Documentos de Académico
Documentos de Profesional
Documentos de Cultura
M4 Programación de dispositivos
Módulo: 4
Curso: Seguridad de redes y periféricos
Mapa de Contenido
Programación de dispositivos
Herramientas de
Programación de Use Herramientas de
Productos de redes Vulnerabilidades integridad de
equipos (Switch) control y acceso
sistema
Switch TCP-Wrappers
Familia Cisco DoS COPs
inalámbricos
Programación de Argus
Email bombing Crack
accesos
Índice
Introducción ............................................................................................................................................................................................................ 5
Contextualización: ................................................................................................................................................................................................ 6
1 Productos de Redes ................................................................................................................................................................................... 6
1.1 Familia Cisco ............................................................................................................................................................... 7
1.1.1 Routers ................................................................................................................................................................... 8
1.1.2 Switchs ................................................................................................................................................................... 9
1.2 Familia F5 ................................................................................................................................................................. 10
2 Programación de equipos (Switches) ............................................................................................................................................... 12
2.1 Switches inalámbricos .............................................................................................................................................. 13
2.2 Programación de puertos ......................................................................................................................................... 14
2.3 Programación de accesos ......................................................................................................................................... 16
2.3.1 Comandos en Cisco para Verificar VLANs ............................................................................................................ 17
2.3.2 Protocolos Troncales ............................................................................................................................................ 17
3 Vulnerabilidades ....................................................................................................................................................................................... 18
3.1 DoS ........................................................................................................................................................................... 19
3.2 Cracking de Passwords ............................................................................................................................................. 21
3.3 Email Bombing.......................................................................................................................................................... 22
3.4 Spamming ................................................................................................................................................................. 22
3.5 Seguridad FTP ........................................................................................................................................................... 23
3.6 Seguridad WWW ...................................................................................................................................................... 24
4 Herramientas de Control de Acceso ................................................................................................................................................. 25
4.1 TCP - Wrappers ......................................................................................................................................................... 26
4.2 Netlog ....................................................................................................................................................................... 26
4.3 Argus ........................................................................................................................................................................ 26
4.4 .......................................................................................................................................................................................... 27
4.5 TCP-Dump................................................................................................................................................................. 27
4.6 Satan......................................................................................................................................................................... 28
4.7 ISS ............................................................................................................................................................................. 29
4.8 Courtney y Gabriel ................................................................................................................................................... 29
4.9 TCPList y Nocol ......................................................................................................................................................... 30
5 Herramientas de Integridad del Sistema ......................................................................................................................................... 31
Módulo: 4
Curso: Seguridad de redes y periféricos
Resultado de aprendizaje
Introducción
En esta etapa final del curso usted ya está en condiciones de elaborar planes de mejora y mitigación de
vulnerabilidades. Claro, todo esto con un análisis profundo de la red en la cual se debe aplicar el plan de
mitigación, necesariamente hay que abordar cada punto de la red y cada equipo de esta. No hay equipos
o infraestructuras 100% seguras, la tendencia es llegar a ese porcentaje, pero día a día existen nuevas
amenazas y siempre hay algo nuevo para defenderse.
Es que el personal de área TI siempre debe estar actualizado y, sobre todo, debe ser proactivo. No se
puede dejar para mañana lo que urge hoy. Las empresas más seguras, son las que constantemente
capacitan a su personal especializado y a las personas que usan cada punto, equipo o servicios de red.
Se debe poner a prueba constantemente cada política de seguridad y cada procedimiento informático.
Analizar como es la respuesta del personal ante una amenaza por un ciberataque. Monitorizar
constantemente el tráfico de datos y el comportamiento de la red, saber cómo es el comportamiento de
los datos y del tráfico para cada día y momento, con esto detectar a tiempo algún tráfico y transmisión
inusual dentro de la red.
Este módulo busca dar a conocer las amenazas más comunes y reiterativas a los equipos de comunicación
de una empresa. Cuando usted hace un análisis de ataques, debe considerar los informes desarrollados
por las grandes empresas del rubro de la seguridad, también los antivirus en sus páginas oficiales ofrecen
estudios y reportes de las nuevas vulnerabilidades y ataques que existen. Las empresas desarrolladoras
de software y sistemas operativos entregan sus reportes y las mitigaciones para la vulnerabilidad
detectada. Por esta razón, el área TI debe estar constantemente analizando, investigando y practicando
en ambientes de laboratorio cada vulnerabilidad y su mitigación.
Con todo esto ya está en condiciones de avanzar en este cuarto y último modulo, donde programará y
monitoreará dispositivos de red de forma segura y eficiente para minimizar el riesgo de ataques internos
y externos de la organización. Viendo las amenazas y aplicando la seguridad necesaria para mitigar esa
amenaza.
Pág. 5
Módulo: 4
Curso: Seguridad de redes y periféricos
Contextualización:
Este último módulo también tributa a la contextualización presentada al inicio de este curso, la cual es:
“Usted ha sido contratado por una empresa del área de la publicidad, el diseño y el desarrollo de software.
Esta empresa (de tamaño mediano) está creciendo a pasos agigantados, ya que su trabajo y desarrollo
en el arte de la publicidad y diseño destaca por sobre las demás, lo que la ha llevado a tener una
importante cartera de clientes del rubro de retail, salud y educación, favoreciendo que ahora esté
negociando un nuevo contrato con uno de los bancos más prestigiosos de país. Para ello el banco en un
plazo de no más de tres meses le ha pedido que para cerrar el acuerdo comercial la empresa debe mostrar
el máximo de seguridad de la información, ya que el banco confiará información confidencial de sus
clientes, para el desarrollo y la gestión de los servicios de sus cuentas corrientes”.
Ahora, hay que programar los equipamientos y las mejoras planificadas a lo largo de este periodo de casi
dos meses de trabajo, donde se ha ido logrando segmento a segmento un nivel de seguridad mayor que
el analizado al comienzo del proyecto. Llevando a la empresa a cumplir con los estándares más utilizados
por la industria en materia de redes y de seguridad, aportando con políticas claras y sobre todo con
mitigaciones cuantificables de la seguridad en la red.
