Acreditador
MSC. ING, CARLOS ALBERTO AMAYA TARAZONA
Medelln
Julio de 2013
INTRODUCCIN
Se plantea en este artculo el concepto de Educacin a Distancia as como sus
ventajas dentro de los procesos de enseanza-aprendizaje. Los cambios
producidos en la transmisin de la informacin y el nacimiento de la Telemtica
que se define como mtodos, tcnicas y herramientas de la Informtica aplicados.
Se presentan algunos conceptos y tcnicas relacionadas con la telemtica. Como
modalidades de comunicacin: la comunicacin directa y estructurada por
computadora, el correo electrnico, la teleconferencia informtica as como el
acceso a bases de datos.
INDICE DE CONTENIDO
PRIMERA UNIDAD: INTRODUCCIN A LAS REDES DE DATOS
10
Leccin 4: Firewalls
13
22
30
31
36
41
48
51
53
54
56
61
72
80
84
87
88
91
97
102
109
113
114
119
123
128
132
138
139
144
147
153
157
LISTADO DE TABLAS
Tabla 1. Tabla comparativa entre los diversos estndares propuestos por la IEEE, ac se
puede comparar, velocidad, frecuencia y, radio de cobertura.
31
Tabla 2. Mtodos de autenticacin de cada estndar.
69
71
103
104
105
107
116
117
120
10
Figura 3: Visin general sobre una red domestica con un firewall y sin un firewall.
13
16
17
22
23
23
24
25
26
27
28
29
34
37
38
39
40
42
43
44
45
46
47
49
50
56
56
57
57
58
61
62
63
65
66
67
67
68
69
73
Figura 43: Ataques a las redes Wifi desde un auto, a esto se le denomina WarDriving. 74
Figura 44: Ataque de Rouge Acces.
76
77
78
79
94
105
111
114
122
126
132
133
134
135
137
140
140
141
142
142
145
148
153
156
157
159
Nombre de la Unidad
Introduccin
UNIDAD 1
Introduccin a las redes de datos
Las redes de datos actualmente juegan un papel
importante en el desarrollo tecnolgico del mundo; quizs
hay que observar la magnitud de contribucin en cada
una de las empresas y hogares.
Las redes de datos estn compuestas por un sin nmero
de piezas fsicas y lgicas, las cuales ayudarn al anlisis
de los factores de seguridad que emergen en ellas. Hay
que recordar que inicialmente las redes de datos se
integraban solo a redes cableadas, con el paso del tiempo
todo avanz, desde sus componentes hardware hasta los
lgicos, todo ello hizo que la humanidad enfocara y
centralizar toda su informacin, haciendo uso de estos
canales de comunicacin, no obstante a este factor
tecnolgico, consigo llego la inseguridad en estos canales
de comunicacin, llevando la informacin transmitida en
ellos a un punto inestable y peligroso.
Al pasar el tiempo, las redes de datos tomaron cartas en
el asunto e iniciaron labores referentes al tema de
seguridad de la informacin, encontrando importantes
soluciones y dando pasos agigantados en estos procesos,
pero sin saber que los delincuentes informticos
Hackers siempre iran un paso delante de ellos, de esta
forma la seguridad en las redes de una forma u otra
siempre va a ser vulnerada, en lo nico que afecta la
seguridad de las redes a los delincuentes informticos es
en el tiempo del ataque, solo tardarn unos minutos o
quizs unas horas ms en vulnerar cualquier sistema de
informacin.
Es importante contextualizar todo el entorno de redes, y
tener en cuenta cada proceso que se lleva a cabo con
ellas, para as lograr entender y elaborar normas
enfocadas al bien de la seguridad de las redes de datos.
Justificacin
Intencionalidades
Formativas
Captulo 1
Leccin 1
Leccin 2
Leccin 3
Leccin 4
Leccin 5
Captulo 2
Leccin 6
Leccin 7
Leccin 8
Leccin 9
Leccin 10
Captulo 3
Leccin 11
Leccin 12
Leccin 13
Leccin 14
Leccin 15
Criterios de redes
Modelo OSI
Firewalls
Topologas y modelos de redes
Conceptos bsicos de las redes inalmbricas
Inicios de las redes WLAN
Arquitectura lgica de las WLAN
Mtodos de acceso
Rangos Inalmbricos
Servicios
Mecnicas bsicas de seguridad
Pilares de la seguridad y mecanismos
Estndares WLAN
Autenticacin y privacidad
Ataques y vulnerabilidades
Procesos de seguridad
Mensaje
Seal
Codificador
Origen del
mensaje
Transmisor
Seal
Medio de
transmisi
EL CANAL
Receptor
Mensaje
Decodificador
Destino del
mensaje
Origen
Codificado
Medio: Camino fsico por el cual viaja el mensaje del emisor hacia el
Accesos no autorizados
Virus
10
11
12
Leccin 4: Firewalls
Quizs uno de los elementos ms publicitados a la hora de establecer seguridad,
sean estos elementos. Aunque deben ser uno de los sistemas a los que ms se
debe prestar atencin, distan mucho de ser la solucin final a los problemas de
seguridad. De hecho, los Firewalls no tienen nada que hacer contra tcnicas
como la Ingeniera Social y el ataque de Insiders [3].
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que
ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
Figura 3: Visin general sobre una red domestica con un firewall y sin un
firewall. Fuente http://www.novajo.ca/firewall.html
13
15
Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el
Firewall y el otro desde este hasta la mquina que albergue el servicio exterior.
16
hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la
red interna y la DMZ (zona entre el Router externo y el interno).
18
Estrategias de seguridad
Restricciones en el Firewall
La parte ms importante de las tareas que realizan los Firewalls, la de permitir o
denegar determinados servicios, se hacen en funcin de los distintos usuarios y
su ubicacin:
19
Beneficios de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las
computadoras de la red estaran expuestos a ataques desde el exterior. Esto
significa que la seguridad de toda la red, estara dependiendo de que tan fcil
fuera violar la seguridad local de cada maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar
alarmas de intentos de ataque, el administrador ser el responsable de la
revisin de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi
imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis
el nmero disponible de direcciones IP, esto ha hecho que las intranets adopten
direcciones sin clase, las cuales salen a Internet por medio de un "traductor de
direcciones", el cual puede alojarse en el Firewall.
