Área: Tecnología

Seguridad de redes y periféricos

M4 Programación de dispositivos
 Módulo: 4
Curso: Seguridad de redes y periféricos

Mapa de Contenido

Programación de dispositivos

Herramientas de
Programación de Use Herramientas de
Productos de redes Vulnerabilidades integridad de
equipos (Switch) control y acceso
sistema

Switch TCP-Wrappers
Familia Cisco DoS COPs
inalámbricos

Programación de Cracking de Netlog

Familia F5 Tiger
puertos passwords

Programación de Argus
Email bombing Crack
accesos

Spamming TCP-Dump Tripwire

Satan CHKwmtp CHKlastlog y

Seguridad FTP
Spar

Seguridad www ISS Isof e Ifstatus

Courtney y Gabriel CPM y OSH

TCPList y Nocol NoShell y Trinux

 Módulo: 4
Curso: Seguridad de redes y periféricos

Índice
Introducción ............................................................................................................................................................................................................ 5
Contextualización: ................................................................................................................................................................................................ 6
1 Productos de Redes ................................................................................................................................................................................... 6
1.1 Familia Cisco ............................................................................................................................................................... 7
1.1.1 Routers ................................................................................................................................................................... 8
1.1.2 Switchs ................................................................................................................................................................... 9
1.2 Familia F5 ................................................................................................................................................................. 10
2 Programación de equipos (Switches) ............................................................................................................................................... 12
2.1 Switches inalámbricos .............................................................................................................................................. 13
2.2 Programación de puertos ......................................................................................................................................... 14
2.3 Programación de accesos ......................................................................................................................................... 16
2.3.1 Comandos en Cisco para Verificar VLANs ............................................................................................................ 17
2.3.2 Protocolos Troncales ............................................................................................................................................ 17
3 Vulnerabilidades ....................................................................................................................................................................................... 18
3.1 DoS ........................................................................................................................................................................... 19
3.2 Cracking de Passwords ............................................................................................................................................. 21
3.3 Email Bombing.......................................................................................................................................................... 22
3.4 Spamming ................................................................................................................................................................. 22
3.5 Seguridad FTP ........................................................................................................................................................... 23
3.6 Seguridad WWW ...................................................................................................................................................... 24
4 Herramientas de Control de Acceso ................................................................................................................................................. 25
4.1 TCP - Wrappers ......................................................................................................................................................... 26
4.2 Netlog ....................................................................................................................................................................... 26
4.3 Argus ........................................................................................................................................................................ 26
4.4 .......................................................................................................................................................................................... 27
4.5 TCP-Dump................................................................................................................................................................. 27
4.6 Satan......................................................................................................................................................................... 28
4.7 ISS ............................................................................................................................................................................. 29
4.8 Courtney y Gabriel ................................................................................................................................................... 29
4.9 TCPList y Nocol ......................................................................................................................................................... 30
5 Herramientas de Integridad del Sistema ......................................................................................................................................... 31
 Módulo: 4
Curso: Seguridad de redes y periféricos

5.1 COPS ......................................................................................................................................................................... 31

5.2 Tiger.......................................................................................................................................................................... 31
5.3 Crack ......................................................................................................................................................................... 32
5.4 Tripwire .................................................................................................................................................................... 32
5.5 CHKWTMP, CHKLASTLOG, SPAR ............................................................................................................................... 32
5.6 LSOF e IFSTATUS ....................................................................................................................................................... 33
5.7 OSH y CPM................................................................................................................................................................ 33
5.8 NoSHELL y Trinux ...................................................................................................................................................... 33
6 Cierre ............................................................................................................................................................................................................. 34
 Módulo: 4
Curso: Seguridad de redes y periféricos

Resultado de aprendizaje

Programa y monitorea dispositivos de comunicación de manera segura y eficiente para minimizar el

riesgo de ataques internos y externos en organizaciones.

Introducción
En esta etapa final del curso usted ya está en condiciones de elaborar planes de mejora y mitigación de
vulnerabilidades. Claro, todo esto con un análisis profundo de la red en la cual se debe aplicar el plan de
mitigación, necesariamente hay que abordar cada punto de la red y cada equipo de esta. No hay equipos
o infraestructuras 100% seguras, la tendencia es llegar a ese porcentaje, pero día a día existen nuevas
amenazas y siempre hay algo nuevo para defenderse.

Es que el personal de área TI siempre debe estar actualizado y, sobre todo, debe ser proactivo. No se
puede dejar para mañana lo que urge hoy. Las empresas más seguras, son las que constantemente
capacitan a su personal especializado y a las personas que usan cada punto, equipo o servicios de red.
Se debe poner a prueba constantemente cada política de seguridad y cada procedimiento informático.
Analizar como es la respuesta del personal ante una amenaza por un ciberataque. Monitorizar
constantemente el tráfico de datos y el comportamiento de la red, saber cómo es el comportamiento de
los datos y del tráfico para cada día y momento, con esto detectar a tiempo algún tráfico y transmisión
inusual dentro de la red.

Este módulo busca dar a conocer las amenazas más comunes y reiterativas a los equipos de comunicación
de una empresa. Cuando usted hace un análisis de ataques, debe considerar los informes desarrollados
por las grandes empresas del rubro de la seguridad, también los antivirus en sus páginas oficiales ofrecen
estudios y reportes de las nuevas vulnerabilidades y ataques que existen. Las empresas desarrolladoras
de software y sistemas operativos entregan sus reportes y las mitigaciones para la vulnerabilidad
detectada. Por esta razón, el área TI debe estar constantemente analizando, investigando y practicando
en ambientes de laboratorio cada vulnerabilidad y su mitigación.

Este módulo también entregará, importantes herramientas de control de acceso y de integridad de

sistemas. Claramente son algunas de muchas, el mundo de la seguridad es infinito, ya que las formas de
transmisión, los sistemas de telecomunicaciones, los sistemas informáticos, las redes y sus arquitecturas,
los sistemas operativos, entre otros, son atacados constantemente. Con esto usted se debe formar una
idea de como se debe defender y como escalar algún problema cuando sea mayor.

Con todo esto ya está en condiciones de avanzar en este cuarto y último modulo, donde programará y
monitoreará dispositivos de red de forma segura y eficiente para minimizar el riesgo de ataques internos
y externos de la organización. Viendo las amenazas y aplicando la seguridad necesaria para mitigar esa
amenaza.

Pág. 5
 Módulo: 4
Curso: Seguridad de redes y periféricos

Contextualización:
Este último módulo también tributa a la contextualización presentada al inicio de este curso, la cual es:
“Usted ha sido contratado por una empresa del área de la publicidad, el diseño y el desarrollo de software.
Esta empresa (de tamaño mediano) está creciendo a pasos agigantados, ya que su trabajo y desarrollo
en el arte de la publicidad y diseño destaca por sobre las demás, lo que la ha llevado a tener una
importante cartera de clientes del rubro de retail, salud y educación, favoreciendo que ahora esté
negociando un nuevo contrato con uno de los bancos más prestigiosos de país. Para ello el banco en un
plazo de no más de tres meses le ha pedido que para cerrar el acuerdo comercial la empresa debe mostrar
el máximo de seguridad de la información, ya que el banco confiará información confidencial de sus
clientes, para el desarrollo y la gestión de los servicios de sus cuentas corrientes”.

Ahora, hay que programar los equipamientos y las mejoras planificadas a lo largo de este periodo de casi
dos meses de trabajo, donde se ha ido logrando segmento a segmento un nivel de seguridad mayor que
el analizado al comienzo del proyecto. Llevando a la empresa a cumplir con los estándares más utilizados
por la industria en materia de redes y de seguridad, aportando con políticas claras y sobre todo con
mitigaciones cuantificables de la seguridad en la red.

1 Productos de Redes
Muchas son las empresas que desarrollan software y hardware de redes, la demanda por este tipo de
productos ha crecido enormemente en las últimas décadas, estamos viviendo plenamente la era digital,
donde todo tipo de empresa tiene gran parte de su información y datos en la red. Así, como la
infraestructura ha crecido, los servicios también lo hacen y a pasos agigantados. Las arquitecturas de
redes contienen y soportan miles de servicios en las diferentes áreas de negocios, la sociedad, la
educación, la salud, etc.

