Capítulo I Seguridad y Defensa de la Red

Curso: Seguridad y Privacidad en Redes II Prof. Giovana Garrido

Departamento de Arquitectura y Redes de Computadoras Facultad de Ingeniería de Sistemas Computacionales Universidad Tecnológica de Panamá

Objetivos: 1. Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplos de vulnerabilidades en sus protocolos básicos. 2. Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IP para conseguir sus objetivos. 3. Aprender como funcionan las técnicas de sniffing en redes TCP/IP para comprender el peligro que comportan en la seguridad de una red local. 4. Estudiar con mas detalle algunos ataques concretos contra redes TCP/IP, como pueden ser los ataques de denegación de servicio y las deficiencias de programación. 5. Describir los elementos necesarios para un esquema de seguridad en red y la forma de implementarlo. 6. Describir los niveles de seguridad. 7. Aplicar la seguridad en red a través de la creación de perímetros. 8. Estudiar y aplicar la seguridad en equipos de comunicación de datos. 9. Describir la seguridad para el acceso remoto.

1.1 Introducción
“Es imposible que un hacker pueda romper el sistema de una computadora, es algo improbable”. Al principio de su existencia, las redes de computadoras fueron usadas generalmente para el envío de correo electrónico y para compartir recursos, generalmente impresoras, en empresas de mediano/gran tamaño. En estas condiciones la seguridad carecía

Capítulo I Seguridad y Defensa de la Red

prácticamente de importancia y no fue objeto de atención. Sin embargo, en la actualidad millones de ciudadanos usan redes para transacciones bancarias, compras, etc., la seguridad aparece como un problema potencial de grandes proporciones. Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:     El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas. El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.

Aunque muchos de estos problemas tratan de resolverse en capas de la red que se encuentran por debajo de la capa de aplicación, por ejemplo en la capa de red pueden instalarse muros de seguridad para mantener adentro (o afuera) los paquetes, en la capa de transporte pueden cifrarse conexiones enteras terminal a terminal, ninguna de ellas resuelve completamente los problemas de seguridad antes enumerados. La resolución de estos problemas de seguridad se realiza como una parte previa o de apoyo de la capa de aplicación. A continuación se expondrán distintos trabajos que tratan de resolver cada uno de los cuatro problemas de seguridad planteados con anterioridad, esto es, el secreto, la validación de identificación, el no repudio y el control de integridad. La Red esta basada en amenazas, en mentiras que se pueden esperar en la vuelta de cada esquina, y sobre todo, en esta era de la información. Las redes inalámbricas se están convirtiendo en un punto delicado para muchas empresas y organizaciones que todavía no se entiende cómo asegurar sus infraestructuras. Redes se encuentran bajo asedio de muchos tipos diferentes de la amenaza, incluido el basado en Internet los piratas informáticos, gusanos, phreaks teléfono, y asaltos a conexión inalámbrica. En este capítulo estaremos abordando un espacio único a la seguridad de la red en una evaluación estructurada y lógica. Antes de comenzar este capítulo, pasemos a realizar una serie de definiciones: 1. La Organización Internacional de Estándares (ISO), como parte de su norma 7498 en la que se establece el modelo de referencia para la interconexión de sistemas abiertos, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene. Para ello, se han desarrollado protocolos y mecanismos adecuados, para preservar la seguridad.
Prof. Giovana Garrido Página 2

Capítulo I Seguridad y Defensa de la Red

2. El criptoanálisis, es la ciencia que se encarga de descifrar los mensajes (los intrusos utilizan estas técnicas), mientras que la criptografía busca métodos más seguros de cifrado, y se puede clasificar en:  Criptografía clásica: cifrados rudimentarios basados en sustitución y trasposición  Criptografía moderna: cifrados basados en algoritmos parametrizados en base a claves 3. “seguridad de una red” implica la seguridad de cada uno de las computadoras de la red 4. “hacker”: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador 5. “cracker”: no es un programado y utiliza sus ataques para sacar beneficio económico 6. “Amenaza o ataque”: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso), que a su vez, estas amenazas se pueden realizar por:  Compromiso: la entidad atacante obtiene el control de algún elemento interno de la red, por ejemplo utilizando cuentas con contraseña trivial o errores del sistema  Modificación: la entidad atacante modifica el contenido de algún mensaje o texto  Suplantación: la entidad atacante se hace pasar por otra persona  Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto  Denegación de servicio: la entidad atacante impide que un elemento cumpla su función También es importante resaltar, que los temas que vinculan a seguridad son a veces difíciles y están íntimamente relacionados con temas legales, los cuales no estaremos viendo en este curso. Muestra de ello, es que en muchos gobiernos el uso de información cifrada está prohibido. Los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente. Por ejemplo en Francia y EEUU no están permitidas transacciones cifradas, que el gobierno no sea capaz de descifrar, pues pueden utilizarse para comercio de armas, delincuencia. La seguridad es un concepto relativo, pues los mecanismos que minimizan la vulnerabilidad de un bien o recurso en un determinado caso, pueden ser insuficientes en otro caso. Esta suficiencia o insuficiencia vendrá determinada por la importancia de los bienes y recursos que posea, de forma que un computador que solo contenga contabilidad doméstica puede considerarse seguro sin la presencia de ningún mecanismo, mientras que un computador que contenga la contabilidad de una empresa debe poseer mecanismos para asegurar la imposibilidad de manipulación de la misma. Las amenazas a la seguridad pueden clasificarse, atendiendo a la intencionalidad de las mismas en accidentales o intencionadas. Las amenazas accidentales son las que se producen sin necesidad de un intento premeditado, como por ejemplo una avería en el sistema. Las amenazas intencionadas pueden variar desde el examen casual de la

Prof. Giovana Garrido

Página 3

permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por el cortafuego. empieza como no. Giovana Garrido Página 4 . según el Computer Emergency Response Team Coordination Center (CERT-CC). Obviamente. Basta echar un vistazo a las estadísticas para tomar conciencia del riesgo que se corre: el número de incidentes contra sistemas conectados casi se duplica cada año. y por otros. Se obliga a que todo el tráfico entre la red que se pretende proteger y las redes externas pase por un mismo punto. que implica. Una red interna como suma de terminales. Aunque obviamente las amenazas activas son mucho más perjudiciales que las pasivas. estas deben ser tenidas en cuenta pues en muchos casos pueden convertirse en activas con la intervención de un agente distinto.Capítulo I Seguridad y Defensa de la Red información de un computador hasta ataques sofisticados utilizando conocimientos especiales sobre el sistema. por las redes internas. reúne una cantidad de recursos Prof. Este punto se conoce con el nombre de cortafuego. la transacción de información confidencial a través de la misma. es relativamente fácil si se sabe cómo. Incluso existen servidores de ftp anónimo con todo tipo de herramientas orientadas a tomar el control de cualquier máquina Todas las líneas actuales de investigación en seguridad de redes comparten una idea: la concentración de la seguridad en un punto. Las amenazas activas suponen una alteración del sistema y un cambio en su estado de operación. etc. nuevas redes susceptibles de ser atacadas. si tenemos en cuenta el vertiginoso crecimiento de Internet en los últimos años. por una parte. En la red es posible encontrar. nuevos atacantes en potencia. atacar una red conectada a Internet que no haya sido protegida de un modo "especial" (es tan frecuente como erróneo creer que una filosofía de seguridad tradicional. El empleo de un cortafuego presenta enormes ventajas sobre los enfoques de seguridad en redes tradicionales (que requieren la seguridad individual de cada host conectado. y físicamente puede ser desde un simple host hasta un complejo conjunto de redes separadas por routers. las amenazas a la seguridad se clasifican en pasivas y activas. es suficiente para protegerse en Internet). aspectos como el comercio electrónico. sin mucho esfuerzo. así como guías que señalan los pasos a seguir para explotar dichas debilidades. Lo cierto es que tal y como están las cosas.1. y mucho más aún si se utilizan sistemas operativos antiguos que no. La seguridad adquiere cada vez más importancia a medida que la red informática se encuentra presente en más aspectos de la economía mundial.han sido actualizados ni debidamente "parcheados". servidores de datos y aplicaciones. y por tanto sólo pueden justificarse en entornos con un reducido número de máquinas). Y no debe extrañarnos.1 Las Redes internas La seguridad de redes. Si en lugar de atender a la intencionalidad atendemos al daño ocasionado. la seguridad es un tema que debe inquietar a cualquier organización que hoy día decida conectar su red a otras sobre Internet. basada en contraseñas y protección de ficheros. Las amenazas pasivas son las que no conllevan ninguna modificación en la información que posee el sistema y por tanto no se modifica ni su operación ni su estado. listas de debilidades tanto de protocolos como de sistemas operativos. 1.

1.). Para identificar los usuarios normalmente los sistemas operativos incorporan la suficiente tecnología para ello y habría que disponer de sistemas más fuertes. etc. La plataforma de red (Uníx. personas. La seguridad interna empieza por la autenticación de los usuarios en un servidor central. punto a punto. etc. los diferentes permisos para poder instalar. ya que entran más peligros: “los de fuera”. el sistema operativo de los terminales y servidores. La seguridad interna de la red de una organización. consultar. o que.) que necesitan de una arquitectura segura y de una política de seguridad a cumplir por cada uno de los recursos de la misma. Un tema importante y básico es la autenticación de los usuarios en la red. Los peligros pueden venir de:  Ataques dedicados: Un intruso que nos elige y que intenta colarse en nuestra red. eliminar carpetas. Giovana Garrido Página 5 . para poner de manifiesto la obligada seguridad cuando nuestra red está conectada al exterior: Prof. RAS. las unidades de red compartidas por los usuarios. Mac. debe ser administrada por profesionales en la materia. aplicaciones. las bases de datos corporativas y debe aplicar en los usuarios. la manera de realizar sus fechorías. etc.Capítulo I Seguridad y Defensa de la Red (hardware. no siempre debidos a intrusiones maléficas de empleados. y regida sobre una política de seguridad que implique a todos los recursos del sistema. las aplicaciones cliente/servidor instaladas en los terminales (ERP/CRM/Intranet. debemos aplicar al conjunto de la organización. datos. Es sabido que los primeros problemas de seguridad ocurren en la misma organización interna.2 Las. por no dar permisos de instalación de aplicaciones en sus terminales de empleados. sus mecanismos fáciles de realizar y por ello la red interna puede ser blanco fácil para los ataques. evitando de esta manera los primeros problemas de seguridad derivados de acciones desde aplicaciones no deseadas por la administración de la red. según las características de la información y los recursos a acceder por los usuarios de la red. El responsable de seguridad (normalmente el administrador de red) de una organización conoce de sobras su entorno (o debería conocerlo). Una seguridad que bien debemos aplicar máquina por máquina. Windows). datos. Muchas organizaciones optan en la seguridad de su red interna. resultando mucho más fácil. 1. etc). pero adelantamos en este punto algunos ejemplos.  Ataques aleatorios: Un hacker desconocido que ha descubierto un dominio y una IP y curiosea puertos para ver hasta dónde puede llegar. entonces la seguridad es mucho más importante. Sus herramientas son fácil de encontrar (Internet es su mejor biblioteca). Redes externas Cuando hablamos de aplicaciones en la red interna que permiten la conexión hacia fuera (Internet. software. sino muchas de las veces por fallos de seguridad o puertas abiertas que se ejecutan “sin quererlo”. Linux. Estudiamos con más detalles en el Capítulo de hackers. de sobrado conocimiento de la plataforma (sistema operativo. aplicaciones y bases de datos).

 Acceso a aplicaciones seguras: La tendencia empresarial es que la organización ofrezca mecanismos para que los empleados y colaboradores puedan acceder de forma remota y segura a través de internet a las aplicaciones internas. aplicaciones web/ftp/email seguras. asociado al dominio de la empresa. Algunos de estos temas fueron tratados en detalle en curso anterior. etc. la agencia empezó a investigar en la interconexión de distintas redes. debemos tener en cuenta los siguientes puntos:  Seguridad en la arquitectura de las comunicaciones: Soluciones firewall. puede ser la puerta de entrada de intrusos. conexión de routers. ofreciendo por ejemplo un servicio de Call Center a través del email. y en 1974 estableció las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en día como redes TCP/IP. dentro del marco de la guerra fría. Servicios de seguridad del operador de telecomunicaciones. pero este servidor de correo. de carácter experimental y altamente tolerable a fallos.  Autenticación remota: Mediante usuario y contraseña. o cómo podemos conocerlo más común como teletrabajo. 1. servidor de comunicaciones con separación de la red interna. pero también puede ser una puerta muy fácil de entrar por un intruso que en pocos minutos. permitirá a los clientes de nuestra empresa conectarse directamente con nosotros (extranet/servicios B2C. englobado en el entorno denominado business to business (B2B). Mas adelante. etc.Capítulo I Seguridad y Defensa de la Red  Un gateway de correo electrónico permite a los empleados conectarse con los clientes de la empresa y enviarse documentación. se creó la denominada red ARPANET. Prof.  Seguridad en la conexión a Internet: Servidores DMZ.). etc. Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes. la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financió equipos de investigación en distintas universidades con el objetivo de desarrollar una red de computadores con una administración totalmente distribuida.  Un servidor web y FTP.2 Seguridad en protocolos TCP/IP Durante la década de los 60. certificados digitales o tarjetas hardware. podría detectar los puntos vulnerables de estos servicios. B2B. a mediados de los 70. Para desarrollar nuestra red externa teniendo en cuenta los peligros que significa abrir la red a Internet y para mantenerla segura. Giovana Garrido Página 6 .

Giovana Garrido Página 7 . la forma de solucionar y contrarrestar los problemas. tratando de documentar. en cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas. Cada día se descubren nuevas deficiencias. si es posible. la mayoría de las cuales se hacen públicas por organismos internacionales. La situación relativa de cada protocolo en las diferentes capas se muestra en la siguiente figura: Como ya se ha adelantado.Capítulo I Seguridad y Defensa de la Red En cada una de las capas encontramos protocolos distintos. A continuación presentamos algunas de las vulnerabilidades más comunes de las distintas capas que veremos con más detalle a lo largo de este módulo: Prof.

Si un sistema suministra una dirección de máquina errónea. los paquetes se pueden manipular si se modifican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. escuchas no intrusivas en medios de transmisión sin cables. En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas. de integridad y de confidencialidad. De ahí que no los trataremos en este curso. La suplantación de un mensaje se puede realizar. con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. el receptor no detectara la suplantación. En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesión TCP). el receptor será incapaz de detectar el cambio. etc. Las vulnerabilidades de la capa de red están Ataques físicos estrechamente ligadas al medio sobre el que se realiza la conexión. Prof. Vulnerabilidades de la capa internet. la modificación de datos. Ataque físico: Este tipo de ataques pueden llegar a ser muy difíciles de realizar. 2. La capa de transporte transmite información TCP o UDP sobre datagramas IP. Vulnerabilidades de la capa de transporte. interceptación intrusiva de las comunicaciones (pinchar la línea). si un usuario hostil puede observar los intercambios de información utilizados durante el inicio de la sesión y es capaz de interceptar con éxito una conexión en marcha con todos los parámetros de autenticación configurados adecuadamente. etc. por ejemplo. ya que generalmente requieren un acceso físico a los equipos que se quieren atacar.Capítulo I Seguridad y Defensa de la Red 1. Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. Si esto es posible. el envenenamiento de tablas cache. como la predicción de números de secuencia TCP. la autenticación de los paquetes se realiza a nivel de maquina (por dirección IP) y no a nivel de usuario. la suplantación de mensajes. dando una respuesta a otro mensaje antes de que lo haga el suplantado. En esta capa podamos encontrar problemas de autenticación. Una de las vulnerabilidades mas graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas. Se incluyen como ataques contra esta capa las técnicas de sniffing. existe una serie de ataques que aprovechan ciertas deficiencias en su diseño. podrá secuestrar la sesión. Por otro lado. Así. los retrasos de mensajes y la denegación de mensajes. Giovana Garrido Página 8 . 3. Esta capa presenta problemas de control de acceso y de confidencialidad. Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticación de los equipos involucrados en una sesión. este tipo de ataques suele utilizar otras técnicas. En esta capa. Para conseguir su objetivo. Vulnerabilidades de la capa de red. Algunos de los ataques mas conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte.

Debido al gran número de protocolos definidos en esta capa.Capítulo I Seguridad y Defensa de la Red 4. también puede entregar un nombre de dominio dado una dirección IP u otro tipo de información. entonces. Vulnerabilidades de la capa de aplicación. al enviar el identificador de usuario y la contraseña en claro por una red potencialmente hostil. la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. cuando un sistema solicita conexión a un servicio. Algunos ejemplos de deficiencias de seguridad a este nivel podrían ser los siguientes:  Servicio de nombres de dominio. que se transmiten en claro por la red.  Telnet. por ejemplo. la cantidad de deficiencias presentes también será superior al resto de capas. Normalmente. un servidor de DNS es una base de datos accesible desde internet. Actualmente existen otros protocolos a nivel de aplicación (como. Giovana Garrido Página 9 . la lista de los sistemas que tiene la organización). al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección**. La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas. Como en el resto de niveles.  File Transfer Protocol. el hecho de cifrar el identificador del usuario y la contraseña no impide que un atacante que las conozca acceda al servicio. un atacante puede modificar la información que suministra ésta base de datos o acceder a información sensible almacenada en la base de datos por error. Aparte de pensar en mecanismos de protección de información para solucionar el problema. sin limitar una de las funcionalidades más interesantes del servicio. Así pues. Un servidor DNS debe entregar la dirección IP correcta pero. pide la dirección IP de un nombre de dominio y envía un paquete UDP a un servidor DNS. Normalmente.  Hypertext Transfer Protocol. éste responde con la dirección IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la dirección IP solicitada. además. pudiendo obtener información relativa a la topología de la red de una organización concreta (por ejemplo. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. Así. Aun así. FTP permite la conexión anónima a una zona restringida en la cual sólo se permite la descarga de archivos. FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos). el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña. El protocolo HTTP es el responsable del servicio World Wide Web. De este modo. Si este código que se ejecuta presenta deficiencias de Prof. Al igual que Telnet. presenta las mismas deficiencias de seguridad que veríamos anteriormente con el protocolo Telnet. el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing. En el fondo. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor. SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticación fuerte). Por lo tanto.

