UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA FASE DE RECONOCIMIENTO

SEGURIDAD DE REDES
FASE TRES

PRESENTADO POR:

IVAN DAVID ARCOS REYES

TUTOR:
JESUS HAMILTON ORTIZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

FACULTAD DE INGENIERIA
CEAD PASTO
2019

1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA FASE DE RECONOCIMIENTO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

OBJETIVOS

GENERALES

Reconocer las principales características en cuanto al estándar IEEE

concerniente a seguridad inalámbrica

ESPECIFICOS

 Desarrollar un cuadro en el cual se identifique las características

de los protocolos IEEE 802 referentes a seguridad inalámbrica

 Desarrollar la red propuesta con direccionamientos e

implementación de listas de control de acceso ACL para cumplir
con los requerimientos propuestos
 INTRODUCCION

Se realiza una consulta en cuanto a los protocolos de seguridad inalámbrica mediante

los protocolos IEEE plantados para ciertas funciones, capaces de parametrizar y definir
las funciones en cuanto a los sistemas de protección informática se refiere, definiendo
sus principales características. Y como poder aplicarlas para generar sistemas de
información seguros, en los cuales se conserven los datos y se elimine todo tipo de
amenaza.
Actividades a desarrollar

Actividad individual

Cada estudiante debe resolver:

1. Elaborar una tabla con las diferencias entre los protocolos de

seguridad para redes inalámbricas definidos por la IEEE.

PROTOCOLO DIFERENCIAS
WEP (Wired Equivalent  Una sola clave simétrica y estática
Privacy), mecanismo de  Distribución manual de claves
seguridad incluido en la  No autentifica usuarios Algoritmo de encriptación: RC4
especificación IEEE  Claves de 64 bits (40 fijos + 24 cambiantes)
802.11  Los 24 bits son el vector de inicialización (IV). Se envía al
destino sin encriptar.
 Encriptación El keystream lo produce el algoritmo RC4 en
función de la clave (40 bits) y el IV (24 bits). Aunque se utilice
una clave de más bits, el IV siempre será de 24 bits (p. ej.
128 = 104 + 24).
 El IV se transmite sin cifrar. Para desencriptar: mensaje
cifrado XOR keystream. XOR mensaje cifradoIV datos
transmitidos mensaje en claroCRC Clave IV keystream RC4
 Existen 2^24 combinaciones de claves diferentes: no son
tantas y además unas pocas se utilizan a menudo.
 Suele repetirse la misma secuencia de IVs cada vez que se
reinicia la tarjeta.
 La claveIV 24 bits Dependiendo de la carga de la red y la
implementación de WEP, podrían encontrarse IVs repetidos
incluso en cuestión de minutos. 0clave 1clave 2clave.
 Debilidad del IV keystream.
 debido a una debilidad de RC4 cuando se conoce parte de la
clave (el IV) y sus keystreams, se puede deducir la clave total
usada. keystream n IV n clave.
 Debido a que no dispone de un mecanismo de distribución de
claves automático, la clave no suele cambiarse nunca.
 La misma clave se almacena tanto en el punto de acceso
 como en todas las estaciones.
 WEP carece de mecanismos de protección contra paquetes
falsificados o repetidos (replay).
 El CRC se incluyó como un mecanismo de integridad, pero se
ha demostrado que no sirve.
 Alternativas WEP2 utiliza claves de 104+24 bits. No está
estandarizado.
 El uso de claves mayores no resuelve los problemas de WEP.
WEP dinámico incluye distribución de claves mediante
802.1x/EAP/RADIUS.
 Utilización de VPNs (p. ej. IPSec) para todas las
comunicaciones con hosts inalámbricos solución segura,
elegida por numerosas empresas.
WPA (Wi-Fi Protected  Problemas de WEP resueltos Debilidad de IV de WEP IV de 48
Access) liderado por bits.
Wi-Fi Alliance. No es un  WPA 802.1X control de acceso basado en puertos.
estándar, sino un  EAP protocolo de autentificación extensible.
subconjunto de lo que  TKIP claves temporales (dinámicas).
será IEEE 802.11i.  MIC integridad de mensajes.
 Se especifica cómo debe cambiarse.
 Integridad débil (CRC) de WEP Códigos MIC.
 Claves estáticas y manuales Claves generadas dinámicamente
y distribución automática.
 Autentificación mínima Autentificación fuerte de usuarios a
través de 802.1X/EAP/RADIUS.
 WPA resuelve todos los problemas conocidos de WEP.
 Con servidor (RADIUS).
 Con clave inicial compartida (PSK) Esta clave sólo se usa para
la autent. no para la encriptación
WPA2 (IEEE 802.11i)  WEP y WPA2 utilizan RC4.
Estándar del IEEE para  WPA2 incluye el algoritmo de encriptación AES.
mejorar la seguridad de  AES (Advanced Encryption Standard), algoritmo simétrico de
las redes WLAN bloque con claves de 128 bits.
 Requerirá HW más potente.
 Protocolo Counter-Mode/CBC-MAC (CCMP) Incluye soporte
para redes ad-hoc (WPA es válido sólo para BSS).

