Está en la página 1de 70

Capítulo I Seguridad y Defensa de la Red

Curso: Seguridad y Privacidad en Redes II Prof. Giovana Garrido

Departamento de Arquitectura y Redes de Computadoras Facultad de Ingeniería de Sistemas Computacionales Universidad Tecnológica de Panamá

Objetivos: 1. Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplos de vulnerabilidades en sus protocolos básicos. 2. Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IP para conseguir sus objetivos. 3. Aprender como funcionan las técnicas de sniffing en redes TCP/IP para comprender el peligro que comportan en la seguridad de una red local. 4. Estudiar con mas detalle algunos ataques concretos contra redes TCP/IP, como pueden ser los ataques de denegación de servicio y las deficiencias de programación. 5. Describir los elementos necesarios para un esquema de seguridad en red y la forma de implementarlo. 6. Describir los niveles de seguridad. 7. Aplicar la seguridad en red a través de la creación de perímetros. 8. Estudiar y aplicar la seguridad en equipos de comunicación de datos. 9. Describir la seguridad para el acceso remoto.

1.1 Introducción
“Es imposible que un hacker pueda romper el sistema de una computadora, es algo improbable”. Al principio de su existencia, las redes de computadoras fueron usadas generalmente para el envío de correo electrónico y para compartir recursos, generalmente impresoras, en empresas de mediano/gran tamaño. En estas condiciones la seguridad carecía

Capítulo I Seguridad y Defensa de la Red

prácticamente de importancia y no fue objeto de atención. Sin embargo, en la actualidad millones de ciudadanos usan redes para transacciones bancarias, compras, etc., la seguridad aparece como un problema potencial de grandes proporciones. Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:     El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas. El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.

Aunque muchos de estos problemas tratan de resolverse en capas de la red que se encuentran por debajo de la capa de aplicación, por ejemplo en la capa de red pueden instalarse muros de seguridad para mantener adentro (o afuera) los paquetes, en la capa de transporte pueden cifrarse conexiones enteras terminal a terminal, ninguna de ellas resuelve completamente los problemas de seguridad antes enumerados. La resolución de estos problemas de seguridad se realiza como una parte previa o de apoyo de la capa de aplicación. A continuación se expondrán distintos trabajos que tratan de resolver cada uno de los cuatro problemas de seguridad planteados con anterioridad, esto es, el secreto, la validación de identificación, el no repudio y el control de integridad. La Red esta basada en amenazas, en mentiras que se pueden esperar en la vuelta de cada esquina, y sobre todo, en esta era de la información. Las redes inalámbricas se están convirtiendo en un punto delicado para muchas empresas y organizaciones que todavía no se entiende cómo asegurar sus infraestructuras. Redes se encuentran bajo asedio de muchos tipos diferentes de la amenaza, incluido el basado en Internet los piratas informáticos, gusanos, phreaks teléfono, y asaltos a conexión inalámbrica. En este capítulo estaremos abordando un espacio único a la seguridad de la red en una evaluación estructurada y lógica. Antes de comenzar este capítulo, pasemos a realizar una serie de definiciones: 1. La Organización Internacional de Estándares (ISO), como parte de su norma 7498 en la que se establece el modelo de referencia para la interconexión de sistemas abiertos, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene. Para ello, se han desarrollado protocolos y mecanismos adecuados, para preservar la seguridad.
Prof. Giovana Garrido Página 2

Capítulo I Seguridad y Defensa de la Red

2. El criptoanálisis, es la ciencia que se encarga de descifrar los mensajes (los intrusos utilizan estas técnicas), mientras que la criptografía busca métodos más seguros de cifrado, y se puede clasificar en:  Criptografía clásica: cifrados rudimentarios basados en sustitución y trasposición  Criptografía moderna: cifrados basados en algoritmos parametrizados en base a claves 3. “seguridad de una red” implica la seguridad de cada uno de las computadoras de la red 4. “hacker”: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador 5. “cracker”: no es un programado y utiliza sus ataques para sacar beneficio económico 6. “Amenaza o ataque”: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso), que a su vez, estas amenazas se pueden realizar por:  Compromiso: la entidad atacante obtiene el control de algún elemento interno de la red, por ejemplo utilizando cuentas con contraseña trivial o errores del sistema  Modificación: la entidad atacante modifica el contenido de algún mensaje o texto  Suplantación: la entidad atacante se hace pasar por otra persona  Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto  Denegación de servicio: la entidad atacante impide que un elemento cumpla su función También es importante resaltar, que los temas que vinculan a seguridad son a veces difíciles y están íntimamente relacionados con temas legales, los cuales no estaremos viendo en este curso. Muestra de ello, es que en muchos gobiernos el uso de información cifrada está prohibido. Los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente. Por ejemplo en Francia y EEUU no están permitidas transacciones cifradas, que el gobierno no sea capaz de descifrar, pues pueden utilizarse para comercio de armas, delincuencia. La seguridad es un concepto relativo, pues los mecanismos que minimizan la vulnerabilidad de un bien o recurso en un determinado caso, pueden ser insuficientes en otro caso. Esta suficiencia o insuficiencia vendrá determinada por la importancia de los bienes y recursos que posea, de forma que un computador que solo contenga contabilidad doméstica puede considerarse seguro sin la presencia de ningún mecanismo, mientras que un computador que contenga la contabilidad de una empresa debe poseer mecanismos para asegurar la imposibilidad de manipulación de la misma. Las amenazas a la seguridad pueden clasificarse, atendiendo a la intencionalidad de las mismas en accidentales o intencionadas. Las amenazas accidentales son las que se producen sin necesidad de un intento premeditado, como por ejemplo una avería en el sistema. Las amenazas intencionadas pueden variar desde el examen casual de la

Prof. Giovana Garrido

Página 3

etc.1 Las Redes internas La seguridad de redes. El empleo de un cortafuego presenta enormes ventajas sobre los enfoques de seguridad en redes tradicionales (que requieren la seguridad individual de cada host conectado. Se obliga a que todo el tráfico entre la red que se pretende proteger y las redes externas pase por un mismo punto. así como guías que señalan los pasos a seguir para explotar dichas debilidades. atacar una red conectada a Internet que no haya sido protegida de un modo "especial" (es tan frecuente como erróneo creer que una filosofía de seguridad tradicional. 1. Las amenazas pasivas son las que no conllevan ninguna modificación en la información que posee el sistema y por tanto no se modifica ni su operación ni su estado. Incluso existen servidores de ftp anónimo con todo tipo de herramientas orientadas a tomar el control de cualquier máquina Todas las líneas actuales de investigación en seguridad de redes comparten una idea: la concentración de la seguridad en un punto. empieza como no. reúne una cantidad de recursos Prof. y por tanto sólo pueden justificarse en entornos con un reducido número de máquinas). es suficiente para protegerse en Internet). listas de debilidades tanto de protocolos como de sistemas operativos. Aunque obviamente las amenazas activas son mucho más perjudiciales que las pasivas. Este punto se conoce con el nombre de cortafuego. Una red interna como suma de terminales. nuevas redes susceptibles de ser atacadas. Y no debe extrañarnos.Capítulo I Seguridad y Defensa de la Red información de un computador hasta ataques sofisticados utilizando conocimientos especiales sobre el sistema. sin mucho esfuerzo. permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por el cortafuego. las amenazas a la seguridad se clasifican en pasivas y activas.1. Lo cierto es que tal y como están las cosas. por las redes internas. y mucho más aún si se utilizan sistemas operativos antiguos que no. por una parte. estas deben ser tenidas en cuenta pues en muchos casos pueden convertirse en activas con la intervención de un agente distinto. La seguridad adquiere cada vez más importancia a medida que la red informática se encuentra presente en más aspectos de la economía mundial. Giovana Garrido Página 4 . En la red es posible encontrar. la seguridad es un tema que debe inquietar a cualquier organización que hoy día decida conectar su red a otras sobre Internet. y físicamente puede ser desde un simple host hasta un complejo conjunto de redes separadas por routers. Obviamente.han sido actualizados ni debidamente "parcheados". según el Computer Emergency Response Team Coordination Center (CERT-CC). nuevos atacantes en potencia. basada en contraseñas y protección de ficheros. si tenemos en cuenta el vertiginoso crecimiento de Internet en los últimos años. que implica. la transacción de información confidencial a través de la misma. aspectos como el comercio electrónico. y por otros. es relativamente fácil si se sabe cómo. Basta echar un vistazo a las estadísticas para tomar conciencia del riesgo que se corre: el número de incidentes contra sistemas conectados casi se duplica cada año. Las amenazas activas suponen una alteración del sistema y un cambio en su estado de operación. Si en lugar de atender a la intencionalidad atendemos al daño ocasionado. servidores de datos y aplicaciones.

) que necesitan de una arquitectura segura y de una política de seguridad a cumplir por cada uno de los recursos de la misma. consultar. Windows). Mac. sino muchas de las veces por fallos de seguridad o puertas abiertas que se ejecutan “sin quererlo”.2 Las.Capítulo I Seguridad y Defensa de la Red (hardware. La seguridad interna empieza por la autenticación de los usuarios en un servidor central. para poner de manifiesto la obligada seguridad cuando nuestra red está conectada al exterior: Prof. las bases de datos corporativas y debe aplicar en los usuarios. punto a punto. las aplicaciones cliente/servidor instaladas en los terminales (ERP/CRM/Intranet. o que. pero adelantamos en este punto algunos ejemplos. software. 1. datos. evitando de esta manera los primeros problemas de seguridad derivados de acciones desde aplicaciones no deseadas por la administración de la red. Muchas organizaciones optan en la seguridad de su red interna.). los diferentes permisos para poder instalar. Linux. Giovana Garrido Página 5 . La seguridad interna de la red de una organización. Una seguridad que bien debemos aplicar máquina por máquina. resultando mucho más fácil. aplicaciones y bases de datos). Sus herramientas son fácil de encontrar (Internet es su mejor biblioteca). según las características de la información y los recursos a acceder por los usuarios de la red. no siempre debidos a intrusiones maléficas de empleados. entonces la seguridad es mucho más importante. etc. aplicaciones. personas. por no dar permisos de instalación de aplicaciones en sus terminales de empleados. de sobrado conocimiento de la plataforma (sistema operativo. debemos aplicar al conjunto de la organización. etc. etc). la manera de realizar sus fechorías. El responsable de seguridad (normalmente el administrador de red) de una organización conoce de sobras su entorno (o debería conocerlo). RAS. etc. datos. sus mecanismos fáciles de realizar y por ello la red interna puede ser blanco fácil para los ataques. eliminar carpetas. Para identificar los usuarios normalmente los sistemas operativos incorporan la suficiente tecnología para ello y habría que disponer de sistemas más fuertes. y regida sobre una política de seguridad que implique a todos los recursos del sistema. Redes externas Cuando hablamos de aplicaciones en la red interna que permiten la conexión hacia fuera (Internet.  Ataques aleatorios: Un hacker desconocido que ha descubierto un dominio y una IP y curiosea puertos para ver hasta dónde puede llegar. Un tema importante y básico es la autenticación de los usuarios en la red. el sistema operativo de los terminales y servidores. Estudiamos con más detalles en el Capítulo de hackers.1. Es sabido que los primeros problemas de seguridad ocurren en la misma organización interna. debe ser administrada por profesionales en la materia. las unidades de red compartidas por los usuarios. ya que entran más peligros: “los de fuera”. Los peligros pueden venir de:  Ataques dedicados: Un intruso que nos elige y que intenta colarse en nuestra red. La plataforma de red (Uníx.

1. B2B.  Seguridad en la conexión a Internet: Servidores DMZ. o cómo podemos conocerlo más común como teletrabajo. la agencia empezó a investigar en la interconexión de distintas redes. se creó la denominada red ARPANET. Prof. Giovana Garrido Página 6 .Capítulo I Seguridad y Defensa de la Red  Un gateway de correo electrónico permite a los empleados conectarse con los clientes de la empresa y enviarse documentación. etc. Mas adelante. pero este servidor de correo. asociado al dominio de la empresa. a mediados de los 70. aplicaciones web/ftp/email seguras. permitirá a los clientes de nuestra empresa conectarse directamente con nosotros (extranet/servicios B2C.2 Seguridad en protocolos TCP/IP Durante la década de los 60. certificados digitales o tarjetas hardware. debemos tener en cuenta los siguientes puntos:  Seguridad en la arquitectura de las comunicaciones: Soluciones firewall. dentro del marco de la guerra fría. servidor de comunicaciones con separación de la red interna.  Acceso a aplicaciones seguras: La tendencia empresarial es que la organización ofrezca mecanismos para que los empleados y colaboradores puedan acceder de forma remota y segura a través de internet a las aplicaciones internas. Para desarrollar nuestra red externa teniendo en cuenta los peligros que significa abrir la red a Internet y para mantenerla segura.). Servicios de seguridad del operador de telecomunicaciones. de carácter experimental y altamente tolerable a fallos. etc.  Autenticación remota: Mediante usuario y contraseña. conexión de routers. la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financió equipos de investigación en distintas universidades con el objetivo de desarrollar una red de computadores con una administración totalmente distribuida. puede ser la puerta de entrada de intrusos. etc. Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes. Algunos de estos temas fueron tratados en detalle en curso anterior.  Un servidor web y FTP. podría detectar los puntos vulnerables de estos servicios. y en 1974 estableció las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en día como redes TCP/IP. pero también puede ser una puerta muy fácil de entrar por un intruso que en pocos minutos. englobado en el entorno denominado business to business (B2B). ofreciendo por ejemplo un servicio de Call Center a través del email.

si es posible. la mayoría de las cuales se hacen públicas por organismos internacionales. tratando de documentar. Giovana Garrido Página 7 .Capítulo I Seguridad y Defensa de la Red En cada una de las capas encontramos protocolos distintos. la forma de solucionar y contrarrestar los problemas. A continuación presentamos algunas de las vulnerabilidades más comunes de las distintas capas que veremos con más detalle a lo largo de este módulo: Prof. en cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas. La situación relativa de cada protocolo en las diferentes capas se muestra en la siguiente figura: Como ya se ha adelantado. Cada día se descubren nuevas deficiencias.

por ejemplo. De ahí que no los trataremos en este curso. Esta capa presenta problemas de control de acceso y de confidencialidad. La capa de transporte transmite información TCP o UDP sobre datagramas IP. Las vulnerabilidades de la capa de red están Ataques físicos estrechamente ligadas al medio sobre el que se realiza la conexión. dando una respuesta a otro mensaje antes de que lo haga el suplantado. La suplantación de un mensaje se puede realizar. Giovana Garrido Página 8 . interceptación intrusiva de las comunicaciones (pinchar la línea). 2. como la predicción de números de secuencia TCP. la autenticación de los paquetes se realiza a nivel de maquina (por dirección IP) y no a nivel de usuario. la modificación de datos. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas. En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesión TCP). la suplantación de mensajes. En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Si esto es posible. Vulnerabilidades de la capa internet. 3. si un usuario hostil puede observar los intercambios de información utilizados durante el inicio de la sesión y es capaz de interceptar con éxito una conexión en marcha con todos los parámetros de autenticación configurados adecuadamente. etc. los retrasos de mensajes y la denegación de mensajes. Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. Algunos de los ataques mas conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte. escuchas no intrusivas en medios de transmisión sin cables. Se incluyen como ataques contra esta capa las técnicas de sniffing. Para conseguir su objetivo. ya que generalmente requieren un acceso físico a los equipos que se quieren atacar. Así. etc. Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticación de los equipos involucrados en una sesión. Ataque físico: Este tipo de ataques pueden llegar a ser muy difíciles de realizar. En esta capa. Por otro lado. Una de las vulnerabilidades mas graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas. Prof. con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. el receptor no detectara la suplantación. existe una serie de ataques que aprovechan ciertas deficiencias en su diseño. de integridad y de confidencialidad.Capítulo I Seguridad y Defensa de la Red 1. el envenenamiento de tablas cache. este tipo de ataques suele utilizar otras técnicas. Si un sistema suministra una dirección de máquina errónea. Vulnerabilidades de la capa de red. En esta capa podamos encontrar problemas de autenticación. Vulnerabilidades de la capa de transporte. el receptor será incapaz de detectar el cambio. los paquetes se pueden manipular si se modifican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. podrá secuestrar la sesión.

Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. Algunos ejemplos de deficiencias de seguridad a este nivel podrían ser los siguientes:  Servicio de nombres de dominio. entonces.  Hypertext Transfer Protocol. por ejemplo. presenta las mismas deficiencias de seguridad que veríamos anteriormente con el protocolo Telnet. sin limitar una de las funcionalidades más interesantes del servicio. Normalmente. El protocolo HTTP es el responsable del servicio World Wide Web. éste responde con la dirección IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la dirección IP solicitada. al enviar el identificador de usuario y la contraseña en claro por una red potencialmente hostil. un atacante puede modificar la información que suministra ésta base de datos o acceder a información sensible almacenada en la base de datos por error. Aparte de pensar en mecanismos de protección de información para solucionar el problema. la lista de los sistemas que tiene la organización). Vulnerabilidades de la capa de aplicación. Giovana Garrido Página 9 . el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing. la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. pudiendo obtener información relativa a la topología de la red de una organización concreta (por ejemplo. Aun así. Un servidor DNS debe entregar la dirección IP correcta pero. además.  Telnet.  File Transfer Protocol. pide la dirección IP de un nombre de dominio y envía un paquete UDP a un servidor DNS. Si este código que se ejecuta presenta deficiencias de Prof. SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticación fuerte). Así. Como en el resto de niveles. Así pues. La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). En el fondo. FTP permite la conexión anónima a una zona restringida en la cual sólo se permite la descarga de archivos.Capítulo I Seguridad y Defensa de la Red 4. al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección**. Al igual que Telnet. FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos). Actualmente existen otros protocolos a nivel de aplicación (como. se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor. el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña. Por lo tanto. cuando un sistema solicita conexión a un servicio. Normalmente. el hecho de cifrar el identificador del usuario y la contraseña no impide que un atacante que las conozca acceda al servicio. un servidor de DNS es una base de datos accesible desde internet. que se transmiten en claro por la red. también puede entregar un nombre de dominio dado una dirección IP u otro tipo de información. Debido al gran número de protocolos definidos en esta capa. la cantidad de deficiencias presentes también será superior al resto de capas. De este modo.

necesitamos medios para protegernos contra ellos. logs de acceso. Elementos de seguridad Una vez conocidos los peligros a los que nos enfrentamos. Algunas de las técnicas de protección mayormente utilizadas se observan a continuación: administración de control de acceso. escáner de vulnerabilidad. control de tráfico. 1. A continuación se incluye una descripción de las soluciones en cada unos de los anillos de protección:  Perímetro y Transporte de Datos: permiten proteger las zonas de acceso al exterior de la red interna de la organización e igualmente los puntos de interconexión interna. diseño multisegmento. dominios seguros.  Protección Local y Monitoreo: Partiendo del principio que la seguridad de los sistemas será tan robusta como el componente más vulnerable. deben implantarse esquemas administrativos y de gestión de la seguridad. refuerzo de la Seguridad en las estaciones de trabajo. Giovana Garrido Página 10 .  Infraestructura Crítica: Una vez protegido el perímetro. firewall. A continuación veremos que el filtro de paquetes y los servidores proxy nos permiten esto. limitaremos el número de ataques posibles. limitando el tráfico entre nuestra red y las externas.3 Elementos de un esquema de seguridad en Red Los elementos están organizados en tres grupos. filtro de contenido. autorización y control de acceso. además del uso de algunas tecnologías. Para ello no podemos fiarnos Prof. o al menos que esté justificado. switch. monitoreo. los componentes adicionales que permiten acceder a la información de los procesos de la organización. software anti espia. en estos casos la garantía de operación vendrá dada por las soluciones técnicas que se muestran a continuación: identificación (tokens. si decidimos permitir que se pueda acceder a nuestras máquinas desde el exterior. cámara de video. Para ello. herramientas forenses. deben ser igualmente protegidos. los cuales se revisarán en detalle en el capítulo 3 de esta Guía. desactivación de Puertos Físicos no utilizados en Switch o Hub y monitoreo de activación. antivirus. herramientas de auditoria o assessment. la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro. planes de contingencia. integridad de la red. así como los equipos de uso cotidiano por los usuarios.Capítulo I Seguridad y Defensa de la Red programación. Proxy. protocolo gíreles. smart card). correspondientes a los anillos de protección requeridos. Además. DMZ. norma de cableado. administración basada en roles. a aquel que se considere seguro. Kerberos). se debe cuidar y garantizar la perfecta operación de los componentes y sistemas que soportan los procesos críticos de la organización. En principio. certificados electrónicos. QoS. intentando así reducir las posibles violaciones a la seguridad. parches. IPS/IDS. habremos de asegurarnos de que los intentos de conexión provienen de quienes dicen provenir. auditoria. LDAP. TCP/IP. los cuales a su vez establecen los niveles de prioridad de protección más comúnmente utilizados para la implantación de la Arquitectura. criptografía. Tales como: acceso remoto. autenticación (biometría.

no requiere conocimientos ni cooperación por su parte. Sin embargo. Los contraseñas tradicionales son demasiado débiles para usarlos sobre una red. Veremos a continuación métodos de autenticación que nos solucionan este problema. los elementos utilizados por dichos métodos son: Criptografía: mediante el uso de la criptografía se intenta proteger la información a base de codificarla de una forma desconocida a los elementos que no forman parte de la comunicación: algoritmos de clave privada o simétricos (DES. la información que se suele examinar es: la dirección IP origen. duras de testear. si creemos que nuestra red puede ser objeto de un ataque hijacking. es decir. y por tanto se usan técnicas de criptografía. SSH (Secure Shell) 2. UDP o ICMP). contando con un Centro de Distribución de Claves (KDC) para la distribución y verificación de las mismas. se puede tener en cuenta la interfaz de red por la que llega el paquete. Básicamente. Servidores proxy o pasarelas: son aplicaciones que nos permiten redirigir el tráfico del nivel de aplicación a través de un cortafuego en el acceso a una red (ejemplo con Socks. El método de autenticación por dirección IP del host (o bien su nombre DNS) es susceptible de ser atacado mediante spoofing con relativa facilidad. dentro de un sistema centralizado. la firma digital para protegerlos contra la falsificación. RC4 y Skipjack). necesitamos alguna técnica para impedirlos. Además de la información contenida en el paquete. permite al router bloquear o permitir la conexión a esos servicios simplemente especificando el número de puerto apropiado en el conjunto de reglas especificado para el filtro de paquetes. Por último. Distinguimos dos tipos de autenticación: la de un usuario a una máquina durante la secuencia de login inicial. El filtro de paquetes es transparente a los usuarios. Seguridad perimetral: cortafuegos. En este Prof. permitiendo al receptor probar la fuente y la integridad de los mismos. y por tanto no son sensibles al sniffing. Los métodos a aplicar en una red para ofrecer barreras de seguridad son: 1. Autenticación: la autenticación es el proceso seguido por una entidad para probar su identidad ante otra. el campo de banderas TCP y el tipo de mensaje ICMP. TDES.Capítulo I Seguridad y Defensa de la Red de las contraseñas convencionales. Seguridad en el sistema centralizado (envolventos y/o proxies) Descritos los métodos. la dirección IP destino. Las aplicaciones básicas de los algoritmos criptográficos son: el cifrado es la encriptación de un mensaje con una clave. Sock-et-s) y/o puentear con otra aplicación. una función hash segura. algoritmos de clave pública o asimétricos (RSA). el puerto origen TCP o UDP. Métodos criptográficos: redes privadas virtuales. Filtro de paquetes: los routers permiten realizar un filtrado de paquetes en base a la información contenida en sus cabeceras. y por tanto se usan contraseñas no reusables. y una vez definidas. Giovana Garrido Página 11 . las reglas de filtro son difíciles de definir. el campo de opciones IP. y la de máquina a máquina durante una operación. Estos cambian cada vez que se usan. El hecho de que los servidores de servicios Internet residan en ciertos números de puertos concretos. NAT (Network Address Traslation) e IDS (Intrusión Detection System) 3. el puerto destino TCP o UDP. IDEA. puesto que un ataque por sniffing daría la contraseña al atacante. El KDC más conocido es Kerberos. el tipo de protocolo (TCP. IPSec. En este caso necesitaremos encriptar la conexión.

. Este sistema no siempre es transparente al usuario. Los servicios proxy sólo son efectivos usados en conjunción con un mecanismo que restrinja las comunicaciones directas entre los hosts internos y externos (bien con un dual-homed host. como por ejemplo las siguientes: o Seguridad (cortafuegos): si se quiere tener un control riguroso del tráfico entre una determinada red y el exterior se dispone un cortafuegos que aísle dicha red. o Eficiencia (servidores proxy/cache): los servidores cache permiten capturar una copia de la información que un usuario se trae del exterior para disponer de ella a<nte la eventualidad de que más tarde otro usuario requiera la misma información. a lo sumo se podría acusar recibo cuando el mensaje se recibe en la pasarela. una de las cuales implementa acuse de recibo y la otra no.Capítulo I Seguridad y Defensa de la Red último caso también se llama envolvente. puesto que algunos proxies requieren software cliente especial. la otra alternativa sería simplemente no enviar ningún acuse de recibo en este caso. Esto mejora el tiempo de respuesta al usuario ya que la información solicitada se le sirve localmente y reduce el nivel de ocupación de la línea WAN o la conexión a Internet. realizando las conversiones adecuadas. Una pasarela del nivel de aplicación es un host que implementa dos (o más) pilas completas de protocolos y que puede ‘trasvasar’ datos de una aplicación a su equivalente en la otra pila de protocolos. por ejemplo entre SMTP (protocolo de correo en Internet) y X. Un ejemplo de esto es el intercambio de mensajes de correo electrónico. Giovana Garrido Página 12 . pero eso no significa que el mensaje haya llegado a su destino. como una clasificación más general. Además de permitir la interconexión de protocolos distintos las pasarelas de aplicación también se emplean para conectar redes con el mismo protocolo o puenteando a servidores controlan su acceso. Estos tres últimos medios son analizados o estudiados desde el punto de vista de pasarelas. Otro ejemplo es el servicio que permite enviar desde un formulario Web un mensaje corto a un teléfono GSM. El servidor real cree que está tratando directamente con un usuario en el host donde está corriendo el proxy. Existen diversas razones por las que esto puede ser conveniente. se plantea el problema de qué hacer en la pasarela cuando un mensaje es enviado de la primera a la segunda. normalmente para el protocolo http. bien con filtro de paquetes). Así nos referimos a pasarelas del nivel de transporte o del de aplicación. Los problemas que se plantean en la interconexión de redes diferentes a nivel de pasarelas de aplicación son en cierto modo parecido a los que se dan a niveles inferiores. si se dispone una pasarela de correo electrónico entre dos redes diferentes.400 (protocolo de correo OSI). Cualquier dispositivo que permite la intercomunicación a niveles superiores al de red se denomina genéricamente pasarela (gateway en inglés). Por ejemplo. a menudo los cortafuegos (o cortafuegos) actúan como pasarelas a nivel de transporte o de aplicación. o bien el software estándar utilizándolo con procedimientos especiales. Al cliente le presentan la ilusión de que está tratando directamente con el servidor real. Para realizar su función los servidores caché actúan como pasarelas del nivel de aplicación. normalmente de elevado costo. Prof. como ocurre al interconectar redes Ethernet y Token Ring.

Capítulo I Seguridad y Defensa de la Red o NAT (traducción de direcciones): Como veremos más adelante existen situaciones en las que es necesario manejar un direccionamiento diferente en la red interna y la externa. Los dos nodos SNA ubicados en los extremos del túnel serán los encargados de añadir a los paquetes IP la cabecera SNA adecuada para que lleguen al otro extremo. lo cual supone un mayor overhead. por ejemplo encapsulando un paquete IPv4 en otro podemos forzar la ruta que ha de seguir. Los paquetes IP viajarán ‘encapsulados’ a través del túnel en paquetes SNA. cumpliendo así una función similar a la opción ‘loose source routing’ de la cabecera IP. En algunos casos resulta útil encapsular incluso un paquete en otro del mismo tipo y versión. Los túneles no son una solución deseable en sí mismos. Seguridad en red basada en criptografía Túneles En ocasiones se quiere intercambiar paquetes entre dos redes que utilizan el mismo protocolo. Si se desea que estas dos oficinas intercambien tráfico TCP/IP sin establecer para ello una nueva línea ni instalar routers multiprotocolo en todo el trayecto se puede establecer un túnel entre ambas oficinas. y dos de éstas disponen además de redes locales TCP/IP. Prof. En estos casos los túneles se utilizan para enviar paquetes del mismo protocolo (IP) pero de distinto tipo (multicast en unicast) o versión (IPv6 en IPv4). pero que están unidas por una red que utiliza un protocolo diferente. En Internet hay situaciones en las que los túneles se utilizan de forma habitual. pero sin las limitaciones que tiene ésta en el número de direcciones. que gestionan todo el control de acceso a los servidores dentro de un sistema centralizado. en estos casos es preciso utilizar un dispositivo NAT (Network Address Translation) que nos permita el intercambio de paquetes entre ambas redes. o Envolventes o proxies de aplicación: son programas sencillos. como veremos a continuación. por ejemplo la interconexión de routers multicast a través de routers unicast para constituir la red MBone. al utilizar encapsulado la cabecera interior empezaría a descontar su TTL sólo a partir del punto de salida del túnel. Por ejemplo supongamos que un banco dispone de una red de área extensa con protocolo SNA que une todas sus oficinas. son pasarelas a nivel de aplicación. o la interconexión de ‘islas’ IPv6 para constituir el 6bone. Giovana Garrido Página 13 . Otro uso del encapsulado podría ser para superar el valor máximo del campo TTL. ya que a lo largo del túnel los paquetes han de llevar dos cabeceras. Los conceptos de túnel y de encapsulado de paquetes van siempre asociados entre sí. Algunas aplicaciones requieren una complejidad mayor en el proceso de traducción de direcciones hasta el punto de que esto solo es posible mediante un programa que interprete y modifique la información contenida en el paquete a nivel de aplicación. Uno de los usos más habituales de los túneles actualmente es para la creación de redes privadas virtuales o VPNs. además los extremos del túnel se convierten en puntos simples de fallo y potenciales cuellos de botella en el rendimiento de la red. de forma que los paquetes IP no sean vistos por la red SNA. Ej tcpwrappers.

1. Como nuestro viajante al conectarse recibe una dirección IP de la red de su proveedor (supongamos que se trata de la red 200. Supongamos también que por razones de seguridad o de licencias de software la empresa se ha visto obligada a limitar el acceso a dicha base de datos únicamente a los computadores de la red de la empresa. es decir aquellos que tienen direcciones IP de su red (supongamos que se trata de la red 199.Capítulo I Seguridad y Defensa de la Red Figura: ejemplo de acceso a la Intranet 199.1. los cuales serán desarrollados en otros capítulos.1. ya que esto le permite conectarse a su red pagando tarifa metropolitana. Página 14 Prof.0/24). Giovana Garrido .1. Aunque nacieron por la necesidad de modificar el funcionamiento de los sistemas operativos sin acceso a su código fuente.0/24 a través de VPN Supongamos que un viajante quiere conectarse remotamente a la red de su empresa para consultar una base de datos y para ello emplea los servicios de un proveedor comercial cualquiera.1.1. También esta IPSec e SSH.0/24) no le es posible acceder a dichos servicios. su uso como herramienta de seguridad se ha extendido por numerosas razones:  La lógica de seguridad se encapsula dentro de un programa sencillo y fácil de verificar. Seguridad en red basada en sistema centralizado Encapsuladores (proxies) y pasarelas Los encapsuladores son un invento reciente de la seguridad en UNIX.

Implementación de un esquema de seguridad en Red Uno de los principios básicos se refiere a que la seguridad es un proceso.Capítulo I Seguridad y Defensa de la Red   El programa encapsulado permanece separado del encapsulante. bien sea desde el punto de vista netamente técnico o administrativo basándose en que las políticas. Levantamiento Información Para tener todos los elementos que ayudan al entendimiento de los servicios tecnológicos más importantes de la organización. normas y procedimientos (estándares). lo cual permite actualizar el programa que ha sido encapsulado de forma individual.  Documentar los controles y el plan de seguridad  Monitorear la operación y cumplimiento de los controles  Crear un plan de seguridad de la información. es decir. es necesario que se dé una etapa de contextualización. la definición de una planificación que defina la estrategia de seguridad de la empresa sentará las bases para la permanencia en el tiempo y en ésta deben involucrarse. gestionar los riesgos. No basta con definir políticas. Como los encapsulados llaman al programa mediante la llamada al sistema exec(). hay que basarse en el estándar ISO/IEC 27001:2005. Las actividades claves que deben ser consideradas al momento de implementar un marco de seguridad son las siguientes:  Categorización de los sistemas y activos de Información  Selección de un grupo de controles mínimos de seguridad  Refinar los controles de seguridad basados en el análisis de los riesgos inherentes y qué tan aceptables son esos riesgos. estándares procedimientos y métricas son el corazón de la arquitectura y las tecnologías los medios para que éstas se cumplan. balanceando las áreas administrativas y operacionales en conjunto a los controles técnicos de seguridad  Reforzar los componentes y colocar la mayor cantidad de barreras posibles  No depender de tecnologías de fabricantes  Ejecutar el plan de Seguridad en porciones pequeñas y planificadas Para ello. los cuales presentan las principales etapas para la implementación de un esquema de seguridad: a. Giovana Garrido Página 15 . Un ciclo de vida de seguridad permite mantener y actualizar en el tiempo la arquitectura de seguridad. El objetivo de esta actividad es recabar toda la información necesaria para obtener un conocimiento profundo y detallado del funcionamiento del centro de Prof. no únicamente un grupo de tecnologías y esta requiere que se tome en cuenta la perspectiva y necesidades de la organización. aparte de la tecnología y los procesos. a las personas que intervendrán y utilizarán las tecnologías. un mismo encapsulante puede utilizarse para controlar el acceso a un enorme grupo de programas encapsulados.

Las pruebas externas se elaboran por la organización y consiste en examinar el Web site de la organización. procesos e infraestructura. así como la recopilación de información proporcionada por sus miembros. organización. etc. Algunas de las herramientas que se pueden utilizar son languard y Nessus. procesos.) se detectan durante las entrevistas con los empleados y revisión de documentación. las amenazas y vulnerabilidades. medir. Las internas se desarrollan por el personal del centro de operaciones de la organización. Se lleva a cabo pruebas internas y externas. Posteriormente. malos hábitos. c. El objetivo de este análisis es detectar las vulnerabilidades existentes que representan riesgos potenciales para los servicios del centro de operaciones que hemos determinados como críticos. Para este análisis se lleva acabo lo siguiente:  Monitoreo de la red: detectar tráfico extraño y verificar si la información sensible o confiable (por ejemplo contraseñas) es transmitida por la red en forma legible (texto claro). Giovana Garrido Página 16 . Con base en el marco metodológico esta etapa corresponde a la contextualización.Capítulo I Seguridad y Defensa de la Red operaciones. visitas e inspecciones físicas a las instalaciones del centro de operaciones. controlar y minimizar los riesgos de seguridad a los que están expuestos los activos informáticos de la empresa. falta de capacitación. b. Para ello se debe contar con una infraestructura a evaluar que consista en detallar información de aquellos dispositivos importantes para cada uno los servicios que brinde al centro de operaciones. además se identifican los principales activos bajo riesgo. servicios electrónicos y la seguridad perimetral. Se obtienen vulnerabilidades en las dimensiones de gente.  Detección de intrusos: detectar acceso no autorizado a equipos y aplicaciones. Por su parte las vulnerabilidades de infraestructura se detectan con el análisis de vulnerabilidades y con las visitas e inspecciones a las instalaciones. Las vulnerabilidades de gente y procesos (administrativas. con la finalidad de llevar a cabo una identificación amplia y objetiva de los riesgos y amenazas potenciales. se elabora la descripción de las pruebas según el dispositivo. Prof. Prácticamente todo sistema de cómputo es vulnerable a ataque. y se determinan los controles o salvaguardas adecuados con la mejor relación costo beneficio. Esta consiste en el levantamiento de la información en las áreas de las redes y comunicaciones. Consiste básicamente en elaboración de entrevistas. habilidades y concienciación. Análisis de Vulnerabilidades Las vulnerabilidades desde el punto de vista de seguridad son características inherentes a un equipo o sistema que si son explotadas. pueden debilitarlo e incluso inhabilitarlo. falta de procedimientos.  Pruebas de penetración: llevar a cabo una gran cantidad de ataques de manera planeada y estructurada para verificar cuál es de ellos tuvieron éxito. Análisis de Riesgos El análisis de riesgos es la actividad que sirve para indicar. infraestructura y su nivel de seguridad actual. así como a través de las entrevistas y revisión del flujo de los procesos.

así mismo. y esto se lleva acabo a través de las clases de riesgos definidas por el personal encargado de velar por la seguridad. La figura 3 presenta los cuadrantes correspondientes a cada clase. para cada una de las vulnerabilidades y amenazas detectadas se identifican las posibles medidas de seguridad o salvaguardas para controlar o disminuir el riesgo. se calcula y estima el costo de implementar o incorporar cada salvaguarda. así como los hallazgos que pertenecen a cada clase.Capítulo I Seguridad y Defensa de la Red Además se determina el nivel de madurez y las mejoras a corto plazo. considerando el grado de exposición y el valor económico de la destrucción o pérdida de los activos en cuestión. Valoración de Riesgos En esta actividad se involucra al personad del centro de operaciones para estimar de manera conjunta. primero se tabula la información obtenida en la contextualización y análisis de vulnerabilidades (vea figura ejemplo). se procede a la priorización de los riesgos. los factores de riesgo (probabilidades) para todas las vulnerabilidades y amenazas encontradas. durante esta actividad se está en posibilidades de establecer un diagnóstico de qué tan Prof. Giovana Garrido Página 17 . Cuadro con ejemplo Priorización de los riesgos Priorización de los controles Diagnóstico de Niveles de Seguridad Tomando como base las mejores prácticas y particularmente el estándar ISO/27000. Para desarrollar lo anteriormente expuesto. Una vez que se obtienen los hallazgos.