En principio. software anti espia. certificados electrónicos. antivirus. criptografía. los cuales se revisarán en detalle en el capítulo 3 de esta Guía. refuerzo de la Seguridad en las estaciones de trabajo. la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro. Tales como: acceso remoto. switch. QoS. filtro de contenido. correspondientes a los anillos de protección requeridos. se debe cuidar y garantizar la perfecta operación de los componentes y sistemas que soportan los procesos críticos de la organización. herramientas de auditoria o assessment.  Infraestructura Crítica: Una vez protegido el perímetro. autorización y control de acceso. en estos casos la garantía de operación vendrá dada por las soluciones técnicas que se muestran a continuación: identificación (tokens. LDAP. planes de contingencia. A continuación veremos que el filtro de paquetes y los servidores proxy nos permiten esto.  Protección Local y Monitoreo: Partiendo del principio que la seguridad de los sistemas será tan robusta como el componente más vulnerable. 1. IPS/IDS. norma de cableado. parches. A continuación se incluye una descripción de las soluciones en cada unos de los anillos de protección:  Perímetro y Transporte de Datos: permiten proteger las zonas de acceso al exterior de la red interna de la organización e igualmente los puntos de interconexión interna. Además.3 Elementos de un esquema de seguridad en Red Los elementos están organizados en tres grupos. autenticación (biometría. limitando el tráfico entre nuestra red y las externas. herramientas forenses. administración basada en roles. necesitamos medios para protegernos contra ellos. cámara de video.Capítulo I Seguridad y Defensa de la Red programación. firewall. intentando así reducir las posibles violaciones a la seguridad. logs de acceso. habremos de asegurarnos de que los intentos de conexión provienen de quienes dicen provenir. auditoria. así como los equipos de uso cotidiano por los usuarios. Kerberos). Algunas de las técnicas de protección mayormente utilizadas se observan a continuación: administración de control de acceso. monitoreo. o al menos que esté justificado. control de tráfico. Proxy. los componentes adicionales que permiten acceder a la información de los procesos de la organización. escáner de vulnerabilidad. Giovana Garrido Página 10 . deben ser igualmente protegidos. smart card). a aquel que se considere seguro. Para ello no podemos fiarnos Prof. protocolo gíreles. TCP/IP. limitaremos el número de ataques posibles. integridad de la red. si decidimos permitir que se pueda acceder a nuestras máquinas desde el exterior. diseño multisegmento. Elementos de seguridad Una vez conocidos los peligros a los que nos enfrentamos. los cuales a su vez establecen los niveles de prioridad de protección más comúnmente utilizados para la implantación de la Arquitectura. deben implantarse esquemas administrativos y de gestión de la seguridad. DMZ. dominios seguros. desactivación de Puertos Físicos no utilizados en Switch o Hub y monitoreo de activación. además del uso de algunas tecnologías. Para ello.

el tipo de protocolo (TCP. y por tanto se usan técnicas de criptografía. TDES. Además de la información contenida en el paquete. Seguridad en el sistema centralizado (envolventos y/o proxies) Descritos los métodos. SSH (Secure Shell) 2. En este Prof. Estos cambian cada vez que se usan. la dirección IP destino. puesto que un ataque por sniffing daría la contraseña al atacante. Veremos a continuación métodos de autenticación que nos solucionan este problema. no requiere conocimientos ni cooperación por su parte. la firma digital para protegerlos contra la falsificación. Las aplicaciones básicas de los algoritmos criptográficos son: el cifrado es la encriptación de un mensaje con una clave.Capítulo I Seguridad y Defensa de la Red de las contraseñas convencionales. los elementos utilizados por dichos métodos son: Criptografía: mediante el uso de la criptografía se intenta proteger la información a base de codificarla de una forma desconocida a los elementos que no forman parte de la comunicación: algoritmos de clave privada o simétricos (DES. dentro de un sistema centralizado. El hecho de que los servidores de servicios Internet residan en ciertos números de puertos concretos. las reglas de filtro son difíciles de definir. Sin embargo. Servidores proxy o pasarelas: son aplicaciones que nos permiten redirigir el tráfico del nivel de aplicación a través de un cortafuego en el acceso a una red (ejemplo con Socks. Filtro de paquetes: los routers permiten realizar un filtrado de paquetes en base a la información contenida en sus cabeceras. el campo de banderas TCP y el tipo de mensaje ICMP. permite al router bloquear o permitir la conexión a esos servicios simplemente especificando el número de puerto apropiado en el conjunto de reglas especificado para el filtro de paquetes. RC4 y Skipjack). necesitamos alguna técnica para impedirlos. Los métodos a aplicar en una red para ofrecer barreras de seguridad son: 1. Métodos criptográficos: redes privadas virtuales. y una vez definidas. si creemos que nuestra red puede ser objeto de un ataque hijacking. Distinguimos dos tipos de autenticación: la de un usuario a una máquina durante la secuencia de login inicial. Seguridad perimetral: cortafuegos. duras de testear. El filtro de paquetes es transparente a los usuarios. y por tanto no son sensibles al sniffing. el campo de opciones IP. IPSec. y por tanto se usan contraseñas no reusables. Autenticación: la autenticación es el proceso seguido por una entidad para probar su identidad ante otra. la información que se suele examinar es: la dirección IP origen. Giovana Garrido Página 11 . Por último. UDP o ICMP). Básicamente. el puerto destino TCP o UDP. permitiendo al receptor probar la fuente y la integridad de los mismos. se puede tener en cuenta la interfaz de red por la que llega el paquete. es decir. IDEA. En este caso necesitaremos encriptar la conexión. y la de máquina a máquina durante una operación. El KDC más conocido es Kerberos. contando con un Centro de Distribución de Claves (KDC) para la distribución y verificación de las mismas. Sock-et-s) y/o puentear con otra aplicación. una función hash segura. El método de autenticación por dirección IP del host (o bien su nombre DNS) es susceptible de ser atacado mediante spoofing con relativa facilidad. algoritmos de clave pública o asimétricos (RSA). el puerto origen TCP o UDP. NAT (Network Address Traslation) e IDS (Intrusión Detection System) 3. Los contraseñas tradicionales son demasiado débiles para usarlos sobre una red.

Estos tres últimos medios son analizados o estudiados desde el punto de vista de pasarelas. bien con filtro de paquetes). Esto mejora el tiempo de respuesta al usuario ya que la información solicitada se le sirve localmente y reduce el nivel de ocupación de la línea WAN o la conexión a Internet. se plantea el problema de qué hacer en la pasarela cuando un mensaje es enviado de la primera a la segunda. Además de permitir la interconexión de protocolos distintos las pasarelas de aplicación también se emplean para conectar redes con el mismo protocolo o puenteando a servidores controlan su acceso. realizando las conversiones adecuadas. la otra alternativa sería simplemente no enviar ningún acuse de recibo en este caso. una de las cuales implementa acuse de recibo y la otra no. Cualquier dispositivo que permite la intercomunicación a niveles superiores al de red se denomina genéricamente pasarela (gateway en inglés). como ocurre al interconectar redes Ethernet y Token Ring. Los problemas que se plantean en la interconexión de redes diferentes a nivel de pasarelas de aplicación son en cierto modo parecido a los que se dan a niveles inferiores. Existen diversas razones por las que esto puede ser conveniente. Prof. o Eficiencia (servidores proxy/cache): los servidores cache permiten capturar una copia de la información que un usuario se trae del exterior para disponer de ella a<nte la eventualidad de que más tarde otro usuario requiera la misma información. o bien el software estándar utilizándolo con procedimientos especiales. Así nos referimos a pasarelas del nivel de transporte o del de aplicación. Giovana Garrido Página 12 . puesto que algunos proxies requieren software cliente especial.. si se dispone una pasarela de correo electrónico entre dos redes diferentes. a lo sumo se podría acusar recibo cuando el mensaje se recibe en la pasarela. Este sistema no siempre es transparente al usuario. pero eso no significa que el mensaje haya llegado a su destino. Una pasarela del nivel de aplicación es un host que implementa dos (o más) pilas completas de protocolos y que puede ‘trasvasar’ datos de una aplicación a su equivalente en la otra pila de protocolos.Capítulo I Seguridad y Defensa de la Red último caso también se llama envolvente. El servidor real cree que está tratando directamente con un usuario en el host donde está corriendo el proxy. a menudo los cortafuegos (o cortafuegos) actúan como pasarelas a nivel de transporte o de aplicación. normalmente para el protocolo http. Un ejemplo de esto es el intercambio de mensajes de correo electrónico. como una clasificación más general. como por ejemplo las siguientes: o Seguridad (cortafuegos): si se quiere tener un control riguroso del tráfico entre una determinada red y el exterior se dispone un cortafuegos que aísle dicha red. normalmente de elevado costo. Los servicios proxy sólo son efectivos usados en conjunción con un mecanismo que restrinja las comunicaciones directas entre los hosts internos y externos (bien con un dual-homed host. Al cliente le presentan la ilusión de que está tratando directamente con el servidor real. Para realizar su función los servidores caché actúan como pasarelas del nivel de aplicación. por ejemplo entre SMTP (protocolo de correo en Internet) y X. Otro ejemplo es el servicio que permite enviar desde un formulario Web un mensaje corto a un teléfono GSM. Por ejemplo.400 (protocolo de correo OSI).

como veremos a continuación. por ejemplo la interconexión de routers multicast a través de routers unicast para constituir la red MBone. Los túneles no son una solución deseable en sí mismos. son pasarelas a nivel de aplicación. Algunas aplicaciones requieren una complejidad mayor en el proceso de traducción de direcciones hasta el punto de que esto solo es posible mediante un programa que interprete y modifique la información contenida en el paquete a nivel de aplicación. y dos de éstas disponen además de redes locales TCP/IP. Ej tcpwrappers. Los conceptos de túnel y de encapsulado de paquetes van siempre asociados entre sí. En estos casos los túneles se utilizan para enviar paquetes del mismo protocolo (IP) pero de distinto tipo (multicast en unicast) o versión (IPv6 en IPv4). Los paquetes IP viajarán ‘encapsulados’ a través del túnel en paquetes SNA. Por ejemplo supongamos que un banco dispone de una red de área extensa con protocolo SNA que une todas sus oficinas. Seguridad en red basada en criptografía Túneles En ocasiones se quiere intercambiar paquetes entre dos redes que utilizan el mismo protocolo.Capítulo I Seguridad y Defensa de la Red o NAT (traducción de direcciones): Como veremos más adelante existen situaciones en las que es necesario manejar un direccionamiento diferente en la red interna y la externa. Uno de los usos más habituales de los túneles actualmente es para la creación de redes privadas virtuales o VPNs. pero sin las limitaciones que tiene ésta en el número de direcciones. En Internet hay situaciones en las que los túneles se utilizan de forma habitual. Los dos nodos SNA ubicados en los extremos del túnel serán los encargados de añadir a los paquetes IP la cabecera SNA adecuada para que lleguen al otro extremo. Prof. por ejemplo encapsulando un paquete IPv4 en otro podemos forzar la ruta que ha de seguir. lo cual supone un mayor overhead. cumpliendo así una función similar a la opción ‘loose source routing’ de la cabecera IP. además los extremos del túnel se convierten en puntos simples de fallo y potenciales cuellos de botella en el rendimiento de la red. Giovana Garrido Página 13 . o la interconexión de ‘islas’ IPv6 para constituir el 6bone. Si se desea que estas dos oficinas intercambien tráfico TCP/IP sin establecer para ello una nueva línea ni instalar routers multiprotocolo en todo el trayecto se puede establecer un túnel entre ambas oficinas. en estos casos es preciso utilizar un dispositivo NAT (Network Address Translation) que nos permita el intercambio de paquetes entre ambas redes. o Envolventes o proxies de aplicación: son programas sencillos. pero que están unidas por una red que utiliza un protocolo diferente. En algunos casos resulta útil encapsular incluso un paquete en otro del mismo tipo y versión. Otro uso del encapsulado podría ser para superar el valor máximo del campo TTL. al utilizar encapsulado la cabecera interior empezaría a descontar su TTL sólo a partir del punto de salida del túnel. que gestionan todo el control de acceso a los servidores dentro de un sistema centralizado. de forma que los paquetes IP no sean vistos por la red SNA. ya que a lo largo del túnel los paquetes han de llevar dos cabeceras.

Como nuestro viajante al conectarse recibe una dirección IP de la red de su proveedor (supongamos que se trata de la red 200.0/24 a través de VPN Supongamos que un viajante quiere conectarse remotamente a la red de su empresa para consultar una base de datos y para ello emplea los servicios de un proveedor comercial cualquiera.0/24). Seguridad en red basada en sistema centralizado Encapsuladores (proxies) y pasarelas Los encapsuladores son un invento reciente de la seguridad en UNIX. Aunque nacieron por la necesidad de modificar el funcionamiento de los sistemas operativos sin acceso a su código fuente. ya que esto le permite conectarse a su red pagando tarifa metropolitana.1. Supongamos también que por razones de seguridad o de licencias de software la empresa se ha visto obligada a limitar el acceso a dicha base de datos únicamente a los computadores de la red de la empresa. su uso como herramienta de seguridad se ha extendido por numerosas razones:  La lógica de seguridad se encapsula dentro de un programa sencillo y fácil de verificar.1. Giovana Garrido .1. es decir aquellos que tienen direcciones IP de su red (supongamos que se trata de la red 199.Capítulo I Seguridad y Defensa de la Red Figura: ejemplo de acceso a la Intranet 199. Página 14 Prof.0/24) no le es posible acceder a dichos servicios. los cuales serán desarrollados en otros capítulos.1.1.1. También esta IPSec e SSH.

Capítulo I Seguridad y Defensa de la Red   El programa encapsulado permanece separado del encapsulante. es necesario que se dé una etapa de contextualización. estándares procedimientos y métricas son el corazón de la arquitectura y las tecnologías los medios para que éstas se cumplan. no únicamente un grupo de tecnologías y esta requiere que se tome en cuenta la perspectiva y necesidades de la organización. normas y procedimientos (estándares). Implementación de un esquema de seguridad en Red Uno de los principios básicos se refiere a que la seguridad es un proceso. balanceando las áreas administrativas y operacionales en conjunto a los controles técnicos de seguridad  Reforzar los componentes y colocar la mayor cantidad de barreras posibles  No depender de tecnologías de fabricantes  Ejecutar el plan de Seguridad en porciones pequeñas y planificadas Para ello. hay que basarse en el estándar ISO/IEC 27001:2005. El objetivo de esta actividad es recabar toda la información necesaria para obtener un conocimiento profundo y detallado del funcionamiento del centro de Prof. los cuales presentan las principales etapas para la implementación de un esquema de seguridad: a. No basta con definir políticas. Giovana Garrido Página 15 . aparte de la tecnología y los procesos. un mismo encapsulante puede utilizarse para controlar el acceso a un enorme grupo de programas encapsulados. lo cual permite actualizar el programa que ha sido encapsulado de forma individual. Un ciclo de vida de seguridad permite mantener y actualizar en el tiempo la arquitectura de seguridad. es decir. Como los encapsulados llaman al programa mediante la llamada al sistema exec(). la definición de una planificación que defina la estrategia de seguridad de la empresa sentará las bases para la permanencia en el tiempo y en ésta deben involucrarse. bien sea desde el punto de vista netamente técnico o administrativo basándose en que las políticas. Las actividades claves que deben ser consideradas al momento de implementar un marco de seguridad son las siguientes:  Categorización de los sistemas y activos de Información  Selección de un grupo de controles mínimos de seguridad  Refinar los controles de seguridad basados en el análisis de los riesgos inherentes y qué tan aceptables son esos riesgos. a las personas que intervendrán y utilizarán las tecnologías.  Documentar los controles y el plan de seguridad  Monitorear la operación y cumplimiento de los controles  Crear un plan de seguridad de la información. gestionar los riesgos. Levantamiento Información Para tener todos los elementos que ayudan al entendimiento de los servicios tecnológicos más importantes de la organización.

b. así como la recopilación de información proporcionada por sus miembros. Esta consiste en el levantamiento de la información en las áreas de las redes y comunicaciones. servicios electrónicos y la seguridad perimetral.) se detectan durante las entrevistas con los empleados y revisión de documentación. Posteriormente. habilidades y concienciación. Se lleva a cabo pruebas internas y externas.  Detección de intrusos: detectar acceso no autorizado a equipos y aplicaciones. c. Giovana Garrido Página 16 . organización. falta de capacitación.  Pruebas de penetración: llevar a cabo una gran cantidad de ataques de manera planeada y estructurada para verificar cuál es de ellos tuvieron éxito. Con base en el marco metodológico esta etapa corresponde a la contextualización. Para ello se debe contar con una infraestructura a evaluar que consista en detallar información de aquellos dispositivos importantes para cada uno los servicios que brinde al centro de operaciones. así como a través de las entrevistas y revisión del flujo de los procesos. además se identifican los principales activos bajo riesgo. las amenazas y vulnerabilidades. Prof. Análisis de Vulnerabilidades Las vulnerabilidades desde el punto de vista de seguridad son características inherentes a un equipo o sistema que si son explotadas. Se obtienen vulnerabilidades en las dimensiones de gente. Consiste básicamente en elaboración de entrevistas. y se determinan los controles o salvaguardas adecuados con la mejor relación costo beneficio. falta de procedimientos. El objetivo de este análisis es detectar las vulnerabilidades existentes que representan riesgos potenciales para los servicios del centro de operaciones que hemos determinados como críticos. pueden debilitarlo e incluso inhabilitarlo. Las pruebas externas se elaboran por la organización y consiste en examinar el Web site de la organización. procesos. Prácticamente todo sistema de cómputo es vulnerable a ataque. con la finalidad de llevar a cabo una identificación amplia y objetiva de los riesgos y amenazas potenciales. etc. Por su parte las vulnerabilidades de infraestructura se detectan con el análisis de vulnerabilidades y con las visitas e inspecciones a las instalaciones. infraestructura y su nivel de seguridad actual. Las internas se desarrollan por el personal del centro de operaciones de la organización. visitas e inspecciones físicas a las instalaciones del centro de operaciones. procesos e infraestructura. Las vulnerabilidades de gente y procesos (administrativas. Algunas de las herramientas que se pueden utilizar son languard y Nessus. Para este análisis se lleva acabo lo siguiente:  Monitoreo de la red: detectar tráfico extraño y verificar si la información sensible o confiable (por ejemplo contraseñas) es transmitida por la red en forma legible (texto claro). controlar y minimizar los riesgos de seguridad a los que están expuestos los activos informáticos de la empresa. malos hábitos. medir.Capítulo I Seguridad y Defensa de la Red operaciones. se elabora la descripción de las pruebas según el dispositivo. Análisis de Riesgos El análisis de riesgos es la actividad que sirve para indicar.

así como los hallazgos que pertenecen a cada clase. Una vez que se obtienen los hallazgos. se procede a la priorización de los riesgos.Capítulo I Seguridad y Defensa de la Red Además se determina el nivel de madurez y las mejoras a corto plazo. los factores de riesgo (probabilidades) para todas las vulnerabilidades y amenazas encontradas. así mismo. Valoración de Riesgos En esta actividad se involucra al personad del centro de operaciones para estimar de manera conjunta. Cuadro con ejemplo Priorización de los riesgos Priorización de los controles Diagnóstico de Niveles de Seguridad Tomando como base las mejores prácticas y particularmente el estándar ISO/27000. para cada una de las vulnerabilidades y amenazas detectadas se identifican las posibles medidas de seguridad o salvaguardas para controlar o disminuir el riesgo. considerando el grado de exposición y el valor económico de la destrucción o pérdida de los activos en cuestión. Para desarrollar lo anteriormente expuesto. La figura 3 presenta los cuadrantes correspondientes a cada clase. durante esta actividad se está en posibilidades de establecer un diagnóstico de qué tan Prof. y esto se lleva acabo a través de las clases de riesgos definidas por el personal encargado de velar por la seguridad. Giovana Garrido Página 17 . primero se tabula la información obtenida en la contextualización y análisis de vulnerabilidades (vea figura ejemplo). se calcula y estima el costo de implementar o incorporar cada salvaguarda.

