ACTIVIDAD DE CONSTRUCCIÓN APLICADA NRO.

1 SEGURIDAD EN REDES

Por

Emerson Jeimy Burgos

Erika Vanesa Chaucanes

Bayron Benavides Rodríguez

PROGRAMA INGENIERIA DE SISTEMAS

Propuesta de Seguridad en la red presentada a

ING. Mauricio Gómez en Cumplimiento de los Requisitos
de Seguridad en Redes en Educación Virtual

Corporación Unificada Nacional de Educación Superior (CUN)

Marzo 2020
 INTRODUCCION

Este trabajo se enfoca en la seguridad en la red a nivel de la capa 3 del modelo OSI, donde las
organizaciones pueden confiar que su información valiosa, puede estar protegida ante distintas
amenazas ya que la capa de red es aquella que se encarga del encaminamiento de paquetes entre redes,
conectando diferentes dominios de difusión para alcanzar el destino. En los últimos tiempos las redes se
han vuelto interoperables mediante la interconexión de redes con el uso los Routers y Switch entre otros,
provocando mucha inseguridad al ofrecer servicio de intercambio de información, por tal es el propósito
de la investigación tratar con los ataques de capa 3 y las medidas para prevenir estos, lo que nos permite
Conocer los principales ataques de los que puede ser objeto un sistema informático, entender los
posibles métodos de protección, detección y políticas de seguridad que permitan evitar el daño al
sistema o minimizar el riesgo de estos ataques. Se deben tener medidas preventivas para combatir estos
ilícitos, ya sea con políticas de seguridad de la organización, de herramientas de seguridad para los
sistemas operativos y también, dar capacitación al personal, que es fundamental para tener una buena
seguridad. Es cierto que la seguridad no se da en toda su totalidad, a medida que surgen soluciones
tecnológicas, también aparecen nuevos métodos de guerra informática que atentan contra la seguridad
de nuestras plataformas.

DESARROLLO DEL TEMA

Nosotros como grupo de trabajo y a la vez administradores de red, nuestra responsabilidad es la de

poder controlar la actividad en la red de su mal uso o problemas de seguridad entre otras, para esto
debemos rápidamente esta listos y prestos en caso de congestión o problemas de acceso. Debemos
poseer conocimiento preciso de todos los equipos de red, de los diferentes protocolos de comunicación,
del modelo OSI y de diferentes arquitecturas de redes.

Desde el momento que la red está instalada con sus aplicaciones, debemos hacernos cargo de dar
soporte los usuarios o en este caso a la empresa, para que, día a día, todos ellos puedan trabajar con su
PC contando con su apoyo en caso de que aparezca cualquier irregularidad en el normal funcionamiento
del sistema.

Para este caso crearemos espacios de comunicación, atendiendo sugerencias; manteniendo las
herramientas y el espacio requerido para una dicha empresa, a tiempo y de buena forma y manteniendo
en buen estado el hardware y el software..

Para este caso de la seguridad en red capa 3 del modelo OSI implementaremos lo siguiente:
ATAQUES DE RED DE LA CAPA 3 (CAPA DE RED) Y POSIBLES SOLUCIONES

ATAQUES DDOS EN LA CAPA DE RED

Este tipo de ataques tratan de aprovecharse de las vulnerabilidades de la capa de red y de transporte
(capas 3 y 4 del modelo OSI), enviando más paquetes o más ancho de banda del que puede soportar el
servidor destino. Los grandes ataques que solemos leer en noticias de medios de comunicación suelen
ser ataques DDoS en la capa de red.

UN BOTNET

El grupo de dispositivos infectados con un bot que puede ser gestionado de forma remota, se
denomina botnet. También llamados "ejércitos de zombies" (zombies es equivalente
a bots informáticos)

Fuente: https://images.haulmer.com/_data/i/upload/2016/11/11/20161111195430-22a2802c-me.jpg

Posibles soluciones
Los ataques basados en DoS no se pueden prevenir. Debe aceptar el hecho de que los atacantes
probablemente actúen y lograrán alcanzar el objetivo, lo que sí podemos hacer, es que nuestra
plataforma sea más difícil de penetrar, y estar preparados para tomar las acciones necesarias para actuar
en caso de que suceda un ataque, algunas recomendaciones para prepararse ante ataques cibernéticos DDoS
se tiene:

Invertir en construir una plataforma robusta: si usted es propietario de una gran plataforma que ofrece
servicios o productos que generan ingresos o valor comercial, debe invertir en la seguridad de sus
aplicaciones.

