UNIVERSIDAD TECNOLGICA

DE MORELIA

Trabajo Final de la materia

Seguridad de la Informacin.
Tercer Parcial
Matricula:UTM073009TIC

Profesor: Gilberto Romero

Elabor:Luis Manuel Guizar Horta

Trabajo de evaluacin de la materia seguridad de la informacin. Temas

VPNS; seguridad, protocolos y servicios; Sistemas de deteccin de
ataques.

ndice
Introduccin................................................................................................... 3
Justificacin.................................................................................................... 4
Objetivo General............................................................................................ 5
Objetivo Especficos....................................................................................... 5
Marco Terico................................................................................................. 6
Protocolos de tnel...................................................................................... 7
Protocolo PPTP............................................................................................. 7
Protocolo L2TP............................................................................................. 7
Protocolo IPSec............................................................................................ 7
Procedimiento................................................................................................ 9
Terminologa y tecnologas de Sistemas de Deteccin de Intrusos..............18
Introduccin.............................................................................................. 18
Definicin.................................................................................................. 19
Tipos de deteccin.................................................................................... 20
1. NIDS...................................................................................................... 21
2. HIDS...................................................................................................... 21
Conclusiones................................................................................................ 23

Introduccin
El presente trabajo abarcar la tecnologa de las VPNS o redes privadas
virtuales, cuales son los protocolos que utiliza, que servicios puede brindar y
la seguridad que proporciona.
Pretender mostrar las ventajas de usar la tecnologa de las VPNS, en qu
casos es recomendable usarse y la configuracin. Tambin abarcar los
sistemas de deteccin de ataques.

Justificacin
Se realizar con el fin de aprender sobre las VPNS, que es una tecnologa
muy usada por las empresas y por algunos particulares, desde hace algn
tiempo. Tambin con el propsito de acreditar la materia de seguridad de la
informacin.

Objetivo General
Entender cmo es que funcionan las vpns, qu son y para que nos sirven
los sistemas de deteccin de ataques.
Mostrar cmo se configura una vpn, procedimiento y opciones a utilizar.

Objetivo Especficos

Configurar una vpn

Instalar un sistema de deteccin de intruciones.

Marco Terico
Antes de que Internet se convirtiera en universal, una red privada virtual (VPN, del
ingls Virtual Private Network) consista en uno o ms circuitos enlazados de un
proveedor de servicios de comunicaciones telefnicas. Cada circuito enlazado
actuaba como un slo cable en una red que era controlada por el cliente. Los
proveedores de servicios a veces ayudaban a manejar las redes de sus clientes,
pero la idea bsica era que el cliente usaba estos circuitos de la misma forma como
se usaban los cables en su red local [VPNC2003].
(Desconocido, 2004)

Permiten conectar un protocolo a travs de otro

Tipos de VPNS:
o Tnel SNA para enviar paquetes IP
o MBone: tneles multicast sobre redes unicast
o 6Bone: tneles IPv6 sobre redes IPv4
o Tneles IPv4 para hacer enrutamiento desde el origen

Tambin permiten crear redes privadas virtuales o VPNs (Virtual Private

Networks)

Protocolos de tnel
Los principales protocolos de tnel son:

PPTP (Protocolo de tnel punto a punto) es un protocolo de capa 2

desarrollado por Microsoft, 3Com, Ascend, US Robotics y ECI
Telematics.

L2F (Reenvo de capa dos) es un protocolo de capa 2 desarrollado por

Cisco, Northern Telecom y Shiva. Actualmente es casi obsoleto.

L2TP (Protocolo de tnel de capa dos), el resultado del trabajo del

IETF (RFC 2661), incluye todas las caractersticas de PPTP y L2F. Es
un protocolo de capa 2 basado en PPP.

IPSec es un protocolo de capa 3 creado por el IETF que puede enviar

datos cifrados para redes IP.

Protocolo PPTP
El principio del PPTP (Protocolo de tnel punto a punto) consiste en crear
tramas con el protocolo PPP y encapsularlas mediante un datagrama de IP.
Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes de
rea local se conectan con una conexin de igual a igual (con un sistema de
autenticacin/cifrado) y el paquete se enva dentro de un datagrama de IP.

De esta manera, los datos de la red de rea local (as como las direcciones
de los equipos que se encuentran en el encabezado del mensaje) se
encapsulan dentro de un mensaje PPP, que a su vez est encapsulado
dentro de un mensaje IP.

Protocolo L2TP
L2TP es un protocolo de tnel estndar (estandarizado en una RFC, solicitud
de comentarios) muy similar al PPTP. L2TP encapsula tramas PPP, que a su
vez encapsulan otros protocolos (como IP, IPX o NetBIOS).