Capítulo I Seguridad y Defensa de la Red

lejos o qué tan apegada está la organización en el cumplimiento de los controles establecidos por estos marcos de referencia. d. Plan táctico de seguridad Una vez identificadas las salvaguardas factibles de implementar, y definidas las prioridades y los niveles aceptables de riesgo por parte del centro de operaciones, finalmente se establecen las actividades encaminadas a implementar e incorporar las salvaguardas, sentar las bases para el desarrollo de las políticas de seguridad y la arquitectura tecnológica, y definir las necesidades de capacitación. Este plan está enmarcado en el corto y mediano plazo con base en las prioridades y urgencias detectadas. Políticas de Seguridad (será desarrollado en el último capítulo) En este punto se desarrollan las políticas de seguridad que servirán de guía para los empleados del centro de operaciones a todos los niveles. Así mismo las políticas son la base para definir y desarrollar los procedimientos de seguridad, partiendo de la premisa de que toda clasificación de la información es arbitraria. De acuerdo a la revisión del ISO/IEC 27001, la norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información, ellos son:  Política de Seguridad.  Organización de la Seguridad.  Administración de Activos.  Seguridad de los Recursos Humanos.  Seguridad Física y Ambiental.  Gestión de Comunicaciones y Operaciones.  Sistema de Control de Accesos.  Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.  Administración de Incidentes de Seguridad de la Información.  Plan de Continuidad del Negocio.  Cumplimiento Otros Estándares a considerar para la implementación Británico en el año 1989 y es del dominio público. ITIL contiene las mejores prácticas asociadas a la planificación, provisión y gerencia de servicios de TI (Tecnologías de Información) de calidad, incluyendo las siguientes áreas:  Organización y Procesos.  Infraestructura de TI (hardware, software, redes, aplicaciones y personal).  Gerencia de servicios de TI de calidad.  Mejora de la eficiencia.  Incremento de la efectividad.  Reducción de los riesgos. ITIL cubre todo lo relacionado al marco de los procesos de la organización, para operar y gerenciar las infraestructuras de TI, así como para proporcionar un óptimo servicio a
Prof. Giovana Garrido Página 18

Capítulo I Seguridad y Defensa de la Red

los asociados y justificar los costos. Dividiendo su ámbito de acción en los siguientes servicios:  Entrega de Servicios.  Acuerdo de Nivel de Servicio.  Gestión de las Capacidades.  Gestión de la Disponibilidad.  Planificación de Contingencias.  Gestión de Costos.  Administración de la Configuración.  Escritorio de Ayuda (Helpdesk). Conceptos tales como el Manejo de Incidentes, Gerencia del Cambio y Manejo de Configuraciones, los cuales tienen incidencia directa en las políticas de seguridad de la información, son temas contemplados como parte del soporte de los servicios de TI. La Gerencia de la Seguridad es cubierta por ITIL desde el punto de vista del proveedor de servicios, a la vez que identifica aspectos importantes de la gerencia de la seguridad. COBIT (Control Objectives for Information and related Technologies): fue creado por la Information Audit and Control Association (ISACA), que es una organización global líder de profesionales de mas de 100 países que comprende todos los niveles de la tecnología de la información. Esta asociación se encarga de armonizar los estándares de las prácticas de control de TI a nivel mundial. COBIT está basado en el concepto de “Gestión de TI” que no es más que una estructura de relaciones y procesos para dirigir y controlar la empresa y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Este concepto representa el sistema de control o administración que establece la alta gerencia para asegurar el logro de una Organización. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Suministra un conjunto de buenas prácticas a través de un dominio y el marco referencial de los procesos, además de presentar actividades en una estructura manejable y lógica. COBIT no solo está diseñado para ser usado por usuarios y auditores, sino también para ser utilizado por los propietarios de negocio como una guía clara y entendible. La premisa del Marco de Referencia de COBIT es: “Con el fin de proporcionar la información que la empresa necesita par alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados en forma natural”. Dicho Marco de Referencia está basado en 34 Objetivos de Control de alto nivel, asociados a cada uno de los procesos de TI, están agrupados en cuatro dominios:  Planeación y Organización.  Adquisición e Implementación.  Entrega de Servicios y Soporte.  Monitoreo.

Prof. Giovana Garrido

Página 19

Capítulo I Seguridad y Defensa de la Red

Adicionalmente a los Objetivos de Control de alto nivel, existe una Guía o directriz de Auditoria o de aseguramiento la cual permite la revisión de los procesos de TI contra los 318 objetivos detallados de control, recomendados por COBIT para proporcionar a la gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento. En conclusión, COBIT está diseñado para ser la herramienta de “Gestión de TI” que proporcione herramientas para el entendimiento y la administración de los riesgos así como de los beneficios asociados a la información y sus tecnologías asociadas.

1.4 Seguridad en red perimetral (DMZ “Zona desmilitarizada”,
Demilitarized Zone) Las iniciales DMZ provienen de Demilitarized Zone, es decir, “zona desmilitarizada”. Esta expresión se emplea comúnmente para referirse a una parte de la red que no es realmente de confianza. La DMZ proporciona un lugar en la red para dividir sistemas a los que tienen acceso personas en Internet de aquellos a los que solamente tienen acceso los empleados. Las DMZ también pueden ser utilizadas cuando se trate con socios de negocios y otras entidades externas. Definición de la DMZ La DMZ es creada al proporcionar una zona de red semiprotegida, la zona normalmente es delineada con controles de acceso a la red, como firewall o routers fuertemente filtrados. Es decir, la zona de red a la que se puede acceder desde el exterior. Normalmente un firewall tiene una red pública, una privada y una DMZ. Ejemplo: En la red pública se tiene: la conexión a internet, en algunos casos los servidores trampa. En la red privada están: sus usuarios, sus servidores puramente internos. En la DMZ se coloca: los servidores de acceso externo (mail, web, etc.) los servicios que pueden ser un compromiso a la seguridad como terminadores de red privada virtual y acceso telefónico remoto. Los controles de acceso a la red establecen entonces la política para determinar que tráfico es permitido dentro de la DMZ. En general, cualquier sistema que puede ser directamente contactado por un usuario externo debería ser colocado en la DMZ. Los sistemas a los que pueden tener acceso de manera directa los sistemas o usuarios externos son los primeros en ser atacados y quedar potencialmente comprometidos. Estos sistemas no pueden ser completamente confiables, puesto que podrían quedar comprometidos en cualquier momento. Por tanto, intentamos restringir el acceso que tienen esos sistemas a los sistemas realmente delicados de la red interna. ¿Puertos DMZ? Cualquier equipo capaz de ser firewall que de acuerdo al plan para el DMZ. Si lo llaman DMZ o puerto DMZ dependerá de quien lo configure. Una red no es más o menos DMZ porque se conecte de una manera determinada. La DMZ es un
Prof. Giovana Garrido Página 20

Para ello hay diferentes arquitecturas DMZ para implementar en las organizaciones. Aquellas redes formadas por múltiples servidores. Los sistemas internos pueden tener acceso a la DMZ o a Internet según lo permita la política. si utiliza encapsulacion 802. Los sistemas DMZ deberían estar severamente restringidos respecto al acceso desde los sistemas internos. pero ningún usuario externo puede tener acceso a los sistemas internos. Giovana Garrido Página 21 .com/article/4415 En ciertas instalaciones. el sistema interno debería iniciar la conexión hacia el sistema de la DMZ. Este es un tema muy amplio.. no lo convierte en una conexión. Un claro ejemplo de este tipo de arquitecturas son las redes que disponen de servidores web. El hecho de permitir tráfico entrante en la red de la organización supone un factor de riesgo que trataremos de mitigar. la siguiente red: Prof. Las reglas del acceso general para la DMZ permiten a los usuarios externos tener acceso a los servicios apropiados en los sistemas de la DMZ. por ejemplo. no es suficiente un único dispositivo cortafuegos.linuxjournal. juntamente con estaciones de trabajo que deberían estar completamente aisladas de conexiones con el exterior. se beneficiarían de la separación entre dos grupos de sistemas cortafuegos. Si es posible. Por ejemplo. publica y DMZ sobre el mismo interfaz.Capítulo I Seguridad y Defensa de la Red concepto. etc. accesibles desde fuera de la organización. Supongamos. de correo. accesibles públicamente desde el exterior. por lo que recomiendo echar un vistazo al siguiente artículo de la publicación Linux Journal: http://www.1q en un solo enlace se podrá tener red privada.

internet) y que actúa como punto de contacto entre el interior y el exterior de una red. y viceversa. los equipos de la red interna se pueden comunicar con el equipo dual-homed. los equipos de la red externa pueden comunicarse con el equipo dual-homed. Mediante esta arquitectura. pero los equipos de la red interna y externa no se pueden poner en Prof. De esta forma. Equipo bastión implantado mediante la utilización de un equipo bastión con una arquitectura dual-homed.Capítulo I Seguridad y Defensa de la Red En la figura anterior vemos un único sistema cortafuegos como punto de protección. Giovana Garrido Página 22 . a no ser que se indique lo contrario. Una arquitectura de cortafuegos dual-homed se construye mediante el uso de un equipo dual-homed con la capacidad de encaminamiento desactivada. El nombre de equipo bastión (bastion host) proviene de las murallas fuertemente protegidas que separaban los castillos medievales del exterior. Un equipo bastión (en ingl´es bastion host) es un sistema informático que ha sido fuertemente protegido para soportar los supuestos ataques desde un lugar hostil (en este caso. los paquetes IP de un extremo de la red (la parte hostil) no serán encaminados hacia la parte protegida.

y llegar a ser una cuestión de determinar cuál arquitectura es la más apropiada para cada organización. Enrutador y muro de fuego Prof. Introduciendo el concepto de zona desmilitarizada o DMZ. En las tres siguientes secciones. Debemos cuestionarnos. es posible la utilización de dos dispositivos cortafuegos. si un atacante consigue introducirse en uno de los servidores de la zona desmilitarizada. Así. se tienen ventajas y desventajas para cada una de ellas. el resto de la red continuara estando protegida mediante el segundo de los cortafuegos Sistemas a colocar en la DMZ Ahora tenemos una política general para la DMZ una lista de servicios que se ofrecerán en Internet. examinaremos tres de las arquitecturas más comunes. Para prevenir estas situaciones. El segundo cortafuegos. cuáles sistemas deberían colocarse en la DMZ?. En la instalación que se muestra en la figura anterior. Como ocurre con muchas cosas en el ámbito de la seguridad. sino que un servidor intermediario se encarga de realizar las conexiones en nombre de estas dos partes. un cortafuegos separa el exterior de la red del segmento desmilitarizado (la DMZ) y los servidores que tienen que ser públicos desde el exterior de la red.Capítulo I Seguridad y Defensa de la Red comunicación directamente. las otras máquinas podrán ser atacadas sin ninguna restricción desde el equipo que acaba de ser comprometido. será incapaz de atacar inmediatamente una estación de trabajo. Giovana Garrido Página 23 . que hace de punto de contacto entre la red interna y la zona desmilitarizada. Arquitecturas DMZ apropiadas Existen muchas arquitecturas de la DMZ. aunque un atacante se apodere del segmento de los servidores. Si un atacante consigue comprometer cualquiera de los servidores que se encuentre detrás de este punto único. se configurara para que rechace todos los intentos de conexión que vayan llegando desde el exterior. Esto hace que este cortafuegos con arquitectura dual-homed sea un punto crítico en la seguridad de la red. Es decir. y contestar a esta interrogante.

El enrutador está conectado al enlace desde el ISP y hacia la red externa de la organización. La administración de esta arquitectura está simplificada sobre el enrutador y el muro de fuego en el sentido que solamente el muro de fuego debe ser configurado para permitir o no el tráfico. Además. La red externa está formada por el enrutador del ISP y el muro de fuego. Cuando se hace uso de un solo muro de fuego. la DMZ se diferencia de la red externa como se muestra en la siguiente figura. todo el tráfico es forzado a través del mismo. La DMZ llega a ser lo mismo que la red externa. El enrutador no requiere de filtros. FTP corregidos al nivel más reciente y ser vigilados cuidadosamente. Otra manera para reducir el riesgo de los sistemas es asegurarlos de manera que solamente los servicios que se están ejecutando en cada sistema sean aquellos que están siendo ofrecidos en la DMZ. puede llegar a ser un problema modificar los filtros. el enrutado presentará y será administrado por el ISP. Puesto que estos sistemas se encuentran ubicados en la red externa. Asimismo. Este muro de fuego sólo controla el acceso a la DMZ. Telnet. los sistemas en la DMZ están un Prof. están completamente abiertos a los ataques desde Internet. de manera que el único tráfico permitido al interior de la DMZ sea el tráfico a los servicios ofrecidos por los sistemas DMZ. Si el enrutador es propiedad de la organización y está administrado por la misma. El muro de fuego controla el acceso a la red interna. Sin embargo. El muro de fuego también proporcionará registros mostrando qué tráfico está permitido y qué tráfico es denegado. Giovana Garrido Página 24 . el muro de fuego debería encontrarse en una configuración de recuperación de fallas. y los sistemas a los que se va a tener acceso desde Internet se colocan aquí. Para reducir algo del riesgo de ser comprometidos. aunque alguna clase de filtrado puede hacer que el muro de fuego sea más eficiente. Esto significa que los servidores web están ejecutándose únicamente cómo servidores web. o bien establecerlos correctamente. El muro de fuego debería estar configurado para permitir el tráfico solamente a los servicios apropiados en cada sistema DMZ. el muro de fuego debe ser capaz de manejarlo además del tráfico interno destinado para Internet. pueden colocarse filtros sobre el enrutador. Si la disponibilidad es una cuestión de seguridad clave en la arquitectura global. éste no será un problema. Muro de fuego simple Un muro de fuego (firewall) simple puede emplearse para crear una DMZ. si se espera que la DMZ atraiga una gran cantidad de tráfico.Capítulo I Seguridad y Defensa de la Red La figura siguiente ilustra una arquitectura simple de enrutador y muro de fuego. Si éste es el caso. tenga en mente que los enrutadores tienen la tendencia a utilizar los controles de configuración de líneas de comandos y que los filtros deben ser establecidos de manera apropiada y en el orden correcto para trabajar adecuadamente. El muro de fuego se convierte en un punto singular de fallas y en un cuello de botella potencial para el tráfico. Utilizando la arquitectura de un solo muro de fuego. Muchos casos. La DMZ está establecida como una tercera interfaz en el muro de fuego.

los sistemas de la DMZ están protegidos de Internet por el muro de fuego 1. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad. Muros de fuego dobles (duales) Una tercera arquitectura para un DMZ se ilustra a continuación. El muro de fuego 1 está configurado para permitir todo el tráfico de la DMZ. Sólo se sugiere que el muro de fuego proporciona cierta protección. La red externa todavía está definida por el enrutador del ISP y el primer muro de fuego. Esta arquitectura hace uso de dos muros de fuego para separar la DMZ de las redes externa e interna. de la misma manera que el enrutador de filtrado. El muro de fuego 2 se encuentra configurado con una configuración mucho más restrictiva. puesto que solamente manejará tráfico interno. o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo. juntamente con la utilización de un servidor intermediario para el establecimiento de una zona desmilitarizada. La DMZ existe ahora entre el muro de fuego 1 y el muro de fuego 2. Giovana Garrido Página 25 . de lo contrario habremos puesto una puerta blindada. pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad.Capítulo I Seguridad y Defensa de la Red poco protegidos por el muro de fuego. Los muros de fuego duales incrementan los costos de la arquitectura y requieren de una configuración y administración adicionales. además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías. En suma. Los muros de fuego también pueden ser de dos tipos diferentes. Prof. de modo que alivia parte de la necesidad de eliminar servicios innecesarios. La arquitectura del doble muro de fuego (dual) requiere que el muro de fuego 1 sea capaz de manera cargas o volúmenes de tráfico que serán significativos si los sistemas DMZ están esperando gran cantidad de tráfico. además de todo el tráfico interno. El muro de fuego 2 puede ser un sistema menos capaz. Como en la arquitectura de muro de fuego simple. No estamos sugiriendo que los sistemas inseguros podrán dejarse en la DMZ. En seguridad de redes. de manera que solamente permite el tráfico saliente hacia Internet. de modo que la necesidad de asegurarlos se reduce completamente. Por ejemplo. Combinación de tecnologías para la construcción de una DMZ En la figura siguiente podemos ver el uso de un router con filtrado de paquetes. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas. Esta configuración puede incrementar la seguridad global en el sentido de que es improbable que un ataque simple comprometa ambos muros de fuego.