Los Firewalls tambin son importantes desde el punto de vista de llevar las
estadsticas del ancho de banda "consumido" por el trafico de la red, y que
procesos han influido ms en ese trafico, de esta manera el administrador de la
red puede restringir el uso de estos procesos y economizar o aprovechar mejor el
ancho de banda disponible.
20
Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir
partes de un sitio que tienen distintas necesidades de seguridad o para albergar
los servicios WWW y FTP brindados.
Limitaciones de un Firewall
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no
se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls
no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos
por su diseador, por ende si un paquete de informacin no se encuentra dentro
de estos parmetros como una amenaza de peligro simplemente lo deja pasar .
Ms peligroso an es que ese intruso deje Back Doors, abriendo un hueco
diferente y borre las pruebas o indicios del ataque original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un
intruso logra entrar a la organizacin y descubrir passwords o los huecos del
Firewall y difunde esta informacin, el Firewall no se dar cuenta. El Firewall
tampoco provee de herramientas contra la filtracin de software o archivos
infectados con virus, aunque es posible dotar a la mquina, donde se aloja el
Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, l NO
protege de la gente que est dentro de la red interna. El Firewall trabaja mejor si
se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el
trfico de entrada y salida permitido por el Firewall, menor ser la resistencia
contra los paquetes externos. El nico Firewall seguro (100%) es aquel que se
mantiene apagado".
Profundizacin Leccin 4: El estudiante debe profundizar en cada leccin
que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje
optimo.
Thinking About Firewalls Marcus J. Ranum
Link:
http://www.ie.itcr.ac.cr/marin/telematica/trd/01_modelo_OSI_v2.pdf
21
Topologa en Bus
Es aquella en la cual cada computadora que quiera conectarse a la red se une a
un cable, con la cual todas las computadoras comparten el mismo cable para
efectuar su trfico, se trata de la arquitectura Cliente-Servidor o Peer to Peer.
Topologa en Estrella
Es aquella configuracin en la que cada computadora tiene su propio cable
conectado a un HUB o SWITCH, a travs del cual se intercambian los mensajes
que van desde un cliente a un servidor.
Esta topologa es la utilizada actualmente por las nuevas redes de computadoras
ya que ofrece el mejor desempeo que la topologa de Bus.
Topologa en rbol
La topologa en rbol se denomina tambin topologa en estrella distribuida. Al
igual que suceda en la topologa en estrella, los dispositivos de la red se conectan
a un punto que es una caja de conexiones, llamado HUB.
Estos suelen soportar entre 4 y 32 equipos. Los hubs se conectan a una red en
bus, formando as un rbol o pirmide de hubs y dispositivos. Esta topologa rene
muchas de las ventajas de los sistemas en bus y en estrella.
24
25
26
Redes WAN (Wide Area Network): Dos de los componentes importantes de cualquier
red son la red de telfono y la de datos, son enlaces para grandes distancias que amplan
la LAN hasta convertirla en una red de rea extensa (WAN). Casi todos los operadores de
redes nacionales ofrecen servicios para interconectar redes de computadoras, que van
desde los enlaces de datos sencillos y a baja velocidad que funcionan basndose en la
red pblica de telefona hasta los complejos servicios de alta velocidad adecuados para
la interconexin de las LAN. Estos servicios de datos a alta velocidad suelen denominarse
conexiones de banda ancha.
27
28
29
30
31
Alta disponibilidad
Escalabilidad
Gestionabilidad
Arquitectura abierta
WIFI
En lo que se refiere al Wi-Fi es un conjunto de estndares para redes inalmbricas
basados en las especificaciones IEEE 802.11. Creado para ser utilizado en
entornos sin cables, el uso ms frecuente en la actualidad es el acceso a Internet,
aunque su empleo en el mbito audiovisual est creciendo rpidamente [6].
Wi-Fi es una marca de la Wi-Fi Alliance, la organizacin comercial que adopta,
prueba y certifica que los equipos cumplen los estndares 802.11.
El problema principal que pretende resolver la normalizacin es la compatibilidad.
No obstante, existen distintos estndares que definen diferentes tipos de redes
inalmbricas. Esta variedad produce confusin en el mercado y descoordinacin
en los fabricantes. Para resolver este inconveniente, los principales vendedores de
soluciones inalmbricas (3com, Airones, Intersil, Lucent Technologies, Nokia y
Symbol Technologies) crearon en 1999 una asociacin conocida como WECA
(Wireless Ethernet Compability Aliance, Alianza de Compatibilidad Ethernet
Inalmbrica). El objetivo de sta fue crear una marca que permitiese fomentar ms
fcilmente la tecnologa inalmbrica y asegurase la compatibilidad de equipos.
32
33
35
IBSS (Independent Basic Service Set): El modo IBSS, tambin conocido como
modo ad-hoc, se ha diseado para facilitar las conexiones punto a punto. En
realidad existen dos tipos distintos de modos ad-hoc.Uno es el modo IBSS,
tambin conocido como modo ad-hoc o modo ad-hoc del IEEE. Este modo se
encuentra especificado en el estndar IEEE 802.11. El segundo tipo se denomina
modo ad-hoc de demostracin o modo ad-hoc de Lucent (y algunas veces,
tambin se le llama simplemente modo ad-hoc, lo cual es bastante confuso). Este
es el modo de funcionamiento antiguo, anterior al estndar 802.11, del modo adhoc debera utilizarse slo en instalaciones propietarias.
Es un conjunto de estaciones que no tienen una infraestructura de conexin
y que est compuesto por ms de dos estaciones inalmbricas.
