Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD DE REDES
Integrantes:
➢ Karen Arciniega
➢ Thalia Mijas
➢ Christian Jimenéz
➢ Jonh Ortega
➢ Jonathan Maldonado
➢ Jorge Largo
La seguridad perimetral de una empresa es primordial. Los ataques por red y pérdidas de información
ocasionan un gran trastorno y no solo la imagen si no también el funcionamiento y progreso de una
empresa se ven afectados.
Una plataforma robusta para el control de accesos y protección de los servicios informáticos garantiza un
correcto aprovechamiento de la infraestructura y garantiza la integridad y confidencialidad de la
información.
1. INTRUSOS:
Es considerado como uno de los mayores peligros que conlleva la seguridad. Considerados como hackers
o crackers, se distinguen tres tipos de intrusos:
• Suplantador. - persona no autorizada, la cual penetra los controles hasta los controles de acceso
de sistema para apoderarse de la cuenta de un usuario legítimo.
• Usuario fraudulento. - Usuario legítimo que accede a datos, programas o recurso para los que el
acceso no está autorizado. O realiza un uso fraudulento de los datos a los que accede.
• Usuario clandestino. - toma control de supervisión del sistema y lo usa para evadir controles de
auditoria y de acceso o para suprimir información de auditoria.
Es probable que el suplantador sea un usuario externo; el usuario fraudulento normalmente es un usuario
interno; el usuario clandestino puede ser algún dé a fuera o dentro.
Cada ataque que se realice puede ser benigno o maligno. El ataque benigno es cuando es la exploración
de la red por medio del intruso con el afán de descubrir las vulnerabilidades. En el extremo maligno es la
lectura de información privada o realizar modificación es no autorizadas de datos o interrupción del
sistema.
1.1. Técnicas de intrusión
El objetivo que el intruso tiene al momento de ingresar a los sistemas es aumentar el rango de
privilegios que este puede tener. La persona que ingresa puede acceder a información protegida
en su mayoría de casos contraseñas.
• Cifrado unidireccional
Almacena información cifrada de la contraseña de usuario, al momento del usuario ingresa esta
contraseña es comparada con el valor que se almaceno anteriormente en caso de que la
contraseña no sea igual se niega el acceso.
• Control de acceso
Limita el acceso solamente a una o unas cuentas. Lo hackers emplean métodos como lista de
posibles contraseñas que están en los sitios web de hackers, emplear números de teléfono de los
usuarios o documentos de identificación.
Según ALVA90 presenta las siguientes técnicas para descubrir contraseñas son:
✓ Probar contraseñas predeterminadas que se usan con las cuentas estándar suministradas
con el sistema. Muchos administradores no se molestan en realizar cambios.
✓ Probar de forma exhaustica todas las contraseñas cortas (las de uno a tres caracteres).
✓ Probar las palabras del diccionario en línea del sistema o una lista de posibles contraseñas,
que se pueden encontrar en tablones de asunción de hackers.
✓ Recoger información sobre usuario como, por ejemplo, los nombres completos, el nombre
de su cónyuge e hijos, cuadros en su oficina y libros en las mismas relacionados con aficiones.
✓ Probar los números de teléfono de los usuarios, los números de la seguridad social y los
números de los despachos.
✓ Probar con todas las matrículas de los coches del estado.
✓ Usar un caballo de Troya para evitar restricciones de acceso.
✓ Interceptar la línea entre usuario remoto y sistema host.
2. DETECCIÓN DE INTRUSOS
Es inevitable tener un sistema sin fallas, efectivamente los intrusos lograran encontrar la falla y así
acceder. Las consideraciones que se debe tener son:
• Si se detecta una intrusión con bastante rapidez el intruso puede ser identificado y expulsado del
sistema antes de producir daños o comprometer datos. Incluso si la detección no se realiza con
suficiente brevedad para evitar la intrusión, cuantos antes se detecte, menor será la gravedad de los
daños y rápidamente se podrá lograr la recuperación.
• Un sistema efectivo de detección de la intrusión puede servir como elemento disuasivo, actuando
para prevenir intrusiones.
• La detección de intrusos facilita la recopilación de información sobre técnicas intrusión que se puede
usar para reforzar la prevención de la intrusión.
