Seguridad en Redes

FACULTAD DE INGENIERÍA
Redes de Computadores
Capítulo 8: Seguridad en Redes
Escuelas: Ingeniería Electrónica y Telecomunicaciones

Semestre: Marzo 2018 – Agosto 2018
Docente: Santiago González Martínez
santiago.gonzalezm@ucuenca.edu.ec
Cuenca - Ecuador
Bibliography
A note on the use of these ppt slides:

We’re making these slides freely available to all (faculty, students, readers). Computer
They’re in PowerPoint form so you see the animations; and can add, modify,
and delete slides (including this one) and slide content to suit your needs. Networking: A Top
They obviously represent a lot of work on our part. In return for use, we only
ask the following: Down Approach
 If you use these slides (e.g., in a class) that you mention their source
(after all, we’d like people to use our book!)
6th edition
 If you post any slides on a www site, that you note that they are adapted Jim Kurose, Keith Ross
from (or perhaps identical to) our slides, and note our copyright of this
material.
Addison-Wesley
March 2012
Thanks and enjoy! JFK/KWR
All material copyright 1996-2012

J.F Kurose and K.W. Ross, All Rights Reserved
8.1 Conceptos Generales
8.2 Principios de criptografia
8.3 Autenticación e Integridad de Mensajes
8.4 Conexiones TCP Seguras: SSL
8.5 Seguridad en la Capa de Red: IPsec
8.6 Seguridad en Redes Inalámbricas
8.7 Firewalls y ACLs
Capítulo 8 – Sesión 33
Sesión 33
Conceptos Generales
Confidencialidad: Únicamente el Transmisor y el Receptor deberían
“comprender” el contenido de los mensajes intercambiados
 Transmisor encripta los mensajes
 Receptor desencripta los mensajes
Autenticación: Proceso efectuado por el Transmisor y Receptor para
confirmar la identidad de cada uno
Integridad de los Mensajes: Proceso mediante el cual el Tx y el Rx
verifican que los mensajes no han sido alterados
Acceso y disponibilidad: Define los servicios accesibles y disponibles
para los usuarios
Tranmisor, Receptor e Intrusos
 Los elementos intrusos en la red pueden interceptar y

eliminar los mensajes entre el transmisor y el receptor
Tx Rx
channel data, control
messages
data secure secure data

sender s
receiver
Intruso
Transmisor y Receptor
 Los elementos que actúan como Tx y Rx pueden ser:
 Web browser/Server para transacciones electrónicas

(compras on-line)
 Cliente/Servidor aplicaciones bancarias
 Servidores DNS
 Routers intercambiando mensajes sobre actualizaciones
Sesión 33
Languaje Criptográfico
Alice’s Bob’s
K encryption K decryption
A
key B key
plaintext encryption ciphertext decryption plaintext

algorithm algorithm
Un archivo de texto plano contiene

únicamente texto formado solo por caracteres
que son legibles, careciendo de cualquier tipo
de formato tipográfico.
m plaintext message Estos archivos están compuestos de bytes que
representan caracteres ordinarios como letras,
números. Estos caracteres se pueden codificar
de distintos modos Algunos de los sistemas de
codificación más usados son: ASCII, y UTF-8.
Alice’s Bob’s
A
key B key

algorithm algorithm
- El mensaje generado por la fuente es

encriptado
- Mensaje encriptado  ciphertext
m plaintext message - Mecanismos de Encriptación:
KA(m) ciphertext, encrypted with key KA RFC 1321, RDF 3447, RFC2420
Alice’s Bob’s
A
key B key

algorithm algorithm
- La Fuente emplea una clave (KA)

