Capítulo I Seguridad y Defensa de la Red

Curso: Seguridad y Privacidad en Redes II Prof. Giovana Garrido

Departamento de Arquitectura y Redes de Computadoras Facultad de Ingeniería de Sistemas Computacionales Universidad Tecnológica de Panamá

Objetivos: 1. Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplos de vulnerabilidades en sus protocolos básicos. 2. Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IP para conseguir sus objetivos. 3. Aprender como funcionan las técnicas de sniffing en redes TCP/IP para comprender el peligro que comportan en la seguridad de una red local. 4. Estudiar con mas detalle algunos ataques concretos contra redes TCP/IP, como pueden ser los ataques de denegación de servicio y las deficiencias de programación. 5. Describir los elementos necesarios para un esquema de seguridad en red y la forma de implementarlo. 6. Describir los niveles de seguridad. 7. Aplicar la seguridad en red a través de la creación de perímetros. 8. Estudiar y aplicar la seguridad en equipos de comunicación de datos. 9. Describir la seguridad para el acceso remoto.

1.1 Introducción
“Es imposible que un hacker pueda romper el sistema de una computadora, es algo improbable”. Al principio de su existencia, las redes de computadoras fueron usadas generalmente para el envío de correo electrónico y para compartir recursos, generalmente impresoras, en empresas de mediano/gran tamaño. En estas condiciones la seguridad carecía

Capítulo I Seguridad y Defensa de la Red

prácticamente de importancia y no fue objeto de atención. Sin embargo, en la actualidad millones de ciudadanos usan redes para transacciones bancarias, compras, etc., la seguridad aparece como un problema potencial de grandes proporciones. Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:     El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas. El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.

Aunque muchos de estos problemas tratan de resolverse en capas de la red que se encuentran por debajo de la capa de aplicación, por ejemplo en la capa de red pueden instalarse muros de seguridad para mantener adentro (o afuera) los paquetes, en la capa de transporte pueden cifrarse conexiones enteras terminal a terminal, ninguna de ellas resuelve completamente los problemas de seguridad antes enumerados. La resolución de estos problemas de seguridad se realiza como una parte previa o de apoyo de la capa de aplicación. A continuación se expondrán distintos trabajos que tratan de resolver cada uno de los cuatro problemas de seguridad planteados con anterioridad, esto es, el secreto, la validación de identificación, el no repudio y el control de integridad. La Red esta basada en amenazas, en mentiras que se pueden esperar en la vuelta de cada esquina, y sobre todo, en esta era de la información. Las redes inalámbricas se están convirtiendo en un punto delicado para muchas empresas y organizaciones que todavía no se entiende cómo asegurar sus infraestructuras. Redes se encuentran bajo asedio de muchos tipos diferentes de la amenaza, incluido el basado en Internet los piratas informáticos, gusanos, phreaks teléfono, y asaltos a conexión inalámbrica. En este capítulo estaremos abordando un espacio único a la seguridad de la red en una evaluación estructurada y lógica. Antes de comenzar este capítulo, pasemos a realizar una serie de definiciones: 1. La Organización Internacional de Estándares (ISO), como parte de su norma 7498 en la que se establece el modelo de referencia para la interconexión de sistemas abiertos, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene. Para ello, se han desarrollado protocolos y mecanismos adecuados, para preservar la seguridad.
Prof. Giovana Garrido Página 2

Capítulo I Seguridad y Defensa de la Red

2. El criptoanálisis, es la ciencia que se encarga de descifrar los mensajes (los intrusos utilizan estas técnicas), mientras que la criptografía busca métodos más seguros de cifrado, y se puede clasificar en:  Criptografía clásica: cifrados rudimentarios basados en sustitución y trasposición  Criptografía moderna: cifrados basados en algoritmos parametrizados en base a claves 3. “seguridad de una red” implica la seguridad de cada uno de las computadoras de la red 4. “hacker”: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador 5. “cracker”: no es un programado y utiliza sus ataques para sacar beneficio económico 6. “Amenaza o ataque”: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso), que a su vez, estas amenazas se pueden realizar por:  Compromiso: la entidad atacante obtiene el control de algún elemento interno de la red, por ejemplo utilizando cuentas con contraseña trivial o errores del sistema  Modificación: la entidad atacante modifica el contenido de algún mensaje o texto  Suplantación: la entidad atacante se hace pasar por otra persona  Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto  Denegación de servicio: la entidad atacante impide que un elemento cumpla su función También es importante resaltar, que los temas que vinculan a seguridad son a veces difíciles y están íntimamente relacionados con temas legales, los cuales no estaremos viendo en este curso. Muestra de ello, es que en muchos gobiernos el uso de información cifrada está prohibido. Los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente. Por ejemplo en Francia y EEUU no están permitidas transacciones cifradas, que el gobierno no sea capaz de descifrar, pues pueden utilizarse para comercio de armas, delincuencia. La seguridad es un concepto relativo, pues los mecanismos que minimizan la vulnerabilidad de un bien o recurso en un determinado caso, pueden ser insuficientes en otro caso. Esta suficiencia o insuficiencia vendrá determinada por la importancia de los bienes y recursos que posea, de forma que un computador que solo contenga contabilidad doméstica puede considerarse seguro sin la presencia de ningún mecanismo, mientras que un computador que contenga la contabilidad de una empresa debe poseer mecanismos para asegurar la imposibilidad de manipulación de la misma. Las amenazas a la seguridad pueden clasificarse, atendiendo a la intencionalidad de las mismas en accidentales o intencionadas. Las amenazas accidentales son las que se producen sin necesidad de un intento premeditado, como por ejemplo una avería en el sistema. Las amenazas intencionadas pueden variar desde el examen casual de la

Prof. Giovana Garrido

Página 3

listas de debilidades tanto de protocolos como de sistemas operativos. y físicamente puede ser desde un simple host hasta un complejo conjunto de redes separadas por routers.1.Capítulo I Seguridad y Defensa de la Red información de un computador hasta ataques sofisticados utilizando conocimientos especiales sobre el sistema. que implica. Una red interna como suma de terminales. servidores de datos y aplicaciones. 1. nuevos atacantes en potencia. estas deben ser tenidas en cuenta pues en muchos casos pueden convertirse en activas con la intervención de un agente distinto. Giovana Garrido Página 4 . etc. permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por el cortafuego. según el Computer Emergency Response Team Coordination Center (CERT-CC). sin mucho esfuerzo. aspectos como el comercio electrónico. es suficiente para protegerse en Internet). Aunque obviamente las amenazas activas son mucho más perjudiciales que las pasivas. atacar una red conectada a Internet que no haya sido protegida de un modo "especial" (es tan frecuente como erróneo creer que una filosofía de seguridad tradicional. es relativamente fácil si se sabe cómo. basada en contraseñas y protección de ficheros. El empleo de un cortafuego presenta enormes ventajas sobre los enfoques de seguridad en redes tradicionales (que requieren la seguridad individual de cada host conectado. las amenazas a la seguridad se clasifican en pasivas y activas. la transacción de información confidencial a través de la misma.1 Las Redes internas La seguridad de redes. En la red es posible encontrar.han sido actualizados ni debidamente "parcheados". reúne una cantidad de recursos Prof. si tenemos en cuenta el vertiginoso crecimiento de Internet en los últimos años. Lo cierto es que tal y como están las cosas. y por tanto sólo pueden justificarse en entornos con un reducido número de máquinas). Este punto se conoce con el nombre de cortafuego. por una parte. Basta echar un vistazo a las estadísticas para tomar conciencia del riesgo que se corre: el número de incidentes contra sistemas conectados casi se duplica cada año. nuevas redes susceptibles de ser atacadas. por las redes internas. y por otros. empieza como no. Si en lugar de atender a la intencionalidad atendemos al daño ocasionado. Obviamente. La seguridad adquiere cada vez más importancia a medida que la red informática se encuentra presente en más aspectos de la economía mundial. Y no debe extrañarnos. Se obliga a que todo el tráfico entre la red que se pretende proteger y las redes externas pase por un mismo punto. y mucho más aún si se utilizan sistemas operativos antiguos que no. la seguridad es un tema que debe inquietar a cualquier organización que hoy día decida conectar su red a otras sobre Internet. Las amenazas activas suponen una alteración del sistema y un cambio en su estado de operación. Las amenazas pasivas son las que no conllevan ninguna modificación en la información que posee el sistema y por tanto no se modifica ni su operación ni su estado. así como guías que señalan los pasos a seguir para explotar dichas debilidades. Incluso existen servidores de ftp anónimo con todo tipo de herramientas orientadas a tomar el control de cualquier máquina Todas las líneas actuales de investigación en seguridad de redes comparten una idea: la concentración de la seguridad en un punto.

1. Es sabido que los primeros problemas de seguridad ocurren en la misma organización interna. debe ser administrada por profesionales en la materia. la manera de realizar sus fechorías. y regida sobre una política de seguridad que implique a todos los recursos del sistema. etc. sus mecanismos fáciles de realizar y por ello la red interna puede ser blanco fácil para los ataques. las unidades de red compartidas por los usuarios. las aplicaciones cliente/servidor instaladas en los terminales (ERP/CRM/Intranet. de sobrado conocimiento de la plataforma (sistema operativo. etc). entonces la seguridad es mucho más importante. pero adelantamos en este punto algunos ejemplos. aplicaciones y bases de datos). o que. La seguridad interna de la red de una organización. Los peligros pueden venir de:  Ataques dedicados: Un intruso que nos elige y que intenta colarse en nuestra red. El responsable de seguridad (normalmente el administrador de red) de una organización conoce de sobras su entorno (o debería conocerlo). aplicaciones. resultando mucho más fácil.1. Muchas organizaciones optan en la seguridad de su red interna. Para identificar los usuarios normalmente los sistemas operativos incorporan la suficiente tecnología para ello y habría que disponer de sistemas más fuertes. etc. ya que entran más peligros: “los de fuera”. etc. software. Windows). no siempre debidos a intrusiones maléficas de empleados. los diferentes permisos para poder instalar. Una seguridad que bien debemos aplicar máquina por máquina. por no dar permisos de instalación de aplicaciones en sus terminales de empleados. consultar. Linux. evitando de esta manera los primeros problemas de seguridad derivados de acciones desde aplicaciones no deseadas por la administración de la red. La seguridad interna empieza por la autenticación de los usuarios en un servidor central. punto a punto.  Ataques aleatorios: Un hacker desconocido que ha descubierto un dominio y una IP y curiosea puertos para ver hasta dónde puede llegar.) que necesitan de una arquitectura segura y de una política de seguridad a cumplir por cada uno de los recursos de la misma. Un tema importante y básico es la autenticación de los usuarios en la red. el sistema operativo de los terminales y servidores. La plataforma de red (Uníx.).Capítulo I Seguridad y Defensa de la Red (hardware. Giovana Garrido Página 5 . Estudiamos con más detalles en el Capítulo de hackers. datos. debemos aplicar al conjunto de la organización. según las características de la información y los recursos a acceder por los usuarios de la red. Mac. eliminar carpetas. para poner de manifiesto la obligada seguridad cuando nuestra red está conectada al exterior: Prof.2 Las. RAS. Redes externas Cuando hablamos de aplicaciones en la red interna que permiten la conexión hacia fuera (Internet. personas. las bases de datos corporativas y debe aplicar en los usuarios. datos. sino muchas de las veces por fallos de seguridad o puertas abiertas que se ejecutan “sin quererlo”. Sus herramientas son fácil de encontrar (Internet es su mejor biblioteca).

etc. la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financió equipos de investigación en distintas universidades con el objetivo de desarrollar una red de computadores con una administración totalmente distribuida. o cómo podemos conocerlo más común como teletrabajo. etc.2 Seguridad en protocolos TCP/IP Durante la década de los 60. Algunos de estos temas fueron tratados en detalle en curso anterior. Mas adelante. pero también puede ser una puerta muy fácil de entrar por un intruso que en pocos minutos. aplicaciones web/ftp/email seguras. dentro del marco de la guerra fría. pero este servidor de correo. B2B. Giovana Garrido Página 6 . debemos tener en cuenta los siguientes puntos:  Seguridad en la arquitectura de las comunicaciones: Soluciones firewall. englobado en el entorno denominado business to business (B2B). asociado al dominio de la empresa.  Acceso a aplicaciones seguras: La tendencia empresarial es que la organización ofrezca mecanismos para que los empleados y colaboradores puedan acceder de forma remota y segura a través de internet a las aplicaciones internas. Servicios de seguridad del operador de telecomunicaciones. conexión de routers. podría detectar los puntos vulnerables de estos servicios.  Un servidor web y FTP.Capítulo I Seguridad y Defensa de la Red  Un gateway de correo electrónico permite a los empleados conectarse con los clientes de la empresa y enviarse documentación. Prof. servidor de comunicaciones con separación de la red interna.  Seguridad en la conexión a Internet: Servidores DMZ.  Autenticación remota: Mediante usuario y contraseña. se creó la denominada red ARPANET. la agencia empezó a investigar en la interconexión de distintas redes. Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes.). 1. de carácter experimental y altamente tolerable a fallos. puede ser la puerta de entrada de intrusos. a mediados de los 70. etc. Para desarrollar nuestra red externa teniendo en cuenta los peligros que significa abrir la red a Internet y para mantenerla segura. ofreciendo por ejemplo un servicio de Call Center a través del email. y en 1974 estableció las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en día como redes TCP/IP. certificados digitales o tarjetas hardware. permitirá a los clientes de nuestra empresa conectarse directamente con nosotros (extranet/servicios B2C.

en cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas. si es posible. La situación relativa de cada protocolo en las diferentes capas se muestra en la siguiente figura: Como ya se ha adelantado. la mayoría de las cuales se hacen públicas por organismos internacionales. Cada día se descubren nuevas deficiencias.Capítulo I Seguridad y Defensa de la Red En cada una de las capas encontramos protocolos distintos. Giovana Garrido Página 7 . A continuación presentamos algunas de las vulnerabilidades más comunes de las distintas capas que veremos con más detalle a lo largo de este módulo: Prof. la forma de solucionar y contrarrestar los problemas. tratando de documentar.

En esta capa podamos encontrar problemas de autenticación.Capítulo I Seguridad y Defensa de la Red 1. Por otro lado. En esta capa. Para conseguir su objetivo. de integridad y de confidencialidad. Vulnerabilidades de la capa internet. Vulnerabilidades de la capa de red. la suplantación de mensajes. los retrasos de mensajes y la denegación de mensajes. Así. la modificación de datos. Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. si un usuario hostil puede observar los intercambios de información utilizados durante el inicio de la sesión y es capaz de interceptar con éxito una conexión en marcha con todos los parámetros de autenticación configurados adecuadamente. como la predicción de números de secuencia TCP. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas. En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesión TCP). escuchas no intrusivas en medios de transmisión sin cables. Ataque físico: Este tipo de ataques pueden llegar a ser muy difíciles de realizar. etc. el receptor será incapaz de detectar el cambio. Las vulnerabilidades de la capa de red están Ataques físicos estrechamente ligadas al medio sobre el que se realiza la conexión. 3. el envenenamiento de tablas cache. Se incluyen como ataques contra esta capa las técnicas de sniffing. Vulnerabilidades de la capa de transporte. En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. dando una respuesta a otro mensaje antes de que lo haga el suplantado. la autenticación de los paquetes se realiza a nivel de maquina (por dirección IP) y no a nivel de usuario. los paquetes se pueden manipular si se modifican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. interceptación intrusiva de las comunicaciones (pinchar la línea). Una de las vulnerabilidades mas graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas. De ahí que no los trataremos en este curso. Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticación de los equipos involucrados en una sesión. ya que generalmente requieren un acceso físico a los equipos que se quieren atacar. existe una serie de ataques que aprovechan ciertas deficiencias en su diseño. Si un sistema suministra una dirección de máquina errónea. Prof. Algunos de los ataques mas conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte. Esta capa presenta problemas de control de acceso y de confidencialidad. La suplantación de un mensaje se puede realizar. podrá secuestrar la sesión. 2. este tipo de ataques suele utilizar otras técnicas. La capa de transporte transmite información TCP o UDP sobre datagramas IP. Si esto es posible. Giovana Garrido Página 8 . el receptor no detectara la suplantación. con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. etc. por ejemplo.

el hecho de cifrar el identificador del usuario y la contraseña no impide que un atacante que las conozca acceda al servicio. Normalmente. Normalmente. un atacante puede modificar la información que suministra ésta base de datos o acceder a información sensible almacenada en la base de datos por error. el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña. al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección**. Algunos ejemplos de deficiencias de seguridad a este nivel podrían ser los siguientes:  Servicio de nombres de dominio. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor. presenta las mismas deficiencias de seguridad que veríamos anteriormente con el protocolo Telnet. el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing. además. De este modo. Debido al gran número de protocolos definidos en esta capa. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. al enviar el identificador de usuario y la contraseña en claro por una red potencialmente hostil. En el fondo. FTP permite la conexión anónima a una zona restringida en la cual sólo se permite la descarga de archivos. la lista de los sistemas que tiene la organización). por ejemplo. Por lo tanto. que se transmiten en claro por la red. Así. Aparte de pensar en mecanismos de protección de información para solucionar el problema. éste responde con la dirección IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la dirección IP solicitada. pide la dirección IP de un nombre de dominio y envía un paquete UDP a un servidor DNS. SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticación fuerte). pudiendo obtener información relativa a la topología de la red de una organización concreta (por ejemplo. Actualmente existen otros protocolos a nivel de aplicación (como.Capítulo I Seguridad y Defensa de la Red 4. El protocolo HTTP es el responsable del servicio World Wide Web. cuando un sistema solicita conexión a un servicio. también puede entregar un nombre de dominio dado una dirección IP u otro tipo de información. Al igual que Telnet.  File Transfer Protocol.  Telnet. un servidor de DNS es una base de datos accesible desde internet. Como en el resto de niveles. entonces. FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos). sin limitar una de las funcionalidades más interesantes del servicio. Si este código que se ejecuta presenta deficiencias de Prof. la cantidad de deficiencias presentes también será superior al resto de capas. La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas. Aun así. la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Así pues. Vulnerabilidades de la capa de aplicación. Giovana Garrido Página 9 .  Hypertext Transfer Protocol. Un servidor DNS debe entregar la dirección IP correcta pero.