1 Productos de Redes
Muchas son las empresas que desarrollan software y hardware de redes, la demanda por este tipo de
productos ha crecido enormemente en las últimas décadas, estamos viviendo plenamente la era digital,
donde todo tipo de empresa tiene gran parte de su información y datos en la red. Así, como la
infraestructura ha crecido, los servicios también lo hacen y a pasos agigantados. Las arquitecturas de
redes contienen y soportan miles de servicios en las diferentes áreas de negocios, la sociedad, la
educación, la salud, etc.
Para cada necesidad hay una solución y si la necesidad es nueva las soluciones no demoran en anunciar
la forma de satisfacer dicha necesidad. Se está constantemente coexistiendo con necesidades y
soluciones, por esto es que las nuevas generaciones de personal TI, deben estar preparadas para atender
las demandas de la industria y de los clientes, que son gran parte de la sociedad. El personal TI debe ser
capaz de entender el modelo de redes y actuar de acuerdo con lo esperado para cada suceso o
acontecimiento dentro de la red que está administrando.
Empresas como Cisco, Ubiquiti, Mikrotik, F5, Red Hat, IBM, entre otros, están dando y brindando las
mejores opciones para las necesidades de la industria. No solo se debe responder a la necesidad, si no,
que además se debe hacer pensando en la seguridad del dato, la infraestructura y los servicios. Por esta
razón muchas empresas se vieron en la obligación de sacar una gama de productos para satisfacer los
temas de seguridad y gestionar de una mejor forma las comunicaciones de las organizaciones. Dentro
de este tema, surgieron empresas dedicadas en su totalidad a la producción de software y hardware de
seguridad.
Pág. 6
Módulo: 4
Curso: Seguridad de redes y periféricos
La convergencia hacia el protocolo de internet (IP) ha permitido integrar en las redes los servicios más
básicos de las telecomunicaciones, estos son telefonía, televisión e internet. Esta integración de servicios
también ha hecho crear soluciones completas a nivel de seguridad en las redes acceso.
Sandy Lerner fundó esta empresa con su marido Leonard Bosack cuando ambos trabajaban en la
Universidad de Stanford. El primer producto que crearon fue el Blue Box, un Router multiprotocolo creado
originalmente por William Yeager. En 1985, Bosack y un colaborador comenzaron la implementación de
lo que más tarde se convirtió en Cisco IOS, el sistema operativo que utilizan los Routers y Switches de la
compañía. La Importancia del Gobierno de la Seguridad de la Información, tiene que ver con la criticidad
que está directamente relacionada con la importancia que tiene la información para la compañía, tanto
así, que hoy en día no se conocen empresas que puedan llevar adelante su negocio sin un adecuado GSI
(Gobierno de la Seguridad de la Información). Tradicionalmente, su principal competidor era Juniper
Networks en la venta de Routers para enlaces Backbone. Sin embargo, debido a su caída en picado en
los últimos años, actualmente su principal competidor es Huawei. Desde 2019, Cisco Systems colabora
en Italia con el operador de telefonía Lliad para la realización de la red propietaria de este último. Además
de desarrollar el hardware de sus equipos, Cisco Systems también se ocupa de desarrollar su propio
software de gestión y configuración de estos. Dicho software es conocido como IOS, de código
actualmente cerrado y propietario. A través del IOS se consigue configurar los equipos Cisco mediante la
denominada “Command Line Interface” (CLI) (Interfaz de Línea de Comandos), que sirve de intérprete
entre el usuario y el equipo.1
Cisco actualmente desarrolla soluciones empresariales corporativas para las áreas de:
1
https://www.cisco.com/c/es_cl/index.html
Pág. 7
Módulo: 4
Curso: Seguridad de redes y periféricos
• Redes
Es una gran gama de productos para la arquitectura de redes, respondiendo a los más altos
estándares de la industria. Cisco en esto es un referente a nivel mundial en la familia de equipos
y soluciones integrales para la infraestructura de red.
• Seguridad
Otra gama de productos de redes para control de acceso y las formas de transmisión de datos.
En esta área cisco no es líder en soluciones, pero si es parte del mercado y ocupa un buen
porcentaje de este.
• Data Center
En diferentes localidades y latitudes existen data center propios y soluciones de equipamientos
para data center particulares.
• Colaboración
Herramientas de colaboración y monitoreo de quipos e infraestructura de redes.
• Internet de las Cosas
Hoy la tendencia es a que cada equipamiento pueda ser controlados y revisado desde internet,
existen plataformas para dar soporte a tecnologías de hogar, empresas y oficinas.
En el área de redes y seguridad Cisco tiene un completo catalogo en el que se dan a conocer los diferentes
equipos y sus características principales. Entre estos equipos tenemos Switches, Routers, Firewalls, Aps,
controladores, Monitores, etc.
1.1.1 Routers
Cisco posee una gama de soluciones orientadas a redes de distribución y de núcleo, también
soluciones de servicios como análisis de datos y telefonía IP. El catálogo es amplio, en el ámbito
del software se ofrecen formas de administración cada vez más centralizadas y facilitando el
trabajo del administrador de redes.
Router de Sucursal
Este hardware ofrece una conectividad altamente segura, aprendizaje automático y seguridad
administrada a través de la nube.
Pág. 8
Módulo: 4
Curso: Seguridad de redes y periféricos
Router de Perímetro
Este hardware aumenta la densidad y recuperabilidad con programabilidad para un perímetro de
la red escalable.
Router de Núcleo
Este hardware aborda las necesidades de hoy y escala para las futuras con un fuerte ROI.
Router Industrial
Este hardware ofrece funciones de clase empresarial en entornos resistentes y hostiles.
Router Virtual
Este hardware obtiene servicios de red de varios usuarios para nubes públicas, privadas o alojadas
por un proveedor.