- Clave: conjunto de caracteres usados
como entrada al mecanismo de
m plaintext message encriptación
KA(m) ciphertext, encrypted with key KA - KA + m = ciphertext
Alice’s Bob’s
A
key B key

algorithm algorithm
- En el receptor también se emplea

una clave (KB), para desencriptar el
mensaje original (m)
m plaintext message
KA(m) ciphertext, encrypted with key KA
m = KB(KA(m))
Clave Simétrica
KS KS

message, m algorithm algorithm
K (m) m = KS(KS(m))
S
Symmetric Key Crypto: El Tx y Rx emplean la misma clave Ks
¿Como se define el valor de la clave?
Esquema Simple de Encriptación
Cifrado basado en Sustitución: Se toma el texto plano y se
sustituye por un texto cifrado para generar el mensaje
encriptado
plaintext: abcdefghijklmnopqrstuvwxyz
ciphertext: mnbvcxzasdfghjklpoiuytrewq
Cifrado basado en Sustitución: Se toma el texto plano y se
sustituye por un texto cifrado para generar el mensaje
encriptado
plaintext: abcdefghijklmnopqrstuvwxyz
ciphertext: mnbvcxzasdfghjklpoiuytrewq
Plaintext: hello world

ciphertext: acggk rkogv
Se realiza un mapeo entre el conjunto de caracteres

del alfabeto a otro conjunto de caracteres
¿Para qué se empleaba la

Máquina Enigma?
¿Quién fue Alan Turing y

cuál es su relación con dicha
maquina?
Esquemas de Encriptación en Bloques
 El mensaje a ser encriptado se procesa en bloques de k bits
 Ejemplo: Si k=64, el mensaje se divide en bloques de 64 bits y cada

bloque se encripta de forma independiente
 Para la encriptación se realiza un mapeo uno-uno de los k bits del

bloque en texto plano a k bits del texto cifrado
 Por ejemplo si k=3. Un posible mapeo para los bloques de

entradas es
entradas es
La relación input/output de la tabla es tan solo una

posibilidad de mapeo
¿Cuántas posibilidades existen para organizar la

relación de mapeo de los bloques con k=3 ?
entradas es
Con k=3, existen 23=8 posibles entradas
Las 8 entradas pueden ser permutadas en 8=40320 formas diferentes

Puesto que cada una de esas permutaciones corresponde a un mapeo
Existen 40320 mapeos posibles

entradas es

En este caso cada mapeo puede entenderse como una clave. Es
decir si el Tx y el Rx conocen la correspondencia o mapeo
empleado (clave), podrán encriptar y desencriptar los mensajes
entradas es

En caso de un ataque, un intruso intentará desencriptar los
mensajes empleando todas las posibilidades de mapeo. Para el
caso de k=3, el cifrado es vulnerable.
entradas es

En la practica se emplean bloques de mayor longitud (k=64 o mayor)
Número de mapeos = 2k

entradas es
Por tanto, el uso de valores moderados de k puede mejorar la seguridad

No obstante el incremento de k genera un elevado coste computacional
en el Tx y Rx
En la actualidad como solución se emplean funciones que simulan
aleatoriamente las permutaciones Capítulo 8 – Sesión 33

aleatoriamente las permutaciones
• Se toma un bloque de 64 bits y se

divide en sub-bloques de 8 bits
• Cada sub bloque es mapeado en

una relación 8bit-8bit
• Se reemsabla los grupos de 8 bits

para conformar el bloque de
64bits
• Finalmente se realizan
permutaciones de los sub-
bloques para generar la salida

• Ejemplos de funciones o
mecanismos para cifrado de
bloques son:
• DES (Data Encryption Standard)

• 3DES
• AES (Advanced Encryption
Standard)
• Durante el proceso de cifrado se

realiza una operación XOR entre
los sub bloques y las claves

DES
• Bloques 64 bits
• Clave 56 bits
AES
• Bloques 128 bits

• Clave 128, 192, 256 bits

DES
• Bloques 64 bits
• Clave 56 bits
AES
• Bloques 128 bits

• Clave 128, 192, 256 bits

Realizar una breve

investigación sobre la
seguridad del
mecanismo AES
comparado con DES
Actividad en Clase 12
Experimento Básico para la Detección de Intrusos
Herramientas a emplear:
nmap: Programa de código abierto que sirve para

efectuar rastreo de puertos (scan de puertos)
psad: Programa que permite detectar procesos

intrusos que intentan analizar puertos
1. Trabajar en grupos de dos personas
2. Investigar los pasos, configuraciones necesarias e instalar