Para cada necesidad hay una solución y si la necesidad es nueva las soluciones no demoran en anunciar
la forma de satisfacer dicha necesidad. Se está constantemente coexistiendo con necesidades y
soluciones, por esto es que las nuevas generaciones de personal TI, deben estar preparadas para atender
las demandas de la industria y de los clientes, que son gran parte de la sociedad. El personal TI debe ser
capaz de entender el modelo de redes y actuar de acuerdo con lo esperado para cada suceso o
acontecimiento dentro de la red que está administrando.

Empresas como Cisco, Ubiquiti, Mikrotik, F5, Red Hat, IBM, entre otros, están dando y brindando las
mejores opciones para las necesidades de la industria. No solo se debe responder a la necesidad, si no,
que además se debe hacer pensando en la seguridad del dato, la infraestructura y los servicios. Por esta
razón muchas empresas se vieron en la obligación de sacar una gama de productos para satisfacer los
temas de seguridad y gestionar de una mejor forma las comunicaciones de las organizaciones. Dentro
de este tema, surgieron empresas dedicadas en su totalidad a la producción de software y hardware de
seguridad.

Pág. 6
 Módulo: 4
Curso: Seguridad de redes y periféricos

La convergencia hacia el protocolo de internet (IP) ha permitido integrar en las redes los servicios más
básicos de las telecomunicaciones, estos son telefonía, televisión e internet. Esta integración de servicios
también ha hecho crear soluciones completas a nivel de seguridad en las redes acceso.

1.1 Familia Cisco

Cisco Systems es una empresa tecnológica multinacional, fundada en 1984, con base en San José
(California) en Silicon Valley. Su negocio está basado en la fabricación y venta de dispositivos de red,
equipos de telecomunicaciones y algunos otros servicios y productos de Tecnología, que detallaremos a
continuación.

Imagen 1: Logo Cisco. Fuente: https://www.cisco.com/

Sandy Lerner fundó esta empresa con su marido Leonard Bosack cuando ambos trabajaban en la
Universidad de Stanford. El primer producto que crearon fue el Blue Box, un Router multiprotocolo creado
originalmente por William Yeager. En 1985, Bosack y un colaborador comenzaron la implementación de
lo que más tarde se convirtió en Cisco IOS, el sistema operativo que utilizan los Routers y Switches de la
compañía. La Importancia del Gobierno de la Seguridad de la Información, tiene que ver con la criticidad
que está directamente relacionada con la importancia que tiene la información para la compañía, tanto
así, que hoy en día no se conocen empresas que puedan llevar adelante su negocio sin un adecuado GSI
(Gobierno de la Seguridad de la Información). Tradicionalmente, su principal competidor era Juniper
Networks en la venta de Routers para enlaces Backbone. Sin embargo, debido a su caída en picado en
los últimos años, actualmente su principal competidor es Huawei. Desde 2019, Cisco Systems colabora
en Italia con el operador de telefonía Lliad para la realización de la red propietaria de este último. Además
de desarrollar el hardware de sus equipos, Cisco Systems también se ocupa de desarrollar su propio
software de gestión y configuración de estos. Dicho software es conocido como IOS, de código
actualmente cerrado y propietario. A través del IOS se consigue configurar los equipos Cisco mediante la
denominada “Command Line Interface” (CLI) (Interfaz de Línea de Comandos), que sirve de intérprete
entre el usuario y el equipo.1

Cisco actualmente desarrolla soluciones empresariales corporativas para las áreas de:

1
https://www.cisco.com/c/es_cl/index.html

Pág. 7
 Módulo: 4
Curso: Seguridad de redes y periféricos

• Redes
Es una gran gama de productos para la arquitectura de redes, respondiendo a los más altos
estándares de la industria. Cisco en esto es un referente a nivel mundial en la familia de equipos
y soluciones integrales para la infraestructura de red.
• Seguridad
Otra gama de productos de redes para control de acceso y las formas de transmisión de datos.
En esta área cisco no es líder en soluciones, pero si es parte del mercado y ocupa un buen
porcentaje de este.
• Data Center
En diferentes localidades y latitudes existen data center propios y soluciones de equipamientos
para data center particulares.
• Colaboración
Herramientas de colaboración y monitoreo de quipos e infraestructura de redes.
• Internet de las Cosas
Hoy la tendencia es a que cada equipamiento pueda ser controlados y revisado desde internet,
existen plataformas para dar soporte a tecnologías de hogar, empresas y oficinas.

En el área de redes y seguridad Cisco tiene un completo catalogo en el que se dan a conocer los diferentes
equipos y sus características principales. Entre estos equipos tenemos Switches, Routers, Firewalls, Aps,
controladores, Monitores, etc.

1.1.1 Routers

Imagen 2: Router Cisco 4400 Series. Fuente: Catalogo, https://bit.ly/2qt2XQD

Cisco posee una gama de soluciones orientadas a redes de distribución y de núcleo, también
soluciones de servicios como análisis de datos y telefonía IP. El catálogo es amplio, en el ámbito
del software se ofrecen formas de administración cada vez más centralizadas y facilitando el
trabajo del administrador de redes.

Router de Sucursal
Este hardware ofrece una conectividad altamente segura, aprendizaje automático y seguridad
administrada a través de la nube.

Router de Agregación WAN

Este hardware ofrece rendimiento y seguridad para la interconectividad por WAN, Internet y entre
máquinas (M2M).

Pág. 8
 Módulo: 4
Curso: Seguridad de redes y periféricos

Router de Perímetro
Este hardware aumenta la densidad y recuperabilidad con programabilidad para un perímetro de
la red escalable.

Router de Núcleo
Este hardware aborda las necesidades de hoy y escala para las futuras con un fuerte ROI.

Router Industrial
Este hardware ofrece funciones de clase empresarial en entornos resistentes y hostiles.

Router Virtual
Este hardware obtiene servicios de red de varios usuarios para nubes públicas, privadas o alojadas
por un proveedor.

Router para Pyme

Este hardware obtiene capacidades avanzadas y funciones de seguridad a un precio accesible.

1.1.2 Switchs

Imagen 3: Switch Cisco Catalyst 3650. Fuente: Catalogo, https://bit.ly/2qt2XQD

Si bien es cierto un Switch es un dispositivo de la Capa 2 del Modelo OSI, hoy estos dispositivos
funcionan tanto en Capa 2 y Capa 3. Entregando soluciones para las diferentes necesidades de la
red. Para cada modelo de negocio, hay un modelo de Switch.

Administración de Redes LAN

Se utilizan tipos de hardware de capa 2, es en esta capa donde se configuran y administran las
redes locales, tanto físicas como virtuales. Para esto se usan Switchs pensados para la
administración de redes de acceso y principalmente la administración de redes locales (LAN y
VLANs)

Redes Virtuales
Cuando se quieren usar redes locales virtuales (VLANs) el tipo de equipamiento es el mismo. Por
ende, también son Switch de redes de acceso, pero objetivamente pensado en la administración
de VLANs.

Pág. 9
 Módulo: 4
Curso: Seguridad de redes y periféricos

Servicios de Redes en la Nube

Hoy las empresas y organizaciones descansan muchos de sus servicios de arquitectura de
plataforma en la nube. La nube puede ser publica, privada o una mezcla de amabas. En temas de
virtualización Cisco, como otras marcas, ofrecen una alta gama de soluciones para la gestión de
recursos y la estabilidad del servicio, permitiendo la escalabilidad y sobre todo la interoperabilidad
de los equipos y sus servicios.

Switches Blade
El Switch Blade Cisco es un componente de la arquitectura FlexIO del gabinete de servidor
modular PowerEdge M1000e. FlexIO ofrece un nivel de flexibilidad de E/S, ancho de banda,
características y protección de la inversión realmente excepcionales en el mercado de los
servidores Blade.

Switches para Centros de Datos

La necesidad de equipamientos de redes en centros de datos pasa por la gran cantidad de tráfico
que fluye por las interfaces de red. Pensando en data center, Cisco ofrece alternativas de Switch
de capa 3, estos tienen alto control y monitoreo en el proceso de datos, adjuntando soluciones
de análisis y monitoreo por software. Este tipo de software debe ser de alto rendimiento y de fácil
control, de forma segura y escalable.

Switches para Proveedores de Servicios

Es una solución para el control de acceso y de ancho de banda, lo que permite la administración
de recursos de la red.