1.1.2 Switchs
Si bien es cierto un Switch es un dispositivo de la Capa 2 del Modelo OSI, hoy estos dispositivos
funcionan tanto en Capa 2 y Capa 3. Entregando soluciones para las diferentes necesidades de la
red. Para cada modelo de negocio, hay un modelo de Switch.
Redes Virtuales
Cuando se quieren usar redes locales virtuales (VLANs) el tipo de equipamiento es el mismo. Por
ende, también son Switch de redes de acceso, pero objetivamente pensado en la administración
de VLANs.
Pág. 9
Módulo: 4
Curso: Seguridad de redes y periféricos
Switches Blade
El Switch Blade Cisco es un componente de la arquitectura FlexIO del gabinete de servidor
modular PowerEdge M1000e. FlexIO ofrece un nivel de flexibilidad de E/S, ancho de banda,
características y protección de la inversión realmente excepcionales en el mercado de los
servidores Blade.
1.2 Familia F5
Empresa que se creó en al año 1996 y es ampliamente conocida
por desarrollar soluciones parea el balanceo de carga. F5
Networks es una compañía posicionada como marca mundial
con presencia en más de 30 países, hoy trabaja en soluciones de
hardware y software de red. Entregando servicios de seguridad,
servicios de red, nube; por el lado del software, ofrece
monitoreo, rendimiento, balanceo, etc.
“Conocida originalmente por sus productos para balanceo de carga, hoy los productos y línea de
servicios de F5 se han expandido a todos los eventos relacionados con la entrega de aplicaciones,
incluyendo la carga local balanceada y aceleración, carga global equilibrada (basada en DNS) y
aceleración, seguridad a través de aplicación cortafuegos y aplicaciones de autentificación y acceso
a productos, defensa ante ataque DDoS. Las tecnologías de F5 están disponibles para centros de
datos y en la nube, incluyendo privados, públicos, y multientornos de nube basados en plataformas
como AWS, Microsoft Azure, Google Cloud y OpenStack. El negocio está basado en la fabricación y
venta de dispositivos”. (Networks, 2019)
Pág. 10
Módulo: 4
Curso: Seguridad de redes y periféricos
Seguridad
Las aplicaciones fortalecen empresas de todos los tamaños. Las aplicaciones y sus datos
constituyen un foco de atención para los ataques actuales.
Cloud
Las aplicaciones son el motor de la empresa, por lo que una solución de Cloud debe dar un soporte
adecuado a sus aplicaciones. F5 garantiza que las aplicaciones sean seguras y estén siempre
disponibles: en cualquier momento, en cualquier lugar y en cualquier infraestructura. Y, dado que
los servicios de F5 están en el nivel de las aplicaciones, las empresas pueden trasladar sus
aplicaciones al modelo de Cloud que mejor les convenga sin la dependencia de un proveedor.
Big-IP
La plataforma BIG-IP es una evolución inteligente de la tecnología de controlador de distribución
de aplicaciones (ADC). Las soluciones construidas en esta plataforma son equilibradores de carga.
Además, son Proxies completos que proporcionan visibilidad de todo el tráfico que pasa por la
red, así como la capacidad de controlarlo (mediante su inspección y cifrado o descifrado).
WebSafe
WebSafe y MobileSafe se han desarrollado para que el sector financiero y los negocios de nivel
empresarial ofrezcan una mayor protección de la información personal a la vez que detectan las
amenazas que suponen un riesgo para los usuarios.
Firewall
El WAF adecuado delante de las aplicaciones puede detener rápidamente amenazas para las
aplicaciones y mitigar las vulnerabilidades. Como parte de una estrategia de seguridad de
aplicaciones completa, las soluciones WAF de F5 pueden salvaguardar datos, facilitar la
conformidad y proporcionar protección continua frente a amenazas para las aplicaciones en
evolución.
Pág. 11
Módulo: 4
Curso: Seguridad de redes y periféricos
La mayoría de los equipos profesionales de alta gama son altamente configurables, algunos ofrecen
configuraciones por interfaz gráfica y la gran mayoría (casi en su totalidad) lo hacen por interfaz de línea
de comandos (CLI). Las opciones de programación son muchas y dependen de la utilidad que se quiera
dar al equipo de red. Estas opciones van desde los accesos, control de seguridad, control de
configuración, licencias, apariencia, servicios, aplicaciones, etc.
Cada empresa tiene sus propias interfaces y programaciones para sus determinados hardware de red.
Generalmente las empresas desarrollan el hardware y el software de red. El software de red o sistema
operativo busca sacar el máximo rendimiento del hardware, controlando todos los componentes que
participan de la operación de todo el sistemas físico y lógico. Por esta razón, se crean protocolos de
comunicación y muchos de estos son propietarios de las empresas de redes. Los protocolos propietarios
están pensados para el completo funcionamiento dentro del dispositivo físico y muchas veces se ven
limitados por el tipo de licencia adquirida.
Recuerda
Un protocolo propietario es un conjunto normas que actúan en las diferentes capas del modelo OSI
y establecen una serie de acuerdos para el intercambio de datos, regulando, así, las condiciones para
el transporte, el direccionamiento, el enrutamiento y el control de fallos. Esta desarrollado por una
empresa de equipamientos de redes y busca sacar la mejor performance de sus equipos.
Cuando un dispositivo se inicia, ocurren un conjunto de procesos para entrar en funcionamiento. Los
dispositivos revisan el hardware y hacen un test de pruebas para ver el estado de este y las condiciones
de todo el hardware comprometido. Al igual que todo sistema de red se opera un POST (Power-on Self
Test). Revisado lo anterior, los sistemas comienzan a cargar, se localiza el software del sistema operativo
en el almacenamiento activo y se carga a la memoria RAM del sistema, para que este tome el control
total del sistema. Luego se cargan las configuraciones previamente seteadas para el correcto
Pág. 12
Módulo: 4
Curso: Seguridad de redes y periféricos
funcionamiento de la arquitectura donde se presta servicio. Si esto no existe porque el equipo es nuevo
o porque se perdió la configuración, se debe restaurar o reconfigurar.
