SEGURIDAD INFORMATICA II

Pgina | 2

Contenido
I. OBJETIVO DE LA MATERIA.........................................................................4
II.

JUSTIFIACIN...............................................................................................4

UNIDAD 1.- CERTIFICACION Y FIRMAS DIGITALES........................................5

1.1

INTRODUCCIN.....................................................................................5

1.2 QU ES UNA FIRMA DIGITAL?...............................................................5

1.3 CERTIFICADO DE FIRMA Y ENTIDAD EMISORA DE CERTIFICADOS. .5
1.4 TIPOS DE CERTIFICADO..........................................................................6
1.5 GARANTAS DE LA FIRMA DIGITAL.........................................................7
1.6 AGREGAR O QUITAR UNA FIRMA DIGITAL EN ARCHIVOS DE OFFICE8
UNIDAD 2.- SEGURIDAD EN REDES...............................................................12
2.1

ASPECTOS DE LA SEGURIDAD EN LAS COMUNICACIONES........12

2.1.1

EL GUSANO DE INTERNET..........................................................12

2.1.2

NIVELES DE SEGURIDAD............................................................14

2.1.3 PLAN DE SEGURIDAD......................................................................15

2.1.4 ATAQUES O AMENASAS...................................................................16
2.1.5 TIPOS DE ATAQUES MS COMUNES.............................................17
.....................................................................................................................22
2.1.6

DEBILIDADES DE LOS PROTOCOLOS TCP/IP...........................47

.....................................................................................................................48
.....................................................................................................................49
UNIDAD 3.- FIREWALLS COMO HERRAMIENTAS DE SEGURIDAD............53
3.1 FIREWALL.................................................................................................53
3.2 TIPOS DE FIREWALL...............................................................................54
3.2.1 FILTRADO DE PAQUETES................................................................54
3.2.2 PROXY Y GATEWAYS DE APLICACIONES......................................55
3.2.3 DUAL-HOMED HOST.........................................................................56
3.2.4 SCREENED HOST.............................................................................57
3.2.5 SCREENED SUBNET........................................................................57
3.2.6 INSPECCION DE PAQUETES...........................................................59

Pgina | 3

3.2.7 FIREWALLS PERSONALES..............................................................59

3.3 RESTRICCIONES EN EL FIREWALL...................................................60
3.4 BENEFICIOS DE UN FIREWALL..........................................................60
3.5 LIMITACIONES DE UN FIREWALL.......................................................61
ENLACES BIBLIOGRFICOS...........................................................................62

Pgina | 4

I.

OBJETIVO DE LA MATERIA

Despertar en el alumno, la capacidad de utilizar sus conocimientos como mtodo

de defensa ante situaciones en las que se vea afectada alguna red computacional,
creando o implementando las medidas de seguridad necesarias para el caso.

II.

JUSTIFIACIN

Con el estudio y prctica de los temas y ejercicios con los que cuenta el programa
de sta materia ofertada llamad Seguridad Informtica 2, el alumno ser capaz de
identificar posibles ataques y amenazas a las que se vea expuesto un sistema de
informacin y/o una red informtica para, consecuentemente, aplicar de manera
adecuada las medidas de seguridad fsicas y lgicas que solucionen el problema.

Pgina | 5

UNIDAD 1.- CERTIFICACION Y FIRMAS DIGITALES

1.1 INTRODUCCIN
Cada vez ms personas y organizaciones usan documentos digitales en lugar de
documentos en papel para llevar a cabo sus operaciones cotidianas. Al reducir la
dependencia de documentos en papel, protegemos el medio ambiente y
preservamos los recursos del planeta. Las firmas digitales respaldan este cambio,
pues ofrecen garantas de la validez y la autenticidad de un documento digital.
1.2 QU ES UNA FIRMA DIGITAL?
Una firma digital es un sello de autenticacin electrnico cifrado en informacin
digital, como mensajes de correo, macros o documentos electrnicos. La firma
constata que la informacin proviene del firmante y no se ha modificado.

Fig. 1: Este es un
ejemplo de una lnea
de firma.

1.3 CERTIFICADO DE FIRMA Y ENTIDAD EMISORA DE CERTIFICADOS

Certificado de firma: Para crear una firma digital, necesita un certificado de
firma, que es prueba de identidad. Cuando enva una macro o un documento
firmado digitalmente, tambin enva su certificado y su clave pblica. Los
certificados son emitidos por una entidad emisora de certificados y, al igual que
una licencia de conducir, pueden ser revocados. Normalmente, un certificado es
vlido durante un ao, al trmino del cual, el firmante debe renovarlo u obtener un
nuevo certificado de firma para establecer su identidad.
Entidad emisora de certificados: Los certificados los firma la Entidad emisora
de certificados (CA) que los emite. En esencia, una Entidad emisora de
certificados es una compaa de otros proveedores en la que comnmente se
confa para comprobar la coincidencia de las claves pblicas con la identidad,
nombre de correo electrnico u otras informaciones de ese tipo.
Las ventajas de los certificados y de las Entidades emisoras de certificados se
producen cuando dos entidades confan en la misma CA. Esto permite a ambas
conocer la clave pblica de la otra, al intercambiar certificados firmados por esa

Pgina | 6

Entidad emisora. Una vez que ambas entidades conocen cada una la clave
pblica de la otra, pueden utilizarla para cifrar datos y enviarlos a la otra o para
comprobar
las
firmas
de
los
documentos.
Un certificado muestra que una clave pblica almacenada en el certificado
pertenece al sujeto de ese certificado. Una Entidad emisora de certificados es la
responsable de comprobar la identidad de una entidad solicitante de un certificado
antes de emitirlo. Despus, la Entidad emisora firma el certificado con su clave
privada, que se utiliza para comprobar el certificado. Las claves pblicas de una
Entidad emisora se distribuyen en paquetes de software como, por ejemplo,
exploradores Web y sistemas operativos, aunque tambin las puede agregar
manualmente
el
usuario.
El software diseado para aprovechar las ventajas de la PKI mantiene una lista de
las Entidades emisoras de certificados en las que confa.
1.4 TIPOS DE CERTIFICADO
Certificados personales:
Estos certificados identifican a personas. Se pueden utilizar para autenticar
usuarios con un servidor o para habilitar el correo electrnico seguro con S/MIME.
Microsoft recomienda que exporte los certificados personales a una ubicacin
segura para que sirva como copia de seguridad en caso de que los certificados se
daen. Si un archivo de lista de contraseas (.pwl) se daa o se pierde, no es
posible utilizar el certificado y recibir un mensaje de error al intentar enviar un
mensaje de correo electrnico. Para obtener ms informacin acerca de este
tema, consulte los artculos siguientes en Microsoft Knowledge Base:
190296 Unable to Use Personal Certificates in Outlook Express
132807 Cifrado mejorado para la cach de contraseas de Windows 95
Certificados de servidor:
Los certificados de servidor identifican a servidores que participan en
comunicaciones seguras con otros equipos mediante la utilizacin de protocolos
de comunicaciones, como SSL. Estos certificados permiten al servidor comprobar
su identidad ante los clientes. Los certificados de servidor cumplen el formato de
certificados X.509 definido en los estndares de cifrado de claves pblicas
(PKCS).
Certificados de fabricante de software:

Pgina | 7

Microsoft Authenticode no garantiza que el cdigo firmado se pueda ejecutar con

seguridad, pero informa al usuario acerca de si el fabricante participa en la
infraestructura de compaas y entidades emisoras de certificados de confianza.
Estos certificados se utilizan para firmar el software que se distribuye por Internet.
Authenticode necesita un certificado de fabricante de software para firmar
Microsoft ActiveX y otros cdigos compilados. Internet Explorer tambin puede
confiar en el software firmado con un certificado de fabricante.
Para ver una lista de fabricantes de software de confianza en Internet Explorer,
haga clic en Opciones de Internet del men Herramientas, en la
ficha Contenido y, a continuacin, en Compaas. Tambin puede quitar las
compaas de confianza si hace clic en Quitar en esta pantalla.
1.5 GARANTAS DE LA FIRMA DIGITAL
Los siguientes trminos y definiciones muestran las garantas que proporcionan
las firmas digitales.

Autenticidad
documento.

Integridad La firma digital permite garantizar que el contenido no se ha

cambiado ni se ha manipulado desde que se firm digitalmente.

No rechazo
Prueba a todas las partes el origen del contenido firmado.
Por rechazo se entiende el acto de un firmante de negar cualquier
asociacin con el contenido firmado.

Certificacin
Las firmas en los archivos de Microsoft Word, Microsoft
Excel o Microsoft PowerPoint, que reciben una marca de tiempo de un
servidor seguro, tienen, en determinadas circunstancias, la validez de una
certificacin.

Confirmacin del firmante como persona que firma el

Para dar estas garantas, el contenido debe ser firmado digitalmente por su
creador usando una firma que cumpla los siguientes criterios:

La firma digital es vlida.

El certificado asociado a la firma digital es actual (no caducado).

La persona u organizacin que firma, conocida como editor, es de

confianza.

Pgina | 8

El certificado asociado a la firma digital ha sido emitido para el editor

firmante por una entidad emisora de certificados acreditada.

Fig. 2: Certificado
Digital

1.6 AGREGAR O QUITAR UNA FIRMA DIGITAL EN ARCHIVOS DE OFFICE

Crear una lnea de firma en Word o Excel
1. En el documento o la hoja de clculo, coloque el puntero en el lugar donde
desee crear una lnea de firma.
2. En la pestaa Insertar, en el grupo Texto, haga clic en la lista Lnea de
firma y despus haga clic en Lnea de firma de Microsoft Office.
3. En el cuadro de dilogo Configuracin de firma, escriba la informacin
que desee que aparezca bajo la lnea de firma:

Pgina | 9

Fig. 3: Pantalla de
Configuracin de
Firma.

Firmante sugerido

Ttulo del firmante sugerido

Direccin de correo electrnico del firmante sugerido

correo electrnico del firmante, si corresponde.

Instrucciones para el firmante

Nombre completo del firmante.

Ttulo del firmante, si corresponde.
Direccin de

Agregue instrucciones para el firmante.

4. Active una o las dos casillas siguientes:

Permitir que el firmante agregue comentarios en el cuadro de dilogo

Firmar Permitir que el firmante escriba una razn para firmar.

Mostrar la fecha en la lnea de firma

junto a la firma.

La fecha de la firma se mostrar

Si el documento permanece sin firmar, aparecer la barra de mensajes Firmas.

Haga clic en el botn Ver firmas para completar el proceso de firma.

Firmar la lnea de firma en Word o Excel

Cuando firma en una lnea de firma, agrega una representacin visible de su firma
y una firma digital.

Fig. 4: Lnea de Firma

en un documento en
Office.

P g i n a | 10

1. En el archivo, haga clic con el botn

secundario en la lnea de firma.
NOTA Si el archivo se abre en la Vista
protegida, haga clic en Editar de todos
modos si el archivo procede de una fuente
fiable.
2. Desde el men, seleccione Firmar.

Para agregar una versin impresa de su firma, escriba su nombre en

el cuadro situado junto a la X.

La lnea de firma

Para seleccionar una imagen de su firma escrita, haga clic en Seleccionar

imagen. En el cuadro de dilogo Seleccionar imagen de la firma, busque
la ubicacin del archivo de imagen de su firma, seleccione el archivo que
desee y despus haga clic en Seleccionar.

Adems, puede firmar una lnea de firma haciendo doble clic en la lnea de firma.
Escriba su nombre junto a la X. O bien, en el Panel de firmas, en la
seccin Firmas requeridas, haga clic en la flecha situada junto a la firma. Desde
el men, seleccione Firmar.

Para agregar una firma manuscrita (nicamente para usuarios de Tablet

PC), escriba su nombre en el cuadro situado junto a la X usando la funcin
de entrada de lpiz.

Haga clic en Firmar.

Aparecer el botn rojo Firmas en la parte inferior del documento o de la

hoja de clculo.

Fig. 5: Imagen que muestra el Botn

Firmas (rojo).

Quitar firmas digitales de Word o Excel

1. Abra el documento o la hoja de clculo que contiene la firma visible que
desea quitar.
2. Haga clic con el botn secundario en la lnea de firma.
3. Haga clic en Quitar firma.

P g i n a | 11

4. Haga clic en S.

Agregar firmas digitales invisibles en Word, Excel o PowerPoint

Para proteger la autenticidad del contenido de un documento, puede agregar una
firma digital invisible. Los documentos firmados incluirn el botn Firmas en la
parte inferior del documento.

Fig. 6: Opcin Proteger Documento.