la herramienta nmap sobre uno de los ordenadores
3. Investigar los pasos, configuraciones necesarias e instalar

la herramienta psad sobre el otro ordenador
4. Empleando los comandos apropiados lanzar un ataque (scan

de puertos) desde el ordenador con nmap hacia el
ordenador con psad
5. Analice los resultados obtenidos con el comando nmap
6. Repita el procedimiento y en este caso ejecute psad en el

ordenador correspondiente y analice los reportes en cada
ordenador
7. Realizar una demostración (No se requiere reporte)
Sesión 34
Autenticación
Objetivo: Comprobar la identidad entre los hosts
Protocolo1.0: A envia un mensaje para B “ I am A”
A B
“I am A”
¿Escenario Vulnerable?
X
Autenticación
Objetivo: Comprobar la identidad entre los hosts
Protocolo1.0: A envia un mensaje para B “ I am A”
A B
“I am A”
B no puede “ver” a A,
Por tanto X podría suplantar a A
X
Autenticación
Protocolo 2.0: A envía un mensaje “I am A” en un datagrama IP
A B
A’ s
IP address “I am A”
X
Autenticación
Protocolo 2.0: A envía un mensaje “I am A” en un datagrama IP
X puede generar un paquete

“spoofing” con la dirección IP de A
A B
A’s
IP address “I am A”
X
Autenticación
Protocolo 3.0: A envía el mensaje “I am A” y envía su password
A A’s A’s
B
“I’m A”
IP addr password
A’s
OK
IP addr
X
Autenticación
Protocolo 3.0: A envía el mensaje “I am A” y envía su password
Playback Attack: X
captura y almacena el paquete de A.
Luego de un tiempo X envía el paquete a B
A A’s A’s
“I’m A” B
IP addr password
A’s
OK
IP addr
A’s A’s
“I’m A”
X
IP addr password
Autenticación
Protocolo 3.1: A envía el mensaje “I am A” junto con su
password encriptada
A’s encrypted
“I’m A”
IP addr password
Alice’s
OK
IP addr
X
Autenticación
Protocolo 3.1: A envía el mensaje “I am A” junto con su
password encriptada
La autenticación aún
es vulnerable al ataque
A’s encrypted
“I’m A” tipo playback
IP addr password
Alice’s
OK
IP addr
Alice’s encrypted
“I’m Alice”
X
IP addr password
Autenticación
Objetivo: Evitar el ataque tipo playback
nonce: Número (R) que un protocolo emplea solo una vez
Protocolo 4.0: Para comprobar la identidad, B envía a A un valor
nonce R. A debe retornar el valor de R encriptado con su
password
“I am A”
R
KA-B(R)
Solo A, conoce su clave para encriptar el nonce,

por tanto A es autenticado Capítulo 8 – Sesión 34
Configuración de un Firewall Básico

mediante IPTABLES
IP TABLES
• Firewall implementado en el kernel de Linux

• Forma parte del framework Netfilter
• Permite a un administrador configurar políticas de filtrado
de tráfico
IP TABLES
1. Trabajar en grupos de dos personas

2. Determinar la dirección MAC de cada ordenador
3. Comprobar conectividad bidireccional entre los ordenadores
(ping)
4. Investigar los comandos necesarios para realizar un filtro MAC
mediante IPTables
IP TABLES
5. Aplicar el filtro MAC en el ordenador 1 para bloquear el tráfico

desde el ordenador 2
6. Comprobar la conectividad bidireccional entre los ordenadores
7. Aplicar el filtro MAC en el ordenador 2 para bloquear el tráfico
desde el ordenador 1
8. Comprobar la conectividad bidireccional entre los ordenadores
9. Realizar una demostración (No se requiere reporte)
Sesión 34
SSL: Secure Sockets Layer
 Mecanismo de seguridad muy
empleado
 Soportado en la mayoría de
navegadores y sevidores web
 Emplea el protocolo https
 Proporciona
 Confidencialidad
 Integridad
 Autenticación
SSL y TCP/IP
Application Application
SSL
TCP
TCP
IP IP
Arquitectura usual Arquitectura con SSL
 SSL proporciona una API (Application Programming