Es una BSS sin puntos de acceso
Sin conexiones a otras redes
37
40
Tramas de datos: Una trama de datos, viene a ser lo mismo que un paquete de
datos (la informacin se enva por trozos, no entera).Estos paquetes constan de
cabecera (donde van los protocolos de enlace), datos (la informacin) y cola
donde suelen ir un chequeo de errores). Para delimitar estos paquetes se emplean
cuatro mtodos:
41
42
Figura
21:
Paso
1,
Sonda
de
802.11.
Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf
43
Si el cliente Wlan slo quiere conocer las redes Wlan disponibles, puede enviar un
pedido de sondeo sin SSID, y todos los puntos de acceso que estn configurados
para responder este tipo de consulta, responderan. Las Wlan con la caracterstica
de Broadcast SSID deshabilitada no respondern.
Figura
22:
Paso
2,
autenticacin
de
802.11.
Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf
44
Figura
23:
Paso
3,
asociacin
de
802.11.
Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf
45
Figura 24: Mtodos para controlar el acceso a las redes Wlan. Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf
Hoy en da las redes WiFi se han convertido en algo esencial para todo aquel
usuario que se conecta desde su ordenador a ellas est donde est, y por ello
siempre es prctico disponer de una herramienta que te detecte cuntas redes
WiFi existen a tu alrededor.
Y eso es lo que hace NetStumbler, el cual es una prctica herramienta que te
permite detectar y localizar redes inalmbricas WiFi, tanto para comprobar si te
puedes conectar a alguna de ellas (viendo si hay cobertura) como para verificar si
estn entorpeciendo de algn modo en tu conexin (con accesos no autorizados a
tu red si sta no estuviese protegida).
46
Figura
25:
Evolucin
de
las
redes
Wlan.
Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf
48
Figura
26:
Rangos
inalmbricos
Indoors.
Fuente
http://dspace.ups.edu.ec/bitstream/123456789/221/3/Capitulo%202.pdf
49
Figura
27:
Rangos
inalmbricos
outdoor.
Fuente
http://dspace.ups.edu.ec/bitstream/123456789/221/3/Capitulo%202.pdf
Algunas Caractersticas especificas del rango outdoor son:
50
Servicios Lgicos:
Servicios de Distribucin (DSS): se relacionan con la administracin de
membrecas dentro de la celda y con la interaccin con estaciones que
estn fuera de la celda. Asociacin,
Disociacin, Reasociacin,
Distribucin e Integracin
Servicios de Estacin (SS): se relacionan con la actividad dentro de una
sola celda. Ambas categoras son utilizadas por la subcapa MAC.
Autenticacin, Desautenticacin, Privacidad y Entrega de datos
Servicios de Distribucin:
Asociacin: El servicio es utilizado por las estaciones para conectarse
ellas mismas al AP. Por lo general, se utiliza despus de que una estacin
se mueve dentro del alance de radio del AP. Una vez que llega, anuncia su
identidad y sus capacidades. Estas incluyen las tasas de datos soportadas
y los requerimientos de administracin de energa.
Disociacin: Elimina una asociacin existente. Una estacin podra utilizar
este servicio antes de apagarse o de salir, asimismo el AP podra utilizarlo
antes de su mantenimiento.
Reasociacin: Establece una asociacin (entre el AP y una estacin STA)
para ser trasladados de un AP a otro o el mismo AP.
Distribucin: Proporciona transmisin de MSDU de los Access Points a las
estaciones asociadas con ellos. Las Unidades de datos de servicio MAC
(MSDUs) pueden ser transmitidas a destinos inalmbricos o a redes
cableadas (Ethernet) o ambos a travs del concepto de "Sistema de
Distribucin".
51
Servicios de Estacin
Autenticacin: Establece la identidad de una estacin como miembro del
conjunto de estaciones que estn autorizadas a asociarse unos con otros.
Des-autenticacin: Eliminacin de una relacin existente de autenticacin.
Confidencialidad: Evita que el contenido de los mensajes puedan ser
ledos por personas distintas de los destinatarios. Este servicio maneja la
codificacin y decodificacin. Un algoritmo especificado es RC4.
Entrega MSDU: Entrega de unidades de datos de servicio MAC (MSDU)
para las estaciones.
52
53
Integridad: Capacidad de enviar (y recibir) datos de tal forma que una entidad no
autorizada no pueda cambiar ninguna parte de los datos sin que el receptor o
transmisor pueda detectar el cambio.
Autorizacin: Establece que tiene permitido hacer una vez que se ha identificado.
(Control de acceso, capacidades y permisos). Va de la mano con la autenticacin.
54
Administracin de clave: Un clave es un cdigo digital que puede ser usado para
encriptar, desencriptar y firmar informacin. La administracin de claves (key
management) es el proceso de distribucin de claves.
55
de
Comunicaciones.
Fuente
Fuente
Fuente
IEEE 802.11f: Define los servicios primitivos y protocolos para que los Aps
de diferentes fabricantes puedan intercambiar informacin. Estndar
relativamente desconocido y poco complejo. IAPP (Inter-Access Point
Protocol) puede ser usado tambin entre switches y bridges que requieran
intercambiar informacin WLAN. Adiciona posibilidad de rpido roaming de
clientes.
IEEE 802.11e: Nombre literal: Media Access Control Quality of Service
Enhancements; Adiciona QoS y caractersticas bsicas para soporte de
multimedia en WLANs requeridas para aplicaciones de audio, voz y video.
No se garantizan niveles determinsticos de throughput o retardos, as que el
resultado final es el de Mejor esfuerzo.
60
Mecanismos de Seguridad
El hecho de tener un Punto de Acceso irradiando seal, se convierte en
una vulnerabilidad si no se toman las acciones necesarias para
garantizar la seguridad. Cualquier persona que detecte la seal y logre ingresar
a la red podr navegar gratis por Internet, en el mejor de los casos, o podr
robar informacin sensible, insertar un virus informtico, bloquear servidores,
entre otros. En general, algunos mecanismos son:
61
SSID: Como uno de los primeros niveles de seguridad que se pueden definir en
una red inalmbrica se cita al SSID (Service Set Identifier o identificador
del servicio). Aunque se trata de un sistema muy bsico (normalmente no
se tiene por un sistema de seguridad), este identificador permite establecer o
generar, tanto en la estacin cliente como en el Punto de Acceso, redes lgicas
que interconectarn a una serie de clientes.