Protocolo IPSec
IPSec es un protocolo definido por el IETF que se usa para transferir datos
de manera segura en la capa de red. En realidad es un protocolo que mejora
la seguridad del protocolo IP para garantizar la privacidad, integridad y
autenticacin de los datos enviados.
IPSec se basa en tres mdulos:

Encabezado de autenticacin IP (AH), que incluye integridad, autenticacin

y proteccin contra ataques de REPLAY a los paquetes.
Carga til de seguridad encapsulada (ESP), que define el cifrado del
paquete. ESP brinda privacidad, integridad, autenticacin y proteccin
contra ataques de REPLAY.
Asociacin de seguridad (SA) que define configuraciones de seguridad e
intercambio clave. Las SA incluyen toda la informacin acerca de cmo
procesar paquetes IP (los protocolos AH y/o ESP, el modo de transporte o
tnel, los algoritmos de seguridad utilizados por los protocolos, las claves
utilizadas, etc.). El intercambio clave se realiza manualmente o con el
protocolo de intercambio IKE (en la mayora de los casos), lo que permite
que ambas partes se escuchen entre s.

Procedimiento
Configuracin de la parte Servidor de una VPN en Windows:
Es importante saber que la mayor parte de aplicaciones de este estilo
trabajan usando un esquema Cliente-Servidor. Esto significa que habr
que configurar los dos extremos de la comunicacin, en un extremo
tendremos la mquina que va a funcionar como servidor, es decir, la
mquina a la que nos vamos a conectar, y en el otro un cliente que es la
que usaremos para conectarnos.
Comencemos por la configuracin del Servidor, y como ocurre siempre con
Microsoft, para casi todas las operaciones que se pueden realizar hay un
asistente que nos ayuda. Para arrancar el asistente vemos la operativa en la
siguiente imagen:

Imagen01
Click en Inicio ---> Configuracin ---> Conexiones de red, lo que
permitir que aparezca la siguiente pantalla:

Imagen02
Hacemos doble click sobre el Asistente para conexin nueva para
arrancarlo:

Imagen03
Pulsamos Siguiente y nos aparecer la siguiente pantalla:

Imagen04
Seleccionamos la opcin Configurar una conexin avanzada y volvemos
a pulsar el botn siguiente que nos lleva a la siguiente pantalla:

Imagen05

En este caso, seleccionamos la opcin Aceptar conexiones entrantes y

pulsamos el botn Siguiente. Aparecer otra ventana:

Imagen06
Aqu debemos mantener desmarcada la casilla de verificacin y pulsamos
de nuevo el botn Siguiente y aparecer otra ventana:

Imagen07
En esta ventana seleccionamos Permitir conexiones privadas virtuales,
pulsamos de nuevo el botn Siguiente y pasaremos a la otra ventana:

Imagen08
En esta ventana nos parecern los usuarios definidos en la mquina y
debemos seleccionar el que vamos a usar para acceder desde el exterior.
Si no queremos crear ningn usuario o lo hemos creado previamente, slo
hay que seleccionarlo como podemos ver qu y a continuacin pulsamos de
nuevo el botn Siguiente para pasar de pantalla:

Imagen9
En esta pantalla mantenemos activas todas las opciones y volvemos a
pulsar en el botn Siguiente para terminar:

Imagen10
Vemos la ltima pantalla en la que pulsamos en el botn Finalizar para
crear definitivamente la conexin y cerrar el asistente.
Una vez finalizado el proceso, en la pantalla Conexiones de red veremos
creada
la
nueva
conexin

Imagen11
que se resaltato en el recuadro para destacarla.
En lo que se refiere a la parte servidora, es decir la mquina a la que vamos
a acceder, podemos dar por terminada la configuracin, aunque es cierto
que si el equipo se encuentra en una red interna y detrs de un router habr
que realizar el mapeo de puertos para que la conexin funcione y adems
habr que tener en cuenta que si tenemos activado el Firewall debemos
marcar la casilla Conexin entrante VPN (PPTP) para que no quede
bloqueada.
Mencionaremos que el puerto de trabajo para el protocolo PPTP es el 1723,
que ser el que debemos incluir en la configuracin del router.

No damos detalles sobre cmo realizar esta operacin ya que depende del
modelo de router que se use. Tambin destacar que el nmero de protocolo
que corresponde al PPTP es el 47. Si usamos L2TP el puerto a configurar es
el 1701. Si se va a utilizar adems IPSec, se debe abrir el puerto UDP 500
y los protocolos de Id. 50 (IPSec ESP) y 51 (IPSec AH).
5.- Configuracin de la parte Cliente de una VPN en Windows:
Una vez configurado el servidor vamos a ver como se configura la parte
cliente en el ordenador desde el que vamos a acceder.
Para empezar hacemos lo mismo que en el caso del servidor, arrancando el
asistente de configuracin tal y como describimos en el apartado anterior
en las imgenes Imagen01, Imagen02 y Imagen03.
Click en Inicio ---> Configuracin ---> Conexiones de red, hacemos
doble click sobre el Asistente para conexin nueva para arrancarlo,
pulsamos Siguiente y nos aparecer la pantalla que vemos a continuacin:

