Está en la página 1de 10

NOMBRE: VILLAGRAN VELAZQUEZ ELMER ALEJANDRO

MATRICULA: 94520

GRUPO: K050

ACTIVIDAD DE APRENDIZAJE 4…DETECTANDO


INTRUSOS

MATERIA: REDES III

DOCENTE: DR. MARCO TULIO CERON LOPEZ

CIUDAD DE MEXICO A 17 DE DICIEMBRE 2020

1. Realice con un compañero


de trabajo, algún

vecino o con otra


persona de su preferencia, una
intrusión a una red de Internet. Si tiene cifrada
su red de internet, póngale la que el proveedor le
proporciona como obligatoria y pídale a su compañero que, a través de las variadas
aplicaciones para descifrar la clave de Internet, acceda a su red.

Detección de intrusiones de red


Este capítulo describe el Sistema de detección de intrusiones de red. El sistema de
detección de intrusiones de red (IDS de red) es un sensor de detección de intrusiones
basado en la red.

Consulte la publicación IBM Tivoli Risk Manager Problem Determination Guide para ver


los mensajes de IDS de red.

IDS de red realiza la escucha del tráfico de la red en espera de actividades


malintencionadas, como las exploraciones o los ataques de intrusiones reales.
Normalmente ejecutará IDS de red en una sola máquina dedicada, dentro o fuera de un
cortafuegos, para observar los intentos de intrusiones procedentes de Internet. IDS de red
se ejecuta en sistemas UNIX.

Puede ejecutar IDS de red en modo promiscuo para que observe el tráfico que va o viene
a o desde cualquier nodo de la red. IDS de red también se puede ejecutar en modo no
promiscuo, si se ejecuta en un servidor desde donde sólo observe el tráfico que va
destinado a ese servidor. La utilización del modo no promiscuo es útil en redes muy
rápidas o conmutadas en las que no es posible o práctico observar el tráfico desde un
único nodo.

El sensor de IDS de red da soporte a dos opciones de envío de alertas a un servidor de


eventos o a un servidor de correlación distribuida:

 Direccionar las alertas a la API de EIF de Tivoli Risk Manager local, tal como se ha
desplegado con el agente. El agente aplica reglas de resumen a las alertas de IDS
de red, reduciendo el tráfico de eventos que se envía al servidor.
 Direccionar las alertas a Syslog. Debe desplegarse un adaptador de registro de
eventos para procesar los registros de Syslog enviados por IDS de red.

Consulte el apartado Registro de información y alertas de IDS de red para obtener más


información sobre las opciones de registro de alertas de IDS de red. La Figura 53 muestra
las dos opciones de direccionamiento para enviar alertas de IDS de red a un servidor:
2. Describa la información sobre la computadora, con base en el análisis que
muestra las direcciones, IP y MAC de los otros equipos que estén en la red.

¿Qué es una dirección MAC?

Cada dispositivo que se conecta a una red informática requiere un adaptador de red. Este
adaptador recibe un número de identificación único del fabricante, la dirección MAC. Esto
permite que dispositivos como ordenadores de sobremesa, tablets o teléfonos móviles
puedan ser identificados en la red y direccionados según sea necesario. Si un dispositivo
tiene varios adaptadores de red (por ejemplo, para múltiples conexiones LAN o diferentes
estándares de comunicación como Ethernet, WLAN, FDDI, Bluetooth o Token Ring), se
dispone de una dirección diferente para cada uno.

paso 1: abre la consola de tu sistema operativo. Por ejemplo, utiliza la combinación de teclas
[Tecla Windows]+[R]. Luego escribe cmd en la ventana Ejecutar y confirma con “OK”.
Paso 2: a partir de Windows 2000, se dispone del comando de línea de
comandos ipconfig con la opción /all para recuperar la dirección MAC de todos los
adaptadores de red de su ordenador con Windows.
Paso 3: en Windows, la dirección MAC se muestra como “physical address”.

Filtrado MAC: qué es

Una de las muchas opciones y formas en que podemos proteger nuestro punto de acceso
Wi-Fi es el filtrado MAC. Como todo en el mundo de la seguridad, debéis saber que no es
impenetrable, y que existen formas para saltar esta barrera que le añadimos a nuestra
red, pero sin lugar a dudas es una de las mejores opciones para aumentar la
seguridad de nuestra red y conseguir que nadie que no queramos se conecte a nuestro
punto de acceso.

El filtrado MAC toma su nombre de la dirección MAC, siglas en inglés de Media


Access Control, de las tarjetas de red de los distintos dispositivos que están
preparados para conectarse a una red, como puede ser un ordenador, una tablet o
un smartphone. Cada dispositivo tiene una dirección MAC única que identifica a su tarjeta
de red –si hablamos de un equipo con varias tarjetas de red tendrá varias dirección
MAC–. Sería algo similar a nuestro carnet de identidad.

El filtrado MAC utiliza una lista de direcciones MAC que nosotros introduciremos, es
decir, una lista de dispositivos. Tomando en cuenta esta lista, hay dos modos en los
que se puede configurar:
 Permitiendo la conexión a los dispositivos añadidos a la lista de
direcciones MAC, quedando cualquier otro sin posibilidad de conectarse a
nuestra red. Esto es bastante útil cuando queremos que solo unos
determinados dispositivos puedan conectarse a nuestro Wi-Fi, pero presenta
el inconveniente de que si recibimos invitados no podrán hacer uso de
nuestra red.