limitando el tráfico entre nuestra red y las externas. parches. criptografía. habremos de asegurarnos de que los intentos de conexión provienen de quienes dicen provenir. necesitamos medios para protegernos contra ellos. A continuación veremos que el filtro de paquetes y los servidores proxy nos permiten esto. desactivación de Puertos Físicos no utilizados en Switch o Hub y monitoreo de activación. Giovana Garrido Página 10 . 1. deben implantarse esquemas administrativos y de gestión de la seguridad. así como los equipos de uso cotidiano por los usuarios. QoS. la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro. a aquel que se considere seguro. certificados electrónicos. Para ello no podemos fiarnos Prof. herramientas de auditoria o assessment.3 Elementos de un esquema de seguridad en Red Los elementos están organizados en tres grupos. en estos casos la garantía de operación vendrá dada por las soluciones técnicas que se muestran a continuación: identificación (tokens. intentando así reducir las posibles violaciones a la seguridad. diseño multisegmento. firewall. Además. IPS/IDS. refuerzo de la Seguridad en las estaciones de trabajo. A continuación se incluye una descripción de las soluciones en cada unos de los anillos de protección:  Perímetro y Transporte de Datos: permiten proteger las zonas de acceso al exterior de la red interna de la organización e igualmente los puntos de interconexión interna. correspondientes a los anillos de protección requeridos. TCP/IP. administración basada en roles.  Infraestructura Crítica: Una vez protegido el perímetro. se debe cuidar y garantizar la perfecta operación de los componentes y sistemas que soportan los procesos críticos de la organización. Elementos de seguridad Una vez conocidos los peligros a los que nos enfrentamos. filtro de contenido. si decidimos permitir que se pueda acceder a nuestras máquinas desde el exterior. escáner de vulnerabilidad. autorización y control de acceso. control de tráfico. smart card). Kerberos). antivirus.Capítulo I Seguridad y Defensa de la Red programación. switch. herramientas forenses. los componentes adicionales que permiten acceder a la información de los procesos de la organización. autenticación (biometría. además del uso de algunas tecnologías.  Protección Local y Monitoreo: Partiendo del principio que la seguridad de los sistemas será tan robusta como el componente más vulnerable. planes de contingencia. LDAP. DMZ. En principio. Para ello. Tales como: acceso remoto. los cuales se revisarán en detalle en el capítulo 3 de esta Guía. protocolo gíreles. integridad de la red. cámara de video. auditoria. deben ser igualmente protegidos. norma de cableado. Algunas de las técnicas de protección mayormente utilizadas se observan a continuación: administración de control de acceso. los cuales a su vez establecen los niveles de prioridad de protección más comúnmente utilizados para la implantación de la Arquitectura. dominios seguros. logs de acceso. Proxy. o al menos que esté justificado. monitoreo. software anti espia. limitaremos el número de ataques posibles.

dentro de un sistema centralizado. Servidores proxy o pasarelas: son aplicaciones que nos permiten redirigir el tráfico del nivel de aplicación a través de un cortafuego en el acceso a una red (ejemplo con Socks. duras de testear. RC4 y Skipjack). se puede tener en cuenta la interfaz de red por la que llega el paquete. necesitamos alguna técnica para impedirlos. y la de máquina a máquina durante una operación. el tipo de protocolo (TCP. En este Prof. la dirección IP destino. contando con un Centro de Distribución de Claves (KDC) para la distribución y verificación de las mismas.Capítulo I Seguridad y Defensa de la Red de las contraseñas convencionales. Los contraseñas tradicionales son demasiado débiles para usarlos sobre una red. Giovana Garrido Página 11 . Sin embargo. el campo de banderas TCP y el tipo de mensaje ICMP. IDEA. Seguridad perimetral: cortafuegos. IPSec. y por tanto se usan técnicas de criptografía. NAT (Network Address Traslation) e IDS (Intrusión Detection System) 3. las reglas de filtro son difíciles de definir. y por tanto se usan contraseñas no reusables. el campo de opciones IP. y por tanto no son sensibles al sniffing. El hecho de que los servidores de servicios Internet residan en ciertos números de puertos concretos. la información que se suele examinar es: la dirección IP origen. una función hash segura. es decir. En este caso necesitaremos encriptar la conexión. Por último. y una vez definidas. Sock-et-s) y/o puentear con otra aplicación. el puerto destino TCP o UDP. si creemos que nuestra red puede ser objeto de un ataque hijacking. UDP o ICMP). los elementos utilizados por dichos métodos son: Criptografía: mediante el uso de la criptografía se intenta proteger la información a base de codificarla de una forma desconocida a los elementos que no forman parte de la comunicación: algoritmos de clave privada o simétricos (DES. permite al router bloquear o permitir la conexión a esos servicios simplemente especificando el número de puerto apropiado en el conjunto de reglas especificado para el filtro de paquetes. la firma digital para protegerlos contra la falsificación. Métodos criptográficos: redes privadas virtuales. puesto que un ataque por sniffing daría la contraseña al atacante. El método de autenticación por dirección IP del host (o bien su nombre DNS) es susceptible de ser atacado mediante spoofing con relativa facilidad. no requiere conocimientos ni cooperación por su parte. Las aplicaciones básicas de los algoritmos criptográficos son: el cifrado es la encriptación de un mensaje con una clave. algoritmos de clave pública o asimétricos (RSA). permitiendo al receptor probar la fuente y la integridad de los mismos. Veremos a continuación métodos de autenticación que nos solucionan este problema. TDES. Estos cambian cada vez que se usan. el puerto origen TCP o UDP. El KDC más conocido es Kerberos. Además de la información contenida en el paquete. Filtro de paquetes: los routers permiten realizar un filtrado de paquetes en base a la información contenida en sus cabeceras. Seguridad en el sistema centralizado (envolventos y/o proxies) Descritos los métodos. Distinguimos dos tipos de autenticación: la de un usuario a una máquina durante la secuencia de login inicial. Los métodos a aplicar en una red para ofrecer barreras de seguridad son: 1. El filtro de paquetes es transparente a los usuarios. Autenticación: la autenticación es el proceso seguido por una entidad para probar su identidad ante otra. Básicamente. SSH (Secure Shell) 2.

como ocurre al interconectar redes Ethernet y Token Ring. Prof. Una pasarela del nivel de aplicación es un host que implementa dos (o más) pilas completas de protocolos y que puede ‘trasvasar’ datos de una aplicación a su equivalente en la otra pila de protocolos.400 (protocolo de correo OSI). Otro ejemplo es el servicio que permite enviar desde un formulario Web un mensaje corto a un teléfono GSM. Este sistema no siempre es transparente al usuario. Por ejemplo. Para realizar su función los servidores caché actúan como pasarelas del nivel de aplicación. a lo sumo se podría acusar recibo cuando el mensaje se recibe en la pasarela.Capítulo I Seguridad y Defensa de la Red último caso también se llama envolvente. Además de permitir la interconexión de protocolos distintos las pasarelas de aplicación también se emplean para conectar redes con el mismo protocolo o puenteando a servidores controlan su acceso.. normalmente de elevado costo. normalmente para el protocolo http. bien con filtro de paquetes). una de las cuales implementa acuse de recibo y la otra no. como una clasificación más general. la otra alternativa sería simplemente no enviar ningún acuse de recibo en este caso. por ejemplo entre SMTP (protocolo de correo en Internet) y X. El servidor real cree que está tratando directamente con un usuario en el host donde está corriendo el proxy. realizando las conversiones adecuadas. Así nos referimos a pasarelas del nivel de transporte o del de aplicación. Cualquier dispositivo que permite la intercomunicación a niveles superiores al de red se denomina genéricamente pasarela (gateway en inglés). a menudo los cortafuegos (o cortafuegos) actúan como pasarelas a nivel de transporte o de aplicación. Estos tres últimos medios son analizados o estudiados desde el punto de vista de pasarelas. como por ejemplo las siguientes: o Seguridad (cortafuegos): si se quiere tener un control riguroso del tráfico entre una determinada red y el exterior se dispone un cortafuegos que aísle dicha red. Al cliente le presentan la ilusión de que está tratando directamente con el servidor real. puesto que algunos proxies requieren software cliente especial. Un ejemplo de esto es el intercambio de mensajes de correo electrónico. Los servicios proxy sólo son efectivos usados en conjunción con un mecanismo que restrinja las comunicaciones directas entre los hosts internos y externos (bien con un dual-homed host. pero eso no significa que el mensaje haya llegado a su destino. Giovana Garrido Página 12 . Esto mejora el tiempo de respuesta al usuario ya que la información solicitada se le sirve localmente y reduce el nivel de ocupación de la línea WAN o la conexión a Internet. o bien el software estándar utilizándolo con procedimientos especiales. o Eficiencia (servidores proxy/cache): los servidores cache permiten capturar una copia de la información que un usuario se trae del exterior para disponer de ella a<nte la eventualidad de que más tarde otro usuario requiera la misma información. Los problemas que se plantean en la interconexión de redes diferentes a nivel de pasarelas de aplicación son en cierto modo parecido a los que se dan a niveles inferiores. Existen diversas razones por las que esto puede ser conveniente. se plantea el problema de qué hacer en la pasarela cuando un mensaje es enviado de la primera a la segunda. si se dispone una pasarela de correo electrónico entre dos redes diferentes.

o Envolventes o proxies de aplicación: son programas sencillos. por ejemplo la interconexión de routers multicast a través de routers unicast para constituir la red MBone. Los conceptos de túnel y de encapsulado de paquetes van siempre asociados entre sí. son pasarelas a nivel de aplicación. al utilizar encapsulado la cabecera interior empezaría a descontar su TTL sólo a partir del punto de salida del túnel. Algunas aplicaciones requieren una complejidad mayor en el proceso de traducción de direcciones hasta el punto de que esto solo es posible mediante un programa que interprete y modifique la información contenida en el paquete a nivel de aplicación. En algunos casos resulta útil encapsular incluso un paquete en otro del mismo tipo y versión. Uno de los usos más habituales de los túneles actualmente es para la creación de redes privadas virtuales o VPNs. y dos de éstas disponen además de redes locales TCP/IP. Por ejemplo supongamos que un banco dispone de una red de área extensa con protocolo SNA que une todas sus oficinas. lo cual supone un mayor overhead. Seguridad en red basada en criptografía Túneles En ocasiones se quiere intercambiar paquetes entre dos redes que utilizan el mismo protocolo. pero que están unidas por una red que utiliza un protocolo diferente. como veremos a continuación. cumpliendo así una función similar a la opción ‘loose source routing’ de la cabecera IP. Prof. ya que a lo largo del túnel los paquetes han de llevar dos cabeceras. Los dos nodos SNA ubicados en los extremos del túnel serán los encargados de añadir a los paquetes IP la cabecera SNA adecuada para que lleguen al otro extremo. En Internet hay situaciones en las que los túneles se utilizan de forma habitual. En estos casos los túneles se utilizan para enviar paquetes del mismo protocolo (IP) pero de distinto tipo (multicast en unicast) o versión (IPv6 en IPv4). o la interconexión de ‘islas’ IPv6 para constituir el 6bone. en estos casos es preciso utilizar un dispositivo NAT (Network Address Translation) que nos permita el intercambio de paquetes entre ambas redes.Capítulo I Seguridad y Defensa de la Red o NAT (traducción de direcciones): Como veremos más adelante existen situaciones en las que es necesario manejar un direccionamiento diferente en la red interna y la externa. pero sin las limitaciones que tiene ésta en el número de direcciones. además los extremos del túnel se convierten en puntos simples de fallo y potenciales cuellos de botella en el rendimiento de la red. que gestionan todo el control de acceso a los servidores dentro de un sistema centralizado. Giovana Garrido Página 13 . de forma que los paquetes IP no sean vistos por la red SNA. Si se desea que estas dos oficinas intercambien tráfico TCP/IP sin establecer para ello una nueva línea ni instalar routers multiprotocolo en todo el trayecto se puede establecer un túnel entre ambas oficinas. Los túneles no son una solución deseable en sí mismos. Los paquetes IP viajarán ‘encapsulados’ a través del túnel en paquetes SNA. Ej tcpwrappers. Otro uso del encapsulado podría ser para superar el valor máximo del campo TTL. por ejemplo encapsulando un paquete IPv4 en otro podemos forzar la ruta que ha de seguir.

0/24 a través de VPN Supongamos que un viajante quiere conectarse remotamente a la red de su empresa para consultar una base de datos y para ello emplea los servicios de un proveedor comercial cualquiera.Capítulo I Seguridad y Defensa de la Red Figura: ejemplo de acceso a la Intranet 199.1. es decir aquellos que tienen direcciones IP de su red (supongamos que se trata de la red 199. ya que esto le permite conectarse a su red pagando tarifa metropolitana. su uso como herramienta de seguridad se ha extendido por numerosas razones:  La lógica de seguridad se encapsula dentro de un programa sencillo y fácil de verificar.1.1. Seguridad en red basada en sistema centralizado Encapsuladores (proxies) y pasarelas Los encapsuladores son un invento reciente de la seguridad en UNIX.0/24). Página 14 Prof. También esta IPSec e SSH. Como nuestro viajante al conectarse recibe una dirección IP de la red de su proveedor (supongamos que se trata de la red 200.0/24) no le es posible acceder a dichos servicios. Supongamos también que por razones de seguridad o de licencias de software la empresa se ha visto obligada a limitar el acceso a dicha base de datos únicamente a los computadores de la red de la empresa. Giovana Garrido .1.1.1. los cuales serán desarrollados en otros capítulos. Aunque nacieron por la necesidad de modificar el funcionamiento de los sistemas operativos sin acceso a su código fuente.

 Documentar los controles y el plan de seguridad  Monitorear la operación y cumplimiento de los controles  Crear un plan de seguridad de la información. Como los encapsulados llaman al programa mediante la llamada al sistema exec(). no únicamente un grupo de tecnologías y esta requiere que se tome en cuenta la perspectiva y necesidades de la organización. aparte de la tecnología y los procesos. un mismo encapsulante puede utilizarse para controlar el acceso a un enorme grupo de programas encapsulados. Levantamiento Información Para tener todos los elementos que ayudan al entendimiento de los servicios tecnológicos más importantes de la organización. lo cual permite actualizar el programa que ha sido encapsulado de forma individual. Giovana Garrido Página 15 . es necesario que se dé una etapa de contextualización. la definición de una planificación que defina la estrategia de seguridad de la empresa sentará las bases para la permanencia en el tiempo y en ésta deben involucrarse. normas y procedimientos (estándares). balanceando las áreas administrativas y operacionales en conjunto a los controles técnicos de seguridad  Reforzar los componentes y colocar la mayor cantidad de barreras posibles  No depender de tecnologías de fabricantes  Ejecutar el plan de Seguridad en porciones pequeñas y planificadas Para ello. hay que basarse en el estándar ISO/IEC 27001:2005. es decir. a las personas que intervendrán y utilizarán las tecnologías. estándares procedimientos y métricas son el corazón de la arquitectura y las tecnologías los medios para que éstas se cumplan. los cuales presentan las principales etapas para la implementación de un esquema de seguridad: a. Las actividades claves que deben ser consideradas al momento de implementar un marco de seguridad son las siguientes:  Categorización de los sistemas y activos de Información  Selección de un grupo de controles mínimos de seguridad  Refinar los controles de seguridad basados en el análisis de los riesgos inherentes y qué tan aceptables son esos riesgos. No basta con definir políticas. Implementación de un esquema de seguridad en Red Uno de los principios básicos se refiere a que la seguridad es un proceso. bien sea desde el punto de vista netamente técnico o administrativo basándose en que las políticas. Un ciclo de vida de seguridad permite mantener y actualizar en el tiempo la arquitectura de seguridad. El objetivo de esta actividad es recabar toda la información necesaria para obtener un conocimiento profundo y detallado del funcionamiento del centro de Prof. gestionar los riesgos.Capítulo I Seguridad y Defensa de la Red   El programa encapsulado permanece separado del encapsulante.

Prof. El objetivo de este análisis es detectar las vulnerabilidades existentes que representan riesgos potenciales para los servicios del centro de operaciones que hemos determinados como críticos. c. organización. las amenazas y vulnerabilidades. así como a través de las entrevistas y revisión del flujo de los procesos. además se identifican los principales activos bajo riesgo. se elabora la descripción de las pruebas según el dispositivo. procesos e infraestructura. Las vulnerabilidades de gente y procesos (administrativas.  Pruebas de penetración: llevar a cabo una gran cantidad de ataques de manera planeada y estructurada para verificar cuál es de ellos tuvieron éxito. y se determinan los controles o salvaguardas adecuados con la mejor relación costo beneficio. medir. Consiste básicamente en elaboración de entrevistas. Posteriormente. Esta consiste en el levantamiento de la información en las áreas de las redes y comunicaciones. visitas e inspecciones físicas a las instalaciones del centro de operaciones. falta de capacitación. Para ello se debe contar con una infraestructura a evaluar que consista en detallar información de aquellos dispositivos importantes para cada uno los servicios que brinde al centro de operaciones. pueden debilitarlo e incluso inhabilitarlo. b. Las internas se desarrollan por el personal del centro de operaciones de la organización. Análisis de Vulnerabilidades Las vulnerabilidades desde el punto de vista de seguridad son características inherentes a un equipo o sistema que si son explotadas. infraestructura y su nivel de seguridad actual. falta de procedimientos. Prácticamente todo sistema de cómputo es vulnerable a ataque. servicios electrónicos y la seguridad perimetral. Las pruebas externas se elaboran por la organización y consiste en examinar el Web site de la organización. Con base en el marco metodológico esta etapa corresponde a la contextualización. Análisis de Riesgos El análisis de riesgos es la actividad que sirve para indicar.) se detectan durante las entrevistas con los empleados y revisión de documentación. así como la recopilación de información proporcionada por sus miembros. Giovana Garrido Página 16 . Algunas de las herramientas que se pueden utilizar son languard y Nessus. malos hábitos.  Detección de intrusos: detectar acceso no autorizado a equipos y aplicaciones. controlar y minimizar los riesgos de seguridad a los que están expuestos los activos informáticos de la empresa. Por su parte las vulnerabilidades de infraestructura se detectan con el análisis de vulnerabilidades y con las visitas e inspecciones a las instalaciones. Para este análisis se lleva acabo lo siguiente:  Monitoreo de la red: detectar tráfico extraño y verificar si la información sensible o confiable (por ejemplo contraseñas) es transmitida por la red en forma legible (texto claro). Se lleva a cabo pruebas internas y externas. con la finalidad de llevar a cabo una identificación amplia y objetiva de los riesgos y amenazas potenciales. etc. Se obtienen vulnerabilidades en las dimensiones de gente. procesos.Capítulo I Seguridad y Defensa de la Red operaciones. habilidades y concienciación.

y esto se lleva acabo a través de las clases de riesgos definidas por el personal encargado de velar por la seguridad. Valoración de Riesgos En esta actividad se involucra al personad del centro de operaciones para estimar de manera conjunta.Capítulo I Seguridad y Defensa de la Red Además se determina el nivel de madurez y las mejoras a corto plazo. así como los hallazgos que pertenecen a cada clase. La figura 3 presenta los cuadrantes correspondientes a cada clase. los factores de riesgo (probabilidades) para todas las vulnerabilidades y amenazas encontradas. para cada una de las vulnerabilidades y amenazas detectadas se identifican las posibles medidas de seguridad o salvaguardas para controlar o disminuir el riesgo. considerando el grado de exposición y el valor económico de la destrucción o pérdida de los activos en cuestión. Cuadro con ejemplo Priorización de los riesgos Priorización de los controles Diagnóstico de Niveles de Seguridad Tomando como base las mejores prácticas y particularmente el estándar ISO/27000. Giovana Garrido Página 17 . Para desarrollar lo anteriormente expuesto. así mismo. se calcula y estima el costo de implementar o incorporar cada salvaguarda. se procede a la priorización de los riesgos. durante esta actividad se está en posibilidades de establecer un diagnóstico de qué tan Prof. Una vez que se obtienen los hallazgos. primero se tabula la información obtenida en la contextualización y análisis de vulnerabilidades (vea figura ejemplo).