Capítulo I Seguridad y Defensa de la Red

lejos o qué tan apegada está la organización en el cumplimiento de los controles establecidos por estos marcos de referencia. d. Plan táctico de seguridad Una vez identificadas las salvaguardas factibles de implementar, y definidas las prioridades y los niveles aceptables de riesgo por parte del centro de operaciones, finalmente se establecen las actividades encaminadas a implementar e incorporar las salvaguardas, sentar las bases para el desarrollo de las políticas de seguridad y la arquitectura tecnológica, y definir las necesidades de capacitación. Este plan está enmarcado en el corto y mediano plazo con base en las prioridades y urgencias detectadas. Políticas de Seguridad (será desarrollado en el último capítulo) En este punto se desarrollan las políticas de seguridad que servirán de guía para los empleados del centro de operaciones a todos los niveles. Así mismo las políticas son la base para definir y desarrollar los procedimientos de seguridad, partiendo de la premisa de que toda clasificación de la información es arbitraria. De acuerdo a la revisión del ISO/IEC 27001, la norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información, ellos son:  Política de Seguridad.  Organización de la Seguridad.  Administración de Activos.  Seguridad de los Recursos Humanos.  Seguridad Física y Ambiental.  Gestión de Comunicaciones y Operaciones.  Sistema de Control de Accesos.  Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.  Administración de Incidentes de Seguridad de la Información.  Plan de Continuidad del Negocio.  Cumplimiento Otros Estándares a considerar para la implementación Británico en el año 1989 y es del dominio público. ITIL contiene las mejores prácticas asociadas a la planificación, provisión y gerencia de servicios de TI (Tecnologías de Información) de calidad, incluyendo las siguientes áreas:  Organización y Procesos.  Infraestructura de TI (hardware, software, redes, aplicaciones y personal).  Gerencia de servicios de TI de calidad.  Mejora de la eficiencia.  Incremento de la efectividad.  Reducción de los riesgos. ITIL cubre todo lo relacionado al marco de los procesos de la organización, para operar y gerenciar las infraestructuras de TI, así como para proporcionar un óptimo servicio a
Prof. Giovana Garrido Página 18

Capítulo I Seguridad y Defensa de la Red

los asociados y justificar los costos. Dividiendo su ámbito de acción en los siguientes servicios:  Entrega de Servicios.  Acuerdo de Nivel de Servicio.  Gestión de las Capacidades.  Gestión de la Disponibilidad.  Planificación de Contingencias.  Gestión de Costos.  Administración de la Configuración.  Escritorio de Ayuda (Helpdesk). Conceptos tales como el Manejo de Incidentes, Gerencia del Cambio y Manejo de Configuraciones, los cuales tienen incidencia directa en las políticas de seguridad de la información, son temas contemplados como parte del soporte de los servicios de TI. La Gerencia de la Seguridad es cubierta por ITIL desde el punto de vista del proveedor de servicios, a la vez que identifica aspectos importantes de la gerencia de la seguridad. COBIT (Control Objectives for Information and related Technologies): fue creado por la Information Audit and Control Association (ISACA), que es una organización global líder de profesionales de mas de 100 países que comprende todos los niveles de la tecnología de la información. Esta asociación se encarga de armonizar los estándares de las prácticas de control de TI a nivel mundial. COBIT está basado en el concepto de “Gestión de TI” que no es más que una estructura de relaciones y procesos para dirigir y controlar la empresa y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Este concepto representa el sistema de control o administración que establece la alta gerencia para asegurar el logro de una Organización. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Suministra un conjunto de buenas prácticas a través de un dominio y el marco referencial de los procesos, además de presentar actividades en una estructura manejable y lógica. COBIT no solo está diseñado para ser usado por usuarios y auditores, sino también para ser utilizado por los propietarios de negocio como una guía clara y entendible. La premisa del Marco de Referencia de COBIT es: “Con el fin de proporcionar la información que la empresa necesita par alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados en forma natural”. Dicho Marco de Referencia está basado en 34 Objetivos de Control de alto nivel, asociados a cada uno de los procesos de TI, están agrupados en cuatro dominios:  Planeación y Organización.  Adquisición e Implementación.  Entrega de Servicios y Soporte.  Monitoreo.

Prof. Giovana Garrido

Página 19

Capítulo I Seguridad y Defensa de la Red

Adicionalmente a los Objetivos de Control de alto nivel, existe una Guía o directriz de Auditoria o de aseguramiento la cual permite la revisión de los procesos de TI contra los 318 objetivos detallados de control, recomendados por COBIT para proporcionar a la gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento. En conclusión, COBIT está diseñado para ser la herramienta de “Gestión de TI” que proporcione herramientas para el entendimiento y la administración de los riesgos así como de los beneficios asociados a la información y sus tecnologías asociadas.

1.4 Seguridad en red perimetral (DMZ “Zona desmilitarizada”,
Demilitarized Zone) Las iniciales DMZ provienen de Demilitarized Zone, es decir, “zona desmilitarizada”. Esta expresión se emplea comúnmente para referirse a una parte de la red que no es realmente de confianza. La DMZ proporciona un lugar en la red para dividir sistemas a los que tienen acceso personas en Internet de aquellos a los que solamente tienen acceso los empleados. Las DMZ también pueden ser utilizadas cuando se trate con socios de negocios y otras entidades externas. Definición de la DMZ La DMZ es creada al proporcionar una zona de red semiprotegida, la zona normalmente es delineada con controles de acceso a la red, como firewall o routers fuertemente filtrados. Es decir, la zona de red a la que se puede acceder desde el exterior. Normalmente un firewall tiene una red pública, una privada y una DMZ. Ejemplo: En la red pública se tiene: la conexión a internet, en algunos casos los servidores trampa. En la red privada están: sus usuarios, sus servidores puramente internos. En la DMZ se coloca: los servidores de acceso externo (mail, web, etc.) los servicios que pueden ser un compromiso a la seguridad como terminadores de red privada virtual y acceso telefónico remoto. Los controles de acceso a la red establecen entonces la política para determinar que tráfico es permitido dentro de la DMZ. En general, cualquier sistema que puede ser directamente contactado por un usuario externo debería ser colocado en la DMZ. Los sistemas a los que pueden tener acceso de manera directa los sistemas o usuarios externos son los primeros en ser atacados y quedar potencialmente comprometidos. Estos sistemas no pueden ser completamente confiables, puesto que podrían quedar comprometidos en cualquier momento. Por tanto, intentamos restringir el acceso que tienen esos sistemas a los sistemas realmente delicados de la red interna. ¿Puertos DMZ? Cualquier equipo capaz de ser firewall que de acuerdo al plan para el DMZ. Si lo llaman DMZ o puerto DMZ dependerá de quien lo configure. Una red no es más o menos DMZ porque se conecte de una manera determinada. La DMZ es un
Prof. Giovana Garrido Página 20

no es suficiente un único dispositivo cortafuegos. accesibles públicamente desde el exterior. Para ello hay diferentes arquitecturas DMZ para implementar en las organizaciones. se beneficiarían de la separación entre dos grupos de sistemas cortafuegos. pero ningún usuario externo puede tener acceso a los sistemas internos.linuxjournal. Supongamos.com/article/4415 En ciertas instalaciones. Por ejemplo. la siguiente red: Prof. etc. Las reglas del acceso general para la DMZ permiten a los usuarios externos tener acceso a los servicios apropiados en los sistemas de la DMZ. Giovana Garrido Página 21 . de correo. por lo que recomiendo echar un vistazo al siguiente artículo de la publicación Linux Journal: http://www. accesibles desde fuera de la organización.. si utiliza encapsulacion 802. El hecho de permitir tráfico entrante en la red de la organización supone un factor de riesgo que trataremos de mitigar. Los sistemas internos pueden tener acceso a la DMZ o a Internet según lo permita la política.Capítulo I Seguridad y Defensa de la Red concepto. Un claro ejemplo de este tipo de arquitecturas son las redes que disponen de servidores web. el sistema interno debería iniciar la conexión hacia el sistema de la DMZ. Los sistemas DMZ deberían estar severamente restringidos respecto al acceso desde los sistemas internos.1q en un solo enlace se podrá tener red privada. no lo convierte en una conexión. Si es posible. publica y DMZ sobre el mismo interfaz. juntamente con estaciones de trabajo que deberían estar completamente aisladas de conexiones con el exterior. por ejemplo. Aquellas redes formadas por múltiples servidores. Este es un tema muy amplio.

los equipos de la red externa pueden comunicarse con el equipo dual-homed. Una arquitectura de cortafuegos dual-homed se construye mediante el uso de un equipo dual-homed con la capacidad de encaminamiento desactivada. Giovana Garrido Página 22 . De esta forma. a no ser que se indique lo contrario. Un equipo bastión (en ingl´es bastion host) es un sistema informático que ha sido fuertemente protegido para soportar los supuestos ataques desde un lugar hostil (en este caso. Equipo bastión implantado mediante la utilización de un equipo bastión con una arquitectura dual-homed. Mediante esta arquitectura. El nombre de equipo bastión (bastion host) proviene de las murallas fuertemente protegidas que separaban los castillos medievales del exterior.Capítulo I Seguridad y Defensa de la Red En la figura anterior vemos un único sistema cortafuegos como punto de protección. y viceversa. internet) y que actúa como punto de contacto entre el interior y el exterior de una red. pero los equipos de la red interna y externa no se pueden poner en Prof. los paquetes IP de un extremo de la red (la parte hostil) no serán encaminados hacia la parte protegida. los equipos de la red interna se pueden comunicar con el equipo dual-homed.

Así. Enrutador y muro de fuego Prof. Si un atacante consigue comprometer cualquiera de los servidores que se encuentre detrás de este punto único. El segundo cortafuegos. que hace de punto de contacto entre la red interna y la zona desmilitarizada. será incapaz de atacar inmediatamente una estación de trabajo. examinaremos tres de las arquitecturas más comunes. el resto de la red continuara estando protegida mediante el segundo de los cortafuegos Sistemas a colocar en la DMZ Ahora tenemos una política general para la DMZ una lista de servicios que se ofrecerán en Internet. Para prevenir estas situaciones. Esto hace que este cortafuegos con arquitectura dual-homed sea un punto crítico en la seguridad de la red. aunque un atacante se apodere del segmento de los servidores. Introduciendo el concepto de zona desmilitarizada o DMZ. Es decir. si un atacante consigue introducirse en uno de los servidores de la zona desmilitarizada. Como ocurre con muchas cosas en el ámbito de la seguridad. Giovana Garrido Página 23 . se configurara para que rechace todos los intentos de conexión que vayan llegando desde el exterior. y contestar a esta interrogante. sino que un servidor intermediario se encarga de realizar las conexiones en nombre de estas dos partes. es posible la utilización de dos dispositivos cortafuegos. se tienen ventajas y desventajas para cada una de ellas. cuáles sistemas deberían colocarse en la DMZ?. un cortafuegos separa el exterior de la red del segmento desmilitarizado (la DMZ) y los servidores que tienen que ser públicos desde el exterior de la red. Arquitecturas DMZ apropiadas Existen muchas arquitecturas de la DMZ. las otras máquinas podrán ser atacadas sin ninguna restricción desde el equipo que acaba de ser comprometido. Debemos cuestionarnos.Capítulo I Seguridad y Defensa de la Red comunicación directamente. En las tres siguientes secciones. y llegar a ser una cuestión de determinar cuál arquitectura es la más apropiada para cada organización. En la instalación que se muestra en la figura anterior.

el muro de fuego debería encontrarse en una configuración de recuperación de fallas. Cuando se hace uso de un solo muro de fuego. el muro de fuego debe ser capaz de manejarlo además del tráfico interno destinado para Internet. puede llegar a ser un problema modificar los filtros. Esto significa que los servidores web están ejecutándose únicamente cómo servidores web. todo el tráfico es forzado a través del mismo. Si éste es el caso. aunque alguna clase de filtrado puede hacer que el muro de fuego sea más eficiente. y los sistemas a los que se va a tener acceso desde Internet se colocan aquí. Puesto que estos sistemas se encuentran ubicados en la red externa. Si el enrutador es propiedad de la organización y está administrado por la misma. Muro de fuego simple Un muro de fuego (firewall) simple puede emplearse para crear una DMZ. los sistemas en la DMZ están un Prof. El enrutador está conectado al enlace desde el ISP y hacia la red externa de la organización. El muro de fuego controla el acceso a la red interna. pueden colocarse filtros sobre el enrutador. el enrutado presentará y será administrado por el ISP. Utilizando la arquitectura de un solo muro de fuego. Para reducir algo del riesgo de ser comprometidos.Capítulo I Seguridad y Defensa de la Red La figura siguiente ilustra una arquitectura simple de enrutador y muro de fuego. Sin embargo. de manera que el único tráfico permitido al interior de la DMZ sea el tráfico a los servicios ofrecidos por los sistemas DMZ. la DMZ se diferencia de la red externa como se muestra en la siguiente figura. Muchos casos. Este muro de fuego sólo controla el acceso a la DMZ. El muro de fuego se convierte en un punto singular de fallas y en un cuello de botella potencial para el tráfico. Asimismo. La DMZ llega a ser lo mismo que la red externa. El muro de fuego debería estar configurado para permitir el tráfico solamente a los servicios apropiados en cada sistema DMZ. Si la disponibilidad es una cuestión de seguridad clave en la arquitectura global. La administración de esta arquitectura está simplificada sobre el enrutador y el muro de fuego en el sentido que solamente el muro de fuego debe ser configurado para permitir o no el tráfico. La DMZ está establecida como una tercera interfaz en el muro de fuego. Además. están completamente abiertos a los ataques desde Internet. o bien establecerlos correctamente. tenga en mente que los enrutadores tienen la tendencia a utilizar los controles de configuración de líneas de comandos y que los filtros deben ser establecidos de manera apropiada y en el orden correcto para trabajar adecuadamente. El enrutador no requiere de filtros. FTP corregidos al nivel más reciente y ser vigilados cuidadosamente. La red externa está formada por el enrutador del ISP y el muro de fuego. El muro de fuego también proporcionará registros mostrando qué tráfico está permitido y qué tráfico es denegado. éste no será un problema. Giovana Garrido Página 24 . si se espera que la DMZ atraiga una gran cantidad de tráfico. Otra manera para reducir el riesgo de los sistemas es asegurarlos de manera que solamente los servicios que se están ejecutando en cada sistema sean aquellos que están siendo ofrecidos en la DMZ. Telnet.

Combinación de tecnologías para la construcción de una DMZ En la figura siguiente podemos ver el uso de un router con filtrado de paquetes. pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad. La red externa todavía está definida por el enrutador del ISP y el primer muro de fuego. Los muros de fuego duales incrementan los costos de la arquitectura y requieren de una configuración y administración adicionales. Muros de fuego dobles (duales) Una tercera arquitectura para un DMZ se ilustra a continuación. La DMZ existe ahora entre el muro de fuego 1 y el muro de fuego 2. además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías. Esta configuración puede incrementar la seguridad global en el sentido de que es improbable que un ataque simple comprometa ambos muros de fuego. En seguridad de redes. de manera que solamente permite el tráfico saliente hacia Internet. además de todo el tráfico interno. En suma. puesto que solamente manejará tráfico interno. los sistemas de la DMZ están protegidos de Internet por el muro de fuego 1. de modo que la necesidad de asegurarlos se reduce completamente. Por ejemplo. Esta arquitectura hace uso de dos muros de fuego para separar la DMZ de las redes externa e interna. El muro de fuego 1 está configurado para permitir todo el tráfico de la DMZ. El muro de fuego 2 se encuentra configurado con una configuración mucho más restrictiva.Capítulo I Seguridad y Defensa de la Red poco protegidos por el muro de fuego. de lo contrario habremos puesto una puerta blindada. de la misma manera que el enrutador de filtrado. Sólo se sugiere que el muro de fuego proporciona cierta protección. Los muros de fuego también pueden ser de dos tipos diferentes. No estamos sugiriendo que los sistemas inseguros podrán dejarse en la DMZ. El muro de fuego 2 puede ser un sistema menos capaz. de modo que alivia parte de la necesidad de eliminar servicios innecesarios. Giovana Garrido Página 25 . La arquitectura del doble muro de fuego (dual) requiere que el muro de fuego 1 sea capaz de manera cargas o volúmenes de tráfico que serán significativos si los sistemas DMZ están esperando gran cantidad de tráfico. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad. o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo. juntamente con la utilización de un servidor intermediario para el establecimiento de una zona desmilitarizada. Como en la arquitectura de muro de fuego simple. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas. Prof.

De esta forma se puede simplificar el esquema planteado anteriormente y mantener a la vez un nivel de rendimiento sin renunciar a las capacidades de monitorización que ofrece la utilización de un punto de protección único. diseñada por la empresa de productos de seguridad. La inspección de estados*. combina (al igual que las pasarelas a nivel de circuito) el rendimiento de los filtros de paquetes con la seguridad adicional que presenta la utilización de servidores intermediarios. Giovana Garrido Página 26 . En la figura siguiente se ilustra la implantación de un equipo bastión con arquitectura de cortafuegos dual-homed y con implantación de inspección de estados. Chekpoint e implementada inicialmente en el producto Firewall-1.Capítulo I Seguridad y Defensa de la Red Otra forma de solucionar los mismos problemas planteados consiste en la utilización de un sistema que implemente una inspección de estados en el filtro de paquetes. Prof.

sin embargo esto plantea varios problemas de seguridad por diversos motivos. que consiste en un dispositivo formado por uno o varios equipos que se sitúan entre la red de la empresa y la red exterior (normalmente la Internet). por ejemplo: o Los computadores de la red local contienen información de carácter confidencial cuya salvaguardia resulta vital para la empresa. Para resolver los problemas de acceso seguro hacia/desde el exterior se ha creado el concepto de cortafuego o firewall. Giovana Garrido Página 27 . o Del exterior pueden llegar virus u otro tipo de programas que perjudicarían seriamente los computadores de la empresa. Prof. el cortafuego analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados. o Los empleados pueden utilizar la conexión a Internet para salir a lugares no autorizados (por ejemplo servidores de información no relacionados con su actividad en la empresa).Capítulo I Seguridad y Defensa de la Red Su aplicación Especialmente con el crecimiento comercial de la Internet muchas empresas se enfrentan ante la necesidad de conectar sus redes al exterior. de acuerdo con un criterio establecido de antemano.

