SEGURIDAD BSICA EN LAS REDES

La seguridad de una red significa tener ese firewall, con ese antivirus,
con ese control de intrusin, con esa red inteligente que entiende que
hay cosas que suceden en la red, todas coordinadas y funcionando al
mismo tiempo.

ELEMENTOS BSICOS DE SEGURIDAD PARA UNA

RED
Confidencialidad: La confidencialidad intenta que la informacin solo
sea utilizada por las personas o mquinas debidamente autorizadas.
Para garantizar la confidencialidad necesitamos disponer de tres tipos de
mecanismos:

Autenticacin. La autenticacin intenta confirmar que una

persona o mquina es quien dice ser, que no estamos hablando
con un impostor.
Autorizacin. Una vez autenticado, los distintos usuarios de la
informacin tendrn distintos privilegios sobre ella. Bsicamente
dos: solo lectura, o lectura y modificacin.
Cifrado. La informacin estar cifrada para que sea intil para
cualquiera que no supere la autenticacin

Disponibilidad: La disponibilidad intenta que los usuarios puedan

acceder a los servicios con normalidad en el horario establecido.
Integridad: El objetivo de la integridad es que los datos queden
almacenados tal y como espera el usuario: que no sean alterados sin su
consentimiento. Los sistemas se deben poder checar en cuanto a su
integridad, esto con el fin de detectar modificaciones que puedan
afectar la seguridad. Si el sistema se corrompe o es modificado, sera
deseable detectar el origen del problema (quien lo modific) y restituir la
integridad (en muchos casos hay que reinstalar el sistema).
Control de acceso: Con el control de acceso los recursos del sistema
son proporcionados o negados de acuerdo al tipo de usuario que los
solicite, y dependiendo desde donde haga la solicitud. Algunas veces
slo se permite uso parcial de los recursos, esto es comn en sistemas
de archivos, donde algunos usuarios solamente pueden leer, algunos
otros leer y escribir, etc.

Falla en posicin segura.-Los sistemas deben estar diseados para

que en caso de falla queden en un estado seguro. Por ejemplo en redes,
en caso de falla se debe suspender el acceso a Internet.
Check Point.- Se hace pasar todo el trfico de la red por un solo punto
y se enfocan los esfuerzos de seguridad en ese punto. Puede disminuir el
rendimiento.
Defensa en profundidad.-Consiste en usar tantos mecanismos de
seguridad como sea posible, colocndolos uno tras otro. Puede hacer
muy compleja la utilizacin del sistema.
Simplicidad.-Los sistemas muy complejos tienden a tener fallas y
huecos de seguridad. La idea es mantener los sistemas tan simples
como sea posible, eliminando funcionalidad innecesaria. Sistemas
simples que tienen mucho tiempo, han sido tan depurados que
prcticamente no tienen huecos de seguridad.
Seguridad por Obscuridad.-La estrategia es mantener un bajo perfil y
tratar de pasar desapercibido, de modo que los atacantes no lo
detecten.
Seguridad bsica de hosts de red.-Bloqueo de puertos y reduccin
de servicios activos muchos hosts informticos y dispositivos de red
inician servicios de red de forma predeterminada. Cada uno de estos
servicios representa una oportunidad para atacantes, gusanos y
troyanos. A menudo, todos estos servicios predeterminados no son
necesarios. Al bloquear los puertos desactivando servicios se reduce la
exposicin a riesgos.
Seguridad basada en la red.-La seguridad se basa en controlar los
accesos a los hosts desde la red. El mtodo ms comn es la
implementacin de firewalls.
El objetivo de la administracin de redes es buscar mantener la
integridad, disponibilidad y confidencialidad de la informacin dentro de
la red, para que la organizacin mantenga la continuidad en sus
procesos.

QUE ELEMENTOS SE VAN A PROTEGER

Los recursos que se deben proteger no estn estandarizados, los mismos

dependen de cada organizacin y de los productos o servicios a los que
la misma se dedique.
Bsicamente los recursos que se han de proteger son:

Hardware, que es el conjunto formado por todos los elementos

fsicos de un sistema informtico, entre los cuales estn los medios
de almacenamiento.
Software, que es el conjunto de programas lgicos que hacen
funcional al hardware
Datos, que es el conjunto de informacin lgica que maneja el
software y el
hardware.

