Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema1 PDF
Tema1 PDF
Tema1 PDF
[1.2] Introduccin
[1.5] IP versin 6
TEMA
Aspectos de seguridad del protocolo TCP/IP
Esquema
TEMA 1 Esquema
Fundamentos arquitectura TCP/IP IP versin 6 Seguridad redes inalmbricas
2
ICMP AH WPA
IP WPA2
TCP
UDP
Seguridad en redes
Seguridad en redes
Ideas clave
Para estudiar este tema, adems de las Ideas clave, lee el captulo 2 A Security
Review of Protocols: Lower Layers del libro Firewalls and Internet Security:
Repelling the Wily Hacker, de William R. Cheswick, Steven M. Bellovin, y Aviel D.
Rubin. El captulo est disponible en: http://www.wilyhacker.com/chap02.pdf
Este tema en concreto tiene como objetivo introducirte en los fundamentos del
funcionamiento de la arquitectura TCP/IP, para despus tratar cmo estos
fundamentos condicionan tanto las vulnerabilidades de las redes, como la forma de
protegerlas. Para ello, durante este tema se tratarn tres puntos principales:
1.2. Introduccin
El objetivo era la divisin de los datos en paquetes que permitieran una mejor
comunicacin entre los computadores. Un paquete es un grupo de informacin que
consta de dos partes: los datos propiamente dichos y la informacin de control, en la
que est especificada la ruta a seguir a lo largo de la red hasta el destino del paquete.
Capa de Sesin
Comunicacin entre dispositivos de la red
Capa de Enlace
Direccionamie nto fsico (MAC y LLC) Capa fsica
Seal y transmisin binaria, y
Capa fsica direccionamiento fsico (MAC y LLC)
Se al y transmisin binaria
Capa fsica: Se corresponde con la capa de enlace y la capa fsica del modelo OSI.
Normalmente incluye el driver del dispositivo en el sistema operativo y la
correspondiente tarjeta de interfaz de red del ordenador. Ofrece los recursos
que permiten la transmisin de los datos a travs de la red. Ejemplos de
protocolos que compones esta capa son: Ethernet (IEEE 802.3), Wifi (IEEE 802.11),
Address Resolution Protocol (ARP) o Address Resolution Protocol (ARP).
Capa de red: Se corresponde con la capa de red del modelo OSI. Permite el
encaminamiento y maneja el movimiento de los paquetes en la red.
Ejemplos de protocolos que compones esta capa son: Internet Protocol (IP), Address
Resolution Protocol (ARP), Internet Control Message Protocol (ICMP), Reverse
Address Resolution Protocol (RARP) o Internet Group Management Protocol
(IGMP).
TCP UDP
Una vez descritas las diferentes capas que componen la pila TCP/IP se describen a
continuacin los principales protocolos que forman esas capas.
Existe un tipo de ataque que se aprovecha del protocolo ARP y que permite a un
atacante suplantar a otro usuario de la red de rea local (LAN), teniendo
acceso a los paquetes de datos para l destinados y pudiendo, incluso, modificarlos o
bloquearlos. Esta tcnica se conoce como ARP Spoofing o ARP Poisoning y
consiste en enviar falsos mensajes ARP reply a la red para que el atacante reciba los
paquetes destinados al usuario que el atacante quiere suplantar.
IP - Internet Protocol
TCP
1. Uno de los extremos (A) enva un mensaje SYN inicial con un nmero de secuencia
X que es recibido por el otro extremo de la comunicacin (B).
2. B responde con un paquete SYN-ACK que incluye su propio nmero de secuencia Y y
la confirmacin de recepcin X+1.
3. A responde con un mensaje ACK que incluye la confirmacin de recepcin (Y+1).
Los nmeros de secuencia utilizados en los mensajes tienen, adems del papel de
sincronizacin, la funcin de evitar que posibles atacantes puedan interferir en
una conexin TCP, ya que, si no saben el nmero de secuencia correspondiente,
aunque enven un paquete malicioso, este ser descartado al llegar al extremo
correspondiente.
Existe, sin embargo, un tipo de ataque conocido como TCP Sequence Prediction
Attack que podra llevarse a cabo contra el establecimiento de conexiones de TCP si un
atacante es capaz de adivinar el nmero de secuencia utilizado por el extremo de la
conexin al que quiere engaar. De este modo, un atacante podra responder con una
confirmacin de nmero se secuencia vlida (ACK) sin necesidad de recibir el mensaje
correspondiente; pudiendo, por lo tanto, suplantar a cualquiera de los extremos de la
comunicacin.
Una vez establecida la conexin, existen dos tipos de conexiones posibles, tal como se
describe en la siguiente imagen:
El cierre de una conexin TCP es asncrono por lo que cada extremo debe cerrar
su conexin de manera independiente enviando un mensaje FIN cuya recepcin deber
ser confirmada por el otro extremo con su correspondiente ACK. Una representacin de
esta comunicacin puede verse en la siguiente imagen (el segundo y tercer mensajes
pueden substituirse por un nico mensaje FIN/ACK).
1.5. IP versin 6
Actualmente, para poder trabajar con ambos tipos de direcciones IP, los sistemas
incorporan una dual-stack que incluye dos pilas, una para cada versin del protocolo,
y que permite la comunicacin con todo tipo de equipos y redes. Tambin es posible
que un sistema IPv6 se comunique con sistemas IPv4 si se utilizan herramientas
especficamente diseadas para ello como 6to4 o Teredo.