Giovana Garrido Página 28 . o el tráfico de ciertas aplicaciones o una combinación de ambos criterios. como vemos en la figura anterior. además las posibilidades de definir filtros en los routers son limitadas y el rendimiento se resiente de forma considerable si al router se le carga con una tarea de filtrado compleja. como vemos en la figura anterior. Figura: cortafuegos basados en host bastión (dual homed gateway) El siguiente nivel de cortafuego está formado por un host (dual homed gateway) que conecta por una parte a la Internet y por otra a la red corporativa. El host implementa un servidor Web proxy Prof. Dado que los usuarios siguen teniendo conexión directa a nivel de red con el exterior esta solución no es muy fiable. actuando él como router.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos basado en router En su versión más simple el cortafuego consiste únicamente en un router en el que se han configurado diversos filtros. por ejemplo impidiendo o limitando el acceso a determinadas direcciones de red.

filtros o reglas que se han especificado. el sistema no deberá contener cuentas de de acceso a usuarios.allow). Los métodos personales propios de administración es preferible mantenerlos offside . control de accesos al mismo (conexiones de la red interna. Se recomienda eliminar el demonio SysKLogd. que nos den un mayor rango de seguridad inherente.freshmeat. al ser un host. el control remoto de la máquina. El computador que actúa como barrera entre la red interna y la Internet se denomina host bastión (‘bastion host’ BH) en terminología de cortafuegos.. Esta solución ofrece una seguridad mayor que la anterior ya que el servidor proxy .. los ficheros. Deberemos cambiar los puertos de acceso a los mismos. etc. conexiones de la red externa . solo deberá mantenerse aquellas derivadas a daemons y la del administrador. monitorización del sistema. etc. Un buen ejemplo de ello. seria la codificación y encriptación de los mismos. Estos podrían ser el telnetd y el ftpd. dispone de una serie de medidas que le diferencia del resto. ya que está directamente conectado a la LAN.Capítulo I Seguridad y Defensa de la Red que actúa como pasarela de aplicación para los servicios que se quieren permitir. SSH nos ayudará mucho en esta tarea. También deberemos desechar todos aquellos servicios de red como HTTPd.. En base.net. Giovana Garrido Página 29 .-) Simplemente es pensar en cómo actuaria una persona ajena al encontrarse con un sistema de este tipo. de forma que ante posibles ataques a nuestro sistema. y además conociendo correctamente su funcionamiento. una serie de normas de seguridad. corran menor peligro. NNTPd. Un BH deberá incluir. entre otros. Deberemos controlar todo lo relativo a enrutado desde el BH. tales como mejores auditorías. pero si un usuario malintencionado (hacker o cracker) consiguiera instalar un programa 'espía' (sniffer) en el host bastión podría capturar tráfico de la red interna de la empresa. En principio. Otros autores denominan como Bastion Hos (BH)t a un sistema informático catalogado como punto peligroso en la seguridad de nuestra red informática. podremos asegurar en un gran margen que el sistema está preparado para evitar posibles ataques o accesos no deseados a nuestra red interna.deny y Hosts. limitado por las restricciones. Normalmente se suele permitir el paso del tráfico de red autorizado a través del BH debido a que este nos detallara todo en todo momento. Evitaremos situaciones como encaminamientos no autorizados. e instalar otro de los muchos disponibles en web sites como http://www. En el caso de GNU/LiNUX. o buscar formas de acceso a la máquina mediante una sola IP de acceso (Revisar Hosts. Este sistema debe haber sufrido un proceso de testing para catalogar posibles fallos no solo en seguridad. sino también en el propio software que utiliza. puede procesar filtros mas complejos que un router. administradores. Prof.). excepto aquellos que nos permitan a nosotros. de registro.

pero al no estar el directamente conectado a la red local de la empresa incluso en el caso de que un hacker consiguiera instalar en él un sniffer no podría capturar tráfico confidencial. además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías. algo así como una zona neutra de seguridad). uno de los routers conecta a su vez con la red local de la empresa y el otro con la Internet.  Señalar la manera de corregir las vulnerabilidades encontradas. Prof. conectados entre sí por una pequeña red local. En suma. Esta configuración se llama subred apantallada o screened subnet. pues solo podrá ver los paquetes dirigidos a él.  Identificación de vulnerabilidades en los activos públicos que se encuentran en la red perimetral a través de acciones de “hacking”. subred apantallada (screened subnet) En un nivel mayor de seguridad el cortafuego se implementa mediante un host y dos routers. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos con zona desmiliatarizada. pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad. Los objetivos del Servicio de Seguridad Perimetral se basan en la prevención activa en base a las siguientes prácticas:  Mejora continua de la seguridad de los entornos Internet realizando un seguimiento evolutivo mediante el uso de Normas Estandarizadas y Control Continuo. incluido mecanismos de aviso urgente para las vulnerabilidades más graves. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas. el host implementa una pasarela multiaplicación (servidor proxy) como antes. Giovana Garrido Página 30 . En seguridad de redes. o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo. Por ejemplo. En este modelo la red que une los routers con el host se denomina zona desmilitarizada o zona DMZ (Demilitarized Zone. de lo contrario habremos puesto una puerta blindada. En ocasiones se utilizan otras variantes de arquitectura de cortafuego aún más complejas.

es necesario dotar a las mismas de los siguientes servicios de seguridad: Autenticación de las Comunicaciones Este servicio proporciona la prueba ante una tercera parte de que cada una de las entidades comunicantes ha participado en una comunicación. así como facilitar la disponibilidad de estándares de seguridad para su aplicación en las tecnologías hardware/software de más amplia difusión en la compañía. Puede ser de dos tipos:  Con prueba de origen. en el que los responsables de seguridad puedan acceder a la información y conocimiento interno de seguridad del que se dispone. presenta en su Parte 2 una Arquitectura de Seguridad.  Establecimiento de un mecanismo de aviso urgente para las vulnerabilidades detectadas más graves (Alertas Urgentes). para proteger las comunicaciones de los usuarios en las redes.Capítulo I Seguridad y Defensa de la Red   Establecer un canal de alertas de vulnerabilidades de seguridad potenciales en la Administración Pública. así como proveer de un soporte especializado como ayuda para la resolución de los problemas de seguridad encontrados. La percepción del Servicio de Seguridad Perimetral viene dada por la información generada desde el mismo:  Informes de seguridad gestionada sobre las direcciones IP en Internet de la Administración. Autenticación de los Datos Este servicio garantiza que los datos recibidos por el receptor de una comunicación coinciden con los enviados por el emisor. Prof.  Diferentes Informes de Seguridad dirigidos hacia cada Administración tratando de identificar posibles punto débiles en la seguridad El análisis de seguridad no se debe de limitar a los entornos de redes convencionales ya que existen innumerables amenazas en otros ámbitos como:  Análisis de seguridad IP sobre Wifi  Análisis de seguridad IP sobre UMTS  Análisis de seguridad IP sobre 3G 1. Según esta arquitectura. Cuando el destinatario tiene prueba del origen de los datos. señalando la manera de corregir las vulnerabilidades encontradas.5 Seguridad en equipos de comunicación de datos El documento de ISO que describe el Modelo de Referencia OSI.  Informes de seguridad manual sobre direcciones IP del rango público.  Establecimiento de un canal de comunicación. Diseminar en la Administración Pública el conocimiento de las “mejores prácticas” para la fortificación de los sistemas de la información. Giovana Garrido Página 31 . Cuando el origen tiene prueba de la entrega íntegra de los datos al destinatario deseado.  Con prueba de entrega.

puede ser una información suplementaria compuesta por un código de control de bloque. adicionalmente. y se encarga de asegurar si el fuente está autorizado a comunicar con el receptor y/o a usar los recursos de comunicación requeridos. un sello de tiempo o un encadenamiento criptográfico. con el fin de asegurar los derechos de acceso a recursos que posee. al tiempo que puede informar del incidente. o intenta el acceso de forma impropia a un recurso autorizado. puede ser una información suplementaria compuesta por un código de control de bloque. tal como la numeración de secuencia. Garantía de la privacidad de los datos Este servicio proporciona protección contra la revelación deliberada o accidental de los datos en una comunicación. alguna forma de ordenación explícita. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. de tal manera de detectar anomalías en el mismo. Giovana Garrido Página 32 . o un valor de control criptográfico. con el propósito de generar una alarma y/o registrarlo. entonces la función de control de acceso rechazará el intento. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. probablemente encriptada con técnicas simétricas o asimétricas. Esta cantidad. Control de Acceso Autentica las capacidades de una entidad.Capítulo I Seguridad y Defensa de la Red Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. Para proporcionar integridad a una secuencia de unidades de datos se requiere. Si una entidad intenta acceder a un recurso no autorizado. El control de acceso se puede realizar en el origen o en un punto intermedio. El mecanismo de control de acceso soporta el servicio de control de acceso. probablemente encriptada con técnicas simétricas o asimétricas. Esta cantidad. o un valor de Prof. El mecanismo de integridad de datos soporta el servicio de integridad de datos. Garantía de la Integridad de los datos Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. Análisis de flujo del tráfico Contar con herramientas o programas que permitan llevar un control del tráfico de la red.

o incluso otras redes con las que se comunica el router. un sello de tiempo o un encadenamiento criptográfico. alguna forma de ordenación explícita. El mecanismo de intercambio de autenticación se utiliza para soportar el servicio de autenticación de entidad par. Utiliza las propiedades de los criptosistemas de clave pública. Cuando un segundo usuario desea comprobar la autenticidad de su interlocutor deberá comprobar que éste está en posesión de su clave secreta.1 Control físico de acceso a redes a. La Autoridad de Certificación utiliza un algoritmo de clave pública para certificar la clave pública de un usuario produciendo así un certificado. el cual es un servicio que corrobora la fuente de una unidad de datos. Para que un usuario confíe en el procedimiento de autenticación. Reconocimiento del Receptor y/o Transmisor Existen dos grados en el mecanismo de autenticación:  Autentificación simple. a la que se denomina Autoridad de Certificación. la negación de la red de servicios de comunicación. la clave pública de su interlocutor se tiene que obtener de una fuente de confianza. que asocia una clave pública a un usuario. Giovana Garrido . Cada usuario se identifica por un nombre distintivo y por su clave secreta. o ambas entidades se pueden autenticar la una o la otra. Compromiso para el control de acceso del router puede resultar en la exposición de los detalles de la configuración de red o de denegación de servicio. válido durante el período de tiempo indicado. Página 33 Prof. El mecanismo de integridad de datos soporta el servicio de integridad de datos.   Compromiso de un router en las tablas de enrutamiento pueden reducir el rendimiento. El compromiso de un router puede dar lugar a diversos problemas de seguridad en la red. y puede facilitar los ataques en contra de otros componentes de la red. para lo cual deberá obtener su clave pública. tal como la numeración de secuencia. 1. el cual los comprueba. adicionalmente. La autenticación puede ser sólo de la entidad origen o de la entidad destino. y la exposición de datos sensibles. Un certificado es un documento firmado por una Autoridad de Certificación. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión.Capítulo I Seguridad y Defensa de la Red control criptográfico.5. Para proporcionar integridad a una secuencia de unidades de datos se requiere. Routers Motivaciones para la Prestación de Guía de Seguridad de Router La prestación de servicios a los Routers es esencial para el correcto y seguro funcionamiento de las redes. El emisor envía su nombre distintivo y una contraseña al receptor.  Autentificación fuerte.

de las exploraciones y los ataques. Muchos de estos servicios son innecesarios y pueden ser utilizados por un atacante para la recopilación de información o de la explotación. Aplicar Políticas de seguridad en un router es necesario aunque difícil. También considerar si es necesario la disponibilidad de un sistema de alimentación interrumpida (UPS). A continuación se describen los principios generales para la protección de un router en sí. la protección de una red con un router. el router debe estar configurado con la máxima cantidad de memoria posible. y facilitar a los atacantes para evitar la detección. protección de un router en sí Seguridad física: Hay varias maneras de proporcionar la seguridad física de un router. Sistema operativo: El sistema operativo en el router es un componente crucial. se debe instalar los componentes para ayudar a proteger contra algunos ataques de denegación de servicio. la última versión de cualquier sistema operativo tiende a no ser la más fiable debido a su limitada exposición en una amplia gama de entornos de red. un router y la gestión de seguridad. Debe tener los controles de temperatura y humedad. con los usuarios finales. Todos los servicios innecesarios deben ser desactivados en la configuración del router. evitando así una grave fuente potencial de problemas de seguridad. garantizar y facilitar la cooperación entre los elementos claves independientes. el router debe ser colocado en una habitación cerrada con llave con acceso de sólo un pequeño número de personal autorizado. Se debe utilizar la última versión estable del sistema operativo que cumpla con la función de acuerdo a sus necesidades. y utilizar al seleccionar de lista la versión del sistema operativo más apropiada. el uso adecuado de las funciones de seguridad criptográfica en el router pueden ayudar a proteger datos sensibles. no eludir. no ser negligente. ya sea de productos o libros que documentan acerca de la seguridad. En general. hay que ser malicioso aun. Por último.Capítulo I Seguridad y Defensa de la Red   Una mala configuración del enrutador en el filtrado puede reducir la seguridad general de todo. y que le permita apoyarse de la más amplia gama de servicios de seguridad. Además. Giovana Garrido Página 34 . La habitación que contiene el router debe estar libre de interferencias magnéticas o electrostáticas. Sin embargo. Por otro lado. garantizar la integridad de los datos. exponer los componentes de la red interna. Aunque hay una variedad de recursos disponibles por parte de vendedores de routers. los dispositivos físicos (por ejemplo. un router seguro bien configurado puede mejorar en gran medida la postura de seguridad de una red. módems) se utiliza para conectarse al router para almacenamiento que requieran protección. Prof. tarjetas de PC. a. Decidir qué características de las necesidades de red. Principios y Metas de Seguridad en Routers Los routers pueden desempeñar un papel en la obtención de las redes. Configuración fuerte: Un router es similar a muchos computadores en el sentido de que muchos servicios se activan por defecto.

Por ejemplo.) La mayoría de los routers puede filtrar por una o más texto de la siguiente forma: dirección IP de origen. Sin Prof. basadas en las direcciones y los protocolos. El servidor de seguridad proporciona control de acceso sobre el contenido de las conexiones. y de B envía algún tipo de respuesta al sistema A. Algunos routers tienen filtros que se aplican a los servicios de red en ambas direcciones de entrada y de salida. Giovana Garrido Página 35 . Figura Un router puede ser utilizado también como parte de la defensa en un enfoque profundidad. dirección IP de destino. (Muchos servicios son bidireccionales. un usuario en un sistema telnets del sistema B. Actúa como la primera línea de defensa. y a este se le conoce como un router de selección.Capítulo I Seguridad y Defensa de la Red b. Se puede hacer esto por sí mismo. Routers pueden aplicar filtros de diferentes maneras. protección de la red con el router Reglas de seguridad perimetral y políticas de seguridad: Un router proporciona una capacidad para ayudar a asegurar el perímetro de una red protegida. Este enfoque se recomienda utilizar sólo en un router. El diagrama de la parte inferior muestra una típica topología con el router es el componente que conecta a la red protegida a Internet. Figura Ejemplo de configuración de conexión típica de Internet con un router Internet Filtrado de paquetes TCP/IP: Un filtro de paquetes de TCP / IP proporciona servicios de control para la transferencia de datos entre las redes. como se muestra en el siguiente diagrama. algunos routers necesitan dos filtros para manejar los servicios de bi-direccional. puerto de destino. y tipo de protocolo. Así pues. mientras que otros tienen filtros que se aplican sólo en una dirección. puerto de origen. el cual contiene una ruta que pasa por todas las conexiones destinadas a la red protegida por el cortafuego. También puede realizar la autenticación de usuario. Algunos routers pueden filtrar en cualquier bit o de cualquier patrón de bits en el encabezado IP. ya que ofrece más seguridad.

el rechazo de los protocolos y la restricción de los puertos de acuerdo a las políticas de la red de confianza. el router debe hacer cumplir la restricción de que los paquetes que llegan de la Internet deben tener una dirección de origen fuera del rango válido para la red protegida. Los filtros también son importantes por su capacidad para hacer valer frente a las limitaciones. Esto a veces se denomina filtrado de salida. Del mismo modo. el router debe hacer cumplir la restricción de que los paquetes enviados desde la seguridad de la red de seguridad o protegida (a la derecha a la izquierda) debe tener una dirección de origen dentro de un rango particular. los routers no tienen la capacidad para filtrar el contenido de los servicios (por ejemplo.Capítulo I Seguridad y Defensa de la Red embargo. Giovana Garrido Página 36 . Se puede:  aplicar Filtros de paquetes: sólo se requiere permiso de Protocolos y Servicios. Por ejemplo.  estándares en puertos y protocolos Prof.  aplicar Filtros de paquetes: Rechazar riesgo Protocolos y Servicios. el nombre del archivo del ftp). Esto se denomina filtrado de entrada. Los Filtros de paquetes son especialmente importantes para los routers ya que actúan como puerta de enlace entre las redes de confianza y no confianza. El papel del router es hacer cumplir la política de seguridad. en la Figura 1.

La seguridad de cada capa depende de la seguridad de las capas dentro de él. configuración y gestión del router cumplen su política de seguridad? Una base conceptual para la política de seguridad del router La figura a continuación. Prof. d. políticas de seguridad de routers Los Routers son una parte importante de una red. muestra una vista de los niveles de seguridad de un router. ¿Qué significa para un router que sea seguro? Una manera sencilla de definir la seguridad de un router es la siguiente: ¿la operación.Capítulo I Seguridad y Defensa de la Red Figura tabla de servicios para routers La siguiente figura. Giovana Garrido Página 37 . y su seguridad es una parte vital de toda la red. muestra tabla de servicios en los routers para los clientes externos.