La infraestructura necesaria es amplia y compleja porque los niveles de

seguridad son elevados:

Todos los equipos deben estar especialmente protegidos contra

software malicioso que pueda robar datos o alterarlos.
El almacenamiento debe ser redundante: grabamos el mismo
dato en ms de un dispositivo. En caso de que ocurra un fallo
de hardware en cualquier dispositivo, no hemos perdido la
informacin.
El almacenamiento debe ser cifrado. Las empresas manejan
informacin muy sensible, tanto los datos personales de
clientes o proveedores como sus propios informes, que pueden
ser interesantes para la competencia. Si, por cualquier
circunstancia, perdemos un dispositivo de almacenamiento
(disco duro, pendrive USB, cinta de backup), os datos que
contenga deben ser intiles para cualquiera que no pueda
descifrarlos.
Comunicaciones.-Los datos no suelen estar recluidos siempre en
la misma mquina: en muchos casos salen con destino a otro
usuario que los necesita. Esa transferencia (correo electrnico,
mensajera instantnea, disco en red, servidor web) tambin hay
que protegerla. Debemos utilizar canales cifrados, incluso aunque
el fichero de datos que estamos transfiriendo ya est cifrado
(doble cifrado es doble obstculo para el atacante). Adems de
proteger las comunicaciones de datos, tambin es tarea de la
seguridad informtica controlar las conexiones a la red

TIPOS DE RIESGOS QUE EXISTEN DENTRO DE LAS

REDES
Interrupcin. El ataque consigue provocar un corte en la prestacin de
un servicio: el servidor web no est disponible, el disco en red no
aparece o solo podemos leer (no escribir), etc.
Interceptacin. El atacante ha logrado acceder a nuestras
comunicaciones y ha copiado la informacin que estbamos
transmitiendo.
Modificacin. Ha conseguido acceder, pero, en lugar de copiar la
informacin, la est modificando para que llegue alterada hasta el
destino y provoque alguna reaccin anormal. Por ejemplo, cambia las
cifras de una transaccin bancaria.
Fabricacin. El atacante se hace pasar por el destino de la transmisin,
por lo que puede tranquilamente conocer el objeto de nuestra
comunicacin, engaarnos para obtener informacin valiosa, etc.
Para conseguir su objetivo puede aplicar una o varias de estas tcnicas:

Ingeniera social. A la hora de poner una contrasea, los

usuarios no suelen utilizar combinaciones aleatorias de caracteres.
En cambio, recurren a palabras conocidas para ellos: el mes de su
cumpleaos, el nombre de su calle, su mascota, su futbolista
favorito, etc. Si conocemos bien a esa persona, podemos intentar
adivinar su contrasea. Tambin constituye ingeniera social pedir
por favor a un compaero de trabajo que introduzca su usuario y
contrasea, que el nuestro parece que no funciona. En esa sesin
podemos aprovechar para introducir un troyano, por ejemplo.
Phishing. El atacante se pone en contacto con la vctima
(generalmente, un correo electrnico) hacindose pasar por una
empresa con la que tenga alguna relacin (su banco, su empresa
de telefona, etc.). En el contenido del mensaje intenta
convencerle para que pulse un enlace que le llevar a una (falsa)
web de la empresa. En esa web le solicitarn su identificacin
habitual y desde ese momento el atacante podr utilizarla.
Keyloggers. Un troyano en nuestra mquina puede tomar nota
de todas las teclas que pulsamos, buscando el momento en que

