Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2.1. Introducción
2.2. Los sistemas de cableado o inalámbricos
2.3. Repetidores, hubs y conmutadores
2.4. Encaminadores
2.5. Los servidores y otras máquinas
2.6. Conclusiones
2.7. Evaluación
Todas las redes están compuestas por una serie de dispositivos físicos,
máquinas, que tienen una mayor o menor capacidad de control mediante
programación software, pero no dejan de ser máquinas, con una misión con-
creta en la red. Es radicalmente importante considerar sus posibles insegun-
dades, teniendo en cuenta que, en un cierto sentido, son las piezas básicas del
sistema. Esas máquinas, además, se comunican entre sí utilizando uno o
varios medios de transmisión, habitualmente cables de una tecnología
determinada, unos más susceptibles que otros a determinados problemas de
seguridad. Hoy en día, además, cada vez son más las redes que, enteramente
o en parte, se comunican mediante sistemas inalámbricos, que exhiben sus
problemas particulares desde el punto de vista de la seguridad.
Tanto los medios de transmisión como las distintas máquinas son sus-
ceptibles de ataques contra su seguridad, desde dos puntos de vista:
- ataques físicos a su seguridad, en los que se busca la destrucción par-
cial o total del dispositivo concreto y, como consecuencia, la inhabili-
tación, total o parcial, de la red en la que prestan sus servicios.
- ataques wlógicosn a su seguridad, en los que, buscando los mismos
objetivos que los anteriores, no se dispone de un acceso físico y, como
consecuencia, no se pueden realizar o, aun disponiendo de acceso físi-
co, no es el método preferido para el ataque.
Aunque no se vaya a desarrollarlos, hay que considerar los ataques físi-
cos, es decir, los ataques en los que los dispositivos resultan dañados física-
mente. Estos ataques son relativamente fáciles de evitar, disponiendo de una
buena política de seguridad física, que evite el acceso físico a tales sistemas
por parte de personal no autorizado.
Centrándose en los ataques lógicos, hay que entender cada una de las
responsabilidades de los elementos hardwares típicos de una red y cada una
de sus posibles inseguridades, para considerarlas de cara a la política de
seguridad.
Así pues, primero hay que identificar los elementos que se tienen que
considerar:
-Canales de comunicación y cableados típicos: par trenzado, fibra ópti-
ca, sin olvidarse de considerar la comunicación inalámbrica.
- Repetidores.
- Hubs o concentradores.
- Conmutadores
- Encaminadores.
Máquinas utilizadas por los usuarios, especialmente servidores.
Posiblemente para su estudio posterior ayudará el recordar los niveles
OS1 que deben implementar muchos de estos dispositivos, razón por la cual
se incluye la figura 2.1, como recordatorio de cada una de las Funciones que
realizan. No obstante, hay que examinarlos con más detalle en los siguientes
apartados.
Aplicación Aplicación
Sistemas
Presentación Inform~ticos Presentación
Sesión
Transporte Transporte
Nivel 3
usarla correctamente. Baste decir, solo a modo de idea, que muchas redes
WLAN han sido atacadas con éxito (esto quiere decir que se ha obtenido toda
la información que fluía por ellas) porque o bien la criptografía que se podía
usar no se usaba (caso muy habitual) o bien estaba configurada con un algo-
ritmo criptográfico débil, una selección de clave pobre, un cambio de clave
muy inkecuente o una combinación de todos estos Factores.
vli Estación de
trabajo
punto acceso
!
!!!!O! Portátil
Servidor de red
Estación de
trabajo
Parece difícil colarse ... pero, hay que recordar: cuanto más complejo es
un sistema, más difícil es asegurarlo. Revisando la anterior lista punto a pun-
to otra vez:
1. ¿Se ha modificado periódicamente la contraseña?
2. ¿Hay una lista de direcciones IP bien configurada, o está vacía?
3. ¿La versión de SSL no tiene .agujeros. de seguridad, como por ejem-
plo los descritos en http:llonline.securityfocus.com/archive/l/29782/
2002-09-1 112002-09-l710?
4. ¿Hay una sola o varias direcciones IP en el conmutador?