La Política de seguridad para un router debería incluir normas sobre el acceso a esta capa. tablas ARP. Algunos aspectos importantes de los datos almacenados son la interfaz de configuración de direcciones. Las normas de conducta de la administración del router debería aclarar la aplicación de las normas de red al router. permisos. definir roles. Si un atacante puede comprometer cualquiera de estos. Política de Seguridad del Router y de la red general Normalmente en la red. tanto en términos de funciones. normas de conducta. son también muy importantes. La política de seguridad del Router debe definir normas de dónde y cómo estos puertos pueden ser utilizados. La ruta de los propios cuadros son los más evidentes de esta parte. por lo general denominado "consola" o "control" de puertos. Otras partes de la información dinámica. en particular. aunque a veces se pase por alto. La siguiente zona más interna de la figura es el software almacenado y el estado de configuración del router en sí. Cualquier router puede estar comprometida por un atacante con acceso físico completo. estos puertos suelen prever mecanismos especiales para el control del router. y los controles de acceso para el acceso directo a la interfaz de comandos del router.Capítulo I Seguridad y Defensa de la Red Vista de las capas de seguridad de un router La zona interna representa la seguridad física del router. y las responsabilidades. La mayoría de los routers ofrecen una o más conexiones directas. Si un atacante puede comprometer la configuración dinámica de un router. la política de seguridad de un router servirá para. también debe hacerse el control de las dos capas exteriores. Las funciones que se definen en la política de seguridad del router suele ser un subconjunto de las políticas de la red. por lo tanto. La Política de seguridad por lo general. el acceso físico debe ser controlada para proporcionar una base sólida para la seguridad general del router. Giovana Garrido Página 38 . incluye normas estrictas sobre el acceso a esta capa. los nombres de usuario y contraseñas. La política de un router debe encajar en el marco general. entonces. La zona exterior de la figura es la configuración dinámica del enrutador. y los registros de auditoría. la configuración almacenada. tal como el estado de la interfaz. Prof. puede comprometer la capa externa.

el router aplica la política de red. Creando una política de seguridad para un router Existen varios consejos importantes que recordar al crear la política de seguridad de un router:  Especificar los objetivos de seguridad. Especificar la política de todas las zonas señaladas en la figura anterior: Comience con la seguridad física. El router puede especificar normas particulares que puedan ser aplicadas por el router para evitar la administración remota. se debe concentrar en los protocolos y servicios que han sido identificados como explícitamente necesarios para la explotación de las redes. en lugar de un comando en particular o un mecanismo.   Una política de seguridad debe ser un documento vivo. Protocolos y Servicios que no están explícitamente permitidos se le debe negar: Cuando se representa política de la red en el router. podría ser considerado responsable por la seguridad de la red en la revisión periódica de los registros de auditoría. los resultados de seguridad que deben alcanzarse. y el usuario. En cuanto a los demás. Actualizar la política del router para que se reflejen los cambios en la red. tanto la dinámica como con el flujo del tráfico. una política de seguridad de red podría definir tres funciones: administrador. En algunos casos. el examinar el router y revisar la política de seguridad según sea necesario cuando cualquiera de los siguientes eventos ocurren. o cuando los objetivos de seguridad ha sido cambiados en el router. operador. El operador. Forman parte de las prácticas de seguridad de la red para ser examinados periódicamente como parte de la política de seguridad de red del router y de la seguridad en sí. al final. la política en el router implica mucho más detalles que la política de la red. explícitamente los permisos. los comandos o mecanismos: Cuando se especifican las políticas. La política de seguridad del router puede conceder privilegios de acceso del operador al router de manera que puedan acceder a los registros del router. la política le permite cumplir sus responsabilidades tal como se indica en una política de la red. y el trabaje hacia el exterior hacia la configuración. Prof. o personal. Giovana Garrido Página 39 . no particular.  Cambios importantes en las prácticas administrativas. Por ejemplo. En particular. Cada una de las funciones que se concederá privilegios en el router. la política de seguridad de la red podría prohibir la administración del router desde cualquier lugar. pero no en la LAN local. la política del router es más llevadera cuando se dan a través de las versiones del software y entre diferentes tipos de routers. por ejemplo. Puede ser necesario revisar la política de seguridad del router cuando se produzca un cambio importante en la arquitectura de red o estructura orgánica de la administración de la red. procedimientos. y negar todo lo demás. El router sólo puede incluir dos política de seguridad: el administrador y operador. ambas deben tomarse en cuenta.  Nuevas conexiones entre la red local y las redes externas.Capítulo I Seguridad y Defensa de la Red Por ejemplo.

Cuando la política de seguridad del router sea objeto de una revisión. Este control puede ayudar a limitar él tráfico originado por el propio router. Estar conciente de que el mantenimiento de la política es crucial para el cumplimiento de la misma. Después de la elaboración de una política. Giovana Garrido Página 40 . Esta identificación puede usarse después para filtrar el tráfico y conseguir una mejor administración del tráfico global de la red. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP o a protocolos IP de capa superior. Las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router. Lista de política de seguridad del router La lista que figura a continuación fue concebida como una ayuda para la creación de la política de seguridad del router. un nuevo servidor de seguridad). Prof. Las listas de acceso pueden aplicarse también a los puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente.Capítulo I Seguridad y Defensa de la Red    Cambios importantes en la política global de seguridad de red. pasar por una la lista y comprobar que cada tema se aborda en forma segura. Las listas de acceso identifican tráfico que ha de ser filtrado en su tránsito por el router. Una lista de acceso también pueden utilizarse para identificar el tráfico “interesante” que sirve para activar las llamadas del enrutamiento por llamada telefónica bajo demanda (DDR). Se pueden usar listas de acceso IP para establecer un control más fino o la hora de separar el tráfico en diferentes colas de prioridades y personalizadas. pero no puede filtrar él tráfico originado por el propio router. Uso de Listas de Control de Acceso (ACLs) como parte de la seguridad en la red para el control de tráfico Los router se sirven de las listas de control de acceso (ACL) para identificar el tráfico. Las listas de acceso constituyen una eficaz herramienta para el control de la red. Despliegue de nuevas capacidades sustanciales (por ejemplo.  Seguridad física  Configuración estática de seguridad  Configuración dinámica de seguridad  Servicio de seguridad de la red  Respuesta ante compromiso e. no es posible bloquear el acceso Telnet desde dicho router. Ataque de Detección o grave compromiso. El filtrado de paquetes permite controlar el movimiento de paquetes dentro de la red. una nueva red privada virtual) o de nuevos componentes de la red (por ejemplo. notificará a todas las personas autorizadas de la administración del router y todas las personas autorizadas para el acceso físico a él.

De no ser así. números de puerto y otros parámetros.Capítulo I Seguridad y Defensa de la Red Las listas de acceso son mecanismos opcionales del software (ejemplo. Giovana Garrido Página 41 . el router comprueba si la interfaz de destino esta agrupada en alguna lista de acceso. que no ha sido agrupado a ninguna lista de acceso de salida. Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada. Cisco IOS) que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino. Si el paquete de salida está destinado a un puerto ha sido agrupado en una lista de acceso outbound.(evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado). o bien descartados. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo. Las listas de acceso no actúan sobre paquetes originados en el propio router. Operatividad de las listas de acceso Cuando un paquete llega a una interfaz. Si el paquete de salida está destinado a un puerto. Si no existe ninguna ruta hasta la dirección de destino. basándose en la dirección IP de la red-subred-host de origen. A continuación. el paquete puede ser enviado al búfer de salida. si el paquete pasa las pruebas de filtrado. Listas de acceso de salida Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión. Listas de acceso estándar Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. dicho paquete será enviado directamente al puerto destinado. será procesado para su enrutamiento. el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. Las listas de acceso pueden aplicarse de las siguientes formas: Listas de acceso de entrada Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. como las actualizaciones de enrutamiento a las sesiones Telnet salientes. el paquete es descartado. paquetes que se trasmiten por el router. y paquetes que salen de las interfaces de salida del router. antes de que el paquete pueda ser enviado al puerto destinado será verificado por una serie de instrucciones de la lista de acceso asociada con dicha Prof. También pueden verificar protocolos especificados. Listas de acceso extendidas Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete.

Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso. cuando el paquete será denegado implícitamente. instrucción a instrucción. Es posible tener varias listas para una interfaz. En lugar de salir por alguna interfaz. Una vez que se produce una coincidencia. Esta condición final se aplica a todos esos paquetes y se traducen en una condición de denegación del paquete. Esto significa que una condición que deniega un paquete en una instrucción no puede ser afinada en otra instrucción posterior. Implementación de listas de acceso Una lista de acceso puede ser aplicada a múltiples interfaces. La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. el paquete será admitido o denegado. Para las listas de salida permit significa enviar al búfer de salida. sólo puede haber una lista de acceso por protocolo. siempre esta activa. al final de cada lista de acceso. mientras que deny se traduce en descartar el paquete. y el paquete será permitido o denegado según se especifique en la instrucción competente. es necesaria que en toda lista de acceso exista al menos una instrucción permit. en caso contrario la lista de acceso bloquearía todo el tráfico. mientras que deny significa descartar el paquete. El proceso de comparación sigue hasta llegar al final de la lista. se aplica la opción de permiso o denegación y se pone fin a las pruebas de dicho paquete. Giovana Garrido . todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. dirección e interfaz. pero cada una debe pertenecer a un protocolo diferente. Prueba de condiciones en listas de acceso Las instrucciones de una lista de acceso operan en un orden lógico secuencial. el resto de las instrucciones de la lista serán omitidas. Página 42 Prof. Evalúan los paquetes de principio a fin. Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. la prueba continua con la siguiente instrucción de la lista.   Utilice sólo números de listas de acceso dentro del rengo definido por el fabricante para el protocolo y el tipo de listas que va ha crear. por dirección y por interfaz. Para las listas de entrada permit significa continuar el procesamiento del paquete tras su recepción en una interfaz. Sólo se permite una lista por protocolo. Esta instrucción final se conoce como la denegación implícita de todo. Si la cabecera de un paquete no se ajusta a una instrucción de la lista de acceso. Aunque esta instrucción no aparece en la configuración del router. Cuando se descarta un paquete IP. Debido a dicha condición. ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable. Sin embargo.Capítulo I Seguridad y Defensa de la Red interfaz. Dependiendo del resultado de estas pruebas.

Consideraciones Finales Cuando los paquetes de información viajan entre su destino y origen. Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router.Capítulo I Seguridad y Defensa de la Red    Procesamiento de principio a fin: . Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo dar á paso (permitirá) a todo el trafico. regla. se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista. . . filtros y excepciones que le indican que rutas son las más apropiadas para enviar los paquetes. Los Routers "toman decisiones" en base a un conjunto de datos. Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa. Switch Prof.Toda lista de acceso deben incluir al menos una instrucción permit. En cambio.No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas. determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve el paquete a su origen en caso de que él no sea el destinatario del mismo. b. En caso de que el paquete provenga de afuera. En caso contrario. pero siempre delante de la condición de denegación implícita.Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales. si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia el Router de la red destino. si se conectan dos redes del tipo LAN se utilizan Bridges. Giovana Garrido Página 43 .A menos que termine una lista de acceso con una condición de permiso implícito de todo. los cuales son puentes que operan a nivel de Enlace. .Las adiciones a las listas se agregan siempre al final de éstas. La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de determinar. estos pasan por diferentes Routers (enrutadores a nivel de Red). pero sí cuando se usan listas de acceso IP con nombre (característica de Cisco IOS v. vía TCP/IP.2) Denegación implícita de todo: . Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales. Cree una lista de acceso antes de aplicarla a la interfaz. No pueden hacer de filtro para el tráfico originado por el propio router.11. todo el tráfico será denegado.

Sistema Operativo: Si un sistema operativo no se le da un cambio actualizado. muchos ajustes por defecto varían entre las distintas versiones del sistema operativo. Otro aspecto a considerar al momento de actualizar e instalar versiones del sistema operativo es lo siguiente:  Si utiliza un servidor TFTP. pero la más simple consiste en garantizar que el tráfico TFTP no atraviese redes hostiles. También. Hay que estar preparado para volver a llevar a cabo la actualización ya sea por que ha sufrido un bajo rendimiento o por comprometer la seguridad del switch.Capítulo I Seguridad y Defensa de la Red A pesar de ser de capa 2 (de acuerdo al modelo OSI). no hay facilidad para modificar o parchear el IOS instalado. A continuación elementos importantes a considerar en un switch. no deje habilitado el servicio TFTP en el servidor. Además. siempre realice cualquier tipo de copia de seguridad de la configuración de un switch. confirmar el éxito por separado y antes de actualizar su contraparte. Si es posible. la interconexión del sistema operativo (IOS). Por ejemplo. el cambio de rendimiento puede verse afectado debido a la inactividad de la actualización o de características que no funcionan correctamente después de la actualización. Existen varios enfoques para hacer esto. es preocupante porque no proporciona ninguna seguridad de TFTP. Es importante señalar que la mayoría de las actualizaciones del IOS sólo puede lograrse mediante la sustitución de la IOS que se ejecuta en el switch. En primer lugar. el administrador pueden exponer a las contraseñas encriptadas divulgando la información. actualizar cada switch redundante. Por lo tanto. Ejemplo. pueden ser susceptibles a la toma de información y ataques a la red.  En tercer lugar. algunas versiones más recientes ofrecen servicios que no esté Prof. Es muy importante leer las notas de la versión de una nueva versión de IOS en forma cuidadosa antes de instalar. Los atacantes pueden encontrar debilidades en las versiones de un sistema operativo a través del tiempo. el sistema operativo de Cisco. pero si se hace incorrectamente puede que se de una vulnerabilidad. sustituir el switch por otro como repuesto para realizar la actualización fuera de línea sin causar una larga interrupción en la conectividad de red. Nuevas características de seguridad se añaden a cada nueva versión del sistema operativo. Giovana Garrido Página 44 . siempre desactivar inmediatamente después de terminar el procedimiento de instalación. es fundamental que el administrador de TFTP protege el servidor de la transacción y de los posibles atacantes. Contramedidas Instalar la última versión estable del sistema operativo. Algunos de estos ajustes pueden afectar la seguridad del switch. En redes con switches redundantes. Una actualización del IOS tendrá un impacto. y posiblemente un cambio en la red. Una actualización puede ser beneficiosa para la seguridad. Cisco mantiene lo que son las imágenes del sistema. La aproximación más simple a mitigar este riesgo es permitir el cambio de la contraseña secreta inmediatamente después de la instalación. esta podría comprometer una red local. Por ejemplo.  En segundo lugar. es similar a otros sistemas operativos con respecto a ser sensibles a las deficiencias de sus versiones. para asegurar que esta versión puede cambiar totalmente las funciones de apoyo necesarias en la red.

Capítulo I Seguridad y Defensa de la Red presente en versiones anteriores. que proporciona acceso directo a la administración. Por último. telnet) pueden ser en texto plano y se puede tomar en una red mediante un analizador de redes. El nivel privilegiado suele ser visitado después de la de nivel de usuario está establecido.  Si el "enable secret" del switchg no está configurado o es una contraseña débil. Cada nivel es generalmente configurado con una contraseña. utilizando una función basada en hash MD5. la consola de línea (línea con 0). El nivel de usuario suele ser visitado a través de Telnet o SSH para conexiones a través de un interruptor o la línea de la consola en el switch. Por lo tanto. Passwords: Vulnerabilidades Algunos switch tienen dos niveles de acceso por defecto: Usuario (Nivel 1) y privilegiados (Nivel 15). Si el puerto de administración en la configuración de los switch es demasiado permisivo. Asimismo. Contramedidas Las siguientes son algunas contramedidas para mitigar las vulnerabilidades asociadas con los passwords en los sistemas operativos de los switch. entonces un atacante podría obtener privilegios de acceso para recuperar o cambiar la información del dispositivo.  Activar el servicio de encriptación de password  En “enable secret” aplicar números. entonces puede utilizar las contraseñas para acceder a este sistema. utilizando la misma contraseña "enable secret". Vulnerabilidades específicas relacionadas con el puerto de administración son las siguientes: Prof. Las vulnerabilidades específicas que están asociados con estas contraseñas son las siguientes:  Un switch muestra las contraseñas en texto plano por defecto para las siguientes configuraciones en el archivo de configuración: el "enable password". El nivel de privilegio se puede configurar ya sea con un "enable password" o "enable secret”. es importante leer y seguir las notas de la versión de una nueva versión de IOS cuidadosamente. Giovana Garrido Página 45 . Puerto de Administración: Vulnerabilidades: Un switch tiene un puerto de administración. y sobre todo caracteres especiales al password. y otros ajustes en un switch permite el compromiso potencial. Las contramedidas están descritas para los passwords de la línea de consola. El "enable secret" es el modo de protección de contraseña más segura. letras. el username password. las líneas terminal virtual y el usarname en el puerto de administración y de los servicios de red. que un "enable password". porque la contraseña para determinados ajustes (por ejemplo. El atacante que puede recoger las contraseñas de ir a un switch. Si un atacante puede toma el archivo de configuración usando un analizador de red. puede ser capaz de obtener acceso de nivel privilegiado en un momento posterior. y cambiarlo cada 90 días (recomendado por Cisco). establecer la misma contraseña para el "enable secret en múltiples switchs proveyendo un único punto de falla porque se puso en peligro y comprometió uno de los switchs. la línea de consola y las líneas de terminal virtual. entonces el switch es susceptible a ataques.

el acceso fuera de banda sería preferible para ciertas funciones (por ejemplo. y por otros parámetros de un switch.Capítulo I Seguridad y Defensa de la Red    Un switch con un puerto de administración usando una cuenta por defecto permite a un atacante que trate de hacer las conexiones mediante uno o más de las bien conocidas cuentas de usuario por defecto (por ejemplo. Este método no se mezcla con el tráfico de administración operativa y no consume ancho de banda de funcionamiento. Las siguientes contramedidas mitigan las vulnerabilidades a la línea de consola disponibles en cada switch. basados en la red. Giovana Garrido Página 46 . las actualizaciones del sistema operativo). Contramedidas: El método más seguro para administrar un switch es administración fuera de banda (outof-band management). security). Servicios de Red: Prof. con una contraseña por defecto o con una contraseña débil. como por ejemplo Cisco que se desactive el tiempo de espera. No establezca el tiempo a cero. root. El atacante puede tomar las contraseñas de telnet desde el tráfico de la red e ir a un switch. Si un switch tiene un puerto de administración establecidos sin contraseña. Asimismo. Si las conexiones en el puerto de administración en un switch no tienen un periodo de tiempo establecido o tiene un gran periodo de tiempo (más de 9 minutos). Este acceso implica el uso de una red de área local virtual (VLAN). Por último. Esta solución es suficiente para muchas funciones de administración. porque en algunos switch.  Aplicar números. y cambiarlo cada 90 días. utilizando la misma contraseña por el puerto de administración. las conexiones estarán más disponibles para que un atacante pueda hacer daño.  Establezca el tiempo de ejecución a 9 minutos o menos para desconectar conexiones inactivas a la línea de consola. entonces un atacante puede adivinar la contraseña o crack (por ejemplo. Sin embargo. y sobre todo caracteres especiales al password.  Crear un banner para el proceso de acceso a la línea de consola para cada switch. porque la contraseña para determinados ajustes (por ejemplo. El atacante que comprometa un switch puede comprometer otros switch. permite el potencial compromiso. puede ser capaz de acceder para cambiar el puerto de administración en un momento dado. administrator. establecer la misma contraseña para elpuerto de administración en múltiples switch proporcionando un único punto de fallo.  Establecer una cuenta única para cada administrador de acceso a la línea de consola. entonces. telnet) pueden ser en texto plano y se puede tomar de red mediante un analizador de redes. El out-of-band management es un sistema de administración y uso dedicado vías de comunicación. La figura muestra una serie de Terminal Server y una administración separada (out-ofband management) de acceso a puerto de consola de todos los switch. letras. a través de ataques de diccionario) y recuperar o cambiar la información sobre el cambio.