Capítulo I Seguridad y Defensa de la Red

lejos o qué tan apegada está la organización en el cumplimiento de los controles establecidos por estos marcos de referencia. d. Plan táctico de seguridad Una vez identificadas las salvaguardas factibles de implementar, y definidas las prioridades y los niveles aceptables de riesgo por parte del centro de operaciones, finalmente se establecen las actividades encaminadas a implementar e incorporar las salvaguardas, sentar las bases para el desarrollo de las políticas de seguridad y la arquitectura tecnológica, y definir las necesidades de capacitación. Este plan está enmarcado en el corto y mediano plazo con base en las prioridades y urgencias detectadas. Políticas de Seguridad (será desarrollado en el último capítulo) En este punto se desarrollan las políticas de seguridad que servirán de guía para los empleados del centro de operaciones a todos los niveles. Así mismo las políticas son la base para definir y desarrollar los procedimientos de seguridad, partiendo de la premisa de que toda clasificación de la información es arbitraria. De acuerdo a la revisión del ISO/IEC 27001, la norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información, ellos son:  Política de Seguridad.  Organización de la Seguridad.  Administración de Activos.  Seguridad de los Recursos Humanos.  Seguridad Física y Ambiental.  Gestión de Comunicaciones y Operaciones.  Sistema de Control de Accesos.  Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.  Administración de Incidentes de Seguridad de la Información.  Plan de Continuidad del Negocio.  Cumplimiento Otros Estándares a considerar para la implementación Británico en el año 1989 y es del dominio público. ITIL contiene las mejores prácticas asociadas a la planificación, provisión y gerencia de servicios de TI (Tecnologías de Información) de calidad, incluyendo las siguientes áreas:  Organización y Procesos.  Infraestructura de TI (hardware, software, redes, aplicaciones y personal).  Gerencia de servicios de TI de calidad.  Mejora de la eficiencia.  Incremento de la efectividad.  Reducción de los riesgos. ITIL cubre todo lo relacionado al marco de los procesos de la organización, para operar y gerenciar las infraestructuras de TI, así como para proporcionar un óptimo servicio a
Prof. Giovana Garrido Página 18

Capítulo I Seguridad y Defensa de la Red

los asociados y justificar los costos. Dividiendo su ámbito de acción en los siguientes servicios:  Entrega de Servicios.  Acuerdo de Nivel de Servicio.  Gestión de las Capacidades.  Gestión de la Disponibilidad.  Planificación de Contingencias.  Gestión de Costos.  Administración de la Configuración.  Escritorio de Ayuda (Helpdesk). Conceptos tales como el Manejo de Incidentes, Gerencia del Cambio y Manejo de Configuraciones, los cuales tienen incidencia directa en las políticas de seguridad de la información, son temas contemplados como parte del soporte de los servicios de TI. La Gerencia de la Seguridad es cubierta por ITIL desde el punto de vista del proveedor de servicios, a la vez que identifica aspectos importantes de la gerencia de la seguridad. COBIT (Control Objectives for Information and related Technologies): fue creado por la Information Audit and Control Association (ISACA), que es una organización global líder de profesionales de mas de 100 países que comprende todos los niveles de la tecnología de la información. Esta asociación se encarga de armonizar los estándares de las prácticas de control de TI a nivel mundial. COBIT está basado en el concepto de “Gestión de TI” que no es más que una estructura de relaciones y procesos para dirigir y controlar la empresa y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Este concepto representa el sistema de control o administración que establece la alta gerencia para asegurar el logro de una Organización. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Suministra un conjunto de buenas prácticas a través de un dominio y el marco referencial de los procesos, además de presentar actividades en una estructura manejable y lógica. COBIT no solo está diseñado para ser usado por usuarios y auditores, sino también para ser utilizado por los propietarios de negocio como una guía clara y entendible. La premisa del Marco de Referencia de COBIT es: “Con el fin de proporcionar la información que la empresa necesita par alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados en forma natural”. Dicho Marco de Referencia está basado en 34 Objetivos de Control de alto nivel, asociados a cada uno de los procesos de TI, están agrupados en cuatro dominios:  Planeación y Organización.  Adquisición e Implementación.  Entrega de Servicios y Soporte.  Monitoreo.

Prof. Giovana Garrido

Página 19

Capítulo I Seguridad y Defensa de la Red

Adicionalmente a los Objetivos de Control de alto nivel, existe una Guía o directriz de Auditoria o de aseguramiento la cual permite la revisión de los procesos de TI contra los 318 objetivos detallados de control, recomendados por COBIT para proporcionar a la gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento. En conclusión, COBIT está diseñado para ser la herramienta de “Gestión de TI” que proporcione herramientas para el entendimiento y la administración de los riesgos así como de los beneficios asociados a la información y sus tecnologías asociadas.

1.4 Seguridad en red perimetral (DMZ “Zona desmilitarizada”,
Demilitarized Zone) Las iniciales DMZ provienen de Demilitarized Zone, es decir, “zona desmilitarizada”. Esta expresión se emplea comúnmente para referirse a una parte de la red que no es realmente de confianza. La DMZ proporciona un lugar en la red para dividir sistemas a los que tienen acceso personas en Internet de aquellos a los que solamente tienen acceso los empleados. Las DMZ también pueden ser utilizadas cuando se trate con socios de negocios y otras entidades externas. Definición de la DMZ La DMZ es creada al proporcionar una zona de red semiprotegida, la zona normalmente es delineada con controles de acceso a la red, como firewall o routers fuertemente filtrados. Es decir, la zona de red a la que se puede acceder desde el exterior. Normalmente un firewall tiene una red pública, una privada y una DMZ. Ejemplo: En la red pública se tiene: la conexión a internet, en algunos casos los servidores trampa. En la red privada están: sus usuarios, sus servidores puramente internos. En la DMZ se coloca: los servidores de acceso externo (mail, web, etc.) los servicios que pueden ser un compromiso a la seguridad como terminadores de red privada virtual y acceso telefónico remoto. Los controles de acceso a la red establecen entonces la política para determinar que tráfico es permitido dentro de la DMZ. En general, cualquier sistema que puede ser directamente contactado por un usuario externo debería ser colocado en la DMZ. Los sistemas a los que pueden tener acceso de manera directa los sistemas o usuarios externos son los primeros en ser atacados y quedar potencialmente comprometidos. Estos sistemas no pueden ser completamente confiables, puesto que podrían quedar comprometidos en cualquier momento. Por tanto, intentamos restringir el acceso que tienen esos sistemas a los sistemas realmente delicados de la red interna. ¿Puertos DMZ? Cualquier equipo capaz de ser firewall que de acuerdo al plan para el DMZ. Si lo llaman DMZ o puerto DMZ dependerá de quien lo configure. Una red no es más o menos DMZ porque se conecte de una manera determinada. La DMZ es un
Prof. Giovana Garrido Página 20

si utiliza encapsulacion 802. Este es un tema muy amplio. no es suficiente un único dispositivo cortafuegos. Aquellas redes formadas por múltiples servidores. el sistema interno debería iniciar la conexión hacia el sistema de la DMZ. Giovana Garrido Página 21 . por lo que recomiendo echar un vistazo al siguiente artículo de la publicación Linux Journal: http://www. por ejemplo. la siguiente red: Prof. de correo. etc. accesibles desde fuera de la organización. no lo convierte en una conexión. juntamente con estaciones de trabajo que deberían estar completamente aisladas de conexiones con el exterior. Para ello hay diferentes arquitecturas DMZ para implementar en las organizaciones.com/article/4415 En ciertas instalaciones. Los sistemas internos pueden tener acceso a la DMZ o a Internet según lo permita la política..Capítulo I Seguridad y Defensa de la Red concepto.linuxjournal. Las reglas del acceso general para la DMZ permiten a los usuarios externos tener acceso a los servicios apropiados en los sistemas de la DMZ. El hecho de permitir tráfico entrante en la red de la organización supone un factor de riesgo que trataremos de mitigar. Si es posible. Por ejemplo. Supongamos. accesibles públicamente desde el exterior. Un claro ejemplo de este tipo de arquitecturas son las redes que disponen de servidores web.1q en un solo enlace se podrá tener red privada. publica y DMZ sobre el mismo interfaz. se beneficiarían de la separación entre dos grupos de sistemas cortafuegos. Los sistemas DMZ deberían estar severamente restringidos respecto al acceso desde los sistemas internos. pero ningún usuario externo puede tener acceso a los sistemas internos.

Mediante esta arquitectura. los paquetes IP de un extremo de la red (la parte hostil) no serán encaminados hacia la parte protegida. los equipos de la red interna se pueden comunicar con el equipo dual-homed. y viceversa. a no ser que se indique lo contrario. los equipos de la red externa pueden comunicarse con el equipo dual-homed. Una arquitectura de cortafuegos dual-homed se construye mediante el uso de un equipo dual-homed con la capacidad de encaminamiento desactivada. Un equipo bastión (en ingl´es bastion host) es un sistema informático que ha sido fuertemente protegido para soportar los supuestos ataques desde un lugar hostil (en este caso. De esta forma. Giovana Garrido Página 22 . pero los equipos de la red interna y externa no se pueden poner en Prof. El nombre de equipo bastión (bastion host) proviene de las murallas fuertemente protegidas que separaban los castillos medievales del exterior. Equipo bastión implantado mediante la utilización de un equipo bastión con una arquitectura dual-homed. internet) y que actúa como punto de contacto entre el interior y el exterior de una red.Capítulo I Seguridad y Defensa de la Red En la figura anterior vemos un único sistema cortafuegos como punto de protección.

Giovana Garrido Página 23 . Para prevenir estas situaciones. un cortafuegos separa el exterior de la red del segmento desmilitarizado (la DMZ) y los servidores que tienen que ser públicos desde el exterior de la red. En la instalación que se muestra en la figura anterior. El segundo cortafuegos. Introduciendo el concepto de zona desmilitarizada o DMZ. y llegar a ser una cuestión de determinar cuál arquitectura es la más apropiada para cada organización. Así. cuáles sistemas deberían colocarse en la DMZ?. sino que un servidor intermediario se encarga de realizar las conexiones en nombre de estas dos partes. se configurara para que rechace todos los intentos de conexión que vayan llegando desde el exterior. Esto hace que este cortafuegos con arquitectura dual-homed sea un punto crítico en la seguridad de la red. se tienen ventajas y desventajas para cada una de ellas. aunque un atacante se apodere del segmento de los servidores. será incapaz de atacar inmediatamente una estación de trabajo. examinaremos tres de las arquitecturas más comunes. Como ocurre con muchas cosas en el ámbito de la seguridad. el resto de la red continuara estando protegida mediante el segundo de los cortafuegos Sistemas a colocar en la DMZ Ahora tenemos una política general para la DMZ una lista de servicios que se ofrecerán en Internet. Enrutador y muro de fuego Prof. Arquitecturas DMZ apropiadas Existen muchas arquitecturas de la DMZ. es posible la utilización de dos dispositivos cortafuegos. Es decir. y contestar a esta interrogante. las otras máquinas podrán ser atacadas sin ninguna restricción desde el equipo que acaba de ser comprometido. En las tres siguientes secciones. si un atacante consigue introducirse en uno de los servidores de la zona desmilitarizada. Si un atacante consigue comprometer cualquiera de los servidores que se encuentre detrás de este punto único. que hace de punto de contacto entre la red interna y la zona desmilitarizada. Debemos cuestionarnos.Capítulo I Seguridad y Defensa de la Red comunicación directamente.

Otra manera para reducir el riesgo de los sistemas es asegurarlos de manera que solamente los servicios que se están ejecutando en cada sistema sean aquellos que están siendo ofrecidos en la DMZ. El enrutador está conectado al enlace desde el ISP y hacia la red externa de la organización. de manera que el único tráfico permitido al interior de la DMZ sea el tráfico a los servicios ofrecidos por los sistemas DMZ. todo el tráfico es forzado a través del mismo. el muro de fuego debe ser capaz de manejarlo además del tráfico interno destinado para Internet. pueden colocarse filtros sobre el enrutador. El muro de fuego se convierte en un punto singular de fallas y en un cuello de botella potencial para el tráfico. el muro de fuego debería encontrarse en una configuración de recuperación de fallas. Si el enrutador es propiedad de la organización y está administrado por la misma. La DMZ está establecida como una tercera interfaz en el muro de fuego. Este muro de fuego sólo controla el acceso a la DMZ. Asimismo. Muchos casos. y los sistemas a los que se va a tener acceso desde Internet se colocan aquí. Esto significa que los servidores web están ejecutándose únicamente cómo servidores web. los sistemas en la DMZ están un Prof. están completamente abiertos a los ataques desde Internet. o bien establecerlos correctamente. Si éste es el caso.Capítulo I Seguridad y Defensa de la Red La figura siguiente ilustra una arquitectura simple de enrutador y muro de fuego. El muro de fuego también proporcionará registros mostrando qué tráfico está permitido y qué tráfico es denegado. La administración de esta arquitectura está simplificada sobre el enrutador y el muro de fuego en el sentido que solamente el muro de fuego debe ser configurado para permitir o no el tráfico. Sin embargo. Cuando se hace uso de un solo muro de fuego. La red externa está formada por el enrutador del ISP y el muro de fuego. El enrutador no requiere de filtros. FTP corregidos al nivel más reciente y ser vigilados cuidadosamente. el enrutado presentará y será administrado por el ISP. tenga en mente que los enrutadores tienen la tendencia a utilizar los controles de configuración de líneas de comandos y que los filtros deben ser establecidos de manera apropiada y en el orden correcto para trabajar adecuadamente. éste no será un problema. Utilizando la arquitectura de un solo muro de fuego. Además. la DMZ se diferencia de la red externa como se muestra en la siguiente figura. puede llegar a ser un problema modificar los filtros. El muro de fuego debería estar configurado para permitir el tráfico solamente a los servicios apropiados en cada sistema DMZ. La DMZ llega a ser lo mismo que la red externa. Si la disponibilidad es una cuestión de seguridad clave en la arquitectura global. Muro de fuego simple Un muro de fuego (firewall) simple puede emplearse para crear una DMZ. si se espera que la DMZ atraiga una gran cantidad de tráfico. Puesto que estos sistemas se encuentran ubicados en la red externa. Telnet. aunque alguna clase de filtrado puede hacer que el muro de fuego sea más eficiente. Para reducir algo del riesgo de ser comprometidos. El muro de fuego controla el acceso a la red interna. Giovana Garrido Página 24 .

Prof. No estamos sugiriendo que los sistemas inseguros podrán dejarse en la DMZ. La red externa todavía está definida por el enrutador del ISP y el primer muro de fuego. Como en la arquitectura de muro de fuego simple. además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías. pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad. El muro de fuego 2 puede ser un sistema menos capaz. de modo que alivia parte de la necesidad de eliminar servicios innecesarios. La DMZ existe ahora entre el muro de fuego 1 y el muro de fuego 2. El muro de fuego 2 se encuentra configurado con una configuración mucho más restrictiva. Muros de fuego dobles (duales) Una tercera arquitectura para un DMZ se ilustra a continuación. Combinación de tecnologías para la construcción de una DMZ En la figura siguiente podemos ver el uso de un router con filtrado de paquetes. además de todo el tráfico interno. los sistemas de la DMZ están protegidos de Internet por el muro de fuego 1. de lo contrario habremos puesto una puerta blindada. Sólo se sugiere que el muro de fuego proporciona cierta protección. Por ejemplo. Esta configuración puede incrementar la seguridad global en el sentido de que es improbable que un ataque simple comprometa ambos muros de fuego. En suma. En seguridad de redes. o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo. de la misma manera que el enrutador de filtrado. Esta arquitectura hace uso de dos muros de fuego para separar la DMZ de las redes externa e interna. Los muros de fuego duales incrementan los costos de la arquitectura y requieren de una configuración y administración adicionales. El muro de fuego 1 está configurado para permitir todo el tráfico de la DMZ. de manera que solamente permite el tráfico saliente hacia Internet. puesto que solamente manejará tráfico interno. Giovana Garrido Página 25 .Capítulo I Seguridad y Defensa de la Red poco protegidos por el muro de fuego. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad. La arquitectura del doble muro de fuego (dual) requiere que el muro de fuego 1 sea capaz de manera cargas o volúmenes de tráfico que serán significativos si los sistemas DMZ están esperando gran cantidad de tráfico. Los muros de fuego también pueden ser de dos tipos diferentes. de modo que la necesidad de asegurarlos se reduce completamente. juntamente con la utilización de un servidor intermediario para el establecimiento de una zona desmilitarizada. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas.

De esta forma se puede simplificar el esquema planteado anteriormente y mantener a la vez un nivel de rendimiento sin renunciar a las capacidades de monitorización que ofrece la utilización de un punto de protección único. Giovana Garrido Página 26 . En la figura siguiente se ilustra la implantación de un equipo bastión con arquitectura de cortafuegos dual-homed y con implantación de inspección de estados. diseñada por la empresa de productos de seguridad. Prof. La inspección de estados*. Chekpoint e implementada inicialmente en el producto Firewall-1.Capítulo I Seguridad y Defensa de la Red Otra forma de solucionar los mismos problemas planteados consiste en la utilización de un sistema que implemente una inspección de estados en el filtro de paquetes. combina (al igual que las pasarelas a nivel de circuito) el rendimiento de los filtros de paquetes con la seguridad adicional que presenta la utilización de servidores intermediarios.

sin embargo esto plantea varios problemas de seguridad por diversos motivos. Para resolver los problemas de acceso seguro hacia/desde el exterior se ha creado el concepto de cortafuego o firewall. el cortafuego analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados. Giovana Garrido Página 27 . de acuerdo con un criterio establecido de antemano. Prof. o Los empleados pueden utilizar la conexión a Internet para salir a lugares no autorizados (por ejemplo servidores de información no relacionados con su actividad en la empresa).Capítulo I Seguridad y Defensa de la Red Su aplicación Especialmente con el crecimiento comercial de la Internet muchas empresas se enfrentan ante la necesidad de conectar sus redes al exterior. por ejemplo: o Los computadores de la red local contienen información de carácter confidencial cuya salvaguardia resulta vital para la empresa. que consiste en un dispositivo formado por uno o varios equipos que se sitúan entre la red de la empresa y la red exterior (normalmente la Internet). o Del exterior pueden llegar virus u otro tipo de programas que perjudicarían seriamente los computadores de la empresa.

actuando él como router. además las posibilidades de definir filtros en los routers son limitadas y el rendimiento se resiente de forma considerable si al router se le carga con una tarea de filtrado compleja. o el tráfico de ciertas aplicaciones o una combinación de ambos criterios. como vemos en la figura anterior. Dado que los usuarios siguen teniendo conexión directa a nivel de red con el exterior esta solución no es muy fiable. Giovana Garrido Página 28 . por ejemplo impidiendo o limitando el acceso a determinadas direcciones de red. como vemos en la figura anterior. El host implementa un servidor Web proxy Prof. Figura: cortafuegos basados en host bastión (dual homed gateway) El siguiente nivel de cortafuego está formado por un host (dual homed gateway) que conecta por una parte a la Internet y por otra a la red corporativa.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos basado en router En su versión más simple el cortafuego consiste únicamente en un router en el que se han configurado diversos filtros.

