Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 1 Aspecto de Seguridad Protocolo TCP
Tema 1 Aspecto de Seguridad Protocolo TCP
[1.2] Introducción
[1.5] IP versión 6
1
TEMA
Aspectos de seguridad del protocolo TCP/IP
Esquema
TEMA 1 – Esquema
Fundamentos arquitectura TCP/IP IP versión 6 Seguridad redes inalámbricas
2
ICMP AH WPA
IP WPA2
TCP
UDP
…
Seguridad en redes
Seguridad en redes
Ideas clave
Para estudiar este tema, además de las Ideas clave, lee el capítulo 2 «A Security
Review of Protocols: Lower Layers» del libro Firewalls and Internet Security:
Repelling the Wily Hacker, de William R. Cheswick, Steven M. Bellovin, y Aviel D.
Rubin. El capítulo está disponible en: http://www.wilyhacker.com/chap02.pdf
Este tema en concreto tiene como objetivo introducirte en los fundamentos del
funcionamiento de la arquitectura TCP/IP, para después tratar cómo estos
fundamentos condicionan tanto las vulnerabilidades de las redes, como la forma de
protegerlas. Para ello, durante este tema se tratarán tres puntos principales:
1.2. Introducción
El objetivo era la división de los datos en paquetes que permitieran una mejor
comunicación entre los computadores. Un paquete es un grupo de información que
consta de dos partes: los datos propiamente dichos y la información de control, en la
que está especificada la ruta a seguir a lo largo de la red hasta el destino del paquete.
Capa de Sesión
Comunicación entre dispositivos de la red
Capa de Enlace
Direccionamiento físico (MAC y LLC) Capa física
Señal y transmisión binaria, y
Capa física direccionamiento físico (MAC y LLC)
Señal y transmisión binaria
» Capa física: Se corresponde con la capa de enlace y la capa física del modelo OSI.
Normalmente incluye el driver del dispositivo en el sistema operativo y la
correspondiente tarjeta de interfaz de red del ordenador. Ofrece los recursos
que permiten la transmisión de los datos a través de la red. Ejemplos de
protocolos que compones esta capa son: Ethernet (IEEE 802.3), Wifi (IEEE 802.11),
Address Resolution Protocol (ARP) o Address Resolution Protocol (ARP).
» Capa de red: Se corresponde con la capa de red del modelo OSI. Permite el
encaminamiento y maneja el movimiento de los paquetes en la red.
Ejemplos de protocolos que compones esta capa son: Internet Protocol (IP), Address
Resolution Protocol (ARP), Internet Control Message Protocol (ICMP), Reverse
Address Resolution Protocol (RARP) o Internet Group Management Protocol
(IGMP).
TCP UDP
Una vez descritas las diferentes capas que componen la pila TCP/IP se describen a
continuación los principales protocolos que forman esas capas.
Existe un tipo de ataque que se aprovecha del protocolo ARP y que permite a un
atacante suplantar a otro usuario de la red de área local (LAN), teniendo
acceso a los paquetes de datos para él destinados y pudiendo, incluso, modificarlos o
bloquearlos. Esta técnica se conoce como ARP Spoofing o ARP Poisoning y
consiste en enviar falsos mensajes ARP reply a la red para que el atacante reciba los
paquetes destinados al usuario que el atacante quiere suplantar.
IP - Internet Protocol
TCP
1. Uno de los extremos (A) envía un mensaje SYN inicial con un número de secuencia
X que es recibido por el otro extremo de la comunicación (B).
2. B responde con un paquete SYN-ACK que incluye su propio número de secuencia Y y
la confirmación de recepción X+1.
3. A responde con un mensaje ACK que incluye la confirmación de recepción (Y+1).
Los números de secuencia utilizados en los mensajes tienen, además del papel de
sincronización, la función de evitar que posibles atacantes puedan interferir en
una conexión TCP, ya que, si no saben el número de secuencia correspondiente,
aunque envíen un paquete malicioso, este será descartado al llegar al extremo
correspondiente.