Se identifica los siguientes enfoques para detección de intrusos:
a) Detección de umbrales: define los umbrales, independientes del usuario, para la frecuencia en
que se producen distintos acontecimientos.
b) Basados en perfiles: Desarrolla un perfil de la actividad de cada usuario y se utiliza para
detectar cambio en el comportamiento de cuentas individuales.
2. Detección basada en reglas: Intenta definir un conjunto de reglas que se pueden usar para
determinar un comportamiento dado es el de un intruso.
Todos los sistemas operativos multiusuarios incluyen software que recoge información sobre las
actividades de los usuarios. No necesita un software de recopilación adicional. Los informes de
auditoría nativos pueden no contener la información necesaria o no contenerla de una forma
conveniente.
Implementa una herramienta de recopilación que genere informes de auditoría que contenga solo
la información requerida por el sistema de detección de intruso.
1. Contador: Numero entero no negativo que puede ser incrementado, pero no disminuido
hasta que sea inicializado por una acción de la administración.
2. Calibre: número entero no negativo que puede ser incrementado o disminuido. Normalmente
un calibre se usa para medir el valor actual de una identidad.
3. Intervalo de tiempo: periodo entre dos acontecimientos relacionados.
4. Utilización de recursos: Recursos consumidos durante un periodo especifico.
Detección de la intrusión basada en reglas
La organización más común sin embargo necita defender un conjunto distribuido de host en una
LAN o en redes conectadas entre sí.
• Modulo agente del host: modulo que recopila información de auditoria que opera como un
proceso subordinado en un sistema monitorizado.
• Modulo agente monitor de LAN: recibe los informes del monitor de la LAN y de los agentes
de host y procesa y relaciona estos informes para detectar la intrusión.
Cuando existe o se detecta una actividad sospechosa, se envía una alerta al administrador central.
Este incluye un sistema experto que puede predicar interferencias de los datos recibidos.
Honeypost
Son sistemas de reclamo diseñados para alejar a un atacante potencial de los sistemas críticos.
Están diseñado para:
El sistema está equipado con monitoreos sensibles y registrados de acontecimientos que detectan
estos accesos y recogen información sobre la actividad del atacante.
Los esfuerzos iniciales involucran a un solo computador honeypost con direcciones IP diseñadas
para atraer hackers.
Los formatos de los datos e intercambiar los procedimientos para compartir información de
interés para la detección de la intrusión y sistema de gestión que puede necesitar interactuar con
ellos.
• Un documento de requisitos el cual describe los requisitos funcionales de alto nivel para
comunicación entre sistemas de detección de intrusos y los requisitos para la comunicación
entre sistemas de detección de intrusos y los sistemas de gestión incluyendo los motivos que
llevaron a esos requisitos.
• Una especificación de lenguaje de intrusión que describe formatos de datos que satisfagan
los requisitos.
• Un documento marco. Que identifica los protocolos existentes mejor usados para la
comunicación entre los sistemas de detección de intrusos, y describe como los formatos de
datos ideados se relacionan con ellos.
3. GESTION DE CONTRASEÑAS
La Gestión de contraseñas son programas de computación que se utilizan para guardar usuarios/claves
en una base de datos, esta información se encuentra cifrada mediante algoritmos de encriptación lo cual
ofrecen funciones dedicadas a elevar el nivel de seguridad.
La gestión de contraseñas ofrece tareas como; la opción de generar una contraseña automáticamente, es
decir diseñado para crear contraseñas seguras de modo aleatorio que son difíciles de crackear o adivinar,
además permite restablecer la contraseña en caso de haberla olvidado en su defecto cambiar contraseñas
de cuentas de usuarios.
Autenticación en dos pasos: La autenticación en dos pasos es muy importante en la actualidad y sería
muy recomendable activarla al menos para las principales cuentas que utiliza el usuario.
Integración con los navegadores: Ayuda a minimizar la interacción con las contraseñas y automatizar
el proceso de acceso.
Captura automática de la contraseña: Esta característica hace referencia a que el gestor detecta
cuando una nueva contraseña es introducida para preguntarle al usuario si quiere guardarla.
