Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Caso prctico
Juan se ha dado cuenta que mantener un sistema informtico
en una empresa es imprescindible, y ms en instalaciones
donde se trabaja con bases de datos como la suya. Le
preocupa ahora como consultar el stock de productos
almacenados en cada momento sin tener para ello que utilizar
el telfono y hablar con el responsable del almacn.
Mara explicar a su jefe todo lo necesario para que el acceso remoto a la red de la empresa
sea totalmente seguro, sea desde el sitio que sea.
1 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Caso prctico
Los elementos bsicos que necesitamos son el router, que
ya lo tenemos, un buen firewall y un antivirus. No
necesitamos ms? Bueno, eso es lo mnimo, pero para
tener una instalacin profesional segura haran falta ms
cosas. Esta instalacin nos ha costado mucho dinero No
sirve para nada? Qu si! Vers.
La seguridad perimetral es el primer obstculo al que hay que enfrentarse cuando se utilizan las tcnicas
de acceso remoto al sistema. Cuando se quiere proteger una red se debe:
El conjunto de hardware y software utilizado para proteger una red de otras redes en las que no
se confa.
Routers.
2 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Firewalls.
Redes virtuales.
Subredes.
3 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Para saber ms
En el siguiente enlace podrs leer una noticia en la que se cuenta como se incomunica a un
pas modificando sus routers frontera.
Routers frontera
Los protocolos con los que trabajan los router frontera son los EGP, el ms extendido es BGP. Estos
protocolos son necesarios para poder encaminar la informacin en Internet. La ruta ptima escogida por
BGP viene determinada por el nmero de sistemas autnomos atravesados para llegar al destino. Aunque
BGP se utiliza entre sistemas autnomos, tambin se puede utilizar en su interior, en este caso se
denomina (IBGP). Para distinguirlos, el exterior se denomina EBGP.
En la imagen se puede ver la funcin que realiza BGP en el entramado de Internet. Se ha representado
como un sistema autnomo a toda la red que comunica al proveedor de servicios con el cliente (RED).
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre el protocolo BGP.
BGP.
Autoevaluacin
4 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
RIP.
Ethernet.
IGP.
BGP.
Si, este protocolo se utiliza para encontrar la ruta ptima entre sistemas autnomos.
Solucin
1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opcin correcta
5 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
1.2. Cortafuegos.
En la seguridad perimetral es comn encontrar un router que acte
como firewall o cortafuegos. Los conceptos de cortafuegos y router
son totalmente diferentes, pero ocurre que muchos routers incorporan
un cortafuegos en su software y por ello no es necesario incorporar
un cortafuegos adicional.
Un ejemplo de este tipo de filtrado son las listas de acceso (ACL), son listados de restricciones o
permisos que se aplican a un router para controlar el trfico de entrada y de salida del mismo. Para crear
una lista de control de acceso se emplea el comando access-list.
Donde N representa un nmero entre 0 y 99 que identifica a la lista, permit o deny se emplean para
permitir o denegar, direccin IP representa a las direcciones que se van a filtrar o no y la mscara se
utiliza para que el router sepa cuantos bits de la direccin especificada deben coincidir con los de la
direccin del paquete analizado.
Donde N es el nmero que representa a la lista y los parmetros in|out especifican si el trfico es de
entrada o de salida.
Adems de las listas de control, otra solucin es un proxy firewall, cuando una conexin llega al proxy, el
proxy completa la conexin, y crea una nueva desde el proxy hasta el destino, el proxy no enruta el trafico,
guarda informacin y realiza o no la conexin. El proxy es un intermediario entre los equipos de la red
corporativa e Internet.
6 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
En la imagen se muestra como se est estableciendo una conexin del tipo VPN denominada
DISTANCIA2011-2012 con el servidor www.infoalisal.com, tambin se puede ver entre parntesis que el
protocolo utilizado en la conexin es el PPTP.
En la seguridad perimetral, las VPN encuentran como primer obstculo al router frontera, para que este
tipo de conexin pueda atravesarlo es necesario especificar en la configuracin que se permita esta
conexin.
Autoevaluacin
Una red privada virtual VPN:
Encapsula la informacin.
Se da en las LAN.
Atraviesa los routers sin dificultad.
Utiliza el protocolo PTP.
