Este resumen hablará, sobre la Autenticación y el Acceso.

Se intenta
recorrer cada capa del modelo OSI, identificando las vulnerabilidades más
importantes y a tener especial interés a proteger.

1 de 6
Capa Física
Se relaciona, en el modelo TCP/IP con la Capa de acceso de red (Capa 1 y 2) del modelo
OSI.
Se ocupa de todos los aspectos que involucren convertir un paquete en una trama y
transmitirlo en el medio físico.
Las vulnerabilidades están estrechamente asociadas con el acceso físico al ‘medio’ de
conexión, propiamente dicho. Son ejemplos de vulnerabilidades, los ataques a las líneas
punto a punto: desvío de los cables de conexión hacia otros sistemas, interceptación
física de las comunicaciones (pinchar la línea), escuchas no intrusivas en medios de
transmisión sin cables.

Es de gran importancia el canal de comunicaciones que se emplee:

● Propio o contratado: Un vínculo propio si pasa exclusivamente por caminos de

acceso no público, incrementa la seguridad de interceptación.
Si es contratado, se debe ser consciente que puede ser interceptado: mitigar con
VPN (canal seguro, túneles, etc) o criptografía que incrementa la seguridad.
● Cable de cobre: Este medio presenta la característica que es difícil detectar su
interceptación física “Pinchado de línea”.
● Fibra óptica: La fibra óptica se la puede considerar imposible de interceptar,
aunque existen divisores ópticos, la colocación de los mismos implica un corte del
canal y se puede detectar por pérdida de potencia óptica.
● Láser: Este medio genera un haz de luz prácticamente lineal, apuntado a un
receptor, el cual es el único punto en el que impacta la señal. Aunque es
interceptable, en forma similar a la fibra óptica se detecta con facilidad, y a su
vez por encontrarse visualmente unidos, con una inspección óptica se reconoce
su trayectoria.
● Infrarrojo: Este se implementa de dos formas, de alcance directo y por reflexión.
Directo: para distancias cortas.
Reflexión:se refleja en las paredes de los ambientes, es más vulnerable si se
encuentra dentro de los locales de alcance (que es muy reducido).
● Radiofrecuencia: Las distintas ondas de radio cubren una amplia gama de
posibilidades, desde la HF hasta las microondas y hoy las LMDS (Local Multipoint
Distributed Signal). En general cualquiera de ellas son interceptables y su análisis
de detalle implica el tipo de señal (digital o analógica), el ancho de banda
disponible, el tipo de modulación, y la frecuencia empleada.
● Satélite: se trata de radiofrecuencia, una antena reflectora llamada satélite, recibe
la señal proveniente de tierra si se encuentra dentro de su área de cobertura y la
reenvía aumentando el alcance.Cualquiera que se encuentre dentro de este cono
(Área de Alcance), está en capacidad de escuchar la señal.

Capa de Enlace
Existen varios protocolos de comunicaciones que operan a nivel de enlace, las
vulnerabilidades de esta capa están ligadas al medio sobre el que se realiza la conexión
y/o transmisión de datos.

La importancia de este nivel, es que es el último que encapsula todos los anteriores, por
lo tanto si se escucha y se sabe desencapsular se tiene acceso a absolutamente toda la

2 de 6
información que circula en una red. Bajo este concepto se trata del que revista mayor
importancia para el análisis de una red.

● El objetivo de máxima en este nivel (Pocas veces realizado) es poseer el control

de la totalidad de las direcciones de Hardware de la red: direccionamiento
MAC/NIC.
● El Bridge o Switch, son los dispositivos que operan a nivel 2, su vulnerabilidd, se
centra en el Acceso Físico y autenticación, para administración en forma remota o
por consola.
● Otro objetivo es el análisis de los multicast, pues son estos los mensajes que
intercambian los Router, es de interés ya que en estos mensajes está toda la
información de ruteo de la red.
● Tambien los Sniffers (analizadores de protocolos), son elementos que solamente
escuchan, utilizando agentes remotos y la transmiten al colector de datos.
● El Acceso WiFi, se debe mitigar, la vulnerabilidad, previendo el acceso no
autorizado, mediante una configura adecuadamente, es de especial importancia el
protocolo de autenticación, permisos de acceso a estos dispositivos, su potencia
de emisión, la emisión de beacons, etc.