Alertas automáticas de seguridad: Que permitan informar al usuario cuando uno de los servicios que
utiliza o uno de los sitios web en los que está registrado ha recibido un ataque que ha podido
comprometer las contraseñas.
Que sea portable y con soporte para móviles: Que soporte plataformas móviles es otra característica
recomendable para gestionar las contraseñas desde cualquier lugar.
Auditoría de seguridad: Algunos gestores permiten realizar auditorías de seguridad sobre la propia
base de datos de contraseñas, detectando las que sean débiles o repetidas, entre otros problemas.
Contraseñas de un solo uso: Permite designar contraseñas para que sean de un solo uso. Es decir, usar
el gestor sobre un sistema para que la contraseña de acceso solo pueda usarse una vez.
Compartir contraseñas: Algunos gestores permiten compartirlas de forma segura. Esta función puede
servir con un amigo o bien en entornos laborales.
3.2. Ventajas de un Gestor de Contraseñas
Cuando se activa un programa infectado, el virus utiliza la clave aleatoria almacenada para descifrarlo;
cuando el virus se replica, se selecciona una clave aleatoria distinta.
Los virus macro son especialmente amenazadores por una serie de razones:
El gusano antes de copiarse en el sistema puede también intentar determinar si un sistema ha sido
infectado previamente. En un sistema de multiprogramación puede también disfrazar su presencia
denominándose a sí mismo como un proceso del sistema o usando algún otro nombre que no pueda ser
percibido por el operador del sistema.
• Detección: una vez que se ha producido la infección, determinar qué ha ocurrido y localizar el virus.
• Identificación: una vez que la detección se ha realizado, identificar el virus específico que ha
infectado un programa.
• Eliminación: una vez que el virus específico ha sido identificado, eliminar cualquier rastro del virus
del programa infectado y restaurarlo a su estado original. Eliminar el virus de todos los sistemas
infectados para que no pueda continuar extendiéndose
Los avances en la tecnología de virus y antivirus van de la mano. Los primeros virus eran fragmentos de
código relativamente simples y podían ser identificados y purgados con paquetes de software antivirus
relativamente sencillos. A medida que los virus han evolucionado, tanto los virus como, necesariamente,
los antivirus se han hecho más complejos y sofisticados.
Se identifica cuatro generaciones de software antivirus:
Un explorador de primera generación requiere una firma del virus para poder identificarlo. El virus puede
contener patrones de búsqueda (wildcards) pero tiene básicamente la misma estructura y patrón de bits
en todas las copias. Estos exploradores de firmas están limitados a la detección de virus conocidos. Otro
tipo de exploradores de primera generación tiene un registro con la longitud de los programas y busca
cambios en la extensión.
Un explorador de segunda generación no se basa de una firma concreta. En lugar de ello, usa reglas
heurísticas para buscar posibles infecciones de virus. Algunos de estos exploradores buscan fragmentos
de código que, con frecuencia, se asocian con los virus. Por ejemplo, un explorador puede buscar el
comienzo de un bucle de cifrado usado en un virus polimórfico y descubrir la clave de cifrado. Una vez
que la clave ha sido descubierta, el explorador puede descifrar el virus para identificarlo, luego eliminar
la infección y volver a poner en servicio el programa.
Los programas de tercera generación son programas residentes en la memoria que identifican un virus
por su acción más que por su estructura en un programa infectado. Tales programas tienen la ventaja de
que no es necesario desarrollar firmas ni heurística para una amplia gama de virus. Al contrario, sólo es
necesario identificar el pequeño grupo de acciones que indican que se está intentando producir una
infección y, luego, intervenir.
Los productos de cuarta generación son paquetes compuestos por una variedad de técnicas antivirus
usadas conjuntamente. Éstas incluyen componentes de exploración y de detección de acciones. Además,
este paquete incluye capacidad de control de acceso, que limita la habilidad de los virus para penetrar en
un sistema y luego limita la habilidad de un virus para actualizar archivos con el fin de dejar pasar la
infección.
Descifrado genérico
El descifrado genérico (GD, Generíc Decryption) permite al programa antivirus detectar fácilmente incluso
los virus polimórficos más complejos, a la vez que mantiene velocidades de rastreo importantes.