Capítulo I Seguridad y Defensa de la Red Vulnerabilidades: Los sistemas operativos de los switch pueden tener una serie de servicios de red habilitada. Las características o la mala configuración de los servicios de red en un switch pueden conducir a comprometer al mismo. entonces un atacante puede adivinar la contraseña o crack (por ejemplo. sin embargo. telnet) para realizar la administración en un switch. superior a 9 minutos). contraseñas u otra información de configuración relacionados con el switch. Un switch que no prevé la protección de los puertos permite que un atacante entre a un sistema por un puerto que no es utilizado por estar habilitado para llevar a cabo la recopilación de información o Prof. entonces. de modo que un atacante puede ser capaz de tomarlo del tráfico de la red. con una contraseña por defecto o con una contraseña débil.  Un switch con un servicio de red utilizando una cuenta de usuario por defecto permite a un atacante tratar de hacer conexiones mediante uno o más de las bien conocidas las cuentas de usuario por defecto (por ejemplo. administrator. a través de ataques de diccionario) y recuperar o cambiar la información del switch. Las vulnerabilidades específicas de los asociados con los servicios de red incluyen los siguientes:  Conexiones a muchos servicios en un switch no están encriptados. El tráfico puede contener nombres de usuario. las conexiones estarán más disponibles para que un atacante entre a ellos. El out-of-band management reduce la exposición de la información de la configuración y mejora la administración por contraseñas. relacionarlos con estos servicios mediante un analizador de redes.  Si las conexiones a un servicio de red en un sistema no tiene un periodo de tiempo establecido o tiene un gran periodo de tiempo (por ejemplo. Contramedidas: Si es posible. a través del puerto de consola) para cada uno. security).  Amplio acceso a la red de servicios en un switch hace que este sea vulnerable a los ataques. Muchos de estos servicios no suelen ser necesarios para un cambio del funcionamiento normal. si estos servicios están habilitados entonces el switch pueden ser susceptible a la recopilación de información de la red o por ataques. Los siguientes contramedidas para mitigar las vulnerabilidades de los servicios de red activada en el switch son las siguientes: servicios de red innecesaria y los servicios de red necesarios potencialmente. establecer la misma contraseña para el servicio de red de múltiples switchs proporciona un único punto de fallo. Amplio acceso significa que todos los sistemas o de un gran número de sistemas se puede conectar al switch. Seguridad de los puertos: Vulnerabilidades: Las interfaces de Nivel 2 en un switch se denominan puertos. se recomienda utilizar out-of-band management (por ejemplo.  Si un switch ha establecido un servicio de red sin contraseña. Giovana Garrido Página 47 . La mayoría de estos servicios se basan en uno de los siguientes mecanismos de transporte en la capa 4 del modelo OSI: Protocolo de control de transmisión (TCP) y Protocolo de datagramas de usuario (UDP). Asimismo. El atacante que comprometa un switch puede comprometer los otros switchs. root. en lugar de utilizar un servicio de red (por ejemplo.

Disponibilidad del sistema: Vulnerabilidades: Muchos ataques existen y se crean más a causa de la denegación de servicio.3x permite la recepción de los puertos para hacer una transmisión pausada de los paquetes del remitente en momentos de congestión. Detección unidireccional Enlace de Datos). entonces el vínculo se cierra hasta que manualmente sea restaurado. el ancho de banda) disponibles. Estos ataques se centran en los recursos (por ejemplo. Por lo tanto. puede determinar si existe una relación unidireccional entre ellos. un atacante podría recopilar información del tráfico. Contramedidas: Las siguientes contramedidas mitigan las vulnerabilidades en la disponibilidad del sistema de cada switch. Sin embargo. el procesador de sistema. Si se detecta uno. una pausa en la trama pueden ser recibir y detener la transmisión de paquetes de datos. UDLD mensajes podrían utilizarse en ataques por denegación de servicio. obteniendo asi los nombres de usuario. ya sea parcial o total. Las Vulnerabilidades específicas asociadas con la disponibilidad del sistema son los siguientes:  Algunos fast flooding attacks pueden provocar que el procesador del switch no este disponible para el acceso administrativo. contraseñas o información de configuración sobre los sistemas en la red. Si no se configura correctamente.  El ataque de inundación SYN (SYN Flood attack) envía repetidas peticiones de conexión sin enviar la aceptación de los acuse de reconocimiento a la solicitud de conexión. a los sistemas o redes. voz sobre IP (VoIP)]. Las pausas de tramas de flujo de control podría ser utilizado para un ataque de denegación de servicio. Todos los puertos de switch o interfaces deben garantizarse antes de que el switch este funcionando. Este ataque puede desbordar el switch en el búfer de conexión y desactivarlo. De esta manera los elementos de seguridad se establecen o eliminan según sea necesario en lugar de añadir funciones y el fortalecimiento al azar o como resultado de un incidente de seguridad.  Llevar redes convergentes a tráfico de voz y de datos [por ejemplo. Prof.  Algunos ataques activos y ciertos errores pueden causar inundaciones de paquetes a los puertos de un switch.  Los switchs directamente conectados funcionan con el protocolo Unidirectional Link Detection (UDLD. Un switch puede ser configurado para actuar como un concentrador. Los switch son muy susceptibles a estos ataques. lo que significa que cada sistema conectado al switch puede ver todo el tráfico de red que pasa por el a todos los sistemas conectados al switch. Tenga en cuenta que la protección de los puertos no puede utilizarse para los puertos de acceso dinámico o los puertos de destino para el Analizador de puerto del switch. Contramedidas: El puerto de seguridad limita el número válido de direcciones MAC permitidas en un puerto.Capítulo I Seguridad y Defensa de la Red ataque. utilizar el puerto de seguridad para activar los puertos en el switch en la mayor medida posible. Giovana Garrido Página 48 . Si esta característica está habilitada.  El flujo de control 802. puede permitir que estas redes de tráfico de voz puedan convertirse en un tráfico de datos flood attack.

Sin embargo. Sin embargo. Ayudar a prevenir SYN Flood Attack. la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente. que aglutinan tanto las funciones de conmutación (nivel 2 Capa_de_enlace_de_datos) como las funciones de enrutado (nivel 3 Capa_de_red). por medio de la agrupación realizada de una forma lógica en lugar de física. determinar fácilmente los paquetes de voz. aunque la señalización de voz y de datos esté encriptados. considerar el uso de Quality of Service (QoS) para el tráfico de voz. hasta ahora. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de "broadcast". por su conexión al mismo concentrador o segmento de la red. la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente. Los grupos de trabajo en una red. Giovana Garrido Página 49 . Desactivar el control de flujo en la interfaz. Los esquemas VLAN (Virtual LAN o red virtual). han sido creados por la asociación física de los usuarios en un mismo segmento de la red. Adicional a esto. Virtual Local Area Networks (VLAN): VLAN es el acrónimo de Virtual Local Area Network o Virtual LAN. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo.Capítulo I Seguridad y Defensa de la Red      Prevenir fast flooding attacks y garantizar de que la prioridad sea la más baja. Este concepto surge con la aparición de los conmutadores (ver switch) de nivel 3 o superior. Como consecuencia directa. Prof. han sido creados por la asociación física de los usuarios en un mismo segmento de la red. por su conexión al mismo concentrador o segmento de la red. hasta ahora. Consiste en cada una de las redes de área local (LAN) creadas en los conmutadores. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo. de forma que el tráfico de las distintas redes dentro del mismo switch no se mezcla entre ellas gracias a los mecanismos de enrutado. dando un tiempo de conectividad al administrador. Más aún. o en un mismo concentrador o hub. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de “broadcast”. nos proporcionan los medios adecuados para solucionar esta problemática. Deshabilitar globalmente el UDLD. existen analizadores de red que pueden fácilmente identificar este tipo de tráfico. o en un mismo concentrador (hub) Como consecuencia directa. Con el fin de que el tráfico de voz pueda tener prioridad a través de una red. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos. También se dice que son "dominios de broadcast" (ver router) dado que el tráfico de broadcast a nivel 2 no se difunde entre las diferentes VLANs sino que se queda limitado al conjunto de puertos (físicos o virtuales) que pertenecen a cada una de las VLANs. Más aún. y en cada interfaz donde no sea requerido. incluso los procesos para obtener el uso del tiempo de procesador. en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de “broadcast” Los grupos de trabajo en una red.

La separación de las redes en VLAN permite un mejor funcionamiento a nivel administrativo. es que los usuarios de las redes virtuales pueden ser distribuidos a través de una red LAN. por su función específica dentro del grupo. logramos. Los usuarios pueden. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos. Además. La capa 3 incluye métodos de agrupación y de protocolo de red IP multicast. Pero aún se puede llegar más lejos. por supuesto. podemos mantener diferentes usuarios del mismo grupo. puertos 6 Prof. sin limitación ninguna más que la impuesta por el administrador de dichas redes. la creación de diferentes VLAN para voz y datos para simplificar el filtrado. Los métodos de Nivel 2 incluyen VLANs basadas en puertos y agrupación de capa MAC. a través de las listas de control de acceso es una buena guía. manteniendo la seguridad deseada en cada configuración por el administrador de la red: Se puede permitir o no que el tráfico de una VLAN entre y salga desde/hacia otras redes. Hay una variedad de métodos para la aplicación de miembros de una VLAN. el incremento del ancho de banda en dicho grupo de usuarios. es más sencillo de aplicar. Por ejemplo. como consecuencia directa. cuando los sistemas de la VLAN tienen funciones similares. Las VLANs proporcionan segmentación lógica de un switch ya sea en sus distintos ámbitos. La principal diferencia con la agrupación física. sino a diferentes oficinas intercomunicadas mediante redes WAN o MAN. dependerá de los proveedores. Así por ejemplo. Por otro lado. manteniendo su pertenencia al grupo de trabajo lógico. Los miembros basados en Puerto es el método más común de la definición de VLANs. a lo largo de países y continentes. así. por medio de la agrupación realizada de una forma lógica en lugar de física. los puertos 1 a 5 podrían asignarse a la VLAN 100. Por ejemplo. incluso situándose en diferentes concentradores de la misma. El estado de filtrado. en función tanto de las instalaciones existentes como del ancho de banda que cada uno precise. podemos situar puentes y encaminadores entre ellos.Capítulo I Seguridad y Defensa de la Red Los esquemas VLAN (Virtual LAN o red virtual). el administrador asigna a cada puerto de un switch a una VLAN. Las redes virtuales nos permiten que la ubicuidad geográfica no se limite a diferentes concentradores o plantas de un mismo edificio. unos con FDDI y otros con Ethernet. como se ha mencionado. Para VLANs basadas en puertos. al poder distribuir a los usuarios en diferentes segmentos de la red. al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos. Todo ello. en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de "broadcast". Sin embargo. separando segmentos con diferentes topologías y protocolos. Giovana Garrido Página 50 . claro esta. "moverse" a través de la red. nos proporcionan los medios adecuados para solucionar esta problemática.

Esta configuración se encuentra comúnmente en las configuraciones con múltiples servidores. Private VLAN (PVLAN) Vulnerabilidades: En algunos casos en los que sistemas similares no necesitan interactuar directamente. Tampoco el enlace trunking. Otro elemento importante de implementación de VLAN es el método utilizado para indicar cuando un miembro de paquetes viaja entre los switch. dedicar una VLAN con puerto físico de switch para el uso administrativo. para el caso de los hosts en una comunidad de PVLANs se comunican con ellas mismas o con los puertos promiscuos asociados. También proporciona un acceso más fácil a los atacantes. entonces ese servidor puede ser la fuente de un ataque a Prof.1q VLAN trunck. No permita el acceso a VLAN operativo para la administración del mismo. deben ser enviadas en una VLAN en los enlaces trunk. Contramedidas: No utilizar la VLAN 1 fuera o dentro de la administración. tales como De-Zona militarizada (DMZ) subred fuera de un firewall o un servidor de acceso del campus fuera de una zona de un switch de alta velocidad. Esto permite que un sistema pueda ser trasladado a otro puerto sin modificar la asignación de VLAN del puerto. Además. Proporcionar redes basados en out-of-band management . A continuación describiremos las vulnerabilidades y las contramedidas correspondientes para las siguientes áreas: VLAN 1. VLAN 1 puede abarcar toda la red si no está debidamente ramificado. En algunos casos. La PVLANs secundaria puede estar aislada de PVLANs o de una comunidad PVLANs. por lo que la VLAN 1 fue seleccionado. El propósito de utilizar PVLANs es proteger los sistemas unos de otros para que compartan un mismo segmento de VLAN para proporcionar separación de capa 2. La PVLAN primaria define el dominio de broadcast con el cual se asocia a la PVLANs secundaria. como el CDP y VTP. los protocolos de capa 2. ya sea Cisco Inter-Switch Link (ISL) o el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) estándar 802. VLAN y Saltos y Asignación dinámica de VLAN. y conectar la VLAN al switch dedicado y una ruta de comunicaciones para la administración de los hosts.Capítulo I Seguridad y Defensa de la Red a 8 a VLAN 200 y los puertos 9 a 12 a VLAN 300. PVLANs ofrece protección adicional. trunk autonegotiation. Se determina la pertenencia a la VLAN de cada paquete señalando el puerto en el que llega. VTP. Por otra parte. las implementaciones de VLAN dinámica asigna específicamente MACs a cada VLAN. Si un servidor se ve comprometido. Los hosts en una comunicad de PVLANs aisladas solamente estarán con puertos promiscuo. private VLAN. Giovana Garrido Página 51 . incluidos los de administración de puertos. Las etiquetas de cada paquete indican la pertenencia a la VLAN de conformidad con los estándares. Esta configuración proporciona grano fino de capa 2 para el control de aislamiento de cada sistema. VLAN1 Vulnerabilidades: Los switchs usan VLAN 1 como la VLAN por defecto para asignar a sus puertos. a. Crear una interfaz virtual Switch (SVI) de tres capas para que la interfaz VLAN.

pero utilizando diferentes protocolos o servicio de coubicación de CallManagers. VTP permite la adición. Por ejemplo. mientras que la VLAN privada guarda un CallManager comprometido desde la llegada a los otros directamente a la capa 2. PVLANs proveerán un adicional ataque de mitigación. pero no se originan en ellos. Los routers deben estar en puertos promiscuos. Solamente los servidores que necesiten comunicarse directamente con otros servidores deberán estar en una comunidad PVLAN. no se originan los paquetes VTP. Un switch en modo transparente recibe y envía paquetes VTP. Un switch en el modo cliente recibe. que es un sistema de capa 3 y está conectado a un puerto promiscuo. supresión y cambio de nombre de VLAN en una red amplia. el cual elude la protección PVLAN de Nivel 2. Virtual Trunking Protocol (VTP) Vulnerabilidades: VTP es un derecho de propiedad de Cisco del protocolo de mensajería de capa 2 utilizado para distribuir la información de configuración de VLAN sobre trunks. pero puede tener éxito en el Nivel 3. utiliza y transmite paquetes VTP. Giovana Garrido Página 52 . dos hosts en una PVLAN aislada no va a comunicarse a la capa 2. Contramedidas: Una configuración con múltiples servidores en una única VLAN podrá utilizar PVLANs de capa 2 entre ellos. y sincronizan sus bases de datos. Un router. podría el tráfico de router llegar a todos los puertos de la PVLAN. Un router puede transmitir de nuevo el tráfico en la misma subred en la que se originó. En las redes de voz pueden estar en el caso de ciertos proxies. La PVLAN aisla el tráfico en Capa 2. Las PVLANs tienen una limitación que debe ser abordado para que dicho sistema sea seguro. el cual permite que los switch tengan una organización coherente de configuración de VLAN dentro de un dominio de administración VTP. En el modo de servidor los administradores pueden crear. Un switch en modo servidor originado por las configuraciones de VLAN VTP de otros switch a utilizar. Los servidores VTP publican sus configuraciones de VLAN a otros switches en el mismo dominio VTP.Capítulo I Seguridad y Defensa de la Red otros servidores. En algunos casos en los que sistemas similares no necesitan interactuar directamente. Esta situación puede abordarse cuando sea necesario por listas de control de acceso del router. el cual actúa el mismo conjunto de usuarios. ni utilizan los paquetes que recibe para reconfigurar su base de datos VLAN. y un switch podrá participar solamente en un dominio de administración VTP. Todos los switch en el mismo dominio de administración compartirá su información de VLAN. Prof. y servidores en PVLAN aislada. Un switch en cualquier modo pueden participar en VTP reducido. en la que se abstiene de retransmisión de los paquetes VTP en los puertos seleccionados. Un switch puede estar en uno de los tres modos VTP: servidor. la coubicación permite el uso de la misma para el estado del filtro CallManagers. Aplicar VACLs en la PVLAN primaria para filtrar el tráfico originado por y dirigidas al mismo segmento. cliente y transparente. modificar y suprimir VLAN para todo el dominio de administración VTP. b. PVLANs mitigar este riesgo se desestimando la comunicación entre los servidores que no tienen contacto con ningún otro. En este último ejemplo.