Giovana Garrido Página 26 . combina (al igual que las pasarelas a nivel de circuito) el rendimiento de los filtros de paquetes con la seguridad adicional que presenta la utilización de servidores intermediarios. Chekpoint e implementada inicialmente en el producto Firewall-1. diseñada por la empresa de productos de seguridad. De esta forma se puede simplificar el esquema planteado anteriormente y mantener a la vez un nivel de rendimiento sin renunciar a las capacidades de monitorización que ofrece la utilización de un punto de protección único. En la figura siguiente se ilustra la implantación de un equipo bastión con arquitectura de cortafuegos dual-homed y con implantación de inspección de estados. La inspección de estados*. Prof.Capítulo I Seguridad y Defensa de la Red Otra forma de solucionar los mismos problemas planteados consiste en la utilización de un sistema que implemente una inspección de estados en el filtro de paquetes.

por ejemplo: o Los computadores de la red local contienen información de carácter confidencial cuya salvaguardia resulta vital para la empresa. Giovana Garrido Página 27 . o Del exterior pueden llegar virus u otro tipo de programas que perjudicarían seriamente los computadores de la empresa. sin embargo esto plantea varios problemas de seguridad por diversos motivos. o Los empleados pueden utilizar la conexión a Internet para salir a lugares no autorizados (por ejemplo servidores de información no relacionados con su actividad en la empresa). que consiste en un dispositivo formado por uno o varios equipos que se sitúan entre la red de la empresa y la red exterior (normalmente la Internet).Capítulo I Seguridad y Defensa de la Red Su aplicación Especialmente con el crecimiento comercial de la Internet muchas empresas se enfrentan ante la necesidad de conectar sus redes al exterior. el cortafuego analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados. de acuerdo con un criterio establecido de antemano. Prof. Para resolver los problemas de acceso seguro hacia/desde el exterior se ha creado el concepto de cortafuego o firewall.

además las posibilidades de definir filtros en los routers son limitadas y el rendimiento se resiente de forma considerable si al router se le carga con una tarea de filtrado compleja.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos basado en router En su versión más simple el cortafuego consiste únicamente en un router en el que se han configurado diversos filtros. Figura: cortafuegos basados en host bastión (dual homed gateway) El siguiente nivel de cortafuego está formado por un host (dual homed gateway) que conecta por una parte a la Internet y por otra a la red corporativa. como vemos en la figura anterior. actuando él como router. El host implementa un servidor Web proxy Prof. por ejemplo impidiendo o limitando el acceso a determinadas direcciones de red. o el tráfico de ciertas aplicaciones o una combinación de ambos criterios. como vemos en la figura anterior. Dado que los usuarios siguen teniendo conexión directa a nivel de red con el exterior esta solución no es muy fiable. Giovana Garrido Página 28 .

seria la codificación y encriptación de los mismos. entre otros. Normalmente se suele permitir el paso del tráfico de red autorizado a través del BH debido a que este nos detallara todo en todo momento. En base. Un BH deberá incluir. monitorización del sistema. limitado por las restricciones.Capítulo I Seguridad y Defensa de la Red que actúa como pasarela de aplicación para los servicios que se quieren permitir. etc. dispone de una serie de medidas que le diferencia del resto. los ficheros. solo deberá mantenerse aquellas derivadas a daemons y la del administrador.-) Simplemente es pensar en cómo actuaria una persona ajena al encontrarse con un sistema de este tipo. etc. Esta solución ofrece una seguridad mayor que la anterior ya que el servidor proxy . ya que está directamente conectado a la LAN. Evitaremos situaciones como encaminamientos no autorizados.allow). que nos den un mayor rango de seguridad inherente. el sistema no deberá contener cuentas de de acceso a usuarios. una serie de normas de seguridad. SSH nos ayudará mucho en esta tarea. o buscar formas de acceso a la máquina mediante una sola IP de acceso (Revisar Hosts.. Un buen ejemplo de ello. Se recomienda eliminar el demonio SysKLogd.. al ser un host. El computador que actúa como barrera entre la red interna y la Internet se denomina host bastión (‘bastion host’ BH) en terminología de cortafuegos. Otros autores denominan como Bastion Hos (BH)t a un sistema informático catalogado como punto peligroso en la seguridad de nuestra red informática. podremos asegurar en un gran margen que el sistema está preparado para evitar posibles ataques o accesos no deseados a nuestra red interna. puede procesar filtros mas complejos que un router. e instalar otro de los muchos disponibles en web sites como http://www. Los métodos personales propios de administración es preferible mantenerlos offside . filtros o reglas que se han especificado. administradores. el control remoto de la máquina..deny y Hosts. conexiones de la red externa .net. Prof. También deberemos desechar todos aquellos servicios de red como HTTPd. Deberemos cambiar los puertos de acceso a los mismos. y además conociendo correctamente su funcionamiento.freshmeat. Deberemos controlar todo lo relativo a enrutado desde el BH. excepto aquellos que nos permitan a nosotros. pero si un usuario malintencionado (hacker o cracker) consiguiera instalar un programa 'espía' (sniffer) en el host bastión podría capturar tráfico de la red interna de la empresa. Estos podrían ser el telnetd y el ftpd. control de accesos al mismo (conexiones de la red interna. sino también en el propio software que utiliza. En el caso de GNU/LiNUX. corran menor peligro. NNTPd. de forma que ante posibles ataques a nuestro sistema. Giovana Garrido Página 29 . tales como mejores auditorías.). de registro. En principio. Este sistema debe haber sufrido un proceso de testing para catalogar posibles fallos no solo en seguridad.

pero al no estar el directamente conectado a la red local de la empresa incluso en el caso de que un hacker consiguiera instalar en él un sniffer no podría capturar tráfico confidencial. Los objetivos del Servicio de Seguridad Perimetral se basan en la prevención activa en base a las siguientes prácticas:  Mejora continua de la seguridad de los entornos Internet realizando un seguimiento evolutivo mediante el uso de Normas Estandarizadas y Control Continuo. Por ejemplo. pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad.  Identificación de vulnerabilidades en los activos públicos que se encuentran en la red perimetral a través de acciones de “hacking”. pues solo podrá ver los paquetes dirigidos a él. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad. En ocasiones se utilizan otras variantes de arquitectura de cortafuego aún más complejas. de lo contrario habremos puesto una puerta blindada. En suma. Esta configuración se llama subred apantallada o screened subnet. subred apantallada (screened subnet) En un nivel mayor de seguridad el cortafuego se implementa mediante un host y dos routers. incluido mecanismos de aviso urgente para las vulnerabilidades más graves. además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos con zona desmiliatarizada. algo así como una zona neutra de seguridad). el host implementa una pasarela multiaplicación (servidor proxy) como antes. uno de los routers conecta a su vez con la red local de la empresa y el otro con la Internet. o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo. Prof. En seguridad de redes. En este modelo la red que une los routers con el host se denomina zona desmilitarizada o zona DMZ (Demilitarized Zone. conectados entre sí por una pequeña red local. Giovana Garrido Página 30 .  Señalar la manera de corregir las vulnerabilidades encontradas. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas.

Según esta arquitectura. Cuando el destinatario tiene prueba del origen de los datos. así como proveer de un soporte especializado como ayuda para la resolución de los problemas de seguridad encontrados.  Diferentes Informes de Seguridad dirigidos hacia cada Administración tratando de identificar posibles punto débiles en la seguridad El análisis de seguridad no se debe de limitar a los entornos de redes convencionales ya que existen innumerables amenazas en otros ámbitos como:  Análisis de seguridad IP sobre Wifi  Análisis de seguridad IP sobre UMTS  Análisis de seguridad IP sobre 3G 1. La percepción del Servicio de Seguridad Perimetral viene dada por la información generada desde el mismo:  Informes de seguridad gestionada sobre las direcciones IP en Internet de la Administración.  Informes de seguridad manual sobre direcciones IP del rango público.Capítulo I Seguridad y Defensa de la Red   Establecer un canal de alertas de vulnerabilidades de seguridad potenciales en la Administración Pública. es necesario dotar a las mismas de los siguientes servicios de seguridad: Autenticación de las Comunicaciones Este servicio proporciona la prueba ante una tercera parte de que cada una de las entidades comunicantes ha participado en una comunicación. para proteger las comunicaciones de los usuarios en las redes. señalando la manera de corregir las vulnerabilidades encontradas. así como facilitar la disponibilidad de estándares de seguridad para su aplicación en las tecnologías hardware/software de más amplia difusión en la compañía. presenta en su Parte 2 una Arquitectura de Seguridad. Cuando el origen tiene prueba de la entrega íntegra de los datos al destinatario deseado. Puede ser de dos tipos:  Con prueba de origen. Prof.  Establecimiento de un mecanismo de aviso urgente para las vulnerabilidades detectadas más graves (Alertas Urgentes). Autenticación de los Datos Este servicio garantiza que los datos recibidos por el receptor de una comunicación coinciden con los enviados por el emisor.  Con prueba de entrega. Giovana Garrido Página 31 .5 Seguridad en equipos de comunicación de datos El documento de ISO que describe el Modelo de Referencia OSI. en el que los responsables de seguridad puedan acceder a la información y conocimiento interno de seguridad del que se dispone. Diseminar en la Administración Pública el conocimiento de las “mejores prácticas” para la fortificación de los sistemas de la información.  Establecimiento de un canal de comunicación.

Capítulo I Seguridad y Defensa de la Red Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. o un valor de Prof. puede ser una información suplementaria compuesta por un código de control de bloque. puede ser una información suplementaria compuesta por un código de control de bloque. tal como la numeración de secuencia. probablemente encriptada con técnicas simétricas o asimétricas. Análisis de flujo del tráfico Contar con herramientas o programas que permitan llevar un control del tráfico de la red. con el propósito de generar una alarma y/o registrarlo. o intenta el acceso de forma impropia a un recurso autorizado. adicionalmente. entonces la función de control de acceso rechazará el intento. de tal manera de detectar anomalías en el mismo. El control de acceso se puede realizar en el origen o en un punto intermedio. El mecanismo de control de acceso soporta el servicio de control de acceso. al tiempo que puede informar del incidente. alguna forma de ordenación explícita. Para proporcionar integridad a una secuencia de unidades de datos se requiere. Garantía de la privacidad de los datos Este servicio proporciona protección contra la revelación deliberada o accidental de los datos en una comunicación. Giovana Garrido Página 32 . probablemente encriptada con técnicas simétricas o asimétricas. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. con el fin de asegurar los derechos de acceso a recursos que posee. Esta cantidad. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. y se encarga de asegurar si el fuente está autorizado a comunicar con el receptor y/o a usar los recursos de comunicación requeridos. un sello de tiempo o un encadenamiento criptográfico. Si una entidad intenta acceder a un recurso no autorizado. El mecanismo de integridad de datos soporta el servicio de integridad de datos. o un valor de control criptográfico. Esta cantidad. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. Garantía de la Integridad de los datos Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. Control de Acceso Autentica las capacidades de una entidad.

que asocia una clave pública a un usuario. Un certificado es un documento firmado por una Autoridad de Certificación. La Autoridad de Certificación utiliza un algoritmo de clave pública para certificar la clave pública de un usuario produciendo así un certificado. Para proporcionar integridad a una secuencia de unidades de datos se requiere. Reconocimiento del Receptor y/o Transmisor Existen dos grados en el mecanismo de autenticación:  Autentificación simple. El mecanismo de integridad de datos soporta el servicio de integridad de datos. Cuando un segundo usuario desea comprobar la autenticidad de su interlocutor deberá comprobar que éste está en posesión de su clave secreta. o ambas entidades se pueden autenticar la una o la otra. El mecanismo de intercambio de autenticación se utiliza para soportar el servicio de autenticación de entidad par. Utiliza las propiedades de los criptosistemas de clave pública. un sello de tiempo o un encadenamiento criptográfico. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. la clave pública de su interlocutor se tiene que obtener de una fuente de confianza. Compromiso para el control de acceso del router puede resultar en la exposición de los detalles de la configuración de red o de denegación de servicio. Giovana Garrido . Página 33 Prof. El compromiso de un router puede dar lugar a diversos problemas de seguridad en la red. 1. y la exposición de datos sensibles. Routers Motivaciones para la Prestación de Guía de Seguridad de Router La prestación de servicios a los Routers es esencial para el correcto y seguro funcionamiento de las redes. y puede facilitar los ataques en contra de otros componentes de la red. Cada usuario se identifica por un nombre distintivo y por su clave secreta.  Autentificación fuerte. el cual es un servicio que corrobora la fuente de una unidad de datos. Para que un usuario confíe en el procedimiento de autenticación. adicionalmente. alguna forma de ordenación explícita. o incluso otras redes con las que se comunica el router. a la que se denomina Autoridad de Certificación.1 Control físico de acceso a redes a. el cual los comprueba.5.   Compromiso de un router en las tablas de enrutamiento pueden reducir el rendimiento. la negación de la red de servicios de comunicación. tal como la numeración de secuencia. para lo cual deberá obtener su clave pública.Capítulo I Seguridad y Defensa de la Red control criptográfico. El emisor envía su nombre distintivo y una contraseña al receptor. La autenticación puede ser sólo de la entidad origen o de la entidad destino. válido durante el período de tiempo indicado.

protección de un router en sí Seguridad física: Hay varias maneras de proporcionar la seguridad física de un router. Sin embargo. garantizar y facilitar la cooperación entre los elementos claves independientes. La habitación que contiene el router debe estar libre de interferencias magnéticas o electrostáticas. y utilizar al seleccionar de lista la versión del sistema operativo más apropiada. módems) se utiliza para conectarse al router para almacenamiento que requieran protección. un router y la gestión de seguridad. se debe instalar los componentes para ayudar a proteger contra algunos ataques de denegación de servicio. Sistema operativo: El sistema operativo en el router es un componente crucial. Debe tener los controles de temperatura y humedad. Todos los servicios innecesarios deben ser desactivados en la configuración del router. ya sea de productos o libros que documentan acerca de la seguridad. tarjetas de PC. Prof. el router debe estar configurado con la máxima cantidad de memoria posible. Además.Capítulo I Seguridad y Defensa de la Red   Una mala configuración del enrutador en el filtrado puede reducir la seguridad general de todo. con los usuarios finales. evitando así una grave fuente potencial de problemas de seguridad. Decidir qué características de las necesidades de red. También considerar si es necesario la disponibilidad de un sistema de alimentación interrumpida (UPS). Giovana Garrido Página 34 . Se debe utilizar la última versión estable del sistema operativo que cumpla con la función de acuerdo a sus necesidades. de las exploraciones y los ataques. En general. Por último. Principios y Metas de Seguridad en Routers Los routers pueden desempeñar un papel en la obtención de las redes. y que le permita apoyarse de la más amplia gama de servicios de seguridad. no ser negligente. Por otro lado. y facilitar a los atacantes para evitar la detección. Aplicar Políticas de seguridad en un router es necesario aunque difícil. el uso adecuado de las funciones de seguridad criptográfica en el router pueden ayudar a proteger datos sensibles. Configuración fuerte: Un router es similar a muchos computadores en el sentido de que muchos servicios se activan por defecto. Aunque hay una variedad de recursos disponibles por parte de vendedores de routers. un router seguro bien configurado puede mejorar en gran medida la postura de seguridad de una red. Muchos de estos servicios son innecesarios y pueden ser utilizados por un atacante para la recopilación de información o de la explotación. los dispositivos físicos (por ejemplo. la última versión de cualquier sistema operativo tiende a no ser la más fiable debido a su limitada exposición en una amplia gama de entornos de red. a. A continuación se describen los principios generales para la protección de un router en sí. la protección de una red con un router. garantizar la integridad de los datos. el router debe ser colocado en una habitación cerrada con llave con acceso de sólo un pequeño número de personal autorizado. hay que ser malicioso aun. exponer los componentes de la red interna. no eludir.

puerto de destino. Algunos routers tienen filtros que se aplican a los servicios de red en ambas direcciones de entrada y de salida. ya que ofrece más seguridad. El servidor de seguridad proporciona control de acceso sobre el contenido de las conexiones. puerto de origen. un usuario en un sistema telnets del sistema B. Figura Un router puede ser utilizado también como parte de la defensa en un enfoque profundidad. el cual contiene una ruta que pasa por todas las conexiones destinadas a la red protegida por el cortafuego. mientras que otros tienen filtros que se aplican sólo en una dirección. algunos routers necesitan dos filtros para manejar los servicios de bi-direccional. Algunos routers pueden filtrar en cualquier bit o de cualquier patrón de bits en el encabezado IP.Capítulo I Seguridad y Defensa de la Red b. como se muestra en el siguiente diagrama.) La mayoría de los routers puede filtrar por una o más texto de la siguiente forma: dirección IP de origen. basadas en las direcciones y los protocolos. Giovana Garrido Página 35 . Se puede hacer esto por sí mismo. Sin Prof. Actúa como la primera línea de defensa. protección de la red con el router Reglas de seguridad perimetral y políticas de seguridad: Un router proporciona una capacidad para ayudar a asegurar el perímetro de una red protegida. Routers pueden aplicar filtros de diferentes maneras. El diagrama de la parte inferior muestra una típica topología con el router es el componente que conecta a la red protegida a Internet. Así pues. y a este se le conoce como un router de selección. Por ejemplo. Este enfoque se recomienda utilizar sólo en un router. y de B envía algún tipo de respuesta al sistema A. Figura Ejemplo de configuración de conexión típica de Internet con un router Internet Filtrado de paquetes TCP/IP: Un filtro de paquetes de TCP / IP proporciona servicios de control para la transferencia de datos entre las redes. y tipo de protocolo. dirección IP de destino. (Muchos servicios son bidireccionales. También puede realizar la autenticación de usuario.

 estándares en puertos y protocolos Prof. El papel del router es hacer cumplir la política de seguridad. el router debe hacer cumplir la restricción de que los paquetes que llegan de la Internet deben tener una dirección de origen fuera del rango válido para la red protegida. Esto a veces se denomina filtrado de salida. en la Figura 1. Esto se denomina filtrado de entrada. Se puede:  aplicar Filtros de paquetes: sólo se requiere permiso de Protocolos y Servicios. Los filtros también son importantes por su capacidad para hacer valer frente a las limitaciones. Los Filtros de paquetes son especialmente importantes para los routers ya que actúan como puerta de enlace entre las redes de confianza y no confianza. el rechazo de los protocolos y la restricción de los puertos de acuerdo a las políticas de la red de confianza. el router debe hacer cumplir la restricción de que los paquetes enviados desde la seguridad de la red de seguridad o protegida (a la derecha a la izquierda) debe tener una dirección de origen dentro de un rango particular.  aplicar Filtros de paquetes: Rechazar riesgo Protocolos y Servicios.Capítulo I Seguridad y Defensa de la Red embargo. el nombre del archivo del ftp). Por ejemplo. los routers no tienen la capacidad para filtrar el contenido de los servicios (por ejemplo. Giovana Garrido Página 36 . Del mismo modo.

configuración y gestión del router cumplen su política de seguridad? Una base conceptual para la política de seguridad del router La figura a continuación. Prof. ¿Qué significa para un router que sea seguro? Una manera sencilla de definir la seguridad de un router es la siguiente: ¿la operación.Capítulo I Seguridad y Defensa de la Red Figura tabla de servicios para routers La siguiente figura. La seguridad de cada capa depende de la seguridad de las capas dentro de él. políticas de seguridad de routers Los Routers son una parte importante de una red. d. y su seguridad es una parte vital de toda la red. Giovana Garrido Página 37 . muestra una vista de los niveles de seguridad de un router. muestra tabla de servicios en los routers para los clientes externos.

incluye normas estrictas sobre el acceso a esta capa. Cualquier router puede estar comprometida por un atacante con acceso físico completo. aunque a veces se pase por alto. por lo general denominado "consola" o "control" de puertos. Giovana Garrido Página 38 . estos puertos suelen prever mecanismos especiales para el control del router. también debe hacerse el control de las dos capas exteriores. los nombres de usuario y contraseñas. Otras partes de la información dinámica. definir roles. Las funciones que se definen en la política de seguridad del router suele ser un subconjunto de las políticas de la red. tal como el estado de la interfaz. por lo tanto. entonces. y los registros de auditoría. La siguiente zona más interna de la figura es el software almacenado y el estado de configuración del router en sí. Algunos aspectos importantes de los datos almacenados son la interfaz de configuración de direcciones. normas de conducta. tanto en términos de funciones. Las normas de conducta de la administración del router debería aclarar la aplicación de las normas de red al router. puede comprometer la capa externa. permisos.Capítulo I Seguridad y Defensa de la Red Vista de las capas de seguridad de un router La zona interna representa la seguridad física del router. La ruta de los propios cuadros son los más evidentes de esta parte. Si un atacante puede comprometer cualquiera de estos. tablas ARP. son también muy importantes. Si un atacante puede comprometer la configuración dinámica de un router. La mayoría de los routers ofrecen una o más conexiones directas. en particular. La política de seguridad del Router debe definir normas de dónde y cómo estos puertos pueden ser utilizados. La Política de seguridad por lo general. La zona exterior de la figura es la configuración dinámica del enrutador. el acceso físico debe ser controlada para proporcionar una base sólida para la seguridad general del router. la política de seguridad de un router servirá para. Prof. La política de un router debe encajar en el marco general. la configuración almacenada. y los controles de acceso para el acceso directo a la interfaz de comandos del router. Política de Seguridad del Router y de la red general Normalmente en la red. La Política de seguridad para un router debería incluir normas sobre el acceso a esta capa. y las responsabilidades.