Si. Encapsula la informacin que quiere transmitir para que solamente el destinatario
pueda extraerla.
Falso. Permite la conexin segura con una red LAN desde una red que puede no ser de
tipo LAN.
No es correcto. Para que pueda pasar a travs de un router es necesario permitir dicha
conexin en la configuracin del router.
Solucin
1. Opcin correcta
2. Incorrecto
7 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
3. Incorrecto
4. Incorrecto
8 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Controlar el trfico.
Clasificar el trfico.
Poner en cuarentena.
Denegar conexiones.
La zona desmilitarizada de una red, tambin denominada DMZ, es una zona de seguridad en la que los
equipos tienen una relacin de comunicacin bidireccional con la red WAN pero no con la red LAN. Es
decir, un equipo situado en la WAN podr conectarse con un equipo de la zona DMZ y viceversa, pero un
equipo de la zona DMZ no podr conectarse hacia un equipo de la red LAN y si el paso inverso.
Para un intruso que provenga de la zona WAN, entrar a la zona desmilitarizada no le permitir saltar a la
parte LAN.
Las zonas DMZ se emplean para situar los dispositivos que proporcionan servicios pblicos como
alojamientos de pginas Web (servidores Web), servidores de correo o servidores DNS. En la zona DMZ se
dejan los equipos que se quiere tener expuestos a la red.
Si un atacante lograra entrar a alguno de los servidores de la red permetro, an estara el router interno
protegiendo la red privada interna. Las DMZ seran una especie de antesala donde se examina a los
visitantes.
Para saber ms
En el enlace siguiente puedes ver ms detalles de DMZ:
DMZ
Autoevaluacin
Una DMZ:
Est formada por aquellos elementos de la red corporativa que se quieren exponer a
Internet.
Est formada por varios router frontera.
9 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Solucin
1. Opcin correcta
2. Incorrecto
3. Incorrecto
4. Incorrecto
10 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
En esta disposicin, el equipo que acta como firewall debe tener al menos tres interfaces para poder
conectar con la DMZ, el exterior y la red interna.
La subred protegida aloja servicios que se pretenda sean accesibles desde Internet, pero eso no implica
que no deba ser segura. Los equipos que forman esta subred se denominan bastin, es un elemento
ms adelantado que la red interna y est ms en contacto con el peligro.
Los bastiones son equipos donde se han fortalecido tanto los sistemas operativos como las aplicaciones
para que sean lo ms seguro posibles. Estos equipos son el objetivo de todos los ataques puesto que son
los que ms contacto tienen con la red exterior.
11 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
En esta disposicin el cortafuegos externo (de acceso) bloquea y controla el trfico no deseado desde la
red externa a DMZ. El cortafuegos interno (de contencin) bloquea y controla el trfico no deseado de DMZ
a red interna.
Una de las medidas recomendables es tener dos proveedores diferentes para cada uno de los dos
servidores que funcionan como firewall. Cada proveedor puede tener una poltica de seguridad diferente
por lo que si un intruso es capaz de saltar las medidas de seguridad de uno de ellos, en el mejor de los
casos, tendr que emplear un mtodo diferente para atravesar el otro.
Autoevaluacin
Un permetro de red:
Muy bien, es la correcta. Es la zona donde se implantan medidas de seguridad entre las
que se encuentra la implantacin de VPN.
12 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
13 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Caso prctico
Pues ya que tenemos todos los elementos instalados, ya se
puede trabajar tranquilo. No, Juan, es necesario establecer
los permisos de acceso sobre los recursos de nuestro
sistema. Para qu? Pues para que no sea un caos y
todo el mundo pueda cambiar cosas donde no debe, es
conveniente que en cada zona tengamos distintos permisos.
La defensa en profundidad se refiere a una estrategia militar, que tiene como finalidad hacer que el
atacante se desanime al interponerle varios obstculos en su camino hacia el objetivo.
La seguridad total no existe como tal, es imposible afirmar que un sistema es totalmente seguro. Lo nico
que puede asegurarse es que se pueden establecer una serie de polticas de seguridad para conseguir:
Existen muchas ideas y protocolos de actuacin para establecer una defensa de un sistema pero todas se
podran resumir en dos maneras de actuar:
Para tener una idea clara de estas dos posturas, basta imaginar que en un parque se pueda leer uno de los
14 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
siguientes mensajes:
Est claro que es mucho ms restrictivo el segundo mensaje (se prohbe todo lo que no est
explcitamente permitido), ya que el primer mensaje no dice que no se pueda jugar al tenis, voleibol,
baloncesto o cualquier otro deporte.