Uso de jumbogramas: IPv4 limita los paquetes a 64 KiB de carga til. IPv6 tiene
soporte opcional para que los paquetes puedan superar este lmite, los llamados
jumbogramas, que pueden ser de hasta 4 GiB.
Las primeras redes inalmbricas surgieron como un complemento a las redes de rea
local cableadas para dotar de mayor movilidad a los usuarios a travs de un acceso
inalmbrico de corto alcance para dispositivos electrnicos.
A medida que este tipo de redes fueron evolucionando y ganando aceptacin surgi la
necesidad de crear una tecnologa inalmbrica que permitiera asegurar la
compatibilidad entre equipos de diversos fabricantes. Con el objetivo de alcanzar esa
meta, en 1999 un grupo de empresas se uni para crear la organizacin Wireless
Ethernet Compatibility Alliance (WECA), actualmente conocida como WiFi Alliance.
En abril de 2000, WECA certific la norma IEEE 802.11b, bajo la marca WiFi;
certificando que los equipos que incluyese este sello WiFi podran interactuar
entre ellos con independencia de su fabricante.
El estndar utilizado por WiFi, IEEE 802.11, opera en la capa fsica de la pila TCP/IP y
es anlogo al protocolo IEEE 802.3 (Ethernet) para redes locales cableadas. Adems, se
dise de manera que se mantuviera una completa compatibilidad con el mismo.
Desde la creacin del primer estndar IEEE 802.11, esta familia de estndares ha ido
evolucionando y mejorando aspectos como el rango y velocidad de la transferencia de
informacin, la seguridad, etc. a travs de la definicin de nuevos estndares IEEE
802.11, tales como: IEEE 802.11b, IEEE 802.11g, IEEE 802.11i, IEEE 802.11n, etc.
Este tipo de redes se encuentran disponibles en prcticamente casi todos los mbitos
(universidades, centros de investigacin, aeropuertos, cafeteras e incluso hogares) y se
utilizan para el intercambio de diversos tipos de informacin. Este uso cada vez ms
generalizado y diverso ha motivado la aparicin de diversos mecanismos de seguridad
para evitar accesos no deseados a este tipo de redes y proteger la informacin que en
ellas se encuentra.
Wired Equivalent Privacy (WEP) forma parte del estndar IEEE 802.11b y fue creado
con la idea de proporcionar una seguridad a las redes inalmbricas comparable a la de
una red tradicional cableada. Para ello, WEP:
1 Uso de una nica clave esttica que comparten todos los usuarios.
A travs del anlisis de las debilidades del protocolo WEP surgieron numerosos ataques
que terminaron en el desarrollo de varias herramientas de dominio pblico, como
Airsnort, WEPCrack o Aircrack, que permiten la obtencin de la clave compartida
utilizada en este tipo de redes.
WPA est pensado para ser compatible con el hardware existente y para
permitir a redes ya desplegadas poder migrar de WEP a un estndar ms seguro. Para
ello:
WPA2, por su parte, supona una ruptura con el hardware existente y propone un
modelo de seguridad basado en un algoritmo criptogrfico ms moderno y seguro como
Advanced Encryption Standard (AES). Para ello:
Usa el modo Counter Cipher Mode with Block Chaining Message Authentication
Code Protocol (CCMP) de AES (AES-CCMP) que provee tanto de confidencialidad
como de integridad y autenticacin a los paquetes.
Lo + recomendado
Lecciones magistrales
No dejes de leer
TEMA 1 Lo + recomendado 17
Seguridad en redes
Carballar, J. A. (2005). Wi-Fi, Cmo construir una red inalmbrica. Madrid: Editorial
Rama.
No dejes de ver
TEMA 1 Lo + recomendado 18
Seguridad en redes
+ Informacin
A fondo
Envenenamiento ARP
La seguridad del protocolo inalmbrico WEP est claramente en entredicho desde hace
aos. De hecho, y aunque existen algunas redes inalmbricas que an lo utilizan, est
completamente desaconsejado su empleo (salvo en casos excepcionales donde no exista
la posibilidad de utilizar un mecanismo ms seguro). Para aquellos alumnos
interesados en comprender la capacidad tcnica necesaria para comprometer WEP
puede ser interesante revisar este artculo.
TEMA 1 + Informacin 19
Seguridad en redes
Webgrafa
Slashdot
Se trata de un sitio web reconocido a travs de cuya lectura se puede estar al da tanto
de las vulnerabilidades que aparecen en las redes de ordenadores, como de los
mecanismos de proteccin que pueden ser empleados para protegerlas
http://slashdot.org/
TEMA 1 + Informacin 20
Seguridad en redes
Test
TEMA 1 Test 21
Seguridad en redes
8. El protocolo IPSEC:
A. Puede ser usado con la versin de IPv4.
B. Solo puede ser usado junto con la versin IPv6.
C. Solo puede ser usado junto con la versin IPv4.
D. Ninguna de las anteriores.
9. El protocolo WPA:
A. Utiliza el algoritmo de cifrado RC4 para proteger la confidencialidad de las
comunicaciones.
B. Utiliza el algoritmo de cifrado AES para proteger la confidencialidad de las
comunicaciones.
C. Utiliza el algoritmo de cifrado Michael para proteger la confidencialidad de las
comunicaciones.
D. Ninguna de las anteriores.
10. El campo TTL (Time to Live) es sustituido en la nueva versin del protocolo IP
(IPv6):
A. Hop Limit.
B. Jumps to destination (JtD).
C. Time to Live v6 (TTLv6).
D. Ninguna de las anteriores.
TEMA 1 Test 22