1.2 Familia F5
Empresa que se creó en al año 1996 y es ampliamente conocida
por desarrollar soluciones parea el balanceo de carga. F5
Networks es una compañía posicionada como marca mundial
con presencia en más de 30 países, hoy trabaja en soluciones de
hardware y software de red. Entregando servicios de seguridad,
servicios de red, nube; por el lado del software, ofrece
monitoreo, rendimiento, balanceo, etc.

Imagen 4: Logo F5 Networks. Fuente: https://f5.com

“Conocida originalmente por sus productos para balanceo de carga, hoy los productos y línea de
servicios de F5 se han expandido a todos los eventos relacionados con la entrega de aplicaciones,
incluyendo la carga local balanceada y aceleración, carga global equilibrada (basada en DNS) y
aceleración, seguridad a través de aplicación cortafuegos y aplicaciones de autentificación y acceso
a productos, defensa ante ataque DDoS. Las tecnologías de F5 están disponibles para centros de
datos y en la nube, incluyendo privados, públicos, y multientornos de nube basados en plataformas
como AWS, Microsoft Azure, Google Cloud y OpenStack. El negocio está basado en la fabricación y
venta de dispositivos”. (Networks, 2019)

Pág. 10
 Módulo: 4
Curso: Seguridad de redes y periféricos

A continuación, una breve descripción de las soluciones de F5 Networks:

Seguridad
Las aplicaciones fortalecen empresas de todos los tamaños. Las aplicaciones y sus datos
constituyen un foco de atención para los ataques actuales.

Cloud
Las aplicaciones son el motor de la empresa, por lo que una solución de Cloud debe dar un soporte
adecuado a sus aplicaciones. F5 garantiza que las aplicaciones sean seguras y estén siempre
disponibles: en cualquier momento, en cualquier lugar y en cualquier infraestructura. Y, dado que
los servicios de F5 están en el nivel de las aplicaciones, las empresas pueden trasladar sus
aplicaciones al modelo de Cloud que mejor les convenga sin la dependencia de un proveedor.

Big-IP
La plataforma BIG-IP es una evolución inteligente de la tecnología de controlador de distribución
de aplicaciones (ADC). Las soluciones construidas en esta plataforma son equilibradores de carga.
Además, son Proxies completos que proporcionan visibilidad de todo el tráfico que pasa por la
red, así como la capacidad de controlarlo (mediante su inspección y cifrado o descifrado).

WebSafe
WebSafe y MobileSafe se han desarrollado para que el sector financiero y los negocios de nivel
empresarial ofrezcan una mayor protección de la información personal a la vez que detectan las
amenazas que suponen un riesgo para los usuarios.

Firewall
El WAF adecuado delante de las aplicaciones puede detener rápidamente amenazas para las
aplicaciones y mitigar las vulnerabilidades. Como parte de una estrategia de seguridad de
aplicaciones completa, las soluciones WAF de F5 pueden salvaguardar datos, facilitar la
conformidad y proporcionar protección continua frente a amenazas para las aplicaciones en
evolución.

Pág. 11
 Módulo: 4
Curso: Seguridad de redes y periféricos

2 Programación de equipos (Switches)

La mayoría de los equipos profesionales de alta gama son altamente configurables, algunos ofrecen
configuraciones por interfaz gráfica y la gran mayoría (casi en su totalidad) lo hacen por interfaz de línea
de comandos (CLI). Las opciones de programación son muchas y dependen de la utilidad que se quiera
dar al equipo de red. Estas opciones van desde los accesos, control de seguridad, control de
configuración, licencias, apariencia, servicios, aplicaciones, etc.

Cada empresa tiene sus propias interfaces y programaciones para sus determinados hardware de red.
Generalmente las empresas desarrollan el hardware y el software de red. El software de red o sistema
operativo busca sacar el máximo rendimiento del hardware, controlando todos los componentes que
participan de la operación de todo el sistemas físico y lógico. Por esta razón, se crean protocolos de
comunicación y muchos de estos son propietarios de las empresas de redes. Los protocolos propietarios
están pensados para el completo funcionamiento dentro del dispositivo físico y muchas veces se ven
limitados por el tipo de licencia adquirida.

Recuerda

Un protocolo propietario es un conjunto normas que actúan en las diferentes capas del modelo OSI
y establecen una serie de acuerdos para el intercambio de datos, regulando, así, las condiciones para
el transporte, el direccionamiento, el enrutamiento y el control de fallos. Esta desarrollado por una
empresa de equipamientos de redes y busca sacar la mejor performance de sus equipos.

Cuando un dispositivo se inicia, ocurren un conjunto de procesos para entrar en funcionamiento. Los
dispositivos revisan el hardware y hacen un test de pruebas para ver el estado de este y las condiciones
de todo el hardware comprometido. Al igual que todo sistema de red se opera un POST (Power-on Self
Test). Revisado lo anterior, los sistemas comienzan a cargar, se localiza el software del sistema operativo
en el almacenamiento activo y se carga a la memoria RAM del sistema, para que este tome el control
total del sistema. Luego se cargan las configuraciones previamente seteadas para el correcto

Pág. 12
 Módulo: 4
Curso: Seguridad de redes y periféricos

funcionamiento de la arquitectura donde se presta servicio. Si esto no existe porque el equipo es nuevo
o porque se perdió la configuración, se debe restaurar o reconfigurar.

La programación de dispositivos es clave para el funcionamiento de la red, esta programación está

definida por las necesidades de la organización y por las capacidades que el hardware soporte. Para cada
equipo de red hay configuraciones que lo hacen un equipo particular, esto ocurrirá con los Switch,
Routers, firewalls, etc.

2.1 Switches inalámbricos

Un Switch es un dispositivo de red que nació como un equipo de la capa 2 del Modelo OSI, pero que hoy
se ha adaptado a las diferentes necesidades de las organizaciones y las personas. Cuando se habla de
Switch Inalámbrico es principalmente el concepto de Punto de Acceso (AP), debido a que un AP levanta
una señal en forma de radio frecuencia (campo eléctrico y campo magnético). Para este caso la LAN (Local
Area Network) se transforma en una WLAN, la “W” es de Wireless. La mayoría de los equipos caseros
trae esto incorporado, los equipos de red que instalan los ISP en los domicilios cumplen las funciones de
Modem, Router, Switch y AP.

Imagen 5: Router Inalámbrico TP-Link Archer C3150. Fuente: https://www.tp-link.com/

Para las PYMES también existen soluciones parecidas a los equipos caseros, pero con más opciones de
configuración y capacidad de control de tráfico y datos.

Para las grandes empresas existen más alternativas para elegir, en estos casos los equipos utilizados son
independientes para cada función, esto permite asegurar el proceso y la memoria de cada prestación
dada.

Pág. 13
 Módulo: 4
Curso: Seguridad de redes y periféricos

2.2 Programación de puertos

La programación de puertos tiene relación con la utilización lógica que el puerto físico tendrá dentro de
un equipo de red. Entre las configuraciones que se puede aplicar es la activación o baja del puerto, la
velocidad de funcionamiento, la descripción del puerto (opcional), el modo de transmisión.

Puerto encendido o pagado: esto tiene relación con lo físico del puerto en las condiciones puede
estar habilitado o deshabilitado, independiente de las configuraciones y el tipo de acceso que
este tenga.

Activar puerto:

#no shutdown

La velocidad: esta puede ser 10 Mbps, 100 Mbps, 1000 Mbps, dependiendo de las condiciones y
el soporte del hardware del equipo.

Velocidad del puerto:

#speed 100

Descripción del puerto: tiene relación con una configuración opcional, que permite indicar a que
segmento, VLAN o servicios está destinado un determinado puerto.

Descripción del puerto:

#description “vlan de voz”

Todos los ejemplos dados son para equipamientos de Cisco, pero la mayoría de los equipos de red
permiten este tipo de configuraciones.

Hay otro tipo de programaciones especiales o avanzadas, como Etherchannel, seguridad de puertos,
seguridad de acceso, entre otros:

Etherchannel: con la finalidad de aumentar el ancho de banda y tener redundancia en la conexión,

existen modos de agrupación de puertos. A este tipo de agrupaciones lógicas de puertos físicos
se le llama Etherchannel. En Cisco se pueden usar puertos de interfaces FastEthernet (100 Mbps),
GigaEthernet (100 Mbps) y 10GigaEthernet (10000 Mbps), con un máximo de 8 puertos. Para
efectos de los bucles, estos enlaces se comportan como se fueran un solo puerto.