Asigne interfaz trunk para una VLAN nativa a VLAN1. Contramedidas: No utilizar hasta donde sea posible el DTP. Un puerto puede utilizar el Dynamic Trunking Protocol (DTP) para negociar automáticamente con la línea que va a utilizar. Sin embargo. sobrescriba o elimine completamente todas las tareas de VLAN de una red operativa con sólo conectarlo a la red. el cual ha sido objeto de un número suficiente de reconfiguraciones VTP. y un servidor con una configuración de mayor número de revisión en su base de datos reemplaza un VTP con un menor número. Es completamente posible que un solo switch. la contraseña en hash con otra información. Si un vecino del puerto de modo DTP se convierte en "trunk". Aún peor. Un atacante con un analizador de redes pueden adquirir conocimientos sobre la estructura de la red VLAN. no colocar la línea de interfaces en modo permanente sin negociación. " dynamic auto ". Un ataque de ese tipo no tiene que ser necesariamente malicioso. VTP configurado con una contraseña sólo garantiza la autenticidad de mensajes. Sin embargo. que es un estándar abierto. Por lo tanto. la contraseña no encriptada o de otro modo. switch comparten información de VLAN sin ningún tipo de autenticación. oculta la información dentro de VTP. Además.1q. Un cliente comprueba la contraseña antes de aplicar una configuración de VLAN que recibe a través de VTP. la configuración de VLAN inexactas puede propagar a lo largo de un dominio VTP. y ISL. es más difícil determinar la contraseña de otro tráfico de la red.Capítulo I Seguridad y Defensa de la Red Por defecto. Por defecto. Giovana Garrido Página 53 . simplemente moviendo un switch de lugar a una red operativa podría tener este efecto. Trunk Auto-Negotiation Vulnerabilidades: El trunk es el enlace punto a punto entre dos puertos. Un atacante que pueda explotar DTP puede obtener información útil de estas VLANs. normalmente agrega paquetes de múltiples VLANs. sin negociación. la administración de dominios VTP se establecen un modo de inseguridad sin una contraseña. Por defecto. que es una norma de propiedad de Cisco. Es posible mitigar el peligro de accidentes de sobrescritura con la protección de contraseña. un puerto Ethernet de Cisco con modo por defecto DTP es " dynamic desirable". vienen con switch VTP en modo de servidor por defecto. en particular cuando se hace uso de un gran número de VLAN. Prof. Cisco implementa dos tipos de trunk: IEEE 802. el miembro de VLAN del nuevo trunk está disponible en todas las VLAN del switch. entonces la línea se convertirá en un trunk automáticamente. VTP es suficientemente peligroso por lo cual se aconseja no utilizarlo. o " "dynamic desirable ". Contramedidas: Es evidente que VTP simplifica la administración. dando a cada switch tengan acceso completo a todas las VLANs en switch vecino. Colocar la línea de interfaces en modo permanente. Sin embargo. y si dos switch soportan un protocolo de trunking común. Para agravar este problema. c. permite que el puerto activamente trate de convertir en enlace en un trunk.

Ambas situaciones resulta en más vías para la obtención de información para sus ataques. No hay autenticación que impida de tal acción. f. adjunta la categorización de los sistemas en los switch a los grupos que utilicen los mismos servicios de red. Use solo una VLAN nativa para cada trunk en un switch. STP pasa por una serie de estados (por ejemplo. también conocido como 802.Capítulo I Seguridad y Defensa de la Red Especificar la lista de todas las VLANs que son parte del trunk. Considere también la red de servicios utilizados por Prof. La agrupación de los sistemas de esta manera ayuda a reducir el tamaño y la complejidad de las listas de control de acceso asociadas. ftp. que es un sistema dentro de la red puede modificar activamente la topología STP. se utilizan VLAN separada para CallManagers. PCCC Teléfonos IP. telnet. Access Control Lists Vulnerabilidades: Un switch o sin lista de control de acceso (ACL) o aplicando una ACL permisiva a una interfaz permitiendo un amplio acceso de las conexiones TCP / IP (por ejemplo. y no hay posibilidad de un bucle que se está creando. ICMP) a través de un switch a algún sistema (por ejemplo. Spanning Tree Protocol Vulnerabilidades: Spanning Tree Protocol(STP). es un protocolo de capa 2 diseñado para evitar bucles en redes conmutadas. Amplio acceso significa que todos los sistemas o un gran número de sistemas se pueden conectar a través del switch. Teléfonos IP SIP. una combinación de dos bytes y una prioridad de seis byte de dirección MAC. Sin embargo. y adelante) antes de que un puerto sea capaz de pasar el tráfico de un usuario. bloquear. Un switch con el menor bridge ID puede convertirse en el bridge raíz. En redes de voz. HTTP. Cuanto menor sea el bridge ID. es probable que el switch elijará el bridge raíz.1d. Una vulnerabilidad asociada con STP. Giovana Garrido Página 54 . Normalmente. escuchar. En los casos en que un único host está conectado a un puerto. todavía STP participa en los cálculos y pasa de un estado bloqueado en el caso de un bucle en la red. aprender. Los Bucles pueden ocurrir cuando las rutas de red redundantes han sido configuradas para garantizar su resistencia. El bridge ID. gateways MGCP y H. un servidor crítico) en la red protegida. Contramedidas: Habilitar STP Portfast Bridge Protocol Data Unit (BPDU) Guard para impedir las modificaciones de la topología STP. determina el bridge raíz en una red. lo que influye en los flujos de tráfico y la reducción de la eficiencia de la red. Contramedidas: En la preparación de la implementación de la ACL. Algunos de estos accesos pueden ser permitidos por defecto y puede ser configurado de manera que no sean evidentes para el administrador. Proxies.323 son un buen ejemplo de ello. DNS. la característica STP Portfast puede ser utilizado para una transición inmediata del puerto a un estado de reenvío. SNMP. d. Este proceso puede durar entre 30 y 50 segundos.

y la asignación de configuración de información (por ejemplo. La seguridad de acceso remoto es común en el proveedor de servicios de redes (véase también el proveedor de servicios de modelo arquitectónico). Giovana Garrido Página 55 . tal como la mejora de ACL para que puedan tener sentido en virtud de la política de seguridad de red. pila de direcciones.6 Seguridad para el acceso remoto Consiste en el acceso remoto por medio ya sea de línea telefónica tradicional. Existen diferentes tipos de listas de control de acceso: Lista de control de acceso de Puerto (PACL). como se muestra en la siguiente Figura.. sesiones punto a punto. 1. La ACL puede permitir o denegar cada paquete basado en la primera declaración de control de acceso que coincida con el paquete.Capítulo I Seguridad y Defensa de la Red sistemas similares de diferentes fabricantes (por ejemplo. gateways H. y otros servicios Prof. direcciones o router). Seguridad para el acceso remoto incluye lo que se conoce comúnmente como AAAA: la autenticación de los usuarios. etc.323). y terminales virtuales a través de conexiones de red privada. Consideraciones a la hora de proporcionar acceso remoto son los siguientes (vea la Figura siguiente):  Método(s) de AAA  Tipos de servidor y ubicación (ejemplo DMZ)  Interacciones con el DNS. pero se está convirtiendo en las redes de empresas como las empresas reconocen la necesidad de apoyar un modelo de acceso remoto para su redes. AAAA es generalmente apoyada por un dispositivo de red como un servidor de acceso de red (NAS) o sistema de gestión de abonados (SMS). Lista de control de acceso del router (RACL) y Lista de control de acceso VLAN (VACL. contabilidad de los recursos y la prestación de servicios. autorización de recursos a los usuarios autenticados.

Introducción Hay dos destacados protocolos de seguridad para el control de acceso a las redes son Cisco TACACS+ y RADIUS. autorizar y contabilizar (AAA). El segundo es una extensión Prof. TACACS+. XTACACS. Muchas características fueron introducidas en el protocolo TACACS+ tras conocer las necesidades del incipiente mercado de la seguridad. Cisco evaluó concienzudamente a RADIUS como un protocolo de seguridad antes de desarrollar TACACS+. Cisco soporta el protocolo RADIUS desde que sacó la "Cisco IOS(R) Software Release 11. para así puedas estar informado antes de tomar una decisión. y adaptarse a las nuevas tecnologías en seguridad mientras el mercado evoluciona. Cisco se ha comprometido a apoyar ambos protocolos con las mejores clases de ofertas. RADIUS y otros a.1" en Febrero de 1996. Hay tres versiones del protocolo de autenticación "TACACS" (Terminal Access Controller Access Control System. Giovana Garrido Página 56 . Definición Por tanto. El primer es TACACS ordinario. Cisco continua mejorando el cliente RADIUS con nuevas características y capacidades. Este protocolo fue diseñado para ampliarse a medida que crecen las redes. Se debe elegir la solución que mejor satisfaga sus necesidades. b. como parte de estos protocolos de autenticación. desde conexiones remotas. sistema de control de acceso del Controlador de Acceso de Terminales). apoyando a RADIUS como un estándar. La intención de Cisco no es competir con RADIUS o influenciar a sus usuarios a utilizar TACACS+.1 TACACS. hemos incluido estos protocolos muy utilizados en los sistemas de acceso en red.Capítulo I Seguridad y Defensa de la Red 1.6. La especificación RADIUS (Remote Authentication Dial-In User Service) está descrita en el RFC-2865. y ha estado en el uso por muchos años. fue el protocolo utilizado por Cisco en sus NAS. En este documento se comentan las diferencias entre TACACS+ y RADIUS. que sustituye al obsoleto RFC2138. La arquitectura subyacente del protocolo TACACS+ complementa la arquitectura independiente de autentificar.

En ese caso. Este paso está descrito e implementado en los routers de Cisco Systems con la AAA Authentication. El cliente es responsable de pasar información de usuario al equipo designado como servidor Prof.1 y para posteriores plataformas de su software. Este es un sistema para distribuir acceso remoto seguro a redes y a servicios de red que no cuentan con autorización de acceso.  Un cliente. opcionalmente. RADIUS también puede hacer de servidor para registrar y almacenar todos los logs que acontecen en el NAT o RAS. Es éste el que consulta su base de datos y comprueba si el usuario que ha realizado la llamada es en realidad quien dice ser. almacenando sus contraseñas y sus perfiles. y el cliente es el encargado de pasar las peticiones de conexión de los usuarios al servidor para que éste las autentique y responda al cliente diciéndole si ese usuario está o no registrado. .  Un servidor. Modelo Cliente/Servidor Una Network Access Server (NAS) opera como un cliente de RADIUS. Debido a esto TACACS y XTACACS no serán discutidos. El tercero. con datos sobre el perfil del usuario (tipo de servicio.. comúnmente llamado Extended Tacacs o XTACACS. El servidor contiene información de los usuarios. Ambos se documentan en RFC1492. El servidor está corriendo en un computador central situado típicamente en domicilio de cliente. Fue diseñado para autenticar usuarios y utiliza una arquitectura cliente/servidor. mientras que los clientes pertenecen al servidor de acceso dial-up y pueden ser distribuidos a través de la red. Un ejemplo de uso de RADIUS se puede dar en un ISP. donde el NAS (Network Access Server) hace de cliente RADIUS y un host del ISP podría hacer de servidor RADIUS. qué puede hacer y auditoría respectivamente. IP asignada. Opcionalmente. En caso contrario notifica al NAS que debe rechazar la petición de conexión. El NAS recibe vía módem una petición de acceso y envía los datos que el usuario ha proporcionado al servidor RADIUS.). Authoring y Accounting.. introducido en 1990.Capítulo I Seguridad y Defensa de la Red al primero. Además de estos logs. a pesar del nombre. protocolo de conexión. TACACS y XTACACS carecen de muchas características de TACACS+ y RADIUS. responde al NAS con una respuesta de aceptación de la llamada y. TACACS+ que. RADIUS es un servidor de acceso que utiliza el protocolo AAA. Cisco introdujo el cliente de RADIUS a Cisco IOS Software Release 11. RADIUS se comprende tres componentes:  Un protocolo con un formato que utiliza el Protocolo de Datagrama de Usuarios (UDP)/IP. es totalmente un nuevo protocolo y no es compatible con TACACS o XTACACS. RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. quién es. y actualmente están fuera de mantenimiento. Giovana Garrido Página 57 . el servidor RADIUS guardará logs (informes o históricos del sistema para auditoría) de las conexiones en las que estemos interesados.

independientemente de la carga y del lento mecanismo de autenticación de respaldo (un reconocimiento TCP) podría ser. UDP no puede mostrar las diferencias entre estar caído. Protocolo de Autenticación por Desafío (CHAP). Puedes determinar cuando se rompió la comunicación y retorno el servicio si usas conexiones TCP long-lived. c. Giovana Garrido Página 58 . gracias a un servidor de restablecimiento (RST). Protocolo de Autenticación por Contraseña (PAP). Además.  Prof. autenticar a los usuarios y devolver toda la información de configuración necesaria para ofrecer el servicio al usuario. como el número de intentos en la re-transmisión o el tiempo de espera para compensar la entrega. sufrir lentitud o que no exista servidor. las contraseñas de usuario son enviadas cifradas entre el cliente y el servidor RADIUS. Redes seguras Las transacciones entre el cliente y el servidor RADIUS deben ser autenticadas usando una clave compartida (shared secret). Mecanismos de autenticación flexibles Los servidores RADIUS soportan una gran variedad de métodos de autentificación de usuarios. El servidor RADIUS es el encargado de recibir las peticiones de conexión de usuarios. TCP ofrece algunas ventajas frente a UDP. la cual nunca se envía a través de la red. dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en la red. Los servidores Cisco incluyen Cisco Secure ACS for Windows. Eliminándose así la posibilidad de que alguien haga snooping en una red insegura pudiendo determinar alguna contraseña de usuario. soporta PPP.Capítulo I Seguridad y Defensa de la Red RADIUS. pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP:  TCP proporciona el uso de un identificador para las peticiones que sean recibidas. RADIUS requiere además de variables programables. Cisco Secure ACS for UNIX y Cisco Access Registrar. y a continuación actuar sobre la respuesta que se devuelve. TPC proporciona una marca inmediata cuando se rompe o no está corriendo la comunicación. Disponibilidad de servidores de código Existe un gran número disponible de servidores de código comerciales y libres. y otros mecanismos de autenticación. Cuando se establece un nombre de usuario y una contraseña original del mismo. mientras que UDP ofrece mejor esfuerzo en la entrega. TCP ofrece una comunicación orientada a conexión. Comparación TACACS+ y RADIUS En estos apartados se comparan varias características de TACACS+ y de RADIUS. Login UNIX. UDP y TCP RADIUS utiliza UDP mientras TACACS+ utiliza TCP.

es más util tener el cuerpo de los paquetes sin encriptar. Sin embargo. Para propósitos de depuración. Esto proporciona mejor control sobre los comandos que pueden ser ejecutados en un servidor de acceso mientras es separado con mecanismos de autenticación. Después un NAS de autenticación sobre el servidor Kerberos. durante el normal funcionamiento. que separa AAA. TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. Esto permite separar soluciones de autenticación. y luego el servidor proporcionará la información de autorización.25 con PAD Prof. y solamente necesitas enviar mensajes a los que se sabe que tienen que estar arriba y corriendo. permitiendo seguir utilizando TACACS+ para la autorización y la contabilidad. desde el cliente hasta el servidor. Conexiones a múltiples servidores pueden ser mantenidas simultáneamente. Por ejemplo. Dentro de la cabecera hay un campo donde se indica si el cuerpo está encriptado o no. Soporte multiprotocolo RADIUS no soporta los siguientes protocolos:  Protocolo de Acceso Remoto AppleTalk (ARA)  Protocolo de Control de Tramas NetBIOS. y la contabilidad pueden ser capturadas por un tercero. los servicios autorizados.  Encriptación de paquetes RADIUS encripta solamente la contraseña en el paquete de respuesta al acceso (accessrequest). TACACS+ usa la arquitectura AAA. El resto de paquetes está sin encriptar. los accesos al servidor se comprueban con un servidor TACACS+ para determinar si se le conceden permisos para ejecutar un comando en particular. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente. este solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Otra información. Durante una sesión. de las redes. con TACACS+. Autenticación y autorización RADIUS combina autenticación y autorización. TCP es más escalable y adaptable al crecimiento. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos. si adicionalmente la autorización de control es necesaria.  Interfaz de Servicios Asíncronos de Novell (NASI)  Conexiónes X. Giovana Garrido Página 59 . contienen información de autorización. así como la congestión. Esto hace difícil desasociar autenticación y autorización. las caídas de servidores pueden ser detectadas outof-band con peticiones reales.Capítulo I Seguridad y Defensa de la Red  Usando los TCP Keepalives. el cuerpo del mensaje es enteramente cifrado para más seguridad en las comunicaciones. como el nombre de usuario.

exec autorización. Interoperatibilidad Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs).Capítulo I Seguridad y Defensa de la Red TACACS+ ofrece soporte multiprotocolo. Si el cliente usa solo los atributos de la norma RADIUS en sus servidores. los comandos que están permitidos. Por lo tanto. ellos podrán interoperar con varios proveedores siempre y cuando dichos proveedores implementen los mismos atributos. autorización del comando (con RADIUS no se puede hacer). comando autorizado. Cisco implementa la mayoría de los atributos de RADIUS y coherentemente añade más. Si un cliente usa uno de esos atributos extendidos específicos del proveedor. el cumplimiento de la RADIUS RFCs no garantiza la interoperatibilidad. Ejemplo de tráfico en TACACS+ Este ejemplo asume el login de autenticación. El segundo método es para especificar explícitamente en el servidor TACACS+. muchos de los proveedores implementan extensiones de atributos propietarios. Administración de routers RADIUS no permite al usuario el control de comando que puede ser ejecutados en un router y cuales no. TACACS+ proporciona dos métodos de control de autorización de los comandos de un router. y comandos de contabilidad (con RADIUS no se puede hacer). la interoperatibilidad no está asegurada. iniciar-parar exec contabilidad. Giovana Garrido Página 60 . El primer método asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está o no autorizado en el nivel de privilegios especificado. y comandos de contabilidad que pueden ser utilizados por un usuario cuando hace telnet a un router. Estos ejemplos ilustran el tráfico entre el cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestión de routers con autenticación. la cantidad de tráfico generado entre el cliente y el servidor es diferente. realiza el comando y sale del router: Prof. RADIUS no es tan util para la gestión de router o flexible para servicios de terminal. Tráfico Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS. exec contabilidad. uno por usuarios (per-user) o por grupos (per-groups). por usuario o por grupo. Sin embargo. exec autorización.

realiza un comando y sale del router (la gestión de otros servicios no están disponibles): Prof. Giovana Garrido Página 61 . exec autenticación.Capítulo I Seguridad y Defensa de la Red Ejemplo de tráfico en RADIUS Este ejemplo asume el login de autenticación. e iniciar-para exec contabilidad que pueden ser utilizados con RADIUS cuando un usuario hace telnet a un router.