Para las PYMES también existen soluciones parecidas a los equipos caseros, pero con más opciones de
configuración y capacidad de control de tráfico y datos.
Para las grandes empresas existen más alternativas para elegir, en estos casos los equipos utilizados son
independientes para cada función, esto permite asegurar el proceso y la memoria de cada prestación
dada.
Pág. 13
Módulo: 4
Curso: Seguridad de redes y periféricos
Puerto encendido o pagado: esto tiene relación con lo físico del puerto en las condiciones puede
estar habilitado o deshabilitado, independiente de las configuraciones y el tipo de acceso que
este tenga.
Activar puerto:
#no shutdown
La velocidad: esta puede ser 10 Mbps, 100 Mbps, 1000 Mbps, dependiendo de las condiciones y
el soporte del hardware del equipo.
Descripción del puerto: tiene relación con una configuración opcional, que permite indicar a que
segmento, VLAN o servicios está destinado un determinado puerto.
Todos los ejemplos dados son para equipamientos de Cisco, pero la mayoría de los equipos de red
permiten este tipo de configuraciones.
Hay otro tipo de programaciones especiales o avanzadas, como Etherchannel, seguridad de puertos,
seguridad de acceso, entre otros:
Para regir este tipo de configuraciones existen dos protocolos conocidos funcionales en Cisco.
Pág. 14
Módulo: 4
Curso: Seguridad de redes y periféricos
SSH:
Es un servicio de aplicación que
funciona en TCP en puerto 22. SSH SSH:
(Secure Shell), es una alternativa a # line vty 0 15
Telnet que ofrece mayor # transport input ssh
seguridad ya que no viaja en texto # login local
plano. Sirve para conectarse de #exit
forma remota y levantar sesiones
para la administración y #username Nombre secret Contraseña
configuración de los equipos. Esto #crypto key generate rsa
no es exclusivo de Switch o
Routers, los sistemas operativos #ip ssh version 2
como Linux o Mac también lo
utilizan.
Son cinco los pasos a seguir para la configuración básica del servicio dentro de Switch o
Router Cisco; lo primero es la configuración de la línea VTY, para aceptar nombres de
usuarios locales; luego se debe crear al menos un usuario local para poder acceder; se
debe generar una clave por medio de RSA, la cual es un tipo de clave asimétrica; dentro
Pág. 15
Módulo: 4
Curso: Seguridad de redes y periféricos
de VTY hay que indicar que el proceso será por SSH; por ultimo indicar las versión de SSH
que se utilizara.
Primero es conveniente entender que es una VLAN. Una VLAN responde al acrónimo de Red de Área
Local Virtual, el objetivo es segmentar la red según las características idóneas de un grupo de trabajo,
usuarios o servicios. Las VLAN, se configuran y definen a nivel de la capa 2 y 3 del Modelo OSI. Al hacer
este análisis se puede definir que estas se configuran en la Capa de Acceso del Modelo Jerárquico, aunque
algunas cosas se definen la Capa de Distribución, como lo es el ruteo de estas. La configuración puede
ser de forma dinámica y estática.
Creación de VLAN:
#vlan 10
#name voz
#exit
Recuerda
El rango de configuración de las VLAN es del 1 al 1005 y del 1006 a 4094. Las VLAN 1, 1002 y 1005
están reservadas.
Cuando se ha configurado una VLAN (lógico), luego se necesita asignar la VLAN a un puerto físico o
grupos de puertos (Etherchannel).
Asignación de Puertos:
#interface fastethernet 1/1
#switchport mode access
#switchport Access vlan 10
#exit
Pág. 16
Módulo: 4
Curso: Seguridad de redes y periféricos
Pág. 17
Módulo: 4
Curso: Seguridad de redes y periféricos
3 Vulnerabilidades
Imagen 6: Vulnerabilidaes.
Antes de hacer algún tipo de ataque y para que este ataque sea efectivo, es necesario conocer a la víctima.
Saber de sus acciones cotidianas, saber un mínimo de su comportamiento, conocer sus intereses y sus
horarios de trabajo, conocer sus debilidades. Ahora, mirando desde la otra vereda, para defender sus
sistemas de posibles ataques, también, debe conocer su sistema, las acciones cotidianas y sobre todo
analizar las debilidades del sistema. Entonces, la clave está en el conocimiento y el análisis de las
debilidades del sistema. Esto aplica tanto para el atacante, como para defenderse de posibles ataques.
Una vulnerabilidad es una debilidad de un determinado sistema, servicio o arquitectura de red. Toda
vulnerabilidad es calificada de esa manera, hasta que se mitiga. Para atacar o defender hay que conocer
el sistema, por ejemplo, saber la dirección IP, los servicios que corren en el sistema, las actualizaciones
disponibles versus las que están ejecutadas, los puertos utilizados, los horarios de más uso, etc. El
conocimiento de la información es fundamental para lograr el objetivo, atacar o defender.
En la actualidad, debido a la gran cantidad de bugs que se han encontrado en los sistemas operativos y
aplicaciones informáticas, existen bases de datos que contienen información acerca de la vulnerabilidad:
quien la descubrió, que clase de vulnerabilidad es, como se explota, que resultados provoca, cuáles son
los sistemas y versiones afectados y cuál es la posible solución, si es que la hay.
Pág. 18
Módulo: 4
Curso: Seguridad de redes y periféricos
3.1 DoS
Recuerda
El daño puede ser básico con una simple interrupción, pero también puede ser muy significativo,
piense en una empresa de retail que está en alta demanda de ventas (navidad, día de la mamá, día
del niño), un ataque de este tipo puede ser millonario.
Los ataques no siempre son en contra de servicios como HTTP o algún protocolo de red; también se
puede hacer sobre otros recursos de una determinada máquina, como lo son la memoria, el almacenaje,
la tarjeta de red, etc. Hay ataques que tienen que ver con los procesos de un servidor o equipo de red.