Prof. la política en el router implica mucho más detalles que la política de la red. Puede ser necesario revisar la política de seguridad del router cuando se produzca un cambio importante en la arquitectura de red o estructura orgánica de la administración de la red.   Una política de seguridad debe ser un documento vivo. Especificar la política de todas las zonas señaladas en la figura anterior: Comience con la seguridad física. podría ser considerado responsable por la seguridad de la red en la revisión periódica de los registros de auditoría. procedimientos. Cada una de las funciones que se concederá privilegios en el router. operador. una política de seguridad de red podría definir tres funciones: administrador. no particular. y el trabaje hacia el exterior hacia la configuración.  Cambios importantes en las prácticas administrativas.Capítulo I Seguridad y Defensa de la Red Por ejemplo. El operador. En particular. Por ejemplo. Giovana Garrido Página 39 . El router sólo puede incluir dos política de seguridad: el administrador y operador. al final. y el usuario. Actualizar la política del router para que se reflejen los cambios en la red. tanto la dinámica como con el flujo del tráfico. El router puede especificar normas particulares que puedan ser aplicadas por el router para evitar la administración remota. Creando una política de seguridad para un router Existen varios consejos importantes que recordar al crear la política de seguridad de un router:  Especificar los objetivos de seguridad. Protocolos y Servicios que no están explícitamente permitidos se le debe negar: Cuando se representa política de la red en el router.  Nuevas conexiones entre la red local y las redes externas. ambas deben tomarse en cuenta. los comandos o mecanismos: Cuando se especifican las políticas. el router aplica la política de red. en lugar de un comando en particular o un mecanismo. y negar todo lo demás. los resultados de seguridad que deben alcanzarse. En algunos casos. la política le permite cumplir sus responsabilidades tal como se indica en una política de la red. la política de seguridad de la red podría prohibir la administración del router desde cualquier lugar. se debe concentrar en los protocolos y servicios que han sido identificados como explícitamente necesarios para la explotación de las redes. La política de seguridad del router puede conceder privilegios de acceso del operador al router de manera que puedan acceder a los registros del router. o personal. En cuanto a los demás. la política del router es más llevadera cuando se dan a través de las versiones del software y entre diferentes tipos de routers. explícitamente los permisos. por ejemplo. Forman parte de las prácticas de seguridad de la red para ser examinados periódicamente como parte de la política de seguridad de red del router y de la seguridad en sí. pero no en la LAN local. o cuando los objetivos de seguridad ha sido cambiados en el router. el examinar el router y revisar la política de seguridad según sea necesario cuando cualquiera de los siguientes eventos ocurren.

Cuando la política de seguridad del router sea objeto de una revisión. Este control puede ayudar a limitar él tráfico originado por el propio router. Uso de Listas de Control de Acceso (ACLs) como parte de la seguridad en la red para el control de tráfico Los router se sirven de las listas de control de acceso (ACL) para identificar el tráfico. Giovana Garrido Página 40 . un nuevo servidor de seguridad). Esta identificación puede usarse después para filtrar el tráfico y conseguir una mejor administración del tráfico global de la red.Capítulo I Seguridad y Defensa de la Red    Cambios importantes en la política global de seguridad de red. Se pueden usar listas de acceso IP para establecer un control más fino o la hora de separar el tráfico en diferentes colas de prioridades y personalizadas. pero no puede filtrar él tráfico originado por el propio router. Las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router. Las listas de acceso identifican tráfico que ha de ser filtrado en su tránsito por el router. El filtrado de paquetes permite controlar el movimiento de paquetes dentro de la red. no es posible bloquear el acceso Telnet desde dicho router. pasar por una la lista y comprobar que cada tema se aborda en forma segura. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP o a protocolos IP de capa superior. Prof. Las listas de acceso constituyen una eficaz herramienta para el control de la red. Una lista de acceso también pueden utilizarse para identificar el tráfico “interesante” que sirve para activar las llamadas del enrutamiento por llamada telefónica bajo demanda (DDR). una nueva red privada virtual) o de nuevos componentes de la red (por ejemplo. Estar conciente de que el mantenimiento de la política es crucial para el cumplimiento de la misma. Las listas de acceso pueden aplicarse también a los puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente. Despliegue de nuevas capacidades sustanciales (por ejemplo.  Seguridad física  Configuración estática de seguridad  Configuración dinámica de seguridad  Servicio de seguridad de la red  Respuesta ante compromiso e. Después de la elaboración de una política. Lista de política de seguridad del router La lista que figura a continuación fue concebida como una ayuda para la creación de la política de seguridad del router. Ataque de Detección o grave compromiso. notificará a todas las personas autorizadas de la administración del router y todas las personas autorizadas para el acceso físico a él.

dicho paquete será enviado directamente al puerto destinado. números de puerto y otros parámetros. También pueden verificar protocolos especificados. Las listas de acceso pueden aplicarse de las siguientes formas: Listas de acceso de entrada Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida.(evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado). el router comprueba si la interfaz de destino esta agrupada en alguna lista de acceso. el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. si el paquete pasa las pruebas de filtrado. A continuación. Si el paquete de salida está destinado a un puerto. como las actualizaciones de enrutamiento a las sesiones Telnet salientes. será procesado para su enrutamiento. Si no existe ninguna ruta hasta la dirección de destino. el paquete es descartado.Capítulo I Seguridad y Defensa de la Red Las listas de acceso son mecanismos opcionales del software (ejemplo. y paquetes que salen de las interfaces de salida del router. Giovana Garrido Página 41 . Cisco IOS) que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino. antes de que el paquete pueda ser enviado al puerto destinado será verificado por una serie de instrucciones de la lista de acceso asociada con dicha Prof. el paquete puede ser enviado al búfer de salida. Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada. Operatividad de las listas de acceso Cuando un paquete llega a una interfaz. o bien descartados. De no ser así. Listas de acceso estándar Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. Las listas de acceso no actúan sobre paquetes originados en el propio router. Si el paquete de salida está destinado a un puerto ha sido agrupado en una lista de acceso outbound. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo. basándose en la dirección IP de la red-subred-host de origen. que no ha sido agrupado a ninguna lista de acceso de salida. Listas de acceso de salida Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión. Listas de acceso extendidas Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. paquetes que se trasmiten por el router.

Giovana Garrido . Cuando se descarta un paquete IP.   Utilice sólo números de listas de acceso dentro del rengo definido por el fabricante para el protocolo y el tipo de listas que va ha crear. Si la cabecera de un paquete no se ajusta a una instrucción de la lista de acceso. mientras que deny significa descartar el paquete. por dirección y por interfaz. dirección e interfaz. la prueba continua con la siguiente instrucción de la lista. Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. en caso contrario la lista de acceso bloquearía todo el tráfico. En lugar de salir por alguna interfaz. Es posible tener varias listas para una interfaz. Para las listas de salida permit significa enviar al búfer de salida. el paquete será admitido o denegado. todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Una vez que se produce una coincidencia. el resto de las instrucciones de la lista serán omitidas. Esto significa que una condición que deniega un paquete en una instrucción no puede ser afinada en otra instrucción posterior. mientras que deny se traduce en descartar el paquete. Esta condición final se aplica a todos esos paquetes y se traducen en una condición de denegación del paquete. Implementación de listas de acceso Una lista de acceso puede ser aplicada a múltiples interfaces. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso. La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable. Dependiendo del resultado de estas pruebas. Debido a dicha condición. es necesaria que en toda lista de acceso exista al menos una instrucción permit. se aplica la opción de permiso o denegación y se pone fin a las pruebas de dicho paquete.Capítulo I Seguridad y Defensa de la Red interfaz. Sin embargo. Sólo se permite una lista por protocolo. siempre esta activa. Evalúan los paquetes de principio a fin. pero cada una debe pertenecer a un protocolo diferente. El proceso de comparación sigue hasta llegar al final de la lista. Prueba de condiciones en listas de acceso Las instrucciones de una lista de acceso operan en un orden lógico secuencial. instrucción a instrucción. sólo puede haber una lista de acceso por protocolo. Página 42 Prof. Aunque esta instrucción no aparece en la configuración del router. al final de cada lista de acceso. Para las listas de entrada permit significa continuar el procesamiento del paquete tras su recepción en una interfaz. y el paquete será permitido o denegado según se especifique en la instrucción competente. Esta instrucción final se conoce como la denegación implícita de todo. cuando el paquete será denegado implícitamente.

Switch Prof. determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve el paquete a su origen en caso de que él no sea el destinatario del mismo. No pueden hacer de filtro para el tráfico originado por el propio router. si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia el Router de la red destino. En cambio. . pero siempre delante de la condición de denegación implícita. .2) Denegación implícita de todo: . estos pasan por diferentes Routers (enrutadores a nivel de Red). Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales. los cuales son puentes que operan a nivel de Enlace. vía TCP/IP. filtros y excepciones que le indican que rutas son las más apropiadas para enviar los paquetes. si se conectan dos redes del tipo LAN se utilizan Bridges. Consideraciones Finales Cuando los paquetes de información viajan entre su destino y origen.Las adiciones a las listas se agregan siempre al final de éstas. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo dar á paso (permitirá) a todo el trafico. pero sí cuando se usan listas de acceso IP con nombre (característica de Cisco IOS v. Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router. Cree una lista de acceso antes de aplicarla a la interfaz.No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas. Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa. Los Routers "toman decisiones" en base a un conjunto de datos.11.Toda lista de acceso deben incluir al menos una instrucción permit.Capítulo I Seguridad y Defensa de la Red    Procesamiento de principio a fin: .A menos que termine una lista de acceso con una condición de permiso implícito de todo. En caso de que el paquete provenga de afuera. La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de determinar.Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales. regla. se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista. todo el tráfico será denegado. Giovana Garrido Página 43 . . En caso contrario. b.

También. Es importante señalar que la mayoría de las actualizaciones del IOS sólo puede lograrse mediante la sustitución de la IOS que se ejecuta en el switch. En redes con switches redundantes. siempre realice cualquier tipo de copia de seguridad de la configuración de un switch. Hay que estar preparado para volver a llevar a cabo la actualización ya sea por que ha sufrido un bajo rendimiento o por comprometer la seguridad del switch. pero si se hace incorrectamente puede que se de una vulnerabilidad. Sistema Operativo: Si un sistema operativo no se le da un cambio actualizado. Además. A continuación elementos importantes a considerar en un switch. Por ejemplo. pero la más simple consiste en garantizar que el tráfico TFTP no atraviese redes hostiles.  En tercer lugar. muchos ajustes por defecto varían entre las distintas versiones del sistema operativo. no deje habilitado el servicio TFTP en el servidor. Una actualización del IOS tendrá un impacto. Ejemplo. confirmar el éxito por separado y antes de actualizar su contraparte. Contramedidas Instalar la última versión estable del sistema operativo. Giovana Garrido Página 44 . La aproximación más simple a mitigar este riesgo es permitir el cambio de la contraseña secreta inmediatamente después de la instalación. Es muy importante leer las notas de la versión de una nueva versión de IOS en forma cuidadosa antes de instalar. la interconexión del sistema operativo (IOS). actualizar cada switch redundante. Los atacantes pueden encontrar debilidades en las versiones de un sistema operativo a través del tiempo. siempre desactivar inmediatamente después de terminar el procedimiento de instalación. Existen varios enfoques para hacer esto. no hay facilidad para modificar o parchear el IOS instalado. esta podría comprometer una red local. y posiblemente un cambio en la red. Nuevas características de seguridad se añaden a cada nueva versión del sistema operativo.  En segundo lugar. Algunos de estos ajustes pueden afectar la seguridad del switch. Si es posible. es similar a otros sistemas operativos con respecto a ser sensibles a las deficiencias de sus versiones. el sistema operativo de Cisco. pueden ser susceptibles a la toma de información y ataques a la red. el cambio de rendimiento puede verse afectado debido a la inactividad de la actualización o de características que no funcionan correctamente después de la actualización. algunas versiones más recientes ofrecen servicios que no esté Prof. es preocupante porque no proporciona ninguna seguridad de TFTP. Por ejemplo. Otro aspecto a considerar al momento de actualizar e instalar versiones del sistema operativo es lo siguiente:  Si utiliza un servidor TFTP. el administrador pueden exponer a las contraseñas encriptadas divulgando la información. Por lo tanto. Una actualización puede ser beneficiosa para la seguridad. Cisco mantiene lo que son las imágenes del sistema. sustituir el switch por otro como repuesto para realizar la actualización fuera de línea sin causar una larga interrupción en la conectividad de red. para asegurar que esta versión puede cambiar totalmente las funciones de apoyo necesarias en la red. En primer lugar. es fundamental que el administrador de TFTP protege el servidor de la transacción y de los posibles atacantes.Capítulo I Seguridad y Defensa de la Red A pesar de ser de capa 2 (de acuerdo al modelo OSI).

las líneas terminal virtual y el usarname en el puerto de administración y de los servicios de red. letras. el username password.  Activar el servicio de encriptación de password  En “enable secret” aplicar números. porque la contraseña para determinados ajustes (por ejemplo. entonces un atacante podría obtener privilegios de acceso para recuperar o cambiar la información del dispositivo. y cambiarlo cada 90 días (recomendado por Cisco). Por lo tanto. la consola de línea (línea con 0). Giovana Garrido Página 45 . la línea de consola y las líneas de terminal virtual. puede ser capaz de obtener acceso de nivel privilegiado en un momento posterior. utilizando una función basada en hash MD5. El nivel de usuario suele ser visitado a través de Telnet o SSH para conexiones a través de un interruptor o la línea de la consola en el switch. y otros ajustes en un switch permite el compromiso potencial. Cada nivel es generalmente configurado con una contraseña. Passwords: Vulnerabilidades Algunos switch tienen dos niveles de acceso por defecto: Usuario (Nivel 1) y privilegiados (Nivel 15). Contramedidas Las siguientes son algunas contramedidas para mitigar las vulnerabilidades asociadas con los passwords en los sistemas operativos de los switch. El "enable secret" es el modo de protección de contraseña más segura. Puerto de Administración: Vulnerabilidades: Un switch tiene un puerto de administración. establecer la misma contraseña para el "enable secret en múltiples switchs proveyendo un único punto de falla porque se puso en peligro y comprometió uno de los switchs.Capítulo I Seguridad y Defensa de la Red presente en versiones anteriores. entonces el switch es susceptible a ataques. que proporciona acceso directo a la administración. Por último. Vulnerabilidades específicas relacionadas con el puerto de administración son las siguientes: Prof. entonces puede utilizar las contraseñas para acceder a este sistema. utilizando la misma contraseña "enable secret". Asimismo. y sobre todo caracteres especiales al password. Las vulnerabilidades específicas que están asociados con estas contraseñas son las siguientes:  Un switch muestra las contraseñas en texto plano por defecto para las siguientes configuraciones en el archivo de configuración: el "enable password". que un "enable password". El nivel de privilegio se puede configurar ya sea con un "enable password" o "enable secret”. telnet) pueden ser en texto plano y se puede tomar en una red mediante un analizador de redes.  Si el "enable secret" del switchg no está configurado o es una contraseña débil. Si un atacante puede toma el archivo de configuración usando un analizador de red. El nivel privilegiado suele ser visitado después de la de nivel de usuario está establecido. Las contramedidas están descritas para los passwords de la línea de consola. es importante leer y seguir las notas de la versión de una nueva versión de IOS cuidadosamente. Si el puerto de administración en la configuración de los switch es demasiado permisivo. El atacante que puede recoger las contraseñas de ir a un switch.

con una contraseña por defecto o con una contraseña débil.  Establezca el tiempo de ejecución a 9 minutos o menos para desconectar conexiones inactivas a la línea de consola. las conexiones estarán más disponibles para que un atacante pueda hacer daño. y cambiarlo cada 90 días. como por ejemplo Cisco que se desactive el tiempo de espera.  Aplicar números. El atacante que comprometa un switch puede comprometer otros switch. permite el potencial compromiso. y por otros parámetros de un switch. administrator. utilizando la misma contraseña por el puerto de administración. Contramedidas: El método más seguro para administrar un switch es administración fuera de banda (outof-band management). El atacante puede tomar las contraseñas de telnet desde el tráfico de la red e ir a un switch. El out-of-band management es un sistema de administración y uso dedicado vías de comunicación. entonces. basados en la red. La figura muestra una serie de Terminal Server y una administración separada (out-ofband management) de acceso a puerto de consola de todos los switch. Asimismo.  Establecer una cuenta única para cada administrador de acceso a la línea de consola. Si un switch tiene un puerto de administración establecidos sin contraseña. Este acceso implica el uso de una red de área local virtual (VLAN). porque la contraseña para determinados ajustes (por ejemplo.  Crear un banner para el proceso de acceso a la línea de consola para cada switch. letras. Las siguientes contramedidas mitigan las vulnerabilidades a la línea de consola disponibles en cada switch. Servicios de Red: Prof. puede ser capaz de acceder para cambiar el puerto de administración en un momento dado. Giovana Garrido Página 46 . Si las conexiones en el puerto de administración en un switch no tienen un periodo de tiempo establecido o tiene un gran periodo de tiempo (más de 9 minutos). security). Este método no se mezcla con el tráfico de administración operativa y no consume ancho de banda de funcionamiento. las actualizaciones del sistema operativo). Esta solución es suficiente para muchas funciones de administración. a través de ataques de diccionario) y recuperar o cambiar la información sobre el cambio. el acceso fuera de banda sería preferible para ciertas funciones (por ejemplo. y sobre todo caracteres especiales al password. porque en algunos switch. Por último. root. Sin embargo. telnet) pueden ser en texto plano y se puede tomar de red mediante un analizador de redes.Capítulo I Seguridad y Defensa de la Red    Un switch con un puerto de administración usando una cuenta por defecto permite a un atacante que trate de hacer las conexiones mediante uno o más de las bien conocidas cuentas de usuario por defecto (por ejemplo. No establezca el tiempo a cero. entonces un atacante puede adivinar la contraseña o crack (por ejemplo. establecer la misma contraseña para elpuerto de administración en múltiples switch proporcionando un único punto de fallo.