Interface) a las aplicaciones
 Existen librerías desarrolladas en C y Java

Visión General de SSL
 Tres Fases de Operación
 Handshake
 Key Derivation
 Data Transfer
Visión General de SSL: Handshake
B A
B establece una conexión TCP con A
B A
B verifica la identidad de A
B A
B envía a A una clave maestra

(MS) que será empleada para
generar un conjunto de claves
para la conexión SSL
Visión General de SSL: Key Derivation
 A partir de la clave maestra, A y B generan cuatro claves
 EB = session encryption key for data sent from B to A
 MB = session MAC key for data sent from B to A
 EA = session encryption key for data sent from A to B
 MA = session MAC key for data sent from A to B
E: Claves empleadas para encriptar los datos

M: Claves empleadas para verificar la integridad de los datos
MAC (Message Authentication Code)
Visión General de SSL: Data Transfer
 SSL divide los datos en secciones y agrega el código MAC

(Message Authentication Code)
 El codigo MAC se genera a partir de la clave MB
 A continuación se encripta la sección + MAC
 Para la encriptación se emplea la clave EB
 La información encriptada se pasa al protocolo TCP para

su transporte en Internet
Visión General de SSL: Data Transfer
Formato de una sección SSL
Type: Indica si la sección SSL corresponde a un mensaje handshake

o datos de una aplicación
Sesión 34
Redes Privadas Virtuales (VPNs)
Motivación
Por razones de seguridad, las instituciones, empresas, etc,
prefieren una infraestructura de red propia (privada).
 Infraestructura privada: links, routers, servers, dns, etc
 Costos altos
Características
Una solución consiste en configurar Redes Privadas Virtuales
 El tráfico se envía sobre Internet (Red pública)
 Los datos se encriptan antes de ingresar a Internet
 El tráfico enviado es separado del resto de tráfico en Internet
de forma lógica
public laptop
Internet w/ IPsec
salesperson
in hotel
router w/ router w/
IPv4 and IPsec IPv4 and IPsec
branch office
headquarters Capítulo 8 – Sesión 34
IPsec
RFC 430 (Arquitectura)
RFC 6071 (Operación)
Protocolo IPsec: Servicios
 Integridad de datos
 Autenticación de la fuente
 Prevención de ataques tipo playback
 Confidencialidad
 Para su operación IPsec, incluye en su arquitectura dos

mecanismos o protocolos principales
 AH (Authentication Header)
 ESP (Encapsulation Security Payload)
Protocolo IPsec: Servicios
 Authentication Header (AH) Protocol
 Autenticación de la Fuente
 Integridad de datos
 No confidencialidad
 Encapsulation Security Protocol (ESP)
 Autenticación de la Fuente
 Preferido sobre AH
IPsec: Asociación
 Los datagramas IPsec se intercambian entre entidades de red
(hosts, routers)
 Antes del intercambio, la fuente y el destino crean una
conexión de red lógica (capa de red)
 Dicha conexión se denomina Security Association (SA)
headquarters Internet
branch office
200.168.1.100 193.68.2.23
R1
172.16.1/24
R2
172.16.2/24
Security Association (SA) Capítulo 8 – Sesión 34

IPsec: Asociación
 La fuente y el destino, mantienen información sobre el estado de
la SA (Security Association)
 Recuerde: En una conexión TCP los end systems mantienen
información sobre el estado de la conexión (sesión TCP)
 IP es un protocolo no orientado a la conexión (máximo esfuerzo)
 IPsec es un protocolo orientado a la conexión
branch office
200.168.1.100 193.68.2.23
R1 security association
172.16.1/24
R2
172.16.2/24
Datagrama IPsec
 IPsec, define dos formatos de datagrama
 Tunnel mode El formato Tunnel mode es el

estándar preferido para la
configuración de Redes Privadas
 Transport mode Virtuales
Datagrama IPsec
 Modo Tunel
 Protocolo ESP (Encapsulation Security Protocol)
authenticated
encrypted
new IP ESP original Original IP ESP ESP
header hdr IP hdr datagram payload trl auth
ESP HEADER ESP TRAILER ESP