Normalmente, los puntos de acceso difunden su SSID para que cada
cliente pueda ver los identificadores disponibles y realizar la conexin a alguno
de ellos simplemente seleccionndolos. Pero tambin se puede inhabilitar la
difusin de este SSID en el
punto de acceso, para dificultar el
descubrimiento de la red inalmbrica por parte de personas ajenas a su uso.
62
Figura 35: Interfaz para posterior configuracin de direcciones MAC Fuente http://wiki.ubnt.com/images/c/ce/Mac_acl.png
63
PEAP : PEAP fue diseado por Microsoft, Cisco y RSA. Cuando el cliente ha
validado el certificado del servidor de autenticacin y creado el tnel,
usando TLS se inicia una nueva autenticacin donde negocian un mtodo,
por ejemplo MS-CHAP v2, tras autentificar el servidor al cliente, ambos generan
la clave de sesin.
65
66
68
Eap - Sim: Utiliza la misma tarjeta inteligente o SIM que se utiliza en los telfonos
mviles GSM para proporcionar autenticacin. EAP-SIM puede fcilmente
montarse sobre EAP-TLS.
70
71
Falsificacin de AP: Es muy simple colocar una AP que difunda sus SSID, para
permitir a cualquiera que se conecte, si sobre el mismo se emplean tcnicas de
Phishing, se puede inducir a creer que se est conectando a una red en
concreto. Existen varios productos ya diseados para falsificar AP, en la
terminologa WiFi se los suelen llamar Router AP o Fake AP, el ms comn es
un conocido script en Perl denominado justamente FakeAP, que enva Beacons
con diferentes ESSID y diferentes direcciones MAC con o sin empleo de WEP.
72
Ataques Pasivos
Espionaje: Este tipo de ataque consiste en observar el entorno donde se
encuentra instalada la red inalmbrica, no se necesita ningn tipo de hardware o
software especial. Sirve para recopilar informacin y se puede combinar con otro
tipo de ataques. Tambin consiste en observar el entorno donde se encuentra
instalada la red inalmbrica, no se necesita ningn tipo de hardware o software
especial. Sirve para recopilar informacin y se puede combinar con otro tipo de
ataques.
Warchalking: Se trata de un lenguaje de smbolos utilizado para marcar sobre el
terreno la existencia de las redes inalmbricas, de forma que puedan ser
utilizadas por aquellos que 'pasen por all'. El lenguaje como tal es
realmente simple [11].
73
Figura 43: Ataques a las redes Wifi desde un auto, a esto se le denomina
WarDriving - Fuente http://www.flickr.com/photos/vickyken/3326195529/
74
Caractersticas:
Consigue el objetivo
Demasiado tiempo gastado
Crece exponencialmente entre ms larga es la clave.
Ataques por Diccionario: No se intentan todas las combinaciones
posibles, como se hace en el ataque por fuerza bruta, se usan palabras
probables, las cuales son tomadas de un diccionario de palabras y
nombres.
Estos dos tipos de ataques son los normalmente usados para descubrir
claves de una WLAN que est usando WEP como protocolo de seguridad.
Ataques Activos
Son ataques que implican la modificacin en el flujo de datos o la creacin de
falsos flujos en la transmisin de datos. Dentro de sus Objetivos se encuentra:
Figura
44:
Ataque
de
Rouge
Acces
http://www.wm.edu/as/computerscience/research/projects/index.php
Fuente
76
Direccin MAC
Direccin IP
Direcciones de correo electrnico
Nombres de dominio
Nombres de recursos compartidos
MIT ''Man In The Middle'': En este tipo de ataque, el intruso intenta insertarse, l
mismo, en la mitad de una comunicacin con el propsito de interceptar los
datos de un cliente. De esta forma podra modificar los datos y enviarlos al
destino real.
77
78
El atacante envenenar las tablas ARP de las vctimas, enviando mensajes ARP
engaando a los objetivos.
80
83
UNIDAD 2
Nombre de la Unidad
Introduccin
Justificacin
Intencionalidades
Formativas
lograr
86
87
88
Amenazas
Las amenazas informticas son los problemas ms vulnerables que ingresan a
nuestra computadora con el hecho de afectarlo (virus), ests son algunos tipos de
amenazas:
Targeting: Amenazas declaradas, amenazas potenciales.
Amenazas por delincuente comn.
Amenazas indirectas: Tener el equipo equivocado en el momento
equivocado.
Vulnerabilidad
Falencias o brechas representa el grado de exposicin a las amenazas en un
contexto particular. Dnde estn las mayores vulnerabilidades:
Seguridad fsica
Concienciar a los usuarios acerca de los problemas de seguridad.
Seguridad lgica
Seguridad en las telecomunicaciones.
Capacidades
Son los puntos fuertes y los recursos a los que puede acceder a una empres para
lograr un nivel razonable de seguridad.
Precisin en la informacin
89
90
91
Acunetix web Vulnerability Scanner: identifica primero los servidores web desde
una direccin IP particular o intervalo de IP. Despus de eso, rastrea todo el sitio,
rene informacin sobre cada archivo que encuentra y muestra la estructura de
todo el sitio web.
Despus de esta etapa de descubrimiento, realiza una auditora automtica para
los problemas de seguridad comunes. Acunetix Web Vulnerability Scanner es un
software que
detecta
automticamente
la
insercin
de
archivos.
El Escner de puerto y las alertas de red permiten realizar un escaneo del puerto
contra el servidor web donde se ejecuta el sitio web escaneado. Cuando se
encuentran los puertos abiertos, Acunetix WVS llevar a cabo complejas
comprobaciones de seguridad a nivel de red contra el servicio de red que se
ejecuta en ese puerto, como pruebas de recursividad a las DNS abiertas, pruebas
a servidores proxy mal configurados, a las cadenas de comunidad SNMP dbiles y
muchos otros controles de seguridad a nivel de red.