Los ataques de denegación de servicio, ya sea distribuido o no, causan graves consecuencias en los
sistemas atacados. Implementar medidas preventivas será imprescindible ya que, en caso contrario,
solamente sabremos que hemos sido víctimas de este ataque cuando el servicio deje de funcionar.
Pág. 19
Módulo: 4
Curso: Seguridad de redes y periféricos
Para minimizar las consecuencias de estos ataques sobre nuestros sistemas se deberán incorporar
distintas medidas de seguridad. Según el sitio web del Instituto Nacional de Ciberseguridad2, se ofrecen
las siguientes medidas de protección.
Cuando la página web se encuentra en la red interna de la empresa se han de incorporar elementos de
protección perimetral para protegerlo. Entre otras medidas:
• Ubicar el servidor web en una zona desmilitarizada (entre cortafuegos), también llamada DMZ,
evitando así que un intruso pueda acceder a la red interna si vulnera el servidor web.
• Implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que monitorizan las
conexiones y nos alerta si detecta intentos de acceso no autorizados o mal uso de protocolos.
• Utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras), como
un UTM que permite gestionar de manera unificada la mayoría de ciberamenazas que pueden
afectar a una empresa.
Para defenderse es tipo de ataques, hay varias cosas por hacer: poner un equipo en la red que analice
todo el tráfico de entrada, con el objetivo de analizar todo el tráfico, esto incluye las solicitudes a los
servidores. Este tipo de equipos están hechos para analizar grandes cantidades de tráfico, pues son
robustos en procesos y memoria. Este caso es preventivo por medio de avisos; otra medida más ejecutiva
es abiertamente poner un filtro de tráfico, que deniegue todo tipo de tráfico reiterativo o de saturación
a un determinado equipo.
2
https://www.incibe.es/
Pág. 20
Módulo: 4
Curso: Seguridad de redes y periféricos
Los problemas de descifrado de claves también pasan por actividades básicas como cambiar las claves
por defecto que traen los dispositivos nuevos o las aplicaciones que se utilizan. Este es uno de los
primeros ataques que se intentan, en el área de redes son conocidas las claves por defecto según las
marcas y modelos de equipos. Equipos como teléfonos IP, Router inalámbricos, APs, Routers, etc. Por
esto, encontramos claves como:
• admin
• 1234
• 0000
Otra manera de descifrar claves es por ataque de fuerza bruta, el cual es un método lento, ya que se
prueban todas las posibles combinaciones. Otra forma más sofisticada es por medio de diccionarios, que
no son más que un conjunto de palabras preestablecidas, las que se van probando secuencialmente hasta
lograr la coincidencia. El ingeniero Sergio Castro Reynoso, presenta un ranking con las claves más
utilizadas:
• 123456
• Password
• 12345678
• Abc123
• 111111
• 1234
Por esta razón, se recomienda siempre tener en las políticas de seguridad de las organizaciones, no usar
claves con fechas, nombres, calles, ciudades, etc. Todas las anteriores están sujetas a posibles ataques de
diccionario. Una buena política de seguridad debe exigir que las claves deben ser alfanuméricas y con
signos o puntuaciones, no se debe reutilizar claves anteriores y estas deben cambiar en periodos
definidos por la organización.
Otra forma de obtener claves es por medio de análisis del tráfico de la red, para ello se escucha (Sniffer)
constantemente la red a la espera de que alguien introduzca sus credenciales ante algún sistema de
3
Reynoso, S. C. (2013). Arquitectura de Seguridad Informática. Madrid : CreateSpace Independent Publishing
Platform.
Pág. 21
Módulo: 4
Curso: Seguridad de redes y periféricos
autentificación (correo, Wi-Fi, FTP, etc.) y obtenerlas, si viajan en texto plano la tarea ya está hecha, si van
cifradas el atacante tendrá que encontrar el algoritmo de encriptación para dar con el dato buscado.
Este es un método de ataque bajo el servicio de correo electrónico, el cual busca el rebalse de la casilla
de correo de un usuario, de esta forma saturar el almacén de datos. Con esto también se podría hacer un
ataque de denegación de servicio al servidor SMTP, POP3 o IMAP, debido a la gran cantidad de solicitudes
al servidor. Muchos de estos desbordes se hacen para dos objetivos principales, el primero recoger los
datos desbordados y la segunda enviar información de carácter malicioso dentro del correo. Cuando la
información dentro de estos correos está bien redactada y posee logos o marcas oficiales es muy
probable que un usuario sea engañado, el ataque puede ser mucho más poderoso si se adjunta un dato
en medio de un archivo y esta va infectado. Peor aún si se incluye algún link que dirija a un sitio mal
intencionado.
La forma de defenderse de este tipo de ataques es por medio de un sistema de marcado de correos,
llamado antispam. Hay muchos softwares antispam en el mercado, además cada sistema de correo posee
este tipo de mecanismos de seguridad.
3.4 Spamming
Se puede considerar un ataque por ser un dato o tráfico no deseado dentro de la red o del servicio de
correo electrónico. Este tipo de correo lleva información del tipo publicitaria, basura o de origen no
conocido. Estos pueden ser tiendas (ventas), informaciones generales, imágenes, ventas de ilícitos,
pornografía, etc.
Las personas u organizaciones que envían estos correos deben conseguir las listas de correos de los
usuarios a los cuales se les envía el mensaje. Para ello inyectan software de capturas que analizan la red
en búsqueda de los correos, la otra forma de obtener estas direcciones es por ataques a servidores de
cuentas o directamente a servidores de correo, vulneran su sistema y sacan la información. A las personas
u organizaciones que envían correos se les conoce como Spammers.
