Curso Seguridad de la información y Comunicaciones.

Profesor: Vicenzo Mendillo

Daniel Álvarez, C.I: 26.228.042-K

Fecha: 25 de febrero del 2021

Cuestionario No.6: Defensa contra intrusos y Barreras de protección.

Primera Parte

1. Compare la metodología de detección de intrusos basada en host con la detección

basada en red.

En los sistemas de detección de intrusos en el área de la seguridad de la información se

dividen en dos modelos y se fundamentan en IDS basados en host siendo uno de los más
amplios que involucra el establecimiento de un sistema IDS en cada estación de trabajo
específico independientemente de donde esté ubicado dicha estación de trabajo ya que de
por sí sola estará protegido, estos IDS verifican los variados registros de archivos como lo
puede ser los archivos kernel, de sistema, de red, entre otros, para igualar dichos registros
en una base de datos interna que alberga ataques conocidos con el objeto de resguardarse de
cualquier intrusión no autorizada, además tienen la capacidad de inspeccionar la
integridad de los datos de archivos ejecutables de suma importancia, como también son
capaces de determinar que procesos y usuarios se involucran en una determinada acción.
Por otro lado, los IDS basados en red trabajan sobre el escaneo de los paquetes de la red al
límite del router o estación de trabajo, gestionando el contenido de los paquetes y
evidenciando cualquier archivo de paquete que se considere sospechoso sobre un archivo
de registro con datos extendidos y su acumulación de eventos agrupados que sacan de la
red con el uso de instrumentos como lo puede ser la captura a través de los sniffers. Estos a
su vez se comportan en modo promiscuo que es simplemente un arregló de configuración
del dispositivo de red a través de un software para ese fin, que analiza el tráfico de la red en
tiempo real y pueden operar a margen de la capa TCP/IP como también al margen de la
capa de aplicación olfateando todos los paquetes que circulan en la red sin límite
determinado de equipo o destinatario.

Algo muy importante de acotar es que los IDS son de gran utilidad y de tecnologías
eficaces en la seguridad de la información pero también tienen sus inconvenientes en tipos
de redes como lo pueden ser la conmutadas ya que en estas no existe en algún segmento
especifico o un solo camino de la red por donde pase todo el tráfico trayendo como
consecuencia implantar un IDS en cada segmento lo que podría tal vez generar costos
adicionales que no todas las organizaciones pudieran costear, otro inconveniente seria con
redes de muy alta velocidad de tráfico donde se dificulta para estos dispositivos y
herramientas procesar todos los paquetes que circulen por dichas redes.

2. ¿Qué es un falso positivo y un falso negativo y cómo se minimizan?

Bajo el concepto de falsos positivos y falsos negativo se debe entender primeramente lo

que significa o define como anomalía que en el tema de la seguridad de la información se
describe como un comportamiento o dato que no es normal dentro de un determinado
sistema informático o red de computadores dentro de actividades como lo puede ser el
tráfico de información, datos o procesos comunes y esperados, alterando de forma aleatoria
el funcionamiento o remplazando líneas de comando por órdenes inapropiadas que puedan
poner en riesgo la funcionabilidad del sistema.

Un falso positivo en la seguridad de la información se puede decir que es cuando se

produce un error de sistema, anomalía o intromisión que un sistema de detección de
intrusión la haya tomado por una actividad anómala en el tráfico de una red pero que en la
realidad no existe dicha intromisión o error.

Un falso negativo es cuando se pasa por alto en un sistema de detección de intrusión la

alerta o actividad no autorizada de terceros ajenos a un sistema de red privada que
disimuladamente actúan de forma normal evitando las alarmas y pasando desapercibidos en
dichos sistemas de seguridad.

La importancia de entender los falsos positivos y los falsos negativos es de estudiar,

prevenir y evitar la constante aparición de dichos parámetros dentro de los sistemas de
detección de intrusos, que para lograr minimizarlos en lo posible se debe de seguir prácticas
en dirección a los cambios de comportamientos y al mismo tiempo compararlas con las
actividades cotidianas del tráfico de una red para así lograr obtener más información y
alimentar una base de datos que ayude a minimizar los falsos negativos ya que los atacantes
de las redes buscan vulnerabilidades basándose en el comportamiento habitual de una red
informática, para los falsos positivos es importante tener muy en cuenta la revisión de las
actualizaciones de las bases de datos y los eventos de intromisión de intrusos para
garantizar y evitar los errores por desactualizaciones o parches con el objeto de evitar el
rechazo de las alertas de seguridad que puedan producirse cuando estos sean verdaderos.