PROTOCOLOS DE SEGURIDAD INALAMBRICA IEEE

PROTOCOL DESCRIPCIÓN FECHA FRECUENCI MODULA TROUGHPUT RANGO

O DE A CION (Mbps) (iNDOOR
APROBA (GHZ) )
CIÓN
Real Teoric
o

802.11 Primer estándar 1999 5.15- ODFM 25 54 50

que permite un 5.355,47- con
ancho de banda 5.7255.725- BPSK,SPS
de 1 a 2 Mbps. 5,825 K y 16/64
Trabaja a 2.4 QAM
GHz

802.11ª Llamado 1999 2.4-5.0 OFDM 54

también Mbit/s
Wifi5.Tasa de 54
Mbps. Trabaja
en torno a 5GHz,
frecuencia
 menos saturada
que 2.4

802.11b Conocido como 1999 2.4-2.5 CCK y 6.5 11 100

WIFI. El más DSSS(5 y
utilizado 11
actualmente. Las Mbps),
mismas DQPSK(2
interferencias Mbps)
que pasa que DBPSK
para 802.11 ya (1Mbps)
que trabaja a
2.4 GHz. Tasa de
11 Mbps

802.11c Es una versión

modificada del
estándar 802.1d
que permite
combinar el
802.1dcon
dispositivos
compatibles
802.11 en el
nivel de enlace
de datos

802.11d Este estándar es

un complemento
del estándar
802.11 que está
pensado para
permitir el uso
internacional de
las redes 802.11
locales, Permite
que distintos
dispositivos
intercambien
información en
rangos de
frecuencia según
lo que se
permite en el
país de origen
del dispositivo

802.11e Define los

requisitos del
ancho de banda
y al retardo de
transmisión para
permitir mejores
transmisiones de
audio y video.
Está destinado a
mejorar la
calidad del
servicio en el
 nivel de la capa
de enlace de
datos

802.11f Su objetivo es
lograr la
interoperabilidad
de puntos de
acceso (AP)
dentro de una
red WLAN
multiproveedor.
El estándar
define el registro
de puntos de
acceso dentro de
una red y el
intercambio de
información
entre ellos
cuando un
usuario se
traslada desde
un punto de
acceso a otro.

802.11g Ofrece un ancho 2003 2.4-2.5 DSSS,DQ 25 54 100

de banda de 54 PSK,
Mbps en el rango DBPSK,O
de frecuencia de FDM, con
2.4 GHz. Es BPSK
compatible con SPSK y
el estándar 16/64
802.11b, lo que QAM
significa que los
dispositivos que
admiten el
estándar
802.11g también
pueden
funcionar con el
802.11b

802.11h El objetivo es
que 802.11
cumpla los
reglamentos
europeos para
redes WLAN
para la banda de
5 GHz requieren
que los
productos
tengan control
de potencia de
transmisión y
selección de
frecuencia
 dinámica

802.11i Aprobada en
Julio de 2004, se
implementa en
WPA2.
Destinados a
mejorar la
seguridad en la
transferencia de
datos(al
administrar y
distribuir claves,
y al implementar
el cifrado y la
autenticación).
Este estándar se
basa en el
protocolo de
encriptación AES

802.11n Se basa en la
tecnología
MIMO. Trabajará
en la frecuencia
de 2.4 a 5GHz.
Soportara tasas
superiores a 100
Mbps

802.11s Redes Mesh o

malladas.