1. Haga clic en la pestaa Archivo.

2. Haga clic en Informacin.
3. En la seccin Permisos, haga clic en Proteger documento, Proteger
libro o Proteger presentacin.
4. Haga clic en Agregar una firma digital.
5. Lea el mensaje de Word, Excel o PowerPoint y despus haga clic
en Aceptar.
6. En el cuadro de dilogo Firmar, en el cuadro Razn para firmar este
documento, escriba la razn.
7. Haga clic en Firmar.
Una vez insertada la firma digital en un archivo, aparecer el botn Firmas y el
archivo ser de solo lectura para evitar que se realicen futuras modificaciones.
Quitar firmas digitales invisibles de Word, Excel o PowerPoint
1. Abra el documento, la hoja de clculo o la presentacin que contiene la
firma invisible que desea quitar.
2. Haga clic en la pestaa Archivo.

P g i n a | 12

3. Haga clic en Informacin.

4. Haga clic en Ver firmas.
5. Podr ver nuevamente el documento, la hoja de clculo o la presentacin y
se mostrar el panel Firmas.
6. Junto al nombre de la firma, haga clic en la flecha.
7. Haga clic en Quitar firma.
8. Haga clic en S.

UNIDAD 2.- SEGURIDAD EN REDES

II.1 ASPECTOS DE LA SEGURIDAD EN LAS COMUNICACIONES
II.1.1 EL GUSANO DE INTERNET
La mayor de las violaciones de la seguridad de las computadoras comenz una
tarde el 2 de noviembre de 1988, cuando un estudiante graduado de Cornell,
Robert Tappan Morris, liber un programa gusano en internet. Esto produjo fallas
en cientos de computadoras en universidades, corporaciones y laboratorios de
gobierno en todo el mundo antes que fuera rastreado y eliminado. Tambin marco
el inicio de una controversia que todava no ha concluido.
La historia comenz cuando Morris descubri dos errores en el UNIX, de Berkeley,
lo que le permiti tener acceso no autorizado a mquinas en internet, la vasta red
de investigacin que conecta ciento de mquinas en EEUU, Europa y el Lejano
Oriente. l trabaj totalmente solo y escribi un programa que se produca a s
mismo, llamado gusano, el cual pudo aprovechar esos errores y reproducirse en
segundos, en cada una de las mquinas que tuviera acceso. Trabaj en el
programa durante meses, integrndolo de manera cuidados y haciendo que
borrara su rastro.

P g i n a | 13

No se sabe si la versin liberada el dos de noviembre de 1988 era una prueba o

era real. En todo caso, hizo que la mayora de los sistemas SUN y VAX de internet
se hincaran ante ella unas horas despus de su aparicin. La motivacin de Morris
se desconoce, aunque es posible que pretendiera una broma prctica de alta
tecnologa, pero que debido a un error de programacin se le escap de las
manos.
Desde el punto de vista tcnico el gusano constaba de dos programas, el
arrancador y el gusano propiamente dicho. El arrancador era un archivo de 99
lneas en C llamado l1.c. Se compilaba y ejecutaba en el sistema por atacar. Una
vez ejecutado, se conectaba con la mquina de la que provena, cargaba el
gusano principal y lo ejecutaba. Despus de ciertos problemas para ocultar su
existencia, el gusano buscaba en las tablas de ruta del nuevo anfitrin, para saber
las mquinas que estaban conectadas con este e intentaba diseminar el
arrancador a esas mquinas.
Existan tres mtodos para tratar de infectar las nuevas mquinas. El mtodo 1
intentaba ejecutar un Shell remoto mediante el comando RSH. Algunas mquinas
confan en otras, por lo que podran ejecutar RSN sin autentificacin alguna. Si
esto funcionaba, el Shell remoto cargaba el programa del gusano y segua
infectando las dems mquinas a partir de ese punto.

El mtodo 2 utilizaba un programa presente en todos los sistemas BSD, llamado

finger, el cual permite a cualquier usuario de internet escribir y poder exhibir la
informacin relativa a una persona en esa instalacin dada. Esta informacin
incluye por lo general el nombre real de la persona clave de acceso, direcciones
de su casa y oficina, nombre de la secretaria y nmero de telfono, nmero de fax
y otra informacin semejante. Es un equivalente electrnico del directorio
telefnico.
Finger funciona de la manera siguiente. En cada instalacin BSD, un proceso
secundario llamado finger daemon se ejecuta todo el tiempo con el fin de enviar y
contestar las solicitudes de todas las partes de internet. Lo que hizo el gusano fue
llamar a finger con una cadena especialmente diseada de 536 bytes como
parmetro. Esta cadena sobrepasa la capacidad del buffer de deamon y escriba
sobre su pila. El error que se utilizaba aqu era el hecho de que daemon no
verificaba si se exceda la capacidad del buffer. Cuando daemon regresaba del
procedimiento del que se encontraba cuando recibi la solicitud, no regresaba a
main, sino a un procedimiento dentro de la cadena de 536 bytes de la pila. Este

P g i n a | 14

procedimiento intentaba ejecutar /bin/sh. Si lo lograba, el gusano dispona de un

Shell que se ejecutaba en la mquina atacada.
El mtodo 3 dependa de un error en el sistema de correo, send mail, que permita
al gusano enviar una copia del arrancador, adems de la ejecucin de este.
Una vez establecido el gusano intentaba romper con las contraseas del usuario.
Morris no tobo que realizar una gran investigacin para poder llevar esto a cabo.
Lo nico que hizo fue pedirle a su padre, un experto en seguridad de la National
security Agency, encargada de romper los cdigos, un ejemplar de un artculo
clsico en el tema, que el propio padre de Morris y Ken Thompson escribieran una
dcada antes en Bell Laboratories. Cada contrasea rota permita que el gusano
penetrara en otras mquinas donde el poseedor de la contrasea tuviera cuentas.
Cada vez que el gusano lograra el acceso a una nueva mquina verificaba si en
ella existan copias activas del mismo. En tal caso la nueva copia sala, excepto
una vez por cada siete que entraba a la mquina, tal vez en un intento por
mantener al gusano en propagacin incluso en el caso en que el administrador del
sistema tuviera su propio gusano para engaar al gusano real. El uso de uno por
cada siete cre un nmero enorme de gusanos y fue la razn por la que las
mquinas infectadas fueron obligadas a parar: estaban totalmente infectadas por
gusanos. Si Morris no hubiera hecho esto ltimo y solo obligara a salir si
encontraba otro gusano, tal vez este hubiera pasado inadvertido.

Morris fue capturado cuando uno de sus amigos habl con el reportero del rea de
computacin del New York Times, John Markoff para intentar convencerlo de que
todo haba sido un accidente, que el gusano no provocaba daos y que el autor
estaba arrepentido. El amigo dej entre ver de manera inadvertida que la clave de
acceso del responsable era RTM. La conversin de RTM al nombre del autor fue
sencilla: solo haba que ejecutar finger.
II.1.2 NIVELES DE SEGURIDAD
La informacin constituye un recurso que en muchos casos no se valora
adecuadamente por su intangibilidad cosa que no ocurre con los equipos, la
documentacin o las aplicaciones, y adems las medidas de seguridad no influyen
en la productividad del sistema sino ms bien al contrario, por lo que las
organizaciones son reticentes a dedicar recursos a esta tarea.
La seguridad debe contemplar no slo que no accedan intrusos, sino que los
sistemas y las aplicaciones funcionan y son utilizados correctamente. Los niveles

P g i n a | 15

de seguridad no pueden, ni deben, ser iguales para todos los elementos (usuarios,
aplicaciones,...) que gestionan la informacin.
Las medidas de seguridad deben contemplar algunos de los siguientes aspectos:
Identificacin biunvoca de los usuarios (Users ID)
Claves de acceso (password) de al menos 6 caracteres y ficheros de claves
protegidos y encriptados.
Modificacin peridica de las claves de acceso (como mnimo cada tres meses)
Registros de control del uso correcto, intentos incorrectos
Acceso remoto seguro
Cifrado y firma digital en las comunicaciones
Posibilidad de desconectar si no se usa un terminal e identificacin de la persona
que desconecta.
Salvaguardas y copias de seguridad.
Planificacin de desastres.
Formacin de los usuarios en los aspectos de seguridad.
El nivel de desarrollo de estas medidas depende de la naturaleza de la
organizacin, de la informacin, de las aplicaciones, de quienes las usan y
acceden a las mismas.
2.1.3 PLAN DE SEGURIDAD
La puesta en marcha de un plan de seguridad no es algo esttico que se hace una
vez. Una de las principales garantas de que un sistema es seguro es que se
realiza un seguimiento de las medidas puestas en marcha, de los registros de
auditora. El seguimiento de las medidas de seguridad es la va para asegurar que
el plan se adapta a la organizacin y para detectar posibles intentos de fraude o
acceso incorrecto.
El desarrollo de redes globales a las que se accede desde cualquier parte del
mundo con un coste bajo y desde cualquier hogar como es INTERNET, aumenta
estadsticamente la probabilidad de que alguien no autorizado intente acceder a mi
red.

P g i n a | 16

En un estudio de Datapro Research corp. Se resuma que la distribucin de los

problemas de seguridad en sistemas basados en redes responde a la siguiente
distribucin:
Errores de los empleados: 50%
Empleados deshonestos 15%
Empleados Descuidados 15%
Intrusos ajenos a la Empresa 10%
Integridad fsica de instalaciones 10%
Los planes de seguridad deben considerar la tipologa de la informacin, de los
usuarios de la misma y de los equipos y sistemas.
En un plan tpico de seguridad se deben considerar los siguientes aspectos:
Seguridad fsica de los locales y acceso donde se encuentran los sistemas.
Asegurarse contra todos los riesgos posibles; esto requiere un periodo de
observacin y una clasificacin de los recursos y sistemas que estn en los
edificios de la Organizacin, los que estn fuera, los puntos de acceso remoto, las
costumbres y hbitos del personal y el uso de la microinformtica esttica y
porttil.
Asegrese que es una integracin por encima de los sistemas, plataformas y
elementos que constituyen las redes, ..
La gestin de la seguridad debe de ser centralizada.
Entrando ya ms en el detalle, el plan debe de especificar las tareas a realizar,
cmo se definen los niveles de acceso, cmo se audita el plan, cmo se realizar
el seguimiento, dnde deben ponerse en marcha medidas especficas
(cortafuegos, filtros, control de acceso,...),.....
El sentido comn debe jugar un papel de relevancia, ya que si no es as, se
pueden llegar a proponer medidas muy seguras pero realmente impracticables, lo
cual significa que hay que asumir ciertos riesgos.

P g i n a | 17

2.1.4 ATAQUES O AMENASAS

Podemos definir un Ataque o Amenaza como la potencial violacin de un sistema
de seguridad. Estas tcticas o amenazas pueden producirse a partir de alguno de
estos hechos:

Modificacin ilegal de los programas (virus, Caballos de Troya, borrado de

informacin).

Deduccin de Informacin a partir de datos estadsticos o de uso que se

utilizan para reconstruir datos sensibles

Destruccin y modificacin de datos controlada o incontrolada.

Cambiar la secuencia de los mensajes.

Anlisis del trafico observando los protocolos y las lneas de comunicacin

o los discos de los ordenares.

Perdida del anonimato o de la confidencialidad.

Uso de una identidad falsa para hacer transacciones o enviar operaciones.

Impedir que a un usuario que puede usar los recursos lo haga.

Violacin de los sistemas de control de acceso.

Los "crackers", piratas o violadores informticos con inters en atacar un sistema

para obtener beneficios de forma ilegal, los "hackers", que son aquellos que lo
hacen simplemente como pasatiempo y reto tcnico (ms respetuosos que
aquellos con la informacin), y los "sniffers", que rastrean y observan todos los
mensajes que hay en la red, constituyen nuevas tipologas de intrusos que cada
vez estn adquiriendo mayor relevancia en el panorama de la seguridad.
Los "crackers", una vez que acceden a un sistema, pueden entre otras cosas
coleccionar las claves de acceso a los diferentes nodos y sistemas de la red para
su posterior uso, o bien dejar programas que les permiten el posterior acceso al
sistema.
Su objetivo es acceder al sistema operativo al ms alto grado de prioridad para
controlar las aplicaciones, borrar ficheros, introducir un virus,...

P g i n a | 18

Los Agentes externos no constituyen, sin embargo, el mayor peligro para una red
de rea global. Un estudio realizado en ms de 2000 compaas encontr que el
65% de los gastos incurridos (ms de 5 billones anuales de dlares en prdidas)
fueron generados por errores y mal uso de los propios usuarios de la red y no por
agentes externos. El ejemplo ms claro lo tenemos en los virus informticos: el
90% de los virus los introducen en las organizaciones los propios usuarios a travs
de programas, juegos, disquetes,.. Que nunca deberan haber usado y que en
algn caso tenan prohibido hacerlo.
2.1.5 TIPOS DE ATAQUES MS COMUNES
Amenazas Lgicas
Los protocolos de comunicacin utilizados carecen (en su mayora) de seguridad o
esta ha sido implementada en forma de "parche" tiempo despus de su creacin.

Existen agujeros de seguridad en los sistemas operativos.

Existen agujeros de seguridad en las aplicaciones.

