Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LICENCIATURA EN INFORMATICA
CAPITULO VI RESULTADOS
5.1 Resultados…………………………………………………………………………………………………………….……….. pag21
CAPITULO I INTRODUCCION
1.1 Antecedentes
1.2 Objetivo
Ayudar al Sector empresarial al conocimiento de los posibles ataques a sus vías de comunicación informáticas
para que se logre una mayor seguridad en la información que manejan.
1.3Preguntas de Investigación
¿Los dueños de las empresas conocen realmente la importancia de la seguridad en sus redes
informáticas?
1.4Alcances y Limitaciones
Este documento ayudara a las empresas a protegerse de los posibles ataques informáticos mediante el
conocimiento de técnicas y herramientas que aquí se mencionaran.
Las limitaciones serán las nuevas amenazas que van surgiendo día con día, haciendo que con el tiempo
se requiera una actualización de este documento
1.5Enfoque Metodológico
El presente documento utiliza es de carácter descriptivo, para que mediante la teoría dada sobre las
redes, amenazas y herramientas el lector pueda sacar el máximo provecho.
En cuanto a los elementos que la conforman, la red está integrada por un nodo o terminal y un medio
de transmisión. El nodo o terminal es el que inicia o termina la comunicación, como la computadora,
aunque también hay otros dispositivos, como por ejemplo una impresora. Mientras que los medios de
transmisión son los cables o las ondas electromagnéticas (tecnología inalámbrica, enlaces vía satélite,
etc.). También se puede hablar de una subred, que es cuando los nodos están muy distantes y tienen
entre sí nodos intermedios, conformando así entre ellos lo que se denomina subred.
Las redes pueden clasificarse según su tamaño en redes LAN, MAN y WAN. Las redes LAN (por Local
Área Network) son las Redes de Área Local, es decir las redes pequeñas -como las que se utilizan en una
empresa- en donde todas las estaciones están conectadas con el resto. Por otra parte, las redes MAN
(por Metropolitana Área Network), son las Redes de Áreas Metropolitanas, un poco más extensas que
las anteriores ya que permiten la conexión en un nivel más extenso, como una ciudad con una población
pequeña. Y por último, las redes WAN (por Wide Area Network) son las Redes de Área Extensa, aquellas
de grandes dimensiones que conectan países e incluso continentes.
Pensar en una red clásica de pescadores es bastante gráfico para comprender la estructura de la Red. En
ella, se pueden diferenciar a simple vista dos elementos que se repiten: los nudos y los segmentos de
malla que unen los distintos nudos.
Al hablar de Internet estamos hablando también de una red y los elementos que componen esa red son
los nodos y los enlaces. La estructura de Internet no es tan regular como una red de pescadores, si bien
se pretende tener conectividad entre todos los nodos, es decir, lo ideal es tener la posibilidad de
encontrar al menos dos rutas o caminos (path en inglés) entre dos nodos cualesquiera. Uno de ellos será
el nodo origen de los mensajes mientras que el otro será el nodo destino.
Los nodos no son más que ordenadores dedicados a encaminar los paquetes hacia su destino, eligiendo
el enlace más adecuado en cada momento. Estos nodos reciben el nombre de enrutadores (ROUTERS), y
serían algunos de los nudos de la parte interna/central de la red de pesca. Igualmente, nosotros al
conectarnos utilizamos un ordenador, que si bien también es un nodo de la red se le denomina HOST (tu
ordenador).
Los enlaces son las conexiones físicas entre nodos y están formados por un conjunto de circuitos de
datos en forma de hilos telefónicos, fibras ópticas, microondas y demás soportes propios de
Telecomunicaciones. La información, se divide en trozos de un número determinado de caracteres. A
cada trozo de estos, denominado paquete, se le asocia información de enrutamiento, y se envía por un
enlace. Es decir, cuando se establece una conexión internet, tu equipo queda conectado por un enlace a
la red.