y contabilidad como procesos separados.1 1.14 1. por ejemplo).0 8.0(5)WC5 11.14 5.5 -- 5.1.20 5. RADIUS no puede controlar el nivel de autorización de los usuarios.15 -- 5. RADIUS no soporta el protocolo NASI de Novell (Novell Async Services Interface).27 -12.1 5.25. La implementación de RADIUS de diversas compañías puede que de errores. Revise las notas de la versión de su producto para obtener más información.33 -2. 5 3. Esto influye la versión del software en el que se añadió el soporte.2X12 2.5 -- 4. el ensamblador/desensamblador (PAD) de paquetes X.28.2.4. TACACS+ soporta todos los protocolos mencionados. si su producto no está en la lista Cisco Device Cisco Aironet1 Cisco IOS Software2 Cisco Cache Engine Cisco Catalyst switches Cisco CSS 11000 Content Services Switch Cisco CSS 11500 Content Services Switch Cisco PIX Firewall Cisco Catalyst 1900/2820 switches Cisco Catalyst 2900XL/3500XL switches Cisco VPN 3000 Concentrator 6 Cisco VPN 5000 Concentrator TACACS+ authentication 12.0 -- --- 2. haciendo muy difícil correr uno sin el otro.20 4.20 4.1. o el protocolo del acceso remoto de Appletalk (ARA o ARAP).2.0 RADIUS authorization all Accesspoints 11.0 -- 3.012 5.2X12 Resumen:       Mientras que TACACS+ encripta el paquete entero.15 -5.x enterprise9 11.012 5.56 5.204 5.(8)SA610 4.2.03 TACACS+ authorization 12.2 5.0 5. TACACS+ considera la autentificación.1.333 -5. Giovana Garrido Página 62 .07 -11. pero TACACS+ si lo puede hacer Prof.0 -12.4.04 5. el Protocolo de Marcos de NetBIOS. Esto permite usar otro método de autentificación (Kerberos. mientras que se usa TACACS+ para autorización y contabilidad. 4 RADIUS accounting all Accesspoints 11.0(5)WC511.2(4)JA 10.Capítulo I Seguridad y Defensa de la Red Dispositivos soportados En la siguiente tabla se muestra la lista de soporte AAA TACACS+ y RADIUS para los tipos de equipos y la plataforma elegida. RADIUS en realidad combina los procesos de autenticación y autorización.20 -4. autorización.2(4)JA 10.33 -5.2X12 11.1 5.0(5)WC511 2.1 5.03 TACACS+ accounting 12.4. o directamente no funcione.(8)SA610 5.5 5.(8)SA6 10 12.03 RADIUS authentication all Access-points 11. RADIUS encripta en el paquete cliente-servidor inicial solamente la contraseña.28.2(4)JA 10.4.

cabe considerar otro tipo de servidor para autenticación muy extendido en las redes Microsoft llamado Active Directory. PPP sobre Ethernet (PPPoE) y RADIUS en una red de acceso remoto RAS Todos son protocolos e implementaciones de control de acceso por validación y autenticación. También. que permite gestionar los usuarios y sus Prof. que permiten que un servidor del acceso de red (NAS Network Access Servers o RAS Remote Access Server. por ejemplo un router Cisco 2511 o 5300) obtenga datos de administación del usuario a un servidor central y por tanto se descarge de la tarea administrativa de autenticación y comprobación de dicha información.Capítulo I Seguridad y Defensa de la Red Ejemplo que muestra un proceso de sesión PPP. Giovana Garrido Página 63 .

la autenticación y la capa de red. satélite). simplemente para poder autenticar. 1. pero antes una escueta descripción de autenticación. IPXCP . PPP usa el componente del Protocolo de Prof. fibra.Capítulo I Seguridad y Defensa de la Red permisos (exportando incluso el escritorio) independientemente de la máquina conectada dentro de un dominio Microsoft.6. PPP proporciona un método para encapsular datagramas de varios protocolos en un enlace de punto a punto y usa la capa de enlace de datos para probar esta conexión PPP está compuesta de 2 subprotocolos:   Protocolo de control de enlaces : para establecer el enlace de punto a punto LCP Protocolo de control de red : para configurar los distintos protocolos de capa de red ( IPCP .. Arquitectura PPP en capas PPP usa una arquitectura en capas. el usuario puede comenzar a utilizar la red. Interfaz serial de alta velocidad (HSSI) ISDN PPP usa el Protocolo de control de enlace (LCP) para negociar y configurar las opciones de control en el enlace de datos de la WAN. concretamente LDAP. porque en un principio no están pensados para intercambiar claves para cifrar. El protocolo punto a punto es el de preferencia para las conexiones WAN conmutadas seriales.) Se puede configurar PPP en los siguientes tipos de interfaces físicas:     Serial asíncrona Serial síncrona. Todos ellos se pueden considerar el soporte a los sistemas de autenticación basado en contraseñas. Este capítulo es esencialmente importante para el acceso de un cliente a un determinado servicio que necesita autenticación previa. Los dominios Microsoft son gestionados por el Controlador de Dominio (Domain Controller. Además. es importante resaltar que Active Directory incluye Kerberos y servidores de directorio como veremos a continuación.. Una sesión de PPP consta de tres fases: establecimiento del enlace. Cada etapa se basa en la anterior a fin de establecer la sesión de PPP. Conozcamos ya algunos protocolos de autenticación. no son considerados sistemas de clave simétrica compartida.2 Autenticación en PPP La autenticación permite saber quién es cada uno y realizar comunicaciones seguras. Puede manejar tanto la comunicación síncrona como la asíncrona e incluye detección de errores y procesos de autenticación como CHAP o PAP. Una vez que el protocolo PPPoE y PPP se han establecido períodos de sesiones. Y PPP se puede usar en diversos medios físicos (cable par trenzado. Giovana Garrido Página 64 .. DC).

que requiere la tx de datos del usuario en una trama no secuencial.1 . Los NCP incluyen campos funcionales que contienen códigos estandarizados que indican el tipo de protocolo de capa de red que encapsula PPP Los campos de la Trama PPP:  Señalador: Comienzo / fin de trama. PPP no asigna direcciones de estaciones individuales  Control: 1 byte 00000011. 01111110  Dirección: formada por la dirección de broadcast estandar 11111111. Giovana Garrido Nombre del Protocolo IPCP p de control de capa de red OSI p de contro Appletalk p de control Novell IPX p de control de enlace Página 65 . Se suministra un servicio de enlace sin conexión similar al del Control de enlace lógico (LLC) tipo 1  Protocolo : 2 bytes que identifican el protocolo encapsulado en el campo de datos de la trama Valor ( Hexadecimal) 8021 8023 8029 802b c021 Prof.1 y posteriores admiten PPP multienlace . Por ejemplo el IP usa el Protocolo de control de IP (IPCP). se proporciona un protocolo de control de red (NCP) distinto.Capítulo I Seguridad y Defensa de la Red control de red (NCP) para encapsular y negociar las opciones para los protocolos de capa de red . Con esta opción un router Cisco puede actuar como cliente de la devolución de llamada o servidor de la devolución de llamada LCP también hace:     Maneja limites variables del tamaño de paquete Detecta errores comunes de mala configuración Termina el enlace Determina si un enlace funciona o falla PPP permite que varios protocolos de capa de red operen en el mismo enlace de comunicación. Para cada protocolo de capa de red que se utiliza. El LCP se ubica en la parte más alta de la capa física y se usa para establecer . Proporciona balanceo de carga en las interfaces del router que usa PPP Devolución de llamadas en PPP: IOS 11. como:      Autenticación: Las 2 opciones de autenticación son PAP o CHAP Compresión : Stacker y Predictor son 2 protocolos de compresión disponibles en routers Cisco Detección de errores : Calidad y nº mágico ( garantizan un enlace de datos confiable y sin bucles ) Multienlace: IOS 11. configurar y probar las conexiones de enlace de datos PPP usa también LCP para acordar automáticamente opciones de formato de encapsulamiento.

Como parte de esta fase LCP permite efectuar una prueba opcional de determinación de la calidad de enlace Fase de protocolo de capa de red: los dispositivos ppp envían paquetes NCP para seleccionar y configurar uno o varios protocolos de capa de red (como ip). si se produce se da antes de la fase de protocolo de capa de red. Si no se incluye ninguna opción de configuración en un paquete LCP . Después de configurar cada uno de los ps de la capa de red elegidos. Si LCP cierra el enlace . Antes de intercambiar cualquier datagrama de capa de red. la fase quedará completa al recibir y enviar una trama de acuse de recibo de configuración Fase de autenticación (optativa): Una vez establecido el enlace y seleccionado el protocolo de autenticación. Para administrar y depurar un enlace Las 3 fases del establecimiento de una sesión PPP:     Fase de establecimiento del enlace : cada dispositivo ppp . Para establecer y configurar un enlace Tramas de terminación de enlace. El fin del campo de datos se detecta al encontrar la secuencia de señalador de cierre y dejando 2 bytes para el campo de la secuencia de verificación de trama (FCS).Capítulo I Seguridad y Defensa de la Red c023 c223  p de autenticación de contraseña p de autenticación de intercambio de señales  Datos: 0 o más bytes que contienen el datagrama para el protocolo especificado en el campo de protocolo. envía tramas LCP para configurar y probar el enlace de datos. Para terminar un enlace Tramas de mantenimiento de enlace. informa a los ps de capa de red . Se puede autenticar el dispositivo par. LCP primero debe abrir la conexión y negociar los parámetros. compresión . protocolo de autenticación. Los paquetes LCP contienen un campo de opción de configuración que permite que los dispositivos negocien: MTU ( ud máxima de tx) . El comando show interfaces muestra los estados de LCP y NCP bajo la config PPP El enlace PPP queda configurado para las comunicaciones hasta que se presenta una de las siguientes situaciones: o o Las tramas LCP o NCP cierran el enlace Se vence el tiempo de inactividad Página 66 Prof. La longitud máxima por defecto del campo de datos es de 1500 bytes FCS : 16 bits o 2 bytes que se refieren a los caracteres adicionales que se agregan a la trama con el fin de controlar los errores Como establecer una sesión PPP El establecimiento de una sesión : 3 fases : 1 Establecimiento del enlace 2 autenticación (optativa) 3 fase del protocolo de la capa de red Las siguientes tramas las usa LCP:    Tramas de establecimiento de enlace. se toma el valor por defecto. Giovana Garrido . se pueden enviar paquetes de cada uno de los ps de capa de red.

Tras completar el establecimiento del enlace PPP.protocolo de autenticación de contraseña: saludo de 2 vías. se le envía usuario pass . el valor hash resultante será único y aleatorio. Tras establecerse el enlace ppp . Si los valores concuerdan. Giovana Garrido Página 67 .protocolo de autenticación de intercambio de señales: saludo de tres vías. y si se efectúa será antes de la fase de config del protocolo de la capa de red Las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca la información de autenticación. esta respuesta se basa en la contraseña y el mensaje de comprobación. si no se termina la conexión de inmediato CHAP brinda protección contra los intentos de fuerza bruta. El nodo remoto responde con un valor calculado mediante la función hash de una vía ( en general es MD5 o Message Digest 5 ). El nodo remoto tiene control de la frecuencia y la temporización de los intentos de conexión. el router local o un servidor de terceros tiene el control de la frecuencia y la temporización de las comprobaciones. Se envía usuario pass (la contraseña se envía en texto sin cifrar) el par envía Aceptar/Rechazar CHAP . Las contraseñas se envían en texto sin cifrar y no hay protección contra fuerza bruta ( ensayo / error ). el par envía Aceptar/Rechazar Por lo general el protocolo usado es CHAP. por medio de intercambio de señales de 3 vías .Capítulo I Seguridad y Defensa de la Red o Interviene el usuario Protocolos de autenticación PPP La fase de autenticación de una sesión ppp es opcional. el Desafío. El router local verifica la respuesta contra su propio cálculo del valor hash esperado . el nodo remoto envía el conjunto de usuario / contraseña por el enlace repetidas veces hasta que se acusa recibo de la autenticación o el enlace se termina ( el dispositivo par controla los intentos ) PAP no es un p de autenticación sólido. Esto ayuda a garantizar que el usuario tenga permisos. El par envía el desafío. Protocolo de autenticación de contraseña (PAP) PAP: intercambio de señales de 2 vías. Una vez establecido el enlace y seleccionado el protocolo de autenticación se puede autenticar el dispositivo par . se envía un un mensaje de comprobación al nodo remoto. Ejemplo: Prof. PAP . a través del uso de un valor de comprobación variable que es exclusivo e impredecible. Protocolo de autenticación de intercambio de señales (CHAP) CHAP se realiza al iniciar el enlace y verifica de forma periódica la identidad del nodo remoto . Como la comprobación es única y aleatoria. se acusa recibo de autenticación .

se acuerda autenticación CHAP durante negociación PPP LCP.. si no se termina Proceso de autenticación CHAP. Giovana Garrido Protocolo PAP. Se comparan valores F: Si falla la autenticación se construye un paquete de falla CHAP a partir de los siguientes componentes 04=tipo de mensaje de falla CHAP .métodos de autenticación.Capítulo I Seguridad y Defensa de la Red !!!crear un conjunto de routers de conexión telefónica que aparecen como el mismo host al realizar la autenticación router(config-if)# ppp chap hostname Lab_C !!! configuramos la contraseña class router(config-if)# ppp chap password class Proceso de encapsulamiento y autenticación PPP Cuando se utiliza encapsulation ppp la autenticación CHAP o PAP se puede agregar de forma optativa. la sesión PPP comienza de inmediato.El generador hash (MD5) produce un valor a partir de la información recibida en el paquete de desafío y la contraseña asociada con el nombre del router local. si es positiva se inicia sesión ppp . "Falla de autenticación" o mensaje de texto parecido Configuración PPP Los aspectos configurables de ppp: . el nº aleatorio de desafío original y la contraseña asociada con el nombre del router remoto. CHAP Stacker .compresión.detección de errores . Incluyen el ID . . se usa para encontrar la contraseña en la bbdd local del router remoto . Si se requiere autenticación se dan los siguientes pasos :    Se determina el método de autenticación Se revisa la bbdd local o el servidor de seguridad con una bbdd de usuarios:contraseñas Se verifica la respuesta de autenticación . Comando ppp authentication {pap|chap} ppp compress Página 68 .admisión de multienlace Opciones de configuración de LCP de routers Cisco que usen encapsulamiento PPP Opciones Función Autenticación Compresión Prof. el nombre del router remoto y el ID de desafío se usan para generar el paquete de respuesta E: El desafiador pasa los mismos valores de desafío al generador de hash que el router remoto. El nombre del router local se usa para autenticar el router local al router remoto C: El nombre del desafiante que es el router local. id=copiado del paquete de respuesta . Router local desafía al remoto B: El paquete de desafío CHAP se envía a router remoto. Si no se especifica ninguna clase de autenticación. El valor de hash se usa para responder al desafío D: El valor del paquete de desafío de hash . o o o o o o A: el router remoto establece enlace.

( No se recomienda si la mayoria del tráfico son archivos comprimidos ) router(config-if)# compress [ predictor | stac ] !!! Para monitorear los datos que se pasan al enlace y evitar la formación de bucles en las tramas router(config-if)# ppp quality percentage !!! de 1 a 100 . por medio de intercambio de señales de 3 vías. se solicita el primer método especificado durante la negociación del enlace.1 o posterior. se intenta el segundo método Paso 6: En Cisco IOS 11. Giovana Garrido Página 69 .Capítulo I Seguridad y Defensa de la Red Detección de errores Multienlace >= Cisco IOS Release 11. es necesario habilitar PAP en la interfaz.idéntica para ambos routers Paso 2: Entrar al modo de config de la interfaz router(config)# interface serial 0 Paso 3: Configurar la interfaz para encapsulamiento PPP router(config-if)# encapsulation ppp Paso 4: Configurar la autenticación ppp router(config-if)# ppp authentication { chap | chap pap | pap chap | pap } Paso 5: Si chap o pap están habilitados. ya que está deshabilitada por defecto router(config-if)# ppp pap sent-username name password pass PAP ofrece un método sencillo para autenticarse por medio del intercambio de señales de 2 vías CHAP se usa para verificar periódicamente la identidad del nodo remoto. Si el vecino sugiere el uso de un segundo método o rechaza el primero.1 Predictor Número mágico . secret = contraseña . especifica el umbral de calidad del enlace !!!para ejecutar el equilibrio de cargas en múltiples enlaces router(config-if)# ppp multilink Configuración de la autentificación PPP Paso 1: Definir en cada router user:pass router(config)# username name password secret name = nombre del router remoto . Verificación de la configuración de encapsulamiento serial PPP show interfaces serial x : para verificar el encapsulamiento HLDC o PPP show interfaces : Estadísticas de todas las interfaces configuradas en el router o servidor de acceso Prof. Calidad MP {stacker|predictor} ppp quality <number 1-100> ppp multilink Ejemplo de configuración: !!!Activar encapsulamiento ppp en una interfaz serial 0/0 router(config-if)# encapsulation ppp !!! Configurar la compresión.

htm 3. VPN y los túneles también puede considerarse como parte de la red de acceso remoto. Aboba.ppt 2. Otros mecanismos de autenticación de acceso remoto en la red incluyen tokens. Ashwin. tarjetas inteligentes (smart card) certificado digitales. Prof. Los Inalámbricos pueden orientar una serie de entornos. PPPoE. como la movilidad.edu/OpenProducts/securityxperts/securityxperts/SecurityXpert s.htm Referencia Bibliográfica: 1. y callback. IEEE 802. Para prácticar Pequeño juego de seguridad informática. Fundación una Galicia Moderna. Libro Electrónico de Seguridad Informática y Criptografìa. Jorque Ramió Arguirre. Versión 4. la seguridad de acceso remoto también debe considerar las comunicaciones inalámbricas. http://www.1X and RADIUS Security. Giovana Garrido Página 70 .11 y Redes Homephoneline Alliance (homePNA). y la computadora portátil. protocolos y RADIUS. Recuperado el 12 de Octubre de 2006.ie. Por último. Bernard – Palekar. CHAP. PAP.upm. portabilidad.criptored. Dr.com/%7Eaboba/IEEE/11-01-TBD-I-RADIUS-Security. dispositivos de computación portátil que utilizan las normas como 802.Capítulo I Seguridad y Defensa de la Red debug ppp authentication : depura el proceso de autenticación PAP o CHAP debug ppp negotiation undebug all : para desactivar toda depuración Diagnóstico de fallas de la configuración de encapsulamiento serial router# debug ppp { authentication | packet | negotiation | error | chap} router# no debug ppp { authentication | packet | negotiation | error | chap} router# show cdp neighbors !!! para mostrar los dispositivos directamente conectados mediante CDP Autenticación en una red de acceso remoto se realiza generalmente a través de un combinación de PPP. Antonio M. http://www. Avila y Francisco de Quinto.es/guiateoria/gt_m001a. Manual de Seguridad en Internet. http://openmultimedia.0.drizzle.