contraseñas u otra información de configuración relacionados con el switch. root.  Si un switch ha establecido un servicio de red sin contraseña. entonces un atacante puede adivinar la contraseña o crack (por ejemplo. Amplio acceso significa que todos los sistemas o de un gran número de sistemas se puede conectar al switch. establecer la misma contraseña para el servicio de red de múltiples switchs proporciona un único punto de fallo. Los siguientes contramedidas para mitigar las vulnerabilidades de los servicios de red activada en el switch son las siguientes: servicios de red innecesaria y los servicios de red necesarios potencialmente. en lugar de utilizar un servicio de red (por ejemplo. Seguridad de los puertos: Vulnerabilidades: Las interfaces de Nivel 2 en un switch se denominan puertos.  Si las conexiones a un servicio de red en un sistema no tiene un periodo de tiempo establecido o tiene un gran periodo de tiempo (por ejemplo. Las características o la mala configuración de los servicios de red en un switch pueden conducir a comprometer al mismo. con una contraseña por defecto o con una contraseña débil. se recomienda utilizar out-of-band management (por ejemplo. Un switch que no prevé la protección de los puertos permite que un atacante entre a un sistema por un puerto que no es utilizado por estar habilitado para llevar a cabo la recopilación de información o Prof. Las vulnerabilidades específicas de los asociados con los servicios de red incluyen los siguientes:  Conexiones a muchos servicios en un switch no están encriptados. El tráfico puede contener nombres de usuario. El atacante que comprometa un switch puede comprometer los otros switchs. El out-of-band management reduce la exposición de la información de la configuración y mejora la administración por contraseñas. security). de modo que un atacante puede ser capaz de tomarlo del tráfico de la red. La mayoría de estos servicios se basan en uno de los siguientes mecanismos de transporte en la capa 4 del modelo OSI: Protocolo de control de transmisión (TCP) y Protocolo de datagramas de usuario (UDP). entonces. las conexiones estarán más disponibles para que un atacante entre a ellos. Muchos de estos servicios no suelen ser necesarios para un cambio del funcionamiento normal. a través de ataques de diccionario) y recuperar o cambiar la información del switch. telnet) para realizar la administración en un switch. administrator. Giovana Garrido Página 47 . si estos servicios están habilitados entonces el switch pueden ser susceptible a la recopilación de información de la red o por ataques.  Amplio acceso a la red de servicios en un switch hace que este sea vulnerable a los ataques. Contramedidas: Si es posible. a través del puerto de consola) para cada uno.Capítulo I Seguridad y Defensa de la Red Vulnerabilidades: Los sistemas operativos de los switch pueden tener una serie de servicios de red habilitada. relacionarlos con estos servicios mediante un analizador de redes. sin embargo.  Un switch con un servicio de red utilizando una cuenta de usuario por defecto permite a un atacante tratar de hacer conexiones mediante uno o más de las bien conocidas las cuentas de usuario por defecto (por ejemplo. Asimismo. superior a 9 minutos).

Contramedidas: Las siguientes contramedidas mitigan las vulnerabilidades en la disponibilidad del sistema de cada switch. Tenga en cuenta que la protección de los puertos no puede utilizarse para los puertos de acceso dinámico o los puertos de destino para el Analizador de puerto del switch. Disponibilidad del sistema: Vulnerabilidades: Muchos ataques existen y se crean más a causa de la denegación de servicio. un atacante podría recopilar información del tráfico. Prof.  El flujo de control 802. Giovana Garrido Página 48 . Un switch puede ser configurado para actuar como un concentrador.Capítulo I Seguridad y Defensa de la Red ataque. el ancho de banda) disponibles. utilizar el puerto de seguridad para activar los puertos en el switch en la mayor medida posible. Por lo tanto. Las Vulnerabilidades específicas asociadas con la disponibilidad del sistema son los siguientes:  Algunos fast flooding attacks pueden provocar que el procesador del switch no este disponible para el acceso administrativo. Si se detecta uno. De esta manera los elementos de seguridad se establecen o eliminan según sea necesario en lugar de añadir funciones y el fortalecimiento al azar o como resultado de un incidente de seguridad. Las pausas de tramas de flujo de control podría ser utilizado para un ataque de denegación de servicio. Si no se configura correctamente.  Algunos ataques activos y ciertos errores pueden causar inundaciones de paquetes a los puertos de un switch.  Los switchs directamente conectados funcionan con el protocolo Unidirectional Link Detection (UDLD. entonces el vínculo se cierra hasta que manualmente sea restaurado.  El ataque de inundación SYN (SYN Flood attack) envía repetidas peticiones de conexión sin enviar la aceptación de los acuse de reconocimiento a la solicitud de conexión. a los sistemas o redes. una pausa en la trama pueden ser recibir y detener la transmisión de paquetes de datos. Si esta característica está habilitada. Este ataque puede desbordar el switch en el búfer de conexión y desactivarlo. puede permitir que estas redes de tráfico de voz puedan convertirse en un tráfico de datos flood attack.3x permite la recepción de los puertos para hacer una transmisión pausada de los paquetes del remitente en momentos de congestión. contraseñas o información de configuración sobre los sistemas en la red. Sin embargo. Todos los puertos de switch o interfaces deben garantizarse antes de que el switch este funcionando. voz sobre IP (VoIP)]. puede determinar si existe una relación unidireccional entre ellos. Los switch son muy susceptibles a estos ataques. Detección unidireccional Enlace de Datos). el procesador de sistema. obteniendo asi los nombres de usuario. UDLD mensajes podrían utilizarse en ataques por denegación de servicio.  Llevar redes convergentes a tráfico de voz y de datos [por ejemplo. ya sea parcial o total. lo que significa que cada sistema conectado al switch puede ver todo el tráfico de red que pasa por el a todos los sistemas conectados al switch. Contramedidas: El puerto de seguridad limita el número válido de direcciones MAC permitidas en un puerto. Estos ataques se centran en los recursos (por ejemplo.

incluso los procesos para obtener el uso del tiempo de procesador. o en un mismo concentrador (hub) Como consecuencia directa. Este concepto surge con la aparición de los conmutadores (ver switch) de nivel 3 o superior. Desactivar el control de flujo en la interfaz. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos. Prof. o en un mismo concentrador o hub. por medio de la agrupación realizada de una forma lógica en lugar de física. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo. Sin embargo. hasta ahora. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo. determinar fácilmente los paquetes de voz. Más aún. la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente. por su conexión al mismo concentrador o segmento de la red. Adicional a esto. han sido creados por la asociación física de los usuarios en un mismo segmento de la red. Más aún. Con el fin de que el tráfico de voz pueda tener prioridad a través de una red. nos proporcionan los medios adecuados para solucionar esta problemática. han sido creados por la asociación física de los usuarios en un mismo segmento de la red. Ayudar a prevenir SYN Flood Attack. Virtual Local Area Networks (VLAN): VLAN es el acrónimo de Virtual Local Area Network o Virtual LAN. También se dice que son "dominios de broadcast" (ver router) dado que el tráfico de broadcast a nivel 2 no se difunde entre las diferentes VLANs sino que se queda limitado al conjunto de puertos (físicos o virtuales) que pertenecen a cada una de las VLANs. aunque la señalización de voz y de datos esté encriptados. existen analizadores de red que pueden fácilmente identificar este tipo de tráfico. Deshabilitar globalmente el UDLD. hasta ahora. que aglutinan tanto las funciones de conmutación (nivel 2 Capa_de_enlace_de_datos) como las funciones de enrutado (nivel 3 Capa_de_red). Consiste en cada una de las redes de área local (LAN) creadas en los conmutadores. Giovana Garrido Página 49 .Capítulo I Seguridad y Defensa de la Red      Prevenir fast flooding attacks y garantizar de que la prioridad sea la más baja. Los grupos de trabajo en una red. dando un tiempo de conectividad al administrador. la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente. y en cada interfaz donde no sea requerido. considerar el uso de Quality of Service (QoS) para el tráfico de voz. por su conexión al mismo concentrador o segmento de la red. Sin embargo. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de “broadcast”. Como consecuencia directa. de forma que el tráfico de las distintas redes dentro del mismo switch no se mezcla entre ellas gracias a los mecanismos de enrutado. Los esquemas VLAN (Virtual LAN o red virtual). en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de “broadcast” Los grupos de trabajo en una red. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de "broadcast".

Además. Para VLANs basadas en puertos. así. el incremento del ancho de banda en dicho grupo de usuarios. Los métodos de Nivel 2 incluyen VLANs basadas en puertos y agrupación de capa MAC. como consecuencia directa. Por ejemplo. unos con FDDI y otros con Ethernet. La separación de las redes en VLAN permite un mejor funcionamiento a nivel administrativo. cuando los sistemas de la VLAN tienen funciones similares. Por ejemplo. el administrador asigna a cada puerto de un switch a una VLAN. a lo largo de países y continentes. Pero aún se puede llegar más lejos. Las VLANs proporcionan segmentación lógica de un switch ya sea en sus distintos ámbitos. Giovana Garrido Página 50 . puertos 6 Prof. dependerá de los proveedores. Todo ello. Por otro lado. por medio de la agrupación realizada de una forma lógica en lugar de física. como se ha mencionado. en función tanto de las instalaciones existentes como del ancho de banda que cada uno precise. Sin embargo. claro esta. manteniendo la seguridad deseada en cada configuración por el administrador de la red: Se puede permitir o no que el tráfico de una VLAN entre y salga desde/hacia otras redes. incluso situándose en diferentes concentradores de la misma. Los usuarios pueden. sin limitación ninguna más que la impuesta por el administrador de dichas redes. los puertos 1 a 5 podrían asignarse a la VLAN 100. logramos. La capa 3 incluye métodos de agrupación y de protocolo de red IP multicast. la creación de diferentes VLAN para voz y datos para simplificar el filtrado. al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos. al poder distribuir a los usuarios en diferentes segmentos de la red. sino a diferentes oficinas intercomunicadas mediante redes WAN o MAN. Hay una variedad de métodos para la aplicación de miembros de una VLAN. por su función específica dentro del grupo. en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de "broadcast". podemos situar puentes y encaminadores entre ellos. es que los usuarios de las redes virtuales pueden ser distribuidos a través de una red LAN. a través de las listas de control de acceso es una buena guía. Los miembros basados en Puerto es el método más común de la definición de VLANs. La principal diferencia con la agrupación física. separando segmentos con diferentes topologías y protocolos. nos proporcionan los medios adecuados para solucionar esta problemática. Las redes virtuales nos permiten que la ubicuidad geográfica no se limite a diferentes concentradores o plantas de un mismo edificio. Así por ejemplo.Capítulo I Seguridad y Defensa de la Red Los esquemas VLAN (Virtual LAN o red virtual). por supuesto. manteniendo su pertenencia al grupo de trabajo lógico. El estado de filtrado. "moverse" a través de la red. es más sencillo de aplicar. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos. podemos mantener diferentes usuarios del mismo grupo.

incluidos los de administración de puertos.Capítulo I Seguridad y Defensa de la Red a 8 a VLAN 200 y los puertos 9 a 12 a VLAN 300. Esto permite que un sistema pueda ser trasladado a otro puerto sin modificar la asignación de VLAN del puerto. Otro elemento importante de implementación de VLAN es el método utilizado para indicar cuando un miembro de paquetes viaja entre los switch. deben ser enviadas en una VLAN en los enlaces trunk. Tampoco el enlace trunking. VLAN y Saltos y Asignación dinámica de VLAN. VLAN1 Vulnerabilidades: Los switchs usan VLAN 1 como la VLAN por defecto para asignar a sus puertos. entonces ese servidor puede ser la fuente de un ataque a Prof. por lo que la VLAN 1 fue seleccionado.1q VLAN trunck. También proporciona un acceso más fácil a los atacantes. Los hosts en una comunicad de PVLANs aisladas solamente estarán con puertos promiscuo. A continuación describiremos las vulnerabilidades y las contramedidas correspondientes para las siguientes áreas: VLAN 1. Crear una interfaz virtual Switch (SVI) de tres capas para que la interfaz VLAN. Esta configuración proporciona grano fino de capa 2 para el control de aislamiento de cada sistema. PVLANs ofrece protección adicional. Las etiquetas de cada paquete indican la pertenencia a la VLAN de conformidad con los estándares. Si un servidor se ve comprometido. El propósito de utilizar PVLANs es proteger los sistemas unos de otros para que compartan un mismo segmento de VLAN para proporcionar separación de capa 2. tales como De-Zona militarizada (DMZ) subred fuera de un firewall o un servidor de acceso del campus fuera de una zona de un switch de alta velocidad. La PVLANs secundaria puede estar aislada de PVLANs o de una comunidad PVLANs. como el CDP y VTP. Además. Por otra parte. Esta configuración se encuentra comúnmente en las configuraciones con múltiples servidores. dedicar una VLAN con puerto físico de switch para el uso administrativo. VTP. La PVLAN primaria define el dominio de broadcast con el cual se asocia a la PVLANs secundaria. las implementaciones de VLAN dinámica asigna específicamente MACs a cada VLAN. private VLAN. para el caso de los hosts en una comunidad de PVLANs se comunican con ellas mismas o con los puertos promiscuos asociados. a. los protocolos de capa 2. Contramedidas: No utilizar la VLAN 1 fuera o dentro de la administración. Se determina la pertenencia a la VLAN de cada paquete señalando el puerto en el que llega. Giovana Garrido Página 51 . Proporcionar redes basados en out-of-band management . ya sea Cisco Inter-Switch Link (ISL) o el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) estándar 802. trunk autonegotiation. y conectar la VLAN al switch dedicado y una ruta de comunicaciones para la administración de los hosts. No permita el acceso a VLAN operativo para la administración del mismo. Private VLAN (PVLAN) Vulnerabilidades: En algunos casos en los que sistemas similares no necesitan interactuar directamente. En algunos casos. VLAN 1 puede abarcar toda la red si no está debidamente ramificado.

En el modo de servidor los administradores pueden crear. Esta situación puede abordarse cuando sea necesario por listas de control de acceso del router. y un switch podrá participar solamente en un dominio de administración VTP. supresión y cambio de nombre de VLAN en una red amplia. el cual actúa el mismo conjunto de usuarios. En las redes de voz pueden estar en el caso de ciertos proxies. Prof. Solamente los servidores que necesiten comunicarse directamente con otros servidores deberán estar en una comunidad PVLAN. Virtual Trunking Protocol (VTP) Vulnerabilidades: VTP es un derecho de propiedad de Cisco del protocolo de mensajería de capa 2 utilizado para distribuir la información de configuración de VLAN sobre trunks. Un switch en modo servidor originado por las configuraciones de VLAN VTP de otros switch a utilizar. PVLANs proveerán un adicional ataque de mitigación. utiliza y transmite paquetes VTP. en la que se abstiene de retransmisión de los paquetes VTP en los puertos seleccionados. pero utilizando diferentes protocolos o servicio de coubicación de CallManagers. Las PVLANs tienen una limitación que debe ser abordado para que dicho sistema sea seguro. que es un sistema de capa 3 y está conectado a un puerto promiscuo. el cual elude la protección PVLAN de Nivel 2. Todos los switch en el mismo dominio de administración compartirá su información de VLAN. la coubicación permite el uso de la misma para el estado del filtro CallManagers.Capítulo I Seguridad y Defensa de la Red otros servidores. Un switch en el modo cliente recibe. y servidores en PVLAN aislada. dos hosts en una PVLAN aislada no va a comunicarse a la capa 2. b. Un switch en cualquier modo pueden participar en VTP reducido. ni utilizan los paquetes que recibe para reconfigurar su base de datos VLAN. no se originan los paquetes VTP. Aplicar VACLs en la PVLAN primaria para filtrar el tráfico originado por y dirigidas al mismo segmento. Contramedidas: Una configuración con múltiples servidores en una única VLAN podrá utilizar PVLANs de capa 2 entre ellos. Un router puede transmitir de nuevo el tráfico en la misma subred en la que se originó. Un router. VTP permite la adición. En algunos casos en los que sistemas similares no necesitan interactuar directamente. Giovana Garrido Página 52 . La PVLAN aisla el tráfico en Capa 2. podría el tráfico de router llegar a todos los puertos de la PVLAN. PVLANs mitigar este riesgo se desestimando la comunicación entre los servidores que no tienen contacto con ningún otro. Los servidores VTP publican sus configuraciones de VLAN a otros switches en el mismo dominio VTP. modificar y suprimir VLAN para todo el dominio de administración VTP. Un switch en modo transparente recibe y envía paquetes VTP. Un switch puede estar en uno de los tres modos VTP: servidor. pero puede tener éxito en el Nivel 3. Los routers deben estar en puertos promiscuos. y sincronizan sus bases de datos. Por ejemplo. mientras que la VLAN privada guarda un CallManager comprometido desde la llegada a los otros directamente a la capa 2. pero no se originan en ellos. el cual permite que los switch tengan una organización coherente de configuración de VLAN dentro de un dominio de administración VTP. cliente y transparente. En este último ejemplo.