Para regir este tipo de configuraciones existen dos protocolos conocidos funcionales en Cisco.

Pág. 14
 Módulo: 4
Curso: Seguridad de redes y periféricos

PAgP: es un protocolo propietario

de Cisco. Los paquetes PAgP (Port
Aggregation Protocol) son
intercambiados entre Switch a
través de enlaces establecidos y
configurados con ese propósito.
Se hace una comparación de los
vecinos (Neighbors) con el equipo
local para establecer los valores de
configuración.
PAgP:
#interface range fastEthernet 0/1-4
#channel-protocol lacp
#channel-group 1 mode active
#no shutdown
#exit
#interface port-channel 1
#switchport mode trunk
#exit

LACP: es un estándar (protocolo

abierto) entregada por la IEEE. Está
definido en la IEEE 802.3ad. LACP
(Link Aggregation Control
Protocol) funciona de forma
parecida a PAgP pero entregando
roles a los participantes del enlace
basándose en prioridades del
sistema.
LACP:
#interface range fastEthernet 0/1-4
#channel-protocol pagp
#channel-group 1 mode disarable
#no shutdown
#exit
#interface port-channel 1
#switchport mode trunk
#exit

SSH:
Es un servicio de aplicación que
funciona en TCP en puerto 22. SSH SSH:
(Secure Shell), es una alternativa a # line vty 0 15
Telnet que ofrece mayor # transport input ssh
seguridad ya que no viaja en texto # login local
plano. Sirve para conectarse de #exit
forma remota y levantar sesiones
para la administración y #username Nombre secret Contraseña
configuración de los equipos. Esto #crypto key generate rsa
no es exclusivo de Switch o
Routers, los sistemas operativos #ip ssh version 2
como Linux o Mac también lo
utilizan.

Son cinco los pasos a seguir para la configuración básica del servicio dentro de Switch o
Router Cisco; lo primero es la configuración de la línea VTY, para aceptar nombres de
usuarios locales; luego se debe crear al menos un usuario local para poder acceder; se
debe generar una clave por medio de RSA, la cual es un tipo de clave asimétrica; dentro

Pág. 15
 Módulo: 4
Curso: Seguridad de redes y periféricos

de VTY hay que indicar que el proceso será por SSH; por ultimo indicar las versión de SSH
que se utilizara.

2.3 Programación de accesos

La programación de accesos tiene relación con los tipos de conexiones que pasarán por los puertos, los
puertos se pueden comportar como accesos (Access) o como troncales (trunk). Generalmente estos
accesos se disponen en función de VLANs.

Primero es conveniente entender que es una VLAN. Una VLAN responde al acrónimo de Red de Área
Local Virtual, el objetivo es segmentar la red según las características idóneas de un grupo de trabajo,
usuarios o servicios. Las VLAN, se configuran y definen a nivel de la capa 2 y 3 del Modelo OSI. Al hacer
este análisis se puede definir que estas se configuran en la Capa de Acceso del Modelo Jerárquico, aunque
algunas cosas se definen la Capa de Distribución, como lo es el ruteo de estas. La configuración puede
ser de forma dinámica y estática.

Creación de VLAN:
#vlan 10
#name voz
#exit

Recuerda

El rango de configuración de las VLAN es del 1 al 1005 y del 1006 a 4094. Las VLAN 1, 1002 y 1005
están reservadas.

Cuando se ha configurado una VLAN (lógico), luego se necesita asignar la VLAN a un puerto físico o
grupos de puertos (Etherchannel).

Asignación de Puertos:
#interface fastethernet 1/1
#switchport mode access
#switchport Access vlan 10
#exit

Pág. 16
 Módulo: 4
Curso: Seguridad de redes y periféricos

2.3.1 Comandos en Cisco para Verificar VLANs

Los comandos show son de mucha ayuda al momento de monitorear o analizar una configuración. Por
ejemplo, la información presentada al hacer un “show vlan” es la correspondencia de una o más VLANs a
un determinado puerto o grupo de puertos.

Comandos show más utilizados:

• Show vlan, muestra la asignación de VLAN a los puertos
• Show vlan brief, muestra la información de VLAN resumida
• Show vtp status, muestra el estado de servicio VTP
• Show interface trunk, muestra el estado de los troncales

2.3.2 Protocolos Troncales

Los Switch son equipos de Capa 2 y sus puertos por defecto pertenecen a la VLAN 1, además están en
modo acceso. Para que estos se comporten como troncales hay que usar encapsulación, para ellos se
destacan las tres siguientes:
• ISL, Inter-Switch Link es un protocolo de encapsulación propietario de Cisco
• DOT1Q, es un protocolo de encapsulación desarrollado por la IEEE, por ende, es de carácter
abierto
• NEGOTIATE, este funciona con el protocolo DTP, el cual es propietario de cisco.

Configuración de Troncal Dot1q:

#interface fastethernet 1/1
#switchport mode trunk
#switchport trunk native vlan 100
#switchport trunk allowed 10, 99, 100
#exit

Pág. 17
 Módulo: 4
Curso: Seguridad de redes y periféricos

3 Vulnerabilidades

Imagen 6: Vulnerabilidaes.

Antes de hacer algún tipo de ataque y para que este ataque sea efectivo, es necesario conocer a la víctima.
Saber de sus acciones cotidianas, saber un mínimo de su comportamiento, conocer sus intereses y sus
horarios de trabajo, conocer sus debilidades. Ahora, mirando desde la otra vereda, para defender sus
sistemas de posibles ataques, también, debe conocer su sistema, las acciones cotidianas y sobre todo
analizar las debilidades del sistema. Entonces, la clave está en el conocimiento y el análisis de las
debilidades del sistema. Esto aplica tanto para el atacante, como para defenderse de posibles ataques.
Una vulnerabilidad es una debilidad de un determinado sistema, servicio o arquitectura de red. Toda
vulnerabilidad es calificada de esa manera, hasta que se mitiga. Para atacar o defender hay que conocer
el sistema, por ejemplo, saber la dirección IP, los servicios que corren en el sistema, las actualizaciones
disponibles versus las que están ejecutadas, los puertos utilizados, los horarios de más uso, etc. El
conocimiento de la información es fundamental para lograr el objetivo, atacar o defender.

“Muchos programas y sistemas informáticos en la actualidad, a veces por la rapidez en el diseño y

escases de prueba en él, poseen una serie de errores de programación (bugs), que pueden ser
aprovechados por un hacker malicioso para realizar un ataque. Estos errores constituyen verdaderas
vulnerabilidades que ponen en peligro la seguridad de los datos de la víctima frente al exterior. Los
problemas que plantea esta cuestión hacen que las compañías de software tengan que sacar una
serie parches y actualizaciones para sus programas, que permitan arreglar los agujeros de seguridad
detectados lo antes posible”. (García-Moran, 2013)

En la actualidad, debido a la gran cantidad de bugs que se han encontrado en los sistemas operativos y
aplicaciones informáticas, existen bases de datos que contienen información acerca de la vulnerabilidad:
quien la descubrió, que clase de vulnerabilidad es, como se explota, que resultados provoca, cuáles son
los sistemas y versiones afectados y cuál es la posible solución, si es que la hay.

Pág. 18
 Módulo: 4
Curso: Seguridad de redes y periféricos

3.1 DoS

Imagen 7: Ataque básico de denegación de servicios.

Un ataque de denegación de servicios es un ataque a un sistema de computadores o red que provoca

una interrupción total o parcial de los servicios normales. Generalmente provoca la pérdida de la
conectividad de la red por el consumo de la transferencia de información (ancho de banda) o por
saturación debido a muchas solicitudes del servicio. El objetivo es generar la interrupción del servicio, el
desborde de información o la suplantación del servicio. Este se provoca por la saturación de los puertos
de servicios o por la saturación de solicitudes a servidores o equipos de red. Ejemplo de esto es inundar
el puerto 80 en solicitudes del tipo de peticiones GET o POST en apariencia válidas para atacar servidores
o aplicaciones web, por medio del servicio HTTP.

Recuerda

El daño puede ser básico con una simple interrupción, pero también puede ser muy significativo,
piense en una empresa de retail que está en alta demanda de ventas (navidad, día de la mamá, día
del niño), un ataque de este tipo puede ser millonario.