Autoevaluacin
Si el router frontera solamente deja pasar las conexiones que utilicen el puerto 80:
Respuesta incorrecta. Permitir solamente el puerto 80 implica que se prohben todas las
dems, el 25 es solamente una de las opciones posibles.
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
15 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Para conseguir esto es necesario contemplar que esta defensa debe valorar que:
Es recomendable el uso de la opcin denegar frente a rechazar puesto que de esa manera se disminuye
el trfico y adems el atacante tiene menos informacin del sistema de defensa.
16 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
La poltica de defensa en la red interna tiene como objetivo principal, establecer los parmetros de
funcionamiento interno para que la red funcione con seguridad, puesto que con la defensa perimetral ya ha
habido un filtro del trfico entrante a la red.
La red interna es lo ms valioso, si se tiene acceso a ella se tendr acceso a los datos, que es lo que se
est protegiendo.
Para conseguir cumplir las normas anteriores, en la red interna se pueden emplear en los servidores y
dispositivos de interconexin:
En el interior de la red interna se establecen ms lneas de defensa en cada uno de los host y en el interior
de estos host en cada una de las aplicaciones.
Contraseas.
Anti-malware.
Programacin segura.
Deteccin de intrusiones.
17 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
La clave para que una red funcione de manera segura es que los usuarios estn comprometidos con la
poltica de seguridad de la organizacin, para ello son clave las prcticas seguras en:
Para llegar a tener un buen nivel de comportamiento global en el plano del proceso de seguridad, es
indispensable, aparte de las buenas conductas y la concienciacin:
18 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Caso prctico
Juan, se puede mejorar nuestra seguridad si creamos
redes privadas virtuales. Cmo virtuales? Si, creamos
redes privadas sobre la red pblica para poder esconder lo
que transmitimos al acceder de manera remota a nuestra red.
Tenemos que pagar ms a nuestro operador? No, no es
necesario, nos vale con utilizar una serie de protocolos fciles
de instalar, que cifran la informacin.
Las redes privadas virtuales (VPN) surgen como una solucin para garantizar la
privacidad en el intercambio de informacin. Las VPN proveen de mecanismos para
que la comunicacin entre dos puntos prximos o lejanos sea privada entre el emisor
y el receptor, utiliza la palabra virtual porque la comunicacin se lleva a cabo
generalmente sobre una lnea pblica de comunicaciones (comunicacin privada
sobre lnea pblica).
En ocasiones se denomina tambin tnel porque las tcnicas empleadas para crear
una VPN crean una especie de paredes que hacen que no haya transferencia de
informacin entre los datos transmitidos y el canal por el que viajan. La separacin
de la informacin se hace mediante tcnicas de encriptacin, siendo un proceso
totalmente transparente a los usuarios y aplicaciones.
Separar en una intranet la informacin confidencial para que sea accesible solamente por
los usuarios autorizados.
Comunicar de manera segura dos puntos distantes utilizando una red pblica como
Internet.
Establecer comunicaciones inalmbricas seguras.
Hardware.
Software.
19 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Las creadas por hardware dependen de los fabricantes de los dispositivos con esa capacidad y por lo
tanto, estn ms limitadas. Las creadas por software son las ms comunes y flexibles en su implantacin,
se hace referencia a ellas por los protocolos utilizados.
IPSec.
PPTP.
L2TP.
SSL/TLS.
20 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Fiabilidad.
Velocidad.
Escalabilidad.
En cuanto a la ampliacin de la red, es necesaria una lnea privada por cada punto que se quiera agregar,
esto supone lentitud en la implantacin y dificultades de cobertura.
En la imagen se puede ver una Intranet entre tres ciudades diferentes y la combinacin de lneas dedicadas
que necesita para poder interconectar las tres redes LAN.
En este caso, las lneas dedicadas son Lneas T (T1 en la conexin LAN-MAN y T3 en la conexin
MAN-MAN). En Europa se denominan lneas E.