Existe, sin embargo, un tipo de ataque conocido como TCP Sequence Prediction
Attack que podría llevarse a cabo contra el establecimiento de conexiones de TCP si un
atacante es capaz de adivinar el número de secuencia utilizado por el extremo de la
conexión al que quiere engañar. De este modo, un atacante podría responder con una
confirmación de número se secuencia válida (ACK) sin necesidad de recibir el mensaje
correspondiente; pudiendo, por lo tanto, suplantar a cualquiera de los extremos de la
comunicación.
Una vez establecida la conexión, existen dos tipos de conexiones posibles, tal como se
describe en la siguiente imagen:
El cierre de una conexión TCP es asíncrono por lo que cada extremo debe cerrar
su conexión de manera independiente enviando un mensaje FIN cuya recepción deberá
ser confirmada por el otro extremo con su correspondiente ACK. Una representación de
esta comunicación puede verse en la siguiente imagen (el segundo y tercer mensajes
pueden substituirse por un único mensaje FIN/ACK).
User Datagram Protocol (UDP) es un protocolo más sencillo que TCP que no
cuenta con mecanismos que le permitan corregir errores, retransmitir paquetes o la
detección de paquetes perdidos o duplicados. No está orientado a conexión y no
es fiable. Por otro lado, su cabecera es más pequeña, por lo que los paquetes tendrán
un menor tamaño; y no necesita el establecimiento de una conexión, de manera que el
número de paquetes que se tienen que enviar es menor.
1.5. IP versión 6
Actualmente, para poder trabajar con ambos tipos de direcciones IP, los sistemas
incorporan una dual-stack que incluye dos pilas, una para cada versión del protocolo,
y que permite la comunicación con todo tipo de equipos y redes. También es posible
que un sistema IPv6 se comunique con sistemas IPv4 si se utilizan herramientas
específicamente diseñadas para ello como 6to4 o Teredo.
» Uso de jumbogramas: IPv4 limita los paquetes a 64 KiB de carga útil. IPv6 tiene
soporte opcional para que los paquetes puedan superar este límite, los llamados
jumbogramas, que pueden ser de hasta 4 GiB.
Las primeras redes inalámbricas surgieron como un complemento a las redes de área
local cableadas para dotar de mayor movilidad a los usuarios a través de un acceso
inalámbrico de corto alcance para dispositivos electrónicos.
A medida que este tipo de redes fueron evolucionando y ganando aceptación surgió la
necesidad de crear una tecnología inalámbrica que permitiera asegurar la
compatibilidad entre equipos de diversos fabricantes. Con el objetivo de alcanzar esa
meta, en 1999 un grupo de empresas se unió para crear la organización Wireless
Ethernet Compatibility Alliance (WECA), actualmente conocida como WiFi Alliance.
En abril de 2000, WECA certificó la norma IEEE 802.11b, bajo la marca WiFi;
certificando que los equipos que incluyese este sello WiFi podrían interactuar
entre ellos con independencia de su fabricante.
El estándar utilizado por WiFi, IEEE 802.11, opera en la capa física de la pila TCP/IP y
es análogo al protocolo IEEE 802.3 (Ethernet) para redes locales cableadas. Además, se
diseñó de manera que se mantuviera una completa compatibilidad con el mismo.
Desde la creación del primer estándar IEEE 802.11, esta familia de estándares ha ido
evolucionando y mejorando aspectos como el rango y velocidad de la transferencia de
información, la seguridad, etc. a través de la definición de nuevos estándares IEEE
802.11, tales como: IEEE 802.11b, IEEE 802.11g, IEEE 802.11i, IEEE 802.11n, etc.
Este tipo de redes se encuentran disponibles en prácticamente casi todos los ámbitos
(universidades, centros de investigación, aeropuertos, cafeterías e incluso hogares) y se
utilizan para el intercambio de diversos tipos de información. Este uso cada vez más
generalizado y diverso ha motivado la aparición de diversos mecanismos de seguridad
para evitar accesos no deseados a este tipo de redes y proteger la información que en
ellas se encuentra.