introducimos un usuario y contrasea. Si lo consigue, los enva al

atacante.
Fuerza bruta. Las contraseas son un nmero limitado de
caracteres (letras, nmeros y signos de puntuacin). Una
aplicacin malware puede ir generando todas las combinaciones
posibles y probarlas una a una; tarde o temprano, acertar. Incluso
puede ahorrar tiempo si utiliza un diccionario de palabras comunes
y aplica combinaciones de esas palabras con nmeros y signos de
puntuacin. Contra los ataques de fuerza bruta hay varias
medidas:
Utilizar contraseas no triviales. No utilizar nada personal e
insertar en medio de la palabra o al final un nmero o un signo
de puntuacin. En algunos sistemas nos avisan de la fortaleza
de la contrasea elegida
Cambiar la contrasea con frecuencia (un mes, una semana).
Dependiendo del hardware utilizado, los ataques pueden tardar
bastante; si antes hemos cambiado la clave, se lo ponemos
difcil.
Impedir rfagas de intentos repetidos. Nuestro software de
autenticacin que solicita usuario y contrasea fcilmente
puede detectar varios intentos consecutivos en muy poco
tiempo. No puede ser un humano: debemos responder
introduciendo una espera. En Windows se hace: tras cuatro
intentos fallidos, el sistema deja pasar varios minutos antes de
dejarnos repetir. Esta demora alarga muchsimo el tiempo
necesario para completar el ataque de fuerza bruta.
Establecer un mximo de fallos y despus bloquear el acceso. Es
el caso de las tarjetas SIM que llevan los mviles GSM/UMTS: al
tercer intento fallido de introducir el PIN para desbloquear la
SIM, ya no permite ninguno ms. Como el PIN es un nmero de
cuatro cifras, la probabilidad de acertar un nmero entre 10 000
en tres intentos es muy baja.
Spoofing. Alteramos algn elemento de la mquina para
hacernos pasar por otra mquina. Por ejemplo, generamos
mensajes con la misma direccin que la mquina autntica.
Sniffing. El atacante consigue conectarse en el mismo tramo de
red que el equipo atacado. De esta manera tiene acceso directo a
todas sus conversaciones.
DoS (Denial of Service, denegacin de servicio). Consiste en
tumbar un servidor saturndolo con falsas peticiones de conexin.

Es decir, intenta simular el efecto de una carga de trabajo varias

veces superior a la normal.
DDoS (Distributed Denial of Service, denegacin de servicio
distribuida). Es el mismo ataque DoS, pero ahora no es una nica
mquina la que genera las peticiones falsas (que es fcilmente
localizable y permite actuar contra ella), sino muchas mquinas
repartidas por distintos puntos del planeta. Esto es posible porque
todas esas mquinas han sido infectadas por un troyano que las
ha convertido en ordenadores zombis (obedecen las rdenes del
atacante).

Vulnerabilidad por malware,- Una vulnerabilidad es un defecto de

una aplicacin que puede ser aprovechado por un atacante. Si lo
descubre, el atacante programar un software (llamado malware) que
utiliza esa vulnerabilidad para tomar el control de la mquina (exploit) o
realizar cualquier operacin no autorizada.
Hay muchos tipos de malware:

Virus. Intentan dejar inservible el ordenador infectado. Pueden

actuar aleatoriamente o esperar una fecha concreta (por ejemplo,
Viernes 13).
Gusanos. Van acaparando todos los recursos del ordenador:
disco, memoria, red. El usuario nota que el sistema va cada vez
ms lento, hasta que no hay forma de trabajar.
Troyanos. Suelen habilitar puertas traseras en los equipos: desde
otro ordenador podemos conectar con el troyano para ejecutar
programas en el ordenador infectado

MECANISMOS FSICOS Y LGICOS DE LA

SEGURIDAD
La seguridad fsica cubre todo lo referido a los equipos informticos:
ordenadores de propsito general, servidores especializados y
equipamiento de red. La seguridad lgica se refiere a las distintas
aplicaciones que ejecutan en cada uno de estos equipos.
Sin embargo, no todos los ataques internos son intencionales. En
algunos casos la amenaza interna puede provenir de un empleado
confiable que capta un virus o una amenaza de seguridad mientras se
encuentra fuera de la compaa y, sin saberlo, lo lleva a la red interna.