Existen errores en las configuraciones de los sistemas.

Los usuarios carecen de informacin respecto al tema.

Esta lista podra seguir extendindose a medida que se evalen mayor cantidad
de elementos de un Sistema Informtico.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar
ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos)
bajara enormemente.
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad
de sus sistemas y arreglan por s mismos las deficiencias detectadas. A esto hay
que aadir las nuevas herramientas de seguridad disponibles en el mercado.
Los "advisories" (documentos explicativos) sobre los nuevos agujeros de
seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado
sus frutos.

Acceso - Uso - Autorizacin

P g i n a | 19

La identificacin de estas palabras es muy importante ya que el uso de algunas

implica un uso desapropiado de las otras.
Especficamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se
estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo:

Cuando un usuario tiene acceso autorizado, implica que tiene autorizado

el uso de un recurso.

Cuando un atacante tiene acceso

desautorizado del sistema.

Pero, cuando un atacante hace uso desautorizado de un sistema, esto

implica que el acceso fue autorizado (simulacin de usuario).

desautorizado est

haciendo uso

Luego un Ataque ser un intento de acceso, o uso desautorizado de un recurso,

sea satisfactorio o no. Un Incidente envuelve un conjunto de ataques que pueden
ser distinguidos de otro grupo por las caractersticas del mismo (grado, similitud,
tcnicas utilizadas, tiempos, etc.).
John D. Howard en su tesis estudia la cantidad de ataques que puede tener un
incidente. Al concluir dicho estudio y basado en su experiencia en los laboratorios
del CERT afirma que esta cantidad vara entre 10 y 1.000 y estima que un nmero
razonable para estudios es de 100 ataques por incidentes.
Deteccin de Intrusos
A finales de 1996, Dan Farmer (creador de una de las herramientas ms tiles en
la deteccin de intrusos: SATAN) realiz un estudio sobre seguridad analizando
2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web
Sites orientados al comercio y con contenidos especficos, adems de un conjunto
de sistemas informticos aleatorios con los que realizar comparaciones.
El estudio se realiz empleando tcnicas sencillas y no intrusivas. Se dividieron los
problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos
(yellow).
Los problemas del grupo rojo son los ms serios y suponen que el sistema est
abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos
en disposicin de ser explotados. As por ejemplo, un problema de seguridad del
grupo rojo es un equipo que tiene el servicio de FTP annimo mal configurado.
Los problemas de seguridad del grupo amarillo son menos serios pero tambin
reseables. Implican que el problema detectado no compromete inmediatamente

P g i n a | 20

al sistema pero puede causarle serios daos o bien, que es necesario realizar
tests ms intrusivos para determinar si existe o no un problema del grupo rojo.
La tabla siguiente resume los sistemas evaluados, el nmero de equipos en cada
categora y los porcentajes de vulnerabilidad para cada uno. Aunque los
resultados son lmites superiores, no dejan de ser... escandalosos.
Fig. 7: Porcentaje de vulnerabilidades
por tipo de Sitio Web.

Como puede observarse, cerca de los dos tercios de los sistemas analizados
tenan serios problemas de seguridad y Farmer destaca que casi un tercio de ellos
podan ser atacados con un mnimo esfuerzo.
Identificacin de las Amenazas
La identificacin de amenazas requiere conocer los tipos de ataques, el tipo de
acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podran clasificar en:

Data Corruption: la informacin que no contena defectos pasa a tenerlos.

Denial of Service (DoS): servicios que deberan estar disponibles no lo

estn.

Leakage: los datos llegan a destinos a los que no deberan llegar.

Desde 1990 hasta nuestros das, el CERT viene desarrollando una serie de
estadsticas que demuestran que cada da se registran ms ataques informticos,
y estos son cada vez ms sofisticados, automticos y difciles de rastrear.
La Tabla 8 detalla el tipo de atacante, las herramientas utilizadas, en qu fase se
realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u
obtenidos y los objetivos perseguidos por los intrusos.

P g i n a | 21

Fig. 8: Detalle de Ataques.

Cualquier adolescente de
(Script Kiddies), sin tener

15

aos

grandes
conocimientos,
pero
con
una potente y estable
herramienta de ataque
desarrollada por los
Gurs, es capaz de dejar
fuera
de
servicio
cualquier servidor de
informacin
de
cualquier
organismo
en
Internet, simplemente siguiendo las instrucciones que acompaan la herramienta.
Los nmeros que siguen no pretenden alarmar a nadie ni sembrar la semilla del
futuro Hacker. Evidentemente la informacin puede ser aprovechada para fines
menos lcitos que para los cuales fue pensada, pero esto es algo ciertamente
difcil de evitar.

P g i n a | 22

Fig. 9: Vulnerabilidades reportadas al CERI 1988-2001.

Nota I: Estos incidentes slo representan el 30% correspondiente a los Hackers.

Nota II: En 1992 el DISA realiz un estudio durante el cual se llevaron a cabo
38.000 ataques a distintas sitios de organizaciones gubernamentales (muchas de
ellas militares). El resultado de los ataques desde 1992 a 1995 se resumen en el
siguiente cuadro:

Fig. 10: Porcentaje de Ataques

P g i n a | 23

Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados.
Luego, si en el ao 2000 se denunciaron 21.756 casos eso arroja 3.064.225
incidentes
en
ese
ao.
Nota III: Puede observarse que los incidente reportados en 1997 con respecto al
ao anterior es menor. Esto puede deberse a diversas causas:

Las empresas u organizaciones no se pueden permitir el lujo de denunciar

ataques a sus sistemas, pues el nivel de confianza de los clientes
(ciudadanos) bajara enormemente.
Los administradores tienen cada vez mayor conciencia respecto de la
seguridad de sus sistemas y arreglan por s mismos las deficiencias
detectadas. A esto hay que aadir las nuevas herramientas de seguridad
disponibles en el mercado.

Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de

seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado
sus frutos.
Tipos de Ataques
A continuacin se expondrn diferentes tipos de ataques perpetrados,
principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier
tipo de red, sistema operativo, usando diferentes protocolos, etc.
En los primeros tiempos, los ataques involucraban poca sofisticacin tcnica. Los
Insiders (operadores, programadores, data entrys) utilizaban sus permisos para
alterar archivos o registros. Los Outsiders ingresaban a la red simplemente
averiguando una password vlida. A travs de los aos se han desarrollado formas
cada vez ms sofisticadas de ataque para explotar "agujeros" en el diseo,
configuracin y operacin de los sistemas.
Son muchos los autores que describen con detalle las tcnicas y las clasifican de
acuerdo a diferentes caractersticas de las mismas. Ante la diversificacin de
clasificaciones de amenazas y la inminente aparicin de nuevas tcnicas, para la
realizacin del presente los ataques sern clasificados y categorizados segn mi
experiencia y conocimiento de cada caso.
Otra lista de trminos asociada con los ataques puede ser la siguiente:

P g i n a | 24
Fig. 11: Lista de Trminos Asociados con Ataques.

Al

describirlos no se pretende dar una gua exacta ni las especificaciones tcnicas

necesarias para su uso. Slo se pretende dar una idea de la cantidad y
variabilidad de los mismos, as como que su adaptacin (y aparicin de nuevos)
contina paralela a la creacin de nuevas tecnologas.
Cabe destacar que para la utilizacin de estas tcnicas no ser necesario contar
con grandes centros de cmputos, lo que queda fehacientemente demostrado al
saber que algunos Hackers ms famosos de la historia hackeaban con
computadoras (incluso armadas con partes encontradas en basureros) desde la
habitacin de su hogar.
Cada uno de los ataques abajo descritos sern dirigidos remotamente. Se
define Ataque Remoto como "un ataque iniciado contra una maquina sobre la
cual el atacante no tiene control fsico". Esta mquina es distinta a la usada por el
atacante y ser llamada Vctima.
Ingeniera Social
Es la manipulacin de las personas para convencerlas de que ejecuten acciones o
actos que normalmente no realizan para que revele todo lo necesario para superar
las barreras de seguridad. Si el atacante tiene la experiencia suficiente
(generalmente es as), puede engaar fcilmente a un usuario (que desconoce las
mnimas medidas de seguridad) en beneficio propio. Esta tcnica es una de las
ms usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.
Por ejemplo, suele llamarse a un usuario hacindose pasar por administrador del
sistema y requerirle la password con alguna excusa convincente. O bien, podra
enviarse un mail (falsificando la direccin origen a nombre del administrador)
pidiendo al usuario que modifique su password a una palabra que el atacante
suministra.
Para evitar situaciones de IS es conveniente tener en cuenta
recomendaciones:

Tener servicio tcnico propio o de confianza.

estas

P g i n a | 25

Instruir a los usuarios para que no respondan ninguna pregunta sobre

cualquier caracterstica del sistema y deriven la inquietud a los
responsables que tenga competencia para dar esa informacin.

Asegurarse que las personas que llaman por telfono son quienes dicen ser. Por
ejemplo si la persona que llama se identifica como proveedor de Internet lo mejor
es cortar y devolver la llamada a forma de confirmacin.

Ingeniera Social Inversa

Consiste en la generacin, por parte de los intrusos, de una situacin inversa a la
originada en Ingeniera Social.
En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda
a los usuarios, y estos lo llaman ante algn imprevisto. El intruso aprovechara esta
oportunidad para pedir informacin necesaria para solucionar el problema del
usuario y el suyo propio (la forma de acceso al sistema).
La ISI es ms difcil de llevarla cabo y por lo general se aplica cuando los usuarios
estn alertados de acerca de las tcnicas de IS. Puede usarse en algunas
situaciones especficas y despus de mucha preparacin e investigacin por parte
del intruso:

Generacin de una falla en el funcionamiento normal del sistema.

Generalmente esta falla es fcil de solucionar pero puede ser difcil de
encontrar por los usuarios inexpertos (sabotaje). Requiere que el intruso
tenga un mnimo contacto con el sistema.

Comunicacin a los usuarios de que la solucin es brindada por el intruso

(publicidad).

Provisin de ayuda por parte del intruso encubierto como servicio tcnico.

Trashing (Cartoneo)
Generalmente, un usuario anota su login y password en un papelito y luego,
cuando lo recuerda, lo arroja a la basura. Este procedimiento por ms inocente
que parezca es el que puede aprovechar un atacante para hacerse de una llave
para entrar el sistema..."nada se destruye, todo se transforma".

P g i n a | 26

El Trashing puede ser fsico (como el caso descripto) o lgico, como analizar
buffers de impresora y memoria, bloques de discos, etc.
El Trashing fsico suele ser comn en organizaciones que no disponen de alta
confidencialidad, como colegios y universidades.
Ataques de Monitorizacin
Este tipo de ataque se realiza para observar a la vctima y su sistema, con el
objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.

ShoulderSurfing
Consiste en espiar fsicamente a los usuarios para obtener el login y su
password correspondiente. El Surfing explota el error de los usuarios de
dejar su login y password anotadas cerca de la computadora (generalmente
en postit adheridos al monitor o teclado). Cualquier intruso puede pasar
por ah, verlos y memorizarlos para su posterior uso. Otra tcnica
relacionada al Surfing es aquella mediante la cual se ve, por encima del
hombro, al usuario cuando teclea su nombre y password.

Decoy(Seuelos)
Los Decoy son programas diseados con la misma interface que otro
original. En ellos se imita la solicitud de un logeo y el usuario desprevenido
lo hace. Luego, el programa guardar esta informacin y dejar paso a las
actividades normales del sistema. La informacin recopilada ser utilizada
por
el
atacante
para
futuras
"visitas".
Una tcnica semejante es aquella que, mediante un programa se guardan
todas las teclas presionadas durante una sesin. Luego solo har falta
estudiar el archivo generado para conocer nombres de usuarios y claves.

