ACCESO RESTRINGIDO

SISTEMAS DE CONTROL Y SUPERVISIÓN

EAI5112
 Protegiendo el acceso

Si bien existen muchas aplicaciones para evitar

ingresos maliciosos, también existen protocolos y
activaciones o cierres de puertos que evitarán el
flujo de información en forma indeseada.

A continuación revisaremos algunas definiciones de

puertos de acceso que se pueden desahabilitar
desde la nube o nuestro VPN, para evitar
operaciones fuera del control establecido.
 SSH Secure Shell ( CIFRADO )

El comando de clave SSH le indica a tu sistema que desea abrir una Conexión de Shell Segura y
cifrada. {user} representa la cuenta a la que deseas acceder. Por ejemplo, puede que quieras acceder al usuario root, que
es básicamente para el administrador del sistema con derechos completos para modificar cualquier cosa en el
sistema. {host} hace referencia al equipo al que quieres acceder. Esto puede ser una dirección IP (por ejemplo,
244.235.23.19) o un nombre de dominio (por ejemplo, www.xyzdomain.com).
Al pulsar enter, se te pedirá que escribas la contraseña de la cuenta solicitada. Al escribirla, nada aparecerá en la pantalla,
pero tu contraseña, de hecho, se está transmitiendo. Una vez que hayas terminado de escribir, pulsa enter una vez más. Si
tu contraseña es correcta, verás una ventana de terminal remota.
SSH Secure Shell ( CIFRADO )

La ventaja significativa ofrecida por el protocolo SSH sobre sus predecesores es el uso del cifrado
para asegurar la transferencia segura de información entre el host y el cliente. Host se refiere al
servidor remoto al que estás intentando acceder, mientras que el cliente es el equipo que estás
utilizando para acceder al host. Hay tres tecnologías de cifrado diferentes utilizadas por SSH:

1. Cifrado simétrico
2. Cifrado asimétrico
3. Hashing
SSH Secure Shell ( CIFRADO SIMETRICO )

El cifrado simétrico es una forma de cifrado en la que se utiliza una clave secreta tanto para el cifrado
como para el descifrado de un mensaje, tanto por el cliente como por el host. Efectivamente, cualquiera
que tenga la clave puede descifrar el mensaje que se transfiere.
SSH Secure Shell ( CIFRADO SIMETRICO )

El cifrado simétrico a menudo se llama clave compartida (shared key) o cifrado secreto compartido.

Normalmente sólo hay una clave que se utiliza, o a veces un par de claves donde una clave se puede calcular
fácilmente con la otra clave.

Las claves simétricas se utilizan para cifrar toda la comunicación durante una sesión SSH. Tanto el cliente
como el servidor derivan la clave secreta utilizando un método acordado, y la clave resultante nunca se revela
a terceros. El proceso de creación de una clave simétrica se lleva a cabo mediante un algoritmo de
intercambio de claves.

Lo que hace que este algoritmo sea particularmente seguro es el hecho de que la clave nunca se
transmite entre el cliente y el host. En lugar de eso, los dos equipos comparten datos públicos  y
luego los manipulan para calcular de forma independiente la clave secreta. Incluso si otra máquina
captura los datos públicamente compartidos, no será capaz de calcular la clave porque el algoritmo
de intercambio de clave no se conoce.
 SSH Secure Shell ( CIFRADO ASIMETRICO )

A diferencia del cifrado simétrico, el cifrado asimétrico utiliza dos claves separadas para el cifrado y el
descifrado. Estas dos claves se conocen como la clave pública (public key) y la clave privada (private key).
Juntas, estas claves forman el par de claves pública-privada (public-private key pair).
 SSH Secure Shell ( CIFRADO ASIMETRICO )

La clave pública, como sugiere el nombre, se distribuye abiertamente y se comparte con todas las partes.
Si bien está estrechamente vinculado con la clave privada en términos de funcionalidad, la clave privada
no se puede calcular matemáticamente desde la clave pública.

La relación entre las dos claves es altamente compleja: un mensaje cifrado por la clave pública de una
máquina, sólo puede ser descifrado por la misma clave privada de la máquina. Esta relación
unidireccional significa que la clave pública no puede descifrar sus propios mensajes ni descifrar nada
cifrado por la clave privada.