Existen una serie de ordenadores que están conectados a la red con el objeto de ofrecer y proporcionar
alguna clase de servicio a todo aquel que se lo pida. Estos ordenadores son también nodos de la red y se
denominan servidores (SERVERS).
Para poder acceder a los recursos que ofrece un servidor se necesita un tipo de programa específico,
denominado programa cliente, que debes ejecutar en tu ordenador y que es el encargado de mantener
el diálogo con el programa servidor. Se dice que estamos en una arquitectura cliente / servidor, en la
que el programa servidor corre en el ordenador que ofrece algún recurso y el programa cliente en el
ordenador de aquél que lo reclama. En el mundo Internet, por ejemplo, tenemos que los famosos
programas navegadores son clientes que piden páginas a diversos servidores que existen en la red.
En función del tráfico que deba circular por un enlace en concreto, o de lo que se pague por él, se
utilizan líneas de mayor capacidad, que hacen que el flujo de información entre dos nodos sea más o
menos rápido.
Una fuente de datos se considera localizada cuando se conoce su dirección Internet, consistente en
cuatro grupos de números (0-255) que identifican de forma única una máquina dentro de todo el
conjunto de redes. Existe un mecanismo que nos oculta las auténticas direcciones, bastante difíciles de
memorizar, por cierto, y las sustituye por nombres mucho más intuitivos. Una dirección propia de
Internet tiene la siguiente forma: “195.76.188.2”, mientras su alias es "nodo50.org". Es lo que se llama
dirección IP. En el apartado de usuarios y dominios de este Nivel Básico de manuales ampliamos
información sobre este importante aspecto.
La naturaleza distribuida de la red tiene un problema asociado: poder saltar o moverse de una fuente de
datos a otra. El refinamiento máximo vino con el protocolo de transferencia de hipertexto HTTP, que
permitió incluir dentro de un documento enlaces que apuntaban a otros documentos relacionados,
pudiendo encontrarse éstos en la misma fuente de datos o en una remota, facilitándose la navegación
intuitiva. El moverse entre fuentes de datos situadas en muy diversos lugares supone la utilización de
diversas rutas o caminos para llegar a ellos y, por tanto, la efectividad depende de:
La intranet es una de las tecnologías más poderosas que pueden utilizarse en una organización,
si se aplica de forma adecuada. Su diseño e implementación, en función de los objetivos
organizacionales, provee a la institución de una herramienta fundamental para la gestión de la
información que tributa a la gestión del conocimiento, y para la comunicación interna, que
permite mejorar y agilizar la dinámica organizacional. Sin embargo, esto sólo es posible cuando
los empleados participan activamente en su mantenimiento y actualización. Se realiza un
acercamiento a esta tecnología, a partir de su definición conceptual y su caracterización en el
contexto de las organizaciones. Se analiza su visión como herramienta para la gestión de la
información y como medio de comunicación.
También se reducen costos, cuando se comparte una impresora de trabajo pesado o un escáner de
imagen sofisticado, por ejemplo, ya sea porque su uso es esporádico o porque no habría presupuesto
para comprar varias de estas máquinas. Igual cosa se podría decir de la línea o servicio de conexión a
Internet, ya que, estando los equipos en red, basta una sola para todos. Y esto se aplica también a los
dos o tres PCs que hoy son comunes en casas y escuelas.
Una red también permite hacer más fácil y rápido la copia de respaldo (back up) de los programas y
archivos del trabajo diario, ya que se puede utilizar para ello un disco duro compartido en otra
computadora de la red, en vez de tener que hacer la copia en CDs o en los lentos y obsoletos disquetes.
Pero una red no resuelve todos los problemas. Cuando se presenta una falla en una computadora en red
que está operando como servidor de archivos (compartiendo carpetas del disco duro) o servidor de
impresora, por ejemplo, afecta simultáneamente a todos los usuarios que dependen de tal recurso.