La Inyeccin SQL es uno de los muchos mecanismos de ataque de web utilizados
por los piratas informticos para robar datos de organizaciones. Quiz es una de
las tcnicas de ataque de aplicaciones ms comunes usadas hoy en da. Es el tipo
de ataque que aprovecha una codificacin incorrecta de las aplicaciones web y
permiten al pirata informtico inyectar comandos SQL en un formulario de inicio de
sesin para que pueda acceder a los datos de tu base de datos.
En esencia, la inyeccin SQL surge porque los campos disponibles para los datos
proporcionados por el usuario permiten a las instrucciones SQL a pasar y
consultar la base de datos directamente.
Las aplicaciones web permiten a los visitantes del sitio web legtimo presentar y
recuperar datos desde una base de datos por Internet usando su navegador
preferido. Las bases de datos son fundamentales para los sitios web modernos
almacenan datos necesarios para que los sitios web ofrezcan un contenido
especfico a los visitantes y procesa informacin a los clientes, proveedores,
empleados y un host para las partes interesadas.
Las credenciales de usuario, financieras y la informacin de pago, estadsticas de
la compaa, todas pueden residir dentro de una base de datos y ser accedida por
los usuarios legtimos a travs de aplicaciones web estndar y personalizados.
92
93
94
Utilizando anlisis inteligente, GFI LANguard N.S.S. recoge informacin sobre los
equipos como nombres de usuario, grupos, recursos compartidos, dispositivos
USB, dispositivos inalmbricos y otras informaciones sobre un Dominio Windows.
Adems de esto, GFI LANguard N.S.S. tambin identifica vulnerabilidades
especficas como problemas de configuracin de servidores FTP, exploits en
Servidores Microsoft IIS y Apache Web o problemas en la configuracin del a
poltica de seguridad Windows, ms otros muchos potenciales problemas de
seguridad.
Caractersticas:
Escner de seguridad de red: Retina permite priorizado la gestin de la
poltica, de gestin de parches, y la gestin de vulnerabilidades.
Red de evaluacin de la vulnerabilidad: Identificar las vulnerabilidades de
seguridad de red, la falta de actualizaciones de la aplicacin, adems de
amenazas de da cero.
Red descubrimiento y la evaluacin de polticas: Retina descubre todos
los dispositivos, sistemas operativos, aplicaciones, parches, niveles de la
poltica de configuraciones.
Permite prioridad a la gestin de la poltica, de gestin de parches, y la
evaluacin de la vulnerabilidad.
Rpida y precisa exploraciones: Exactitud escanear un Clase C de los
dispositivos de red, sistemas operativos y aplicaciones en ~ 15 minutos.
Leccin 17: Diversificacin de herramientas de anlisis de intrusos
Profundizacin Leccin 17: El estudiante debe profundizar en cada
leccin que sea vista para adquirir conocimientos a fondo y lograr un
aprendizaje ptimo.
Retina Network Securitt - Eeye
Link:http://bitsnocturnos.wordpress.com/2010/01/15/escaner-devulnerabilidad-retina-network-security-scanner/
96
97
100
Ssitema
Correo web
Ruteadores, switches
Firewalls, IDS
Radius
Link: http://eelalnx01.epn.edu.ec/bitstream/15000/1523/1/CD-2231.pdf
101
Dimensin de
Descripcin
Seguridad
Control de Acceso Lmites y control en al acceso a los
elementos de red, servicios y
aplicaciones.
Autenticacin
Garanta de la procedencia de la
informacin.
No-Repudio
Confidencialidad
de los Datos
Comunicacin
segura
Integridad de los
Datos
Disponibilidad
Privacidad
Ejemplo
Password, listas de
acceso, firewall, etc.
Password compartido,
firmas digitales,
certificados digitales,
etc.
Bitcoras, sistemas de
registros de eventos,
firmas digitales, etc.
DES, AES, RSA, etc.
Capa
Descripcin
Seguridad de
La capa de seguridad de
infraestructura infraestructura, comprende los
dispositivos de transmisin y los
elementos de red. Esta capa
constituye la base fundamental
de las redes, sus servicios y
aplicaciones.
Seguridad de
La capa de seguridad de
Servicios
servicios, tiene que ver con la
seguridad de los servicios que
los proveedores prestan a sus
clientes.
Seguridad de
Aplicaciones
Ejemplo
Enrutadores, centros de
conmutacin, servidores,
enlaces de comunicacin, etc.
Control
Descripcin
Este plano tiene que ver con la proteccin de las funciones de
operacin, administracin, mantenimiento y configuracin de los
elementos de red, dispositivos de transmisin, sistemas administrativos
y centros de datos.
El trfico para estas actividades puede transportarse en la red dentro o
fuera de la banda, con respecto al trfico de usuario del proveedor de
servicio.
Este plano tiene que ver con la proteccin de las actividades que
permiten una distribucin eficiente de informacin, servicios y
aplicaciones en la red. Generalmente consiste en la comunicacin que
permite determinar la mejor forma de enrutar o conmutar el trfico en la
red de transporte.
Se habla de informacin de control o informacin de sealizacin. Estos
mensajes se pueden transportar en la red dentro o fuera de la banda,
con respecto al trfico de usuario del proveedor de servicio. Los
104
Usuario
de
Extremo
Descripcin
protocolos de enrutamiento, DNS, SIP, SS7, Megaco/H.248, etc., son
ejemplos de este trfico.
Este plano tiene que ver con la seguridad cuando los clientes acceden y
utilizan la red del proveedor de servicio.
En este plano tambin se incluyen flujos de datos efectivos del usuario
de extremo. El usuario de extremo puede utilizar una red que slo
proporciona conectividad, puede utilizar redes para servicios de valor
aadido como las RPV, o redes para acceder a aplicaciones de red.