Estos programas o robots que se encargan de obtener la información se nutren por medio de
aplicaciones, bases de datos, para ejemplificar esto, utilizan aplicaciones como Whois basadas en
consultas tipo TCP, la cual solicita información de direcciones IP, dominio, usuarios, entre otros. Este
Pág. 22
Módulo: 4
Curso: Seguridad de redes y periféricos
sistema basado en consulta y repuesta entrega este insumo de información para que finalmente el robot
lo entregue al Spammer.
Recuerda
Whois, no es una aplicación maliciosa, de hecho, todos los administradores de IPs a nivel mundial
en su página oficial la tienen. Ejemplo de esto es www.lacnic.net
Pág. 23
Módulo: 4
Curso: Seguridad de redes y periféricos
Con estas medidas mínimas de seguridad podrá fortalecer la calidad del servicio y asegurar las
condiciones de funcionamiento. Siempre es bueno permitir solo usuarios que poseen autentificación,
promover una política de seguridad robusta para la clave de los usuarios, que se limite a escuchar solo la
interfaz de red que está en servicio, para que nadie intente levantar sesiones de redes no permitidas.
Recordar siempre mantener el mínimo de privilegio a los usuarios del servicio.
Los servidores FTP tanto en plataformas Linux como en Windows ofrecen muchas alternativas de
configuración y varias de ellas apuntan a la seguridad, además existen muchos factores o alternativas
externas para ofrecer seguridad, ejemplo de ello son los firewalls, analizadores de tráfico, IDS, etc.
Bajo este análisis es que hay que cumplir a cabalidad el equilibrio entre seguridad y disponibilidad. Una
de las formas de asegurar el servicio propiamente tal es por medio de certificados de autenticidad. Con
esto se comienza a hablar de HTTPS, pero cual es la diferencia entre HTTP y HTTPS:
HTTP:
El protocolo de transferencia de hipertexto, traducción por sus siglas, es un protocolo de
comunicaciones para transferencias de la WWW (World Wide Web) el cual opera en el puerto 80
bajo TCP.
HTTPS:
El protocolo seguro de transferencia de hipertexto, traducción por sus siglas, este opera en el
puerto 443 bajo TCP y está basado en el protocolo HTTP, agregando un certificado para la
seguridad.
4
Extraído de IBM. Fuente: https://ibm.co/364aiGM
Pág. 24
Módulo: 4
Curso: Seguridad de redes y periféricos
El certificado que agrega HTTPS es del tipo SSL y SSL es el acrónimo en ingles de Secure Sockets
Layer. Permite mantener la seguridad en la comunicación que se establece entre dos dispositivos,
sistemas o servicios. Todo por medio de algoritmos que cifran la información, para que esta no
viaje en texto plano y si es que llega a ser interceptada por terceros sea más difícil llegar a la
información.
Las herramientas de control de acceso son aquellas que por medio de la identificación, autentificación o
autorización controlan a personas, programas o sistemas el acceso a un recurso dentro de la red. Con
esto se conceden los permisos para acceder a impresoras, archivos, bases de datos, etc. Estas
herramientas, utilizan el software y el hardware para hacer el control. Los controles de acceso son útiles
para mantener la confidencialidad, integridad y disponibilidad de los recursos de la red.
Como ya se analizó en módulos anteriores las formas de controlar el acceso son principalmente tres:
• Algo conocido, como una contraseña
• Algo que se posee, como una tarjeta o llave
• Algo que es parte, como el iris o la retina del ojo
Hoy estos métodos ya no se usan de forma aislada, sino que se mezclan para lograr una seguridad más
robusta. También, existen análisis de actividades que solo un individuo puede lograr hacer, como la forma
de firmar, el timbre de voz, etc.
En el mundo del software y sistemas informáticos, hay otros métodos que tienen que ver con el control
de acceso. Estos son el conjunto de programas que permiten asegurar procesos informáticos y junto con
ello complementan la seguridad de los servicios de red. Algunos son particulares de sistemas operativos
y otros son transversales en su uso. Los transversales, funcionan en diferentes entornos y sistemas, los
conocemos como multiplataforma.
Pág. 25
Módulo: 4
Curso: Seguridad de redes y periféricos
4.2 Netlog
Este software de dominio público bajo licencia GPL, es una herramienta que genera trazas referentes a
servicios basados en IP (TCP, UDP) e ICMP, así como tráfico en la red (los programas pueden ejecutarse
en modo promiscuo) que pudiera ser “sospechoso” y que indicara un posible ataque a una máquina (por
la naturaleza de ese tráfico).
Por lo tanto, Netlog es un monitor de tráfico de red, está hecho para sistemas libres de la familia de Linux,
escrito en Perl. Es muy fácil de usar y adecuado para estaciones de trabajo y servidores. Puede registrar
el tráfico en diferentes interfaces y el tiempo de actividad de la computadora controlada.
4.3 Argus
Argus es otro sistema de monitoreo de red escrito en Perl y bajo Licencia Publica General (GPL),
desarrollado para sistemas Linux. Está diseñado para monitorear el estado de los servicios de red,
servidores y otro hardware de red. Enviará alertas cuando detecte problemas. También posee un apoyo
grafico por medio de mapas y gráficos para interpretar de mejor manera la información obtenida. 5
5
Pagina del Proyecto Argus: http://argus.tcp4me.com/
Pág. 26
Módulo: 4
Curso: Seguridad de redes y periféricos
4.4
4.5 TCP-Dump6
Imagen 12: Analizador de Trafico.
Es otro analizador de trafico de red y está basado en línea de comandos (CLI), posee una licencia del tipo
BSD.
Los analizadores de tráfico permiten saber del comportamiento del flujo de datos en la red y de esta
forma poder identificar flujos de datos anormales dentro de la red. Este análisis es en tiempo real, para
los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado.