Además, para mantener la red operando y administrar adecuadamente los permisos y recursos, según
las tareas de cada usuario, se requiere que haya una persona con conocimientos mínimos de redes. Y el
software para operar compartidamente en red debe cumplir ciertos requisitos de seguridad y de tráfico
de operaciones que permitan la función multiusuario y multitarea, lo cual hace que sea más costoso que
los programas monousuario.
Para que una computadora trabaje en red debe tener una tarjeta interfaz que permita la conexión con el
medio de comunicación de la red (cableado o inalámbrico), un sistema operativo que maneje red (Linux,
Unix, Windows, etc.), un protocolo común (reglas para que haya la comunicación) y una topología.
En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o
daño, ya sea de manera personal, grupal o empresarial.
En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las
redes empresariales.
Por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o
hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier
compañía; de acuerdo con expertos en el área, más de 70 por ciento de las Violaciones e intrusiones a
los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos,
metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos
cuya pérdida puede afectar el buen funcionamiento de la organización.
Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la
mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la
planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales
amenazas combinadas.
El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles
de la organización, lo que puede representar un daño con valor de miles o millones de dólares.
Virus de Boot
Uno de los primeros tipos de virus conocido, el virus de boot infecta la partición de inicialización del
sistema operativo. El virus se activa cuando la computadora es encendida y el sistema operativo se
carga.
Time Bomb
Los virus del tipo "bomba de tiempo" son programados para que se activen en determinados
momentos, definido por su creador. Una vez infectado un determinado sistema, el virus solamente se
activará y causará algún tipo de daño el día o el instante previamente definido. Algunos virus se hicieron
famosos, como el "Viernes 13" y el "Michelangelo".
Hijackers
Los hijackers son programas o scripts que "secuestran" navegadores de Internet, principalmente el
Internet Explorer. Cuando eso pasa, el hijacker altera la página inicial del browser e impide al usuario
cambiarla, muestra publicidad en pop-ups o ventanas nuevas, instala barras de herramientas en el
navegador y pueden impedir el acceso a determinadas webs (como webs de software antivirus, por
ejemplo).
Keylogger
El KeyLogger es una de las especies de virus existentes, el significado de los términos en inglés que más
se adapta al contexto sería: Capturador de teclas. Luego que son ejecutados, normalmente los
keyloggers quedan escondidos en el sistema operativo, de manera que la víctima no tiene como saber
que está siendo monitorizada. Actualmente los keyloggers son desarrollados para medios ilícitos, como
por ejemplo robo de contraseñas bancarias. Son utilizados también por usuarios con un poco más de
conocimiento para poder obtener contraseñas personales, como de cuentas de email, MSN, entre otros.
Existen tipos de keyloggers que capturan la pantalla de la víctima, de manera de saber, quien implantó
el keylogger, lo que la persona está haciendo en la computadora.
Zombie
El estado zombie en una computadora ocurre cuando es infectada y está siendo controlada por terceros.
Pueden usarlo para diseminar virus , keyloggers, y procedimientos invasivos en general. Usualmente
esta situación ocurre porque la computadora tiene su Firewall y/o sistema operativo desactualizado.
Según estudios, una computadora que está en internet en esas condiciones tiene casi un 50% de
chances de convertirse en una máquina zombie, pasando a depender de quien la está controlando, casi
siempre con fines criminales.
Virus de Macro
Los virus de macro (o macro virus) vinculan sus acciones a modelos de documentos y a otros archivos de
modo que, cuando una aplicación carga el archivo y ejecuta las instrucciones contenidas en el archivo,
las primeras instrucciones ejecutadas serán las del virus.
Los virus de macro son parecidos a otros virus en varios aspectos: son códigos escritos para que, bajo
ciertas condiciones, este código se "reproduzca", haciendo una copia de él mismo. Como otros virus,
pueden ser desarrollados para causar daños, presentar un mensaje o hacer cualquier cosa que un
programa pueda hacer.