Capa de Red
La función principal de esta capa es el manejo de rutas. Se basa principalmente en el
protocolo IP. La otra operación de importancia es el ruteo. A nivel del modelo TCP/IP
tenemos a la Capa de Internet, en esta capa la vulnerabilidad se nuclea sobre el
datagrama IP. Ataques como las técnicas de snif ng, la suplantación de mensajes, la
modi cación de datos, los retrasos de mensajes y la denegación de servicio.
La suplantación de un mensaje se puede realizar, dado que, en esta capa, la
autenticación de los paquetes se realiza a nivel de máquina (por dirección IP) y no a
nivel de usuario. Si un sistema suministra una dirección de máquina errónea, el receptor
no detectará la suplantación.

Auntenticación sobre Router: (Este es el dispositivo por excelencia en este nivel)

● Control de contraseñas: Los router permiten la configuración de distintos tipos de

contraseñas, para acceder al modo usuario es la primera que solicita si se accede
vía Telnet.
● Configuración del router: control de configuración de servicios innecesarios que
quedan habilitados y no se emplean (Broadcast Subnetting, local loop, puertos,
rutas, etc.)
● Resguardo de las configuraciones: guardar lastartupconfig en forma consistente
con la running-config, y esta a su vez en un servidor t_ftp, y también impresa.
● Protocolos de ruteo: El empleo de los protocolos de ruteo dinamico (es crítico)
‘RIP, IGRP, EIGRP, OSPF’. Se debe tener en cuenta que con esta medida se facilita
información para ser aprovechada por intrusos: tablas de ruteo. Las tablas de ruteo
estáticas, incrementan las medidas de seguridad, pues toda ruta que no esté
contemplada, no podrá ser alcanzada.
● Listas de control de acceso: Son la medida primaria de acceso a una red.
● Archivos .Log: Permiten generar las alarmas necesarias.
● Seguridad en el acceso físico (por consola): si se tiene acceso físico al router, se
obtiene el control total del mismo. Se puede iniciar la secuencia de recuperación
de contraseña e iniciar el router con una contraseña nueva.

3 de 6
Capa de Transporte
La capa de transporte se encarga de la calidad de servicio: confiabilidad, control de flujo,
segmentación y control de errores en la comunicación.
Se basa en dos protocolos, TCP (orientado a la conexión) y UDP (no orientado a la
conexión).
Algunos de los ataques más conocidos en esta capa son las denegaciones de servicio
debidas a protocolos de transporte.
EL objetivo de un ataque en la autenticación y acceso no debido, ocurre, en la posibilidad
de interceptación de sesiones TCP. Estos ataques se aprovechan de la poca exigencia en
el protocolo de intercambio de TCP respecto a la autenticación de los equipos
involucrados en una sesión.
Un malintencionado puede observar los intercambios de información utilizados durante el
inicio de la sesión y es capaz de interceptar con éxito una conexión en marcha con todos
los parámetros de autenticación con gurados adecuadamente, podrá secuestrar la
sesión.
En este nivel dentro de TCP/IP, se podrá operar en modo orientado a la conexión para lo
cual se emplea TCP o sin conexión cuyo protocolo es UDP, el responsable de decidir a
qué protocolo le entregará su mensaje es el que se emplee en el nivel superior. En este
nivel los dos elementos importantes son: el establecimiento de sesiones y los puertos.
Dentro del encabezado de TCP o UDP se encuentran los campos Puerto Origen y Puerto
Destino, los cuales son uno de los detalles más importantes a auditar dentro de una red
pues a través de ellos, se puede ingresar a un Host y operar dentro de este..
Con este tipo de ataque, se intenta la infección de la máquina destino y luego desde
esta, iniciar las conexiones hacia el exterior (Troyanos)

Capa de Aplicación
El modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en esta
capa, aquí se definen los protocolos de alto nivel, aspectos de representación y
codificación de los datos y control de diálogo entre procesos. La capa de aplicación
presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran
número de protocolos definidos en esta capa, la cantidad de deficiencias presentes
también será superior al resto de capas.