106
107
Link:
http://seguridadeninternet.es/images/descarga_promo_SEGURIDAD%20E
N%20INTERNET,%20Nowtilus.pdf
108
109
111
Procedimientos: Son el medio para llevar a cabo las polticas y comprenden las
actividades que deben seguirse para la realizacin de algunas tareas concretas
como:
Otorgamiento de cuentas
Alta de usuarios
112
113
un
protocolo
Telnet
Fuente
114
Ms sobre Telnet
El protocolo Telnet se aplica en una conexin TCP para enviar datos en formato
ASCII codificados en 8 bits, entre los cuales se encuentran secuencias de
verificacin Telnet. Por lo tanto, brinda un sistema de comunicacin orientado
bidireccional (semidplex) codificado en 8 bits y fcil de implementar.
El protocolo Telnet se basa en tres conceptos bsicos:
115
Por lo tanto, el protocolo Telnet consiste en crear una abstraccin del terminal que
permita a cualquier host (cliente o servidor) comunicarse con otro host sin conocer
sus caractersticas.
El principio de opciones negociables
Las especificaciones del protocolo Telnet permiten tener en cuenta el hecho de
que ciertos terminales ofrecen servicios adicionales, no definidos en las
especificaciones bsicas (pero de acuerdo con las especificaciones), para poder
utilizar funciones avanzadas. Estas funcionalidades se reflejan como opciones.
Por lo tanto, el protocolo Telnet ofrece un sistema de negociaciones de opciones
que permite el uso de funciones avanzadas en forma de opciones, en ambos
lados, al iniciar solicitudes para su autorizacin desde el sistema remoto.
Las opciones de Telnet afectan por separado cada direccin del canal de datos.
Entonces, cada parte puede negociar las opciones, es decir, definir las opciones
que:
De esta manera, cada parte puede enviar una solicitud para utilizar una opcin. La
otra parte debe responder si acepta o no el uso de la opcin. Cuando la solicitud
se refiere a la desactivacin de una opcin, el destinatario de la solicitud no debe
rechazarla para ser completamente compatible con el modelo NVT.
118
119
Unicast:
Se
utilizan
para
comunicaciones
uno
a
uno.
Pueden ser sumariados, para esto las direcciones son acompaadas por un prefijo
que
especifica
una
cantidad
determinada
de
bits
significativos.
Hay varios tipos de direcciones de unicast:
120
122
123
La explotacin de la transicin
Esta migracin va a llevar un tiempo, y hasta entonces, las empresas se
encontrarn en un ambiente dual de IPv4/IPv6, cada uno con su propio y
especfico conjunto de problemas de seguridad. Esto incrementa la carga de
trabajo del personal de redes de las compaas e incrementa el nmero de
posibilidades en que las cosas pueden salir mal. Aqu es donde la vigilancia de la
seguridad es crucial; debido a este perodo intermedio hbrido, nos vamos a
encontrar situaciones inusuales donde los delincuentes informticos pueden tomar
una ventaja potencial gracias a la interaccin entre los protocolos.
Ataques DDoS.
Los ataques Distribuidos de Negacin de Servicio (DDoS, Distributed Denial of
Service), los cuales abruman una red de computadoras o un sitio web para
volverlos inoperantes, an seguirn representando una amenaza para las
empresas en IPv6. Mientras que IPv6 puede mitigar los efectos de los ataques
DDoS hasta un cierto punto, no los previene, dejando recursos en riesgo de ser
bombardeados al punto de ser parados por completo. Los ataques de
amplificacin de difusin, como los ataques smurf, pueden hacer exactamente
eso: mantenerte alejado de tus clientes.
Evadir Medidas de Seguridad.
Los ataques de fragmentacin todava sern un problema en IPv6, aunque
cambios en la arquitectura pueden mitigarlos de manera mas eficiente. Los
ataques de fragmentacin pueden ser usados para evadir, sistemas de deteccin
de intrusos (IDS), sistemas de prevencin de intrusos (IPS), y cortafuegos a
menudo son la forma en que las empresas se dan cuenta que estn siendo
atacados. Una vez dentro, todo es juego limpio: informacin del cliente,
credenciales, correos electrnicos y secretos de negocio.
124
125
126
127
Los puertos lgicos son, al igual que los puertos fsicos, necesarios para que
nuestros programas puedan comunicarse con el exterior. La diferencia es que se
enlazan virtualmente en nuestra conexin TCP con los programas, para tener una
referencia, y que los otros programas puedan conectarse a los nuestros y
traspasar informacin. Por ejemplo, podemos decir que el servidor web suele estar
enlazado (escuchando) en el puerto 80, o que nuestro navegador, sale por el
puerto 4000 para conectarse a este servidor. El servicio RPC (remote procedure
call) escucha en los sistemas XP por el puerto 135, pero resulta que a ese puerto
se conectaba el virus Blaster para infectar todos los Windows que encontraba a su
paso.
Muy pocas veces usaremos tantos puertos -65.000-. Podemos navegar, usar
nuestro programa de mensajera instantnea, el cliente de IRC y mandar un correo
y an as estaremos usando slo unas decenas. Adems, estn divididos segn
sus funciones.
128
53 - DNS - Este puerto lo utiliza el DNS (Domain Name System), esta base de
datos distribuida o jerrquica, se encarga de traducir nombres de dominios a IP's.
59 - DCC - Utilizado principalmente en programas de comunicacin para transferir
ficheros.
79 - Finger - En este puerto se corre el servicio Finger, el cual ha sido uno de los
mayores problemas de seguridad en Unix, ya que este proporciona informacin,
muy detallada, de los usuarios de una maquina, estn o no logueados.
80 - HTTP - Puerto que transmite el protocolo HTTP (Hypertext Transfer Protocol)
que es el utilizado en cada transaccin web (WWW).
110 - POP3 - Puerto que utiliza el servicio POP3 (Post Office Protocol 3), que es el
correo electrnico, offline.