Sin embargo. VTP configurado con una contraseña sólo garantiza la autenticidad de mensajes. y si dos switch soportan un protocolo de trunking común. no colocar la línea de interfaces en modo permanente sin negociación. Un ataque de ese tipo no tiene que ser necesariamente malicioso. Un cliente comprueba la contraseña antes de aplicar una configuración de VLAN que recibe a través de VTP. Contramedidas: No utilizar hasta donde sea posible el DTP. entonces la línea se convertirá en un trunk automáticamente. dando a cada switch tengan acceso completo a todas las VLANs en switch vecino. la administración de dominios VTP se establecen un modo de inseguridad sin una contraseña. Sin embargo. Es posible mitigar el peligro de accidentes de sobrescritura con la protección de contraseña. la contraseña en hash con otra información. Por lo tanto. Además. Si un vecino del puerto de modo DTP se convierte en "trunk". Giovana Garrido Página 53 . la contraseña no encriptada o de otro modo. Cisco implementa dos tipos de trunk: IEEE 802. es más difícil determinar la contraseña de otro tráfico de la red. Aún peor. c. el miembro de VLAN del nuevo trunk está disponible en todas las VLAN del switch. Un atacante con un analizador de redes pueden adquirir conocimientos sobre la estructura de la red VLAN. un puerto Ethernet de Cisco con modo por defecto DTP es " dynamic desirable". normalmente agrega paquetes de múltiples VLANs. oculta la información dentro de VTP. y ISL. Por defecto. Un puerto puede utilizar el Dynamic Trunking Protocol (DTP) para negociar automáticamente con la línea que va a utilizar. Es completamente posible que un solo switch. Para agravar este problema. o " "dynamic desirable ". el cual ha sido objeto de un número suficiente de reconfiguraciones VTP. en particular cuando se hace uso de un gran número de VLAN. Asigne interfaz trunk para una VLAN nativa a VLAN1. sobrescriba o elimine completamente todas las tareas de VLAN de una red operativa con sólo conectarlo a la red. switch comparten información de VLAN sin ningún tipo de autenticación. Sin embargo. Prof. sin negociación. simplemente moviendo un switch de lugar a una red operativa podría tener este efecto.1q. Trunk Auto-Negotiation Vulnerabilidades: El trunk es el enlace punto a punto entre dos puertos. y un servidor con una configuración de mayor número de revisión en su base de datos reemplaza un VTP con un menor número.Capítulo I Seguridad y Defensa de la Red Por defecto. Por defecto. la configuración de VLAN inexactas puede propagar a lo largo de un dominio VTP. " dynamic auto ". vienen con switch VTP en modo de servidor por defecto. Un atacante que pueda explotar DTP puede obtener información útil de estas VLANs. Contramedidas: Es evidente que VTP simplifica la administración. VTP es suficientemente peligroso por lo cual se aconseja no utilizarlo. que es un estándar abierto. que es una norma de propiedad de Cisco. permite que el puerto activamente trate de convertir en enlace en un trunk. Colocar la línea de interfaces en modo permanente.

Sin embargo. f. telnet. Contramedidas: Habilitar STP Portfast Bridge Protocol Data Unit (BPDU) Guard para impedir las modificaciones de la topología STP. El bridge ID. Giovana Garrido Página 54 . Una vulnerabilidad asociada con STP. Los Bucles pueden ocurrir cuando las rutas de red redundantes han sido configuradas para garantizar su resistencia. Este proceso puede durar entre 30 y 50 segundos. Access Control Lists Vulnerabilidades: Un switch o sin lista de control de acceso (ACL) o aplicando una ACL permisiva a una interfaz permitiendo un amplio acceso de las conexiones TCP / IP (por ejemplo. bloquear. determina el bridge raíz en una red. todavía STP participa en los cálculos y pasa de un estado bloqueado en el caso de un bucle en la red. Considere también la red de servicios utilizados por Prof. y adelante) antes de que un puerto sea capaz de pasar el tráfico de un usuario. escuchar. d. No hay autenticación que impida de tal acción. Teléfonos IP SIP. En los casos en que un único host está conectado a un puerto. es un protocolo de capa 2 diseñado para evitar bucles en redes conmutadas.323 son un buen ejemplo de ello.1d. es probable que el switch elijará el bridge raíz. ftp.Capítulo I Seguridad y Defensa de la Red Especificar la lista de todas las VLANs que son parte del trunk. PCCC Teléfonos IP. Ambas situaciones resulta en más vías para la obtención de información para sus ataques. una combinación de dos bytes y una prioridad de seis byte de dirección MAC. Un switch con el menor bridge ID puede convertirse en el bridge raíz. DNS. lo que influye en los flujos de tráfico y la reducción de la eficiencia de la red. adjunta la categorización de los sistemas en los switch a los grupos que utilicen los mismos servicios de red. Contramedidas: En la preparación de la implementación de la ACL. se utilizan VLAN separada para CallManagers. Normalmente. aprender. La agrupación de los sistemas de esta manera ayuda a reducir el tamaño y la complejidad de las listas de control de acceso asociadas. En redes de voz. SNMP. Algunos de estos accesos pueden ser permitidos por defecto y puede ser configurado de manera que no sean evidentes para el administrador. Cuanto menor sea el bridge ID. HTTP. la característica STP Portfast puede ser utilizado para una transición inmediata del puerto a un estado de reenvío. Proxies. ICMP) a través de un switch a algún sistema (por ejemplo. gateways MGCP y H. STP pasa por una serie de estados (por ejemplo. un servidor crítico) en la red protegida. y no hay posibilidad de un bucle que se está creando. también conocido como 802. Amplio acceso significa que todos los sistemas o un gran número de sistemas se pueden conectar a través del switch. que es un sistema dentro de la red puede modificar activamente la topología STP. Spanning Tree Protocol Vulnerabilidades: Spanning Tree Protocol(STP). Use solo una VLAN nativa para cada trunk en un switch.

Lista de control de acceso del router (RACL) y Lista de control de acceso VLAN (VACL.323). gateways H. y la asignación de configuración de información (por ejemplo. y terminales virtuales a través de conexiones de red privada. AAAA es generalmente apoyada por un dispositivo de red como un servidor de acceso de red (NAS) o sistema de gestión de abonados (SMS). La ACL puede permitir o denegar cada paquete basado en la primera declaración de control de acceso que coincida con el paquete.. Existen diferentes tipos de listas de control de acceso: Lista de control de acceso de Puerto (PACL). etc. Seguridad para el acceso remoto incluye lo que se conoce comúnmente como AAAA: la autenticación de los usuarios. sesiones punto a punto. Consideraciones a la hora de proporcionar acceso remoto son los siguientes (vea la Figura siguiente):  Método(s) de AAA  Tipos de servidor y ubicación (ejemplo DMZ)  Interacciones con el DNS. pila de direcciones. La seguridad de acceso remoto es común en el proveedor de servicios de redes (véase también el proveedor de servicios de modelo arquitectónico). 1. pero se está convirtiendo en las redes de empresas como las empresas reconocen la necesidad de apoyar un modelo de acceso remoto para su redes. autorización de recursos a los usuarios autenticados. y otros servicios Prof. direcciones o router). como se muestra en la siguiente Figura.Capítulo I Seguridad y Defensa de la Red sistemas similares de diferentes fabricantes (por ejemplo. Giovana Garrido Página 55 . contabilidad de los recursos y la prestación de servicios. tal como la mejora de ACL para que puedan tener sentido en virtud de la política de seguridad de red.6 Seguridad para el acceso remoto Consiste en el acceso remoto por medio ya sea de línea telefónica tradicional.

1 TACACS. La intención de Cisco no es competir con RADIUS o influenciar a sus usuarios a utilizar TACACS+.Capítulo I Seguridad y Defensa de la Red 1. Cisco soporta el protocolo RADIUS desde que sacó la "Cisco IOS(R) Software Release 11. Se debe elegir la solución que mejor satisfaga sus necesidades.6. fue el protocolo utilizado por Cisco en sus NAS. Muchas características fueron introducidas en el protocolo TACACS+ tras conocer las necesidades del incipiente mercado de la seguridad. Este protocolo fue diseñado para ampliarse a medida que crecen las redes. sistema de control de acceso del Controlador de Acceso de Terminales). La arquitectura subyacente del protocolo TACACS+ complementa la arquitectura independiente de autentificar. apoyando a RADIUS como un estándar. y ha estado en el uso por muchos años. TACACS+. Definición Por tanto. hemos incluido estos protocolos muy utilizados en los sistemas de acceso en red. XTACACS. como parte de estos protocolos de autenticación. desde conexiones remotas. Giovana Garrido Página 56 . b. La especificación RADIUS (Remote Authentication Dial-In User Service) está descrita en el RFC-2865. autorizar y contabilizar (AAA). Cisco se ha comprometido a apoyar ambos protocolos con las mejores clases de ofertas. Hay tres versiones del protocolo de autenticación "TACACS" (Terminal Access Controller Access Control System. Introducción Hay dos destacados protocolos de seguridad para el control de acceso a las redes son Cisco TACACS+ y RADIUS. El segundo es una extensión Prof. El primer es TACACS ordinario. Cisco continua mejorando el cliente RADIUS con nuevas características y capacidades. Cisco evaluó concienzudamente a RADIUS como un protocolo de seguridad antes de desarrollar TACACS+. En este documento se comentan las diferencias entre TACACS+ y RADIUS. RADIUS y otros a. para así puedas estar informado antes de tomar una decisión.1" en Febrero de 1996. que sustituye al obsoleto RFC2138. y adaptarse a las nuevas tecnologías en seguridad mientras el mercado evoluciona.

responde al NAS con una respuesta de aceptación de la llamada y.). almacenando sus contraseñas y sus perfiles.Capítulo I Seguridad y Defensa de la Red al primero. donde el NAS (Network Access Server) hace de cliente RADIUS y un host del ISP podría hacer de servidor RADIUS. mientras que los clientes pertenecen al servidor de acceso dial-up y pueden ser distribuidos a través de la red. En ese caso. En caso contrario notifica al NAS que debe rechazar la petición de conexión. RADIUS se comprende tres componentes:  Un protocolo con un formato que utiliza el Protocolo de Datagrama de Usuarios (UDP)/IP. Cisco introdujo el cliente de RADIUS a Cisco IOS Software Release 11. protocolo de conexión. RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. Este es un sistema para distribuir acceso remoto seguro a redes y a servicios de red que no cuentan con autorización de acceso. TACACS+ que. Modelo Cliente/Servidor Una Network Access Server (NAS) opera como un cliente de RADIUS. introducido en 1990..1 y para posteriores plataformas de su software. Es éste el que consulta su base de datos y comprueba si el usuario que ha realizado la llamada es en realidad quien dice ser. El cliente es responsable de pasar información de usuario al equipo designado como servidor Prof. Fue diseñado para autenticar usuarios y utiliza una arquitectura cliente/servidor. RADIUS también puede hacer de servidor para registrar y almacenar todos los logs que acontecen en el NAT o RAS. RADIUS es un servidor de acceso que utiliza el protocolo AAA. comúnmente llamado Extended Tacacs o XTACACS. El servidor contiene información de los usuarios. opcionalmente. y actualmente están fuera de mantenimiento. y el cliente es el encargado de pasar las peticiones de conexión de los usuarios al servidor para que éste las autentique y responda al cliente diciéndole si ese usuario está o no registrado. con datos sobre el perfil del usuario (tipo de servicio.. . Debido a esto TACACS y XTACACS no serán discutidos. qué puede hacer y auditoría respectivamente. a pesar del nombre. Opcionalmente. IP asignada. Un ejemplo de uso de RADIUS se puede dar en un ISP. Este paso está descrito e implementado en los routers de Cisco Systems con la AAA Authentication. El tercero. Ambos se documentan en RFC1492. TACACS y XTACACS carecen de muchas características de TACACS+ y RADIUS. El NAS recibe vía módem una petición de acceso y envía los datos que el usuario ha proporcionado al servidor RADIUS.  Un cliente. quién es. es totalmente un nuevo protocolo y no es compatible con TACACS o XTACACS. Authoring y Accounting. Giovana Garrido Página 57 . el servidor RADIUS guardará logs (informes o históricos del sistema para auditoría) de las conexiones en las que estemos interesados. Además de estos logs. El servidor está corriendo en un computador central situado típicamente en domicilio de cliente.  Un servidor.

autenticar a los usuarios y devolver toda la información de configuración necesaria para ofrecer el servicio al usuario. Protocolo de Autenticación por Desafío (CHAP). El servidor RADIUS es el encargado de recibir las peticiones de conexión de usuarios. Disponibilidad de servidores de código Existe un gran número disponible de servidores de código comerciales y libres. c. y a continuación actuar sobre la respuesta que se devuelve. Además. TPC proporciona una marca inmediata cuando se rompe o no está corriendo la comunicación. Login UNIX. Giovana Garrido Página 58 . Puedes determinar cuando se rompió la comunicación y retorno el servicio si usas conexiones TCP long-lived. mientras que UDP ofrece mejor esfuerzo en la entrega. como el número de intentos en la re-transmisión o el tiempo de espera para compensar la entrega.  Prof. Cuando se establece un nombre de usuario y una contraseña original del mismo. pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP:  TCP proporciona el uso de un identificador para las peticiones que sean recibidas. sufrir lentitud o que no exista servidor. Comparación TACACS+ y RADIUS En estos apartados se comparan varias características de TACACS+ y de RADIUS. Cisco Secure ACS for UNIX y Cisco Access Registrar. TCP ofrece una comunicación orientada a conexión. Eliminándose así la posibilidad de que alguien haga snooping en una red insegura pudiendo determinar alguna contraseña de usuario.Capítulo I Seguridad y Defensa de la Red RADIUS. Mecanismos de autenticación flexibles Los servidores RADIUS soportan una gran variedad de métodos de autentificación de usuarios. soporta PPP. y otros mecanismos de autenticación. dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en la red. las contraseñas de usuario son enviadas cifradas entre el cliente y el servidor RADIUS. Redes seguras Las transacciones entre el cliente y el servidor RADIUS deben ser autenticadas usando una clave compartida (shared secret). Protocolo de Autenticación por Contraseña (PAP). la cual nunca se envía a través de la red. Los servidores Cisco incluyen Cisco Secure ACS for Windows. UDP y TCP RADIUS utiliza UDP mientras TACACS+ utiliza TCP. RADIUS requiere además de variables programables. UDP no puede mostrar las diferencias entre estar caído. TCP ofrece algunas ventajas frente a UDP. independientemente de la carga y del lento mecanismo de autenticación de respaldo (un reconocimiento TCP) podría ser. gracias a un servidor de restablecimiento (RST).

las caídas de servidores pueden ser detectadas outof-band con peticiones reales. si adicionalmente la autorización de control es necesaria. y solamente necesitas enviar mensajes a los que se sabe que tienen que estar arriba y corriendo. Giovana Garrido Página 59 . desde el cliente hasta el servidor. TACACS+ usa la arquitectura AAA. Esto permite separar soluciones de autenticación. Autenticación y autorización RADIUS combina autenticación y autorización. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos. Otra información. Esto proporciona mejor control sobre los comandos que pueden ser ejecutados en un servidor de acceso mientras es separado con mecanismos de autenticación.  Interfaz de Servicios Asíncronos de Novell (NASI)  Conexiónes X.25 con PAD Prof.  Encriptación de paquetes RADIUS encripta solamente la contraseña en el paquete de respuesta al acceso (accessrequest). Sin embargo. que separa AAA. Por ejemplo. contienen información de autorización. los servicios autorizados. TCP es más escalable y adaptable al crecimiento. Soporte multiprotocolo RADIUS no soporta los siguientes protocolos:  Protocolo de Acceso Remoto AppleTalk (ARA)  Protocolo de Control de Tramas NetBIOS. TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. y la contabilidad pueden ser capturadas por un tercero. los accesos al servidor se comprueban con un servidor TACACS+ para determinar si se le conceden permisos para ejecutar un comando en particular. este solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. el cuerpo del mensaje es enteramente cifrado para más seguridad en las comunicaciones. Durante una sesión. permitiendo seguir utilizando TACACS+ para la autorización y la contabilidad. con TACACS+. es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Conexiones a múltiples servidores pueden ser mantenidas simultáneamente. Después un NAS de autenticación sobre el servidor Kerberos. como el nombre de usuario. de las redes. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente. durante el normal funcionamiento. Esto hace difícil desasociar autenticación y autorización. y luego el servidor proporcionará la información de autorización. es más util tener el cuerpo de los paquetes sin encriptar.Capítulo I Seguridad y Defensa de la Red  Usando los TCP Keepalives. Para propósitos de depuración. así como la congestión. Dentro de la cabecera hay un campo donde se indica si el cuerpo está encriptado o no. El resto de paquetes está sin encriptar.

El segundo método es para especificar explícitamente en el servidor TACACS+. El primer método asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está o no autorizado en el nivel de privilegios especificado. realiza el comando y sale del router: Prof. Interoperatibilidad Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs). la cantidad de tráfico generado entre el cliente y el servidor es diferente. exec contabilidad. Por lo tanto. Administración de routers RADIUS no permite al usuario el control de comando que puede ser ejecutados en un router y cuales no. Tráfico Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS. ellos podrán interoperar con varios proveedores siempre y cuando dichos proveedores implementen los mismos atributos. RADIUS no es tan util para la gestión de router o flexible para servicios de terminal. autorización del comando (con RADIUS no se puede hacer). Sin embargo. TACACS+ proporciona dos métodos de control de autorización de los comandos de un router. muchos de los proveedores implementan extensiones de atributos propietarios. por usuario o por grupo. Si el cliente usa solo los atributos de la norma RADIUS en sus servidores. Estos ejemplos ilustran el tráfico entre el cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestión de routers con autenticación. y comandos de contabilidad que pueden ser utilizados por un usuario cuando hace telnet a un router. iniciar-parar exec contabilidad. la interoperatibilidad no está asegurada. comando autorizado. y comandos de contabilidad (con RADIUS no se puede hacer). Giovana Garrido Página 60 . exec autorización.Capítulo I Seguridad y Defensa de la Red TACACS+ ofrece soporte multiprotocolo. el cumplimiento de la RADIUS RFCs no garantiza la interoperatibilidad. los comandos que están permitidos. Ejemplo de tráfico en TACACS+ Este ejemplo asume el login de autenticación. Si un cliente usa uno de esos atributos extendidos específicos del proveedor. uno por usuarios (per-user) o por grupos (per-groups). Cisco implementa la mayoría de los atributos de RADIUS y coherentemente añade más. exec autorización.

realiza un comando y sale del router (la gestión de otros servicios no están disponibles): Prof.Capítulo I Seguridad y Defensa de la Red Ejemplo de tráfico en RADIUS Este ejemplo asume el login de autenticación. e iniciar-para exec contabilidad que pueden ser utilizados con RADIUS cuando un usuario hace telnet a un router. Giovana Garrido Página 61 . exec autenticación.