. seria la codificación y encriptación de los mismos. Estos podrían ser el telnetd y el ftpd. el sistema no deberá contener cuentas de de acceso a usuarios. etc.).freshmeat. de forma que ante posibles ataques a nuestro sistema. Este sistema debe haber sufrido un proceso de testing para catalogar posibles fallos no solo en seguridad. entre otros. NNTPd. tales como mejores auditorías. Evitaremos situaciones como encaminamientos no autorizados. e instalar otro de los muchos disponibles en web sites como http://www. En principio. control de accesos al mismo (conexiones de la red interna.net. Prof. solo deberá mantenerse aquellas derivadas a daemons y la del administrador. conexiones de la red externa . o buscar formas de acceso a la máquina mediante una sola IP de acceso (Revisar Hosts. El computador que actúa como barrera entre la red interna y la Internet se denomina host bastión (‘bastion host’ BH) en terminología de cortafuegos. filtros o reglas que se han especificado. etc. monitorización del sistema. limitado por las restricciones. Un buen ejemplo de ello. de registro.Capítulo I Seguridad y Defensa de la Red que actúa como pasarela de aplicación para los servicios que se quieren permitir.allow). dispone de una serie de medidas que le diferencia del resto. Los métodos personales propios de administración es preferible mantenerlos offside . Otros autores denominan como Bastion Hos (BH)t a un sistema informático catalogado como punto peligroso en la seguridad de nuestra red informática. Esta solución ofrece una seguridad mayor que la anterior ya que el servidor proxy . administradores. el control remoto de la máquina. que nos den un mayor rango de seguridad inherente. una serie de normas de seguridad. y además conociendo correctamente su funcionamiento. En el caso de GNU/LiNUX. También deberemos desechar todos aquellos servicios de red como HTTPd. puede procesar filtros mas complejos que un router. Deberemos cambiar los puertos de acceso a los mismos. al ser un host. Normalmente se suele permitir el paso del tráfico de red autorizado a través del BH debido a que este nos detallara todo en todo momento.-) Simplemente es pensar en cómo actuaria una persona ajena al encontrarse con un sistema de este tipo. Giovana Garrido Página 29 . ya que está directamente conectado a la LAN. los ficheros.deny y Hosts. corran menor peligro. SSH nos ayudará mucho en esta tarea. sino también en el propio software que utiliza. podremos asegurar en un gran margen que el sistema está preparado para evitar posibles ataques o accesos no deseados a nuestra red interna. excepto aquellos que nos permitan a nosotros. Un BH deberá incluir.. Deberemos controlar todo lo relativo a enrutado desde el BH. Se recomienda eliminar el demonio SysKLogd. En base. pero si un usuario malintencionado (hacker o cracker) consiguiera instalar un programa 'espía' (sniffer) en el host bastión podría capturar tráfico de la red interna de la empresa..

 Señalar la manera de corregir las vulnerabilidades encontradas. Por ejemplo. conectados entre sí por una pequeña red local. En ocasiones se utilizan otras variantes de arquitectura de cortafuego aún más complejas. además de una buena arquitectura de cortafuego es importante comprobar que no hay 'agujeros' que permitan el acceso no controlado por otras vías. el host implementa una pasarela multiaplicación (servidor proxy) como antes. En seguridad de redes. pero al no estar el directamente conectado a la red local de la empresa incluso en el caso de que un hacker consiguiera instalar en él un sniffer no podría capturar tráfico confidencial. algo así como una zona neutra de seguridad). pero nos pueden entrar ladrones en casa por el 'trastero' con gran facilidad. Giovana Garrido Página 30 . o disponer de un sistema no seguro de autenticación de usuarios en el acceso por red conmutada para teletrabajo.  Identificación de vulnerabilidades en los activos públicos que se encuentran en la red perimetral a través de acciones de “hacking”. en una empresa con una red altamente protegida podría una oficina regional haber establecido una conexión local con otra institución sin conocimiento de los responsables de seguridad. subred apantallada (screened subnet) En un nivel mayor de seguridad el cortafuego se implementa mediante un host y dos routers. incluido mecanismos de aviso urgente para las vulnerabilidades más graves. de lo contrario habremos puesto una puerta blindada. Prof. En suma. Los objetivos del Servicio de Seguridad Perimetral se basan en la prevención activa en base a las siguientes prácticas:  Mejora continua de la seguridad de los entornos Internet realizando un seguimiento evolutivo mediante el uso de Normas Estandarizadas y Control Continuo. pues solo podrá ver los paquetes dirigidos a él. que además de un buen cortafuego hay que tener una política de seguridad rigurosa si se quiere que las medidas sean efectivas. Esta configuración se llama subred apantallada o screened subnet.Capítulo I Seguridad y Defensa de la Red Figura: cortafuegos con zona desmiliatarizada. En este modelo la red que une los routers con el host se denomina zona desmilitarizada o zona DMZ (Demilitarized Zone. uno de los routers conecta a su vez con la red local de la empresa y el otro con la Internet.

Cuando el destinatario tiene prueba del origen de los datos. señalando la manera de corregir las vulnerabilidades encontradas. para proteger las comunicaciones de los usuarios en las redes. Cuando el origen tiene prueba de la entrega íntegra de los datos al destinatario deseado. así como facilitar la disponibilidad de estándares de seguridad para su aplicación en las tecnologías hardware/software de más amplia difusión en la compañía.  Establecimiento de un canal de comunicación. Puede ser de dos tipos:  Con prueba de origen.  Con prueba de entrega. La percepción del Servicio de Seguridad Perimetral viene dada por la información generada desde el mismo:  Informes de seguridad gestionada sobre las direcciones IP en Internet de la Administración.  Informes de seguridad manual sobre direcciones IP del rango público. Según esta arquitectura. así como proveer de un soporte especializado como ayuda para la resolución de los problemas de seguridad encontrados. Diseminar en la Administración Pública el conocimiento de las “mejores prácticas” para la fortificación de los sistemas de la información.5 Seguridad en equipos de comunicación de datos El documento de ISO que describe el Modelo de Referencia OSI.  Diferentes Informes de Seguridad dirigidos hacia cada Administración tratando de identificar posibles punto débiles en la seguridad El análisis de seguridad no se debe de limitar a los entornos de redes convencionales ya que existen innumerables amenazas en otros ámbitos como:  Análisis de seguridad IP sobre Wifi  Análisis de seguridad IP sobre UMTS  Análisis de seguridad IP sobre 3G 1. es necesario dotar a las mismas de los siguientes servicios de seguridad: Autenticación de las Comunicaciones Este servicio proporciona la prueba ante una tercera parte de que cada una de las entidades comunicantes ha participado en una comunicación. en el que los responsables de seguridad puedan acceder a la información y conocimiento interno de seguridad del que se dispone.Capítulo I Seguridad y Defensa de la Red   Establecer un canal de alertas de vulnerabilidades de seguridad potenciales en la Administración Pública. presenta en su Parte 2 una Arquitectura de Seguridad.  Establecimiento de un mecanismo de aviso urgente para las vulnerabilidades detectadas más graves (Alertas Urgentes). Prof. Giovana Garrido Página 31 . Autenticación de los Datos Este servicio garantiza que los datos recibidos por el receptor de una comunicación coinciden con los enviados por el emisor.

puede ser una información suplementaria compuesta por un código de control de bloque. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. un sello de tiempo o un encadenamiento criptográfico. entonces la función de control de acceso rechazará el intento. Giovana Garrido Página 32 . con el fin de asegurar los derechos de acceso a recursos que posee. o un valor de control criptográfico. probablemente encriptada con técnicas simétricas o asimétricas. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. Garantía de la privacidad de los datos Este servicio proporciona protección contra la revelación deliberada o accidental de los datos en una comunicación. o intenta el acceso de forma impropia a un recurso autorizado. al tiempo que puede informar del incidente. Control de Acceso Autentica las capacidades de una entidad. El control de acceso se puede realizar en el origen o en un punto intermedio. y se encarga de asegurar si el fuente está autorizado a comunicar con el receptor y/o a usar los recursos de comunicación requeridos. puede ser una información suplementaria compuesta por un código de control de bloque. Análisis de flujo del tráfico Contar con herramientas o programas que permitan llevar un control del tráfico de la red. Garantía de la Integridad de los datos Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. adicionalmente. tal como la numeración de secuencia. o un valor de Prof. El mecanismo de integridad de datos soporta el servicio de integridad de datos.Capítulo I Seguridad y Defensa de la Red Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad. Para proporcionar integridad a una secuencia de unidades de datos se requiere. Esta cantidad. alguna forma de ordenación explícita. probablemente encriptada con técnicas simétricas o asimétricas. El mecanismo de control de acceso soporta el servicio de control de acceso. Esta cantidad. con el propósito de generar una alarma y/o registrarlo. Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. de tal manera de detectar anomalías en el mismo. Si una entidad intenta acceder a un recurso no autorizado.

Compromiso para el control de acceso del router puede resultar en la exposición de los detalles de la configuración de red o de denegación de servicio. a la que se denomina Autoridad de Certificación.  Autentificación fuerte. Para proporcionar integridad a una secuencia de unidades de datos se requiere.   Compromiso de un router en las tablas de enrutamiento pueden reducir el rendimiento. Para que un usuario confíe en el procedimiento de autenticación. que asocia una clave pública a un usuario. la clave pública de su interlocutor se tiene que obtener de una fuente de confianza. La autenticación puede ser sólo de la entidad origen o de la entidad destino. tal como la numeración de secuencia.5. El mecanismo de intercambio de autenticación se utiliza para soportar el servicio de autenticación de entidad par. El mecanismo de integridad de datos soporta el servicio de integridad de datos. la negación de la red de servicios de comunicación. o incluso otras redes con las que se comunica el router. y la exposición de datos sensibles.Capítulo I Seguridad y Defensa de la Red control criptográfico. o ambas entidades se pueden autenticar la una o la otra. Página 33 Prof. El emisor envía su nombre distintivo y una contraseña al receptor. El compromiso de un router puede dar lugar a diversos problemas de seguridad en la red. Cuando un segundo usuario desea comprobar la autenticidad de su interlocutor deberá comprobar que éste está en posesión de su clave secreta. y puede facilitar los ataques en contra de otros componentes de la red. el cual es un servicio que corrobora la fuente de una unidad de datos. un sello de tiempo o un encadenamiento criptográfico. Un certificado es un documento firmado por una Autoridad de Certificación. La Autoridad de Certificación utiliza un algoritmo de clave pública para certificar la clave pública de un usuario produciendo así un certificado. Cada usuario se identifica por un nombre distintivo y por su clave secreta. Giovana Garrido . para lo cual deberá obtener su clave pública. alguna forma de ordenación explícita. Reconocimiento del Receptor y/o Transmisor Existen dos grados en el mecanismo de autenticación:  Autentificación simple. Utiliza las propiedades de los criptosistemas de clave pública. adicionalmente. Routers Motivaciones para la Prestación de Guía de Seguridad de Router La prestación de servicios a los Routers es esencial para el correcto y seguro funcionamiento de las redes.1 Control físico de acceso a redes a. 1. válido durante el período de tiempo indicado. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. el cual los comprueba.

Configuración fuerte: Un router es similar a muchos computadores en el sentido de que muchos servicios se activan por defecto. Decidir qué características de las necesidades de red. Prof. protección de un router en sí Seguridad física: Hay varias maneras de proporcionar la seguridad física de un router. y utilizar al seleccionar de lista la versión del sistema operativo más apropiada. También considerar si es necesario la disponibilidad de un sistema de alimentación interrumpida (UPS). exponer los componentes de la red interna. Se debe utilizar la última versión estable del sistema operativo que cumpla con la función de acuerdo a sus necesidades. no ser negligente. un router seguro bien configurado puede mejorar en gran medida la postura de seguridad de una red. En general. Todos los servicios innecesarios deben ser desactivados en la configuración del router. tarjetas de PC. hay que ser malicioso aun. se debe instalar los componentes para ayudar a proteger contra algunos ataques de denegación de servicio. Por último. y facilitar a los atacantes para evitar la detección. los dispositivos físicos (por ejemplo. el router debe ser colocado en una habitación cerrada con llave con acceso de sólo un pequeño número de personal autorizado. garantizar y facilitar la cooperación entre los elementos claves independientes. no eludir. Muchos de estos servicios son innecesarios y pueden ser utilizados por un atacante para la recopilación de información o de la explotación. Por otro lado. y que le permita apoyarse de la más amplia gama de servicios de seguridad. el router debe estar configurado con la máxima cantidad de memoria posible. Debe tener los controles de temperatura y humedad. evitando así una grave fuente potencial de problemas de seguridad. Principios y Metas de Seguridad en Routers Los routers pueden desempeñar un papel en la obtención de las redes. Sin embargo. Aunque hay una variedad de recursos disponibles por parte de vendedores de routers. ya sea de productos o libros que documentan acerca de la seguridad.Capítulo I Seguridad y Defensa de la Red   Una mala configuración del enrutador en el filtrado puede reducir la seguridad general de todo. la última versión de cualquier sistema operativo tiende a no ser la más fiable debido a su limitada exposición en una amplia gama de entornos de red. la protección de una red con un router. el uso adecuado de las funciones de seguridad criptográfica en el router pueden ayudar a proteger datos sensibles. La habitación que contiene el router debe estar libre de interferencias magnéticas o electrostáticas. Giovana Garrido Página 34 . Aplicar Políticas de seguridad en un router es necesario aunque difícil. a. garantizar la integridad de los datos. Además. de las exploraciones y los ataques. con los usuarios finales. Sistema operativo: El sistema operativo en el router es un componente crucial. módems) se utiliza para conectarse al router para almacenamiento que requieran protección. A continuación se describen los principios generales para la protección de un router en sí. un router y la gestión de seguridad.

puerto de destino. un usuario en un sistema telnets del sistema B. y de B envía algún tipo de respuesta al sistema A. Este enfoque se recomienda utilizar sólo en un router. basadas en las direcciones y los protocolos. y tipo de protocolo. Algunos routers pueden filtrar en cualquier bit o de cualquier patrón de bits en el encabezado IP. Así pues. algunos routers necesitan dos filtros para manejar los servicios de bi-direccional. Algunos routers tienen filtros que se aplican a los servicios de red en ambas direcciones de entrada y de salida. Se puede hacer esto por sí mismo. el cual contiene una ruta que pasa por todas las conexiones destinadas a la red protegida por el cortafuego. ya que ofrece más seguridad. También puede realizar la autenticación de usuario. puerto de origen. y a este se le conoce como un router de selección.) La mayoría de los routers puede filtrar por una o más texto de la siguiente forma: dirección IP de origen. Figura Ejemplo de configuración de conexión típica de Internet con un router Internet Filtrado de paquetes TCP/IP: Un filtro de paquetes de TCP / IP proporciona servicios de control para la transferencia de datos entre las redes. Giovana Garrido Página 35 . Actúa como la primera línea de defensa. El servidor de seguridad proporciona control de acceso sobre el contenido de las conexiones. protección de la red con el router Reglas de seguridad perimetral y políticas de seguridad: Un router proporciona una capacidad para ayudar a asegurar el perímetro de una red protegida. mientras que otros tienen filtros que se aplican sólo en una dirección.Capítulo I Seguridad y Defensa de la Red b. Figura Un router puede ser utilizado también como parte de la defensa en un enfoque profundidad. Por ejemplo. El diagrama de la parte inferior muestra una típica topología con el router es el componente que conecta a la red protegida a Internet. Sin Prof. (Muchos servicios son bidireccionales. como se muestra en el siguiente diagrama. Routers pueden aplicar filtros de diferentes maneras. dirección IP de destino.

Giovana Garrido Página 36 . Esto a veces se denomina filtrado de salida.  aplicar Filtros de paquetes: Rechazar riesgo Protocolos y Servicios.  estándares en puertos y protocolos Prof. Por ejemplo. el nombre del archivo del ftp). Los Filtros de paquetes son especialmente importantes para los routers ya que actúan como puerta de enlace entre las redes de confianza y no confianza. el router debe hacer cumplir la restricción de que los paquetes que llegan de la Internet deben tener una dirección de origen fuera del rango válido para la red protegida. el router debe hacer cumplir la restricción de que los paquetes enviados desde la seguridad de la red de seguridad o protegida (a la derecha a la izquierda) debe tener una dirección de origen dentro de un rango particular. Esto se denomina filtrado de entrada. el rechazo de los protocolos y la restricción de los puertos de acuerdo a las políticas de la red de confianza. El papel del router es hacer cumplir la política de seguridad.Capítulo I Seguridad y Defensa de la Red embargo. Los filtros también son importantes por su capacidad para hacer valer frente a las limitaciones. Del mismo modo. en la Figura 1. los routers no tienen la capacidad para filtrar el contenido de los servicios (por ejemplo. Se puede:  aplicar Filtros de paquetes: sólo se requiere permiso de Protocolos y Servicios.