Imagen12
Seleccionamos la opcin de Conectarsea la red de mi lugar de trabajo y
pulsamos en el botn Siguiente para avanzar:

Imagen13
Seleccionamos la opcin de Conexin de red privada virtual y pulsamos
en el botn Siguiente para avanzar:

Imagen14
En esta pantalla vamos a asignarle un nombre a la conexin y de nuevo
pulsamos en el botn Siguiente para avanzar:

Imagen15
Vemos que nos aparece una caja de texto para que pongamos la direccin IP
que tendr en internet el servidor al que nos queremos conectar de tal

forma que NNN.NNN.NNN.NNN sern los nmero que forman esa

direccin IP por ejemplo, iplocal.no-ip.org si fuera el caso. A continuacin
pulsamos en el botn Siguiente para avanzar:

Imagen17
Marcar (opcional )la casilla Agregar un acceso directo en el escritorio
para esta conexin y volvemos a pulsar en el botn Finalizar:
Una vez finalizado el proceso, en la pantalla Conexiones de red veremos
creada
la
nueva
conexin:

Imagen18
Si hacemos doble click sobre ella se nos abrir la siguiente ventana

Imagen19
Como vemos hay que introducir los datos del usuario que autorizamos al
configurar la parte servidora y la contrasea corresponder a la misma que
se le estableci en el momento de su creacin. Click en el botn Conectar y
vemos
como
inicia
las
comunicaciones.

Imagen20
Si todo ha ido bien conectaremos con el servidor y podremos trabajar con l
si problemas.

Terminologa y tecnologas de Sistemas de Deteccin

de Intrusos
Introduccin
Las organizaciones dependen cada vez ms de sistemas informticos para
su funcionamiento diario. La existencia de atacantes, tanto internos como
externos, que pretenden acceder ilegtimamente a sistemas informticos,
sea para sustraer informacin confidencial, o para modificar o eliminar
informacin, sea con un inters concreto o por simple entretenimiento, hace
que la seguridad sea algo que ha de evolucionar a la par que la tecnologa
se desarrolla.
Los cortafuegos son una herramienta indispensable para hacer ejecutar las
polticas de empresa, pero el hecho de que suelen realizar un anlisis muy
superficial de la informacin que circula por la red (generalmente, se
quedan a nivel de red), hace que muchos ataques sean simplemente
invisibles para ellos.
En los 80 comenzaron los primeros desarrollos de programas que
monitorizaban el uso de sistemas y redes. En los ltimos aos se ha
producido un avance muy grande en esta rea, y la mayora de las
empresas dedicadas a la seguridad ofrecen productos para la deteccin de
intrusiones.
Los sistemas de deteccin de intrusiones (IDS) estn constantemente
vigilando, e incorporan mecanismos de anlisis de trfico y de anlisis de
sucesos en sistemas operativos y aplicaciones que les permiten detectar
intrusiones en tiempo real.
Un IDS puede ser un dispositivo hardware autocontenido con una o varias
interfaces, que se conecta a una o varias redes; o bien una aplicacin que

se ejecuta en una o varias mquinas y analiza el trfico de red que sus

interfaces ven y/o los eventos generados por el sistema operativo y las
aplicaciones locales.
Para hablar sobre deteccin de intrusiones hay que definir qu entendemos
por intrusin. Las intrusiones se definen en relacin a una poltica de
seguridad: una intrusin es una violacin de la poltica de seguridad
establecida. A menos que se conozca qu est permitido en un sistema y
qu no, no tiene sentido hablar de deteccin intrusiones. De manera ms
concisa se puede definir una intrusincomo un conjunto de acciones
deliberadas dirigidas a comprometer la integridad (manipular informacin),
confidencialidad (acceder ilegtimamente a informacin) o disponibilidad de
un recurso (perjudicar o imposibilitar el funcionamiento de un sistema).

Definicin
Los sistemas de deteccin de intrusiones, bien sea dispuestos como
software que se ejecuta en servidores y estaciones de trabajo, bien
instalados en la infraestructura de red, monitorizan la actividad de los
sistemas en busca de violaciones de la poltica de seguridad, tales como
ataques

de

denegacin

informacin delicada, etc.

de

servicio,

sustraccin

modificacin

de

Tipos de deteccin
En primer lugar los clasificaremos segn la manera en que detectan las
intrusiones.
Categorizamos las intrusiones en dos tipos principales, cuya distincin es
importante porque nos conducirn a sistemas de deteccin esencialmente
muy diferentes.
Los usos indebidos son ataques bien definidos contra debilidades
conocidas de los sistemas. Se los puede detectar buscando la ocurrencia de
determinadas acciones concretas.
Las anomalas se basan en la observacin de desviaciones de los
patrones de uso normales en el sistema. Se las detecta construyendo
previamente

un

perfil

del

sistema

monitorizar

posteriormente

estudiando las desviaciones que se produzcan con respecto a este perfil.