Recordemos que cuando se ejecuta un archivo que contiene un virus polimórfico, el virus puede
descifrarse para activarse. Para detectar dicha estructura, se ejecutan archivos a través de un explorador
GD, que contiene los siguientes elementos:
Cuando un nuevo virus entra en una organización, el sistema de inmunidad lo captura automáticamente,
lo analiza, añade los procedimientos de detección y de protección, lo elimina, y pasa la información sobre
ese virus a sistemas que ejecutan antivirus de IBM para que pueda ser detectado antes de que pueda
ejecutarse en algún otro lugar.
1. Un programa de supervisión en cada PC usa heurística basada en el comportamiento del sistema, en
cambios sospechosos en los programas o en la firma específica para inferir que un virus puede estar
presente. El programa de supervisión reenvía una copia de cualquier programa que se suponga
infectado a una máquina administrativa dentro de la organización.
2. La máquina administrativa cifra la muestra y la envía a la máquina central de análisis de virus.
3. Esta máquina crea un entorno en el que el programa infectado puede ser ejecutado sin peligro para su
análisis. Las técnicas empleadas con este propósito incluyen la emulación o la creación de un entorno
protegido dentro del cual el programa sospechoso pueda ser ejecutado y supervisado. La máquina de
análisis de virus produce entonces una prescripción para identificar y eliminar el virus.
4. La prescripción resultante se envía de vuelta a la máquina administrativa.
5. La máquina administrativa envía la prescripción al cliente infectado.
6. La prescripción también se reenvía a otros clientes de la organización.
7. Los suscriptores de todo el mundo reciben actualizaciones del antivirus de forma regular que les
protegen de los nuevos virus.
El éxito del sistema de inmunidad digital depende de la habilidad de la máquina de análisis de virus para
detectar nuevas tendencias de virus. Analizando y supervisando constantemente los virus catalogados
como más extendidos, debería ser posible actualizar continuamente el software de inmunidad digital para
afrontar las amenazas.
• Aplica un set de reglas para cada paquete entrante y luego lo reenvía ó descarta.
• Filtra paquetes en ambas direcciones.
• El filtrado de paquetes se setea típicamente como una lista de reglas (ACL: Access Control List)
basadas en “matches” de campos de cabeceras IP ó TCP/UDP.
• Dos políticas por default: discard/deny ó forward/allow
• Mejor habilitar explícitamente (default= deny)
• Se implementa con notación específica de cada router. Ventajas: ÿ Simplicidad ÿ Transparencia
hacia usuarios ÿ Alta velocidad Desventajas: ÿ Dificultad en el seteo de reglas de filtrado ÿ Falta
de Autenticación
• Son hosts corriendo Proxy servers, que evitan tráfico directo entre redes.
• Actúa como un relay (conmutador) de tráfico a nivel de aplicación.
• Más eficiente y posible control de contenidos.
• Puede ponerse un AV en el gateway. 6 JIG © 11 1.2.2. Sistema de FW con GW a Nivel
Aplicación Proxy de Aplicación: programa que representa a toda la red interna, ocultando la LAN de la
red pública. Toma decisiones de forwarding en los 2 sentidos.
• Hará el forward de clientes autorizados a servers del exterior y traerá las respuestas a dichos
clientes.
• Proxy HTTP puede mantener páginas web en caché.
➢ Puede ser un sistema stand-alone ó una función especializada realizada por un GW de nivel
aplicación.
➢ No permite conexiones TCP end-to-end, sino que GW setea 2 conexiones TCP entre usuarios TCP
externo e interno con él.
➢ GW hace conmutación de segmentos TCP de una conexión a otra sin examinar contenido.
➢ La función de seguridad consiste en determinar qué conexiones serán permitidas.
➢ Usado típicamente en situaciones donde el administrador del sistema confía en los usuarios
internos.
➢ Un ejemplo de implementación es el paquete SOCKS (v.5 en RFC 1928)
o Capa entre niveles de Transporte y Aplicación.
o No provee servicios de GW a capa de red, como el forwarding de mensajes ICMP.
o Consiste en Server Socks, Librerías de clientes socks y Programas clientes sock-ificados
de las aplicaciones estándares.