Prof. ¿Qué significa para un router que sea seguro? Una manera sencilla de definir la seguridad de un router es la siguiente: ¿la operación. Giovana Garrido Página 37 . muestra tabla de servicios en los routers para los clientes externos. d. configuración y gestión del router cumplen su política de seguridad? Una base conceptual para la política de seguridad del router La figura a continuación. muestra una vista de los niveles de seguridad de un router.Capítulo I Seguridad y Defensa de la Red Figura tabla de servicios para routers La siguiente figura. La seguridad de cada capa depende de la seguridad de las capas dentro de él. y su seguridad es una parte vital de toda la red. políticas de seguridad de routers Los Routers son una parte importante de una red.

también debe hacerse el control de las dos capas exteriores. por lo general denominado "consola" o "control" de puertos. La política de un router debe encajar en el marco general. La siguiente zona más interna de la figura es el software almacenado y el estado de configuración del router en sí. entonces. La mayoría de los routers ofrecen una o más conexiones directas. y los registros de auditoría. La Política de seguridad para un router debería incluir normas sobre el acceso a esta capa. La Política de seguridad por lo general. el acceso físico debe ser controlada para proporcionar una base sólida para la seguridad general del router. La ruta de los propios cuadros son los más evidentes de esta parte. normas de conducta. la política de seguridad de un router servirá para. incluye normas estrictas sobre el acceso a esta capa. Cualquier router puede estar comprometida por un atacante con acceso físico completo. en particular. La zona exterior de la figura es la configuración dinámica del enrutador. tablas ARP. puede comprometer la capa externa. estos puertos suelen prever mecanismos especiales para el control del router. y los controles de acceso para el acceso directo a la interfaz de comandos del router. Giovana Garrido Página 38 . Algunos aspectos importantes de los datos almacenados son la interfaz de configuración de direcciones. Otras partes de la información dinámica. los nombres de usuario y contraseñas. tanto en términos de funciones. por lo tanto. Si un atacante puede comprometer la configuración dinámica de un router. Política de Seguridad del Router y de la red general Normalmente en la red. Prof. son también muy importantes. aunque a veces se pase por alto. definir roles.Capítulo I Seguridad y Defensa de la Red Vista de las capas de seguridad de un router La zona interna representa la seguridad física del router. Las funciones que se definen en la política de seguridad del router suele ser un subconjunto de las políticas de la red. permisos. y las responsabilidades. Las normas de conducta de la administración del router debería aclarar la aplicación de las normas de red al router. Si un atacante puede comprometer cualquiera de estos. La política de seguridad del Router debe definir normas de dónde y cómo estos puertos pueden ser utilizados. la configuración almacenada. tal como el estado de la interfaz.

Protocolos y Servicios que no están explícitamente permitidos se le debe negar: Cuando se representa política de la red en el router. los resultados de seguridad que deben alcanzarse. una política de seguridad de red podría definir tres funciones: administrador. La política de seguridad del router puede conceder privilegios de acceso del operador al router de manera que puedan acceder a los registros del router. ambas deben tomarse en cuenta.   Una política de seguridad debe ser un documento vivo. El router puede especificar normas particulares que puedan ser aplicadas por el router para evitar la administración remota. Actualizar la política del router para que se reflejen los cambios en la red. En particular. Creando una política de seguridad para un router Existen varios consejos importantes que recordar al crear la política de seguridad de un router:  Especificar los objetivos de seguridad.  Cambios importantes en las prácticas administrativas. y negar todo lo demás. los comandos o mecanismos: Cuando se especifican las políticas. se debe concentrar en los protocolos y servicios que han sido identificados como explícitamente necesarios para la explotación de las redes. Especificar la política de todas las zonas señaladas en la figura anterior: Comience con la seguridad física. podría ser considerado responsable por la seguridad de la red en la revisión periódica de los registros de auditoría. por ejemplo. operador. la política le permite cumplir sus responsabilidades tal como se indica en una política de la red. y el usuario. en lugar de un comando en particular o un mecanismo. la política en el router implica mucho más detalles que la política de la red. El operador. el router aplica la política de red. el examinar el router y revisar la política de seguridad según sea necesario cuando cualquiera de los siguientes eventos ocurren.  Nuevas conexiones entre la red local y las redes externas. explícitamente los permisos. pero no en la LAN local. El router sólo puede incluir dos política de seguridad: el administrador y operador. al final. Forman parte de las prácticas de seguridad de la red para ser examinados periódicamente como parte de la política de seguridad de red del router y de la seguridad en sí. procedimientos. Por ejemplo. y el trabaje hacia el exterior hacia la configuración. tanto la dinámica como con el flujo del tráfico. la política del router es más llevadera cuando se dan a través de las versiones del software y entre diferentes tipos de routers. o personal. la política de seguridad de la red podría prohibir la administración del router desde cualquier lugar.Capítulo I Seguridad y Defensa de la Red Por ejemplo. o cuando los objetivos de seguridad ha sido cambiados en el router. En algunos casos. Puede ser necesario revisar la política de seguridad del router cuando se produzca un cambio importante en la arquitectura de red o estructura orgánica de la administración de la red. no particular. En cuanto a los demás. Prof. Giovana Garrido Página 39 . Cada una de las funciones que se concederá privilegios en el router.

Las listas de acceso pueden aplicarse también a los puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente. notificará a todas las personas autorizadas de la administración del router y todas las personas autorizadas para el acceso físico a él. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP o a protocolos IP de capa superior. no es posible bloquear el acceso Telnet desde dicho router. Ataque de Detección o grave compromiso.  Seguridad física  Configuración estática de seguridad  Configuración dinámica de seguridad  Servicio de seguridad de la red  Respuesta ante compromiso e. Se pueden usar listas de acceso IP para establecer un control más fino o la hora de separar el tráfico en diferentes colas de prioridades y personalizadas. Despliegue de nuevas capacidades sustanciales (por ejemplo. Las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router. Las listas de acceso identifican tráfico que ha de ser filtrado en su tránsito por el router. Una lista de acceso también pueden utilizarse para identificar el tráfico “interesante” que sirve para activar las llamadas del enrutamiento por llamada telefónica bajo demanda (DDR). Las listas de acceso constituyen una eficaz herramienta para el control de la red. Giovana Garrido Página 40 . Después de la elaboración de una política. un nuevo servidor de seguridad). Lista de política de seguridad del router La lista que figura a continuación fue concebida como una ayuda para la creación de la política de seguridad del router. El filtrado de paquetes permite controlar el movimiento de paquetes dentro de la red. Esta identificación puede usarse después para filtrar el tráfico y conseguir una mejor administración del tráfico global de la red. Cuando la política de seguridad del router sea objeto de una revisión. Estar conciente de que el mantenimiento de la política es crucial para el cumplimiento de la misma. pero no puede filtrar él tráfico originado por el propio router. Prof. pasar por una la lista y comprobar que cada tema se aborda en forma segura. una nueva red privada virtual) o de nuevos componentes de la red (por ejemplo. Este control puede ayudar a limitar él tráfico originado por el propio router.Capítulo I Seguridad y Defensa de la Red    Cambios importantes en la política global de seguridad de red. Uso de Listas de Control de Acceso (ACLs) como parte de la seguridad en la red para el control de tráfico Los router se sirven de las listas de control de acceso (ACL) para identificar el tráfico.

(evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado). el router comprueba si la interfaz de destino esta agrupada en alguna lista de acceso. basándose en la dirección IP de la red-subred-host de origen. el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. será procesado para su enrutamiento. o bien descartados. Giovana Garrido Página 41 . dicho paquete será enviado directamente al puerto destinado. paquetes que se trasmiten por el router. Si no existe ninguna ruta hasta la dirección de destino. Operatividad de las listas de acceso Cuando un paquete llega a una interfaz. También pueden verificar protocolos especificados. antes de que el paquete pueda ser enviado al puerto destinado será verificado por una serie de instrucciones de la lista de acceso asociada con dicha Prof. Las listas de acceso no actúan sobre paquetes originados en el propio router. Si el paquete de salida está destinado a un puerto. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo.Capítulo I Seguridad y Defensa de la Red Las listas de acceso son mecanismos opcionales del software (ejemplo. si el paquete pasa las pruebas de filtrado. A continuación. y paquetes que salen de las interfaces de salida del router. el paquete puede ser enviado al búfer de salida. que no ha sido agrupado a ninguna lista de acceso de salida. Las listas de acceso pueden aplicarse de las siguientes formas: Listas de acceso de entrada Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. números de puerto y otros parámetros. Cisco IOS) que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino. Listas de acceso estándar Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. De no ser así. Listas de acceso de salida Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión. como las actualizaciones de enrutamiento a las sesiones Telnet salientes. Si el paquete de salida está destinado a un puerto ha sido agrupado en una lista de acceso outbound. Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada. el paquete es descartado. Listas de acceso extendidas Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete.

  Utilice sólo números de listas de acceso dentro del rengo definido por el fabricante para el protocolo y el tipo de listas que va ha crear.Capítulo I Seguridad y Defensa de la Red interfaz. Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. El proceso de comparación sigue hasta llegar al final de la lista. En lugar de salir por alguna interfaz. pero cada una debe pertenecer a un protocolo diferente. al final de cada lista de acceso. Para las listas de salida permit significa enviar al búfer de salida. Esta condición final se aplica a todos esos paquetes y se traducen en una condición de denegación del paquete. todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Si la cabecera de un paquete no se ajusta a una instrucción de la lista de acceso. Cuando se descarta un paquete IP. por dirección y por interfaz. Esta instrucción final se conoce como la denegación implícita de todo. Evalúan los paquetes de principio a fin. Para las listas de entrada permit significa continuar el procesamiento del paquete tras su recepción en una interfaz. Página 42 Prof. Giovana Garrido . el resto de las instrucciones de la lista serán omitidas. Una vez que se produce una coincidencia. y el paquete será permitido o denegado según se especifique en la instrucción competente. Dependiendo del resultado de estas pruebas. Aunque esta instrucción no aparece en la configuración del router. en caso contrario la lista de acceso bloquearía todo el tráfico. instrucción a instrucción. sólo puede haber una lista de acceso por protocolo. Es posible tener varias listas para una interfaz. el paquete será admitido o denegado. Prueba de condiciones en listas de acceso Las instrucciones de una lista de acceso operan en un orden lógico secuencial. La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Esto significa que una condición que deniega un paquete en una instrucción no puede ser afinada en otra instrucción posterior. Sólo se permite una lista por protocolo. mientras que deny se traduce en descartar el paquete. mientras que deny significa descartar el paquete. cuando el paquete será denegado implícitamente. Debido a dicha condición. ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable. se aplica la opción de permiso o denegación y se pone fin a las pruebas de dicho paquete. la prueba continua con la siguiente instrucción de la lista. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso. dirección e interfaz. Sin embargo. Implementación de listas de acceso Una lista de acceso puede ser aplicada a múltiples interfaces. es necesaria que en toda lista de acceso exista al menos una instrucción permit. siempre esta activa.

Los Routers "toman decisiones" en base a un conjunto de datos.Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales. Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales. todo el tráfico será denegado. Switch Prof. .A menos que termine una lista de acceso con una condición de permiso implícito de todo. pero siempre delante de la condición de denegación implícita. Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.Las adiciones a las listas se agregan siempre al final de éstas.11.No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas. En caso de que el paquete provenga de afuera. En caso contrario. Consideraciones Finales Cuando los paquetes de información viajan entre su destino y origen. No pueden hacer de filtro para el tráfico originado por el propio router. determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve el paquete a su origen en caso de que él no sea el destinatario del mismo. vía TCP/IP. estos pasan por diferentes Routers (enrutadores a nivel de Red).Capítulo I Seguridad y Defensa de la Red    Procesamiento de principio a fin: . los cuales son puentes que operan a nivel de Enlace. Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router. se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista. Giovana Garrido Página 43 . .Toda lista de acceso deben incluir al menos una instrucción permit. Cree una lista de acceso antes de aplicarla a la interfaz. si se conectan dos redes del tipo LAN se utilizan Bridges. En cambio. b. si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia el Router de la red destino. . pero sí cuando se usan listas de acceso IP con nombre (característica de Cisco IOS v. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo dar á paso (permitirá) a todo el trafico. filtros y excepciones que le indican que rutas son las más apropiadas para enviar los paquetes. La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de determinar. regla.2) Denegación implícita de todo: .

Si es posible. el cambio de rendimiento puede verse afectado debido a la inactividad de la actualización o de características que no funcionan correctamente después de la actualización. confirmar el éxito por separado y antes de actualizar su contraparte. Existen varios enfoques para hacer esto. sustituir el switch por otro como repuesto para realizar la actualización fuera de línea sin causar una larga interrupción en la conectividad de red. Una actualización del IOS tendrá un impacto. es preocupante porque no proporciona ninguna seguridad de TFTP.  En segundo lugar. para asegurar que esta versión puede cambiar totalmente las funciones de apoyo necesarias en la red. siempre realice cualquier tipo de copia de seguridad de la configuración de un switch. En redes con switches redundantes. En primer lugar. es similar a otros sistemas operativos con respecto a ser sensibles a las deficiencias de sus versiones. Contramedidas Instalar la última versión estable del sistema operativo. Por ejemplo. actualizar cada switch redundante. esta podría comprometer una red local. Giovana Garrido Página 44 . Algunos de estos ajustes pueden afectar la seguridad del switch. Los atacantes pueden encontrar debilidades en las versiones de un sistema operativo a través del tiempo. Es muy importante leer las notas de la versión de una nueva versión de IOS en forma cuidadosa antes de instalar. Cisco mantiene lo que son las imágenes del sistema. Por ejemplo. la interconexión del sistema operativo (IOS). Ejemplo. Hay que estar preparado para volver a llevar a cabo la actualización ya sea por que ha sufrido un bajo rendimiento o por comprometer la seguridad del switch. algunas versiones más recientes ofrecen servicios que no esté Prof. el sistema operativo de Cisco. no hay facilidad para modificar o parchear el IOS instalado. Una actualización puede ser beneficiosa para la seguridad. A continuación elementos importantes a considerar en un switch. el administrador pueden exponer a las contraseñas encriptadas divulgando la información. Sistema Operativo: Si un sistema operativo no se le da un cambio actualizado. La aproximación más simple a mitigar este riesgo es permitir el cambio de la contraseña secreta inmediatamente después de la instalación.Capítulo I Seguridad y Defensa de la Red A pesar de ser de capa 2 (de acuerdo al modelo OSI). pero la más simple consiste en garantizar que el tráfico TFTP no atraviese redes hostiles. Es importante señalar que la mayoría de las actualizaciones del IOS sólo puede lograrse mediante la sustitución de la IOS que se ejecuta en el switch. Nuevas características de seguridad se añaden a cada nueva versión del sistema operativo. es fundamental que el administrador de TFTP protege el servidor de la transacción y de los posibles atacantes.  En tercer lugar. siempre desactivar inmediatamente después de terminar el procedimiento de instalación. pueden ser susceptibles a la toma de información y ataques a la red. y posiblemente un cambio en la red. Otro aspecto a considerar al momento de actualizar e instalar versiones del sistema operativo es lo siguiente:  Si utiliza un servidor TFTP. Además. También. muchos ajustes por defecto varían entre las distintas versiones del sistema operativo. Por lo tanto. no deje habilitado el servicio TFTP en el servidor. pero si se hace incorrectamente puede que se de una vulnerabilidad.

letras. puede ser capaz de obtener acceso de nivel privilegiado en un momento posterior. telnet) pueden ser en texto plano y se puede tomar en una red mediante un analizador de redes.  Si el "enable secret" del switchg no está configurado o es una contraseña débil. Por último. utilizando la misma contraseña "enable secret".Capítulo I Seguridad y Defensa de la Red presente en versiones anteriores. Por lo tanto. establecer la misma contraseña para el "enable secret en múltiples switchs proveyendo un único punto de falla porque se puso en peligro y comprometió uno de los switchs. El atacante que puede recoger las contraseñas de ir a un switch. utilizando una función basada en hash MD5. El nivel de privilegio se puede configurar ya sea con un "enable password" o "enable secret”. el username password. que un "enable password". las líneas terminal virtual y el usarname en el puerto de administración y de los servicios de red. porque la contraseña para determinados ajustes (por ejemplo. la consola de línea (línea con 0). que proporciona acceso directo a la administración. El nivel privilegiado suele ser visitado después de la de nivel de usuario está establecido.  Activar el servicio de encriptación de password  En “enable secret” aplicar números. y cambiarlo cada 90 días (recomendado por Cisco). entonces el switch es susceptible a ataques. Puerto de Administración: Vulnerabilidades: Un switch tiene un puerto de administración. entonces un atacante podría obtener privilegios de acceso para recuperar o cambiar la información del dispositivo. Contramedidas Las siguientes son algunas contramedidas para mitigar las vulnerabilidades asociadas con los passwords en los sistemas operativos de los switch. Asimismo. Las contramedidas están descritas para los passwords de la línea de consola. Passwords: Vulnerabilidades Algunos switch tienen dos niveles de acceso por defecto: Usuario (Nivel 1) y privilegiados (Nivel 15). es importante leer y seguir las notas de la versión de una nueva versión de IOS cuidadosamente. El nivel de usuario suele ser visitado a través de Telnet o SSH para conexiones a través de un interruptor o la línea de la consola en el switch. entonces puede utilizar las contraseñas para acceder a este sistema. Las vulnerabilidades específicas que están asociados con estas contraseñas son las siguientes:  Un switch muestra las contraseñas en texto plano por defecto para las siguientes configuraciones en el archivo de configuración: el "enable password". y otros ajustes en un switch permite el compromiso potencial. y sobre todo caracteres especiales al password. Cada nivel es generalmente configurado con una contraseña. Si el puerto de administración en la configuración de los switch es demasiado permisivo. Vulnerabilidades específicas relacionadas con el puerto de administración son las siguientes: Prof. la línea de consola y las líneas de terminal virtual. El "enable secret" es el modo de protección de contraseña más segura. Si un atacante puede toma el archivo de configuración usando un analizador de red. Giovana Garrido Página 45 .

root. Esta solución es suficiente para muchas funciones de administración. security). las actualizaciones del sistema operativo). Si las conexiones en el puerto de administración en un switch no tienen un periodo de tiempo establecido o tiene un gran periodo de tiempo (más de 9 minutos). utilizando la misma contraseña por el puerto de administración. Servicios de Red: Prof. basados en la red. permite el potencial compromiso. porque en algunos switch. Por último. Este método no se mezcla con el tráfico de administración operativa y no consume ancho de banda de funcionamiento. y sobre todo caracteres especiales al password. con una contraseña por defecto o con una contraseña débil. entonces. puede ser capaz de acceder para cambiar el puerto de administración en un momento dado. a través de ataques de diccionario) y recuperar o cambiar la información sobre el cambio.  Establezca el tiempo de ejecución a 9 minutos o menos para desconectar conexiones inactivas a la línea de consola. establecer la misma contraseña para elpuerto de administración en múltiples switch proporcionando un único punto de fallo. Giovana Garrido Página 46 . administrator. telnet) pueden ser en texto plano y se puede tomar de red mediante un analizador de redes. Las siguientes contramedidas mitigan las vulnerabilidades a la línea de consola disponibles en cada switch. porque la contraseña para determinados ajustes (por ejemplo.  Aplicar números. y cambiarlo cada 90 días. como por ejemplo Cisco que se desactive el tiempo de espera. Asimismo. El out-of-band management es un sistema de administración y uso dedicado vías de comunicación. El atacante que comprometa un switch puede comprometer otros switch. el acceso fuera de banda sería preferible para ciertas funciones (por ejemplo. Sin embargo. Si un switch tiene un puerto de administración establecidos sin contraseña. Contramedidas: El método más seguro para administrar un switch es administración fuera de banda (outof-band management). entonces un atacante puede adivinar la contraseña o crack (por ejemplo.Capítulo I Seguridad y Defensa de la Red    Un switch con un puerto de administración usando una cuenta por defecto permite a un atacante que trate de hacer las conexiones mediante uno o más de las bien conocidas cuentas de usuario por defecto (por ejemplo. y por otros parámetros de un switch.  Crear un banner para el proceso de acceso a la línea de consola para cada switch. No establezca el tiempo a cero. El atacante puede tomar las contraseñas de telnet desde el tráfico de la red e ir a un switch. las conexiones estarán más disponibles para que un atacante pueda hacer daño. La figura muestra una serie de Terminal Server y una administración separada (out-ofband management) de acceso a puerto de consola de todos los switch.  Establecer una cuenta única para cada administrador de acceso a la línea de consola. letras. Este acceso implica el uso de una red de área local virtual (VLAN).