La mayor parte de las compaas invierte recursos considerables para

defenderse contra los ataques externos; sin embargo, la mayor parte de
las amenazas son de origen interno. De acuerdo con el FBI, el acceso
interno y la mala utilizacin de los sistemas de computacin representan
aproximadamente el 70% de los incidentes de violacin de seguridad
notificados.
Seguridad fsica, proteccin desde el interior
La mayora de los expertos coincide en que toda seguridad comienza
con la seguridad fsica. El control del acceso fsico a los equipos y a los
puntos de conexin de red es posiblemente el aspecto ms
determinante de toda la seguridad. Cualquier tipo de acceso fsico a un
sitio interno deja expuesto el sitio a grandes riesgos. Si el acceso fsico
es posible, normalmente se pueden obtener archivos protegidos,
contraseas, certificados y todo tipo de datos. Por suerte, existen
armarios seguros y dispositivos de control de acceso de muchas clases
que pueden ayudar a combatir este problema. Para obtener ms
informacin sobre la seguridad fsica de los centros de datos y salas de
red, consulte el Documento tcnico de APC n82, Physical Security in
Mission Critical Facilities (Seguridad fsica en instalaciones de misin
crtica).
Entre los mecanismos de seguridad lgica tenemos:
El Control de Acceso a la Red, tambin conocido por las siglas NAC
(Network Access Control ) / 802.1x tiene como objetivo asegurar que
todos los dispositivos que se conectan a las redes corporativas de una
organizacin cumplen con las polticas de seguridad establecidas para
evitar amenazas como la entrada de virus, salida de informacin, etc.
El fenmeno BYOD (Bring Your Own Device) en el que los
empleados utilizan sus propios dispositivos (tabletas, porttiles,
smartphones) para acceder a los recursos corporativos est acelerando
la adopcin de las tecnologas NAC para autenticar al dispositivo y al
usuario.
Existen una serie de fases como:

Deteccin: es la deteccin del intento de conexin fsica o

inalmbrica a los recursos de red reconociendo si el mismo es un
dispositivo autorizado o no.

Cumplimiento: es la verificacin de que el dispositivo cumple con

los requisitos de seguridad establecidos como por ejemplo
dispositivo autorizado, ubicacin, usuario, antivirus actualizado.
Cuando un dispositivo no cumple los requerimientos se puede
rechazar la conexin o bien mandarlo a un portal cautivo
Cuarentena.
Remediacin: es la modificacin lgica de dichos requisitos en el
dispositivo que intenta conectarse a la red corporativa.
Aceptacin: es la entrada del dispositivo a los recursos de red en
funcin del perfil del usuario y los permisos correspondientes a su
perfil que residen en un servicio de directorio.
Persistencia: es la vigilancia durante toda la conexin para evitar
la vulneracin de las polticas asignadas.

ARQUITECTURAS DE RED SEGURA

Arcnet
Arquitectura de red de rea local que utiliza una tcnica de acceso de
paso de testigo como el token ring. Tiene una topologa fsica en forma
de estrella, utilizando cable coaxial y hubs pasivos o activos. Es
desarrollada por Datapoint Corporation en el ao 1977.
Transmite 2 megabits por segundo y soporta longitudes de hasta 600
metros. Comienzan a entrar en desuso en favor de las Ethernet.
Arquitectura de red de rea local desarrollado por Datapoint Corporation
que utiliza una tcnica de acceso de paso de testigo como el Token Ring.
La topologa fsica es en forma de estrella mientras que la tipologa
lgica es en forma de anillo, utilizando cable coaxial y hubs pasivos
(hasta 4 conexiones) o activos.
Velocidad
La velocidad de trasmisin rondaba los 2 MBits, aunque al no producirse
colisiones el rendimiento era equiparable al de las redes ethernet.
Empezaron a entrar en desuso en favor de Ethernet al bajar los precios
de stas. Las velocidades de sus transmisiones son de 2.5 Mbits. Soporta
longitudes de hasta unos 609m (2000 pies).
Caractersticas