113 - IDENT - Servicio de identificacin/autorizacin. Los servidores de internet,
como POP, IMAP, SMTP, IRC consultan este puerto en respuesta a conexiones
de clientes.
135 - RPC - Remote Procedure Cell. Este servicio, es el encargado de administrar
la comunicacin con otra pc cuando un programa solicita ejecutar cdigo en esa
otra pc. De esta forma, el programador no tiene que procurarse por esta conexion.
139 - NetBIOS - Por este puerto funciona el servicio NetBIOS que es el encargado
de compartir ficheros de tu pc, por tu red interna. Con este puerto abierto peligras
de que gente de todo el mundo, pueda ver y usar estos ficheros a travs de
internet.
143 - IMAP - Por ac, se ejecuta el IMAP (Internet Message Access Protocol).
Este es un servicio nuevo, por lo cual los servidores de internet que lo utilizan, no
han tenido suficiente tiempo para madurar. Lo cual implica, que este sea una muy
buena via de acceso para los intrusos.
443 - HTTPS - El Hypertext Transfer Protocol Secure, no es ms que una versin
segura, del ya mencionado HTTP.
445 - MSFT DS - Server Message Block. A partir de Windows 2000, microsoft
aadi la posibilidad de ejecutar SMB directamente sobre TCP/IP sin la capa extra
de NBT.
130
1080 - Socks - Aqu funciona el servicio Socks, el cual es un protocolo que permite
a las aplicaciones cliente-servidor usar de manera transparente los servicios de un
firewall de red.
5000 - UPnP - El universal plug n' play define protocolos y procedimientos
comunes para garantizar la interoperabilidad sobre PC's permitidos por red,
aplicaciones y dispositivos inalambricos.
8080 - WebProxy - Este puerto lo pueden utilizar terceros para ocultar su
verdadero IP a los servidores web.
131
Criptografa Simtrica
La criptografa simtrica se basa en la utilizacin de la misma clave para el cifrado
y para el descifrado. La robustez de un algoritmo de cifrado simtrico recae en el
conocimiento de dicha clave.
Clave secreta (simtrica): Utiliza una clave para la encriptacin y
desencriptacin del mensaje. Esta clave se debe intercambiar entre los equipos
por medio de un canal seguro. Ambos extremos deben tener la misma clave para
cumplir con el proceso Figura 55.
132
Para que un algoritmo de este tipo sea considerado fiable debe cumplir algunos
requisitos bsicos:
Conocido el criptograma (texto cifrado) no se pueden obtener de l ni el
texto en claro ni la clave.
Conocidos el texto en claro y el texto cifrado debe resultar ms caro en
tiempo o dinero descifrar la clave que el valor posible de la informacin
obtenida por terceros.
Todos los sistemas criptogrficos clsicos se pueden considerar simtricos, y los
principales algoritmos simtricos actuales son DES, IDEA y RC5.
Las principales desventajas de los mtodos simtricos son la distribucin de las
claves, el peligro de que muchas personas deban conocer una misma clave y la
dificultad de almacenar y proteger muchas claves diferentes.
Criptografa Asimtrica
En este tipo de cifrado se utilizan dos claves relacionadas matemticamente:
133
134
Firma Digital
Es un medio para que los creadores de un mensaje, archivo u otra informacin
codificada, vinculen digitalmente su identidad a la informacin. Se utilizan cuando
los datos se distribuyen como texto no cifrado. Lo que se busca al utilizar una
firma digital, es que:
El receptor pueda verificar la identidad del transmisor.
135
Los pasos que deben seguirse para su creacin, envo y comprobacin son:
El remitente aplica un algoritmo Hash a los datos para generar un valor
resumen.
Certificado Digital
Es una declaracin firmada digitalmente que proporciona un mecanismo para
establecer una relacin entre una clave pblica y la entidad que posee la clave
privada que le corresponde. Se utiliza para autenticar y asegurar el intercambio de
informacin en Internet, Extranet e Intranets.
Los certificados pueden emitirse con objetivos diferentes como:
Autenticacin de servidores Web
Seguridad del correo electrnico
Seguridad IP (IPSec)
137
138
139
Administracin de llaves
IKE (Internet Key Exchange) es por defecto el protocolo de administracin de
llaves, su funcin principal es establecer y mantener las asociaciones de
seguridad. Est basado en ISAKMP (Internet Security Association and Key
Management Protocol) el cual es un esquema para autenticacin e intercambio de
llaves2
Caractersticas IPSEC
Estandariza en la medida de lo posible la interoperabilidad y favorece la
reutilizacin de componentes
Es un Estndar Abierto
Modos de encapsulado
PSec define dos modos de encapsulado para tratamiento de paquetes IP:
Modo de Transporte
Modo de Tnel
141
Modo de transporte
En esta modalidad se interceptan los paquetes de nivel de red, (IP), se procede a
encriptar y autenticar el contenido de los mismos, se incorpora un encabezado
142
Modo de tnel
Esta variante de IPSec intercepta los paquetes IP, encripta y autentica los mismos
incluyendo su encabezado. Posteriormente, se procede a incorporar el
encabezado IPSec y se encapsula el paquete resultante sobre IP. Esta modalidad
se puede operar entre dos Hosts, entre dos Gateways o entre un Host y un
Gateway. Es la modalidad utilizada en la confeccin de Redes Privadas Virtuales,
(VPN).
143
144
145
146
Falsificacin
Al contrario de lo que ocurre en el caso de TCP, UDP no es un protocolo orientado
a conexin. Este hecho facilita la falsificacin del trfico UDP. Cuando un
cliente DNS lanza una consulta a un servidor DNS, ste responde a la consulta
enviando un paquete UDP cuyo origen es el puerto 53.
Sin embargo un usuario mal intencionado ubicado en el mismo segmento de red o
situado en algn lugar del camino hacia el servidor DNS podra enviar una
respuesta con la direccin IP del servidor DNS como direccin origen del paquete.