Scanning
(Bsqueda)
El Escaneo, como mtodo de descubrir canales de comunicacin
susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es
recorrer (scanear) tantos puertos de escucha como sea posible, y guardar
informacin de aquellos que sean receptivos o de utilidad para cada
necesidad en particular. Muchas utilidades de auditora tambin se basan
en
este
paradigma.
El Scaneo de puertos pertenece a la Seguridad Informtica desde que era
utilizado en los sistemas de telefona. Dado que actualmente existen
millones de nmeros de telfono a los que se pueden acceder con una
simple llamada, la solucin lgica (para encontrar nmeros que puedan
interesar)
es
intentar
conectarlos
a
todos.
La idea bsica es simple: llamar a un nmero y si el mdem devuelve un

P g i n a | 27

mensaje de conectado, grabar el nmero. En otro caso, la computadora

cuelga
el
telfono
y
llama
al
siguiente
nmero.
Scanear puertos implica las mismas tcnicas de fuerza bruta. Se enva una
serie de paquetes para varios protocolos y se deduce que servicios estn
"escuchando" por las respuestas recibidas o no recibidas.
Existen diversos tipos de Scanning segn las tcnicas, puertos y protocolos
explotados:
o TCP
Connect
Scanning
Esta es la forma bsica del scaneo de puertos TCP. Si el puerto est
escuchando, devolver una respuesta de xito; cualquier otro caso
significar que el puerto no est abierto o que no se puede
establecer
conexin
con
l.
Las ventajas que caracterizan esta tcnica es que no necesita de
privilegios
especiales
y
su
gran
velocidad.
Su principal desventaja es que este mtodo es fcilmente detectable
por el administrador del sistema. Se ver un gran nmero de
conexiones y mensajes de error para los servicios en los que se ha
conseguido conectar la mquina, que lanza el scanner, y tambin se
ver su inmediata desconexin.
o TCP
SYN
Scanning
Cuando dos procesos establecen una comunicacin usan el modelo
Cliente/Servidor para establecerla. La aplicacin del Servidor
"escucha"
todo
lo
que
ingresa
por
los
puertos.
La identificacin del Servidor se efecta a travs de la direccin IP
del sistema en el que se ejecuta y del nmero de puerto del que
depende para la conexin. El Cliente establece la conexin con el
Servidor a travs del puerto disponible para luego intercambiar
datos.
La informacin de control de llamada HandShake (saludo) se
intercambia entre el Cliente y el Servidor para establecer un dialogo
antes de transmitir datos. Los "paquetes" o segmentos TCP tienen
banderas
que
indican
el
estado
del
mismo.
El protocolo TCP de Internet, sobre el que se basa la mayora de los
servicios (incluyendo el correo electrnico, el web y el IRC) implica
esta conexin entre dos mquinas. El establecimiento de dicha
conexin se realiza mediante lo que se llama Three-Way Handshake
("conexin en tres pasos") ya que intercambian tres segmentos.
En forma esquemtica se tiene:

P g i n a | 28

Fig. 12: Conexin en Tres

Pasos.

1. El
programa Cliente (C) pide conexin al
Servidor (S) envindole un segmento SYN. Este segmento le dice a S que
C desea establecer una conexin.
2. S (si est abierto y escuchando) al recibir este segmento SYN (activa el
indicador) y enva una autentificacin ACK de manera de acuse de recibo a
C. Si S est cerrado enva un indicador RST.
3. C entonces ACKea (autentifica) a S. Ahora ya puede tener lugar la
transferencia de datos.
Cuando las aplicaciones conectadas terminan la transferencia, realizaran otra
negociacin a tres bandas con segmentos FIN en vez SYN.
La tcnica TCP SYN Scanning, implementa un scaneo de "media-apertura", dado
que
nunca
se
abre
una
sesin
TCP
completa.
Se enva un paquete SYN (como si se fuera a usar una conexin real) y se espera
por la respuesta. Al recibir un SYN/ACK se enva, inmediatamente, un RST para
terminar la conexin y se registra este puerto como abierto.
La principal ventaja de esta tcnica de escaneo es que pocos sitios estn
preparados para registrarlos. La desventaja es que en algunos sistemas Unix, se
necesitan privilegios de administrador para construir estos paquetes SYN.

o TCP
FIN
Scanning
Stealth
Port
Scanning
Hay veces en que incluso el scaneo SYN no es lo suficientemente
"clandestino" o limpio. Algunos sistemas (Firewalls y filtros de
paquetes) monitorizan la red en busca de paquetes SYN a puertos
restringidos.
Para subsanar este inconveniente los paquetes FIN, en cambio,
podran ser capaces de pasar sin ser advertidos. Este tipo de
Scaneo est basado en la idea de que los puertos cerrados tienden a
responder a los paquetes FIN con el RST correspondiente. Los
puertos abiertos, en cambio, suelen ignorar el paquete en cuestin.
Este es un comportamiento correcto del protocolo TCP, aunque
algunos sistemas, entre los que se hallan los de Microsoft, no
cumplen con este requerimiento, enviando paquetes RST siempre,

P g i n a | 29

independientemente de si el puerto est abierto o cerrado. Como

resultado, no son vulnerables a este tipo de scaneo. Sin embargo, es
posible
realizarlo
en
otros
sistemas
Unix.
Este ltimo es un ejemplo en el que se puede apreciar que algunas
vulnerabilidades se presentan en las aplicacin de tecnologas (en
este caso el protocolo TCP nacido en los aos 70) y no sobre sus
implementaciones. Es ms, se observa que una implementacin
incorrecta (la de Microsoft) soluciona el problema.
"Muchos de los problemas globales de vulnerabilidades son inherentes al diseo
original de algunos protocolos.
o Fragmentation
Scanning
Esta no es una nueva tcnica de scaneo como tal, sino una
modificacin de las anteriores. En lugar de enviar paquetes
completos de sondeo, los mismos se particionan en un par de
pequeos fragmentos IP. As, se logra partir una cabecera IP en
distintos paquetes para hacerlo ms difcil de monitorizar por los
filtros que pudieran estar ejecutndose en la mquina objetivo.
Sin embargo, algunas implementaciones de estas tcnicas tienen
problemas con la gestin de este tipo de paquetes tan pequeos,
causando una cada de rendimiento en el sistema del intruso o en el
de la vctima. Problemas de esta ndole convierte en detectables a
este tipo de ataque.

EavesdroppingPacket Sniffing

Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepcin (sin

modificacin)
del
trfico
de
red.
Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los
paquetes que circulan por la red. Los Sniffers pueden ser colocados tanto en una
estacin de trabajo conectada a la red, como a un equipo Router o a un Gateway
de Internet, y esto puede ser realizado por un usuario con legtimo acceso, o por
un
intruso
que
ha
ingresado
por
otras
vas.
Cada mquina conectada a la red (mediante una placa con una direccin nica)
verifica la direccin destino de los paquetes TCP. Si estas direcciones son iguales
asume que el paquete enviado es para ella, caso contrario libera el paquete para
que
otras
placas
lo
analicen.
Un Sniffers consiste en colocar a la placa de red en un modo llamado promiscuo,
el cual desactiva el filtro de verificacin de direcciones y por lo tanto todos los
paquetes enviados a la red llegan a esta placa (computadora donde est instalado
el
Sniffer).

P g i n a | 30

Inicialmente este tipo de software, era nicamente utilizado por los

administradores de redes locales, aunque con el tiempo lleg a convertirse en
una
herramienta
muy
usada
por
los
intrusos.
Actualmente existen Sniffers para capturar cualquier tipo de informacin
especfica. Por ejemplo passwords de un recurso compartido o de acceso a
una cuenta, que generalmente viajan sin encriptar al ingresar a sistemas de
acceso remoto. Tambin son utilizados para capturar nmeros de tarjetas de
crdito y direcciones de e-mails entrantes y salientes. El anlisis de trfico puede
ser utilizado tambin para determinar relaciones entre organizaciones e
individuos.
Para realizar estas funciones se analizan las tramas de un segmento de red, y
presentan
al
usuario
slo
las
que
interesan.
Normalmente, los buenos Sniffers, no se pueden detectar, aunque la inmensa
mayora, y debido a que estn demasiado relacionados con el protocolo TCP/IP, si
pueden ser detectados con algunos trucos.

SnoopingDownloading

Los ataques de esta categora tienen el mismo objetivo que el Sniffing: obtener la
informacin
sin
modificarla.
Sin embargo los mtodos son diferentes. Aqu, adems de interceptar el trfico de
red, el atacante ingresa a los documentos, mensajes de correo electrnico y otra
informacin guardada, realizando en la mayora de los casos un downloading
(copia de documentos) de esa informacin a su propia computadora, para luego
hacer
un
anlisis
exhaustivo
de
la
misma.
El Snooping puede ser realizado por simple curiosidad, pero tambin es realizado
con fines de espionaje y robo de informacin o software. Los casos ms
resonantes de este tipo de ataques fueron: el robo de un archivo con ms de 1700
nmeros de tarjetas de crdito desde una compaa de msica mundialmente
famosa, y la difusin ilegal de reportes oficiales reservados de las Naciones
Unidas, acerca de la violacin de derechos humanos en algunos pases europeos
en estado de guerra.
Ataques de autenticacin
Este tipo de ataque tiene como objetivo engaar al sistema de la vctima para
ingresar al mismo. Generalmente este engao se realiza tomando las sesiones ya
establecidas por la vctima u obteniendo su nombre de usuario y password.

P g i n a | 31

Spoofing-Looping
Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de
esta tcnica, justamente, es actuar en nombre de otros usuarios,
usualmente para realizar tareas de Snooping o Tampering (ver a
continuacin
Ataques
de
Modificacin
y
Dao).
Una forma comn de Spoofing es conseguir el nombre y password de un
usuario legtimo para, una vez ingresado al sistema, tomar acciones en
nombre
de
l.
El intruso usualmente utiliza un sistema para obtener informacin e ingresar
en otro, y luego utiliza este para entrar en otro, y as sucesivamente. Este
proceso, llamado Looping, tiene la finalidad de "evaporar" la identificacin y
la
ubicacin
del
atacante.
El camino tomado desde el origen hasta el destino puede tener muchas
estaciones, que exceden obviamente los lmites de un pas. Otra
consecuencia del Looping es que una compaa o gobierno pueden
suponer que estn siendo atacados por un competidor o una agencia de
gobierno extranjera, cuando en realidad estn seguramente siendo atacado
por un Insider, o por un estudiante a miles de Kilmetros de distancia, pero
que
ha
tomado
la
identidad
de
otros.
La investigacin de procedencia de un Looping es casi imposible, ya que el
investigador debe contar con la colaboracin de cada administrador de
cada
red
utilizada
en
la
ruta.
El envo de falsos e-mails es otra forma de Spoofing que las redes
permiten. Aqu el atacante enva e-mails a nombre de otra persona con
cualquier motivo y objetivo. Tal fue el caso de una universidad en EE.UU.
que en 1998, que debi reprogramar una fecha completa de exmenes ya
que alguien en nombre de la secretara haba cancelado la fecha verdadera
y enviado el mensaje a toda la nmina de estudiantes.
Muchos ataques de este tipo comienzan con Ingeniera Social, y los
usuarios, por falta de cultura, facilitan a extraos sus identificaciones dentro
del sistema usualmente travs de una simple llamada telefnica.

Spoofing
Este tipo de ataques (sobre protocolos) suele implicar un buen
conocimiento del protocolo en el que se va a basar el ataque. Los ataques
tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el
Web Spoofing
o IP-Spoofing

P g i n a | 32

Con el IP Spoofing, el atacante genera paquetes de Internet con una direccin de

red falsa en el campo From, pero que es aceptada por el destinatario del paquete.
Su utilizacin ms comn es enviar los paquetes con la direccin de un tercero, de
forma que la vctima "ve" un ataque proveniente de esa tercera red, y no la
direccin
real
del
intruso.
El esquema con dos puentes es el siguiente:

Fig. 13: Ataque Spoofing.

Ntese que si la Victima descubre el ataque ver a la PC_2 como su atacante y no

el
verdadero
origen.
Este ataque se hizo famoso al usarlo Kevin Mitnick.

DNS
Spoofing
Este ataque se consigue mediante la manipulacin de paquetes UDP
pudindose comprometer el servidor de nombres de dominios (Domain
Name ServerDNS) de Windows NT. Si se permite el mtodo de recursin
en la resolucin de "NombreDireccin IP" en el DNS, es posible controlar
algunos aspectos del DNS remoto. La recursin consiste en la capacidad
de un servidor de nombres para resolver una peticin de direccin IP a
partir de un nombre que no figura en su base de datos. Este es el mtodo
de funcionamiento por defecto.
Web Spoofing
En el caso Web Spoofing el atacante crea un sitio web completo (falso)
similar al que la vctima desea entrar. Los accesos a este sitio estn
dirigidos por el atacante, permitindole monitorear todas las acciones de la
vctima, desde sus datos hasta las passwords, nmeros de tarjeta de
crditos,
etc.
El atacante tambin es libre de modificar cualquier dato que se est
transmitiendo entre el servidor original y la vctima o viceversa.
IP SplicingHijacking
Se produce cuando un atacante consigue interceptar una sesin ya
establecida. El atacante espera a que la vctima se identifique ante el

P g i n a | 33

sistema y tras ello le suplanta como usuario autorizado.

Para entender el procedimiento supongamos la siguiente situacin:

1.

El cliente establece una conexin con su

servidor enviando un paquete que contendr
la direccin origen, destino, nmero de secuencia (para luego armar el
paquete) y un nmero de autentificacin utilizado por el servidor para
"reconocer" el paquete siguiente en la secuencia. Supongamos que este
paquete
contiene:

2. El servidor, luego de recibir el primer paquete contesta al cliente

con paquete
Echo
(recibido).

3. El cliente enva un paquete ACK al servidor, sin datos, en donde le

comunica
lo
"perfecto"
de
la
comunicacin.