AUTENTICACIÓN
Datagrama IPsec
 Modo Tunel
authenticated
encrypted
Seq pad next

SPI padding
# length header
Security Parameter Index

Identificador de 32 bits para la SA (Security Association)
Datagrama IPsec
 Modo Tunel
authenticated
encrypted
Seq pad next

SPI padding
# length header
Número de secuencia empleados para

prevenir ataques
Datagrama IPsec
branch office
200.168.1.100 193.68.2.23
R1 security association
172.16.1/24
R2
172.16.2/24
authenticated
encrypted
Seq pad next

SPI padding
# length header
Operación IPsec
R1 convierte el datagrama IP original en un datagrama IPsec
 Agrega al final del datagrama original un campo ESP (ESP trailer)

 Encripta el datagrama original mediante un algoritmo y clave
especificada por la SA (Security Association)
 Agrega al inicio del datagrama encriptado un header ESP
IP IP IPsec Secure
payload header header payload
header
Operación IPsec
R1 convierte el datagrama IP original en un datagrama IPsec
 A continuación genera un código MAC (Message Authentication

Code) sobre el conjunto (datagrama original + ESP), para ello
emplea un algoritmo y clave definida por la SA
 Agrega el código MAC al final
 Genera y agrega un nuevo header IP con todos los campos
usuales del protocolo IPV4
IKE: Internet Key Exchange
 Cuando una VPN, está conformada por pocas entidades de
red, la configuración de IPsec puede ser realizada de forma
manual por un administrador
 Ejemplo:
SPI: 12345
Source IP: 200.168.1.100 La configuración
Dest IP: 193.68.2.23 manual no resulta
Protocol: ESP
práctica conforme es
Encryption algorithm: 3DES
HMAC algorithm: MD5 mayor el número de
Encryption key: 0x7aeaca… nodos en la VPN
HMAC key:0xc0291f…
 Ejemplo:
SPI: 12345
Source IP: 200.168.1.100
Dest IP: 193.68.2.23 En esos casos se
Protocol: ESP emplea el mecanismo
Encryption algorithm: 3DES IPsec IKE (Internet
HMAC algorithm: MD5
Key Exchange)
Encryption key: 0x7aeaca…
HMAC key:0xc0291f… RFC 5996
 Ejemplo:
SPI: 12345
Source IP: 200.168.1.100
Dest IP: 193.68.2.23 Los mensajes IKE se
Protocol: ESP emplean para el
Encryption algorithm: 3DES intercambio de
HMAC algorithm: MD5
algoritmos, claves,
Encryption key: 0x7aeaca…
HMAC key:0xc0291f… identificadores SPI
Sesión 34
WEP (Wired Equivalent Privacy)
 Encriptación mediante clave simétrica
 Autorización end systems
 Encriptación de cada paquete
 Los paquetes pueden desencriptarse incluso cuando
existe pérdida de paquetes previos
 Eficiencia
 Mecanismo implementable en hardware y software
WEP: Encriptación
 Tx calcula una valor denominado Integrity Check Value (ICV)
sobre los datos
 Cada end systems emplea una clave (simétrica) de 104bits
 El transmisor genera una cadena de 24 bits denominado vector

de inicialización (IV, Initialization Vector)
 Adicionalmente, el Tx agrega un identificador denominado

KeyID
 Los datos y el ICV se encriptan empleando un mecanismo

denominado RC4: Encrypted
Key
IV data ICV
ID
MAC payload Capítulo 8 – Sesión 34

WEP: Desencriptación
encrypted
Key
IV data ICV
ID
MAC payload
 El receptor extrae el vector de inicialización (IV)
 A continuación, el Rx ingresa el IV y la clave simétrica en

un generador pseudo aleatorio y obtiene el KeyID
 Posteriormente realiza una operación XOR entre el

KeyID y los datos encriptados y obtiene los datos
 La integridad de los datos se verifica con el ICV
WEP: Autenticación
authentication request
nonce (128 bytes)
nonce encrypted shared key
success if decrypted value equals nonce
WEP: Inconvenientes de Seguridad
Vulnerabilidad:
 El campo IV (vector de inicialización) tiene una longitud de 24 bits,

por tanto su valor podría reusarse (repetirse)
 Además, en WEP el valor IV se envia en texto plano, por lo cual dicho

valor puede ser detectado por un intruso
Encrypted
Key
IV data ICV
ID
MAC payload Capítulo 8 – Sesión 34