Wired Equivalent Privacy (WEP) forma parte del estándar IEEE 802.11b y fue creado
con la idea de proporcionar una seguridad a las redes inalámbricas comparable a la de
una red tradicional cableada. Para ello, WEP:
1 Uso de una única clave estática que comparten todos los usuarios.
A través del análisis de las debilidades del protocolo WEP surgieron numerosos ataques
que terminaron en el desarrollo de varias herramientas de dominio público, como
Airsnort, WEPCrack o Aircrack, que permiten la obtención de la clave compartida
utilizada en este tipo de redes.
WPA está pensado para ser compatible con el hardware existente y para
permitir a redes ya desplegadas poder migrar de WEP a un estándar más seguro. Para
ello:
» Usa claves dinámicas (cambian más o menos cada 10.000 paquetes enviados) y
que varían para cada usuario (se combina con la dirección MAC del dispositivo
del usuario); lo que conlleva una mejora significativa de la seguridad de la red.
WPA2, por su parte, suponía una ruptura con el hardware existente y propone un
modelo de seguridad basado en un algoritmo criptográfico más moderno y seguro como
Advanced Encryption Standard (AES). Para ello:
» Usa el modo Counter Cipher Mode with Block Chaining Message Authentication
Code Protocol (CCMP) de AES (AES-CCMP) que provee tanto de confidencialidad
como de integridad y autenticación a los paquetes.
» Usa claves dinámicas (cambian más o menos cada 10.000 paquetes enviados) y
que varían para cada usuario (se combina con la dirección MAC del dispositivo
del usuario); lo que conlleva una mejora significativa de la seguridad de la red.
Lo + recomendado
Lecciones magistrales
No dejes de leer…
TEMA 1 – Lo + recomendado 17
Seguridad en redes
Carballar, J. A. (2005). Wi-Fi, Cómo construir una red inalámbrica. Madrid: Editorial
Rama.
No dejes de ver…
TEMA 1 – Lo + recomendado 18
Seguridad en redes
+ Información
A fondo
Envenenamiento ARP
La seguridad del protocolo inalámbrico WEP está claramente en entredicho desde hace
años. De hecho, y aunque existen algunas redes inalámbricas que aún lo utilizan, está
completamente desaconsejado su empleo (salvo en casos excepcionales donde no exista
la posibilidad de utilizar un mecanismo más seguro). Para aquellos alumnos
interesados en comprender la capacidad técnica necesaria para comprometer WEP
puede ser interesante revisar este artículo.
TEMA 1 – + Información 19
Seguridad en redes
Webgrafía
Slashdot
Se trata de un sitio web reconocido a través de cuya lectura se puede estar al día tanto
de las vulnerabilidades que aparecen en las redes de ordenadores, como de los
mecanismos de protección que pueden ser empleados para protegerlas
http://slashdot.org/
TEMA 1 – + Información 20
Seguridad en redes
Test
TEMA 1 – Test 21
Seguridad en redes
8. El protocolo IPSEC:
A. Puede ser usado con la versión de IPv4.
B. Solo puede ser usado junto con la versión IPv6.
C. Solo puede ser usado junto con la versión IPv4.
D. Ninguna de las anteriores.
9. El protocolo WPA:
A. Utiliza el algoritmo de cifrado RC4 para proteger la confidencialidad de las
comunicaciones.
B. Utiliza el algoritmo de cifrado AES para proteger la confidencialidad de las
comunicaciones.
C. Utiliza el algoritmo de cifrado Michael para proteger la confidencialidad de las
comunicaciones.
D. Ninguna de las anteriores.
10. El campo TTL (Time to Live) es sustituido en la nueva versión del protocolo IP
(IPv6):
A. Hop Limit.
B. Jumps to destination (JtD).
C. Time to Live v6 (TTLv6).
D. Ninguna de las anteriores.
TEMA 1 – Test 22