capítulo I Seguridad y Defensa de la Red debug ppp authentication : depura el proceso de autenticación PAP o CHAP debug ppp negotiation undebug all : para desactivar toda depuración Diagnóstico de fallas de la configuración de encapsulamiento serial router# debug ppp { authentication | packet | negotiation | error | chap} router# no debug ppp { authentication | packet | negotiation | error | chap} router# show cdp neighbors !!! para mostrar los dispositivos directamente conectados mediante CDP Autenticación en una red de acceso remoto se realiza generalmente a través de un combinación de PPP.criptored.edu/OpenProducts/securityxperts/securityxperts/SecurityXpert s. CHAP. PPPoE. http://openmultimedia. como la movilidad. IEEE 802. Otros mecanismos de autenticación de acceso remoto en la red incluyen tokens.es/guiateoria/gt_m001a. portabilidad. Recuperado el 12 de Octubre de 2006. Antonio M. y callback. VPN y los túneles también puede considerarse como parte de la red de acceso remoto.11 y Redes Homephoneline Alliance (homePNA).ie. Los Inalámbricos pueden orientar una serie de entornos.upm.htm 3. http://www. Bernard – Palekar. Giovana Garrido Página 70 . protocolos y RADIUS. dispositivos de computación portátil que utilizan las normas como 802. Avila y Francisco de Quinto. Fundación una Galicia Moderna. Libro Electrónico de Seguridad Informática y Criptografìa.