Implementar una herramienta de monitorización para sus sistemas: hay muchas herramientas
disponibles en el mercado, OpenCloud ofrece una solución de supervisión para monitorizar los valores
más importantes de su CloudServer, sin embargo, es recomendable implementar una solución de
monitorización en un segmento de red distinto para estar atento de los cambios inusuales en el uso de
ancho de banda, CPU y memoria. Existen soluciones gratuitas como Zabbix u otras como las ofrecidas
por Solar Winds

Llevar a cabo pruebas de estrés: otra buena idea es usar herramientas para ataques DDoS de terceros y
hacer testing antes de que la plataforma entre en producción, así saber el comportamiento del sistema
ante distintos escenarios DDoS.

También una aplicación de amplio espectro como Digital Attack Map un mapa en vivo que muestra los
ataques DDoS alrededor del mundo.

SEGURIDAD DE LA TABLA ARP

Las entradas ARP se generan al intercambiar paquetes de protocolo entre hosts de usuario y switches,
por lo tanto, la tabla ARP es propensa a los ataques, la seguridad de la tabla que es la clave de la
protección de seguridad de red de Capa 3. Otro método de ataque de red de Capa 3 es que los usuarios
no autorizados falsifican direcciones IP para atacar la red. El proceso de aprendizaje ARP puede ser
atacado. Los siguientes son los posibles ataques dirigidos a diferentes etapas en los métodos de
aprendizaje y defensa de ARP.

POSIBLES SOLUCIONES A CONSIDERAR

Fuente: https://forum.huawei.com/enterprise/es/reenv%C3%ADo-de-plan-de-seguridad-capa-3-de-
seguridad/thread/494661-100237

La suplantación de la dirección IP significa que el atacante inicia un ataque utilizando la dirección IP de

un usuario autorizado. Las siguientes secciones describen dos métodos de defensa contra la falsificación
de direcciones IP: IPSG y URPF.

IP Source Guard (IPSG) usa una tabla de enlace para evitar la falsificación de direcciones IP. Cuando el
paquete IP enviado por un usuario no coincide con una entrada en la tabla de enlace, el paquete se
considera un paquete de ataque y se descarta.

El ARP estático puede evitar una dirección IP falsa, ¿por qué necesitamos IPSG?

Tanto el IPSG de la tabla de enlace estático como el ARP estático pueden implementar la dirección IP y
el enlace de la dirección MAC.

URPF busca la interfaz de salida que coincida con la dirección IP de origen de un paquete en la tabla de
enrutamiento o la tabla de ARP, y verifica si la interfaz de salida coincide con la fuente del paquete. Si
no se encuentra una entrada coincidente, el paquete se descarta.
 IP SPOOFING

Existe una serie de otras problemáticas que atañen a esta capa. En particular, la posibilidad de un
atacante de pretender enviar datos desde un equipo con una determinada dirección IP cuando en realidad
lo hace desde otro, es lo que se denomina como IP spoofing. Envío de paquetes con una dirección IP
falsa, ya que el problema del protocolo IP es la falta de autenticación. Típicamente usado para ataques
de denegación de servicio.

Fuente: https://tr.wikipedia.org/wiki/Dosya:IP_spoofing.png

Posibles soluciones de evitar estos ataques

Maneras de mermar estos ataques es la inclusión de procesos de autenticación en la capa de la

aplicación, acompañados de mecanismos de cifrado de los datos.

Utilizar la autentificación basada en el intercambio de claves entre las máquinas en la red; el uso de
IPsec, por ejemplo, reducirá drásticamente en el riesgo de spoofing, ya que este conjunto de protocolos
agrega autentificación y cifrado a cada paquete IP.

De igual modo, la activación de firewalls de capa de red puede menguar estos ataques, ya que estos
dispositivos pueden delinear el interior de la red del exterior haciendo corresponder sus puertos
internos/externos con el espacio de direcciones asignado. Esto es, un firewall puede detectar un paquete
que dice provenir del interior, pero que ha ingresado a través del puerto de conexión al exterior,
para descartarlo o generar la correspondiente alerta.

Listas de Control de Acceso ACL, del inglés (Access Control List). Éstas permiten o deniegan
conexiones entre equipos pertenecientes a redes diferentes, según el protocolo, los puertos, o las
direcciones IP involucradas en la comunicación. Asi como también se considera un método utilizado
para comparar patrones de información de los diferentes protocolos de la arquitectura TCP/IP, para
limitar el acceso a una subred por razones de seguridad o para limitar el tamaño de las tablas de
enrutamiento de un encaminador por razones de desempeño, Cuando una ACL se aplica a un protocolo
de enrutamiento (como RIP u OSPF), ejecutándose en un encaminador, ésta puede evitar que el
encaminador envíe información de una ruta en particular.