 Denegando la conexión a los dispositivos que aparecen en la lista de


direcciones MAC, circunstancia en la que cualquier otro dispositivo podrá
conectarse. Esta forma sería adecuada para no permitir la conexión a un
determinado dispositivo del que conozcamos la dirección MAC, por ejemplo,
el teléfono móvil de nuestro hijo o el equipo del vecino que se conecta a
nuestra red sin permiso.

Cómo configurarlo

Configurar el filtrado MAC es bastante sencillo. Deberemos empezar por entrar en la web


de administración del router. Para ello deberemos escribir la dirección IP del router en
nuestro navegador –suele ser la 192.168.1.1– e identificarnos con nuestros credenciales,
los que normalmente son admin como usuario y como contraseña, aunque esto depende
del modelo de router que tengamos.

Antes de seguir con la configuración en la web de administración, deberemos conocer


las direcciones MAC de los dispositivos a los que queramos permitir o denegar la
conexión. En un artículo anterior ya explicamos como ver la dirección MAC de un
dispositivo en varios sistemas operativos.

En el caso de que nuestro objetivo sea denegar la conexión al algún dispositivo que no
sea de nuestra propiedad, podemos utilizar un programa como Wireless Network
Watcher, con el cual podremos ver qué dispositivos están conectados a nuestro
punto de acceso y sus direcciones MAC.

Una vez anotadas las direcciones MAC que utilizaremos, debemos ir al apartado del
filtrado MAC. Entre otras configuraciones tenemos que localizar la sección Wireless o
Wi-Fi y entrar al submenú MAC filter o filtrado MAC.
En un reporte, documente los pasos de la detección, la medida de corrección, las
recomendaciones y las conclusiones del proceso.
Paso 1. A simple vista
Lo primero que podemos hacer para detectar un intruso en nuestra red es tan sencillo que
puede parecer gracioso: si tenemos apagados todos los ordenadores y periféricos de
nuestra red, el router no debería mostrar actividad alguna. Si con todo apagado el led de
actividad se muestra frenético en cuanto a parpadeos, es muy posible que tengamos
intrusos. Este método de reconocimiento no es muy profesional, ya que determinadas
interferencias pueden hacer que el router parezca tener actividad sin tenerla, pero no deja
de ser un primer paso.

Paso 2. IP y MAC de los PCs permitidos


Para detectar intrusos de un modo más avanzado, lo primero que debemos hacer es
averiguar la IP y direcciones MAC de los ordenadores permitidos. Para ello, en los
equipos cargados con Windows, nos dirigimos a Inicio/Ejecutar y tecleamos la orden cmd.
Se abrirá una consola de MS-DOS en la que teclearemos la siguiente orden: ipconfig/all.
De esta forma, podremos ver una lista con todas nuestras interfaces de red y la
información relacionada con ella. Nos interesa la IP y la dirección MAC del ordenador.
Esta operación deberemos realizarla para cada una de las máquinas a las que queramos
permitir el acceso. No es mala idea apuntar tanto las IPs como las MAC de los
ordenadores en un papel, pues seguramente debamos consultarlas más de una vez.

Paso 3. Lista DHCP de conexiones


Muchos de los routers actuales contienen utilidades de diagnóstico de la red y pueden
ayudarnos en la labor de localizar intrusos. En concreto, vamos a utilizar la lista de
clientes DHCP conectados que genera el router. Este sistema tiene la desventaja de que
nos va a permitir descubrir al intruso única y exclusivamente si el ladrón de conexión se
encuentra conectado en el mismo momento de la consulta.
El método puede variar en función de la marca y modelo del enrutador; pero, en general,
tendremos que «loguearnos» en nuestro router accediendo a la interfaz de
administración mediante nuestro navegador favorito; normalmente, la dirección
es http://192.168.1.1. A continuación, nos pedirá un usuario y una clave para acceder a
nuestro panel de administración. En nuestro caso, estamos utilizando un router con
el firmware DD-WRT. Si este procedimiento nos diera error, deberíamos consultar en el
manual de nuestro router tanto esta dirección como la clave para entrar.

Paso 4. Detección de intrusos


Si no tenemos un log en nuestro router o simplemente no nos aclaramos mucho con él,
podemos utilizar software que nos ayude a detectar la actividad anormal existente en
nuestra red. En este sentido, es factible localizar en Intenet multitud de programas
diseñados para este cometido, aunque quizás el más conocido para entornos Windows
sea AirSnare (http://home.comcast.net/~jay.deboer/airsnare/). Se trata de una
aplicación muy completa que nos brinda la oportunidad de «escuchar» una red determinada
y nos muestra un log con los eventos que pasan a través del enrutador.
Una vez descargado e instalado, lo iniciamos y seleccionamos la interfaz de red con la
que queremos empezar la monitorización. Pulsamos sobre el botón izquierdo del ratón y,
luego, sobre Start. Después de unos momentos, nos avisa mediante voz y con mensajes
en la pantalla de cada una de las direcciones MAC que encuentra en la red. Al principio,
va a tomar a todas las direcciones MAC detectadas como desconocidas. No obstante, con la
lista que confeccionamos al principio, nosotros mismos comprobamos cuáles
verdaderamente pertenecen a los ordenadores y periféricos permitidos, seleccionándolas y
pulsando sobre el botón izquierdo del ratón. Al elegir la opción add to Trusted, las
direcciones pasarán a la lista de direcciones amigas.
Bibliografía

Martínez, Raúl (2 de julio de 2016). «pytbull: Pon a prueba tu sistema de prevención y detección de


intrusiones (IDS/IPS)». Noticias de seguridad informática, ciberseguridad y hacking. Consultado el 9 de
septiembre de 2020.