1. Control de acceso inadecuado al router: un ACL del router que se haya configurado erróneamente
puede permitir la filtración de información a través de ICMP , IP NetBIOS, y permitir los accesos no
autorizados a determinados servicios en sus servidores DMZ.
2. Los puntos de acceso remoto no seguros y no vigilados uno de los nodos más sencillos para acceder a
su red corporativa.
4. Los hosts que ejecutan servicios innecesarios tales como: sunpc, FTP, DNS y SMTP dejan caminos
abiertos.
7. Servidores de Internet mal configurados, Scripts CGI en servidores web y FTP anónimos.
8. Los cortafuegos o las ACL de routers mal configurados pueden permitir el acceso a sistemas internos o
una vez que un servidor DMZ quede comprometido.
9. Aplicaciones que no hayan sido corregidas mediante la utilización de parches, que hayan quedado
anticuadas, que sean vulnerables o que se hayan quedado en configuraciones predeterminadas.
10. Excesivos controles de acceso a los archivos y directorios (NT/95 compartidos, exportaciones
mediante NFS en UNIX).
11. Excesivas relaciones de confianza, tales como NT Domain Trusts y archivos UNIX .rhosts y hosts ,
pueden permitir el acceso no autorizado a los atacantes a sistemas sensibles.
14. Falta de políticas de seguridad, procedimientos directrices y unos estándares mínimos básicos
aceptados y publicados.
Ingeniería Social
Consiste en utilizar artilugios, tretas y otras técnicas para el engaño de las personas logrando que
revelen información de interés para el atacante, como ser contraseñas de acceso. Se diferencia del resto
de las amenazas básicamente porque no se aprovecha de debilidades y vulnerabilidades propias de un
componente informático para la obtención de información.
Phishing
Consiste en el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales de
entidades/empresas legítimas con el fin de obtener datos personales y bancarios de los usuarios.
Escaneo de Puertos
Consiste en detectar qué servicios posee activos un equipo, con el objeto de ser utilizados para los fines
del atacante.
Wardialers
Se trata de herramientas de software que utilizan el acceso telefónico de una máquina para encontrar
puntos de conexión telefónicos en otros equipos o redes, con el objeto de lograr acceso o recabar
información.
Exploits
Se trata de programas o técnicas que explotan una vulnerabilidad de un sistema para el logro de los
objetivos del atacante, como ser, intrusión, robo de información, denegación de servicio, etc.
Ataques de Contraseña
Consiste en la prueba metódica de contraseñas para lograr el acceso a un sistema, siempre y cuando la
cuenta no presente un control de intentos fallidos de logueo. Este tipo de ataques puede ser efectuado:
o Por diccionario: existiendo un diccionario de palabras, una herramienta intentará acceder al sistema
probando una a una las palabras incluidas en el diccionario.
o Por fuerza bruta: una herramienta generará combinaciones de letras números y símbolos formando
posibles contraseñas y probando una a una en el login del sistema.
Eavesdropping
El eavesdropping es un proceso por el cual un atacante capta de información (cifrada o no) que no le iba
dirigida. Existen diferentes tipos de técnicas que pueden utilizarse:
Sniffing
Consiste en capturar paquetes de información que circulan por la red con la utilización de una
herramienta para dicho fin, instalada en un equipo conectado a la red; o bien mediante un dispositivo
especial conectado al cable. En redes inalámbricas la captura de paquetes es más simple, pues no
requiere de acceso físico al medio.
Relacionados con este tipo de ataque, pueden distinguirse también las siguientes técnicas:
- AIRsniffing: consiste en capturar paquetes de información que circulan por redes inalámbricas. Para
ello es necesario contar con una placa de red "wireless" configurada en modo promiscuo y una antena.