Los dispositivos IEEE 802.11ª transmiten a 5 GHz dando cobertura a células de RF

más pequeñas con un coste energético superior, visto de otra manera, se necesitaba
más puntos de acceso 802.11 para cubrir la misma zona que con b. Por el contrario, el
adoptar la banda de frecuencia de 5 GHz y utilizar la modulación OFDM hacen que
802.11a goce de dos notables ventajas respecto al 802.1 b aumenta la tasa de
transmisión de 11 Mbps a 54 Mbps y aumenta el número de canales sin solapamiento,
logrando así transmitir pudiendo asi admitir un mayor número de usuarios. Está
tecnología presenta el inconveniente de no ser compatible con 802.11b

El 802.11g opera en la misma banda de frecuencia que el 802.11b de 2.4 GHz y con
los mismos tipos de modulación DSSS a velocidades de hasta 11 Mbps, mientras que a
velocidades superiores utiliza tipos de modulación OFDM más eficientes. Es un
estándar compatible con los equipos 802.11b ya existentes.

En comparación con el estándar IEEE 802.11a, el 802.11g tiene un ancho de banda

utilizable más bajo, lo que implica un menor número de usuarios. Aunque las
modulaciones OFDM permite una velocidad mas alta, el ancho de banda disponible
total en la banda de frecuencia de 2.4 GHz no varía. El motivo que el IEEE 802.11g
todavía está restringido a tres canales en la banda de 2.4 GHz .

Actividades a desarrollar
 2. Para el desarrollo de este punto el estudiante retoma la red TCP/IP de
la Tarea-Presaberes.

Descripción de la red: Corresponde a una empresa de seguros a nivel

nacional, cuya oficina principal se encuentra en la ciudad de Bogotá,
donde el pc7 es el equipo del gerente de la empresa, pc6 es el equipo
de la asistente ejecutiva del gerente. Por otro lado, el servidor web se
encuentra en la ciudad de Medellín y corresponde al pc2, el servidor de
bases de datos se encuentra en la misma ciudad; pc3.
La empresa brinda los servicios de ventas y asesorías en seguros en las
ciudades de Ibagué y Santa Martha, por tanto, los equipos terminales
de estas ciudades corresponden a equipos para gestionar los trámites
requeridos, para ellos se conectan a los servidores y a su vez al equipo
del gerente, el cual tiene una aplicación software para las
autorizaciones.
Por último, los empleados de Ibagué y Santa Martha suelen sacar
información de la empresa en memorias USB o pendrives para trabajo
en casa. La empresa requiere implementar mecanismos y servicios de
seguridad, así como las políticas necesarias para garantizar la seguridad
de la red empresarial.

A partir de la red anterior desarrollar los siguientes puntos:

En base a la Recomendación ITU X.800 seleccionar los mecanismos y

servicios más adecuados, de acuerdo a la descripción del escenario
de red, para reducir sus vulnerabilidades.

Servicios de seguridad:
Autenticación
Estos servicios proporcionan la autenticación de una entidad par
comunicante y de la fuente de dato.

Autenticación de entidad par

Este servicio se utiliza en el establecimiento de la fase de transferencia
de datos de una conexión, o a veces durante ésta, para confirmar la
identidad de una o varias entidades conectadas a una o varias otras
entidades. Este servicio da confianza, en el momento de utilización
solamente, en que una entidad no está tratando de usurpar otra
identidad o la reproducción no autorizada de una conexión anterior.