Aunque utilizan topologa en bus, suele emplearse un

concentrador para distribuir las estaciones de trabajo usando una
configuracin de estrella.
El cable que usan suele ser coaxial, aunque el par trenzado es el
ms conveniente para cubrir distancias cortas.
Usa el mtodo de paso de testigo, aunque fsicamente la red no
sea en anillo. En estos casos, a cada mquina se le da un nmero
de orden y se implementa una simulacin del anillo, en la que el
token utiliza dichos nmeros de orden para guiarse.
El cable utiliza un conector BNC giratorio

Ethernet
Ethernet es un estndar de redes de computadoras de rea local con
acceso al medio por contienda CSMA/CD ("Acceso Mltiple por Deteccin
de Portadora con Deteccin de Colisiones"), es una tcnica usada en
redes Ethernet para mejorar sus prestaciones. El nombre viene del
concepto fsico de ether. Ethernet define las caractersticas de cableado
y sealizacin de nivel fsico y los formatos de tramas de datos del nivel
de enlace de datos del modelo OSI.
La Ethernet se tom como base para la redaccin del estndar
internacional IEEE 802.3. Usualmente se toman Ethernet e IEEE 802.3
como sinnimos. Ambas se diferencian en uno de los campos de la
trama de datos. Las tramas Ethernet e IEEE 802.3 pueden coexistir en la
misma red.
Tecnologa y velocidad de Ethernet
Hace ya mucho tiempo que Ethernet consigui situarse como el principal
protocolo del nivel de enlace. Ethernet 10Base2 consigui, ya en la
dcada de los 90s, una gran aceptacin en el sector. Hoy por hoy,
10Base2 se considera como una "tecnologa de legado" respecto a
100BaseT. Hoy los fabricantes ya han desarrollado adaptadores capaces
de trabajar tanto con la tecnologa 10baseT como la 100BaseT y esto
ayuda a una mejor adaptacin y transicin.
Las tecnologas Ethernet que existen se diferencian en estos conceptos:
Velocidad de transmisin
- Velocidad a la que transmite la tecnologa.

Tipo de cable
- Tecnologa del nivel fsico que usa la tecnologa.
Longitud mxima
- Distancia mxima que puede haber entre dos nodos adyacentes (sin
estaciones repetidoras).
Topologa
- Determina la forma fsica de la red. Bus si se usan conectores T (hoy
slo usados con las tecnologas ms antiguas) y estrella si se usan hubs
(estrella de difusin) o switches (estrella conmutada).
Hardware comnmente usado en una red Ethernet
Los elementos de una red Ethernet son: tarjeta de red, repetidores,
concentradores, puentes, los conmutadores, los nodos de red y el medio
de interconexin. Los nodos de red pueden clasificarse en dos grandes
grupos: equipo terminal de datos (DTE) y equipo de comunicacin de
datos (DCE).
Los DTE son dispositivos de red que generan el destino de los datos: los
PC, routers,las estaciones de trabajo, los servidores de archivos, los
servidores de impresin; todos son parte del grupo de las estaciones
finales. Los DCE son los dispositivos de red intermediarios que reciben y
retransmiten las tramas dentro de la red; pueden ser: conmutadores
(switch), concentradores (hub), repetidores o interfaces de
comunicacin. Por ejemplo: un mdem o una tarjeta de interfaz.
NIC, o Tarjeta de Interfaz de Red - permite que una computadora
acceda a una red local. Cada tarjeta tiene una nica direccin MAC que
la identifica en la red. Una computadora conectada a una red se
denomina nodo.
Repetidor o repeater - aumenta el alcance de una conexin fsica,
recibiendo las seales y retransmitindolas, para evitar su degradacin,
a travs del medio de transmisin, logrndose un alcance mayor.
Usualmente se usa para unir dos reas locales de igual tecnologa y slo
tiene dos puertos. Opera en la capa fsica del modelo OSI.
Concentrador o hub - funciona como un repetidor pero permite la
interconexin de mltiples nodos. Su funcionamiento es relativamente