Las intrusiones por uso indebido siguen patrones bien definidos, por lo que
se pueden detectar realizando bsqueda de patrones en el trfico de red y
en los ficheros de registro.
Las

intrusiones

por

anomala

se

detectan

observando

desviaciones

significativas del comportamiento habitual.

Para ello se mide una serie de parmetros (carga de CPU, nmero de
conexiones de red en una unidad de tiempo, nmero de procesos, entre
otros). Considerando que una intrusin involucrar un uso anormal del
sistema, se pueden detectar las violaciones de seguridad a partir de
patrones anormales de uso.
Los detectores de anomalas conocen, bien porque han sido programados
por un experto, bien porque han pasado por una fase previa de
aprendizaje, la actividad que resulta normal en el seno de un sistema.
Mediante mtodos estadsticos se intentar posteriormente comparar la

informacin recibida en cada instante con el modelo de actividad vlida, y

aquello que se aparte excesivamente ser etiquetado como intrusin. Esta
comparacin se puede realizar por tcnicas estadsticas, por sistemas
expertos basados en reglas, con redes neuronales, o con algn otro tipo de
reconocimiento de patrones que pueda emitir con una certeza razonable si
una determinada secuencia de eventos en un sistema forma parte del
funcionamiento ordinario del mismo.

1. NIDS
Sistemas de deteccin de intrusos por red. Estos sistemas disponen de una
o varias interfaces de red conectadas a determinados puntos estratgicos
de la red. Monitorizan el trfico que pasa por dichos puntos en busca de
trfico malicioso. Aunque estos sistemas en principio son dispositivos
absolutamente pasivos, con frecuencia se colocan los NIDS en cortafuegos y
enrutadores, de manera que el propio sistema puede forzar el cierre de
conexiones y modificar reglas de filtrado de una manera ms directa.
Mediante uno solo de estos sistemas se puede monitorizar el trfico tanto
interno como externo de una red para muchas mquinas.
Los NIDS no suelen controlar toda la red sino determinados puntos
estratgicos. La mayora de las redes hoy en da son conmutadas, as que
colocar los sensores de red suele implicar utilizar conmutadores especiales
con un puerto monitor que reproduce todo el trfico recibido en
cualquiera de los puertos.

2. HIDS
Sistemas de deteccin de intrusos de mquina. As como los NIDS se
instalan en determinados puntos de la infra- estructura de red, los HIDS se
instalan en las mquinas que componen la red: tanto servidores como

estaciones de trabajo. Un sensor, instalado directamente como un mdulo

sobre una mquina, dispone de informacin de mayor nivel semntico que
los NIDS: llamadas al sistema, eventos complejos dentro de aplicaciones de
alto nivel, etc. Un sistema basado nicamente en red tendra que ser mucho
ms complejo para entender la gran diversidad de protocolos que existen,
y los que se implementan por encima de stos. Por otra parte, la tendencia
actual al uso de conexiones encriptadas, de indiscutible inters para mejorar
la seguridad de los sistemas, hace que un sistema que solo escuche la red
disponga de muy poca informacin para distinguir el trfico malicioso del
aceptable. El trfico en una conexin SSH o SSL es absolutamente
inaccesible a un NIDS, aunque en el caso de SSL se han desarrollado
cortafuegos que interceptan las conexiones, realizando una especie de
ataque hombre en el medio que le permite analizar el contenido de
conexiones que de otra manera sera inaccesible.

Conclusiones
Las redes privadas virtuales son una excelente solucin para quienes tienen
la necesidad de comunicarse a otro sitio.
Las redes privadas virtuales al crear un tnel de un lugar a otro para
transferir datos, a esto se le conoce como encapsulacin, adems de que
los paquetes van encriptados de tal forma que los datos se vuelven ilegibles
para los extraos. Adems tan esencial es que las VPNS otorguen los
medios para poder identificar a los usuarios que se conectarn a la red y
harn uso de los servicios que la misma proporcione.
Los IDS son una herramienta ms que podemos utilizar para mejorar la
seguridad de nuestros sistemas. Los IDS no reemplazan a los cortafuegos,
tampoco nos evitan la tarea de mantener las

mquinas actualizadas y

configuradas. Los propios IDS, en especial si se basan en bsqueda de

patrones, han de mantenerse puntualmente actualizados. Las alertas
generadas han de ser cuidadosamente analizadas para tomar las medidas
pertinentes lo antes posible de ah la importancia de que los sistemas
tengan una tasa baja de falsos positivos