Estándar 802.11i
 Define numerosas formas de encriptación
 Emplea un esquema de distribución de claves
 Emplea un esquema de autenticación independiente,

mediante un servidor separado del punto de acceso
 Usualmente se conoce como WPA2 (Wifi-Protect

Access)
802.11i: Fases de Operación
AP: access point
STA: AS:
wired
client station Authentication
network
server
1 Discovery of
security capabilities
2 STA and AS mutually authenticate, together

generate Master Key (MK). AP serves as “pass through”
3 STA derives
3 AS derives
Pairwise Master
same PMK,
Key (PMK)
sends to AP
4 STA, AP use PMK to derive

Temporal Key (TK) used for message
encryption, integrity
Sesión 35
Firewalls
firewall
Aislar la red interna de la red pública (Internet,) estableciendo
reglas para el paso o bloqueo del tráfico (paquetes)
administered public
network Internet
trusted “Tráfico Confiable” untrusted “Tráfico no Confiable”

firewall
Firewalls: Funcionalidades
• Previene los ataques tipo denial of service
• Previene la modificación o el acceso a datos internos (red
privada)
• Permite el acceso a la red únicamente al tráfico autorizado
Tres tipos firewalls:

 Stateless packet filters
 Stateful packet filters
 Application gateways
Stateless Packet Filtering
El router firewall analiza los
paquetes
que llegan o salen de la red
 La red interna se conecta a Internet vía un Router Firewall

 El router filtra o analiza paquete a paquete, para decidir si debe
o no ser descartado. Tal decisión puede tomarse en base a:
 source IP address, destination IP address
 TCP/UDP source and destination port numbers
 ICMP message type
 TCP SYN and ACK bits
Stateless Packet Filtering: Ejemplos
Políticas de Tráfico Configuración del Firewall
Descartar (drop), todos los paquetes
Bloquear el acceso hacia la Web
destinados al Puerto 80
Bloquear las conexiones TCP Descartar los paquetes entrantes TCP
entrantes, con excepción de algún SYN, excepto aquellos que provienen de
servidor Web específico IP_específica port 80
Prevenir ataques DoS (Denial of Descartar todos los paquetes ICMP con
Service) dirección de broadcast
Prevenir que la red sea detectada via Descartar todos los paquetes ICMP con
traceroute el campo TTL a cero (expirado)
Access Control Lists
 ACL: Tabla de reglas que pueden configurarse sobre un
router para definir las acciones a tomar sobre un paquete
source dest source dest flag
action protocol
address address port port bit
outside of any
allow 222.22/16 TCP > 1023 80
222.22/16
allow outside of 222.22/16

TCP 80 > 1023 ACK
222.22/16
outside of
allow 222.22/16 UDP > 1023 53 ---
222.22/16
UDP 53 > 1023 ----
222.22/16
deny all all all all all all
Stateful Packet Filtering
 Stateful Packet Filter: Realiza un seguimiento del estado de una
conexión TCP
 Acorde al estado determina si el tráfico de un paquete

tiene sentido (conexión finalizada)
 Si una conexión se encuentra inactiva durante un tiempo

considerable (timeout), bloquea el acceso del tráfico
Stateful Packet Filtering
 En la configuración de las ACL’s se incluye el estado de la
conexión
source dest source dest flag check
action proto
address address port port bit conxion
outside of any
allow 222.22/16 TCP > 1023 80
222.22/16

TCP 80 > 1023 ACK x
222.22/16
outside of
allow 222.22/16 UDP > 1023 53 ---
222.22/16
allow outside of 222.22/16 x