4.0 -- 3.1.2(4)JA 10.03 TACACS+ accounting 12. o directamente no funcione. haciendo muy difícil correr uno sin el otro.15 -- 5.(8)SA610 5. por ejemplo).0 RADIUS authorization all Accesspoints 11.20 4. Revise las notas de la versión de su producto para obtener más información.56 5.2X12 Resumen:       Mientras que TACACS+ encripta el paquete entero. Esto permite usar otro método de autentificación (Kerberos. si su producto no está en la lista Cisco Device Cisco Aironet1 Cisco IOS Software2 Cisco Cache Engine Cisco Catalyst switches Cisco CSS 11000 Content Services Switch Cisco CSS 11500 Content Services Switch Cisco PIX Firewall Cisco Catalyst 1900/2820 switches Cisco Catalyst 2900XL/3500XL switches Cisco VPN 3000 Concentrator 6 Cisco VPN 5000 Concentrator TACACS+ authentication 12. pero TACACS+ si lo puede hacer Prof.5 -- 4. TACACS+ considera la autentificación.28.4.20 -4.0(5)WC511. el Protocolo de Marcos de NetBIOS.2 5.27 -12.2(4)JA 10. 4 RADIUS accounting all Accesspoints 11. TACACS+ soporta todos los protocolos mencionados.2.2X12 2.14 1.012 5.33 -2.1.(8)SA610 4.03 TACACS+ authorization 12.0 5.0 8.15 -5.14 5.2X12 11.1 5.1 5. o el protocolo del acceso remoto de Appletalk (ARA o ARAP).0 -12.03 RADIUS authentication all Access-points 11.4.012 5.204 5. RADIUS en realidad combina los procesos de autenticación y autorización.2. 5 3. mientras que se usa TACACS+ para autorización y contabilidad.20 5. RADIUS no soporta el protocolo NASI de Novell (Novell Async Services Interface).(8)SA6 10 12.x enterprise9 11.5 5. Giovana Garrido Página 62 .Capítulo I Seguridad y Defensa de la Red Dispositivos soportados En la siguiente tabla se muestra la lista de soporte AAA TACACS+ y RADIUS para los tipos de equipos y la plataforma elegida. autorización.07 -11.333 -5.4.2(4)JA 10. RADIUS encripta en el paquete cliente-servidor inicial solamente la contraseña.1 5.5 -- 5.28. RADIUS no puede controlar el nivel de autorización de los usuarios. Esto influye la versión del software en el que se añadió el soporte. La implementación de RADIUS de diversas compañías puede que de errores.33 -5.0(5)WC5 11.04 5.0(5)WC511 2.1. el ensamblador/desensamblador (PAD) de paquetes X.1 1.2. y contabilidad como procesos separados.0 -- --- 2.20 4.25.

que permiten que un servidor del acceso de red (NAS Network Access Servers o RAS Remote Access Server. PPP sobre Ethernet (PPPoE) y RADIUS en una red de acceso remoto RAS Todos son protocolos e implementaciones de control de acceso por validación y autenticación. que permite gestionar los usuarios y sus Prof.Capítulo I Seguridad y Defensa de la Red Ejemplo que muestra un proceso de sesión PPP. También. por ejemplo un router Cisco 2511 o 5300) obtenga datos de administación del usuario a un servidor central y por tanto se descarge de la tarea administrativa de autenticación y comprobación de dicha información. cabe considerar otro tipo de servidor para autenticación muy extendido en las redes Microsoft llamado Active Directory. Giovana Garrido Página 63 .

fibra. concretamente LDAP. El protocolo punto a punto es el de preferencia para las conexiones WAN conmutadas seriales.. la autenticación y la capa de red. PPP proporciona un método para encapsular datagramas de varios protocolos en un enlace de punto a punto y usa la capa de enlace de datos para probar esta conexión PPP está compuesta de 2 subprotocolos:   Protocolo de control de enlaces : para establecer el enlace de punto a punto LCP Protocolo de control de red : para configurar los distintos protocolos de capa de red ( IPCP . IPXCP . Conozcamos ya algunos protocolos de autenticación. es importante resaltar que Active Directory incluye Kerberos y servidores de directorio como veremos a continuación. simplemente para poder autenticar.. Puede manejar tanto la comunicación síncrona como la asíncrona e incluye detección de errores y procesos de autenticación como CHAP o PAP.2 Autenticación en PPP La autenticación permite saber quién es cada uno y realizar comunicaciones seguras. Interfaz serial de alta velocidad (HSSI) ISDN PPP usa el Protocolo de control de enlace (LCP) para negociar y configurar las opciones de control en el enlace de datos de la WAN. Giovana Garrido Página 64 . Cada etapa se basa en la anterior a fin de establecer la sesión de PPP. Arquitectura PPP en capas PPP usa una arquitectura en capas. Además. PPP usa el componente del Protocolo de Prof.. el usuario puede comenzar a utilizar la red.Capítulo I Seguridad y Defensa de la Red permisos (exportando incluso el escritorio) independientemente de la máquina conectada dentro de un dominio Microsoft. Una vez que el protocolo PPPoE y PPP se han establecido períodos de sesiones. Una sesión de PPP consta de tres fases: establecimiento del enlace.6. Este capítulo es esencialmente importante para el acceso de un cliente a un determinado servicio que necesita autenticación previa. no son considerados sistemas de clave simétrica compartida. 1.) Se puede configurar PPP en los siguientes tipos de interfaces físicas:     Serial asíncrona Serial síncrona. DC). Los dominios Microsoft son gestionados por el Controlador de Dominio (Domain Controller. satélite). Y PPP se puede usar en diversos medios físicos (cable par trenzado. Todos ellos se pueden considerar el soporte a los sistemas de autenticación basado en contraseñas. pero antes una escueta descripción de autenticación. porque en un principio no están pensados para intercambiar claves para cifrar.

configurar y probar las conexiones de enlace de datos PPP usa también LCP para acordar automáticamente opciones de formato de encapsulamiento. Se suministra un servicio de enlace sin conexión similar al del Control de enlace lógico (LLC) tipo 1  Protocolo : 2 bytes que identifican el protocolo encapsulado en el campo de datos de la trama Valor ( Hexadecimal) 8021 8023 8029 802b c021 Prof. Para cada protocolo de capa de red que se utiliza. como:      Autenticación: Las 2 opciones de autenticación son PAP o CHAP Compresión : Stacker y Predictor son 2 protocolos de compresión disponibles en routers Cisco Detección de errores : Calidad y nº mágico ( garantizan un enlace de datos confiable y sin bucles ) Multienlace: IOS 11. Proporciona balanceo de carga en las interfaces del router que usa PPP Devolución de llamadas en PPP: IOS 11. PPP no asigna direcciones de estaciones individuales  Control: 1 byte 00000011.1 y posteriores admiten PPP multienlace .1 . Con esta opción un router Cisco puede actuar como cliente de la devolución de llamada o servidor de la devolución de llamada LCP también hace:     Maneja limites variables del tamaño de paquete Detecta errores comunes de mala configuración Termina el enlace Determina si un enlace funciona o falla PPP permite que varios protocolos de capa de red operen en el mismo enlace de comunicación. Giovana Garrido Nombre del Protocolo IPCP p de control de capa de red OSI p de contro Appletalk p de control Novell IPX p de control de enlace Página 65 . que requiere la tx de datos del usuario en una trama no secuencial.Capítulo I Seguridad y Defensa de la Red control de red (NCP) para encapsular y negociar las opciones para los protocolos de capa de red . Por ejemplo el IP usa el Protocolo de control de IP (IPCP). El LCP se ubica en la parte más alta de la capa física y se usa para establecer . Los NCP incluyen campos funcionales que contienen códigos estandarizados que indican el tipo de protocolo de capa de red que encapsula PPP Los campos de la Trama PPP:  Señalador: Comienzo / fin de trama. 01111110  Dirección: formada por la dirección de broadcast estandar 11111111. se proporciona un protocolo de control de red (NCP) distinto.

Si LCP cierra el enlace . Giovana Garrido . La longitud máxima por defecto del campo de datos es de 1500 bytes FCS : 16 bits o 2 bytes que se refieren a los caracteres adicionales que se agregan a la trama con el fin de controlar los errores Como establecer una sesión PPP El establecimiento de una sesión : 3 fases : 1 Establecimiento del enlace 2 autenticación (optativa) 3 fase del protocolo de la capa de red Las siguientes tramas las usa LCP:    Tramas de establecimiento de enlace. El comando show interfaces muestra los estados de LCP y NCP bajo la config PPP El enlace PPP queda configurado para las comunicaciones hasta que se presenta una de las siguientes situaciones: o o Las tramas LCP o NCP cierran el enlace Se vence el tiempo de inactividad Página 66 Prof. Después de configurar cada uno de los ps de la capa de red elegidos. Para administrar y depurar un enlace Las 3 fases del establecimiento de una sesión PPP:     Fase de establecimiento del enlace : cada dispositivo ppp . Como parte de esta fase LCP permite efectuar una prueba opcional de determinación de la calidad de enlace Fase de protocolo de capa de red: los dispositivos ppp envían paquetes NCP para seleccionar y configurar uno o varios protocolos de capa de red (como ip). LCP primero debe abrir la conexión y negociar los parámetros. Se puede autenticar el dispositivo par. se pueden enviar paquetes de cada uno de los ps de capa de red.Capítulo I Seguridad y Defensa de la Red c023 c223  p de autenticación de contraseña p de autenticación de intercambio de señales  Datos: 0 o más bytes que contienen el datagrama para el protocolo especificado en el campo de protocolo. informa a los ps de capa de red . envía tramas LCP para configurar y probar el enlace de datos. si se produce se da antes de la fase de protocolo de capa de red. Los paquetes LCP contienen un campo de opción de configuración que permite que los dispositivos negocien: MTU ( ud máxima de tx) . El fin del campo de datos se detecta al encontrar la secuencia de señalador de cierre y dejando 2 bytes para el campo de la secuencia de verificación de trama (FCS). Antes de intercambiar cualquier datagrama de capa de red. Para terminar un enlace Tramas de mantenimiento de enlace. se toma el valor por defecto. protocolo de autenticación. Si no se incluye ninguna opción de configuración en un paquete LCP . la fase quedará completa al recibir y enviar una trama de acuse de recibo de configuración Fase de autenticación (optativa): Una vez establecido el enlace y seleccionado el protocolo de autenticación. compresión . Para establecer y configurar un enlace Tramas de terminación de enlace.

el par envía Aceptar/Rechazar Por lo general el protocolo usado es CHAP. se le envía usuario pass . PAP . por medio de intercambio de señales de 3 vías . Se envía usuario pass (la contraseña se envía en texto sin cifrar) el par envía Aceptar/Rechazar CHAP . el router local o un servidor de terceros tiene el control de la frecuencia y la temporización de las comprobaciones. se envía un un mensaje de comprobación al nodo remoto. El router local verifica la respuesta contra su propio cálculo del valor hash esperado . si no se termina la conexión de inmediato CHAP brinda protección contra los intentos de fuerza bruta. a través del uso de un valor de comprobación variable que es exclusivo e impredecible. El nodo remoto tiene control de la frecuencia y la temporización de los intentos de conexión. Una vez establecido el enlace y seleccionado el protocolo de autenticación se puede autenticar el dispositivo par . el nodo remoto envía el conjunto de usuario / contraseña por el enlace repetidas veces hasta que se acusa recibo de la autenticación o el enlace se termina ( el dispositivo par controla los intentos ) PAP no es un p de autenticación sólido. Las contraseñas se envían en texto sin cifrar y no hay protección contra fuerza bruta ( ensayo / error ). el valor hash resultante será único y aleatorio. Si los valores concuerdan.Capítulo I Seguridad y Defensa de la Red o Interviene el usuario Protocolos de autenticación PPP La fase de autenticación de una sesión ppp es opcional. el Desafío. Protocolo de autenticación de contraseña (PAP) PAP: intercambio de señales de 2 vías. Ejemplo: Prof. Protocolo de autenticación de intercambio de señales (CHAP) CHAP se realiza al iniciar el enlace y verifica de forma periódica la identidad del nodo remoto . El par envía el desafío. y si se efectúa será antes de la fase de config del protocolo de la capa de red Las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca la información de autenticación. Como la comprobación es única y aleatoria. El nodo remoto responde con un valor calculado mediante la función hash de una vía ( en general es MD5 o Message Digest 5 ). Tras completar el establecimiento del enlace PPP.protocolo de autenticación de contraseña: saludo de 2 vías. Tras establecerse el enlace ppp . Giovana Garrido Página 67 . Esto ayuda a garantizar que el usuario tenga permisos.protocolo de autenticación de intercambio de señales: saludo de tres vías. se acusa recibo de autenticación . esta respuesta se basa en la contraseña y el mensaje de comprobación.

admisión de multienlace Opciones de configuración de LCP de routers Cisco que usen encapsulamiento PPP Opciones Función Autenticación Compresión Prof. si es positiva se inicia sesión ppp . Giovana Garrido Protocolo PAP. se usa para encontrar la contraseña en la bbdd local del router remoto . Si se requiere autenticación se dan los siguientes pasos :    Se determina el método de autenticación Se revisa la bbdd local o el servidor de seguridad con una bbdd de usuarios:contraseñas Se verifica la respuesta de autenticación . Se comparan valores F: Si falla la autenticación se construye un paquete de falla CHAP a partir de los siguientes componentes 04=tipo de mensaje de falla CHAP . CHAP Stacker . Router local desafía al remoto B: El paquete de desafío CHAP se envía a router remoto. . se acuerda autenticación CHAP durante negociación PPP LCP. el nombre del router remoto y el ID de desafío se usan para generar el paquete de respuesta E: El desafiador pasa los mismos valores de desafío al generador de hash que el router remoto. El valor de hash se usa para responder al desafío D: El valor del paquete de desafío de hash .detección de errores .métodos de autenticación..compresión. "Falla de autenticación" o mensaje de texto parecido Configuración PPP Los aspectos configurables de ppp: . si no se termina Proceso de autenticación CHAP. o o o o o o A: el router remoto establece enlace. la sesión PPP comienza de inmediato. Incluyen el ID . El nombre del router local se usa para autenticar el router local al router remoto C: El nombre del desafiante que es el router local.El generador hash (MD5) produce un valor a partir de la información recibida en el paquete de desafío y la contraseña asociada con el nombre del router local.Capítulo I Seguridad y Defensa de la Red !!!crear un conjunto de routers de conexión telefónica que aparecen como el mismo host al realizar la autenticación router(config-if)# ppp chap hostname Lab_C !!! configuramos la contraseña class router(config-if)# ppp chap password class Proceso de encapsulamiento y autenticación PPP Cuando se utiliza encapsulation ppp la autenticación CHAP o PAP se puede agregar de forma optativa. Si no se especifica ninguna clase de autenticación. Comando ppp authentication {pap|chap} ppp compress Página 68 . el nº aleatorio de desafío original y la contraseña asociada con el nombre del router remoto. id=copiado del paquete de respuesta .

por medio de intercambio de señales de 3 vías. se solicita el primer método especificado durante la negociación del enlace. Giovana Garrido Página 69 . ya que está deshabilitada por defecto router(config-if)# ppp pap sent-username name password pass PAP ofrece un método sencillo para autenticarse por medio del intercambio de señales de 2 vías CHAP se usa para verificar periódicamente la identidad del nodo remoto. Verificación de la configuración de encapsulamiento serial PPP show interfaces serial x : para verificar el encapsulamiento HLDC o PPP show interfaces : Estadísticas de todas las interfaces configuradas en el router o servidor de acceso Prof.1 Predictor Número mágico .Capítulo I Seguridad y Defensa de la Red Detección de errores Multienlace >= Cisco IOS Release 11.1 o posterior. secret = contraseña .idéntica para ambos routers Paso 2: Entrar al modo de config de la interfaz router(config)# interface serial 0 Paso 3: Configurar la interfaz para encapsulamiento PPP router(config-if)# encapsulation ppp Paso 4: Configurar la autenticación ppp router(config-if)# ppp authentication { chap | chap pap | pap chap | pap } Paso 5: Si chap o pap están habilitados. especifica el umbral de calidad del enlace !!!para ejecutar el equilibrio de cargas en múltiples enlaces router(config-if)# ppp multilink Configuración de la autentificación PPP Paso 1: Definir en cada router user:pass router(config)# username name password secret name = nombre del router remoto . se intenta el segundo método Paso 6: En Cisco IOS 11. ( No se recomienda si la mayoria del tráfico son archivos comprimidos ) router(config-if)# compress [ predictor | stac ] !!! Para monitorear los datos que se pasan al enlace y evitar la formación de bucles en las tramas router(config-if)# ppp quality percentage !!! de 1 a 100 . Si el vecino sugiere el uso de un segundo método o rechaza el primero. es necesario habilitar PAP en la interfaz. Calidad MP {stacker|predictor} ppp quality <number 1-100> ppp multilink Ejemplo de configuración: !!!Activar encapsulamiento ppp en una interfaz serial 0/0 router(config-if)# encapsulation ppp !!! Configurar la compresión.

Dr. IEEE 802.drizzle. Manual de Seguridad en Internet.ie. y la computadora portátil. Fundación una Galicia Moderna. http://www. Por último.es/guiateoria/gt_m001a. Otros mecanismos de autenticación de acceso remoto en la red incluyen tokens. como la movilidad.ppt 2.11 y Redes Homephoneline Alliance (homePNA). CHAP.htm Referencia Bibliográfica: 1. Para prácticar Pequeño juego de seguridad informática.htm 3. portabilidad. Prof. y callback.criptored. protocolos y RADIUS. Recuperado el 12 de Octubre de 2006. tarjetas inteligentes (smart card) certificado digitales. Versión 4.com/%7Eaboba/IEEE/11-01-TBD-I-RADIUS-Security. Bernard – Palekar. Ashwin. Libro Electrónico de Seguridad Informática y Criptografìa. Los Inalámbricos pueden orientar una serie de entornos. Avila y Francisco de Quinto.Capítulo I Seguridad y Defensa de la Red debug ppp authentication : depura el proceso de autenticación PAP o CHAP debug ppp negotiation undebug all : para desactivar toda depuración Diagnóstico de fallas de la configuración de encapsulamiento serial router# debug ppp { authentication | packet | negotiation | error | chap} router# no debug ppp { authentication | packet | negotiation | error | chap} router# show cdp neighbors !!! para mostrar los dispositivos directamente conectados mediante CDP Autenticación en una red de acceso remoto se realiza generalmente a través de un combinación de PPP. http://openmultimedia. Giovana Garrido Página 70 . Jorque Ramió Arguirre.0. VPN y los túneles también puede considerarse como parte de la red de acceso remoto. dispositivos de computación portátil que utilizan las normas como 802. PPPoE. http://www.1X and RADIUS Security. Antonio M.upm. la seguridad de acceso remoto también debe considerar las comunicaciones inalámbricas. Aboba.edu/OpenProducts/securityxperts/securityxperts/SecurityXpert s. PAP.