4. El atacante que ha visto, mediante un Sniffer, los paquete que circularon

por la red calcula el nmero de secuencia siguiente: el actual + tamao del
campo de datos. Para calcular el tamao de este campo:

P g i n a | 34

5. Hecho esto el atacante enva un paquete con la siguiente aspecto:

El servidor al recibir estos datos no detectar el cambio de origen ya que los

campos que ha recibido como secuencia y ACK son los que esperaba recibir. El
cliente, a su vez, quedar esperando datos como si su conexin estuviera colgada
y el atacante podr seguir enviando datos mediante el procedimiento descripto.

Utilizacin
de
BackDoors
"Las puertas traseras son trozos de cdigo en un programa que permiten a
quien las conoce saltarse los mtodos usuales de autentificacin para
realizar ciertas tareas. Habitualmente son insertados por los programadores
del sistema para agilizar la tarea de probar cdigo durante la fase de
desarrollo".
Esta situacin se convierte en una falla de seguridad si se mantiene,
involuntaria o intencionalmente, una vez terminado el producto ya que
cualquiera que conozca el agujero o lo encuentre en su cdigo podr
saltarse los mecanismos de control normales.
Utilizacin
de
Exploits
Es muy frecuente ingresar a un sistema explotando agujeros en los
algoritmos de encriptacin utilizados, en la administracin de las claves por
parte la empresa, o simplemente encontrando un error en los programas
utilizados.
Los programas para explotar estos "agujeros" reciben el nombre de Exploits
y lo que realizan es aprovechar la debilidad, fallo o error hallado en el
sistema
(hardware
o
software)
para
ingresar
al
mismo.
Nuevos Exploits (explotando nuevos errores en los sistemas) se publican
cada da por lo que mantenerse informado de los mismos y de las
herramientas para combatirlos es de vital importancia.
Obtencin
de
Passwords
Este mtodo comprende la obtencin por "Fuerza Bruta" de aquellas claves
que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados.
Muchas passwords de acceso son obtenidas fcilmente porque involucran
el nombre u otro dato familiar del usuario y, adems, esta nunca (o rara
vez) se cambia. En este caso el ataque se simplifica e involucra algn
tiempo de prueba y error. Otras veces se realizan ataques sistemticos
(incluso con varias computadoras a la vez) con la ayuda de programas
especiales y "diccionarios" que prueban millones de posibles claves hasta

P g i n a | 35

encontrar
la
password
correcta.
La poltica de administracin de password ser discutida en captulos
posteriores.
Uso de Diccionarios
Los Diccionarios son archivos con millones de palabras, las cuales
pueden ser posibles passwords de los usuarios. Este archivo es
utilizado para descubrir dicha password en pruebas de fuerza bruta.
El programa encargado de probar cada una de las palabras encripta
cada una de ellas, mediante el algoritmo utilizado por el sistema
atacado, y compara la palabra encriptada contra el archivo de
passwords del sistema atacado (previamente obtenido). Si coinciden
se ha encontrado la clave de acceso al sistema, mediante el usuario
correspondiente
a
la
clave
hallada.
Actualmente es posible encontrar diccionarios de gran tamao
orientados, incluso, a un rea especfica de acuerdo al tipo de
organizacin
que
se
est
atacando.
En la tabla 7.4 podemos observar el tiempo de bsqueda de una
clave de acuerdo a su longitud y tipo de caracteres utilizados. La
velocidad de bsqueda se supone en 100.000 passwords por
segundo, aunque este nmero suele ser mucho mayor dependiendo
del programa utilizado.
Fig. 14: Cantidad de Claves generadas segn el nmero de caracteres empleado.

Aqu puede observarse la importancia de la utilizacin de

passwords con al menos 8 caracteres de longitud y combinando todos los
caracteres disponibles. En el siguiente Captulo podr estudiarse las
normas
de claves relativamente seguras y resistentes.
Denial of Service (DoS)
1. Se ha instalado un troyano y se necesita que la vctima reinicie la
mquina para que surta efecto.

P g i n a | 36

2. Se necesita cubrir inmediatamente sus acciones o un uso abusivo de

CPU. Para ello provoca un "crash" del sistema, generando as la
sensacin de que ha sido algo pasajero y raro.
3. El intruso cree que acta bien al dejar fuera de servicio algn sitio web
que le disgusta. Este accionar es comn en sitios pornogrficos,
religiosos o de abuso de menores.
4. El administrador del sistema quiere comprobar que sus instalaciones no
son vulnerables a este tipo de ataques.
5. El administrador del sistema tiene un proceso que no puede "matar" en
su servidor y, debido a este, no puede acceder al sistema. Para ello,
lanza contra s mismo un ataque DoS deteniendo los servicios.

Jamming
o
Flooding
Este tipo de ataques desactivan o saturan los recursos del sistema. Por
ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible, as como enviar tanto trfico a la red que nadie ms pueda
utilizarla.
Aqu el atacante satura el sistema con mensajes que requieren establecer
conexin. Sin embargo, en vez de proveer la direccin IP del emisor, el
mensaje contiene falsas direcciones IP usando Spoofing y Looping. El
sistema responde al mensaje, pero como no recibe respuesta, acumula
buffers con informacin de las conexiones abiertas, no dejando lugar a las
conexiones
legtimas.
Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del
servicio por ataques que explotan el protocolo TCP. Muchos Hosts de
Internet han sido dados de baja por el "ping de la muerte" (una versintrampa
del
comando
ping).
Mientras que el ping normal simplemente verifica si un sistema esta
enlazado a la red, el ping de la muerte causa el bloqueo instantneo del
equipo. Esta vulnerabilidad ha sido ampliamente utilizada en el pasado
pero, an hoy pueden encontrarse sistemas vulnerables. Otra accin
comn es la de enviar millares de e-mails sin sentido a todos los usuarios
posibles en forma continua, saturando los sistemas destinos .

Syn Flood
Como ya se explic en el TCP SYN Scanning el protocolo TCP se basa en
una conexin en tres pasos. Pero, si el paso final no llega a establecerse, la
conexin permanece en un estado denominado "semiabierto".
El SYN Flood es el ms famoso de los ataques del tipo Denial of Service,
publicado por primera vez en la revista under Phrack; y se basa en un
"saludo" incompleto entre los dos hosts.

P g i n a | 37

El Cliente enva un paquete SYN pero no responde al paquete ACK

ocasionando que la pila TCP/IP espere cierta cantidad de tiempo a que el
Host hostil responda antes de cerrar la conexin. Si se crean muchas
peticiones incompletas de conexin (no se responde a ninguna), el Servidor
estar inactivo mucho tiempo esperando respuesta. Esto ocasiona la
lentitud en los dems servicios.
SYN Flood aprovecha la mala implementacin del protocolo TCP,
funcionando de la siguiente manera:
Se enva al destino, una serie de paquetes TCP con el bit SYN activado,
(peticin de conexin) desde una direccin IP Spoofeada. Esta ltima debe
ser inexistente para que el destino no pueda completar el saludo con el
cliente.
Aqu radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero
TCP ignora el mensaje y sigue intentando terminar el saludo con el cliente
de forma continua.
Cuando se realiza un Ping a una mquina, esta tiene que procesarlo. Y
aunque se trate de un proceso sencillo, (no es ms que ver la direccin de
origen y enviarle un paquete Reply), siempre consume recursos del
sistema. Si no es un Ping, sino que son varios a la vez, la mquina se
vuelve ms lenta... si lo que se recibe son miles de solicitudes, puede que
el equipo deje de responder (Flood).
Es obligatorio que la IP origen sea inexistente, ya que sino el objetivo,
lograr responderle al cliente con un SYN/ACK, y como esa IP no pidi
ninguna conexin, le va a responder al objetivo con un RST, y el ataque no
tendr efecto. El problema es que muchos sistemas operativos tienen un
lmite muy bajo en el nmero de conexiones "semiabiertas" que pueden
manejar en un momento determinado (5 a 30). Si se supera ese lmite, el
servidor sencillamente dejar de responder a las nuevas peticiones de
conexin que le vayan llegando. Las conexiones "semiabiertas" van
caducando tras un tiempo, liberando "huecos" para nuevas conexiones,
pero mientras el atacante mantenga el SYN Flood, la probabilidad de que
una conexin recin liberada sea capturada por un nuevo SYN malicioso es
muy alta.

Conection Flood
La mayora de las empresas que brindan servicios de Internet (ISP) tienen
un lmite mximo en el nmero de conexiones simultneas. Una vez que se
alcanza ese lmite, no se admitirn conexiones nuevas. As, por ejemplo, un
servidor Web puede tener, por ejemplo, capacidad para atender a mil
usuarios simultneos. Si un atacante establece mil conexiones y no realiza
ninguna peticin sobre ellas, monopolizar la capacidad del servidor. Las

P g i n a | 38

conexiones van caducando por inactividad poco a poco, pero el atacante

slo necesita intentar nuevas conexiones, (como ocurre con el caso del
SYN Flood) para mantener fuera de servicio el servidor.

Net Flood
En estos casos, la red vctima no puede hacer nada. Aunque filtre el trfico
en sus sistemas, sus lneas estarn saturadas con trfico malicioso,
incapacitndolas para cursar trfico til.
Un ejemplo habitual es el de un telfono: si alguien quiere molestar, slo
tiene que llamar, de forma continua. Si se descuelga el telfono (para que
deje de molestar), tampoco se puede recibir llamadas de otras personas.
Este problema es habitual, por ejemplo, cuando alguien intenta mandar un
fax empleando el nmero de voz: el fax insiste durante horas, sin que el
usuario llamado pueda hacer nada al respecto.
En el caso de Net Flooding ocurre algo similar. El atacante enva tantos
paquetes de solicitud de conexin que las conexiones autnticas
simplemente no pueden competir.
En casos as el primer paso a realizar es el ponerse en contacto con el
Proveedor del servicio para que intente determinar la fuente del ataque y,
como medida provisional, filtre el ataque en su extremo de la lnea.
El siguiente paso consiste en localizar las fuentes del ataque e informar a
sus administradores, ya que seguramente se estarn usando sus recursos
sin su conocimiento y consentimiento. Si el atacante emplea IP Spoofing, el
rastreo puede ser casi imposible, ya que en muchos casos la fuente del
ataque es, a su vez, vctima y el origen ltimo puede ser prcticamente
imposible de determinar (Looping).
Land Attack
Este ataque consiste en un Bug (error) en la implementacin de la pila
TCP/IP de las plataformas Windows.
El ataque consiste en mandar a algn puerto abierto de un servidor
(generalmente al NetBIOS 113 o 139) un paquete, maliciosamente
construido, con la direccin y puerto origen igual que la direccin y puerto
destino.
Por ejemplo se envan un mensaje desde la direccin 10.0.0.1:139 hacia
ella misma. El resultado obtenido es que luego de cierta cantidad de
mensajes enviadosrecibidos la mquina termina colgndose.
Existen ciertas variantes a este mtodo consistente, por ejemplo, en enviar
el mensaje a una direccin especfica sin especificar el puerto.
Smurf o Broadcast Storm
Este ataque es bastante simple y a su vez devastador. Consiste en
recolectar una serie de direcciones BroadCast para, a continuacin, mandar

P g i n a | 39

una peticin ICMP (simulando un Ping) a cada una de ellas en serie, varias
veces, falsificando la direccin IP de origen (mquina vctima).
Este paquete maliciosamente manipulado, ser repetido en difusin
(Broadcast), y cientos o miles de hosts mandarn una respuesta a la
vctima cuya direccin IP figura en el paquete ICMP.
Grficamente:

Fig. 15: Ataque Smurf

Suponiendo
que
se
considere una red de tipo C la
direccin de BroadCast sera .255; por lo que el "simple" envo de un
paquete se convierte en un efecto multiplicador devastador.
Desgraciadamente la vctima no puede hacer nada para evitarlo. La
solucin est en manos de los administradores de red, los cuales deben
configurar adecuadamente sus Routers para filtrar los paquetes ICMP de
peticin indeseada (Broadcast); o bien configurar sus mquinas para que no
respondan a dichos paquetes. Es decir, que lo que se parchea son las
mquinas/redes que puedan actuar de intermediarias (inocentes) en el
ataque
y
no
la
mquina
vctima.
Tambin se podra evitar el ataque si el Router/Firewall de salida del
atacante estuviera convenientemente configurado para evitar Spoofing.
Esto se hara filtrando todos los paquetes de salida que tuvieran una
direccin de origen que no perteneciera a la red interna.