simple pues recibe una trama de ethernet, por uno de sus puertos, y la
repite por todos sus puertos restantes sin ejecutar ningn proceso sobre
las mismas. Opera en la capa fsica del modelo OSI.
Puente o bridge - interconecta segmentos de red haciendo el cambio
de frames (tramas) entre las redes de acuerdo con una tabla de
direcciones que le dice en qu segmento est ubicada una direccin
MAC dada. Se disean para uso entre LAN's que usan protocolos
idnticos en la capa fsica y MAC (de acceso al medio). Aunque existen
bridges ms sofisticados que permiten la conversin de formatos MAC
diferentes (Ethernet-Token Ring por ejemplo).
Conmutador o Switch - funciona como el bridge, pero permite la
interconexin de mltiples segmentos de red, funciona en velocidades
ms rpidas y es ms sofisticado. Los switches pueden tener otras
funcionalidades, como Redes virtuales , y permiten su configuracin a
travs de la propia red. Funciona bsicamente en la capa 2 del modelo
OSI (enlace de datos). Por esto son capaces de procesar informacin de
las tramas; su funcionalidad ms importante es en las tablas de
direccin. Por ejemplo, una computadora conectada al puerto 1 del
conmutador enva una trama a otra computadora conectada al puerto 2;
el switch recibe la trama y la transmite a todos sus puertos, excepto
aquel por donde la recibi; la computadora 2 recibir el mensaje y
eventualmente lo responder, generando trfico en el sentido contrario;
ahora el switch conocer las direcciones MAC de las computadoras en el
puerto 1 y 2; cuando reciba otra trama con direccin de destino de
alguna de ellas, slo transmitir la trama a dicho puerto disminuyendo
as el trfico de la red y contribuyendo al buen funcionamiento de la
misma.

Token Ring
Token Ring es una arquitectura de red desarrollada por IBM en los aos
1970 con topologa fsica en anillo y tcnica de acceso de paso de
testigo, usando un frame de 3 bytes llamado token que viaja alrededor
del anillo. Token Ring se recoge en el estndar IEEE 802.5. En desuso por
la popularizacin de Ethernet; actualmente no es empleada en diseos
de redes.
Caractersticas principales

Utiliza una topologa lgica en anillo, aunque por medio de una unidad
de acceso de estacin mltiple (MSAU), la red puede verse como si fuera
una estrella. Tiene topologia fsica estrella y topologa lgica en anillo.
Utiliza cable especial apantallado, aunque el cableado tambin puede
ser par trenzado.
La longitud total de la red no puede superar los 366 metros.
La distancia entre una computadora y el MAU no puede ser mayor que
100 metros.
A cada MAU se pueden conectar ocho computadoras.
Estas redes alcanzan una velocidad mxima de transmisin que oscila
entre los 4 y los 16 Mbps.
Posteriormente el High Speed Token Ring (HSTR) elev la velocidad a
110 Mbps pero la mayora de redes no la soportan.

FIREWALLS
SO
ZoneAlarm

Licenci Desarrollad
a
or
No
Check Point
Libre

Incluye un sistema de
deteccin de intrusiones
entrantes, al igual que la
habilidad de controlar que
programas pueden crear
conexiones salientes

Windows

Firestarter

Es una herramienta de
cortafuegos personal libre
y de cdigo abierto que
usa el sistema
(iptables/ipchains)
Netfilter incluido en el
ncleo Linux.

GNU/Linu
x

GPL

Privatefire
wall

Es un cortafuegos de
escritorio integrado y un
software multicapa para
la prevencin de las
intrusiones que ofrece
una proteccin da cero,
sin firma contra el
software espa nuevo o
conocido, virus, tcnicas

Windows

Gratuit
o

Ventajas

Cortafuegos robusto y
fiable
Fcil de configurar
Avisos en la barra de
tareas
Modo juego (silencioso)

Los
Interfaz de fcil manejo
desarrollado
(incluso para usuarios
res de
noveles)
Firestarter Integracin en el escritorio
Gnome
Asistentes de configuracin
para facilitar aun ms su
configuracin
Privacyware Personalizable
Perfiles preconfigurados
Potentes herramientas de
deteccin
Creacin de informes

de hacking y otras
intrusiones en servidores
y ordenadores de
escritorio de Windows.