Control de acceso
Este servicio proporciona protección contra el uso no autorizado de
recursos accesibles mediante ISA. Este servicio de protección puede
aplicarse a diversos tipos de acceso a un recurso (por ejemplo, el uso
de un recurso de comunicaciones, la lectura, la escritura, o la
supresión de un recurso de información; la ejecución de un recurso de
procesamiento) o a todos los accesos a un recurso.

Confidencialidad de los datos

Estos servicios proporcionan la protección de los datos contra la
revelación no autorizada.

Confidencialidad del flujo de tráfico

Este servicio proporciona la protección de la información que pudiera
derivarse de la observación de los flujos
de tráfico.

Integridad de los datos

Estos servicios contrarrestan las amenazas activas. El uso del servicio
de autenticación de la entidad par al comienzo de la conexión y del
servicio de integridad de los datos mientras dura la conexión puede
confirmar conjuntamente la fuente de todas las unidades de datos
transferidas a la conexión, la integridad de estas unidades de datos y
puede además proporcionar la detección de duplicación de unidades de
datos, por ejemplo, mediante el uso de números de secuencia.

Integridad en modo sin conexión

Este servicio proporciona la integridad de una sola UDS en modo sin
conexión y puede adoptar la forma de una indicación que permite
saber si una UDS recibida ha sido modificada. Además, puede
proporcionarse una forma limitada de detección de reproducción.

No repudio con prueba de la entrega

Se proporciona al expedidor de los datos la prueba de la entrega de los
datos. Esto lo protegerá contra
Cualquier tentativa ulterior del destinatario de negar que ha recibido
los datos o su contenido
Mecanismos de seguridad:

Cifrado
El cifrado puede proporcionar la confidencialidad de la información de
datos o del flujo de tráfico y puede desempeñar una función en varios
otros mecanismos de seguridad o complementarlos

Mecanismos de firma digital

La característica esencial del mecanismo de firma es que la firma sólo
puede producirse utilizando la información privada del firmante. De
este modo, cuando se verifica la firma, puede probarse
subsiguientemente a una tercera parte (por ejemplo, a un juez o
árbitro), en cualquier momento, que sólo el poseedor único de la
información privada pudo haber producido la firma.

Mecanismos de control de acceso

Estos mecanismos pueden utilizar la identidad autenticada de una
entidad o información, si la entidad intenta utilizar un recurso no
autorizado, o un recurso autorizado con un tipo impropio de acceso, la
función de control de acceso rechazará la tentativa y puede informar
además el incidente a los efectos de generar una alarma y/o anotarlo
en el registro de auditoría de seguridad.

Mecanismo de intercambio de autentificación

Algunas de las técnicas que pueden aplicarse a los intercambios de
autenticación son:
a) utilización de información de autenticación, como contraseñas,
suministradas por una entidad expedidora y verificadas, por la entidad
receptora;
b) técnicas criptográficas; y
c) uso de características y/o propiedades de la entidad.

Mecanismo de control de encaminamiento

Las rutas pueden elegirse dinámicamente o por acuerdo previo con el
fin de utilizar sólo subredes, relevadores o enlaces físicamente
seguros.

Detección de eventos
La detección de eventos relativos a la seguridad comprende la
detección de violaciones aparentes de seguridad y puede incluir
también la detección de eventos «normales» tales como el acceso
logrado (o «log on»). Los eventos relativos a la seguridad pueden ser
detectados por entidades, dentro de la ISA.

Registro de auditoría de seguridad

Los registros de auditoría de seguridad proporcionan un mecanismo de
seguridad valioso dado que hacen posible detectar e investigar
potencialmente las violaciones de seguridad permitiendo una auditoría
de seguridad posterior.
Definir las políticas necesarias para la red, teniendo en cuenta la
descripción del contexto de red.
A partir de las políticas se podrá comenzar a desarrollar, primero las
normas, y luego los procedimientos de seguridad que serán la guía
para la realización de las actividades. La política de
seguridad comprende todas las reglas de seguridad que sigue una
organización.
La seguridad informática de una compañía depende de que los
empleados (usuarios) aprendan las reglas a través desesiones de
capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los
empleados y cubrir las siguientes áreas:

 Definir qué es seguridad de la información, cuáles son sus

objetivos principales y su importancia dentro de la organización.
 Mostrar el compromiso de sus altos cargos con la misma.
 Definir la filosofía respecto al acceso a los datos.
 Establecer responsabilidades inherentes al tema.