P g i n a | 40

OOB, Supernuke o Winnuke

Un ataque caracterstico, y quizs el ms comn, de los equipos con
Windows es el Nuke, que hace que los equipos que escuchan por el
puerto NetBIOS sobre TCP/UDP 137 a 139, queden fuera de servicio, o
disminuyan su rendimiento al enviarle paquetes UDP manipulados.
Generalmente se envan fragmentos de paquetes Out Of Band, que la
mquina vctima detecta como invlidos pasando a un estado inestable.
OOB es el trmino normal, pero realmente consiste en configurar el bit
Urgente (URG) en los indicadores del encabezamiento TCP, lo que significa
que este bit es vlido.
Este ataque puede prevenirse instalando los parches adecuados
suministrado por el fabricante del sistema operativo afectado. Un filtro
efectivo debera garantizar la deteccin de una inundacin de bits Urgentes.
Teardrop I y II-Newtear-Bonk-Boink
Al igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan a
fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven
a armar correctamente los fragmentos que se superponen, haciendo que el
sistema se cuelgue. Windows NT 4.0 de Microsoft es especialmente
vulnerable a este ataque. Aunque existen Patchs (parches) que pueden
aplicarse para solucionar el problema, muchas organizaciones no lo hacen,
y las consecuencias pueden ser devastadoras. Los ataques tipo Teardrop
son especialmente peligrosos ya que existen multitud de implementaciones
(algunas de ellas forman paquetes), que explotan esta debilidad. Las ms
conocidas son aquellas con el nombre Newtear, Bonk y Boink.
EMail BombingSpamming
El e-mail Bombing consiste en enviar muchas veces un mensaje
idntico a una misma direccin, saturando as el mail box del
destinatario.
El Spamming, en cambio se refiere a enviar un email a miles de
usuarios, hayan estos solicitados el mensaje o no. Es muy utilizado
por las empresas para publicitar sus productos.
El Spamming est siendo actualmente tratado por las leyes europeas
(principalmente Espaa) como una violacin de los derechos de
privacidad del usuario.

Ataques de Modificacin - Dao

Tampering o Data Diddling
Esta categora se refiere a la modificacin desautorizada de los datos o el
software instalado en el sistema vctima (incluyendo borrado de archivos). Son
particularmente serios cuando el que lo realiza ha obtenido derechos de

P g i n a | 41

Administrador o Supervisor, con la capacidad de disparar cualquier comando y

por ende alterar o borrar cualquier informacin que puede incluso terminar en
la baja total del sistema.
Aun as, si no hubo intenciones de "bajar" el sistema por parte del atacante; el
Administrador posiblemente necesite darlo de baja por horas o das hasta
chequear y tratar de recuperar aquella informacin que ha sido alterada o
borrada.
Como siempre, esto puede ser realizado por Insiders u Outsiders,
generalmente con el propsito de fraude o de dejar fuera de servicio a un
competidor.
Son innumerables los casos de este tipo: empleados bancarios (o externos)
que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes
que modifican calificaciones de exmenes, o contribuyentes que pagan para
que se les anule una deuda impositiva.
Mltiples Web Sites han sido vctimas del cambio en sus pginas por
imgenes (o manifiestos) terroristas o humorsticos, como el ataque de The
Mentor, ya visto, a la NASA; o la reciente modificacin del Web Site del CERT
(mayo de 2001).
Otras veces se reemplazan versiones de software por otros con el mismo
nombre pero que incorporan cdigo malicioso (virus, troyanos, etc.). La
utilizacin de programas troyanos y difusin de virus est dentro de esta
categora, y se profundizar sobre el tema en otra seccin el presente
captulo.
Borrado de Huellas
El borrado de huellas es una de las tareas ms importantes que debe realizar
el intruso despus de ingresar en un sistema, ya que, si se detecta su ingreso,
el administrador buscar como conseguir "tapar el hueco" de seguridad, evitar
ataques futuros e incluso rastrear al atacante.
Las Huellas son todas las tareas que realiz el intruso en el sistema y por lo
general son almacenadas en Logs (archivo que guarda la informacin de lo
que se realiza en el sistema) por el sistema operativo.
Los archivos Logs son una de las principales herramientas (y el principal
enemigo del atacante) con las que cuenta un administrador para conocer los
detalles de las tareas realizadas en el sistema y la deteccin de intrusos.
Ataques Mediante Java Applets
Java es un lenguaje de programacin interpretado, desarrollado inicialmente
por la empresa SUN. Su mayor popularidad la merece por su alto grado de
seguridad. Los ms usados navegadores actuales, implementan Mquinas
Virtuales Java (MVJ) para ser capaces de ejecutar programas (Applets) de
Java.
Estos Applets, al fin y al cabo, no son ms que cdigo ejecutable y como tal,
susceptible de ser manipulado por intrusos. Sin embargo, partiendo del

P g i n a | 42

diseo, Java siempre ha pensado en la seguridad del sistema. Las

restricciones a las que somete a los Applets son de tal envergadura
(imposibilidad de trabajar con archivos a no ser que el usuario especifique lo
contrario, imposibilidad de acceso a zonas de memoria y disco directamente,
firma digital, etc.) que es muy difcil lanzar ataques. Sin embargo, existe un
grupo de expertos especializados en descubrir fallas de seguridad en las
implementaciones de las MVJ.
Ataques Mediante JavaScript y VBScript
JavaScript (de la empresa Netscape) y VBScript (de Microsoft) son dos
lenguajes usados por los diseadores de sitios Web para evitar el uso de
Java. Los programas realizados son interpretados por el navegador.
Aunque los fallos son mucho ms numerosos en versiones antiguas de
JavaScript, actualmente se utilizan para explotar vulnerabilidades especficas
de navegadores y servidores de correo ya que no se realiza ninguna
evaluacin sobre el cdigo.
Ataques Mediante ActiveX
ActiveX es una de las tecnologas ms potentes que ha desarrollado
Microsoft. Mediante ActiveX es posible reutilizar cdigo, descargar cdigo
totalmente funcional de un sitio remoto, etc. Esta tecnologa es considerada la
respuesta de Microsoft a Java.
ActiveX soluciona los problemas de seguridad mediante certificados y firmas
digitales. Una Autoridad Certificadora (AC) expende un certificado que
acompaa a los controles activos y a una firma digital del programador.
Cuando un usuario descarga una pgina con un control, se le preguntar si
confa en la AC que expendi el certificado y/o en el control ActiveX. Si el
usuario acepta el control, ste puede pasar a ejecutarse sin ningn tipo de
restricciones (slo las propias que tenga el usuario en el sistema operativo).
Es decir, la responsabilidad de la seguridad del sistema se deja en manos del
usuario, ya sea este un experto cibernauta consciente de los riesgos que
puede acarrear la accin o un perfecto novato en la materia.
Esta ltima caracterstica es el mayor punto dbil de los controles ActiveX ya
que la mayora de los usuarios aceptan el certificado sin siquiera leerlo,
pudiendo ser esta la fuente de un ataque con un control daino.
La filosofa ActiveX es que las Autoridades de Certificacin se fan de la
palabra del programador del control. Es decir, el programador se compromete
a firmar un documento que asegura que el control no es nocivo.
Evidentemente siempre hay programadores con pocos escrpulos o con
ganas de experimentar.
As, un conocido grupo de hackers alemanes, desarroll un control ActiveX
maligno que modificaba el programa de Gestin Bancaria Personal
Quicken95 de tal manera que si un usuario aceptaba el control, ste
realizaba la tarea que supuestamente tena que hacer y adems modificaba el

P g i n a | 43

Quicken, para que la prxima vez que la vctima se conectara a su banco, se

iniciara automticamente una transferencia a una cuenta del grupo alemn.
Otro control ActiveX muy especialmente "malvolo" es aquel que manipula el
cdigo de ciertos exploradores, para que ste no solicite confirmacin al
usuario a la hora de descargar otro control activo de la Web. Es decir, deja
totalmente descubierto, el sistema de la vctima, a ataques con tecnologa
ActiveX.
La autentificacin de usuarios mediante Certificados y las Autoridades
Certificadoras ser abordada con profundidad en captulos posteriores.
Vulnerabilidades en los Navegadores
Generalmente los navegadores no fallan por fallos intrnsecos, sino que fallan
las tecnologas que implementan, aunque en este punto analizaremos
realmente fallos intrnsecos de los navegadores, como pueden ser los "Buffer
Overflow".
Los "Buffer Overflows" consisten en explotar una debilidad relacionada con los
buffers que la aplicacin usa para almacenar las entradas de usuario. Por
ejemplo, cuando el usuario escribe una direccin en formato URL sta se
guarda en un buffer para luego procesarla. Si no se realizan las oportunas
operaciones de comprobacin, un usuario podra manipular estas direcciones.
Los protocolo usado puede ser HTTP, pero tambin otros menos conocidos,
internos de cada explorador, como el "res:" o el "mk:". Precisamente existen
fallos de seguridad del tipo "Buffer Overflow" en la implementacin de estos
dos protocolos. Adems la reciente aparicin (octubre de 2000) de
vulnerabilidades del tipo Transversal en el servidor Web Internet Information
Server de la empresa Microsoft, explotando fallas en la traduccin de
caracteres Unicode, puso de manifiesto cuan fcil puede resultar explotar una
cadena no validada. Por ejemplo:
www.servidor.com/_vti_bin/..%c0%af../..%c0%af../..
%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
Devuelve el directorio de la unidad c: del servidor deseado.
Para poder lanzar este tipo de ataques hay que tener un buen conocimiento
de lenguaje Assembler y de la estructura interna de la memoria del sistema
operativo utilizado o bien, leer la documentacin de sitios web donde explican
estas
fallas.
Tambin se puede citar el fallo de seguridad descubierto por Cybersnot
Industries relativo a los archivos ".lnk" y ".url" de Windows 95 y NT
respectivamente. Algunas versiones de Microsoft Internet Explorer podan
ser utilizadas para ejecutar la aplicacin que se deseara siempre que existiera
en la computadora de la vctima (por ejemplo el tan conocido y
temido format.com).

P g i n a | 44

Para ms informacin relacionada con los ataques intrnsecos a los

navegadores, se aconsejan las pginas no oficiales de seguridad tanto en
Internet Explorer como en Netscape Communicator

Errores de Diseo, Implementacin y Operacin

Muchos sistemas estn expuestos a "agujeros" de seguridad que son explotados
para acceder a archivos, obtener privilegios o realizar sabotaje. Estas
vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son
descubiertas (cada da) en sistemas operativos, aplicaciones de software,
protocolos de red, browsers de Internet, correo electrnico y todas clase de
servicios informtico disponible.
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros ms
conocidos y controlados que aquellos que existen en sistemas operativos cerrados
(como Windows). La importancia (y ventaja) del cdigo abierto radica en miles de
usuarios analizan dicho cdigo en busca de posibles bugs y ayudan a obtener
soluciones en forma inmediata.
Constantemente encontramos en Internet avisos de nuevos descubrimientos de
problemas de seguridad (y herramientas de Hacking que los explotan), por lo que
hoy tambin se hace indispensable contar con productos que conocen esas
debilidades, puedan diagnosticarlas y actualizar el programa afectado con el
parche adecuado.
Mecanismos para Garantizar la Seguridad
Los mecanismos para garantizar la seguridad no pueden ser ajenos a los sistemas
informticos que deben de ejecutarlos: de nada sirve poner en un papel que las
claves de acceso tendrn 15 caracteres si luego nuestros programas slo admiten
6. Esto que parece tan obvio indica que la gestin de las redes y la seguridad de
las mismas son en cierto modo inseparables.
Las passwords o claves de acceso suelen ser uno de los puntos ms vulnerables
para atacar un sistema. Cuando se teclea una clave correcta el sistema interpreta
que el usuario est autorizado a hacerlo. En general, los usuarios no toman
precauciones a la hora de definir sus claves de acceso, se estn utilizando
algunos programas que generan cadenas que no estn en los diccionarios y que
son fciles de recordar para evitar que alguien descubra un montn de claves de
una organizacin sin ms que probar con todas las palabras que hay en un
diccionario (eso s, electrnico).
El comercio electrnico en Internet llegar a convertirse, a medio plazo, en un
hecho tan habitual como el comercio convencional. Los medios de pago utilizados
sern las tarjetas de dbito y crdito, probablemente en una modalidad
"inteligente".

P g i n a | 45

Pero para que ello ocurra, es necesario que todos los actores que intervienen en
el proceso adquieran la conviccin de la seguridad de los diversos intercambios de
informacin que tienen lugar, ms an si dicha informacin asume la
representacin de valores en la esfera de la circulacin de las mercancas y el
dinero.
Sin embargo, existe una segunda perspectiva para aquilatar debidamente el tema
de la seguridad de los datos: la privacidad de las comunicaciones electrnicas es
una extensin natural de los derechos individuales de libertad de expresin,
intimidad, integridad, seguridad, propiedad intelectual y proteccin de la honra de
las personas, reconocidos tanto en la Declaracin Universal de los Derechos del
Hombre como en las constituciones de la inmensa mayora de los pases del orbe.