Autoevaluacin
La diferencia entre una VPN y una lnea dedicada E es que:
21 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Las lneas dedicadas se construyen por software y las VPN por hardware.
Las lneas dedicadas permiten que usuarios ajenos a la red intervengan en la
comunicacin.
Es la correcta. Es una de las ventajas, una lnea dedicada necesita que se instale una
lnea fsica de conexin por cada nodo nuevo.
Incorrecta. Tanto las VPN como las lneas dedicadas permiten la comunicacin
solamente a los usuarios pertenecientes a la Intranet.
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
22 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
En las conexiones VPN las encriptaciones se hacen en tiempo real, con claves que valen solamente para
esa sesin de conexin.
Debes conocer
DES. IDEA. 3DS.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre la criptografa simtrica.
Simtrica
Debes conocer
En el siguiente enlace podrs aprender ms sobre RSA:
RSA
23 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre la criptografa asimtrica.
Asimtrica
24 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
El objetivo de las VPN a nivel 2 es construir una comunicacin segura independiente del protocolo utilizado
en el nivel 3 (red en la arquitectura OSI), pudiendo ser IP o cualquier otro. Se basa en extender la red LAN a
travs de una MAN o WAN.
MPLS.
L2TP.
VPLS.
MPLS aade etiquetas a los paquetes que circulan por la red para poder enrutarlos en cada nodo de
comunicacin. Cada etiqueta define un camino diferente en la comunicacin y se inserta entre la
informacin correspondiente a la capa 2 y la informacin de la capa 3.
L2TP surge a partir de PPTP de Microsoft y L2F de Cisco Systems. Este protocolo encapsula los datos
utilizando PPP y necesita de un protocolo a nivel 3 para ser completamente seguro.
Tanto MPLS como L2TP crean conexiones punto a punto, mientras que VPLS es capaz de crear
conexiones multipunto a multipunto. Cuando se utiliza VPLS, la red del ISP emula el comportamiento de un
conmutador o un puente creando una LAN compartida por todas las LAN situadas en diferentes sitios con
un nico dominio de difusin.
En la imagen se puede ver una simulacin de lo que hace la tecnologa VPLS, a cada uno de los tneles
creados en las conexiones punto a punto entre las redes LAN (FastEthernet en este caso) se les denomina
tambin pseudo-cables .
Debes conocer
En el siguiente enlace aprenders ms cosas sobre el protocolo L2TP.
L2TP
25 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
La conexin a travs de SSL limita el acceso a travs del puerto TCP 443 y utiliza cifrado de puerto a
travs de los exploradores Web. En la mayora de los casos, el puerto 443 (HTTPS) est abierto y est
permitido a travs del firewall, por lo que es mucho ms fcil garantizar la conectividad de los usuarios
finales. La tecnologa SSL no tiene los problemas con NAT que IPSec y PPTP a veces se encuentran.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre IPSec.
IPSec
Autoevaluacin
26 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
27 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
En un sistema Linux, por ejemplo, solamente podrn acceder al servidor, las claves pblicas que aparezcan
en el fichero del servidor:
$tomas/.ssh/authorized_keys
ssh-keygen
$tomas/.ssh/identity.pub
$tomas/.ssh/identity
SSH se puede considerar como una VPN a nivel aplicacin para asegurar las transacciones entre cliente y
servidor. Se utiliza en muchas ocasiones para administrar servidores de forma remota, pero adems,
soporta cualquier protocolo TCP/IP por debajo del nivel aplicacin, por lo que puede ser empleado para
muchas aplicaciones.
Autoevaluacin
Para que se pueda establecer una comunicacin con SSH:
28 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
29 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
En la imagen se puede ver el resultado de ejecutar SSH en una distribucin de Linux, en este caso el
usuario es MSO y el servidor al que se conecta es el 192.168.1.1.
En el servidor debe instalarse el servicio servidor SSH, para ello existe diferente software que es capaz de
realizar esta funcin. En distribuciones Linux se puede instalar openssh-server.