Si el cliente recibe antes la respuesta procedente del usuario mal intencionado que
la del verdadero servidor DNS, se dara por buena la respuesta falsificada. Como
el atacante podra proporcionar al cliente una respuesta DNS falsa, podra hacer
que el cliente se conectase a su sistema en lugar de al verdadero destino.
Falsificar respuestas DNS.
El programa dnsspoof, distribuido junto con Dsniff, es una herramienta que hace
posible la falsificacin de respuestas DNS. Por ejemplo, supongamos que un
atacante ha podido infiltrarse en la puerta de enlace de una red cuya direccin IP
es 10.0.0.1. Supongamos tambin que la direccin IP 10.1.1.2 es la direccin IP
real de algunacompania.com. El atacante podra ejecutar dnsspoof y responder a
148
todas
las
consultas DNS poralgunacompania.com con
IP 192.168.1.1 que es la direccin IP de su mquina.
la
direccin
149
150
152
Sock.
Fuente:
http://en.flossmanuals.net/bypassing-
153
SSL
En los primeros das de la World Wide Web, claves de 40-bit de poco se usaron.
Cada bit puede contener un uno o un cero - lo que significaba que eran dos claves
diferentes disponibles. Eso es un poco ms de un billn claves distintas.
Debido a la velocidad cada vez mayor de computadoras, se hizo evidente que una
clave de 40 bits no era lo suficientemente seguro. Posiblemente, con los
procesadores de gama alta que vendra en el futuro, los piratas informticos
podra llegar a probar todas las claves hasta encontrar el adecuado, lo que les
permite descifrar y robar informacin privada. Que tomara algn tiempo, pero era
posible.
Las claves se alargaron a 128 bits. Eso es 2128 claves, cdigos de cifrado o
340.282.366.920.938.463.463.374.607.431.768.211.456
nico.
(Eso
es
340000000000000 billones de billones, para aquellos de ustedes hacer el
seguimiento en casa.) Se determin que si las computadoras sigui avanzando en
la velocidad como lo han hecho en el pasado, estos cdigos de 128 bits que
permanecen seguros durante por lo menos una dcada ms, si no ms.
Certificados DigiCert no se detienen all, sin embargo. Los certificados SSL
DigiCert tambin son compatibles con el nuevo estndar de RSA 2048-bit de
encriptacin.
El protocolo SSL es un sistema diseado y propuesto por Netscape
Communications Corporation. Se encuentra en la pila OSI entre los niveles de
TCP/IP y de los protocolosHTTP, FTP, SMTP, etc. Proporciona sus servicios de
seguridad cifrando los datos intercambiados entre el servidor y el cliente con un
algoritmo de cifrado simtrico, tpicamente el RC4 o IDEA, y cifrando la clave de
sesin de RC4 o IDEA mediante un algoritmo de cifrado de clave pblica,
tpicamente el RSA. La clave de sesin es la que se utiliza para cifrar los datos
que vienen del y van al servidor seguro. Se genera una clave de sesin distinta
para cada transaccin, lo cual permite que aunque sea reventada por un atacante
en una transaccin dada, no sirva para descifrar futuras transacciones. MD5 se
usa como algoritmo de hash.
Proporciona cifrado de datos, autenticacin de servidores, integridad de mensajes
y, opcionalmente, autenticacin de cliente para conexiones TCP/IP.
154
155
156
ISAKMP
ISAKMP proporciona un framework para el establecimiento y administracin de
asociaciones de seguridad de forma independiente del protocolo de seguridad.
Algunos de los protocolos de seguridad usados pueden ser IPsec ESP, IPsec AH
o TLS.
Puede implementarse ISAKMP sobre cualquier protocolo de transporte o sobre IP,
en el caso de UDP que es un protocolo no confiable, se logra una administracin
de llaves confiable con el uso de este protocolo.
Su funcin es similar a SASL (Simple Authentication and Security Layer), el que
tambin permite el uso de diferentes mecanismos de seguridad, aunque ISAKMP
158
159
REFERENCIAS
[1] Forouzan, B. (2002). Transmisin de datos y redes de comunicaciones (2a.
ed.). Madrid: McGraw-Hill.
[2] Philippe, A. y Dordoigne, J. (2006). Redes informticas. Conceptos
fundamentales (2a. ed.). Barcelona: Espaa: Ediciones ENI.
[3] Noonan, W. y Dubrawsky, I. (2006). Firewall Fundamentals (1a. ed.). Estados
Unidos: Pearson Printice Hall.
[4] Anguita, L., Ortega, L., Prieto, E. (2005). Arquitectura de computadores (2a.
ed.). Espaa: Thompson.
[5] Tanenbaum, A. (2003). Redes de computadoras (4a. ed.).
Pearson. Prindice Hall.
Mxico D.F:
[12] Gallego, A. (2012). Seg 2: El tiempo nos da la razn. Red seguridad: revista
especializada en seguridad informtica, proteccin de datos y comunicacin, 56,
36-38.
[13] McClure, S., Scambray, J., Kurtz, G. (2012). Hacking exposed: network
security secrets & solutions (7a. ed.). Estados Unidos: McGraw-Hill.
[14] Ramachandran, V. (2011). BackTrack 5 wireless penetration testing.
Beginner's Guide. (7a. ed.). Reino Unido: Packt Publishing Ltd.
[15] Sanders, C. (2011). Practical packet analysis: using wireshark to solve realworld network problems. (2a. ed.). San Francisco: No starch press.
[16] McNab, C. (2004). Seguridad de redes. Espaa: Anaya Multimedia/O'Reilly.
[17] lvarez, M. y Gonzlez,V. (2005) Estudio y configuracin de calidad de
servicio para protocolos IPV4 e IPV6 en una red de fibra ptica WDM. [en lnea].
Chile: Revista facultad de ingenieras Universidad de Tarapac. Disponible en:
http://www.scielo.cl/scielo.php?pid=S0718-13372005000300015&script=sci_arttext
[2013, 21 de julio].
161