Fig. 16: Diagrama de Ataques

Como fuere, el hecho es que desde el punto de vista tcnico, la investigacin y

desarrollo, particularmente en las reas de encriptacin y cifrado de mensajes, ha
provedo soluciones consistentes, sin perjuicio de que en materia de seguridad la
prudencia aconseja considerar todo avance como un paso esencialmente
transitorio.
Objetivos para proteger la seguridad
En trminos genricos, el objetivo de proteger la informacin apunta a
obtener:
Confidencialidad, esto es, que los mensajes transferidos o recibidos, sean
secretos y nadie ms que su legtimo destinatario tengan acceso a ellos.
Disponibilidad, es decir, que los recursos estn disponibles cuando se
necesiten, y que no se usen indebidamente o sin autorizacin de su autor.
Integridad y confiabilidad, que consiste en la certeza que el mensaje
transferido no ha sido modificado en ninguna parte del circuito o proceso de
transferencia.
Niveles de los mecanismos de seguridad
Por definicin, el tema de la seguridad de los datos distingue tres niveles:
A. Seguridad a nivel de los sistemas.
B. Seguridad en recursos y servicios.
C. Seguridad de la informacin.

P g i n a | 46

A Seguridad a Nivel de los Sistemas

En el nivel de los sistemas, el administrador tiene la opcin de arbitrar las
siguientes medidas de seguridad:
Control de password, o claves secretas de usuarios. Esto pasa por
identificar passwords triviales o fciles de detectar; manejar un sistema de
passwords con tiempo de expiracin; y detectar cuentas sin passwords, que
generen alarmas ante fallas reiteradas de acceso.
Control de usuarios, es decir, revisin peridica de las caractersticas del
usuario en cuanto a los privilegios otorgados, al acceso a informacin que
disponen, horario de conexin asignado, etc.
Control de acceso, esto es, revisar peridicamente cmo, el cundo y
desde dnde se puede acceder al sistema.
Generacin de reportes, que den cuenta de anomalas o problemas
encontrados en cualquiera de los controles indicados anteriormente.

B Seguridad a Nivel de Recursos y Servicios

Las medidas de seguridad orientadas a proteger la red misma y los recursos y
servicios involucrados tales como ancho de banda, tiempo de respuesta, acceso a
servidores de la red, etc., consisten en la instalacin de mecanismos o dispositivos
denominados firewalls o cortafuegos, cuya funcin principal es mantener un
control del acceso a la red y los recursos.
Existen tres tipos de firewalls:

Fig. 17: Esquema Bsico de un Firewall.

Esquema bsico de un firewall

1. Filtro de Paquetes:, que filtra sobre la base de la informacin contenida en
un paquete, como por ejemplo port del servicio (FTP, SMTP, etc.), tipo de
protocolo (TCP, UDP, ICMP) o direcciones de origen y/o destino del

P g i n a | 47

paquete. Se puede realizar el filtro en la entrada, salida o en ambas partes.

Se configura de acuerdo a un host, un conjunto de host o redes que pueden
o no hacer uso de recursos o servicios en la red, tambin se puede
restringir el conjunto de Routers con los que se puede intercambiar
informacin de ruteo. Normalmente este tipo de firewall se implementa en el
Router que hace de puerta de entrada a Internet. La filosofa de los firewalls
de filtro de paquete es "todo lo que expresamente no sea permitido ser
prohibido", lo que lo hace ser muy restrictivo.
2. Gateway a Nivel de Circuito: que controla el acceso a la red segn quin lo
est solicitando y el servicio de red que se provee, y retransmite conexiones
TCP. El origen conecta un port TCP de la Gateway, el cual conecta a su vez
al destino solicitado, al otro lado de la Gateway. El problema de este firewall
es que slo traspasa bytes desde el origen al destino y viceversa, por lo
cual el usuario inadvertidamente puede subvertir el sistema de seguridad
corriendo servicios de red en port no-standard.
3. Gateway a nivel de aplicacin: que es un mecanismo especfico para una
aplicacin de red. Para cada servicio entre la red interna y externa se debe
desarrollar una aplicacin por lo que se restringe bastante el uso de
servicios especiales o nuevos.
C) Seguridad de la Informacin:
El nivel de seguridad de la informacin es probablemente el ms importante, toda
vez que es aquel en que mayor participacin le cabe al usuario, y al igual que en
los casos anteriores, distingue varias clases y niveles.
A nivel de protocolos, el protocolo IP provee dos header o encabezamientos de
datagramas, destinados a la seguridad: el AH ( Authentication Header) y el ESP
(Encapsulating Security Payload), cuyos detalles pueden encontrarse en el RFC
1825, Security Architecture for IP.
A nivel de transporte, Netscape propuso el estndar SSL (Secure Socket Layer),
que genera un "tnel" virtual entre el cliente y el servidor, a travs del cual circulan
los datos, encriptados con el sistema DES, en condiciones de seguridad.

2.1.6 DEBILIDADES DE LOS PROTOCOLOS TCP/IP

Durante la dcada de los 60, dentro del marco de la guerra fra, la Agencia de
Proyectos de Investigacin Avanzada del Departamento de Defensa de los
Estados Unidos (DARPA) se plante la posibilidad de que un ataque afectara a su
red de comunicaciones y financi equipos de investigacin en distintas

P g i n a | 48

universidades con el objetivo de desarrollar una red de ordenadores con una

administracin totalmente distribuida.
Como resultado de la aplicacin de sus estudios en redes de conmutacin de
paquetes, se cre la denominada red ARPANET, de carcter experimental y
altamente tolerable a fallos. Ms adelante, a mediados de los 70, la agencia
empez a investigar en la interconexin de distintas redes, y en 1974 estableci
las bases de desarrollo de la familia de protocolos que se utilizan en las redes que
conocemos hoy en da como redes TCP/IP.

Fig. 18: Protocolo

TCP/IP.

La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:

1) Capa de red. Normalmente est formada por una red LAN* o WAN** (de
conexin punto a punto) homognea. Todos los equipos conectados a
internet implementan esta capa. Todo lo que se encuentra por debajo de la IP
es la capa de red fsica o, simplemente, capa de red.
2) Capa de internet (o capa de internetworking). Da unidad a todos los
miembros de la red y, por lo tanto, es la capa que permite que todos se
puedan interconectar, independientemente de si se conectan mediante lnea
telefnica o mediante una red local Ethernet. La direccin y el
encaminamiento son sus principales funciones. Todos los equipos conecta-dos
a internet implementan esta capa.
3) Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se
lleva a cabo principalmente dentro esta capa, que solo es implementada por
equipos usuarios de internet o por terminales de internet. Los dispositivos de
encaminamiento (encaminadores) no la necesitan.
4) Capa de aplicacin. Engloba todo lo que hay por encima de la capa de
transporte. Es la capa en la que encontramos las aplicaciones que utilizan
internet: clientes y servidores de web, correo electrnico, FTP, etc. Solo es
implementada por los equipos usuarios de internet o por terminales de
internet. Los dispositivos de encaminamiento no la utilizan.

P g i n a | 49

Como ya hemos comentado, solo los equipos terminales implementan todas las
capas. Los equipos intermedios nicamente implementan el nivel de red y el nivel
IP:

Fig. 19: Situacin de las Capas Internet

En cada una de las capas expuestas encontramos protocolos distintos. La

situacin relativa de cada protocolo en las diferentes capas se muestra en la
siguiente figura:

Fig. 20: Protocolos y Capas de Internet

Como ya se ha adelantado, en cada capa del modelo TCP/IP pueden existir

distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a

P g i n a | 50

cada una de ellas. Cada da se descubren nuevas deficiencias, la mayora de las

cuales se hacen pblicas por organismos internacionales, tratando de
documentar, si es posible, la forma de solucionar y contrarrestar los problemas.
A continuacin presentamos algunas de las vulnerabilidades ms comunes de
las distintas capas que veremos con ms detalle a lo largo de este mdulo:
1) Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de red
estn estrechamente ligadas al medio sobre el que se realiza la conexin. Esta
capa presenta problemas de control de acceso y de confidencialidad.
Son ejemplos de vulnerabilidades a este nivel los ataques a las lneas punto a
punto: desvo de los cables de conexin hacia otros sistemas, interceptacin
intrusiva de las comunicaciones (pinchar la lnea), escuchas no intrusivas en
medios de transmisin sin cables, etc.
2) Vulnerabilidades de la capa internet.
En esta capa se puede realizar
cualquier ataque que afecte un datagrama IP. Se incluyen como ataques contra
esta capa las tcnicas de Sniffing, la suplantacin de mensajes, la modificacin
de datos, los retrasos de mensajes y la denegacin de mensajes.
Cualquier atacante puede suplantar un paquete si indica que proviene de otro
sistema. La suplantacin de un mensaje se puede realizar, por ejemplo, dando una
respuesta a otro mensaje antes de que lo haga el suplantado.
En esta capa, la autenticacin de los paquetes se realiza a nivel de mquina (por
direccin IP) y no a nivel de usuario. Si un sistema suministra una direccin de
mquina errnea el receptor no detectar la suplantacin. Para conseguir su
objetivo, este tipo de ataques suele utilizar otras tcnicas, como la prediccin de
nmeros de secuencia TCP, el envenenamiento de tablas cache, etc.
Por otro lado, los paquetes se pueden manipular si se modifican sus datos y se
reconstruyen de forma adecuada los controles de las cabeceras. Si esto es
posible, el receptor ser incapaz de detectar el cambio.
3) Vulnerabilidades de la capa de transporte. La capa de transporte transmite
informacin TCP o UDP sobre datagramas IP. En esta capa podamos encontrar
problemas de autenticacin, de integridad y de confidencialidad. Algunos de los
ataques m as conocidos en esta capa son las denegaciones de servicio debidas a
protocolos de transporte.
En cuanto a los mecanismos de seguridad incorporados en el diseo del protocolo
de TCP (como las negociaciones involucradas en el establecimiento de una sesin
TCP), existe una serie de ataques que aprovechan ciertas deficiencias en su

P g i n a | 51

diseo. Una de las vulnerabilidades ms graves contra estos mecanismos de

control puede comportar la posibilidad de interceptacin de sesiones TCP
establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines
deshonestos.
Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo
de inter-cambio de TCP respecto a la autenticacin de los equipos involucrados en
una sesin. As, si un usuario hostil puede observar los intercambios de
informacin utilizados durante el inicio de la sesin y es capaz de interceptar con
xito una conexin en marcha con todos los parmetros de autenticacin
configurados adecuadamente, podr a secuestrar la sesin.
4) Vulnerabilidades de la capa de aplicacin. Como en el resto de niveles, la
capa de aplicacin presenta varias deficiencias de seguridad asociadas a sus
protocolos. Debido al gran numero de protocolos definidos en esta capa, la
cantidad de deficiencias presentes tambin ser superior al resto de capas.
Algunos ejemplos de deficiencias de seguridad a este nivel podran ser los
siguientes:
Servicio de nombres de dominio. Normalmente, cuando un sistema
solicita conexin a un servicio, pide la direccin IP de un nombre de dominio
y enva un paquete UDP a un servidor DNS; entonces, este responde con
la direccin IP del dominio so-licitado o una referencia que apunta a otro
DNS que pueda suministrar la direccin IP solicitada.
Un servidor DNS debe entregar la direccin IP correcta pero, adems
tambin puede entregar un nombre de dominio dada una direccin IP u
otro tipo de informacin.
En el fondo, un servidor de DNS es una base de datos accesible desde
internet. Por lo tanto, un atacante puede modificar la informacin que
suministra esta base de datos o acceder a informacin sensible
almacenada en la base de datos por error, pudiendo obtener informacin
relativa a la topologa de la red de una organizacin concreta (por ejemplo,
la lista de los sistemas que tiene la organizacin.
Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la
solicitud del identificador de usuario y su contrasea que se transmiten en
claro por la red. As, al igual que el resto de servicios de internet que no
protegen los datos mediante mecanismos de proteccin, el protocolo de
aplicacin Telnet hace posible la captura de aplicacin sensible mediante el
uso de tcnicas de Sniffing.

P g i n a | 52

Actualmente existen otros protocolos a nivel de aplicacin (como, por

ejemplo, SSH) para acceder a un servicio equivalente a Telnet pero de
manera segura (mediante autenticacin fuerte). Aun as, el hecho de cifrar
el identificador del usuario y la contrasea no impide que un atacante que
las conozca acceda al servicio.
File Transfer Protocol. Al igual que Telnet, FTP es un protocolo que enva
la informacin en claro (tanto por el canal de datos como por el canal de
comandos). As pues, al envirar el identificador de usuario y la contrasea
en claro por una red potencialmente hostil, presenta las mismas
deficiencias de seguridad que veamos anteriormente con el protocolo
Telnet.
Hypertext Transfer Protocol. El protocolo HTTP es el responsable del
servicio World Wide Web. Una de sus vulnerabilidades ms conocidas
procede de la posibilidad de entrega de informacin por parte de los
usuarios del servicio. Esta entrega de informacin desde el cliente de HTTP
es posible mediante la ejecucin remota de cdigo en la parte del servidor.
La ejecucin de este cdigo por parte del servidor suele utilizarse para dar
el formato adecuado tanto a la informacin entregada por el usuario como a
los resultados de-vueltos (para que el navegador del cliente la pueda
visualizar correctamente). Si este cdigo que se ejecuta presenta
deficiencias de programacin, la seguridad del equipo en el que est
funcionando el servidor se podr poner en peligro.
Aparte de pensar en mecanismos de proteccin de informacin para
solucionar el problema, FTP permite la conexin annima a una zona
restringida en la cual solo se permite la descarga de archivos. De este
modo, se restringen considerablemente los posibles problemas de
seguridad relacionados con la captura de contraseas, sin limitar una de las
funcionalidades ms interesantes del servicio.