5. ¿Está activo el servidor AAA?, si no, jse dispone de un servidor de
<<backup>,?,
o ¿se está preparados para tener que acceder solo en local?
6. Éste no es un punto menor. Con el auge de las herramientas gráficas,
cada vez es más fácil configurar mal un conmutador, si no se conoce
bien el entorno, porque nadie se lo ha enseñado. Muchos problemas de
seguridad tienen su causa en el desconocimiento ,no mal intenciona-
do, que deja desconfigurado, o mal configurado, el sistema operativo
del conmutador.
Y, por último, ¿se ha tenido en cuenta, en todos los puntos de seguridad,
los ataques que, para tener éxito, no necesitan de un acceso al conmutador?
Hay que recordar del capítulo 1 los ataques de denegación de servicio (o ata-
ques DOS). Alguien podría pensar que siendo tan pequeño el sistema opera-
tivo de un conmutador, diseñado solo para gestionarlo, no va a tener bugs
que permitan tales ataques ... pues estaría equivocado. Tales ataques existen,
se dan y en muchos modelos de muchos fabricantes. Como muestra, un
botón, aparecido como <<SecurityAdvisoryn de Cisco, de octubre de 2002:
2.4. ENCAMINADORES
Los encaminadores (o routers) no solo incorporan la Función de filtrado,
sino que también determinan la ruta hacia el destino de cada mensaje, o sea,
hacen una selección del camino óptimo, empleándose tanto en redes de área
local como de área extensa. Implementan, al menos, los niveles 1, 2 y 3 de la
arquitectura OS1 (Figura 2.1), pero, al igual que los conmutadores, suelen
implementarlos todos y, así, permitir todos los medios de acceso explicados
para los conmutadores.
Difieren de los conmutadores, fundamentalmente, en que actúan sobre
los paquetes transferidos entre los niveles de red de las estaciones, a diferen-
cia de los conmutadores que lo hacen sobre las tramas al nivel de enlace de
datos, y por otro lado, ambos son idealmente transparentes a las estaciones
finales que comunican. Sin embargo, normalmente, las estaciones finales tie-
nen definido el encaminador al que deben dirigirse para solicitar los servicios
de encaminamiento.
Su funcionamiento se basa en la utilización de un esquema de direc-
cionamiento jerárquico y lógico (definido por el administrador, siguiendo
las normas de una arquitectura particular, por ejemplo IP, por contraste al
direccionamiento físico del nivel 2, o por ejemplo, las direcciones MAC de
LA SEGURIDAD EN LOS ELEMENTOS F~SICOSEXISTENTES EN UNA RED 53
2.6. CONCLUSIONES
En cualquier sistema de comunicaciones existen tres piezas clave: los
emisores, los receptores y el medio de comunicación.
En el caso de las redes de ordenadores, esto se aplica perfectamente
pero, en diferentes grados, a lo que se ha descrito en este capítulo.
Se ha tratado de componentes hardware a tener en cuenta en cual-
quier proceso de seguridad, que se pretenda seguir para las redes que
se utilicen.
Algunos son claramente de carácter hardware, como los cables, los
repetidores y hubs.
Se ha visto que no todos los cables ofrecen la misma seguridad, que
siempre será más seguro trabajar con par trenzado apantallado o con
fibra óptica.
Se ha hecho una breve introducción a la comunicación inalámbrica y
se ha visto que, en este caso, en el medio lo importante es la capacidad
de encriptar correctamente.
Se ha visto que los hubs y repetidores son suficientemente <<tontos,,
como para no preocuparse mucho de ellos.
Sin embargo, se han descrito muchos de los posibles problemas que se
pueden tener (algunos muy graves) si se piensa que no hay que dedicar un
56 SEGURIDAD EN LAS COMUNICACIONES Y E N LA INFORMACIÓN
1 . Los encaminadores son máquinas más seguras que los hubs por:
a ) Porque implementan hasta el nivel 3 de la arquitectura OSI, y los hubs
solo hasta el nivel 1.
b ) No son necesariamente más seguros. Depende de su configuración
concreta.
C) Tienen mecanismos físicos de seguridad adicionales.
d ) Son más seguros los hubs, al no tener ninguna configuración especial
que realizar en ellos.