3. Describa posibles esquemas para detectar la presencia de intrusos en una red.

Para describir un escenario o esquema que muestre o ejemplarice un Sistema de

detección de intrusos en una red informática se debe definir el significado y motivo del
mismo y que buenos beneficios y prácticas traen a un sistema de red privado en donde se
desee mitigar, evitar o prevenir ataques, intromisiones y accesos no autorizados de terceros
provenientes de redes externas.

Un sistema de detección de intrusos (IDS) implantado en una red informática privada

puede ser un dispositivo o una serie de métodos que investiga, estudia y monitorea la
presencia en el sistema y la red de intromisiones, acciones y procedencias maliciosas que
comprometan la seguridad de la información y los activos intangibles de la red interna. Su
uso es cada vez más utilizado ya que protege contra vulnerabilidades y ataques, también
sirve para gestionar las configuraciones de la red y observar la integridad de los datos. Los
sistemas de detección de intrusos se basan en el conocimiento y en el comportamiento
haciéndolos un poderoso aliado al momento de aplicar e incluir políticas de seguridad que
ayuden y desarrollen nuevas tendencias y prácticas en la seguridad de la información
avisando con anticipación las intrusiones basándose en bases de datos de ataques comunes,
así como también la realización se seguimientos de cualquier recurso utilizado en búsqueda
de alguna anomalía.

Esquema de ejemplo de implantación de IDS:

Internet
IDS IDS
Firewall

IDS
Zona Desmilitarizada
Red Interna

Servidores (Web, Correo y DNS)

Estación de Monitoreo

Con el rápido escalamiento de las redes hoy en día y la gran variedad de ataques a los
sistemas informáticos se lograron muchos esfuerzos en la investigación y desarrollo para la
búsqueda de soluciones de seguridad en el área de la redes informáticas logrando una
mescla de los sistemas de detección que se basaron en la monitorización de los sistemas
operativos y sus aplicaciones, que a su vez conjuntamente con los sistemas de distribución
de redes fuesen capaces de monitorizar en grupo intrusiones y ataques a través de redes
conectadas a la internet.

Segunda Parte
 1. ¿Qué son las listas de acceso extendidas?

Una Lista de control de acceso es una serie de especificaciones o comandos que

permiten o deniegan el paso de datos o tráfico informáticos a través de los protocolos de
capas superiores o las direcciones, estas son un conjunto de instrumentos muy útiles que
sirven para controlar el tráfico hacia y desde las redes informáticas.

Las listas de control de acceso extendidas proporcionan un grado de control muy preciso
del filtrado del tráfico a través de la capa de red, ya que estas inspeccionan las direcciones
de origen y destino de los paquetes, además de eso inspeccionan los protocolos, y números
de puertos o de servicios, proveen una variedad de criterios normas muy extensa para
fundamentar el control de acceso; estas pueden permitir el tráfico de correo electrónico de
una red a un destino específico y a la vez bloquear la transferencia de archivos y la
navegación web. Esta capacidad de depurar por protocolos y números de puertos logra que
los administradores de red diseñen listas de control de acceso extendidas muy específicas
que se pueden precisar en una aplicación mediante la configuración del número o el nombre
de un puerto bien conocido.

2. Explique cómo opera un cortafuego (firewall) y los distintos tipos o propiedades, de

acuerdo a las capas del modelo OSI.