Bastion Host
➢ Además del uso de configuraciones simples de un sistema único , como router con filtrado de
paquetes ó gateway único, son posibles configuraciones más complejas, siendo las tres más
comunes:
➢ Sistema FW con screened host (single-homed bastion host) (FW con host apantallado y
conectado a una sola red)
➢ Sistema FW con screened host (dual-homed bastion host) (FW con host apantallado y conectado
con 2 placas red)
➢ Sistema FW con screened subnet (con DMZ) (FW con subred apantallada ó De-Militarized Zone)
7. SISTEMAS DE CONFIANZA
✓ En este ejemplo un usuario llamado Benito interactúa a través de un programa con un fichero de
datos que contiene una serie de caracteres de una confidencialidad crítica. El usuario Benito ha
creado el fichero proporcionando permisos de lectura y escritura solamente a los programas que
se ejecutan en su propio nombre, es decir, solamente los procesos que son propiedad de Benito
pueden acceder al fichero. El ataque del Caballo de Troya comienza cuando un usuario hostil,
llamado Alicia, obtiene acceso legítimo al sistema e instala un Caballo de Troya y un fichero privado
para utilizarlo en el ataque para almacenar información robada. Alicia se da a sí misma permiso de
lectura y escritura para este fichero, mientras que a Benito le da permiso de sólo escritura para el
mismo fichero. Alicia ahora induce a Benito para que invoque el programa Caballo de Troya, quizás
anunciándolo como una herramienta muy útil. Cuando el programa detecta que está siendo
ejecutado por Benito lee la serie de caracteres confidencial del fichero de Benito y la copia en el
fichero de recopilación de Alicia. Ambas operaciones de lectura y escritura satisfacen las
restricciones impuestas por las listas de control de acceso. Más tarde Alicia solamente tiene que
acceder al fichero de Benito almacenado en el archivo de recopilación para conocer el valor de la
serie.
✓ Ahora considere el uso de un sistema operativo seguro en este escenario. Los niveles de seguridad
se asignan a los sujetos en el momento de iniciar la sesión en función de criterios como desde qué
terminal se accede al computador y que usuario está implicado identificado mediante identificador
y contraseña. En este ejemplo hay dos niveles de seguridad: confidencial y público, clasificados de
manera que confidencial es de mayor nivel que público. A los procesos y ficheros de datos
propiedad de Benito se les asigna el nivel de seguridad confidencial. Los ficheros y procesos de Alicia
están restringidos al nivel de seguridad público. Si Benito invoca el programa Caballo de Troya, el
programa adquiere el nivel de seguridad de Benito. Por tanto, es capaz de observar la serie de
caracteres confidencial. Cuando el programa intente almacenar la serie en el fichero de nivel
público entonces se viola la propiedad de seguridad simple y el intento es rechazado por el monitor
de referencia. Así, el intento de escribir en el fichero de recopilación es denegado, incluso aunque
la lista de control de acceso lo permita. La política de seguridad tiene prioridad sobre el mecanismo
de la lista de control de acceso.
8. REFERENCIAS
[1] Stallings, W., González Rodríguez, M. and Joyanes Aguilar, L. (2010). Fundamentos de seguridad en redes. Madrid:
Pearson Prentice Hall.
[2] Informática, S., Perimetral, S., infracciones, Firewall, T., Security, S., (2018). Seguridad perimetral-Sonicwall
(Firewall, IDS/IPS) | Multicomp. [En línea] Multicomp. Disponible en: http://multicomp.com.mx/seguridad-
informatica/seguridad-perimetral/
[3] Criptored.upm.es. (2018). [En línea] Disponible en:
http://www.criptored.upm.es/intypedia/docs/es/video5/DiapositivasIntypedia005.pdf
[4] Comunicacion, I. N. (s.f.). Cuaderno de notas de observatorio. Obtenido de Gestion de contraseñas-
Observatorio de la Seguridad de la Información :
http://www.egov.ufsc.br/portal/sites/default/files/gestion_de_contrasenas.pdf
[5] Imperva. (2010). The Imperva Application Defense Center. Obtenido de Consumer Password Worst Practices:
https://www.imperva.com/docs/gated/WP_Consumer_Password_Worst_Practices.pdf