P g i n a | 53

UNIDAD 3.- FIREWALLS COMO HERRAMIENTAS DE

SEGURIDAD
3.1 FIREWALL
El firewall, en castellano muro de fuego, es un sistema que es utilizado para
proteger una computadora en particular o bien una red. Normalmente su objetivo
es evitar el ingreso de agentes externos, no autorizados o informacin.
Existen distintos tipos de firewalls, que pueden ser clasificados de diversas
maneras en:
Firewalls en Hardware Software:
1. Hardware: este tipo de sistema es colocado sobre los dispositivos usados
para ingresar a Internet, los llamados Routers. Frecuentemente la
instalacin ya se encuentra realizada cuando compramos el Router. En
caso contrario es muy recomendable realizar la instalacin. La colocacin
del firewall en este caso es muy compleja, es hecha gracias a un navegador
que tiene acceso a Internet.
2. Software: pueden ser distinguidos dos tipos de estos firewalls, el primero
es el gratuito: tambin conocido bajo el nombre de software firewall, que
puede ser usado con total libertad y de manera totalmente gratuita como su
nombre indica. Su objetivo es rastrear y no permitir acceso a ciertos datos a
las computadoras personales. Hoy en da la mayora de las PC ya tienen el
firewall
colocado.
Este sistema es caracterizado por su fcil instalacin, al que pueden ser
sumados otros sistemas para asegurar la computadora, cuando deja de
funcionar, es la misma PC quien se encarga de avisarlo, no es requerido
un sistema de Hardware para colocarlo y generalmente son utilizado en una
sola computadora.
Por otro lado se encuentran los comerciales. Estos sistemas de software
poseen el mismo funcionamiento que el anterior. Adems se les suma

P g i n a | 54

mayores niveles de control y proteccin. Muchas veces son vendidos con

otros sistemas de seguridad como antivirus, para que resulten an ms
eficientes
a
la
hora
de
proteger
la
computadora.

Puede ser realizada otra clasificacin segn su nivel de aplicacin o de red:

1. Aplicacin: normalmente estos son utilizados con los servidores llamados
proxy. En este caso no es posible el pasaje de datos de manera directa
entre redes, ya que hay un monitoreo de los datos. Estos sistemas son
utilizados para poder traducir ciertas direcciones de la red, pero siempre
escondiendo el lugar donde se origina el trfico.
2. Red: en este caso las decisiones son tomadas dependiendo de los puertos
de los datos, la direccin de destino y de origen de la informacin. Para
ejemplificarlo esta clase de firewalls, podra ser un Router, aunque el mismo
resulte un tanto obsoleto ya, porque existen firewalls que resultan ms
eficaces, sobre todo cuando es necesario tomar una decisin y tambin en
cuento a los datos. Estos resultan ser muy veloces y claros para aquella
persona que los utilicen.

3.2 TIPOS DE FIREWALL

3.2.1 FILTRADO DE PAQUETES
Se utilizan Routers con filtros y reglas basadas en polticas de control de acceso.
El Router es el encargado de filtrar los paquetes (un Choke) basados en
cualquiera de los siguientes criterios:
1. Protocolos utilizados.
2. Direccin IP de origen y de destino.
3. Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del trfico. Restringiendo
las comunicaciones entre dos computadoras (mediante las direcciones IP) se
permite determinar entre cuales mquinas la comunicacin est permitida.
El filtrado de paquetes mediante puertos y protocolos permite establecer que
servicios estarn disponibles al usuario y por cuales puertos. Se puede permitir
navegar en la WWW (puerto 80 abierto) pero no acceder a la transferencia de
archivos va FTP (puerto 21 cerrado).

P g i n a | 55

Debido a su funcionamiento y estructura basada en el filtrado de direcciones y

puertos este tipo de Firewalls trabajan en los niveles de Transporte y de Red del
Modelo OSI y estn conectados a ambos permetros (interior y exterior) de la red.
Tienen la ventaja de ser econmicos, tienen un alto nivel de desempeo y son
transparentes para los usuarios conectados a la red. Sin embargo presenta
debilidades como:
1. No protege las capas superiores a nivel OSI.
2. Las necesidades aplicativas son difciles de traducir como filtros de
protocolos y puertos.
3. No son capaces de esconder la topologa de redes privadas, por lo que
exponen la red al mundo exterior.
4. Sus capacidades de auditora suelen ser limitadas, al igual que su
capacidad de registro de actividades.
5. No soportan polticas de seguridad complejas como autentificacin de
usuarios y control de accesos con horarios prefijados.

Fig. 21: Firewall de Filtrado

de Paquetes

3.2.2 PROXY Y GATEWAYS DE

APLICACIONES
Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores
crearon software de aplicacin encargados de filtrar las conexiones. Estas
aplicaciones son conocidas como Servidores Proxy y la mquina donde se ejecuta
recibe el nombre de Gateway de Aplicacin o Bastion Host.
El Proxy, instalado sobre el Nodo Bastin, acta de intermediario entre el cliente y
el servidor real de la aplicacin, siendo transparente a ambas partes.
Cuando un usuario desea un servicio, lo hace a travs del Proxy. Este, realiza el
pedido al servidor real devuelve los resultados al cliente. Su funcin fue la de
analizar el trfico de red en busca de contenido que viole la seguridad de la
misma.

P g i n a | 56

Grficamente:

Fig. 22: Proxy y Gateway de

Aplicaciones

3.2.3 DUAL-HOMED HOST

Son dispositivos que estn conectados a ambos permetros (interior y exterior) y
no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes),
por lo que se dice que actan con el "IP-Forwarding desactivado".
Un usuario interior que desee hacer uso de un servicio exterior, deber conectarse
primero al Firewall, donde el Proxy atender su peticin, y en funcin de la
configuracin impuesta en dicho Firewall, se conectar al servicio exterior
solicitado y har de puente entre este y el usuario interior.
Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el
Firewall y el otro desde este hasta la mquina que albergue el servicio exterior.

Fig. 23: Dual-Homed Host

P g i n a | 57

3.2.4 SCREENED HOST

En este caso se combina un Router con un host bastin y el principal nivel de
seguridad proviene del filtrado de paquetes. En el bastin, el nico sistema
accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se
filtran los paquetes considerados peligrosos y slo se permiten un nmero
reducido de servicios.

Fig. 24: Screened Host

3.2.5 SCREENED SUBNET

En este diseo se intenta aislar la mquina ms atacada y vulnerable del Firewall,
el Nodo Bastin. Para ello se establece una Zona Desmilitarizada (DMZ) de forma
tal que sin un intruso accede a esta mquina no consiga el acceso total a la
subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router
exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos: hacia
la red interna y hacia la red externa. El Router interior hace lo mismo con la red
interna y la DMZ (zona entre el Router externo y el interno).
Es posible definir varios niveles de DMZ agregando ms Routers, pero destacando
que las reglas aplicadas a cada uno deben ser distintas ya que en caso contrario
los niveles se simplificaran a uno solo.

P g i n a | 58

Fig. 25: Screened Subnet

Como puede apreciarse la Zona Desmilitarizada asla fsicamente los servicios

internos, separndolos de los servicios pblicos. Adems, n o existe una conexin
directa entre la red interna y la externa.
Los sistemas Dual-Homed Host y Screened pueden ser complicados de configurar
y comprobar, lo que puede dar lugar, paradjicamente, a importantes agujeros de
seguridad en toda la red. En cambio, si se encuentran bien configurados y
administrados pueden brindar un alto grado de proteccin y ciertas ventajas:
1. Ocultamiento de la informacin: los sistemas externos no deben conocer el
nombre de los sistemas internos. El Gateway de aplicaciones es el nico
autorizado a conectarse con el exterior y el encargado de bloquear la
informacin no solicitada o sospechosa.
2. Registro de actividades y autenticacin robusta: El Gateway requiere de
autenticacin cuando se realiza un pedido de datos externos. El registro de
actividades se realiza en base a estas solicitudes.
3. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes
por parte del Router sern menos compleja dado a que l slo debe
atender las solicitudes del Gateway.
As mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario
ya que generalmente este debe instalar algn tipo de aplicacin especializada
para lograr la comunicacin. Se suma a esto que generalmente son ms lentos
porque deben revisar todo el trfico de la red.

P g i n a | 59

3.2.6 INSPECCION DE PAQUETES

Este tipo de Firewalls se basa en el principio de que cada paquete que circula por
la red es inspeccionado, as como tambin su procedencia y destino. Se aplican
desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados
cuando se requiere seguridad sensible al contexto y en aplicaciones muy
complejas.
3.2.7 FIREWALLS PERSONALES
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean
conectarse a una red externa insegura y mantener su computadora a salvo de
ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus
hasta la prdida de toda su informacin almacenada.

Fig. 26: Firewall Personal

P g i n a | 60

3.3 RESTRICCIONES EN EL FIREWALL

La parte ms importante de las tareas que realizan los Firewalls, la de permitir o
denegar determinados servicios, se hacen en funcin de los distintos usuarios y su
ubicacin:
1. Usuarios internos con permiso de salida para servicios
restringidos: permite especificar una serie de redes y direcciones a los que
denomina Trusted (validados) . Estos usuarios, cuando provengan del
interior, van a poder acceder a determinados servicios externos que se han
definido.
2. Usuarios externos con permiso de entrada desde el exterior: este es el
caso ms sensible a la hora de vigilarse. Suele tratarse de usuarios
externos que por algn motivo deben acceder para consultar servicios de la
red interna.
Tambin es habitual utilizar estos accesos por parte de terceros para prestar
servicios al permetro interior de la red. Sera conveniente que estas cuentas sean
activadas y desactivadas bajo demanda y nicamente el tiempo que sean
necesarias.
3.4 BENEFICIOS DE UN FIREWALL
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las
computadoras de la red estaran expuestos a ataques desde el exterior. Esto
significa que la seguridad de toda la red, estara dependiendo de qu tan fcil
fuera violar la seguridad local de cada mquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar
alarmas de intentos de ataque, el administrador ser el responsable de la revisin
de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi
imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis el
nmero disponible de direcciones IP, esto ha hecho que las intranets adopten
direcciones sin clase, las cuales salen a Internet por medio de un "traductor de
direcciones", el cual puede alojarse en el Firewall.
Los Firewalls tambin son importantes desde el punto de vista de llevar las
estadsticas del ancho de banda "consumido" por el trfico de la red, y que
procesos han influido ms en ese trfico, de esta manera el administrador de la
red puede restringir el uso de estos procesos y economizar o aprovechar mejor el
ancho de banda disponible.

P g i n a | 61

Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir
partes de un sitio que tienen distintas necesidades de seguridad o para albergar
los servicios WWW y FTP brindados.
3.5 LIMITACIONES DE UN FIREWALL
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no
se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls
no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos
por su diseador, por ende si un paquete de informacin no se encuentra dentro
de estos parmetros como una amenaza de peligro simplemente lo deja pasar.
Ms peligroso an es que ese intruso deje Back Doors, abriendo un hueco
diferente y borre las pruebas o indicios del ataque original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un
intruso logra entrar a la organizacin y descubrir passwords o los huecos del
Firewall y difunde esta informacin, el Firewall no se dar cuenta.
El Firewall tampoco provee de herramientas contra la filtracin de software o
archivos infectados con virus, aunque es posible dotar a la mquina, donde se
aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, l NO protege de la gente que est dentro
de la red interna. El Firewall trabaja mejor si se complementa con una defensa
interna. Como moraleja: "cuanto mayor sea el trfico de entrada y salida permitido
por el Firewall, menor ser la resistencia contra los paquetes externos. El nico
Firewall seguro (100%) es aquel que se mantiene apagado"

P g i n a | 62

ENLACES BIBLIOGRFICOS

http://office.microsoft.com/es-mx/word-help/firmas-digitales-ycertificados-HA010354667.aspx

http://www.galileo.it/crypto/teletrabajo/la_seguridad.html
http://www.isa.uniovi.es/docencia/redes/Apuntes/tema8.pdf
http://ocw.uoc.edu/computer-science-technology-and-multimedia/advancedaspects-of-network-security/advanced-aspects-of-networksecurity/P06_M2107_01769.pdf
http://www.tiposde.org/informatica/636-tipos-de-firewall/#ixzz2zf6pf9bQ
http://www.segu-info.com.ar/firewall/firewall.htm