Los cortafuegos son aplicaciones muy importantes para proteger las redes informáticas y
sus estructuras internas y pueden venir incorporados en los sistemas operativos, así como
también en dispositivos diseñados para esa finalidad. Son los encargados de filtrar, y
supervisar la información o datos que lo atraviesan con el objetivo de prevenir o evitar los
peligros del internet hacia las redes privadas, separando, analizando y restringiendo según
su configuración de políticas de seguridad; Su uso es variado debido a que tienen la
capacidad de trabajar en las diferentes capas del modelo OSI y TCP/IP, como lo pueden ser
a nivel de la capa de red, de transporte y la capa de aplicación. Su implementación deriva
de los requerimientos de seguridad que se necesite y apliquen, para estas aplicaciones
existen diferentes tipos de cortafuegos y sus capacidades de operación de acuerdo a su
función que a continuación se explican:

Cortafuego por filtrado de paquetes: este tipo de cortafuego direcciona los paquetes
que se transportan de una red a otra con condiciones selectivas que bloqueen o permitan
dichos paquetes de acuerdo al sentido “entrantes o salientes” bajo unas políticas de
configuración específicas de seguridad, como lo pueden ser las informaciones que se
localizan en las dirección IP “destino y origen”, Protocolos “TCP, UDP, ICMP”, Tipo de
mensaje ICMP y puertos TCP/UDP” destino y origen”, las interfaces de llagada o destino
de los paquetes.

Cortafuegos mediante Servidores Proxy: Estos son aplicaciones diseñadas para

ejecutarse como un cortafuegos a nivel de las capas más superiores como la capa de
aplicación para lograr un mejor dominio del tráfico, actuando a nivel de hardware con dos
tarjetas de red una que recibe la red externa y la otra que trabaja con la red interna, estos
tipos de cortafuegos trabajan re direccionando los paquetes en los servicios que solicitan los
usuarios como pueden ser sesiones de FTP, HTTP, E-mail, o SSH también direcciones
según las políticas de seguridad sustituyendo las conexiones las conexiones externas y
comportándose como puertas de enlace a los servicios solicitados, todo esto pasa de forma
transparente paralela a la red externa y los usuarios internos, es decir que actúa como un
intermediario entre las dos redes, escuchando todo lo que hacen los usuarios y dependiendo
de las configuraciones de las políticas de seguridad dejan pasar el contenido o no lo
permiten.

3. Describa las diferentes topologías utilizadas en los firewalls y explique mediante un

diagrama el concepto de zona desmilitarizada (DMZ). ¿Qué es un host de bastión?
 A continuación, se hará una breve descripción de las diferentes formas de instalar o
disponer de los cortafuegos de acuerdo a la topología requerida de funcionabilidad y
conveniencia:

Screened Host y Bastión Host: Esta topología se utiliza sobre la base de un router para
enlazar las redes internas con la red externa, realizando la configuración del router sobre
filtrados de paquetes para evitar las conexiones linealmente de las redes internas y externas
indicando cuales enlaces son permitidos desde la red interna hacia el exterior de dicha red
establecidas por las normas de seguridad y políticas. Adicionalmente se puede utilizar el
bastión host que se ubica en la red interna logrando que el bastión host este autorizado y
ejecute la recepción de conexiones externas con el objetivo de que alguna red externa que
desee ingresar a la red interna se verá obligada a atravesar el bastión host y así mantener el
gran nivel de seguridad.

Screened Subnet: esta topología puede integrar un router enlazado al internet y al otro
lado una DMZ como capa de protección que se conecta con otro router a la red interna,
logrando como sitio vulnerable la DMZ y aislando la red interna de la red externa. En este
tipo de topología se colocan con regularidad los servidores Web Y FTP.

DMZ: La Zona Desmilitarizada es un arreglo de red local que se diseña e implanta

dentro de una red privada para dividir la red interna de la red externa con un segmento de
configuración que es direccionado para aplicaciones y servicios que se puede ingresar
desde del internet y en consecuencia tienen la gran probabilidad de recibir ataques de
intromisión de seguridad desde el exterior de la red de diversas formas como aplicaciones
web, servidores ftp, ataques por denegación de servicios, de e-mail entre otros, su finalidad
es la comunicación de la red interna y la externa estén dirigidas hacia dicha zona, pero solo
ella se permite la comunicación entre si misma y la red externa.
 Usuario

Internet

Router

Firewall

Servidor Servidor Web

DMZ
Servidor DNS
E-mail

Firewall

Un Usuario
host de bastión
Usuarioes una aplicación
Servidor BD que se comporta como un mediador
estableciéndose como punto principal de cercanía entre una red externa de una red interna
Red Interna
su objetivo es filtrar todo el tráfico de entrada y salida y proteger la red interna de la red
externa cubriendo las áreas críticas consideradas como punto de vulnerabilidad de agentes
externos.