Los ataques no siempre son en contra de servicios como HTTP o algún protocolo de red; también se
puede hacer sobre otros recursos de una determinada máquina, como lo son la memoria, el almacenaje,
la tarjeta de red, etc. Hay ataques que tienen que ver con los procesos de un servidor o equipo de red.
Los ataques de denegación de servicio, ya sea distribuido o no, causan graves consecuencias en los
sistemas atacados. Implementar medidas preventivas será imprescindible ya que, en caso contrario,
solamente sabremos que hemos sido víctimas de este ataque cuando el servicio deje de funcionar.

Pág. 19
 Módulo: 4
Curso: Seguridad de redes y periféricos

Para minimizar las consecuencias de estos ataques sobre nuestros sistemas se deberán incorporar
distintas medidas de seguridad. Según el sitio web del Instituto Nacional de Ciberseguridad2, se ofrecen
las siguientes medidas de protección.

Medidas de protección en la red interna

Cuando la página web se encuentra en la red interna de la empresa se han de incorporar elementos de
protección perimetral para protegerlo. Entre otras medidas:
• Ubicar el servidor web en una zona desmilitarizada (entre cortafuegos), también llamada DMZ,
evitando así que un intruso pueda acceder a la red interna si vulnera el servidor web.
• Implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que monitorizan las
conexiones y nos alerta si detecta intentos de acceso no autorizados o mal uso de protocolos.
• Utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras), como
un UTM que permite gestionar de manera unificada la mayoría de ciberamenazas que pueden
afectar a una empresa.

Imagen 8: Ataque DoS mediante Bots.

Para defenderse es tipo de ataques, hay varias cosas por hacer: poner un equipo en la red que analice
todo el tráfico de entrada, con el objetivo de analizar todo el tráfico, esto incluye las solicitudes a los
servidores. Este tipo de equipos están hechos para analizar grandes cantidades de tráfico, pues son
robustos en procesos y memoria. Este caso es preventivo por medio de avisos; otra medida más ejecutiva
es abiertamente poner un filtro de tráfico, que deniegue todo tipo de tráfico reiterativo o de saturación
a un determinado equipo.

2
https://www.incibe.es/

Pág. 20
 Módulo: 4
Curso: Seguridad de redes y periféricos

3.2 Cracking de Passwords

El descifrado de claves es un método de ataque común y muy utilizado. Se puede descifrar las claves por
medio de ingeniería social, métodos de ataque por fuerza bruta (diccionarios) o por métodos técnicos de
prueba. “El método de ingeniería social consiste en contactar a la persona y hacerse pasar por alguien
más, convencerlo de que debe revelar su clave y usuario” (Reynoso, 2013)3. Este método es muy usado y
según, Sergio Castro Reynoso en su libro Arquitectura de Seguridad Informática, equivale al 70%, debido
a un experimento en Inglaterra, donde ese porcentaje de personas estuvo dispuesto a revelar sus claves
ante una consulta.

Los problemas de descifrado de claves también pasan por actividades básicas como cambiar las claves
por defecto que traen los dispositivos nuevos o las aplicaciones que se utilizan. Este es uno de los
primeros ataques que se intentan, en el área de redes son conocidas las claves por defecto según las
marcas y modelos de equipos. Equipos como teléfonos IP, Router inalámbricos, APs, Routers, etc. Por
esto, encontramos claves como:
• admin
• 1234
• 0000

Otra manera de descifrar claves es por ataque de fuerza bruta, el cual es un método lento, ya que se
prueban todas las posibles combinaciones. Otra forma más sofisticada es por medio de diccionarios, que
no son más que un conjunto de palabras preestablecidas, las que se van probando secuencialmente hasta
lograr la coincidencia. El ingeniero Sergio Castro Reynoso, presenta un ranking con las claves más
utilizadas:
• 123456
• Password
• 12345678
• Abc123
• 111111
• 1234

Por esta razón, se recomienda siempre tener en las políticas de seguridad de las organizaciones, no usar
claves con fechas, nombres, calles, ciudades, etc. Todas las anteriores están sujetas a posibles ataques de
diccionario. Una buena política de seguridad debe exigir que las claves deben ser alfanuméricas y con
signos o puntuaciones, no se debe reutilizar claves anteriores y estas deben cambiar en periodos
definidos por la organización.
Otra forma de obtener claves es por medio de análisis del tráfico de la red, para ello se escucha (Sniffer)
constantemente la red a la espera de que alguien introduzca sus credenciales ante algún sistema de

3
Reynoso, S. C. (2013). Arquitectura de Seguridad Informática. Madrid : CreateSpace Independent Publishing
Platform.

Pág. 21
 Módulo: 4
Curso: Seguridad de redes y periféricos

autentificación (correo, Wi-Fi, FTP, etc.) y obtenerlas, si viajan en texto plano la tarea ya está hecha, si van
cifradas el atacante tendrá que encontrar el algoritmo de encriptación para dar con el dato buscado.

3.3 Email Bombing

Imagen 9: Email Bombing.

Este es un método de ataque bajo el servicio de correo electrónico, el cual busca el rebalse de la casilla
de correo de un usuario, de esta forma saturar el almacén de datos. Con esto también se podría hacer un
ataque de denegación de servicio al servidor SMTP, POP3 o IMAP, debido a la gran cantidad de solicitudes
al servidor. Muchos de estos desbordes se hacen para dos objetivos principales, el primero recoger los
datos desbordados y la segunda enviar información de carácter malicioso dentro del correo. Cuando la
información dentro de estos correos está bien redactada y posee logos o marcas oficiales es muy
probable que un usuario sea engañado, el ataque puede ser mucho más poderoso si se adjunta un dato
en medio de un archivo y esta va infectado. Peor aún si se incluye algún link que dirija a un sitio mal
intencionado.

La forma de defenderse de este tipo de ataques es por medio de un sistema de marcado de correos,
llamado antispam. Hay muchos softwares antispam en el mercado, además cada sistema de correo posee
este tipo de mecanismos de seguridad.

3.4 Spamming
Se puede considerar un ataque por ser un dato o tráfico no deseado dentro de la red o del servicio de
correo electrónico. Este tipo de correo lleva información del tipo publicitaria, basura o de origen no
conocido. Estos pueden ser tiendas (ventas), informaciones generales, imágenes, ventas de ilícitos,
pornografía, etc.

Las personas u organizaciones que envían estos correos deben conseguir las listas de correos de los
usuarios a los cuales se les envía el mensaje. Para ello inyectan software de capturas que analizan la red
en búsqueda de los correos, la otra forma de obtener estas direcciones es por ataques a servidores de
cuentas o directamente a servidores de correo, vulneran su sistema y sacan la información. A las personas
u organizaciones que envían correos se les conoce como Spammers.
Estos programas o robots que se encargan de obtener la información se nutren por medio de
aplicaciones, bases de datos, para ejemplificar esto, utilizan aplicaciones como Whois basadas en
consultas tipo TCP, la cual solicita información de direcciones IP, dominio, usuarios, entre otros. Este

Pág. 22
 Módulo: 4
Curso: Seguridad de redes y periféricos

sistema basado en consulta y repuesta entrega este insumo de información para que finalmente el robot
lo entregue al Spammer.

Recuerda

Whois, no es una aplicación maliciosa, de hecho, todos los administradores de IPs a nivel mundial
en su página oficial la tienen. Ejemplo de esto es www.lacnic.net

Imagen 10: Consulta Whois en LACNIC. Fuente: https://www.lacnic.net

3.5 Seguridad FTP

Gran parte de los ataques mencionados anteriormente afectan al servicio FTP, es necesario tomar algunas
recomendaciones para asegurar el servicio y el correcto funcionamiento del servidor. FTP es una
aplicación (Capa 7 Modelo OSI) que puede ser atacada en las diferentes capas. Pudiendo ser atacado por
inundación de solicitudes, ataque de DoS; vulneración de credenciales, al intentar descifrar la clave de un
usuario; duplicación del servicio, suplantación; escalamiento de privilegios, subir de nivel en los
directorios; etc.