Una vez que se ha instalado hay que configurar el servidor para seleccionar los usuarios que deben tener
permiso. El archivo de configuracin puede estar en rutas como las siguientes:
/etc/ssh/sshd_conf
/etc/ssh/sshd_config
AllowUsers usuario
Para que los cambios en la configuracin del servidor surtan efecto se emplea la orden:
/etc/init.d/ssh restart
30 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Para generar estas claves se utiliza el algoritmo RSA, para proteger las claves creadas se pide una
contrasea y adems para poder generarlas tambin debemos introducir una palabra. Las claves se
almacenan en un fichero al cual podemos dar nombre, en el caso de la figura en distancia. Se generarn
los ficheros distancia y distancia.pub (clave privada y clave pblica).
Obviamente son ininteligibles porque son las claves con las que se cifrar la informacin. El siguiente paso
es colocar la clave pblica junto con las dems claves autorizadas del servidor (se copian al fichero
authorized-keys), con ello se consigue que en sucesivas conexiones no se requiera una contrasea y la
conexin sea segura. Para ello, se utiliza el comando scp.
Con la orden anterior se copia la clave pblica a un fichero temporal del servidor SSH cuya direccin IP es
10.10.10.2.
ssh tomas@10.10.10.2
cd /etc/ssh
Estos comandos permiten conectarse con SSH al servidor 10.10.10.2, situarse en el directorio donde est
instalado el servidor SSH y copiar la clave pblica en el fichero donde se almacenan las claves autorizadas.
31 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
SSHFS permite montar en el equipo local un directorio que est situado en un equipo remoto usando
SSH.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre SSHFS:
SSHFS
Para montar ficheros remotos en el equipo local se utiliza una sintaxis similar a:
Con la orden anterior, el usuario tomas se conecta al servidor infoalisal.com y monta el directorio sad que
est en el directorio exmenes, en el directorio sad que est en el directorio /micarpeta/examenes del
equipo local.
32 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Caso prctico
Juan, despus de estar preparando todo para que
podamos acceder de manera remota se nos ha olvidado lo
ms importante.
Es caro?
Qu es?
Tenemos que habilitar el servicio de acceso remoto en el servidor, ser el nico camino de
entrada a nuestro servidor.
Entrada?
Si, es necesario habilitar un camino, solamente accesible para los usuarios autorizados e
imposible de sobrepasar para los desconocidos.
Mara explicar a su jefe Juan cul es el software necesario para poder habilitar en un
servidor el servicio de acceso remoto, as como los diferentes protocolos de autenticacin
necesarios para que la conexin remota sea segura.
Un servidor remoto es un equipo que permite que otro equipo se conecte a l, se denominan tambin
RAS . Se encarga de mltiples llamadas entrantes de los usuarios remotos que necesitan acceso a
recursos de red, tambin lo utilizan los proveedores de Internet para proporcionar acceso a Internet.
Los servidores de acceso remoto hacen las funciones de puerta de enlace entre el cliente de acceso
remoto y la red local. Antes de establecerse la conexin hay una autenticacin de los clientes de acceso
remoto.
El uso de servidores de acceso remoto facilita la conexin incluso si no se dispone de Internet, y si de una
conexin mvil a travs de la lnea telefnica pblica bsica utilizando el protocolo PPTP.
En el siguiente video puedes ver cmo montar un servidor de Acceso Remoto en Windows Server 2012
La imagen anterior muestra como puede ser la interfaz de conexin de un servidor de tipo RAS
empresarial. Un servidor RAS puede actuar en redes Microsoft, Netware y Unix, as como con varios
protocolos entre los que destaca PPP y el casi obsoleto SLIP .
33 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre SLIP:
SLIP
34 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
PAP.
CHAP .
TACACS .
RADIUS.
SPAP.
TACACS permite que el servidor de acceso remoto utilice un servidor de autenticacin para verificar si un
usuario tiene acceso o no. La evolucin de TACACS es TACAS+. Este protocolo acta de manera similar a
RADIUS. Este tipo de protocolos se denominan de tipo AAA puesto que realizan tres funciones:
Autenticacin.
Autorizacin.
Contabilizacin.
El proceso seguido en la autenticacin RADIUS sera el que se representa en la figura y se podra resumir
en los siguientes pasos:
SPAP es un protocolo en el que el cliente de acceso remoto enva una contrasea cifrada con un
35 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
algoritmo de cifrado bidireccional al servidor de acceso remoto. El servidor de acceso remoto descifra la
contrasea y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto. Es ms seguro que
PAP pero menos que CHAP.