- War Driving y Netstumbling: estas técnicas se valen del AIRsniffing, ya que consisten en circular
(generalmente en un vehículo) por un vecindario o zona urbana, con el objeto de capturar información
transmitida a través de redes inalámbricas. Esto es posible debido a que generalmente las ondas de
transmisión de información en redes inalámbricas se expanden fuera del área donde se ubican los
usuarios legítimos de la red, pudiendo ser alcanzadas por atacantes. Lo que en ocasiones las hace más
vulnerables es la falta de seguridad con que se encuentran implementadas.
Desbordamiento de CAM
Se trata de inundar la tabla de direcciones de un switch con el objeto de bloquear la capacidad que éste
posee de direccionar cada paquete exclusivamente a su destino. De esta forma el atacante podrá
efectuar sniffing de los paquetes enviados por un switch, cuando en condiciones normales un switch no
es vulnerable a este tipo de ataques.
VLAN hopping
Las VLANs son redes LAN virtuales las cuales se implementan para generar un control de tráfico entre las
mismas, de forma que los equipos conectados a una VLAN no posean acceso a otras. Este tipo de ataque
pretende engañar a un switch (sobre el cual se implementan VLANs) mediante técnicas de Switch
Spoofing logrando conocer los paquetes de información que circulan entre VLANs.
STP manipulation
Este tipo de ataque es utilizado en topologías que cuentan con un árbol de switches que implementan el
protocolo Spanning Tree Protocol para coordinar su comunicación. El equipo atacante buscará
convertirse en la “raíz” de dicho árbol, con el objeto de poder tener acceso a los paquetes de
información que circulan por todos los switches.
Man-in-the-middle
El atacante se interpone entre el origen y el destino en una comunicación pudiendo conocer y/o
modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas. Esto
puede ocurrir en diversos ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en
Internet, dentro de una red LAN, etc..
Defacement
Consiste en la modificación del contenido de un sitio web por parte de un atacante.
Repetición de Transacción
Consiste en capturar la información correspondiente a una transacción efectuada en la red interna o en
Internet, con el objeto de reproducirla posteriormente. Esto cobra real criticidad en transacciones
monetarias.
Backdoors
También denominados “puertas traseras”, consisten en accesos no convencionales a los sistemas, los
cuales pueden permitir efectuar acciones que no son permitidas por vías normales. Generalmente son
instalados por el atacante para lograr un permanente acceso al sistema.
DHCP Starvation
El atacante busca reemplazar al servidor DHCP que se encuentra funcionando en la red, de forma de
asignar a los clientes direcciones IP y otra información (como ser el servidor Gateway) de acuerdo a su
conveniencia. De esta forma podría luego simular ser el Gateway e interceptar la información que los
clientes envíen, con el tipo de ataque Man-in-the-middle.
Trashing
Consiste en la búsqueda de información dentro de la basura. Esto puede representar una amenaza
importante para usuarios que no destruyen la información crítica o confidencial al eliminarla.
Denegación de Servicio
Su objetivo es degradar considerablemente o detener el funcionamiento de un servicio ofrecido por un
sistema o dispositivo de red. Existen diferentes técnicas para la explotación de este tipo de ataques:
Envío de paquetes de información mal conformados de manera de que la aplicación que debe
interpretarlo no puede hacerlo y colapsa.
Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.)
que no permiten que circulen los paquetes de información de usuarios.
Bloqueo de cuentas por excesivos intentos de login fallidos.
Impedimento de logueo del administrador.
Software Ilegal
Consiste en la instalación de software licenciado sin contar con la licencia correspondiente que habilita
su uso, o mediante la falsificación de la misma.
Acciones intencionadas
Negligencia de los usuarios (ej.: derrame de líquidos, golpes, etc.)
Catástrofes naturales (ej.: fallas eléctricas, incendio, inundación, falta de refrigeración, etc.)