La clave privada debe permanecer privada, es decir, para que la conexión sea asegura, ningún tercero
debe conocerla. La fuerza de toda la conexión reside en el hecho de que la clave privada nunca se
revela, ya que es el único componente capaz de descifrar mensajes que fueron cifrados usando su propia
clave pública. Por lo tanto, cualquier parte con la capacidad de descifrar mensajes firmados públicamente
debe poseer la clave privada correspondiente.
SSH Secure Shell ( HASHING)

El hashing unidireccional es otra forma

de criptografía utilizada en Secure Shell
Connections. Las funciones de hash
unidireccionales difieren de las dos
formas anteriores de encriptación en el
sentido de que nunca están destinadas
a ser descifradas. Generan un valor
único de una longitud fija para cada
entrada que no muestra una tendencia
clara que pueda explotarse. Esto los
hace prácticamente imposibles de
revertir.
 TCP y UDP

TCP y UDP permiten la conexión entre dos dispositivos a través de internet u otras redes. No obstante, para que los
paquetes de datos puedan dar con una entrada en el ordenador o servidor del otro lado de la conexión, debe haber
puertas abiertas. Este tipo de entradas al sistema se denominan puertos. Hay algunos puertos TCP (TCP ports) y
puertos UDP (UDP ports) que se deben dominar para desarrollar aplicaciones web.

Dentro de la comunicación por internet, los protocolos TCP y UDP se encargan de establecer la conexión,
ensamblar los paquetes de datos tras la transmisión y, a continuación, enviarlos a los programas a los que
se dirigían en el receptor. Para que esta transferencia pueda tener lugar, el sistema operativo debe generar
y abrir entradas. A cada entrada se le asigna un número de identificación específico. Tras la
transmisión, el sistema receptor sabe a dónde hay que suministrar los datos gracias al número de puerto.
En el paquete de datos siempre se incluyen dos números de puerto, el del emisor y el del receptor.
TCP y UDP

Los puertos están numerados de manera consecutiva de 0 a 65 536. Algunos de estos números
están estandarizados y se asignan a determinadas aplicaciones.

Estos puertos estándar también se llaman puertos bien conocidos o well-known ports, ya que los
números de identificación son fijos. Los puertos registrados o registered ports, por su parte, son
puertos que una organización o un fabricante de software ha reservado para su aplicación.

El responsable del registro es la Internet Assigned Numbers Authority (IANA). Junto a estos,
también hay un amplio rango de números de puerto que se asignan de forma dinámica. Un navegador
usa un puerto de este tipo durante una visita a una página web. Una vez el usuario abandona la
página, el número vuelve a quedar libre.
TCP y UDP

Entre los más de 65 000 puertos TCP y UDP disponibles, hay algunos códigos de identificación que
son muy importantes para la comunicación en internet.

Aquí te presentaremos los puertos bien conocidos y registrados más importantes. Hay puertos que
solo cuentan con autorización para uno de los dos protocolos (TCP o UDP).

También hay puertos que no se han reservado oficialmente para un servicio determinado, pero que,
en la práctica, se han ido asentando con el tiempo. Algunos puertos incluso cuentan con una
ocupación doble.
LISTADO DE PUERTOS TCP

•Puerto 21: El puerto 21 por norma general se usa para las conexiones a servidores FTP en su canal
de control, siempre que no hayamos cambiado el puerto de escucha de nuestro servidor FTP o
FTPES.
•Puerto 22: Por normal general este puerto se usa para conexiones seguras SSH y SFTP, siempre
que no hayamos cambiado el puerto de escucha de nuestro servidor SSH.
•Puerto 23: Telnet, sirve para establecer conexión remotamente con otro equipo por la línea de
comandos y controlarlo. Es un protocolo no seguro ya que la autenticación y todo el tráfico de datos
se envía sin cifrar.
•Puerto 25:  El puerto 25 es usado por el protocolo SMTP para él envió de correos electrónicos,
también el mismo protocolo puede usar los puertos 26 y 2525.
•Puerto 53: Es usado por el servicio de DNS, Domain Name System.
•Puerto 80: Este puerto es el que se usa para la navegación web de forma no segura HTTP.
LISTADO DE PUERTOS TCP

•Puerto 101: Este puerto es usado por el servicio Hostname y sirve para identificar el nombre de los equipos.
•Puerto 110: Este puerto lo usan los gestores de correo electrónico para establecer conexión con el protocolo
POP3.
•Puerto 143: El puerto 143 lo usa el protocolo IMAP que es también usado por los gestores de correo
electrónico.
•Puerto 443: Este puerto es también para la navegación web, pero en este caso usa el protocolo HTTPS que es
seguro y utiliza el protocolo TLS por debajo.
•Puerto 445: Este puerto es compartido por varios servicios, entre el más importante es el Active Directory.
•Puerto 587: Este puerto lo usa el protocolo SMTP SSL y, al igual que el puerto anterior sirve para el envío de
correos electrónicos, pero en este caso de forma segura.
•Puerto 591: Es usado por Filemaker en alternativa al puerto 80 HTTP.
LISTADO DE PUERTOS TCP

•Puerto 853: Es utilizado por DNS over TLS.