telnet) para realizar la administración en un switch. se recomienda utilizar out-of-band management (por ejemplo. contraseñas u otra información de configuración relacionados con el switch. security). de modo que un atacante puede ser capaz de tomarlo del tráfico de la red. con una contraseña por defecto o con una contraseña débil. relacionarlos con estos servicios mediante un analizador de redes.  Si un switch ha establecido un servicio de red sin contraseña. Seguridad de los puertos: Vulnerabilidades: Las interfaces de Nivel 2 en un switch se denominan puertos. El atacante que comprometa un switch puede comprometer los otros switchs. a través del puerto de consola) para cada uno. Giovana Garrido Página 47 . Las vulnerabilidades específicas de los asociados con los servicios de red incluyen los siguientes:  Conexiones a muchos servicios en un switch no están encriptados. en lugar de utilizar un servicio de red (por ejemplo. Un switch que no prevé la protección de los puertos permite que un atacante entre a un sistema por un puerto que no es utilizado por estar habilitado para llevar a cabo la recopilación de información o Prof. La mayoría de estos servicios se basan en uno de los siguientes mecanismos de transporte en la capa 4 del modelo OSI: Protocolo de control de transmisión (TCP) y Protocolo de datagramas de usuario (UDP). si estos servicios están habilitados entonces el switch pueden ser susceptible a la recopilación de información de la red o por ataques. Muchos de estos servicios no suelen ser necesarios para un cambio del funcionamiento normal. a través de ataques de diccionario) y recuperar o cambiar la información del switch. administrator. sin embargo. root.  Si las conexiones a un servicio de red en un sistema no tiene un periodo de tiempo establecido o tiene un gran periodo de tiempo (por ejemplo. superior a 9 minutos). Los siguientes contramedidas para mitigar las vulnerabilidades de los servicios de red activada en el switch son las siguientes: servicios de red innecesaria y los servicios de red necesarios potencialmente. Las características o la mala configuración de los servicios de red en un switch pueden conducir a comprometer al mismo. Amplio acceso significa que todos los sistemas o de un gran número de sistemas se puede conectar al switch. las conexiones estarán más disponibles para que un atacante entre a ellos.  Un switch con un servicio de red utilizando una cuenta de usuario por defecto permite a un atacante tratar de hacer conexiones mediante uno o más de las bien conocidas las cuentas de usuario por defecto (por ejemplo.Capítulo I Seguridad y Defensa de la Red Vulnerabilidades: Los sistemas operativos de los switch pueden tener una serie de servicios de red habilitada. El out-of-band management reduce la exposición de la información de la configuración y mejora la administración por contraseñas.  Amplio acceso a la red de servicios en un switch hace que este sea vulnerable a los ataques. Asimismo. Contramedidas: Si es posible. entonces un atacante puede adivinar la contraseña o crack (por ejemplo. El tráfico puede contener nombres de usuario. entonces. establecer la misma contraseña para el servicio de red de múltiples switchs proporciona un único punto de fallo.

Disponibilidad del sistema: Vulnerabilidades: Muchos ataques existen y se crean más a causa de la denegación de servicio. Un switch puede ser configurado para actuar como un concentrador. Contramedidas: Las siguientes contramedidas mitigan las vulnerabilidades en la disponibilidad del sistema de cada switch. Todos los puertos de switch o interfaces deben garantizarse antes de que el switch este funcionando. Este ataque puede desbordar el switch en el búfer de conexión y desactivarlo. voz sobre IP (VoIP)]. Tenga en cuenta que la protección de los puertos no puede utilizarse para los puertos de acceso dinámico o los puertos de destino para el Analizador de puerto del switch. Giovana Garrido Página 48 .  Algunos ataques activos y ciertos errores pueden causar inundaciones de paquetes a los puertos de un switch. puede permitir que estas redes de tráfico de voz puedan convertirse en un tráfico de datos flood attack. lo que significa que cada sistema conectado al switch puede ver todo el tráfico de red que pasa por el a todos los sistemas conectados al switch. ya sea parcial o total. el procesador de sistema.3x permite la recepción de los puertos para hacer una transmisión pausada de los paquetes del remitente en momentos de congestión. Contramedidas: El puerto de seguridad limita el número válido de direcciones MAC permitidas en un puerto. Estos ataques se centran en los recursos (por ejemplo. a los sistemas o redes. Sin embargo. Si no se configura correctamente. contraseñas o información de configuración sobre los sistemas en la red.  Llevar redes convergentes a tráfico de voz y de datos [por ejemplo. Prof.  El flujo de control 802. Los switch son muy susceptibles a estos ataques.Capítulo I Seguridad y Defensa de la Red ataque. el ancho de banda) disponibles. un atacante podría recopilar información del tráfico.  Los switchs directamente conectados funcionan con el protocolo Unidirectional Link Detection (UDLD. puede determinar si existe una relación unidireccional entre ellos. obteniendo asi los nombres de usuario. Si se detecta uno. Las pausas de tramas de flujo de control podría ser utilizado para un ataque de denegación de servicio. Si esta característica está habilitada. una pausa en la trama pueden ser recibir y detener la transmisión de paquetes de datos. UDLD mensajes podrían utilizarse en ataques por denegación de servicio. entonces el vínculo se cierra hasta que manualmente sea restaurado. De esta manera los elementos de seguridad se establecen o eliminan según sea necesario en lugar de añadir funciones y el fortalecimiento al azar o como resultado de un incidente de seguridad. utilizar el puerto de seguridad para activar los puertos en el switch en la mayor medida posible.  El ataque de inundación SYN (SYN Flood attack) envía repetidas peticiones de conexión sin enviar la aceptación de los acuse de reconocimiento a la solicitud de conexión. Detección unidireccional Enlace de Datos). Por lo tanto. Las Vulnerabilidades específicas asociadas con la disponibilidad del sistema son los siguientes:  Algunos fast flooding attacks pueden provocar que el procesador del switch no este disponible para el acceso administrativo.

incluso los procesos para obtener el uso del tiempo de procesador. determinar fácilmente los paquetes de voz. o en un mismo concentrador (hub) Como consecuencia directa. Los grupos de trabajo en una red. Consiste en cada una de las redes de área local (LAN) creadas en los conmutadores. Más aún. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de "broadcast". hasta ahora.Capítulo I Seguridad y Defensa de la Red      Prevenir fast flooding attacks y garantizar de que la prioridad sea la más baja. que aglutinan tanto las funciones de conmutación (nivel 2 Capa_de_enlace_de_datos) como las funciones de enrutado (nivel 3 Capa_de_red). por su conexión al mismo concentrador o segmento de la red. la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente. Prof. han sido creados por la asociación física de los usuarios en un mismo segmento de la red. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo. Los esquemas VLAN (Virtual LAN o red virtual). Giovana Garrido Página 49 . nos proporcionan los medios adecuados para solucionar esta problemática. en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de “broadcast” Los grupos de trabajo en una red. y en cada interfaz donde no sea requerido. Con el fin de que el tráfico de voz pueda tener prioridad a través de una red. Ayudar a prevenir SYN Flood Attack. por medio de la agrupación realizada de una forma lógica en lugar de física. Este concepto surge con la aparición de los conmutadores (ver switch) de nivel 3 o superior. Más aún. dando un tiempo de conectividad al administrador. aunque la señalización de voz y de datos esté encriptados. Adicional a esto. estos grupos de trabajo comparten el ancho de banda disponible y los dominios de “broadcast”. de forma que el tráfico de las distintas redes dentro del mismo switch no se mezcla entre ellas gracias a los mecanismos de enrutado. considerar el uso de Quality of Service (QoS) para el tráfico de voz. hasta ahora. y con la dificultad de gestión cuando se producen cambios en los miembros del grupo. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos. También se dice que son "dominios de broadcast" (ver router) dado que el tráfico de broadcast a nivel 2 no se difunde entre las diferentes VLANs sino que se queda limitado al conjunto de puertos (físicos o virtuales) que pertenecen a cada una de las VLANs. existen analizadores de red que pueden fácilmente identificar este tipo de tráfico. han sido creados por la asociación física de los usuarios en un mismo segmento de la red. o en un mismo concentrador o hub. Deshabilitar globalmente el UDLD. Desactivar el control de flujo en la interfaz. Sin embargo. Como consecuencia directa. por su conexión al mismo concentrador o segmento de la red. Virtual Local Area Networks (VLAN): VLAN es el acrónimo de Virtual Local Area Network o Virtual LAN. Sin embargo. la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente.

incluso situándose en diferentes concentradores de la misma. las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos. por medio de la agrupación realizada de una forma lógica en lugar de física.Capítulo I Seguridad y Defensa de la Red Los esquemas VLAN (Virtual LAN o red virtual). "moverse" a través de la red. La capa 3 incluye métodos de agrupación y de protocolo de red IP multicast. Así por ejemplo. El estado de filtrado. podemos situar puentes y encaminadores entre ellos. Hay una variedad de métodos para la aplicación de miembros de una VLAN. Además. el administrador asigna a cada puerto de un switch a una VLAN. como se ha mencionado. Pero aún se puede llegar más lejos. Por otro lado. a lo largo de países y continentes. cuando los sistemas de la VLAN tienen funciones similares. nos proporcionan los medios adecuados para solucionar esta problemática. sino a diferentes oficinas intercomunicadas mediante redes WAN o MAN. dependerá de los proveedores. separando segmentos con diferentes topologías y protocolos. como consecuencia directa. unos con FDDI y otros con Ethernet. podemos mantener diferentes usuarios del mismo grupo. en el sentido de que todos los usuarios tienen conectividad entre ellos y comparten sus dominios de "broadcast". al poder distribuir a los usuarios en diferentes segmentos de la red. Los métodos de Nivel 2 incluyen VLANs basadas en puertos y agrupación de capa MAC. así. Las redes virtuales nos permiten que la ubicuidad geográfica no se limite a diferentes concentradores o plantas de un mismo edificio. a través de las listas de control de acceso es una buena guía. es más sencillo de aplicar. Sin embargo. Los miembros basados en Puerto es el método más común de la definición de VLANs. al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos. en función tanto de las instalaciones existentes como del ancho de banda que cada uno precise. puertos 6 Prof. sin limitación ninguna más que la impuesta por el administrador de dichas redes. Para VLANs basadas en puertos. por supuesto. Giovana Garrido Página 50 . la creación de diferentes VLAN para voz y datos para simplificar el filtrado. La separación de las redes en VLAN permite un mejor funcionamiento a nivel administrativo. Las VLANs proporcionan segmentación lógica de un switch ya sea en sus distintos ámbitos. por su función específica dentro del grupo. claro esta. Por ejemplo. el incremento del ancho de banda en dicho grupo de usuarios. Todo ello. es que los usuarios de las redes virtuales pueden ser distribuidos a través de una red LAN. Por ejemplo. La principal diferencia con la agrupación física. logramos. Los usuarios pueden. los puertos 1 a 5 podrían asignarse a la VLAN 100. manteniendo su pertenencia al grupo de trabajo lógico. manteniendo la seguridad deseada en cada configuración por el administrador de la red: Se puede permitir o no que el tráfico de una VLAN entre y salga desde/hacia otras redes.

1q VLAN trunck. Además. private VLAN. Proporcionar redes basados en out-of-band management . por lo que la VLAN 1 fue seleccionado. Otro elemento importante de implementación de VLAN es el método utilizado para indicar cuando un miembro de paquetes viaja entre los switch. VLAN y Saltos y Asignación dinámica de VLAN. A continuación describiremos las vulnerabilidades y las contramedidas correspondientes para las siguientes áreas: VLAN 1. dedicar una VLAN con puerto físico de switch para el uso administrativo.Capítulo I Seguridad y Defensa de la Red a 8 a VLAN 200 y los puertos 9 a 12 a VLAN 300. VLAN1 Vulnerabilidades: Los switchs usan VLAN 1 como la VLAN por defecto para asignar a sus puertos. los protocolos de capa 2. deben ser enviadas en una VLAN en los enlaces trunk. La PVLAN primaria define el dominio de broadcast con el cual se asocia a la PVLANs secundaria. Las etiquetas de cada paquete indican la pertenencia a la VLAN de conformidad con los estándares. No permita el acceso a VLAN operativo para la administración del mismo. trunk autonegotiation. Si un servidor se ve comprometido. PVLANs ofrece protección adicional. y conectar la VLAN al switch dedicado y una ruta de comunicaciones para la administración de los hosts. tales como De-Zona militarizada (DMZ) subred fuera de un firewall o un servidor de acceso del campus fuera de una zona de un switch de alta velocidad. VLAN 1 puede abarcar toda la red si no está debidamente ramificado. para el caso de los hosts en una comunidad de PVLANs se comunican con ellas mismas o con los puertos promiscuos asociados. En algunos casos. Private VLAN (PVLAN) Vulnerabilidades: En algunos casos en los que sistemas similares no necesitan interactuar directamente. las implementaciones de VLAN dinámica asigna específicamente MACs a cada VLAN. También proporciona un acceso más fácil a los atacantes. incluidos los de administración de puertos. La PVLANs secundaria puede estar aislada de PVLANs o de una comunidad PVLANs. Crear una interfaz virtual Switch (SVI) de tres capas para que la interfaz VLAN. Esta configuración proporciona grano fino de capa 2 para el control de aislamiento de cada sistema. como el CDP y VTP. Contramedidas: No utilizar la VLAN 1 fuera o dentro de la administración. Tampoco el enlace trunking. Por otra parte. Esta configuración se encuentra comúnmente en las configuraciones con múltiples servidores. El propósito de utilizar PVLANs es proteger los sistemas unos de otros para que compartan un mismo segmento de VLAN para proporcionar separación de capa 2. Se determina la pertenencia a la VLAN de cada paquete señalando el puerto en el que llega. Los hosts en una comunicad de PVLANs aisladas solamente estarán con puertos promiscuo. ya sea Cisco Inter-Switch Link (ISL) o el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) estándar 802. Esto permite que un sistema pueda ser trasladado a otro puerto sin modificar la asignación de VLAN del puerto. VTP. Giovana Garrido Página 51 . entonces ese servidor puede ser la fuente de un ataque a Prof. a.

Todos los switch en el mismo dominio de administración compartirá su información de VLAN. ni utilizan los paquetes que recibe para reconfigurar su base de datos VLAN. Un router. PVLANs mitigar este riesgo se desestimando la comunicación entre los servidores que no tienen contacto con ningún otro. En las redes de voz pueden estar en el caso de ciertos proxies. Esta situación puede abordarse cuando sea necesario por listas de control de acceso del router. Un switch puede estar en uno de los tres modos VTP: servidor. en la que se abstiene de retransmisión de los paquetes VTP en los puertos seleccionados. la coubicación permite el uso de la misma para el estado del filtro CallManagers. PVLANs proveerán un adicional ataque de mitigación. Un switch en cualquier modo pueden participar en VTP reducido. Los servidores VTP publican sus configuraciones de VLAN a otros switches en el mismo dominio VTP. VTP permite la adición. Los routers deben estar en puertos promiscuos.Capítulo I Seguridad y Defensa de la Red otros servidores. Las PVLANs tienen una limitación que debe ser abordado para que dicho sistema sea seguro. cliente y transparente. el cual actúa el mismo conjunto de usuarios. supresión y cambio de nombre de VLAN en una red amplia. modificar y suprimir VLAN para todo el dominio de administración VTP. Aplicar VACLs en la PVLAN primaria para filtrar el tráfico originado por y dirigidas al mismo segmento. Prof. En algunos casos en los que sistemas similares no necesitan interactuar directamente. Solamente los servidores que necesiten comunicarse directamente con otros servidores deberán estar en una comunidad PVLAN. dos hosts en una PVLAN aislada no va a comunicarse a la capa 2. el cual elude la protección PVLAN de Nivel 2. pero utilizando diferentes protocolos o servicio de coubicación de CallManagers. Un router puede transmitir de nuevo el tráfico en la misma subred en la que se originó. mientras que la VLAN privada guarda un CallManager comprometido desde la llegada a los otros directamente a la capa 2. En este último ejemplo. que es un sistema de capa 3 y está conectado a un puerto promiscuo. el cual permite que los switch tengan una organización coherente de configuración de VLAN dentro de un dominio de administración VTP. Contramedidas: Una configuración con múltiples servidores en una única VLAN podrá utilizar PVLANs de capa 2 entre ellos. utiliza y transmite paquetes VTP. pero puede tener éxito en el Nivel 3. En el modo de servidor los administradores pueden crear. y un switch podrá participar solamente en un dominio de administración VTP. Un switch en modo servidor originado por las configuraciones de VLAN VTP de otros switch a utilizar. Un switch en modo transparente recibe y envía paquetes VTP. Virtual Trunking Protocol (VTP) Vulnerabilidades: VTP es un derecho de propiedad de Cisco del protocolo de mensajería de capa 2 utilizado para distribuir la información de configuración de VLAN sobre trunks. y sincronizan sus bases de datos. Giovana Garrido Página 52 . Por ejemplo. no se originan los paquetes VTP. La PVLAN aisla el tráfico en Capa 2. pero no se originan en ellos. b. podría el tráfico de router llegar a todos los puertos de la PVLAN. Un switch en el modo cliente recibe. y servidores en PVLAN aislada.