La página web del proyecto TCPDump, muestra las siguientes características en su última versión, la cual
es la 4.93:
6
Página del Proyecto TCPDump: https://www.tcpdump.org/
Pág. 27
Módulo: 4
Curso: Seguridad de redes y periféricos
Esta versión de TCPDump aborda una gran cantidad de vulnerabilidades reportadas por:
• Bhargava Shastry, SecT / TU Berlin
• Incluir seguridad
• Henri Salo de Nixu Corporation
• Konrad Rieck
• Luis Rocha
• Brian ‘geeknik’ Carpenter
• Junjie Wang
• Ryan Ackroyd
• Mateusz Jurczyk
TCPDump está pensado para un correcto funcionamiento en sistemas Unix o Linux. Para sistemas
Microsoft (Windows) existe una alternativa llamada WinDump.
4.6 Satan7
Esta es una herramienta para la búsqueda de vulnerabilidades, se muestra en forma gráfica por medio de
un navegador Web. Tiene la capacidad de generar reportes del análisis realizado, entrega una completa
panorámica del comportamiento de la red, ya no solo funciona como Sniffer, sino que, además, puede
identificar errores, trafico inusual y vulnerabilidades. También es una herramienta para Unix o Linux y
tiene licencia GPL.
La sigla SATAN es el acrónimo de Security Analysis Tool for Auditing Networks. Este puede funcionar de
manera local y remota por medio del protocolo IP.
7
Pagina del Proyecto Satan: http://www.porcupine.org/satan/
Pág. 28
Módulo: 4
Curso: Seguridad de redes y periféricos
4.7 ISS
De sus siglas en inglés, Internet Security Scanner, es otro sistema de análisis de datos en la red y también
tiene la capacidad de encontrar vulnerabilidades. Su uso es más comercial y no viene con código de
fuente. Permite a los administradores de red gestionar los riesgos de seguridad de la red con la ayuda de
una base de datos integral de métodos de ataque y vulnerabilidades de seguridad, que utiliza para
escanear la red e identificar agujeros de seguridad automáticamente.
El software de detección evalúa la seguridad de toda una red e intranet empresarial, incluidas todas las
máquinas Unix, Windows NT y Windows 95, así como firewalls, servidores web, enrutadores y
aplicaciones, y responde con acciones correctivas detalladas y fáciles de entender. priorización
automática de riesgos de seguridad y una serie de informes técnicos y de gestión.
Hoy ISS más que un producto es una empresa del área de redes y la seguridad. Ofrece diferentes
productos en software y hardware para realizar las tareas anunciadas, estas pueden ser:
• Protección de servidores
• Protección de máquinas de escritorio
• Detección de intrusos
• Administración de seguridad
Ha sido ampliamente alcanzada por otras empresas más grandes, que ofrecen mayor integración y
mejores precios.
El programa es un script Perl que trabaja conjuntamente con TCPDump. Courtney recibe entradas desde
TCPDump y controla la presencia de peticiones a nuevos servicios del Stack TCP/IP (las herramientas de
este tipo realizan ataques, chequeando de forma ordenada todos los puertos TCP y UDP que tiene el
sistema, para poder ver qué servicios tiene instalados dicha máquina). Si se detecta que se está
produciendo un continuo chequeo de estos puertos en un breve intervalo de tiempo, Courtney da un
aviso. Este aviso se manda vía Syslog.
Courtney puede generar dos tipos de alarmas dependiendo del ataque que se esté produciendo (normal
o “heavy”, las herramientas como SATAN dispone de distintos grados de chequeo de la máquina).
Esta herramienta necesita el intérprete de PERL y el TCPDump.
Grabriel es un software desarrollado por “Los Altos Technologies Inc” que permite detectar “ataques”
como los generados por SATAN. Gabriel identifica el posible ataque y de forma inmediata lo notifica al
Pág. 29
Módulo: 4
Curso: Seguridad de redes y periféricos
administrador o responsable de seguridad. La notificación se puede realizar de varias formas (e-mail, cu,
fichero de trazas). Este programa existe (en este momento) para SunOs 4.1.x y Solaris, y está formado por
un cliente y un servidor. El cliente se instala en cualquier máquina de la red, recoge la información que se
está produciendo y la envía al servidor vía Syslog. Estos clientes además envían de forma regular
información al servidor para indicarle que están en funcionamiento.
Gabriel en el caso de SunOs 4.1.x (Solaris 1) utiliza el programa Etherfind para realizar su trabajo. Una
característica interesante de este software es que no necesita programas adicionales (como en el caso
anterior PERL y TCPDump). El software viene con los ejecutables para SunOs 4.1.x y Solaris (cliente y
servidor) así como un programa para realizar un test de funcionamiento.
Pág. 30
Módulo: 4
Curso: Seguridad de redes y periféricos
5.1 COPS
Es una herramienta de seguridad que permite examinar sistemas Linux y Unix, con el objetivo de
identificar vulnerabilidad locales y problema de seguridad, generando alarmas para que el administrador
pueda ejecutar actividades correctivas. También, puede ejecutar por sí mismo acciones previamente
configuradas y acordadas.
Su acrónimo en ingles significa “Computer Oracle and Password System”, está escrito en SH, C y Perl
según la versión que se esté usando.
5.2 Tiger
Es un sistema de seguridad mucho más actualizado que COPS, pero básicamente realiza las mimas
funciones, es un proyecto nacido en una universidad. Es fácil de configurar y de usar.
Pág. 31
Módulo: 4
Curso: Seguridad de redes y periféricos
5.3 Crack
Crack es un paquete instalado en sistemas Unix o Linux para verificar la calidad de las claves creadas en
el sistema, muchas de estas claves son palabras comunes o basadas en diccionarios. Este programa exige
a los usuarios crear claves robustas y que estas no estén basadas en diccionarios. También, puede analizar
los archivos dentro del sistemas Unix que contiene las claves y entregar un reporte de calidad de estas.