36 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
En la actualidad casi todos los sistemas operativos incorporan una interfaz grfica, con la que es posible
configurar el acceso remoto utilizando la red de cable sin usar los modem. An as, el acceso va modem
todava es muy til en el caso de servidores que no disponen de pantalla, o que tienen el interfaz de red
daado. Es comn encontrarse con situaciones como:
"Necesito configurar mgetty+PPP para conectar con un servidor Ubuntu a travs de un modem
serie que est en el puerto ttyS0 del servidor"
En distribuciones Linux se puede usar mgetty para gestionar las conexiones entrantes en el servidor. Una
vez instalado, la configuracin se debe hacer en:
/etc/inittab
/etc/mgetty/login.config
/etc/ppp/pap-secrets
En inittab se configuran parmetros para escuchar las conexiones entrantes y establecer el modo
automtico o manual de operacin en el modem. En login.config se especifican los usuarios que acceden
al servidor RAS y en pap-secrets es donde se declaran los usuarios que se pueden autenticar en el RAS.
Un ejemplo de configuracin de innit.tab en el que se especifica la velocidad de respuesta del modem,
sera el siguiente:
En el login.config
Cambiar la lnea:
#/AutoPPP/ -a_ppp/usr/sbin/pppd auth -chap +pap login debug
Por esta:
/AutoPPP/ - a_ppp /usr/sbin/pppd file /etc/ppp/options
En el pap-secrets se establecen los usuarios y contraseas para poder autenticar en el RAS de la manera
siguiente:
# Every regular user can use PPP and has to use passwords from /etc/passwd
#* hostname "" *
ASIR01 * "alisal2012" *
37 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
ASIR02 * "alisal2012" *
Para saber ms
En el siguiente enlace podrs ver un ejemplo de configuracin de mgetty.
mgetty
38 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Uno de los agujeros de seguridad est en los navegadores utilizados para el envo de las claves de usuario,
sobre todo cuando se utiliza HTML y JavaScript. Esta debilidad puede dar lugar a ataques Http
Request Splitting
Un ataque del tipo Http Request Splitting o divisin de respuesta HTTP, permite al atacante enviar una
nica peticin HTTP al servidor, de tal manera que obligue a ste a responder de manera duplicada,
controlando una de las respuestas.
Este tipo de ataque funciona de manera similar al Cross-Site Scripting (XSS) y de la misma manera,
para combatirlo la solucin est en validar las entradas de los formularios donde se escriben los usuarios y
las contraseas, ya que es en estos formularios donde se puede incluir cdigo interpretable por el servidor
y que es el causante de las respuestas duplicadas.
Autoevaluacin
Un servidor RADIUS es:
Es un cliente de autenticacin.
Es un RAS de autenticacin.
Servicio de Linux Ubuntu.
Servidor Windows.
No es correcto. Aunque se puede configurar Linux para que acte como servidor
RADIUS.
39 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
40 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Recurso Recurso
Datos del recurso (1) Datos del recurso (2)
(1) (2)
Autora: Microsoft
Autora: Universitat de Valncia
Licencia: Copyright (cita)
Licencia: Copyright (cita)
Procedencia: Captura de pantalla
Procedencia: http://www.uv.es/siuv/cas
hecha en Windows XP propiedad de
/zxarxa/vpn.htm#quees
Microsoft
41 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Autora: sentinel
Autora: Matti Mattila Licencia: Copyright (cita)
Licencia: CC by nc sa Procedencia:
Procedencia: http://www.flickr.com http://www.sentineldr.com
/photos/mattimattila/4846012583/sizes /post/estrategias-basicas-de-
/m/in/photostream/ seguridad-informatica-defensa-
en-profundidad
Autora: Altura XL
Autora: Virusprot
Licencia: Copyright (cita)
Licencia: Copyright (cita)
Procedencia: http://www.alturaxl.com
Procedencia: http://www.virusprot.com
/spanish_cton/
/Amzsolup.html
sp_products/sp_ras2000.html
42 de 43 26/8/16 3:02
Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
/photos/12206416@N07/ /photos/antonionicolaspina
1670327649/sizes/m/in/photostream/ /285604411/
Autora: Ubuntu
Licencia: GNU
Procedencia: Captura de pantalla de
Linux Ubuntu
43 de 43 26/8/16 3:02