Giovana Garrido Página 53 . no colocar la línea de interfaces en modo permanente sin negociación. Contramedidas: No utilizar hasta donde sea posible el DTP. " dynamic auto ". normalmente agrega paquetes de múltiples VLANs. que es una norma de propiedad de Cisco. Por defecto. y un servidor con una configuración de mayor número de revisión en su base de datos reemplaza un VTP con un menor número. Si un vecino del puerto de modo DTP se convierte en "trunk". Colocar la línea de interfaces en modo permanente.1q. Un ataque de ese tipo no tiene que ser necesariamente malicioso. Asigne interfaz trunk para una VLAN nativa a VLAN1. es más difícil determinar la contraseña de otro tráfico de la red. la administración de dominios VTP se establecen un modo de inseguridad sin una contraseña. Sin embargo. entonces la línea se convertirá en un trunk automáticamente. Un cliente comprueba la contraseña antes de aplicar una configuración de VLAN que recibe a través de VTP. Es completamente posible que un solo switch. Cisco implementa dos tipos de trunk: IEEE 802. que es un estándar abierto. la contraseña no encriptada o de otro modo. y si dos switch soportan un protocolo de trunking común. VTP configurado con una contraseña sólo garantiza la autenticidad de mensajes. dando a cada switch tengan acceso completo a todas las VLANs en switch vecino. un puerto Ethernet de Cisco con modo por defecto DTP es " dynamic desirable". Por defecto. simplemente moviendo un switch de lugar a una red operativa podría tener este efecto. vienen con switch VTP en modo de servidor por defecto. Aún peor. c. el miembro de VLAN del nuevo trunk está disponible en todas las VLAN del switch. la contraseña en hash con otra información. Además.Capítulo I Seguridad y Defensa de la Red Por defecto. Trunk Auto-Negotiation Vulnerabilidades: El trunk es el enlace punto a punto entre dos puertos. el cual ha sido objeto de un número suficiente de reconfiguraciones VTP. VTP es suficientemente peligroso por lo cual se aconseja no utilizarlo. y ISL. permite que el puerto activamente trate de convertir en enlace en un trunk. o " "dynamic desirable ". sobrescriba o elimine completamente todas las tareas de VLAN de una red operativa con sólo conectarlo a la red. Para agravar este problema. Un atacante con un analizador de redes pueden adquirir conocimientos sobre la estructura de la red VLAN. la configuración de VLAN inexactas puede propagar a lo largo de un dominio VTP. sin negociación. Un atacante que pueda explotar DTP puede obtener información útil de estas VLANs. Un puerto puede utilizar el Dynamic Trunking Protocol (DTP) para negociar automáticamente con la línea que va a utilizar. Prof. switch comparten información de VLAN sin ningún tipo de autenticación. Sin embargo. Es posible mitigar el peligro de accidentes de sobrescritura con la protección de contraseña. en particular cuando se hace uso de un gran número de VLAN. Por lo tanto. Sin embargo. oculta la información dentro de VTP. Contramedidas: Es evidente que VTP simplifica la administración.

323 son un buen ejemplo de ello. SNMP. Amplio acceso significa que todos los sistemas o un gran número de sistemas se pueden conectar a través del switch. Contramedidas: Habilitar STP Portfast Bridge Protocol Data Unit (BPDU) Guard para impedir las modificaciones de la topología STP. Giovana Garrido Página 54 . Teléfonos IP SIP. Contramedidas: En la preparación de la implementación de la ACL. PCCC Teléfonos IP. La agrupación de los sistemas de esta manera ayuda a reducir el tamaño y la complejidad de las listas de control de acceso asociadas. En los casos en que un único host está conectado a un puerto. y no hay posibilidad de un bucle que se está creando. Algunos de estos accesos pueden ser permitidos por defecto y puede ser configurado de manera que no sean evidentes para el administrador. la característica STP Portfast puede ser utilizado para una transición inmediata del puerto a un estado de reenvío. gateways MGCP y H. determina el bridge raíz en una red. adjunta la categorización de los sistemas en los switch a los grupos que utilicen los mismos servicios de red. Sin embargo. Access Control Lists Vulnerabilidades: Un switch o sin lista de control de acceso (ACL) o aplicando una ACL permisiva a una interfaz permitiendo un amplio acceso de las conexiones TCP / IP (por ejemplo. escuchar. Ambas situaciones resulta en más vías para la obtención de información para sus ataques. Cuanto menor sea el bridge ID. ICMP) a través de un switch a algún sistema (por ejemplo. una combinación de dos bytes y una prioridad de seis byte de dirección MAC. es un protocolo de capa 2 diseñado para evitar bucles en redes conmutadas. todavía STP participa en los cálculos y pasa de un estado bloqueado en el caso de un bucle en la red. STP pasa por una serie de estados (por ejemplo. que es un sistema dentro de la red puede modificar activamente la topología STP. Normalmente. Una vulnerabilidad asociada con STP. f. Los Bucles pueden ocurrir cuando las rutas de red redundantes han sido configuradas para garantizar su resistencia. aprender. Use solo una VLAN nativa para cada trunk en un switch. DNS. lo que influye en los flujos de tráfico y la reducción de la eficiencia de la red. HTTP. telnet. Considere también la red de servicios utilizados por Prof. y adelante) antes de que un puerto sea capaz de pasar el tráfico de un usuario.Capítulo I Seguridad y Defensa de la Red Especificar la lista de todas las VLANs que son parte del trunk. se utilizan VLAN separada para CallManagers. es probable que el switch elijará el bridge raíz. ftp. un servidor crítico) en la red protegida. Un switch con el menor bridge ID puede convertirse en el bridge raíz. Spanning Tree Protocol Vulnerabilidades: Spanning Tree Protocol(STP). Este proceso puede durar entre 30 y 50 segundos. d. también conocido como 802. Proxies. En redes de voz.1d. bloquear. El bridge ID. No hay autenticación que impida de tal acción.

1. tal como la mejora de ACL para que puedan tener sentido en virtud de la política de seguridad de red.6 Seguridad para el acceso remoto Consiste en el acceso remoto por medio ya sea de línea telefónica tradicional. AAAA es generalmente apoyada por un dispositivo de red como un servidor de acceso de red (NAS) o sistema de gestión de abonados (SMS). contabilidad de los recursos y la prestación de servicios. Consideraciones a la hora de proporcionar acceso remoto son los siguientes (vea la Figura siguiente):  Método(s) de AAA  Tipos de servidor y ubicación (ejemplo DMZ)  Interacciones con el DNS. Giovana Garrido Página 55 .Capítulo I Seguridad y Defensa de la Red sistemas similares de diferentes fabricantes (por ejemplo. Existen diferentes tipos de listas de control de acceso: Lista de control de acceso de Puerto (PACL). como se muestra en la siguiente Figura. sesiones punto a punto. y terminales virtuales a través de conexiones de red privada. gateways H. pero se está convirtiendo en las redes de empresas como las empresas reconocen la necesidad de apoyar un modelo de acceso remoto para su redes. Seguridad para el acceso remoto incluye lo que se conoce comúnmente como AAAA: la autenticación de los usuarios. etc. La seguridad de acceso remoto es común en el proveedor de servicios de redes (véase también el proveedor de servicios de modelo arquitectónico). direcciones o router).. y la asignación de configuración de información (por ejemplo. La ACL puede permitir o denegar cada paquete basado en la primera declaración de control de acceso que coincida con el paquete. autorización de recursos a los usuarios autenticados. pila de direcciones. y otros servicios Prof.323). Lista de control de acceso del router (RACL) y Lista de control de acceso VLAN (VACL.

hemos incluido estos protocolos muy utilizados en los sistemas de acceso en red. El primer es TACACS ordinario. TACACS+. y adaptarse a las nuevas tecnologías en seguridad mientras el mercado evoluciona. La especificación RADIUS (Remote Authentication Dial-In User Service) está descrita en el RFC-2865.6. Definición Por tanto. b. Este protocolo fue diseñado para ampliarse a medida que crecen las redes. Cisco continua mejorando el cliente RADIUS con nuevas características y capacidades. sistema de control de acceso del Controlador de Acceso de Terminales). La intención de Cisco no es competir con RADIUS o influenciar a sus usuarios a utilizar TACACS+. El segundo es una extensión Prof. XTACACS. La arquitectura subyacente del protocolo TACACS+ complementa la arquitectura independiente de autentificar. Giovana Garrido Página 56 . Cisco soporta el protocolo RADIUS desde que sacó la "Cisco IOS(R) Software Release 11. apoyando a RADIUS como un estándar. desde conexiones remotas.Capítulo I Seguridad y Defensa de la Red 1. RADIUS y otros a. y ha estado en el uso por muchos años. Cisco evaluó concienzudamente a RADIUS como un protocolo de seguridad antes de desarrollar TACACS+. Introducción Hay dos destacados protocolos de seguridad para el control de acceso a las redes son Cisco TACACS+ y RADIUS. Hay tres versiones del protocolo de autenticación "TACACS" (Terminal Access Controller Access Control System. En este documento se comentan las diferencias entre TACACS+ y RADIUS. Se debe elegir la solución que mejor satisfaga sus necesidades. Cisco se ha comprometido a apoyar ambos protocolos con las mejores clases de ofertas.1 TACACS. fue el protocolo utilizado por Cisco en sus NAS. como parte de estos protocolos de autenticación. que sustituye al obsoleto RFC2138. para así puedas estar informado antes de tomar una decisión. Muchas características fueron introducidas en el protocolo TACACS+ tras conocer las necesidades del incipiente mercado de la seguridad.1" en Febrero de 1996. autorizar y contabilizar (AAA).

IP asignada. mientras que los clientes pertenecen al servidor de acceso dial-up y pueden ser distribuidos a través de la red. Fue diseñado para autenticar usuarios y utiliza una arquitectura cliente/servidor. RADIUS también puede hacer de servidor para registrar y almacenar todos los logs que acontecen en el NAT o RAS. Un ejemplo de uso de RADIUS se puede dar en un ISP. En caso contrario notifica al NAS que debe rechazar la petición de conexión. El cliente es responsable de pasar información de usuario al equipo designado como servidor Prof. comúnmente llamado Extended Tacacs o XTACACS. Debido a esto TACACS y XTACACS no serán discutidos. RADIUS es un servidor de acceso que utiliza el protocolo AAA. a pesar del nombre. El servidor está corriendo en un computador central situado típicamente en domicilio de cliente. Modelo Cliente/Servidor Una Network Access Server (NAS) opera como un cliente de RADIUS. Ambos se documentan en RFC1492. Authoring y Accounting.  Un cliente. El NAS recibe vía módem una petición de acceso y envía los datos que el usuario ha proporcionado al servidor RADIUS. qué puede hacer y auditoría respectivamente. donde el NAS (Network Access Server) hace de cliente RADIUS y un host del ISP podría hacer de servidor RADIUS. y actualmente están fuera de mantenimiento. almacenando sus contraseñas y sus perfiles. Además de estos logs. Giovana Garrido Página 57 . introducido en 1990. protocolo de conexión.). El tercero. Opcionalmente..  Un servidor.. Este paso está descrito e implementado en los routers de Cisco Systems con la AAA Authentication. responde al NAS con una respuesta de aceptación de la llamada y.1 y para posteriores plataformas de su software. TACACS y XTACACS carecen de muchas características de TACACS+ y RADIUS. Es éste el que consulta su base de datos y comprueba si el usuario que ha realizado la llamada es en realidad quien dice ser. quién es. TACACS+ que.Capítulo I Seguridad y Defensa de la Red al primero. es totalmente un nuevo protocolo y no es compatible con TACACS o XTACACS. el servidor RADIUS guardará logs (informes o históricos del sistema para auditoría) de las conexiones en las que estemos interesados. . con datos sobre el perfil del usuario (tipo de servicio. opcionalmente. En ese caso. Cisco introdujo el cliente de RADIUS a Cisco IOS Software Release 11. y el cliente es el encargado de pasar las peticiones de conexión de los usuarios al servidor para que éste las autentique y responda al cliente diciéndole si ese usuario está o no registrado. RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. El servidor contiene información de los usuarios. Este es un sistema para distribuir acceso remoto seguro a redes y a servicios de red que no cuentan con autorización de acceso. RADIUS se comprende tres componentes:  Un protocolo con un formato que utiliza el Protocolo de Datagrama de Usuarios (UDP)/IP.

RADIUS requiere además de variables programables. TCP ofrece una comunicación orientada a conexión. como el número de intentos en la re-transmisión o el tiempo de espera para compensar la entrega. pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP:  TCP proporciona el uso de un identificador para las peticiones que sean recibidas. y a continuación actuar sobre la respuesta que se devuelve. UDP y TCP RADIUS utiliza UDP mientras TACACS+ utiliza TCP. Cisco Secure ACS for UNIX y Cisco Access Registrar. autenticar a los usuarios y devolver toda la información de configuración necesaria para ofrecer el servicio al usuario. Mecanismos de autenticación flexibles Los servidores RADIUS soportan una gran variedad de métodos de autentificación de usuarios. UDP no puede mostrar las diferencias entre estar caído. las contraseñas de usuario son enviadas cifradas entre el cliente y el servidor RADIUS. Giovana Garrido Página 58 . Protocolo de Autenticación por Desafío (CHAP). c. independientemente de la carga y del lento mecanismo de autenticación de respaldo (un reconocimiento TCP) podría ser. TCP ofrece algunas ventajas frente a UDP. mientras que UDP ofrece mejor esfuerzo en la entrega. gracias a un servidor de restablecimiento (RST). Login UNIX. soporta PPP. y otros mecanismos de autenticación. la cual nunca se envía a través de la red. Puedes determinar cuando se rompió la comunicación y retorno el servicio si usas conexiones TCP long-lived. Además. El servidor RADIUS es el encargado de recibir las peticiones de conexión de usuarios. dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en la red. Eliminándose así la posibilidad de que alguien haga snooping en una red insegura pudiendo determinar alguna contraseña de usuario.Capítulo I Seguridad y Defensa de la Red RADIUS. TPC proporciona una marca inmediata cuando se rompe o no está corriendo la comunicación. Cuando se establece un nombre de usuario y una contraseña original del mismo. Comparación TACACS+ y RADIUS En estos apartados se comparan varias características de TACACS+ y de RADIUS. sufrir lentitud o que no exista servidor. Redes seguras Las transacciones entre el cliente y el servidor RADIUS deben ser autenticadas usando una clave compartida (shared secret). Disponibilidad de servidores de código Existe un gran número disponible de servidores de código comerciales y libres. Los servidores Cisco incluyen Cisco Secure ACS for Windows.  Prof. Protocolo de Autenticación por Contraseña (PAP).

Autenticación y autorización RADIUS combina autenticación y autorización. y solamente necesitas enviar mensajes a los que se sabe que tienen que estar arriba y corriendo. y la contabilidad pueden ser capturadas por un tercero. como el nombre de usuario. desde el cliente hasta el servidor. Por ejemplo. los servicios autorizados. el cuerpo del mensaje es enteramente cifrado para más seguridad en las comunicaciones. Soporte multiprotocolo RADIUS no soporta los siguientes protocolos:  Protocolo de Acceso Remoto AppleTalk (ARA)  Protocolo de Control de Tramas NetBIOS. si adicionalmente la autorización de control es necesaria. es más util tener el cuerpo de los paquetes sin encriptar. Esto permite separar soluciones de autenticación. TCP es más escalable y adaptable al crecimiento. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos. El resto de paquetes está sin encriptar. Otra información. este solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. así como la congestión.25 con PAD Prof.  Interfaz de Servicios Asíncronos de Novell (NASI)  Conexiónes X.Capítulo I Seguridad y Defensa de la Red  Usando los TCP Keepalives. Para propósitos de depuración. Sin embargo. los accesos al servidor se comprueban con un servidor TACACS+ para determinar si se le conceden permisos para ejecutar un comando en particular. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente. Después un NAS de autenticación sobre el servidor Kerberos. TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. Dentro de la cabecera hay un campo donde se indica si el cuerpo está encriptado o no. las caídas de servidores pueden ser detectadas outof-band con peticiones reales. Conexiones a múltiples servidores pueden ser mantenidas simultáneamente. que separa AAA. TACACS+ usa la arquitectura AAA. contienen información de autorización. durante el normal funcionamiento. permitiendo seguir utilizando TACACS+ para la autorización y la contabilidad.  Encriptación de paquetes RADIUS encripta solamente la contraseña en el paquete de respuesta al acceso (accessrequest). Giovana Garrido Página 59 . de las redes. con TACACS+. es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Esto proporciona mejor control sobre los comandos que pueden ser ejecutados en un servidor de acceso mientras es separado con mecanismos de autenticación. Esto hace difícil desasociar autenticación y autorización. Durante una sesión. y luego el servidor proporcionará la información de autorización.

RADIUS no es tan util para la gestión de router o flexible para servicios de terminal. Si el cliente usa solo los atributos de la norma RADIUS en sus servidores. la cantidad de tráfico generado entre el cliente y el servidor es diferente. Por lo tanto. El primer método asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está o no autorizado en el nivel de privilegios especificado. ellos podrán interoperar con varios proveedores siempre y cuando dichos proveedores implementen los mismos atributos. y comandos de contabilidad (con RADIUS no se puede hacer). exec autorización. y comandos de contabilidad que pueden ser utilizados por un usuario cuando hace telnet a un router. Administración de routers RADIUS no permite al usuario el control de comando que puede ser ejecutados en un router y cuales no. Interoperatibilidad Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs). TACACS+ proporciona dos métodos de control de autorización de los comandos de un router. Giovana Garrido Página 60 . Estos ejemplos ilustran el tráfico entre el cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestión de routers con autenticación. comando autorizado. uno por usuarios (per-user) o por grupos (per-groups). Sin embargo. por usuario o por grupo. muchos de los proveedores implementan extensiones de atributos propietarios. Si un cliente usa uno de esos atributos extendidos específicos del proveedor.Capítulo I Seguridad y Defensa de la Red TACACS+ ofrece soporte multiprotocolo. los comandos que están permitidos. exec contabilidad. iniciar-parar exec contabilidad. Cisco implementa la mayoría de los atributos de RADIUS y coherentemente añade más. el cumplimiento de la RADIUS RFCs no garantiza la interoperatibilidad. autorización del comando (con RADIUS no se puede hacer). Tráfico Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS. exec autorización. Ejemplo de tráfico en TACACS+ Este ejemplo asume el login de autenticación. la interoperatibilidad no está asegurada. realiza el comando y sale del router: Prof. El segundo método es para especificar explícitamente en el servidor TACACS+.

Giovana Garrido Página 61 . realiza un comando y sale del router (la gestión de otros servicios no están disponibles): Prof. exec autenticación. e iniciar-para exec contabilidad que pueden ser utilizados con RADIUS cuando un usuario hace telnet a un router.Capítulo I Seguridad y Defensa de la Red Ejemplo de tráfico en RADIUS Este ejemplo asume el login de autenticación.