5.4 Tripwire
Tripwire es un software de código abierto con licencia GPL (Licencia Publica General) la cual revisa la
consistencia de los datos y su integridad. Genera alertas si un dato es alterado dentro de una partición,
debido a su constante monitoreo. Este hace un reconocimiento previo del estado de los archivos o
ficheros, y a partir de eso inspecciona cualquier cambio ocurrido según lo almacenado en su base de
datos. La base de datos se genera tomando una instantánea en el momento de su instalación y se accede
a ella mediante contraseña cifrada, además, está compuesta por una serie de información de los archivos
como la última modificación, propietario, permisos, etc. con todo ello se crea una firma para cada fichero
en la base de datos.
CHKWTMP revisa el archivo “/var/adm/wtmp” y detecta archivos vacíos, sin información en otras
palabras su estructura es de bytes nulos. El objetivo de dejar estos archivos vacíos no es nada más que
ocultar la presencia de otro usuario en el sistema. Entonces CHKWTMP genera una alarma avisando al
administrador de la modificación de los archivos o de alteración (inconsistencia) de estos.
SPAR analiza el archivo “/var/adm/pacct”, el cual contiene información de los procesos del sistema Linux.
Permitiendo la auditoria del comportamiento de los procesos del sistema. El archivo generado se puede
filtrar aún más, dando información de quien ejecuta, tiempo, fecha, etc.
Pág. 32
Módulo: 4
Curso: Seguridad de redes y periféricos
IFSTATUS es otro programa libre, permite descubrir si un interfaz de red está siendo utilizado en modo
promiscuo para capturar información en la red. Sirven todas las recomendaciones dichas anteriormente.
Por otro lado, CPM es un microprograma creado en la Universidad de Carnegie Mellon, chequea el
interfaz de red de la máquina descubriendo si está siendo utilizado en modo promiscuo (escuchando
todo el tráfico de la red). El objetivo principal es detectar algún "Sniffer" (olfateador) que intente capturar
información de la red como puedan ser las palabras de paso.
Recuerda
Los Sniffers de red son programas que permiten escuchar la red, pero su uso debido o indebido
depende de quien lo está usado y de los permisos que se manejen.
Pág. 33
Módulo: 4
Curso: Seguridad de redes y periféricos
log, indicando: usuario remoto, nombre del ordenador remoto, dirección IP, día y hora del intento de
login y tty utilizado para la conexión.
Trinux es un conjunto de herramientas para monitorear redes que se utilizan el protocolo TCP/IP esta
herramienta no se instala en el sistema si no que se usa directamente desde el dispositivo de
almacenamiento que se encuentran en la memoria RAM.
6 Cierre
En este módulo se abordaron temas de programación y monitoreo de dispositivos de comunicación para
ser usados de manera segura y eficiente con el objetivo de minimizar el riesgo de ataque a las
organizaciones. Ya se sabe que el eslabón más débil de la seguridad son los usuarios, por ello es
fundamental resguardar con herramientas los accesos a los sistemas y sobre todo mantener la integridad
de los datos.
Toda arquitectura de red necesita de elementos, software y hardware, que constantemente estén
monitoreando el funcionamiento de equipos y sistemas. Revisando procesos, memorias, actividades,
trafico y otros para evitar cualquier actividad mal intencionada o fuera de lo normal. Para el administrador
de red o de sistemas es fundamental entender completamente función y disposición de los procesos de
servicios de red de la organización para saber dónde ejecutar y activar procesos de seguridad,
cumpliendo con el objetivo de mantener la integridad de la información.
En cuanto al equipamiento de red, no basta solo con la configuración para el funcionamiento, también
se tiene que activar los métodos de seguridad propios de cada equipo. Cada equipamiento de red hoy
trae formas y métodos seguridad basados en estándares de la industria o la creación de protocolos
propios para sacar el máximo rendimiento del equipo. Ejemplo concreto de esto son los Routers
inalámbricos que usamos en los hogares, un gran porcentaje de ellos tiene la configuración que solo
permite el funcionamiento, pero ¿qué nivel de seguridad tiene?, ¿qué protocolos está usando? o ¿está
usando algún método de filtrado? Preguntas como estas y sus repuestas reales nos puede dar una
panorámica de que nivel de seguridad estamos usando. Bueno, lo mismo pasa con los equipos usados
en la industria en una escala mayor.
El administrador de red o encargado de seguridad debe estar al día en materia de vulnerabilidades, debe
saber cuáles son las vulnerabilidades de su red y mitigar al máximo posible cada una de ellas para lograr
un nivel de seguridad que permita operar con tranquilidad en la red. Hay muchas herramientas, software
o hardware, que permiten hacer análisis de vulnerabilidades y proponen una pauta de mitigación.
Herramientas y programas hay muchos, aplicados a sistemas operativos, arquitecturas, modelos, marcas,
por esta razón siempre se debe pensar cual es el más apropiado en materia de costos, alcances y limites
que cada solución debe tener. Hay muchos programas de licencias corporativas y otros de código abierto
con licencias del tipo GPL, la elección también depende de las necesidades de la organización. No
significa que una solución corporativa este por sobre una del tipo GPL, solo depende de la utilidad y la
compatibilidad que tenga con el ecosistema donde operará.
Pág. 34
Módulo: 4
Curso: Seguridad de redes y periféricos
Al finalizar este módulo usted cuenta con una amplia gama de conceptos, procedimientos y habilidades
que le permitirán dar respuesta a problemas de seguridad en una pequeña y mediana organización. Tal
objeto se ejemplifico durante todo el este curso mediante el caso de la empresa que necesita elevar sus
estándares de seguridad para poder cerrar un negocio con un nuevo cliente. Las empresas día a día deben
dar muestra de su servicio, calidad, infraestructura y sobre todo de su seguridad. Lo anterior debe ser
medido y demostrado, para ello se hacen las auditorias de seguridad, que entregan datos reales y
medibles en sus resultados. Para ello se aprendió que la seguridad es un tema transversal en las capas
de Modelo OSI y que es un conjunto de condiciones lo que entrega el resultado final, estas condiciones
o ambientes son la seguridad de acceso, la seguridad de la red inalámbrica, la seguridad de sistemas, la
seguridad servicios, etc.
Pág. 35