Tareas mínimas en el servidor:

• Limitar el número de intentos de autentificación
• Límite de ancho de banda
• Limitar la escucha en la interfaz, definir solo la interfaz que debe atender solicitudes
• Enjaular usuarios
• Denegar la conexión anónima
• Exigir claves robustas
• Si es público, ponerlo en una DMZ
• No permitir la autentificación con usuarios administradores o superadministradores

Pág. 23
 Módulo: 4
Curso: Seguridad de redes y periféricos

Con estas medidas mínimas de seguridad podrá fortalecer la calidad del servicio y asegurar las
condiciones de funcionamiento. Siempre es bueno permitir solo usuarios que poseen autentificación,
promover una política de seguridad robusta para la clave de los usuarios, que se limite a escuchar solo la
interfaz de red que está en servicio, para que nadie intente levantar sesiones de redes no permitidas.
Recordar siempre mantener el mínimo de privilegio a los usuarios del servicio.

Los servidores FTP tanto en plataformas Linux como en Windows ofrecen muchas alternativas de
configuración y varias de ellas apuntan a la seguridad, además existen muchos factores o alternativas
externas para ofrecer seguridad, ejemplo de ello son los firewalls, analizadores de tráfico, IDS, etc.

3.6 Seguridad WWW

La seguridad en servicios WEB es un tema muy recurrente, ya que el 90% de los servicios WEB están en
la red pública (internet), por esta razón es de prioridad asegurar el servidor y la ubicación que este tiene
dentro de la red, se recomienda que siempre este en una zona desmilitarizada (DMZ), de tal forma que
ante un ataque no se vea involucrada toda la infraestructura.

IBM en su foro de ayuda, entrega estas dos recomendaciones4:

• “Cuando proporciona acceso a los visitantes de su sitio Web, no exponga a la vista de todos, la
información sobre cómo está configurado el sitio ni el código que sirve para generar la página.
La visita a su página tiene que ser rápida, fácil y sin problemas, todo el trabajo se debe realizar
internamente”.
• “Como administrador, debe asegurarse de que las medidas de seguridad no afecten
negativamente al sitio Web y que implementen los modelos de seguridad que ha elegido”.

Bajo este análisis es que hay que cumplir a cabalidad el equilibrio entre seguridad y disponibilidad. Una
de las formas de asegurar el servicio propiamente tal es por medio de certificados de autenticidad. Con
esto se comienza a hablar de HTTPS, pero cual es la diferencia entre HTTP y HTTPS:

HTTP:
El protocolo de transferencia de hipertexto, traducción por sus siglas, es un protocolo de
comunicaciones para transferencias de la WWW (World Wide Web) el cual opera en el puerto 80
bajo TCP.

HTTPS:
El protocolo seguro de transferencia de hipertexto, traducción por sus siglas, este opera en el
puerto 443 bajo TCP y está basado en el protocolo HTTP, agregando un certificado para la
seguridad.

4
Extraído de IBM. Fuente: https://ibm.co/364aiGM

Pág. 24
 Módulo: 4
Curso: Seguridad de redes y periféricos

El certificado que agrega HTTPS es del tipo SSL y SSL es el acrónimo en ingles de Secure Sockets
Layer. Permite mantener la seguridad en la comunicación que se establece entre dos dispositivos,
sistemas o servicios. Todo por medio de algoritmos que cifran la información, para que esta no
viaje en texto plano y si es que llega a ser interceptada por terceros sea más difícil llegar a la
información.

4 Herramientas de Control de Acceso

Imagen 11: Sistema de Lectura de Código QR.

Las herramientas de control de acceso son aquellas que por medio de la identificación, autentificación o
autorización controlan a personas, programas o sistemas el acceso a un recurso dentro de la red. Con
esto se conceden los permisos para acceder a impresoras, archivos, bases de datos, etc. Estas
herramientas, utilizan el software y el hardware para hacer el control. Los controles de acceso son útiles
para mantener la confidencialidad, integridad y disponibilidad de los recursos de la red.

Como ya se analizó en módulos anteriores las formas de controlar el acceso son principalmente tres:
• Algo conocido, como una contraseña
• Algo que se posee, como una tarjeta o llave
• Algo que es parte, como el iris o la retina del ojo

Hoy estos métodos ya no se usan de forma aislada, sino que se mezclan para lograr una seguridad más
robusta. También, existen análisis de actividades que solo un individuo puede lograr hacer, como la forma
de firmar, el timbre de voz, etc.

En el mundo del software y sistemas informáticos, hay otros métodos que tienen que ver con el control
de acceso. Estos son el conjunto de programas que permiten asegurar procesos informáticos y junto con
ello complementan la seguridad de los servicios de red. Algunos son particulares de sistemas operativos
y otros son transversales en su uso. Los transversales, funcionan en diferentes entornos y sistemas, los
conocemos como multiplataforma.

Pág. 25
 Módulo: 4
Curso: Seguridad de redes y periféricos

4.1 TCP - Wrappers

El TCP-Wrappers es un software bajo licencia GPL. Su función principal es proteger a los sistemas de
conexiones no deseadas a determinados servicios de red, permitiendo a su vez responder con la ejecución
de acciones previamente determinadas en forma automática. Controlar el acceso a los servicios de red es
una de las tareas de seguridad más importantes que enfrenta un administrador del servidor. Red Hat
Enterprise Linux proporciona varias herramientas para este propósito. Por ejemplo, un Iptables que es el
firewall basado en filtrado de paquetes de red no deseados dentro del sistema. Para los servicios de red
que lo utilizan, los TCP Wrappers agregan una capa adicional de protección al definir qué hosts pueden
o no conectarse a servicios de red “envueltos”. Uno de estos servicios de red envueltos es el Xinetd super
servidor. Este servicio se denomina super servidor porque controla las conexiones a un subconjunto de
servicios de red y refina aún más el control de acceso.

En el caso de Red Hat:

“Los paquetes TCP Wrappers (tcp_wrappers y tcp_wrappers-libs) se instalan de manera
predeterminada y proporcionan control de acceso basado en host a los servicios de red. El
componente más importante dentro del paquete es la biblioteca /lib/libwrap.so /lib64/libwrap.so.
En términos generales, un servicio envuelto en TCP es uno que se ha compilado contra la libwrap.so
biblioteca”. (Red, 2017)

4.2 Netlog
Este software de dominio público bajo licencia GPL, es una herramienta que genera trazas referentes a
servicios basados en IP (TCP, UDP) e ICMP, así como tráfico en la red (los programas pueden ejecutarse
en modo promiscuo) que pudiera ser “sospechoso” y que indicara un posible ataque a una máquina (por
la naturaleza de ese tráfico).

Por lo tanto, Netlog es un monitor de tráfico de red, está hecho para sistemas libres de la familia de Linux,
escrito en Perl. Es muy fácil de usar y adecuado para estaciones de trabajo y servidores. Puede registrar
el tráfico en diferentes interfaces y el tiempo de actividad de la computadora controlada.

4.3 Argus
Argus es otro sistema de monitoreo de red escrito en Perl y bajo Licencia Publica General (GPL),
desarrollado para sistemas Linux. Está diseñado para monitorear el estado de los servicios de red,
servidores y otro hardware de red. Enviará alertas cuando detecte problemas. También posee un apoyo
grafico por medio de mapas y gráficos para interpretar de mejor manera la información obtenida. 5

5
Pagina del Proyecto Argus: http://argus.tcp4me.com/

Pág. 26
 Módulo: 4
Curso: Seguridad de redes y periféricos

Las tareas realizadas por Argus son:

• Puede monitorear la mayoría de los servicios de red
• Admite IPv4 e IPv6
• Incluye gráficos
• Front-end basado en la web
• Puede monitorear decenas de miles de servicios en hardware de PC común
• Admite configuraciones distribuidas y redundantes
• Configurado usando archivos de texto simples

4.4

4.5 TCP-Dump6
Imagen 12: Analizador de Trafico.

Es otro analizador de trafico de red y está basado en línea de comandos (CLI), posee una licencia del tipo
BSD.

Los analizadores de tráfico permiten saber del comportamiento del flujo de datos en la red y de esta
forma poder identificar flujos de datos anormales dentro de la red. Este análisis es en tiempo real, para
los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado.

La página web del proyecto TCPDump, muestra las siguientes características en su última versión, la cual
es la 4.93:

6
Página del Proyecto TCPDump: https://www.tcpdump.org/

Pág. 27
 Módulo: 4
Curso: Seguridad de redes y periféricos

Esta versión de TCPDump aborda una gran cantidad de vulnerabilidades reportadas por:
• Bhargava Shastry, SecT / TU Berlin
• Incluir seguridad
• Henri Salo de Nixu Corporation
• Konrad Rieck
• Luis Rocha
• Brian ‘geeknik’ Carpenter
• Junjie Wang
• Ryan Ackroyd
• Mateusz Jurczyk

TCPDump está pensado para un correcto funcionamiento en sistemas Unix o Linux. Para sistemas
Microsoft (Windows) existe una alternativa llamada WinDump.

4.6 Satan7
Esta es una herramienta para la búsqueda de vulnerabilidades, se muestra en forma gráfica por medio de
un navegador Web. Tiene la capacidad de generar reportes del análisis realizado, entrega una completa
panorámica del comportamiento de la red, ya no solo funciona como Sniffer, sino que, además, puede
identificar errores, trafico inusual y vulnerabilidades. También es una herramienta para Unix o Linux y
tiene licencia GPL.

La sigla SATAN es el acrónimo de Security Analysis Tool for Auditing Networks. Este puede funcionar de
manera local y remota por medio del protocolo IP.

Sus características principales:

• Necesita Perl
• Necesita un navegador Web

• Creado para Linux (Unix)

• Necesita de le ejecución del usuario Superadministrador (root)

7
Pagina del Proyecto Satan: http://www.porcupine.org/satan/

Pág. 28
 Módulo: 4
Curso: Seguridad de redes y periféricos

4.7 ISS
De sus siglas en inglés, Internet Security Scanner, es otro sistema de análisis de datos en la red y también
tiene la capacidad de encontrar vulnerabilidades. Su uso es más comercial y no viene con código de
fuente. Permite a los administradores de red gestionar los riesgos de seguridad de la red con la ayuda de
una base de datos integral de métodos de ataque y vulnerabilidades de seguridad, que utiliza para
escanear la red e identificar agujeros de seguridad automáticamente.

El software de detección evalúa la seguridad de toda una red e intranet empresarial, incluidas todas las
máquinas Unix, Windows NT y Windows 95, así como firewalls, servidores web, enrutadores y
aplicaciones, y responde con acciones correctivas detalladas y fáciles de entender. priorización
automática de riesgos de seguridad y una serie de informes técnicos y de gestión.

Hoy ISS más que un producto es una empresa del área de redes y la seguridad. Ofrece diferentes
productos en software y hardware para realizar las tareas anunciadas, estas pueden ser:
• Protección de servidores
• Protección de máquinas de escritorio
• Detección de intrusos
• Administración de seguridad

Ha sido ampliamente alcanzada por otras empresas más grandes, que ofrecen mayor integración y
mejores precios.

4.8 Courtney y Gabriel

Este software de dominio público sirve para identificar la máquina origen que intenta realizar ataques
mediante herramientas de tipo SATAN.

El programa es un script Perl que trabaja conjuntamente con TCPDump. Courtney recibe entradas desde
TCPDump y controla la presencia de peticiones a nuevos servicios del Stack TCP/IP (las herramientas de
este tipo realizan ataques, chequeando de forma ordenada todos los puertos TCP y UDP que tiene el
sistema, para poder ver qué servicios tiene instalados dicha máquina). Si se detecta que se está
produciendo un continuo chequeo de estos puertos en un breve intervalo de tiempo, Courtney da un
aviso. Este aviso se manda vía Syslog.

Courtney puede generar dos tipos de alarmas dependiendo del ataque que se esté produciendo (normal
o “heavy”, las herramientas como SATAN dispone de distintos grados de chequeo de la máquina).
Esta herramienta necesita el intérprete de PERL y el TCPDump.

Grabriel es un software desarrollado por “Los Altos Technologies Inc” que permite detectar “ataques”
como los generados por SATAN. Gabriel identifica el posible ataque y de forma inmediata lo notifica al

Pág. 29
 Módulo: 4
Curso: Seguridad de redes y periféricos

administrador o responsable de seguridad. La notificación se puede realizar de varias formas (e-mail, cu,
fichero de trazas). Este programa existe (en este momento) para SunOs 4.1.x y Solaris, y está formado por
un cliente y un servidor. El cliente se instala en cualquier máquina de la red, recoge la información que se
está produciendo y la envía al servidor vía Syslog. Estos clientes además envían de forma regular
información al servidor para indicarle que están en funcionamiento.

Gabriel en el caso de SunOs 4.1.x (Solaris 1) utiliza el programa Etherfind para realizar su trabajo. Una
característica interesante de este software es que no necesita programas adicionales (como en el caso
anterior PERL y TCPDump). El software viene con los ejecutables para SunOs 4.1.x y Solaris (cliente y
servidor) así como un programa para realizar un test de funcionamiento.

4.9 TCPList y Nocol

Es un conjunto de programas de monitorización de sistemas y redes. El software es un conjunto de
agentes que recogen información y escriben la salida en un formato que se puede luego procesar. Cada
dato procesado recibe el nombre de evento y cada evento tiene asociado una gravedad. Existen cuatro
niveles de gravedad (CRITICAL, ERROR, WARNING, INFO), cada uno de estos niveles es controlado de
forma independiente por cada agente. Existe un conjunto de herramientas que nos permiten ver toda la
información generada por los agentes y que puede ser filtrada dependiendo de la gravedad del evento.
Entre las cosas que pueden ser controladas por este software tenemos:
• Monitor de ICMP (usando ping o multiping)
• Carga en la red (ancho de banda)
• Monitor de puertos TCP
• Monitor de SNMP y SNMP traps
• Monitor de servidor de Nombres
• Monitor de rpc
• Chequeo del bootpd

Pág. 30
 Módulo: 4
Curso: Seguridad de redes y periféricos

5 Herramientas de Integridad del Sistema

Este es un conjunto de herramientas de seguridad en que el objetivo es el sistema local y no toda la red.
Es un sistema de protección particular de los datos dentro de un sistema computacional, que puede ser
cliente (máquina de escritorio) o servidor. Estas herramientas chequean constantemente los ficheros o
datos, entregado un análisis completo del comportamiento del sistema. También, hay otro conjunto de
programas que no solo analizan, además, son capaces de generar alarmas e incluso ejecutar acciones
correctivas de protección.

5.1 COPS
Es una herramienta de seguridad que permite examinar sistemas Linux y Unix, con el objetivo de
identificar vulnerabilidad locales y problema de seguridad, generando alarmas para que el administrador
pueda ejecutar actividades correctivas. También, puede ejecutar por sí mismo acciones previamente
configuradas y acordadas.

Su acrónimo en ingles significa “Computer Oracle and Password System”, está escrito en SH, C y Perl
según la versión que se esté usando.

Las prestaciones de COPS son las siguientes:

• Chequeo de modos y permisos de los ficheros, directorios y dispositivos
• Palabras de paso pobres (en el caso que tengamos una herramienta como crack, podemos
comentar la línea de chequeo de palabras de paso)
• Chequeo de contenido, formato y seguridad de los ficheros de “password” y “group”
• Chequeo de programas con root-SUID
• Permisos de escritura sobre algunos ficheros de usuario como “.profile” y “.cshrc”
• Configuración de ftp “anonymous”
• Chequeo de algunos ficheros del sistema como “hosts.equiv”, montajes de NFS sin restricciones,
“ftpusers”, etc.

5.2 Tiger
Es un sistema de seguridad mucho más actualizado que COPS, pero básicamente realiza las mimas
funciones, es un proyecto nacido en una universidad. Es fácil de configurar y de usar.

Sus tareas son:

• Configuración general del sistema
• Sistema de archivo
• Camino de búsqueda generados

Pág. 31
 Módulo: 4
Curso: Seguridad de redes y periféricos

• Alias y cuentas de usuarios

• Configuraciones de usuarios
• Chequeo de servicios
• Comprobación de archivos binarios

5.3 Crack
Crack es un paquete instalado en sistemas Unix o Linux para verificar la calidad de las claves creadas en
el sistema, muchas de estas claves son palabras comunes o basadas en diccionarios. Este programa exige
a los usuarios crear claves robustas y que estas no estén basadas en diccionarios. También, puede analizar
los archivos dentro del sistemas Unix que contiene las claves y entregar un reporte de calidad de estas.