•Puerto 990: Si utilizamos FTPS (FTP Implícito) utilizaremos el puerto por defecto 990, aunque se
puede cambiar.
•Puerto 993: El puerto 993 lo usa el protocolo IMAP SSL que es también usado por los gestores de
correo electrónico para establecer la conexión de forma segura.
•Puerto 995: Al igual que el anterior puerto, sirve para que los gestores de correo electrónico
establezcan conexión segura con el protocolo POP3 SSL.
•Puerto 1194: Este puerto está tanto en TCP como en UDP, es utilizado por el popular protocolo
OpenVPN para las redes privadas virtuales.
•Puerto 1723: Es usado por el protocolo de VPN PPTP.
•Puerto 1812: se utiliza tanto con TCP como con UDP, y sirve para autenticar clientes en un servidor
RADIUS.
•Puerto 1813: se utiliza tanto con TCP como con UDP, y sirve para el accounting en un servidor
RADIUS.
•Puerto 2049: es utilizado por el protocolo NFS para el intercambio de ficheros en red local o en
Internet.
LISTADO DE PUERTOS TCP

•Puertos 2082 y 2083: es utilizado por el popular CMS cPanel para la gestión de servidores y servicios,
dependiendo de si se usa HTTP o HTTPS, se utiliza uno u otro.
•Puerto 3074: Lo usa el servicio online de videojuegos de Microsoft Xbox Live.
•Puerto 3306: Puerto usado por las bases de datos MySQL.
•Puerto 3389: Es el puerto que usa el escritorio remoto de Windows, muy recomendable cambiarlo.
•Puerto 4662 TCP y 4672 UDP: Estos puertos los usa el mítico programa eMule, que es un programa
para descargar todo tipo de archivos.
•Puerto 4899: Este puerto lo usa Radmin, que es un programa para controlar remotamente equipos.
•Puerto 5000: es el puerto de control del popular protocolo UPnP, y que por defecto, siempre deberíamos
desactivarlo en el router para no tener ningún problema de seguridad.
LISTADO DE PUERTOS TCP

•Puertos 5400, 5500, 5600, 5700, 5800 y 5900: Son usados por el programa VNC, que también sirve
para controlar equipos remotamente.
•Puertos 6881 y 6969: Son usados por el programa BitTorrent, que sirve para e intercambio de ficheros.
•Puerto 8080: es el puerto alternativo al puerto 80 TCP para servidores web, normalmente se utiliza este
puerto en pruebas.
•Puertos 51400: Es el puerto utilizado de manera predeterminada por el programa Transmission para
descargar archivos a través de la red BitTorrent.
•Puerto 25565: Puerto usado por el famoso videojuego Minecraft.
 LISTADO DE PUERTOS UDP

•Puerto 23: Este puerto es usado en dispositivos Apple para su servicio de Facetime.
•Puerto 53: Es utilizado para servicios DNS, este protocolo permite utilizar tanto TCP como UDP para la comunicación con
los servidores DNS.
•Puerto 500: este puerto es utilizado por el protocolo de VPN IPsec, concretamente se usa por ISAKMP para la fase 1 del
establecimiento de la conexión con IPsec.
•Puerto 514: Es usado por Syslog, el log del sistema operativo.
•Puerto 1194: este puerto es el predeterminado del protocolo OpenVPN, aunque también se puede utilizar el protocolo TCP.
Lo más normal es usar UDP 1194 porque es más rápido a la hora de conectarnos y también de transferencia, obtendremos
más ancho de banda.
•Puerto 1701: Es usado por el protocolo de VPN L2TP.
•Puerto 1812: se utiliza tanto con TCP como con UDP, y sirve para autenticar clientes en un servidor RADIUS.
•Puerto 1813: se utiliza tanto con TCP como con UDP, y sirve para el accounting en un servidor RADIUS.
•Puerto 4500: este puerto también es utilizado por el protocolo de VPN IPsec, se utiliza este puerto para que el
funcionamiento de la NAT sea perfecto. Este puerto se utiliza en la fase 2 del establecimiento IPsec, pero también tenemos
que tener abierto el puerto UDP 500.
•Puerto 51871: es utilizado por el protocolo de VPN Wireguard de manera predeterminada.
Quizás ya has vistos muchas veces en la configuración de datos la apertura de puertos de acceso,
normalmente en trabajos de la laboratorio para compartir información con el PLC y alguna OPC
terminamos abriendo el puerto 80, no preguntamos que significa ni cuales son los riesgos de hacerlo
en un ambiente industrial.

Existen muchos puertos y accesos de comunicación a bases de datos pero te incentivamos a

infórmate antes de “abrirle la puerta de casa a cualquier persona”
PREGUNTAS?