4 de 6
Se debe tener especial atención y control en esta capa, en los sgtes. topicos como accion
de minima.

● Control de servidores de correo, Web, TFP y TFP, Proxy:

○ Limitar el acceso a áreas específicas de esos servidores.
○ Especificar las listas o grupos de usuarios con sus permisos
correspondientes. Prestar especial atención a la cuenta “Anónimos” y a
toda aquella que presente nombres de fácil aprovechamiento.
○ Requerir contraseñas seguras.
○ Siempre controlar los archivos. Log
○ Deshabilitar índices de directorios.
○ Deshabilitar todos los servicios de red que no sean empleados por el
servidor
● Control de accesos remotos: En la actualidad es común el trabajo fuera de la
Empresa, para lo cual es una buena medida permitir el acceso por medio de líneas
telefónicas tanto fijas, móviles como ADSL. Al implementar esta medida, el primer
concepto a tener en cuenta es Centralizarla, es decir implementar unpool de
módem o un Access Server (Router con puertos asincrónicos) como única puerta
de ingreso. La segunda actividad es Auditarla permanentemente. Todo sistema
que posibilite el ingreso telefónico, posee algún tipo de registros, estos deben ser
implementados en forma detallada y su seguimiento es una de las actividades de
mayor interés. Una medida importante es incrementar las medidas de
autenticación y autorización sobre estos accesos.
● Control en Firewall: Un Firewall, es un sistema de defensa ubicado entre la red
que se desea asegurar y el exterior, por lo tanto todo el tráfico de entrada o salida
debe pasar obligatoriamente por esta barrera de seguridad que debe ser capaz
de autorizar, denegar, y tomar nota de aquello que ocurre en la red. Aunque hay
programas que se vendan bajo la denominación de Firewall, un Firewall NO es un
programa. Un Firewall consiste en un conjunto de medidas de Hardware y
Software destinadas a asegurar una instalación de red. Un Firewall recordemos
que actúa en los niveles 3 (red) a 7 (aplicación) de OSI.
● Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de correo,
enviándole una cantidad suficiente de mails. Se debe tener en cuenta que hasta
que el usuario buscado no se conecte, los mensajes permanecerán en el servidor.
Si esto se produce, no se poseerá capacidad de almacenamiento para ningún otro
mensaje entrante, por lo tanto se inhibirá el servicio de correo electrónico. Se
puede también generar reportes si el tráfico de correo crece repentinamente. La
solución: Auditar espacio en disco rígido enviando las alarmas correspondientes
una vez alcanzado el porcentaje establecido. Dedicar grandes

5 de 6
 áreas de disco al almacenamiento de mensajes, y separar esta área del resto del
sistema.
● Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenará el sistema
de .Log y de administración de red. Misma solución que el caso anterior
● FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar
atención son los de Comando (21) y de datos (20) que están reservados para ftp.
El acceso a una red a través de los mismos es bastante común. La principal
ventaja que ofrecen es que se puede regular con bastante precisión su flujo de
establecimiento de sesiones: Siempre es el cliente el que inicia el establecimiento
de la sesión y en primer orden sobre el puerto 21 (comando), una vez establecido
este triple Handshake, se inicia el establecimiento de sesión sobre el puerto 20
(datos). En este segundo proceso recordemos que pueden existir dos
posibilidades: activa y pasiva.
● Servidores DNS: Recordemos prestar especial atención a la configuración de los
mismos, en especial al tráfico TCO sobre el puerto 53
● Servidores de correo: Una de las principales herramientas que emplean los
spammers para ocultar sus rastros son la infección de servidores de correo que
tienen activada la opción de replay (o relé), la infección de un servidor de este
tipo es muy difícil de localizar, pero no lo es así en cuanto al análisis de tráfico,
pues se incrementa de forma muy voluminosa, por lo tanto es una buena práctica
evaluar el tráfico entrante y saliente (no su contenido) periódicamente.

Fuente

http://lsiunne.com.ar/teleproceso/soluciones%20antiguas3.html

http://www.expresionbinaria.com/la-seguridad-de-informacion-tratada-en-capas/

6 de 6