Establecer la base para poder diseñar normas y procedimientos

referidos a:
 Organización de la seguridad.
 Clasificación y control de los datos.
 Seguridad de las personas.
 Plan de contingencia.
 Prevención y detección de virus.
 Administración de los computadores
 Un mecanismo de seguridad física y lógica que se adapte a las
necesidades de la compañía y al uso de los empleados.
 Un procedimiento para administrar las actualizaciones.
 Una estrategia de realización de copias de seguridad planificada
adecuadamente.
 Un plan de recuperación luego de un incidente.
 Un sistema documentado actualizado.

Crear una lista de control de acceso, definiendo las siguientes reglas:

para el host del gerente: bloqueo de tráfico ICMP y conexiones en
puerto 21 (ftp), para los hosts PC0 y PC5: bloqueo de tráfico web.

TABLA DE DIRECCIONES

Device Interface IP Address Subnet Mask Default Gateway

G0/0 192.168.10.1 255.255.255.0 N/A

ROUTER IBAGUE G1/0 192.100.3.1 255.255.255.0
G0/0 192.168.20.1 255.255.255.0 N/A
 ROUTER BOGOTA G1/0 192.100.3.2 255.255.255.0
G2/0 192.100.4.2 255.255.255.0
G3/0 192.100.5.2 255.255.255.0
SANTA MARTA G0/0 192.168.30.1 255.255.255.0
G1/0 192.100.4.1 255.255.255.0
MEDELLIN G0/0 192.168.40.1 255.255.255.0
G1/0 192.100.5.1 255.255.255.0
PC ASISTENTEN NIC 192.168.20.2 255.255.255.0 192.168.20.1
PC GERENTE NIC 192.168.20.3 255.255.255.0 192.168.20.1
SERVIDOR WEB F0/0 192.168.40.2 255.255.255.0 192.168.40.1
PC0 F0/0 192.168.10.2 255.255.255.0 192.168.10.1

CONFIGURACIÓN ACL PARA BLOQUEO DE TRAFICO ICMP PARA EL HOST DEL GERENTE
192.168.20.3

CONFIGURACIÓN ACL PARA BLOQUEO CONEXIONES EN PUERTO 21 (FTP)

PARA EL HOST DEL GERENTE IP 192.168.20.3
 CONFIGURACION ACL PARA RESTRINGIR NAVEGACION HTTP PARA EL
EQUIPO PC0

VERIFICACIÓN DE LA CREACION DE LAS ACL MEDIANTE EL COMANDO SHOW

ACCES-LIST
CONCLUSIONES

 La estandarización de los protocolos de seguridad, asegura fiabilidad a la

hora de la implementación de las diferentes redes , y brindan
mecanismos para la protección de los sistemas de información con
variedad de métodos

 Los sistemas de enrutamiento tienen métodos para determinar ciertos

privilegios que pueden determinarse gracias a mecanismos como la
creación de listas de acceso, que quitan u otorgan acceso a los diferentes
protocolos de direccionamiento.

 Se ejecuta una red WAN con requerimientos de creación de listas de

acceso, para poner en práctica los sistemas de seguridad dispuestos para
esta fase.
 BIBLIOGRAFIA

Gidel, T., Gautier, R., & Duchamp, R., (2005), “Decision-making

framework methodology: an original approach to project risk
management in new product design”, Journal of Engineering Design,
Vol. 16, No. 1, pp. 1-23

Hernandis, B.,Briede, J.C., (2009),”An educational application for a

product design and engineering systems using integrated conceptual
models”, Ingeniare: Revista chilena de ingeniería, Vol. 17, No. 3, pp.
432-442.

[2] Can Noguera,

Departamento Técnico y de
Calidad, s/n (Pol Ind. Barcelonés), [Online].
Available: http://www.microlink.com.co/sites/default/files/RG-
59.PDF