03 TACACS+ authorization 12.012 5.1.14 1.1.33 -2.4.012 5. Giovana Garrido Página 62 . RADIUS encripta en el paquete cliente-servidor inicial solamente la contraseña.33 -5.2X12 2.03 RADIUS authentication all Access-points 11.20 5. Esto influye la versión del software en el que se añadió el soporte.07 -11.2X12 Resumen:       Mientras que TACACS+ encripta el paquete entero. TACACS+ soporta todos los protocolos mencionados.(8)SA610 4. RADIUS no soporta el protocolo NASI de Novell (Novell Async Services Interface). pero TACACS+ si lo puede hacer Prof.2X12 11.2(4)JA 10.2. mientras que se usa TACACS+ para autorización y contabilidad.1 5. 5 3.0 5.20 -4. RADIUS en realidad combina los procesos de autenticación y autorización.27 -12.0(5)WC511 2.0 RADIUS authorization all Accesspoints 11. o el protocolo del acceso remoto de Appletalk (ARA o ARAP). RADIUS no puede controlar el nivel de autorización de los usuarios.1.03 TACACS+ accounting 12.28. 4 RADIUS accounting all Accesspoints 11.0(5)WC511.15 -- 5. La implementación de RADIUS de diversas compañías puede que de errores.x enterprise9 11.0 -- 3.(8)SA610 5.15 -5.2. Revise las notas de la versión de su producto para obtener más información.0 -12.Capítulo I Seguridad y Defensa de la Red Dispositivos soportados En la siguiente tabla se muestra la lista de soporte AAA TACACS+ y RADIUS para los tipos de equipos y la plataforma elegida. y contabilidad como procesos separados. el Protocolo de Marcos de NetBIOS.4. por ejemplo).20 4.5 -- 5.4.204 5. el ensamblador/desensamblador (PAD) de paquetes X.0(5)WC5 11.(8)SA6 10 12.5 -- 4.5 5. o directamente no funcione.1 1.1 5. haciendo muy difícil correr uno sin el otro. autorización.0 -- --- 2.4.28. Esto permite usar otro método de autentificación (Kerberos.2 5.56 5.1 5. si su producto no está en la lista Cisco Device Cisco Aironet1 Cisco IOS Software2 Cisco Cache Engine Cisco Catalyst switches Cisco CSS 11000 Content Services Switch Cisco CSS 11500 Content Services Switch Cisco PIX Firewall Cisco Catalyst 1900/2820 switches Cisco Catalyst 2900XL/3500XL switches Cisco VPN 3000 Concentrator 6 Cisco VPN 5000 Concentrator TACACS+ authentication 12.333 -5.2(4)JA 10.20 4.14 5.2(4)JA 10.25.04 5. TACACS+ considera la autentificación.0 8.2.

que permite gestionar los usuarios y sus Prof. por ejemplo un router Cisco 2511 o 5300) obtenga datos de administación del usuario a un servidor central y por tanto se descarge de la tarea administrativa de autenticación y comprobación de dicha información. También. PPP sobre Ethernet (PPPoE) y RADIUS en una red de acceso remoto RAS Todos son protocolos e implementaciones de control de acceso por validación y autenticación.Capítulo I Seguridad y Defensa de la Red Ejemplo que muestra un proceso de sesión PPP. cabe considerar otro tipo de servidor para autenticación muy extendido en las redes Microsoft llamado Active Directory. Giovana Garrido Página 63 . que permiten que un servidor del acceso de red (NAS Network Access Servers o RAS Remote Access Server.

PPP proporciona un método para encapsular datagramas de varios protocolos en un enlace de punto a punto y usa la capa de enlace de datos para probar esta conexión PPP está compuesta de 2 subprotocolos:   Protocolo de control de enlaces : para establecer el enlace de punto a punto LCP Protocolo de control de red : para configurar los distintos protocolos de capa de red ( IPCP . es importante resaltar que Active Directory incluye Kerberos y servidores de directorio como veremos a continuación. no son considerados sistemas de clave simétrica compartida. pero antes una escueta descripción de autenticación. porque en un principio no están pensados para intercambiar claves para cifrar.. Cada etapa se basa en la anterior a fin de establecer la sesión de PPP. Este capítulo es esencialmente importante para el acceso de un cliente a un determinado servicio que necesita autenticación previa.Capítulo I Seguridad y Defensa de la Red permisos (exportando incluso el escritorio) independientemente de la máquina conectada dentro de un dominio Microsoft. la autenticación y la capa de red..6. Giovana Garrido Página 64 . Una vez que el protocolo PPPoE y PPP se han establecido períodos de sesiones. Y PPP se puede usar en diversos medios físicos (cable par trenzado. 1. PPP usa el componente del Protocolo de Prof. concretamente LDAP.) Se puede configurar PPP en los siguientes tipos de interfaces físicas:     Serial asíncrona Serial síncrona. Arquitectura PPP en capas PPP usa una arquitectura en capas. fibra. Una sesión de PPP consta de tres fases: establecimiento del enlace. Los dominios Microsoft son gestionados por el Controlador de Dominio (Domain Controller. Puede manejar tanto la comunicación síncrona como la asíncrona e incluye detección de errores y procesos de autenticación como CHAP o PAP. DC). Además. Interfaz serial de alta velocidad (HSSI) ISDN PPP usa el Protocolo de control de enlace (LCP) para negociar y configurar las opciones de control en el enlace de datos de la WAN. satélite). Todos ellos se pueden considerar el soporte a los sistemas de autenticación basado en contraseñas. El protocolo punto a punto es el de preferencia para las conexiones WAN conmutadas seriales..2 Autenticación en PPP La autenticación permite saber quién es cada uno y realizar comunicaciones seguras. el usuario puede comenzar a utilizar la red. Conozcamos ya algunos protocolos de autenticación. simplemente para poder autenticar. IPXCP .

Los NCP incluyen campos funcionales que contienen códigos estandarizados que indican el tipo de protocolo de capa de red que encapsula PPP Los campos de la Trama PPP:  Señalador: Comienzo / fin de trama. 01111110  Dirección: formada por la dirección de broadcast estandar 11111111. Proporciona balanceo de carga en las interfaces del router que usa PPP Devolución de llamadas en PPP: IOS 11. como:      Autenticación: Las 2 opciones de autenticación son PAP o CHAP Compresión : Stacker y Predictor son 2 protocolos de compresión disponibles en routers Cisco Detección de errores : Calidad y nº mágico ( garantizan un enlace de datos confiable y sin bucles ) Multienlace: IOS 11. Se suministra un servicio de enlace sin conexión similar al del Control de enlace lógico (LLC) tipo 1  Protocolo : 2 bytes que identifican el protocolo encapsulado en el campo de datos de la trama Valor ( Hexadecimal) 8021 8023 8029 802b c021 Prof. que requiere la tx de datos del usuario en una trama no secuencial.1 . Con esta opción un router Cisco puede actuar como cliente de la devolución de llamada o servidor de la devolución de llamada LCP también hace:     Maneja limites variables del tamaño de paquete Detecta errores comunes de mala configuración Termina el enlace Determina si un enlace funciona o falla PPP permite que varios protocolos de capa de red operen en el mismo enlace de comunicación. El LCP se ubica en la parte más alta de la capa física y se usa para establecer . PPP no asigna direcciones de estaciones individuales  Control: 1 byte 00000011. se proporciona un protocolo de control de red (NCP) distinto. configurar y probar las conexiones de enlace de datos PPP usa también LCP para acordar automáticamente opciones de formato de encapsulamiento.1 y posteriores admiten PPP multienlace . Giovana Garrido Nombre del Protocolo IPCP p de control de capa de red OSI p de contro Appletalk p de control Novell IPX p de control de enlace Página 65 . Para cada protocolo de capa de red que se utiliza.Capítulo I Seguridad y Defensa de la Red control de red (NCP) para encapsular y negociar las opciones para los protocolos de capa de red . Por ejemplo el IP usa el Protocolo de control de IP (IPCP).

protocolo de autenticación. Después de configurar cada uno de los ps de la capa de red elegidos. La longitud máxima por defecto del campo de datos es de 1500 bytes FCS : 16 bits o 2 bytes que se refieren a los caracteres adicionales que se agregan a la trama con el fin de controlar los errores Como establecer una sesión PPP El establecimiento de una sesión : 3 fases : 1 Establecimiento del enlace 2 autenticación (optativa) 3 fase del protocolo de la capa de red Las siguientes tramas las usa LCP:    Tramas de establecimiento de enlace. si se produce se da antes de la fase de protocolo de capa de red. Para terminar un enlace Tramas de mantenimiento de enlace. Si LCP cierra el enlace . LCP primero debe abrir la conexión y negociar los parámetros. Antes de intercambiar cualquier datagrama de capa de red. Los paquetes LCP contienen un campo de opción de configuración que permite que los dispositivos negocien: MTU ( ud máxima de tx) . la fase quedará completa al recibir y enviar una trama de acuse de recibo de configuración Fase de autenticación (optativa): Una vez establecido el enlace y seleccionado el protocolo de autenticación. se pueden enviar paquetes de cada uno de los ps de capa de red. Como parte de esta fase LCP permite efectuar una prueba opcional de determinación de la calidad de enlace Fase de protocolo de capa de red: los dispositivos ppp envían paquetes NCP para seleccionar y configurar uno o varios protocolos de capa de red (como ip). El fin del campo de datos se detecta al encontrar la secuencia de señalador de cierre y dejando 2 bytes para el campo de la secuencia de verificación de trama (FCS). Para administrar y depurar un enlace Las 3 fases del establecimiento de una sesión PPP:     Fase de establecimiento del enlace : cada dispositivo ppp . envía tramas LCP para configurar y probar el enlace de datos. El comando show interfaces muestra los estados de LCP y NCP bajo la config PPP El enlace PPP queda configurado para las comunicaciones hasta que se presenta una de las siguientes situaciones: o o Las tramas LCP o NCP cierran el enlace Se vence el tiempo de inactividad Página 66 Prof. se toma el valor por defecto. Si no se incluye ninguna opción de configuración en un paquete LCP . compresión . Giovana Garrido .Capítulo I Seguridad y Defensa de la Red c023 c223  p de autenticación de contraseña p de autenticación de intercambio de señales  Datos: 0 o más bytes que contienen el datagrama para el protocolo especificado en el campo de protocolo. Se puede autenticar el dispositivo par. Para establecer y configurar un enlace Tramas de terminación de enlace. informa a los ps de capa de red .

protocolo de autenticación de intercambio de señales: saludo de tres vías. el router local o un servidor de terceros tiene el control de la frecuencia y la temporización de las comprobaciones. PAP . esta respuesta se basa en la contraseña y el mensaje de comprobación. Si los valores concuerdan. El router local verifica la respuesta contra su propio cálculo del valor hash esperado . si no se termina la conexión de inmediato CHAP brinda protección contra los intentos de fuerza bruta. Protocolo de autenticación de contraseña (PAP) PAP: intercambio de señales de 2 vías. Ejemplo: Prof. el nodo remoto envía el conjunto de usuario / contraseña por el enlace repetidas veces hasta que se acusa recibo de la autenticación o el enlace se termina ( el dispositivo par controla los intentos ) PAP no es un p de autenticación sólido. El par envía el desafío. se le envía usuario pass . Tras establecerse el enlace ppp .Capítulo I Seguridad y Defensa de la Red o Interviene el usuario Protocolos de autenticación PPP La fase de autenticación de una sesión ppp es opcional. a través del uso de un valor de comprobación variable que es exclusivo e impredecible. Giovana Garrido Página 67 . Se envía usuario pass (la contraseña se envía en texto sin cifrar) el par envía Aceptar/Rechazar CHAP . Como la comprobación es única y aleatoria. Una vez establecido el enlace y seleccionado el protocolo de autenticación se puede autenticar el dispositivo par . El nodo remoto responde con un valor calculado mediante la función hash de una vía ( en general es MD5 o Message Digest 5 ). y si se efectúa será antes de la fase de config del protocolo de la capa de red Las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca la información de autenticación. el par envía Aceptar/Rechazar Por lo general el protocolo usado es CHAP. Protocolo de autenticación de intercambio de señales (CHAP) CHAP se realiza al iniciar el enlace y verifica de forma periódica la identidad del nodo remoto . se envía un un mensaje de comprobación al nodo remoto. Las contraseñas se envían en texto sin cifrar y no hay protección contra fuerza bruta ( ensayo / error ). se acusa recibo de autenticación . El nodo remoto tiene control de la frecuencia y la temporización de los intentos de conexión. el Desafío.protocolo de autenticación de contraseña: saludo de 2 vías. por medio de intercambio de señales de 3 vías . Esto ayuda a garantizar que el usuario tenga permisos. Tras completar el establecimiento del enlace PPP. el valor hash resultante será único y aleatorio.

métodos de autenticación. Se comparan valores F: Si falla la autenticación se construye un paquete de falla CHAP a partir de los siguientes componentes 04=tipo de mensaje de falla CHAP . Giovana Garrido Protocolo PAP. El nombre del router local se usa para autenticar el router local al router remoto C: El nombre del desafiante que es el router local. Si se requiere autenticación se dan los siguientes pasos :    Se determina el método de autenticación Se revisa la bbdd local o el servidor de seguridad con una bbdd de usuarios:contraseñas Se verifica la respuesta de autenticación . El valor de hash se usa para responder al desafío D: El valor del paquete de desafío de hash .Capítulo I Seguridad y Defensa de la Red !!!crear un conjunto de routers de conexión telefónica que aparecen como el mismo host al realizar la autenticación router(config-if)# ppp chap hostname Lab_C !!! configuramos la contraseña class router(config-if)# ppp chap password class Proceso de encapsulamiento y autenticación PPP Cuando se utiliza encapsulation ppp la autenticación CHAP o PAP se puede agregar de forma optativa. id=copiado del paquete de respuesta . se usa para encontrar la contraseña en la bbdd local del router remoto . si es positiva se inicia sesión ppp . . la sesión PPP comienza de inmediato. CHAP Stacker .detección de errores . Si no se especifica ninguna clase de autenticación.compresión. Incluyen el ID . o o o o o o A: el router remoto establece enlace. Comando ppp authentication {pap|chap} ppp compress Página 68 .admisión de multienlace Opciones de configuración de LCP de routers Cisco que usen encapsulamiento PPP Opciones Función Autenticación Compresión Prof. "Falla de autenticación" o mensaje de texto parecido Configuración PPP Los aspectos configurables de ppp: . Router local desafía al remoto B: El paquete de desafío CHAP se envía a router remoto. si no se termina Proceso de autenticación CHAP. se acuerda autenticación CHAP durante negociación PPP LCP..El generador hash (MD5) produce un valor a partir de la información recibida en el paquete de desafío y la contraseña asociada con el nombre del router local. el nº aleatorio de desafío original y la contraseña asociada con el nombre del router remoto. el nombre del router remoto y el ID de desafío se usan para generar el paquete de respuesta E: El desafiador pasa los mismos valores de desafío al generador de hash que el router remoto.

se intenta el segundo método Paso 6: En Cisco IOS 11. por medio de intercambio de señales de 3 vías.Capítulo I Seguridad y Defensa de la Red Detección de errores Multienlace >= Cisco IOS Release 11.idéntica para ambos routers Paso 2: Entrar al modo de config de la interfaz router(config)# interface serial 0 Paso 3: Configurar la interfaz para encapsulamiento PPP router(config-if)# encapsulation ppp Paso 4: Configurar la autenticación ppp router(config-if)# ppp authentication { chap | chap pap | pap chap | pap } Paso 5: Si chap o pap están habilitados. Si el vecino sugiere el uso de un segundo método o rechaza el primero. se solicita el primer método especificado durante la negociación del enlace. es necesario habilitar PAP en la interfaz.1 Predictor Número mágico . ( No se recomienda si la mayoria del tráfico son archivos comprimidos ) router(config-if)# compress [ predictor | stac ] !!! Para monitorear los datos que se pasan al enlace y evitar la formación de bucles en las tramas router(config-if)# ppp quality percentage !!! de 1 a 100 .1 o posterior. especifica el umbral de calidad del enlace !!!para ejecutar el equilibrio de cargas en múltiples enlaces router(config-if)# ppp multilink Configuración de la autentificación PPP Paso 1: Definir en cada router user:pass router(config)# username name password secret name = nombre del router remoto . Giovana Garrido Página 69 . Verificación de la configuración de encapsulamiento serial PPP show interfaces serial x : para verificar el encapsulamiento HLDC o PPP show interfaces : Estadísticas de todas las interfaces configuradas en el router o servidor de acceso Prof. Calidad MP {stacker|predictor} ppp quality <number 1-100> ppp multilink Ejemplo de configuración: !!!Activar encapsulamiento ppp en una interfaz serial 0/0 router(config-if)# encapsulation ppp !!! Configurar la compresión. ya que está deshabilitada por defecto router(config-if)# ppp pap sent-username name password pass PAP ofrece un método sencillo para autenticarse por medio del intercambio de señales de 2 vías CHAP se usa para verificar periódicamente la identidad del nodo remoto. secret = contraseña .

htm 3. protocolos y RADIUS. y callback.htm Referencia Bibliográfica: 1.upm. tarjetas inteligentes (smart card) certificado digitales. Aboba. Manual de Seguridad en Internet. Fundación una Galicia Moderna. Los Inalámbricos pueden orientar una serie de entornos. portabilidad. Versión 4. Bernard – Palekar. como la movilidad. VPN y los túneles también puede considerarse como parte de la red de acceso remoto. Recuperado el 12 de Octubre de 2006. Antonio M.Capítulo I Seguridad y Defensa de la Red debug ppp authentication : depura el proceso de autenticación PAP o CHAP debug ppp negotiation undebug all : para desactivar toda depuración Diagnóstico de fallas de la configuración de encapsulamiento serial router# debug ppp { authentication | packet | negotiation | error | chap} router# no debug ppp { authentication | packet | negotiation | error | chap} router# show cdp neighbors !!! para mostrar los dispositivos directamente conectados mediante CDP Autenticación en una red de acceso remoto se realiza generalmente a través de un combinación de PPP.ppt 2. dispositivos de computación portátil que utilizan las normas como 802. CHAP. PPPoE. http://openmultimedia. http://www. Ashwin. Para prácticar Pequeño juego de seguridad informática.drizzle. Avila y Francisco de Quinto.1X and RADIUS Security. Dr. Por último. la seguridad de acceso remoto también debe considerar las comunicaciones inalámbricas. y la computadora portátil. PAP. IEEE 802.11 y Redes Homephoneline Alliance (homePNA). Prof. Giovana Garrido Página 70 . Jorque Ramió Arguirre.com/%7Eaboba/IEEE/11-01-TBD-I-RADIUS-Security. Otros mecanismos de autenticación de acceso remoto en la red incluyen tokens.es/guiateoria/gt_m001a.0.edu/OpenProducts/securityxperts/securityxperts/SecurityXpert s.criptored. http://www.ie. Libro Electrónico de Seguridad Informática y Criptografìa.