UDP 53 > 1023 ----
222.22/16
deny all all all all all all
Configuración de ACL’s:Routers Cisco
 Dos tipos de ACL’s
Estándar Configuración de reglas

basado en direcciones IP
Extendida Mayor flexibilidad,

configuración de reglas
basadas en el protocolo de
transporte (tcp, udp), número
de puerto, protocolo de
aplicación
 Formato ACL’s
R1(config)# ip access-list [standard|extended][nombre]
R1(config-ext-nacl)# [permit|deny][condiciones de prueba]
R1(config)# Interfaz asociación de la ACL
R1(config)# ip access-group nombre in/out
• Verificación
R1(config)# show access-list
 Actividad en Clase 14
1. Empleando el simulador GNS3, implemente la topología

de la figura (asigne las direcciones IP a cada interface)
2. Compruebe la conectividad entre los routers (ping)
3. Configure un password en cada router para la conexión

telnet
Telnet: Protocolo de
capa de aplicación que
trabaja en el puerto 23
y permite la conexión
remota entre terminales

telnet
Configuración telnet
R1(config)#line vty 0 4
R1(config-line)#password nombre
R1(config-line)#login
R1(config-line)#exit
R1(config)#exit

telnet
Configuración telnet
R2(config)#line vty 0 4
R2(config-line)#password nombre
R2(config-line)#login
R2(config-line)#exit
R2(config)#exit
4. Compruebe la conexión telnet desde el router R1 al R2
R1# telnet IP_Router2
Ingrese el password correspondiente cuando se

le solicite
4. Compruebe la conexión telnet desde el router R2 al R1
R2# telnet IP_Router1
Ingrese el password correspondiente cuando se

le solicite
5. Configure una ACL sobre uno de los router para

bloquear el tráfico en el puerto 23 (Telnet)
R1(config)# ip access-list extended droptelnet
R1(config-ext-nacl)# deny tcp any any eq 23
R1(config)# interface fastEthernet 0/0
R1(config)# ip access-group droptelnet in
No olvide guardar la configuración!!!!

6. Verifique que el tráfico telnet está bloqueado entre

los routers
R1# telnet IP_AddressR2
¿Como se elimina una ACL?
EVALUACIÓN CAPÍTULOS 7 Y 8 (5 PUNTOS)
 Fecha: Miércoles 04 de Julio del 2018, 07h00- 09h00
PLANIFICACIÓN REDES DE COMPUTADORES
 Examen Final (PROYECTO 30P):

 Fecha: Definida en el calendario de exámenes
 Evaluación: Informe (10P), Funcionamiento (10P), Presentación (10P)
 Informe: Enviar como máximo el día anterior al examen a través del
evirtual (requisito para presentar el Proyecto)
 Sustentación:
o Tiempo máximo 15 minutos
o Ingresar únicamente el grupo a presentar
o Preparar el material necesario (diapositivas, videos, etc)
 Examen de Suspensión:
 Examen Teórico: Capítulos 5, 6, 7 y 8
 Preguntas sobre las practicas y trabajos en clase (Segundo interciclo)
Seguimiento: Asignatura (Sílabo) FACULTAD DE INGENIERÍA
 A lo largo de la asignatura se ha desarrollado las

siguientes actividades
 14 Trabajos en Clase (10 puntos)
• 5 Trabajos/Experimentos durante el primer interciclo

• 9 Trabajos/Experimentos durante el segundo interciclo
 4 Evaluaciones (20 puntos)
• Evaluaciones teóricas (conceptos, preguntas sobre los

experimentos)

 12 Prácticas (20 puntos)
• 6 Prácticas durante el primer interciclo

• 6 Prácticas durante el segundo interciclo

 Examen Interciclo (20 puntos)
• Evaluación teórica (conceptos y preguntas sobre los

experimentos y prácticas)
 Proyecto Final (30 puntos, pendiente de evaluar)

 En cuanto a los contenidos, se han revisado:

 Contenidos 8 Capítulos
 En cuanto a los contenidos, se han revisado:
 Contenidos 8 Capítulos
• Los contenidos de cada sesión corresponden a la
planificación del sílabo
• Para cada sesión se ha proporcionado material (diapositivas),
especificando los contenidos
• Se puede verificar la relación entre los contenidos y el sílabo
• Se han abordado la totalidad de los contenidos
Bibliography
A note on the use of these ppt slides:

We’re making these slides freely available to all (faculty, students, readers). Computer
They’re in PowerPoint form so you see the animations; and can add, modify,
and delete slides (including this one) and slide content to suit your needs. Networking: A Top
They obviously represent a lot of work on our part. In return for use, we only
ask the following: Down Approach
 If you use these slides (e.g., in a class) that you mention their source
(after all, we’d like people to use our book!)
6th edition
 If you post any slides on a www site, that you note that they are adapted Jim Kurose, Keith Ross
from (or perhaps identical to) our slides, and note our copyright of this
material.
Addison-Wesley
March 2012
Thanks and enjoy! JFK/KWR
All material copyright 1996-2012

J.F Kurose and K.W. Ross, All Rights Reserved
FACULTAD DE INGENIERÍA
Redes de Computadores
Escuelas: Ingeniería Electrónica y Telecomunicaciones

Semestre: Marzo 2018 – Agosto 2018
Docente: Santiago González Martínez
santiago.gonzalezm@ucuenca.edu.ec
Cuenca - Ecuador

Seguridad en Redes

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad en Redes

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA

Escuelas: Ingeniería Electrónica y Telecomunicaciones

A note on the use of these ppt slides:

All material copyright 1996-2012

 Los elementos intrusos en la red pueden interceptar y

data secure secure data

 Web browser/Server para transacciones electrónicas

 Cliente/Servidor aplicaciones bancarias

 Routers intercambiando mensajes sobre actualizaciones

plaintext encryption ciphertext decryption plaintext

Un archivo de texto plano contiene

plaintext encryption ciphertext decryption plaintext

- El mensaje generado por la fuente es

plaintext encryption ciphertext decryption plaintext

- La Fuente emplea una clave (KA)

plaintext encryption ciphertext decryption plaintext

- En el receptor también se emplea

plaintext encryption ciphertext decryption plaintext

Symmetric Key Crypto: El Tx y Rx emplean la misma clave Ks

¿Como se define el valor de la clave?

Plaintext: hello world

Se realiza un mapeo entre el conjunto de caracteres

¿Para qué se empleaba la

¿Quién fue Alan Turing y

 Ejemplo: Si k=64, el mensaje se divide en bloques de 64 bits y cada

 Para la encriptación se realiza un mapeo uno-uno de los k bits del

 Por ejemplo si k=3. Un posible mapeo para los bloques de

La relación input/output de la tabla es tan solo una

¿Cuántas posibilidades existen para organizar la

Con k=3, existen 23=8 posibles entradas

Las 8 entradas pueden ser permutadas en 8=40320 formas diferentes

Existen 40320 mapeos posibles

Existen 40320 mapeos posibles

Existen 40320 mapeos posibles

Existen 40320 mapeos posibles

Número de mapeos = 2k

Por tanto, el uso de valores moderados de k puede mejorar la seguridad

En la actualidad como solución se emplean funciones que simulan

• Se toma un bloque de 64 bits y se

• Cada sub bloque es mapeado en

• Se reemsabla los grupos de 8 bits

En la actualidad como solución se emplean funciones que simulan

• DES (Data Encryption Standard)

• Durante el proceso de cifrado se

En la actualidad como solución se emplean funciones que simulan

• Bloques 128 bits

En la actualidad como solución se emplean funciones que simulan

• Bloques 128 bits

En la actualidad como solución se emplean funciones que simulan

Realizar una breve

Experimento Básico para la Detección de Intrusos

nmap: Programa de código abierto que sirve para

psad: Programa que permite detectar procesos

Experimento Básico para la Detección de Intrusos

1. Trabajar en grupos de dos personas

2. Investigar los pasos, configuraciones necesarias e instalar

3. Investigar los pasos, configuraciones necesarias e instalar

Experimento Básico para la Detección de Intrusos

4. Empleando los comandos apropiados lanzar un ataque (scan

5. Analice los resultados obtenidos con el comando nmap

6. Repita el procedimiento y en este caso ejecute psad en el

Protocolo1.0: A envia un mensaje para B “ I am A”

Protocolo1.0: A envia un mensaje para B “ I am A”