Proxy-Gateway:
Este tipo de firewall trabaja a nivel de aplicación o capa 7 del modelo OSI
de manera que puede implementar filtrados específicos aprovechando características del
protocolo de este nivel. La utilización de este servidor intermediario entre el cliente y el
servidor real sigue siendo transparente para el usuario. Como ejemplo, un servidor de
proxy cache permite a un conjunto de computadoras establecer una conexión web
limitando el tráfico HTTP mediante su análisis, restringiendo los accesos según URLs o
contenido que violen las reglas de seguridad. Una buena implementación de un proxy
cache es la utilización de la herramienta open source Squid, disponible en
http://www.squid-cache.org en su versión 3.0 (estable desde diciembre de 2007), o
desde los repositorios oficiales de Ubuntu en su versión 2.6-14. Squid permite añadir
seguridad a nivel de filtrando de tráfico, estableciendo reglas de control de acceso a
partir de los archivos de configuración (generalmente ubicados en
/etc./squid/squid.conf). Squid se puede combinar con la aplicación SquidGuard45 para
facilitar el manejo de prohibición de acceso a páginas mediante el uso de listas negras46
simplemente modificando una línea en el archivo de configuración de Squid.
Screened Host
Para escalar un nivel más en términos de seguridad, se presenta la
arquitectura de screened host, donde son combinadas dos de las alternativas anteriores
(Screening Router y Dual Homed Host) donde en una primera instancia se filtran
paquetes mediante el router y en la segunda línea de defensa se sitúa el host bastion con
un reducido número de servicios publicados hacia el exterior. Entonces, el router se
encuentra configurado para dirigir todo el tráfico de la red externa al host bastión (lo
único que se puede acceder desde el exterior, y este mismo dirige todo el tráfico de la
red interna hacia el router
Screened Subnet
La arquitectura de Screened Subnet, o más conocida como De-militarized
Zone, zona desmilitarizada o simplemente DMZ, es actualmente la más utilizada en Firewall
implementada ya que incrementa el nivel de seguridad agregando una subred intermedia
entre las redes externa e interna, donde se ubican los servidores y servicios públicos
(como http, ftp, correo, etc.) y se evita tener un único punto débil como en el caso del
host bastion. Para este caso es necesario aumentar la complejidad de la configuración
anterior ubicando dos router (uno en cada lado de los servidores públicos). El router
conectado al exterior (generalmente internet) es el encargado de bloquear el tráfico no
deseado entre la red perimetral y la DMZ, mientras que el router interior tiene el mismo
objetivo pero entre la DMZ y la red interna. De esta forma, el atacante debe romper la
seguridad de ambos routers para acceder a la red privada. También se puede aumentar
los niveles de seguridad (a un modo paranoico) donde se definen varias redes
perimétricas en serie desde los servicios que requieren menos fiabilidad y hacia la red
interna [BUILDFW].
Historia
A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa técnico TERENA
se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994,
esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas) como
primer centro español dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos
telemáticos.
4.4 Recomendaciones
CAPITULO V RESULTADOS
5.1 Resultados
Después de la siguiente investigación se conoce que lo más importante para una organización es su
información, es por ende que es donde más se tiene que invertir dinero y esfuerzo para reforzar la
seguridad de la misma y así lograr una mayor confianza y seguridad de que la seguridad informática de
la empresa marcha bien.
Bibliografía
http://www.nodo50.org/manuales/internet/2.htm
http://www.bvs.sld.cu/revistas/aci/vol16_4_07/aci041007.html
http://www.repararpc.info/2009/08/ventajas-y-desventajas-de-una-red.html
http://www.cuentame.inegi.gob.mx/museo/cerquita/redes/seguridad/intro.htm
http://seguridad.internautas.org/html/29.html
http://www.arcert.gov.ar/politica/versionimpresa.html
http://www.scribd.com/doc/7103092/Seguridad-Informatica-Tecnicas-de-defensa-comunes-bajo-
variantes-del-sistema-operativo-Unix
http://escert.upc.edu/
http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf