Está en la página 1de 24

INSTITUTO TECNOLGICO DE CUAUTLA

Ingeniera en Sistemas Computacionales

8 Semestre Grupo 1

Seguridad Multiplataformas

Lic. Sedeo Camacho Froylan

Unidad 3 Seguridad en redes

Reyes Czares Luis Rodrigo

Fecha de entrega: 08/05/2017

Unidad 3: Seguridad en redes

3.1 Vulnerabilidad en TCP/IP


El Modelo TCP/IP es una descripcin de protocolos de red desarrollado por Vinton Cerf y Robert E. Kahn,

en la dcada de 1970. Fue implantado en la red ARPANET, la primera red de rea amplia (WAN),

desarrollada por encargo de DARPA, una agencia del Departamento de Defensa de los Estados Unidos, y

predecesora de Internet. A veces se denomina como ', modelo DoD o modelo DARPA.

Las capas estn jerarquizadas. Cada capa se construye sobre su predecesora. El nmero de capas y, en

cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier

red, la misin de cada capa es proveer servicios a las capas superiores hacindoles transparentes el modo

en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su

nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien

devuelve resultados.1

1.- Capa de acceso al medio

La capa de enlace de datos proporciona un medio para intercambiar datos a travs de medios locales

comunes.

La capa de enlace de datos realiza dos servicios bsicos:

Permite a las capas superiores acceder a los medios usando tcnicas, como tramas.

Controla cmo los datos se ubican en los medios y son recibidos desde los medios usando tcnicas

como control de acceso a los medios y deteccin de errores.

1Modelo TCP/IP. (s.f). En wikipedia. Recuperado el 7 de mayo del 2017 de

https://es.wikipedia.org/wiki/Modelo_TCP/IP
Dentro de la capa de enlace de datos manejamos los siguientes conceptos:

Trama: el PDU de la capa de enlace de datos.

Nodo: la notacin de la Capa 2 para dispositivos de red conectados a un medio comn.

Medios/medio (fsico): los medios fsicos para la transferencia de informacin entre dos nodos.Red

(fsica): dos o ms nodos conectados a un medio comn.

La capa de enlace de datos es responsable del intercambio de tramas entre nodos a travs de los medios

de una red fsica.2

Al igual que con la Capa Fsica, las vulnerabilidades de esta capa estn ligadas al medio sobre el que se

realiza la conexin y/o transmisin de datos.

2 Capa de enlace de datos: Control de acceos al medio. (2012). Recuperado el 7 de Mayo del 2017 de
http://solucionesinformatica.wordpress.com/2012/09/21/capa-enlace-de-datos-control-de-acceso-al-medio
Este nivel comprende la conexin con el nodo inmediatamente adyacente, lo cual en una red punto a punto

es sumamente claro, pero en una red LAN, es difcil de interpretar cual es el nodo adyacente. Por esta razn

como mencionamos en la teora IEEE los separa en 2 subniveles: LLC y MAC (LLC: Logical Link Control,

MAC: Medium Access Control), en realidad como una de las caractersticas de una LAN es el empleo de un

nico canal por todos los Host, el nodo adyacente son todos los Host.

La importancia de este nivel, es que es el ltimo que encapsula todos los anteriores, por lo tanto si se

escucha y se sabe desencapsular se tiene acceso a absolutamente toda la informacin que circula en una

red. Bajo este concepto se trata del que revista mayor importancia para el anlisis de una red.

Qu debemos auditar:

Control de direcciones de Hardware: El objetivo de mxima en este nivel (Pocas veces realizado) es

poseer el control de la totalidad de las direcciones de Hardware de la red. Esto implica poseer la lista

completa del direccionamiento MAC o tambin llamado NIC (Network Interface Card), es decir de las

tarjetas de red.

Auditora de configuracin de Bridge o Switch: Estos son los dispositivos que operan a nivel 2 (En

realidad el concepto puro de Switch es el de un Bridge multipuerto), su trabajo consta de ir aprendiendo por

qu puerto se hace presente cada direccin MAC, y a medida que va aprendiendo, conmuta el trfico por la

puerta adecuada, segmentando la red en distintos Dominios de colisin. La totalidad de estos dispositivos

es administrable en forma remota o por consola, las medidas que se pueden tomar en su configuracin

son variadas y de suma importancia en el trfico de una red.

Anlisis de trfico: En este nivel la transmisin puede ser Unicast (de uno a uno), Multicast (de uno a

muchos) o Broadcast (de uno a todos). La performance (rendimiento) de una red se ve seriamente resentida

con la presencia de Broadcast, de hecho esta es una de las medidas de mayor inters para optimizar redes

y tambin es motivo de un conocido ataque a la disponibilidad llamado Bombardeo de Broadcast. Otro tipo

de medidas es el anlisis de los multicast, pues son estos los mensajes que intercambian los Router, y es

de sumo provecho para un interesado en una red ajena ser partcipe de estos grupos, pues en

ellos encontrar servida toda la informacin de ruteo de la red.

Anlisis de colisiones: Una colisin se produce cuando un host transmite y otro en un intervalo de tiempo

menor a 512 microsegundos (que es el tamao mnimo de una trama Ethernet) si se encuentra a una

distancia tal que la seal del primero no lleg, se le ocurre transmitir tambin. Ante este hecho, los
dos host hacen silencio y esperan una cantidad aleatoria de tiempos de ranura (512 microsegundos), e

intentan transmitir nuevamente. Si se tiene acceso fsico a la red, un ataque de negacin de servicio, es

justamente generar colisiones, pues obliga a hacer silencio a todos los Host de ese segmento.

Deteccin de Sniffers o analizadores de protocolos: Esta es una de las tareas ms difciles pues estos

elementos solamente escuchan, solo se hacen presentes cuando emplean agentes remotos que colectan

informacin de un determinado segmento o subred, y en intervalos de sondeo, la transmiten al colector de

datos.

Los principales usos que se le pueden dar son:

Captura automtica de contraseas enviadas en claro y nombres de usuario de la red. Esta capacidad

es utilizada en muchas ocasiones por crackers para atacar sistemas a posteriori.

Conversin del trfico de red en un formato inteligible por los humanos.

Anlisis de fallos para descubrir problemas en la red, tales como: por qu el ordenador A no puede

establecer una comunicacin con el ordenador B?

Medicin del trfico, mediante el cual es posible descubrir cuellos de botella en algn lugar de la red.

Deteccin de intrusos, con el fin de descubrir crackers. Aunque para ello existen programas especficos

llamados IDS (Intrusion Detection System, Sistema de Deteccin de intrusos), estos son prcticamente

analizadores con funcionalidades especficas.

Creacin de registros de red, de modo que los crackers no puedan detectar que estn siendo

investigados.

Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la informacin real que

se transmite por la red.

Evaluacin de puntos de acceso WiFi: Esta tecnologa slo es segura si se configura adecuadamente,

por lo tanto en este aspecto es de especial inters verificar qu tipo de protocolos de autenticacin se han

configurado, los permisos de acceso a estos dispositivos, su potencia de emisin, la emisin de beacons,

etc.

Evaluacin de dispositivos bluetooth: Aunque no es un tema an explotado de forma frecuente, no

debemos dejar de lado la existencia de este tipo de dispositivos y sobre todo que en muchas aplicaciones y

hardware viene activado por defecto, con lo que estando a una distancia adecuada, es posible su

explotacin.
2.- Capa de internet

El propsito de la capa de Internet es enviar paquetes origen desde cualquier red en la red yque estos

paquetes lleguen a su destino independientemente de la ruta y de las redes querecorrieron para llegar hasta

all. El protocolo especfico que rige esta capa se denominaProtocolo Internet (IP). En esta capa se produce

la determinacin de la mejor ruta y laconmutacin de paquetes. Esto se puede comparar con el sistema

postal. Cuando enviamosuna carta por correo, no sabemos cmo llega a destino (existen varias rutas

posibles); lo quenos interesa es que la carta llegue.Esta capa tiene como proposito seleccionar la mejor

ruta para enviar paquetes por la red. El protocolo mas importante de esta capa y piedra base detoda la

Internet es el

IP. Este protocolo proporciona los servicios bsicos de transmisin de paquetes sobre los cuales se

construyen todas las redes TCP/IP.3

En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques

contra esta capa las tcnicas de snifng, la suplantacin de mensajes, la modicacin de datos, los retrasos

de mensajes y la denegacin de mensajes.

Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La suplantacin de

un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el

suplantado. En esta capa, la autenticacin de los paquetes se realiza a nivel de mquina (por direccin IP) y

no a nivel de usuario. Si un sistema suministra una direccin de mquina errnea, el receptor no detectar

la suplantacin. Para conseguir su objetivo, este tipo de ataques suele utilizar otras tcnicas, como la

prediccin de nmeros de secuencia TCP, el envenenamiento de tablas cach, etc. Por otro lado, los

3 Mancilla, C. (2010). Capa de internet del modelo TCP/IP. Recuperado el 7 de Mayo del 2017 de
https://es.scribd.com/doc/43425408/Capa-de-Internet-Del-Modelo-TCP
paquetes se pueden manipular si se modican sus datos y se reconstruyen de forma adecuada los controles

de las cabeceras. Si esto es posible, el receptor ser incapaz de detectar el cambio.

El centro de atencin de la auditora en este nivel, deber estar puestos en los mensajes de ruta y

direcciones:

Auditoras en Router: (Este es el dispositivo por excelencia en este nivel)

Control de contraseas: Los router permiten la configuracin de distintos tipos de contraseas,

para acceder al modo usuario es la primera que solicita si se accede va Telnet, luego tambin

para el ingreso a modo privilegiado, tambin se permite el acceso a una contrasea cifrada, la de

acceso va consola y por ltimo por medio de interfaz grfica por http.

Configuracin del router: Dentro de este aspecto se contemplan los detalles de

configuracin que muchas veces en forma innecesaria quedan habilitados y no se emplean

(Broadcast Subnetting, local loop, puertos, rutas, etc.)

Resguardo de las configuraciones: Un detalle de suma importancia es guardar la

startupconfig en forma consistente con la running-config, y esta a su vez en un servidor t_ftp, como

as tambin en forma impresa.

Protocolos de ruteo: El empleo de los protocolos de ruteo es crtico pues la mayor flexibilidad

est dada por el uso de los dinmicos (RIP, IGRP, EIGRP, OSPF), pero se debe tener en cuenta

que con esta medida se facilita informacin para ser aprovechada por intrusos, los cuales a su vez

pueden emplearla para hacerse partcipe de las tablas de ruteo (En especial con RIP pues no se

puede verificar el origen de los costos de las rutas, en OSPF, es ms fcil pues se enva una tabla

completa que pertenece a un router especfico y a su vez a este se lo puede verificar con dos

niveles de contrasea: normal y Message Digest). Las tablas de ruteo estticas, por el contrario,

incrementan sensiblemente las medidas de seguridad, pues toda ruta que no est contemplada,

no podr ser alcanzada.

Listas de control de acceso: Son la medida primaria de acceso a una red

Listas de acceso extendidas: Amplan las funciones de las anteriores, generalmente

con parmetros de nivel de transporte

Archivos .Log: Permiten generar las alarmas necesarias.

Seguridad en el acceso por consola: Se debe prestar especial atencin pues por defecto

viene habilitada sin restricciones, y si se tiene acceso fsico al router, se obtiene el control total
del mismo. Siempre hay que tener presente que un usuario experto, si tiene acceso fsico

puede iniciar la secuencia de recuperacin de contrasea e iniciar el router con una

contrasea nueva.

Auditoras de trfico ICMP:

Mejor ruta: Este se trata del Tipo Nro 5 de mensaje ICMP, y su mal empleo permite triangular la

ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la informacin

deseada.

Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con

una solicitud y respuesta de eco (Tipo 0 y 8, conocido como ping). Un conocido ataque es enviarlo

con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe como

tratarlo y se bloquea. Cabe aclarar que hoy la masa de los sistemas ya no lo permiten. Tambin se

puede negar el servicio, por medio de una inundacin de estos.

Destino no alcanzable: Es el tipo 3 de ICMP, lo importante pasa por los cdigos en que

se subdivide, pues por medio de estos, se obtiene informacin que es de sumo inters. Al recibir

respuestas de destino no alcanzable, desde ya no es lo mismo esta situacin si se trata de

prohibicin de acceso, de puertos negados, de Servidores que administrativamente niegan acceso

a sus aplicaciones, etc.

Auditora ARP: El ataque ARP es uno de los ms difciles de detectar pues se refiere a una asociacin

incorrecta de direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la

red y comparar permanentemente las mismas con un patrn de referencia vlido. Existen programas

que realizan esta tarea, como Arpwatch, siendo de los ms conocidos.

Auditora de direccionamiento IP: Existen dos formas de asignacin de direcciones IP (antiguamente

exista tambin una asignacin automtica que hoy prcticamente no se emplea ms):

Esttico: Se implementa en cada host manualmente, y se hace presente en la red siempre con la

misma direccin IP.

Dinmico: Se asigna a travs del empleo del protocolo DHCP dentro del rango que se desee. Se

debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar varios

parmetros, uno de ellos tambin es la mscara de subred.


3.- Capa de transporte

La capa de transporte se encarga de la calidad de servicio, garantizando, cuando la aplicacin lo requiera,

confiabilidad, control de flujo, segmentacin y control de errores en la comunicacin. Se basa en dos

protocolos, TCP (orientado a la conexin) y UDP (no orientado a la conexin). La capa de transporte

transmite informacin TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de

autenticacin, de integridad y de condencialidad. Algunos de los ataques ms conocidos en esta capa son

las denegaciones de servicio debidas a protocolos de transporte.

En cuanto a los mecanismos de seguridad incorporados en el diseo del protocolo de TCP (como las

negociaciones involucradas en el establecimiento de una sesin TCP), existe una serie de ataques que

aprovechan ciertas deciencias en su diseo. Una de las vulnerabilidades ms graves contra estos

mecanismos de control puede comportar la posibilidad de interceptacin de sesiones TCP establecidas, con

el objetivo de secuestrarlas y dirigirlas a otros equipos con nes deshonestos. Estos ataques de secuestro

se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticacin de

los equipos involucrados en una sesin. As, si un usuario hostil puede observar los intercambios de

informacin utilizados durante el inicio de la sesin y es capaz de interceptar con xito una conexin en

marcha con todos los parmetros de autenticacin congurados adecuadamente, podr secuestrar la

sesin.

En este nivel dentro de la pila TCP/IP existen dos posibilidades, operar en modo orientado a la conexin

para lo cual se emplea TCP o sin conexin cuyo protocolo es UDP, el responsable de decidir a qu protocolo

le entregar su mensaje es el que se emplee en el nivel superior, para lo cual existe el concepto de Puerto

que es el SAP (Service Acces Point) entre el nivel de transporte y el de aplicacin. En este nivel los dos

elementos importantes a auditar son el establecimiento de sesiones y los puertos, los cuales se

pueden determinar con las siguientes actividades:

Auditoras de establecimientos y cierres de sesin:

Ataques LAND.

Inundacin de SYN.

Auditoras en UDP: Este protocolo por no ser orientado a la conexin, no implementa ninguno de los

bit de TCP, por lo tanto, es sumamente difcil regular su ingreso o egreso seguro en una red. Mientras

que un Proxy, solo puede regular las sesiones TCP, una de las grandes diferencias con un Firewall es
que el ltimo puede Recordar las asociaciones entre los segmentos UDP y el datagrama

correspondiente, de manera tal de poder filtrar toda asociacin inconsistente. Este tipo de Firewall son

los que permiten el filtrado dinmico de paquetes. Como medida precautoria cierre todos los puertos

UDP que no necesite.

Auditora en Puertos UDP y TCP: Dentro del encabezado de TCP o UDP se encuentran los campos

Puerto Origen y Puerto Destino, los cuales son uno de los detalles ms importantes a auditar dentro de

una red pues a travs de ellos, se puede ingresar a un Host y operar dentro de este. Por lo tanto se

deber considerar las medidas a adoptar acorde a los puertos detallados en el captulo del nivel de

transporte referido en lo referente al anlisis de puertos.

Auditora de puertos de Ataque Back Oriffice 2K y Netbus: Se deber prestar especial atencin a

este tipo de ataques. La metodologa de operacin de estas herramientas implica inexorablemente la

infeccin de la mquina destino y luego desde esta misma iniciar las conexiones hacia el exterior, por lo

tanto en una red bien asegurada es muy sencillo de identificar.

Auditora de Troyanos: Se deber prestar especial atencin a este tipo de actividades, lo cual como

se acaba de mencionar en el punto anterior, implica procesos muy similares.

4.- Capa de aplicacin

Una vez superado el nivel cuatro (transporte), todas las funciones y/o servicios se orientan de cara al

usuario. Es decir, a partir de este nivel es poco probable que encontremos aspectos relacionados a la red,

en cambio entraremos a lo que en el modelo TCP/IP engloba como Aplicacin, que recordamos que aqu

es donde existe la mayor diferencia con el modelo OSI que lo trata como tres capas diferentes (5: Sesin, 6:

Presentacin, 7: Aplicacin).4

4 Leonardochaparropersonal. (23/11/2014). Vulnerabilidades ms comunes de las distintas capas del

modelo TCP/IP. [Entrada de blog]. Recuperado de

https://seguridadenredesleonardochaparro.wordpress.com/2014/11/23/vulnerabilidades-mas-comunes-

de-las-distintas-capas-del-modelo-tcpip/
3.2 Internet/Intranet/Extranet

Internet

La seguridad en internet es una rama de la seguridad informtica especficamente relacionada con Internet,

a menudo incluyendo la seguridad de los navegadores pero adems la seguridad de redes en un nivel ms

general, ya que se aplica a otras aplicaciones o sistemas operativos como un conjunto. Su objetivo es

establecer reglas y medidas que usar contra ataques en Internet. Internet representa un canal inseguro de

intercambio de informacin incluyendo un alto riesgo de intrusin o fraude, al igual que de phishing. Se han

estado utilizando diferentes mtodos para proteger la transferencia de datos, incluyendo cifrado.

Peligros

Malicious Software

Un usuario puede ser engaado o forzado a descargar programas en su ordenador con intenciones dainas.

Dichos software pueden aparecer de distintas formas, tal como virus, troyanos, spyware o gusanos.

Malware, abreviacin de software malicioso, es cualquier programa utilizado para cambiar o daar la

forma en la que opera el ordenador, conseguir informacin u obtener acceso a sistemas privados del

ordenador. El malware est definido por su intencin maliciosa, actuando contra las intenciones del

usuario, y no incluye software que cause dao inintencionado debido a alguna deficiencia. El trmino

badware se utiliza a veces, y se aplica a ambos casos, tanto al malware malintencionado como al

software que causa un dao sin ser sta su intencin

Un botnet es una red de ordenadores zombie que han sido tomados por un robot o bot que lleva a

cabo ataques a gran escala para el creador del botnet.

Los virus informticos son programas que pueden replicar sus estructuras o efectos infectando otros

archivos o estructuras en un ordenador. El uso ms frecuente de un virus es controlar un ordenador

para robar informacin.


Los gusanos informticos son programas que pueden replicarse a travs de una red de ordenadores,

llevando a cabo tareas maliciosas.

Un ransomware es un tipo de malware que restringe el acceso al sistema del ordenador que infecta y

demanda al usuario el pago de un rescate al creador del malware para que se elimine dicha restriccin.

El scareware es un software de estafa, normalmente con un beneficio limitado o inexistente, que se

vende a los consumidores a travs de estrategias de marketing poco ticas. Se utiliza el shock, la

ansiedad o el miedo que produce a los usuarios para lograr su objetivo.

Los spyware son programas espa que monitorizan la actividad de un ordenador y envan la

informacin obtenida a otras personas sin el consentimiento del usuario.

Un troyano es, en trminos generales, un software que se hace pasar por un programa inofensivo para

que el usuario lo descargue en su ordenador.

Ataques de denegacin de servicios

Un ataque de denegacin de servicio tambin llamado ataque DoS (siglas en ingls de Denial of Service) o

DDoS (de Distributed Denial of Service), es un intento para hacer que uno de los recursos de un ordenador

quede inutilizado para su usuario. A pesar de que los motivos, las formas de llevarlo a cabo o las vctimas de

un ataque DoS pueden variar, generalmente consiste en hacer que una pgina de Internet o un servicio

web concreto deje de funcionar correctamente de forma temporal o indefinida.

Phishing

El phising ocurre cuando el atacante se hace pasar por una entidad segura, ya sea va email o a travs de

una pgina web. Las vctimas son guiadas hacia webs falsas que aseguran ser totalmente legtimas a travs

de email, mensajera instantnea y otros medios. A menudo se utilizan tcticas como el email spoofing para

que los correos parezcan de remitentes legtimos, o largos y complejos subdominios que esconden al

verdadero propietario de la pgina.

Vulnerabilidades de aplicaciones

Algunas aplicaciones utilizadas para acceder a recursos de internet pueden tener vulnerabilidades de

seguridad como pueden ser memory safety bugs o pruebas de autentificacin dainas. El ms peligroso de
estos errores puede dar a los atacantes de la red control total sobre el ordenador. La mayor parte de las

aplicaciones de seguridad son incapaces de defenderse adecuadamente a este tipo de ataques.

Remedios

Network layer security

Los protocolos TCP/IP se pueden asegurar con mtodos de encriptacin y protocolos de seguridad. Estos

protocolos incluyen Secure Sockets Layer (SSL), seguido por Transport Layer Security (TLS) para trfico

web, Pretty Good Privacy (PGP) para email, e IPsec para la seguridad de la red.

Token de seguridad

Algunos sitios online ofrecen a los clientes la opcin de usar un cdigo de seis dgitos que cambia de forma

aleatoria cada 30-60 segundos en un token de seguridad. Las claves en el security token tienen

computaciones construidas matemticamente y manipulan nmeros basados en la hora actual reflejada en

el dispositivo. Esto quiere decir que a cada treinta segundos hay solamente una serie de nmeros posibles

que deben ser introducidos correctamente para validar el acceso a la cuenta online. La pgina en la que el

usuario est entrando sabra el nmero de serie de ese dispositivo y conocera la computacin y hora

correcta reflejada en el dispositivo para verificar que el nmero introducido es uno de los nmeros de seis

dgitos que funciona en ese periodo de 30-60 segundos concreto. Despus de ese tiempo el aparato

presentar unos seis dgitos aleatorios nuevos que pueden ser utilizados para entrar en la pgina.
Seguridad de correo electrnico

Los correos electrnicos se componen, envan, y guardan en un proceso de varios pasos que comienza con

la composicin del mensaje. Cuando el usuario termina de redactar el correo y lo enva, el mensaje es

transformado a un formato estndar: un mensaje RFC 2822. Despus el mensaje puede ser transmitido.

Usando una conexin a internet, el cliente de correo electrnico, referido como Mail User Agent (MUA), se

conecta a un agente de transferencia de correo (MTA) que opera en el servidor de correo. El cliente de

correo correo proporciona la identidad del remitente al servidor. A continuacin, usando los comandos del

servidor de correo, el remitente enva la lista de receptores al servidor. En ese momento el cliente suministra

el mensaje. Una vez que el servidor recibe y procesa el correo, ocurren varias cosas: se identifica el servidor

del receptor, se establece la conexin y se transfiere el mensaje. Usando servicios de Domain Name

System (DNS), el servidor de correo del remitente determina el servidor para el/los receptor(es). Entonces el

servidor abre una conexin con el servidor de correo del destinatario y enva el mensaje empleando un

proceso similar al usado por el cliente del remitente, entregando el mensaje al receptor. 5

Intranet

Intranet es una red privada de informacin que cuenta con grupos limitados y bien definidos de usuarios,

pero no por ello est exenta de ataques que puedan poner en peligro y riesgo la informacin que all se

maneja, ya que por lo general los ataques y fraudes que se cometen en ella provienen en la mayora de los

casos de los usuarios internos. Una conexin a Internet puede crear peligros para el usuario informtico que

no sea consciente de ellos. Si utiliza un servidor de seguridad, puede reducir el riesgo. Un servidor de

seguridad es el primer paso hacia una exploracin en lnea ms segura. Puede reforzar la seguridad de su

equipo si mantiene el software actualizado y mantiene una suscripcin actualizada a un programa antivirus.

5 Seguridad en internet. (s.f.). En Wikipedia. Recuperado el 6 de Mayo del 2017 de

https://es.wikipedia.org/wiki/Seguridad_en_Internet
Para tratar de minimizar estos hechos las empresas deben establecer polticas de seguridad que describan

la forma adecuada del uso del sistema, las responsabilidades y los derechos de los usuarios y de los

administradores. Estas polticas incluyen una combinacin de hardware y software que proporcionan el

control del trfico; la encriptacin y las contraseas para convalidar usuarios; y las herramientas del

software para evitar y curar de virus, bloquear sitios indeseables y controlar el trfico. 6

Firewall

Para establecer una barrera de seguridad se crearon los firewall que es una combinacin de hardware y

software que controla el tipo de servicios permitidos hacia o desde la Intranet. Los beneficios de la firewall

son: Provee la mejor seguridad para los recursos corporativos, fcil administracin de seguridad de la red y

provee superior rendimiento, confiabilidad y escalabilidad para misiones crticas.

Servidores Sustitutos

Los servidores sustitutos son otra herramienta comn utilizada para construir un firewall. Un servidor

sustituto permite a los administradores de sistemas seguir la pista de todo el trfico que entra y sale de una

Intranet.

Otro factor clave en el diseo de la seguridad de una Intranet son los sistemas de autentificacin o de

gestin de identidades que se emplean para asegurar que cualquier persona que quiera acceder a un

recurso sea realmente la persona que dice ser. Los sistemas de autentificacin normalmente utilizan

nombres de usuario, contraseas y sistemas de encriptacin.

Sistemas de Encriptacin

Lo que hace la encriptacin es consiste en enredar un mensaje con una frmula matemtica

irremediablemente complicada, volvindolo ilegible a cualquiera, salvo t y las personas que tengan la clave

secreta para decodificar el mensaje.

6 Seguridad dela intranet. (2006). Recuperado el 6 de Mayo del 2017 de


http://www.geocities.ws/yennyqm/hwct/ii/Seguridad.html
La Encriptacin tiene dos elementos: Un mensaje, y una clave privada de acceso entre el emisor y el

receptor, con la cual se puede descifrar el mensaje.

Los sistemas de contraseas en un sistema e autentificacin eficaz, debe ser una de las polticas ms

importantes, ya que por lo general estos password constituyen la primera y tal vez nica manera de

autentificacin y, por tanto, la nica lnea de defensa contra ataques. Las contraseas deben cambiar

frecuentemente, que no sean adivinadas fcilmente y tienen que ser elaboradas por personas autorizadas

Router

Es otra manera de asegurarse de que las personas impropias o los datos errneos accedan a la Intranet ya

que filtra la informacin. Este es un tipo especial de router que examina la direccin IP y la informacin de

cabecera de cada paquete que entra en la Intranet y slo permite el acceso a aquellos paquetes que tengan

direcciones u otros datos, como e-mail, que el administrador del sistema ha decidido previamente que

pueden acceder a la Intranet.

Proxy Server

Es un servidor intermediario entre las computadoras de la red local e Internet, con esto la empresa se

garantiza seguridad, control administrativo y servicio de cach.

Un proxy server es un gateway que separa la red de la empresa de la red externa (Internet).

Tambin es un firewall que protegela red interna de intrusos externos (hackers).

Adems de esto pueder ser un servidor de cach que hace que los accesos a Internet sean ms

rpidos y que el canal de acceso a Internet se libere de forma significativa.

Anfitrin bastin

Llamado tambin servidor bastn es una de las defensas principales en el firewall de una Intranet. Es un

servidor fuertemente fortificado que se coloca dentro del firewall, y es el punto de contacto principal de la

Intranet e Internet. Al tener como punto de contacto principal un servidor aislado, duramente defendido, el

resto de los recursos de la Intranet pueden proteger de los ataques que se inician en Internet
Virus en la intranet

Los virus son el mayor riesgo en la seguridad de las Intranets. Pueden daar datos, ocupar y consumir

recursos, e interrumpir operaciones. Los archivos de programas eran la principal fuente de problemas en el

pasado, pero los nuevos virus de "macro" se pueden esconder en archivos de datos e iniciarse, por ejemplo,

cuando se ejecutan una macro en un programa de procesamiento de texto. El software para examinar virus

basado en el servidor y el basado en el cliente poseen dispositivos que ayudan a proteger a la Intranet.

Un virus se esconde dentro de un programa. Hasta que ejecutes el programa infectado, el virus permanece

inactivo, entonces el virus entra en accin. Algunas veces, lo primero que se har infectar otros programas

del disco duro copindose de ellos

La extranet

La seguridad en el diseo de la extranet es fundamental para asegurar que los datos confidenciales sigan

siendo confidenciales pese a viajar por la red. Que slo las personas autorizadas tengan acceso a la

informacin que se comunican las distintas empresas participantes en la extranet.

Las Extranet tienen una complejidad adicional, dado que no slo estn mediando entre el mundo interno de

una organizacin y el mundo externo de Internet, sino que tambin estn mediando entre las culturas de

diversas entidades de negocios.

La seguridad es responsabilidad de todas las empresas en conjunto que estn en los terminales de los

tneles que enlaza a los usuarios que acceden a la red.

La extranet al comprender usuarios locales y remotos distribuidos por todo el mundo y en diversas

empresas, se complica las medidas de seguridad. Hoy da, un gran nmero de empresas utiliza plataformas

heterogneas, lo que dificulta el despliegue de las aplicaciones y la informacin para todos los usuarios. 7

7 Domnguez Cabrero, M. (2015). Intranet y Extranet. Recuperado el 6 de Mayo del 2017 de


https://bautil91.wordpress.com/2015/04/23/30/
Seguridad de punto terminal compartida

Con la Extranet, la seguridad es responsabilidad de todas las empresas en conjunto que estn en los

terminales de los tneles que enlaza a un grupo de intranets o de usuarios que acceden a la red. La

recomendacin ms importante consiste en que los routers de los extremos sean ms seguros.

Un punto de vital importancia al hablar de seguridad es el acceso controlado estrictamente a la Extranet,

adoptando estndares entre los socios. Los ruteadores de Extranets donde se combina encriptacin,

autentificacin,y la seguridad de firewall basado en estandares. Como cada socio tiene una direccin IP, el

firewall se debe programar de modo que solo acepte paquetes de mensajes de esas direcciones

especficas. Utilizar un plan de ingeniera de rastreo de aplicaciones, instalndolo en el firewall y

agregndole un servidor. Teniendo de esa manera un sistema de rastreo y control de acceso personalizado.

Si se trata de informacin muy delicada se debe optar por un dispositivo en forma de tarjeta de crdito de

seis dgitos que cambia cada dos minutos. Cuando el usuario inicia una sesin debe utilizar la contrasea

que aparezca en ese momento. Los ruteadores que se elijan deben tener un software de seguridad, tnel y

encriptacin, que acaten los estndares, ya que deben interoperar con interfaces de usuario y software de

microcomputadores dispares utilizados para el acceso a las Extranets. 8

3.3 Traduccin de direcciones de red (NAT)

El proceso de la traduccin de direcciones de red (NAT, por sus siglas en ingls) se desarroll en respuesta

a la falta de direcciones de IP con el protocolo IPv4 (el protocolo IPv6 propondr una solucin a este

problema).

En efecto: en la asignacin de direcciones IPv4, no hay suficientes direcciones IP enrutables (es decir,

nicas en el mundo) para permitir que todas las mquinas que necesiten conectarse a internet puedan

hacerlo.

El concepto de NAT consiste en utilizar una direccin IP enrutable (o un nmero limitado de direcciones IP)

para conectar todas las mquinas a travs de la traduccin, en la pasarela de internet, entre la direccin

interna (no enrutable) de la mquina que se desea conectar y la direccin IP de la pasarela. 9

8 Seguridad Extranets. (2010). Recuperado el 6 de Mayo del 2017 de


https://marubarrenechea.files.wordpress.com/2010/05/seguridad-extranets.pdf

9 Francois, J. (2008). NAT - Traduccin de direcciones. Recuperado el 7 de Mayo del 2017 de


Razones para la traduccin de direccin

Una de las razones ms conocidas para utilizar la tecnologa NAT es la escasez de direcciones IP. Si por

alguna razn una compaa que necesita conectarse a Internet no puede recibir el nmero requerido de

direcciones IP globales del proveedor, puede emplear la tecnologa NAT. En este caso, se usan direcciones

reservadas (privadas) para direccionar los hosts internos.

Para habilitar los hosts con direcciones privadas con el fin de comunicarse utilizando Internet o para

conectar a los hosts que tienen direcciones globales, es necesario emplear la tecnologa NAT. La tecnologa

NAT prueba su utilidad cuando una compaa necesita ocultar las direcciones de los hosts dentro de sus

redes internas por consideraciones de seguridad. Esto evita que los intrusos aprendan la estructura y escala

de la red, adems de la intensidad del trfico entrante y saliente.

NAT tradicional

La tecnologa NAT tiene diversas variantes, entre las cuales la ms conocida es la NAT tradicional, que

permite que los hosts de la red privada tengan acceso a los hosts localizados en redes externas de una

forma transparente para los usuarios. Cabe destacar que esta variante de NAT resuelve el problema de

organizacin slo en sesiones de conexin salientes. La direccin de la sesin en este caso se halla

determinada por la ubicacin de su iniciador. Si

el intercambio de datos se inicia con la aplicacin realizada en algn host localizado en la red interna, esta

sesin se denominar saliente aunque los datos del exterior se entreguen dentro de la red interna durante

esta sesin.

La idea de NAT est basada en el enfoque siguiente: supngase que una red corporativa forma un dominio

pequeo, cuyos hosts tienen asignadas direcciones privadas. El soft ware NAT se halla instalado en el

ruteador de conectar la red de la compaa con la red externa. NAT mapea dinmicamente el conjunto de

direcciones privadas IP {IP*} al conjunto de direcciones IP globales {IP}, obtenidas por la compaa desde el

ISP y asignadas a la interfase externa del ruteador de la compaa.

http://es.ccm.net/contents/591-nat-traduccion-de-direcciones
El NAT tradicional permite sesiones en direccin inversa solamente como una excepcin. Para este

propsito, utiliza mapeo de direccin esttica destinado a algn conjunto limitado de hosts para el cual se

especifica un mapeo nico y no ambiguo entre las direcciones internas y externas.

Una propiedad importante de la operacin de NAT es la regla de acuerdo con la cual los anuncios de la ruta

se propagan a travs de las fronteras de las redes privadas. Los anuncios de protocolos de enrutamiento

acerca de las redes externas son pasados por los ruteadores fronterizos hacia las redes internas y los

procesan los ruteadores internos. Sin embargo, la afrmacin inversa no es verdadera. Los ruteadores de

redes externas no reciben anuncios acerca de redes internas, pues tales anuncios son fi ltrados cuando

pasan informacin hacia interfases externas. Por lo tanto, los ruteadores internos conocen las rutas hacia

todas las redes externas, mientras que los ruteadores externos no tienen informacin acerca de la

existencia de las redes privadas.

La NAT tradicional se subdivide en traduccin bsica de las direcciones de la red (NAT bsica), el mtodo

que utiliza solamente direcciones IP para el mapeo, y traduccin del puerto de las direcciones de la red

(NAPT, Network Address Port Translation), el mtodo para mapear direcciones e identifi cadores de

transporte que se usan. Con mucha frecuencia, los puertos TCP/UDP se utilizan como identifi cadores de

transporte.

NAT bsica
Si el nmero de hosts locales para el que es necesario asegurar el acceso a la red externa no xcede la

cantidad de direcciones globales disponibles, se podr garantizar el mapeo nico entre direcciones privadas

y globales. En cualquier momento, el nmero de hosts internos que tienen la posibilidad de interactuar con

la red externa est limitado por la cantidad de direcciones globales disponibles. En esta situacin, el uso de

NAT es dirigido principalmente para garantizar la seguridad, ms que para resolver el problema de la

escasez de direcciones.

Las direcciones privadas de algunos hosts pueden mapearse estticamente a direcciones globales.

Asimismo, se podr tener acceso a tales hosts desde el exterior si se utiliza la direccin global asignada a

ellos. El mapeo de las direcciones internas y externas est especifi cado por la tabla soportada por el

ruteador de red o cualquier otro dispositivo (por ejemplo, un muro de fuego) en el que se encuentra

instalado el soft ware NAT.10

Esttica

Una direccin IP privada se traduce siempre en una misma direccin IP pblica. Este modo de

funcionamiento permitira a un host dentro de la red ser visible desde Internet. (Ver imagen anterior)

Dinmica

El router tiene asignadas varias direcciones IP pblicas, de modo que cada direccin IP privada se mapea

usando una de las direcciones IP pblicas que el router tiene asignadas, de modo que a cada direccin IP

privada le corresponde al menos una direccin IP pblica.