CONCLUSIONES

La activación de las variadas características de seguridad que se encuentran embebidas en estos aparatos
resulta importante para impedir el control no autorizado del mismo. La utilización de contraseñas
fuertes y la configuración correcta de los protocolos de administración a través de conexiones
cifradas son algunas de las medidas que pueden tomarse para proteger estos equipos.

Para los ataques potenciales causado por DDoS se ha implemetado herramientas como El SolarWinds
Security Event Manager que además monitorear de ancho de banda de red disponibles, te alertará de los
comportamientos más sospechosos e identifica posibles amenazas en tiempo real, adicional la
plataforma tiene una fuente de inteligencia de amenazas incorporada que funciona para identificar
comportamientos que se originan de malos actores en la red.

Es así como el daño potencial causado por un ataque DDoS a menudo está determinado por la rapidez
con el que se identifica la amenaza y comienza a abordarla. Puede acelerar tu respuesta mediante la
automatización de las mismas, cuando se activan ciertas reglas de correlación.

Además, debemos tener en cuenta las vulnerabilidades que puedan existir en los protocolos de

encaminamiento, como RIP u OSPF, ya que pueden terminar en la inyección de routers falsos. La
comprensión estos protocolos facilitará la gestión segura de la red.

El protocolo IPv4 no incluye mecanismos de seguridad para proteger las comunicaciones, y es por esto
que el administrador de la red debe considerar otras medidas extras al momento de proteger sus datos.
Por ejemplo, puede elegirse cifrar todos los paquetes de la red, o intercambiar una clave de sesión que
proteja la conexión.

Por lo anterior es que debemos considerar la implementación de IPSec: la suite de protocolos encargada
de proveer funcionalidades de seguridad al protocolo IP, sirviendo a la utilización de Redes Virtuales
Privadas, o de VPN. Su uso opcional IPv4 evoluciona en obligatorio para IPv6. Este soporta dos modos
de implementación.

Modo de transporte, donde los extremos de la comunicación se encargan de su protección cifrando sólo
el contenido del paquete

Modo túnel, que sirve a la conexión segura entre redes, donde cada paquete IP es cifrado y encapsulado
dentro de otro. Así como también Configurar switches y routers para que denieguen tráfico dentro de la
red que debería originarse fuera y viceversa.
Un firewall es más que simplemente un enrutador o anfitrión, es un enfoque de seguridad que existe y
nos permite implementar una política claramente definida en la red

El conocimiento de estas nociones nos permitirá realizar un mejor análisis del nivel de protección en
nuestra red, y de las vulnerabilidades y brechas que puedan existir.

Combinando estos principios con arquitecturas de seguridad, aplicando técnicas de defensa activa, y

realizando procesos periódicos de pentesting, los administradores de la red podrán aumentar la
seguridad de ésta, enmendando sus vulnerabilidades desde su propio núcleo.

REFERENCIAS

Giusto, D. (2015) como fortalecer las distintas capas de las redes informáticas, tomado de
https://www.welivesecurity.com/la-es/2015/06/01/como-fortalecer-capas-redes-informaticas/

Moreno, N. y Canales, H. (2012) Ataques capa3, tomado de https://es.scribd.com/presentation/116148570/Ataques-Capa-3

Medina, F. (2017) Seguridad en las Comunicaciones tomado de https://es.slideshare.net/pacomedina/tema-3-seguridad-en-

las-comunicaciones

Haulmer, I. (2019) Introducción a los ataques DDoS y métodos Anti-DDoS, tomado de

https://www.haulmer.com/docs/introduccion-a-los-ataques-ddos-y-metodos-anti-ddos/

Müller, L. (2011) Seguridad en la capa de Red. – IPSec, tomado de

http://www.laminfo.com/blog/archivos/__5_unidad_V_IP_sec.pdf

Huawei. (2019)Reenvío de plan de seguridad - Capa 3 de seguridad, tomado de https://forum.huawei.com/enterprise/es/reenv

%C3%ADo-de-plan-de-seguridad-capa-3-de-seguridad/thread/494661-100237

GCI. (2014).Fundamentos de la Seguridad Informática, tomado de https://www.bps.gub.uy/bps/file/13150/1/fsi---seguridad-

en-redes-parte-1.pdf

Cisco. (2012)CAPITULO 5 Capa de red de OSI, tomado de http://blog.utp.edu.co/ee973/files/2012/04/capitulo05-capa-de-

red.pdf