5.4 Tripwire
Tripwire es un software de código abierto con licencia GPL (Licencia Publica General) la cual revisa la
consistencia de los datos y su integridad. Genera alertas si un dato es alterado dentro de una partición,
debido a su constante monitoreo. Este hace un reconocimiento previo del estado de los archivos o
ficheros, y a partir de eso inspecciona cualquier cambio ocurrido según lo almacenado en su base de
datos. La base de datos se genera tomando una instantánea en el momento de su instalación y se accede
a ella mediante contraseña cifrada, además, está compuesta por una serie de información de los archivos
como la última modificación, propietario, permisos, etc. con todo ello se crea una firma para cada fichero
en la base de datos.

Esta desarrollado en C++ y Perl y funciona en sistemas Linux.

5.5 CHKWTMP, CHKLASTLOG, SPAR

Estos tres programas pequeños están escritos y diseñados para operar en ambientes Linux y son de
código abierto. Principalmente realizan auditorias de archivos y comprueban la integridad de estos.

CHKWTMP revisa el archivo “/var/adm/wtmp” y detecta archivos vacíos, sin información en otras
palabras su estructura es de bytes nulos. El objetivo de dejar estos archivos vacíos no es nada más que
ocultar la presencia de otro usuario en el sistema. Entonces CHKWTMP genera una alarma avisando al
administrador de la modificación de los archivos o de alteración (inconsistencia) de estos.

El programa CHKLASTLOG no solo revisa el archivo “/var/adm/wtmp”, además revisa “/var/adm/lastlog”.

Con esto identifica los usuarios que fueron logeados en el sistema y cuál fue el último en hacerlo.
Entregando una auditoria aún más completa que la que hace CHKWTMP.

SPAR analiza el archivo “/var/adm/pacct”, el cual contiene información de los procesos del sistema Linux.
Permitiendo la auditoria del comportamiento de los procesos del sistema. El archivo generado se puede
filtrar aún más, dando información de quien ejecuta, tiempo, fecha, etc.

Pág. 32
 Módulo: 4
Curso: Seguridad de redes y periféricos

5.6 LSOF e IFSTATUS

LSOF es un programa con licencia GPL y muestra ficheros regulares, directorios, ficheros de bloque,
ficheros de carácter y ficheros de red abiertos por el sistema. También ofrece un gran número de filtros
para hacer una mejor auditoria. Funciona en sistemas Unix y sus derivados. El objetivo es encontrar
inconsistencias, archivos en mal estado o archivos irregulares, con esto generar reportes.

IFSTATUS es otro programa libre, permite descubrir si un interfaz de red está siendo utilizado en modo
promiscuo para capturar información en la red. Sirven todas las recomendaciones dichas anteriormente.

5.7 OSH y CPM

OSH programa con licencia GPL (Libre) es una Shell restringida con "setuid root", que permite indicar al
administrador mediante un fichero de datos qué comandos puede ejecutar cada usuario. El fichero de
permisos está formado por nombres de usuario y una lista de los comandos que se permite a cada uno
de ellos, también es posible especificar comandos comunes a todos ellos. Esta Shell deja una auditoría
de todos los comandos ejecutados por el usuario (indicando si pudo o no ejecutarlos), además dispone
de un editor (vi) restringido. Este programa es de gran utilidad para aquellas máquinas que dispongan
de una gran cantidad de usuarios y no necesiten ejecutar muchos comandos, o para dar privilegios a
determinados usuarios "especiales" que tengan que ejecutar algún comando que en circunstancias
normales no podrían con una Shell normal. Este software permite cumplir con la regla de seguridad del
mínimo privilegio.

Por otro lado, CPM es un microprograma creado en la Universidad de Carnegie Mellon, chequea el
interfaz de red de la máquina descubriendo si está siendo utilizado en modo promiscuo (escuchando
todo el tráfico de la red). El objetivo principal es detectar algún "Sniffer" (olfateador) que intente capturar
información de la red como puedan ser las palabras de paso.

Recuerda

Los Sniffers de red son programas que permiten escuchar la red, pero su uso debido o indebido
depende de quien lo está usado y de los permisos que se manejen.

5.8 NoSHELL y Trinux

NoShell trabaja sobre el archivo /etc/passwd y permite el análisis de las modificaciones de la Shell de
cada usuario, principalmente de usuarios bloqueados, eliminados, sin autorización de logeo, etc. Por
tanto, permite obtener información adicional sobre intentos de conexión a cuentas canceladas en una
máquina. Generando reportes de los intentos de conexión mediante mensajes por correo electrónico o

Pág. 33
 Módulo: 4
Curso: Seguridad de redes y periféricos

log, indicando: usuario remoto, nombre del ordenador remoto, dirección IP, día y hora del intento de
login y tty utilizado para la conexión.

Trinux es un conjunto de herramientas para monitorear redes que se utilizan el protocolo TCP/IP esta
herramienta no se instala en el sistema si no que se usa directamente desde el dispositivo de
almacenamiento que se encuentran en la memoria RAM.

6 Cierre
En este módulo se abordaron temas de programación y monitoreo de dispositivos de comunicación para
ser usados de manera segura y eficiente con el objetivo de minimizar el riesgo de ataque a las
organizaciones. Ya se sabe que el eslabón más débil de la seguridad son los usuarios, por ello es
fundamental resguardar con herramientas los accesos a los sistemas y sobre todo mantener la integridad
de los datos.

Toda arquitectura de red necesita de elementos, software y hardware, que constantemente estén
monitoreando el funcionamiento de equipos y sistemas. Revisando procesos, memorias, actividades,
trafico y otros para evitar cualquier actividad mal intencionada o fuera de lo normal. Para el administrador
de red o de sistemas es fundamental entender completamente función y disposición de los procesos de
servicios de red de la organización para saber dónde ejecutar y activar procesos de seguridad,
cumpliendo con el objetivo de mantener la integridad de la información.

En cuanto al equipamiento de red, no basta solo con la configuración para el funcionamiento, también
se tiene que activar los métodos de seguridad propios de cada equipo. Cada equipamiento de red hoy
trae formas y métodos seguridad basados en estándares de la industria o la creación de protocolos
propios para sacar el máximo rendimiento del equipo. Ejemplo concreto de esto son los Routers
inalámbricos que usamos en los hogares, un gran porcentaje de ellos tiene la configuración que solo
permite el funcionamiento, pero ¿qué nivel de seguridad tiene?, ¿qué protocolos está usando? o ¿está
usando algún método de filtrado? Preguntas como estas y sus repuestas reales nos puede dar una
panorámica de que nivel de seguridad estamos usando. Bueno, lo mismo pasa con los equipos usados
en la industria en una escala mayor.

El administrador de red o encargado de seguridad debe estar al día en materia de vulnerabilidades, debe
saber cuáles son las vulnerabilidades de su red y mitigar al máximo posible cada una de ellas para lograr
un nivel de seguridad que permita operar con tranquilidad en la red. Hay muchas herramientas, software
o hardware, que permiten hacer análisis de vulnerabilidades y proponen una pauta de mitigación.

Herramientas y programas hay muchos, aplicados a sistemas operativos, arquitecturas, modelos, marcas,
por esta razón siempre se debe pensar cual es el más apropiado en materia de costos, alcances y limites
que cada solución debe tener. Hay muchos programas de licencias corporativas y otros de código abierto
con licencias del tipo GPL, la elección también depende de las necesidades de la organización. No
significa que una solución corporativa este por sobre una del tipo GPL, solo depende de la utilidad y la
compatibilidad que tenga con el ecosistema donde operará.

Pág. 34
 Módulo: 4
Curso: Seguridad de redes y periféricos

Al finalizar este módulo usted cuenta con una amplia gama de conceptos, procedimientos y habilidades
que le permitirán dar respuesta a problemas de seguridad en una pequeña y mediana organización. Tal
objeto se ejemplifico durante todo el este curso mediante el caso de la empresa que necesita elevar sus
estándares de seguridad para poder cerrar un negocio con un nuevo cliente. Las empresas día a día deben
dar muestra de su servicio, calidad, infraestructura y sobre todo de su seguridad. Lo anterior debe ser
medido y demostrado, para ello se hacen las auditorias de seguridad, que entregan datos reales y
medibles en sus resultados. Para ello se aprendió que la seguridad es un tema transversal en las capas
de Modelo OSI y que es un conjunto de condiciones lo que entrega el resultado final, estas condiciones
o ambientes son la seguridad de acceso, la seguridad de la red inalámbrica, la seguridad de sistemas, la
seguridad servicios, etc.

Pág. 35