Cada vez que un host requiera una conexin a Internet, el router le asignar una direccin IP pblica que no

est siendo utilizada. En esta ocasin se aumenta la seguridad ya que dificulta que un host externo ingrese

a la red ya que las direcciones IP pblicas van cambiando.

Sobrecarga

La NAT con sobrecarga o PAT (Port Address Translation) es el ms comn de todos los tipos, ya que es el

utilizado en los hogares. Se pueden mapear mltiples direcciones IP privadas a travs de una direccin IP

pblica, con lo que evitamos contratar ms de una direccin IP pblica. Adems del ahorro econmico,

tambin se ahorran direcciones IPv4, ya que aunque la subred tenga muchas mquinas, todas salen a

10 Olifer, N., Olifer V. (1993).Redes de computadoras. Principios, tecnologa y protocolos para el diseo de
redes. Mxico: McGraw-Hill.
Internet a travs de una misma direccin IP pblica.

Para poder hacer esto el router hace uso de los puertos. En los protocolos TCP y UDP se disponen de

65.536 puertos para establecer conexiones. De modo que cuando una mquina quiere establecer una

conexin, el router guarda su IP privada y el puerto de origen y los asocia a la IP pblica y un puerto al azar.

Cuando llega informacin a este puerto elegido al azar, el router comprueba la tabla y lo reenva a la IP

privada y puerto que correspondan.

Solapamiento

Cuando una direccin IP privada de una red es una direccin IP pblica en uso, el router se encarga

de reemplazar dicha direccin IP por otra para evitar el conflicto de direcciones.

Ventajas de la NAT

Ahorro de direcciones IPv4 que supone, recordemos que podemos conectar mltiples mquinas de una

red a Internet usando una nica direccin IP pblica.

Seguridad. Las mquinas conectadas a la red mediante NAT no son visibles desde el exterior, por lo

que un atacante externo no podra averiguar si una mquina est conectada o no a la red.

Mantenimiento de la red. Slo sera necesario modificar la tabla de reenvo de un router para desviar

todo el trfico hacia otra mquina mientras se llevan a cabo tareas de mantenimiento.

Desventajas de la NAT

Checksums TCP y UDP: El router tiene que volver a calcular el checksum de cada paquete que modifica.

Por lo que se necesita mayor potencia de computacin.

No todas las aplicaciones y protocolos son compatibles con NAT. Hay protocolos que introducen el

puerto de origen dentro de la zona de datos de un paquete, por lo que el router no lo modifica y la aplicacin

no funciona correctamente.11

11 Alcoba, J. (2011). NAT (Network Address Translation): Qu es y cmo funciona. Recuperado el 7 de


Mayo del 2017 de https://www.xatakamovil.com/conectividad/nat-network-address-translation-que-es-y-
como-funciona.
Referencias:

Leonardochaparropersonal. (23/11/2014). Vulnerabilidades ms comunes de las distintas capas del

modelo TCP/IP. [Entrada de blog]. Recuperado de

https://seguridadenredesleonardochaparro.wordpress.com/2014/11/23/vulnerabilidades-mas-comunes-

de-las-distintas-capas-del-modelo-tcpip/

Modelo TCP/IP. (s.f). En wikipedia. Recuperado el 7 de mayo del 2017 de

https://es.wikipedia.org/wiki/Modelo_TCP/IP

Olifer, N., Olifer V. (1993).Redes de computadoras. Principios, tecnologa y protocolos para el diseo de

redes. Mxico: McGraw-Hill.

Capa de enlace de datos: Control de acceos al medio. (2012). Recuperado el 7 de Mayo del 2017 de

http://solucionesinformatica.wordpress.com/2012/09/21/capa-enlace-de-datos-control-de-acceso-al-

medio

Seguridad en internet. (s.f.). En Wikipedia. Recuperado el 6 de Mayo del 2017 de

https://es.wikipedia.org/wiki/Seguridad_en_Internet

Mancilla, C. (2010). Capa de internet del modelo TCP/IP. Recuperado el 7 de Mayo del 2017 de

https://es.scribd.com/doc/43425408/Capa-de-Internet-Del-Modelo-TCP

Seguridad dela intranet. (2006). Recuperado el 6 de Mayo del 2017 de

http://www.geocities.ws/yennyqm/hwct/ii/Seguridad.html

Domnguez Cabrero, M. (2015). Intranet y Extranet. Recuperado el 6 de Mayo del 2017 de


https://bautil91.wordpress.com/2015/04/23/30/

Seguridad Extranets. (2010). Recuperado el 6 de Mayo del 2017 de

https://marubarrenechea.files.wordpress.com/2010/05/seguridad-extranets.pdf

Francois, J. (2008). NAT - Traduccin de direcciones. Recuperado el 7 de Mayo del 2017 de

http://es.ccm.net/contents/591-nat-traduccion-de-direcciones

Alcoba, J. (2011). NAT (Network Address Translation): Qu es y cmo funciona. Recuperado el 7 de

Mayo del 2017 de https://www.xatakamovil.com/conectividad/nat-network-address-translation-que-es-y-

como-funciona.