Seguridad Avanzada en Redes de Datos

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
Escuela de Ciencias Bsicas, Tecnologa e ingeniera

Esp. Seguridad Informtica
Seguridad Avanzada en redes de datos: 233015
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS E INGENIERA
SEGURIDAD AVANZADA EN REDES DE DATOS

JORGE IVN MORALES SALAZAR
Acreditador
MSC. ING, CARLOS ALBERTO AMAYA TARAZONA
Medelln
Julio de 2013

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO

El presente mdulo fue diseado en el ao 2013 por el Ing. Jorge Ivn Morales, el
Ing. Morales es Ingeniero de Sistemas, y especialista en Seguridad Informtica, se
ha desempeado como programador y asesor en seguridad informtica en
diversas empresas de tecnologa en Colombia, actualmente trabaja como
desarrollador y asesor de ciberseguridad en la ciudad de Medelln.

INTRODUCCIN
Se plantea en este artculo el concepto de Educacin a Distancia as como sus
ventajas dentro de los procesos de enseanza-aprendizaje. Los cambios
producidos en la transmisin de la informacin y el nacimiento de la Telemtica
que se define como mtodos, tcnicas y herramientas de la Informtica aplicados.
Se presentan algunos conceptos y tcnicas relacionadas con la telemtica. Como
modalidades de comunicacin: la comunicacin directa y estructurada por
computadora, el correo electrnico, la teleconferencia informtica as como el
acceso a bases de datos.
Actualmente la seguridad se ha convertido en uno de los principales problemas de

los sistemas de acceso inalmbrico. Varios elementos han contribuido a ello: el
hecho de que se utilice un medio de transmisin compartido sin control de las
personas o dispositivos con capacidad de acceso a dicho medio, la rpida
implantacin de esta tecnologa en la sociedad, la novedad de la tecnologa
empleada, y una poltica en su desarrollo, que ha primado su expansin y ha
dejado de lado aspectos relativos a su seguridad. Hoy en da se est realizando
un gran esfuerzo en el desarrollo de estndares y tecnologas que eviten estos
problemas de seguridad, manteniendo la filosofa de una conexin mvil.
Por las caractersticas de la tecnologa inalmbrica, sta posee una serie de
puntos dbiles y ataques caractersticos a nivel de seguridad que es importante
conocer. Por un lado, de cara a facilitar la rpida generalizacin de este tipo de
tecnologa entre los usuarios y evitar en lo posible la carga del soporte, se
implantan soluciones con configuraciones de arranque en el que prcticamente
todas las medidas de seguridad estn deshabilitadas: dispositivos cliente que se
activan de manera automtica, una WLAN (wireless LAN) operativa, software
cliente que detecta y conecta de manera automtica con una WLAN, etc. Por otro
lado, los lmites del medio de transmisin resultan difusos y se extienden ms all
de lo que puede, en muchos casos, ser controlado.

INDICE DE CONTENIDO
PRIMERA UNIDAD: INTRODUCCIN A LAS REDES DE DATOS
Capitulo 1: Generalidades globales en las redes de datos
Leccin 1: Componentes de un sistema de transmisin de datos
Leccin 2: Criterios de redes
Leccin 3: Modelo OSI
10
Leccin 4: Firewalls
13
Leccin 5: Topologas y tipos de redes
22
Capitulo 2: Conceptos bsicos en las redes inalmbricas
30
Leccin 6: Inicios de las redes WLAN
31
Leccin 7: Arquitectura lgica de las WLAN
36
Leccin 8: Mtodos de acceso
41
Leccin 9: Rangos Inalmbricos
48
Leccin 10: Servicios
51
Capitulo 3: Mecnicas bsica de Seguridad
53
Leccin 11: Pilares de la seguridad y mecanismos
54
Leccin 12: Estndares WLAN
56
Leccin 13: Autenticacin y privacidad
61
Leccin 14: Ataques y vulnerabilidades
72
Leccin 15: Procesos de seguridad
80

SEGUNDA UNIDAD: MTRICAS Y ASPECTOS TCNICOS DE SEGURIDAD

ORIENTADAS A LAS REDES DE DATOS
84
Capitulo 4: Riesgos, Vulnerabilidades y, amenazas en redes de datos
87
Leccin 16: Valoracin y anlisis de riesgos en redes
88
Leccin 17: Diversificacin de herramientas de anlisis de intrusos
91
Leccin 18: Errores constantes de seguridad en las redes
97
Leccin 19: Arquitectura de seguridad en redes
102
Leccin 20: Polticas y procedimientos
109
Capitulo 5: Aspectos tcnicos orientados a la seguridad en redes de datos
113
Leccin 21: Telnet
114
Leccin 22: IPV6 y su tipo de direccionamiento
119
Leccin 23: Seguridad enfocada a IPV6
123
Leccin 24: Puertos
128
Leccin 25: Firma Digital y Certificado Digital
132
Capitulo 6: Conceptos avanzados en redes
138
Leccin 26: IPSec (Internet Protocol Security)
139
Leccin 27: NIDS (Network Intrusion Detection System)
144
Leccin 28: Seguridad DNS
147
Leccin 29: Socks5 y SSL
153
Leccin 30: TLS, ISAKMP1
157

LISTADO DE TABLAS
Tabla 1. Tabla comparativa entre los diversos estndares propuestos por la IEEE, ac se
puede comparar, velocidad, frecuencia y, radio de cobertura.
31
Tabla 2. Mtodos de autenticacin de cada estndar.
69
Tabla 3. Tabla comparativa de los protocolos de seguridad.
71
Tabla 4. Dimensiones de la seguridad.
103
Tabla 5. Descripcin general de las capas de seguridad.
104
Tabla 6. Planos de la seguridad.
105
Tabla 7. Versus entre seguridad, amenazas.
107
Tabla 8. RFC Relacionado con Telnet.
116
Tabla 9. Opciones negociadas de Telnet.
117
Tabla 10. Ipv6 versus Ipv4.
120

LISTADO DE GRFICOS Y FIGURAS
Figura 1: Proceso de transmisin de datos y sus componentes.
Figura 2: Capas del modelo OSI y su aplicabilidad en cada capa.
10
Figura 3: Visin general sobre una red domestica con un firewall y sin un firewall.
13
Figura 4: Ilustracin de un Dual-Homed Gateway.
16
Figura 5: Ilustracin de un screened subnet con un sistema adicional.
17
Figura 6: Topologa BUS.
22
Figura 7: Topologa anillo.
23
Figura 8: Topologa Estrella.
23
Figura 9: Topologa rbol.
24
Figura 10: Topologa Malla Completa.
25
Figura 11: Red tpica LAN (Red de rea Local).
26
Figura 12: Red Wan (Red de rea Amplia).
27
Figura 13: Red MAN (Red de rea Metropolitana).
28
Figura 14: Red PAN (Red de rea Personal).
29
Figura 15: Cobertura y diversificacin de usos en las redes Wlan.
34
Figura 16: Ilustracin de un BSS.
37
Figura 17: Ilustracin de un IBSS.
38
Figura 18: Ilustracin de DS combinado con un ESS.
39
Figura 19: Ilustracin de una conexin Ad Hoc.
40
Figura 20: Pasos para asegurar una red Wlan.
42

Figura 21: Paso 1, Sonde de 802.11.
43
Figura 22: Paso 2, autenticacin de 802.11.
44
Figura 23: Paso 3, asociacin de 802.11.
45
Figura 24: Mtodos para controlar el acceso a las redes Wlan.
46
Figura 25: Evolucin de las redes Wlan.
47
Figura 26: Rangos inalmbricos Indoors.
49
Figura 27: Rangos inalmbricos outdoor.
50
Figura 28: Logo, Comisin Federal de Comunicaciones.
56
Figura 29: Logo, Instituto de Ingenieros Elctricos y Electrnicos.
56
Figura 30: Logo, Instituto Europeo de Normas de Telecomunicaciones.
57
Figura 31: 12 canales con frecuencia de 10 MHz.
57
Figura 32: 14 canales de secuencia directa (DS).
58
Figura 33: Autenticacin de clave compartida SKA.
61
Figura 34: Difusin del SSID.
62
Figura 35: Interfaz para posterior configuracin de direcciones MAC.
63
Figura 36: Proceso de Encripcin utilizando TKIP o AES.
65
Figura 37: Diagrama de la seguridad en Wireless.
66
Figura 38: Leap.
67
Figura 39: Eap Tls.
67
Figura 40: Eap - Md5.
68
Figura 41: Inconvenientes y ventajas del Eap - Md5.
69
Figura 42: Signos para interpretar el Warchalking.
73

Figura 43: Ataques a las redes Wifi desde un auto, a esto se le denomina WarDriving. 74
Figura 44: Ataque de Rouge Acces.
76
Figura 45: Ataque de suplantacin, Spoofing.
77
Figura 46: Ataque ARP, Conocido como MITM.
78
Figura 47: Ataque DDoS, Denegacin de servicios Distribuida.
79
Figura 48: Interfaz de acunetix web.
94
Figura 49: Planos de seguridad.
105
Figura 50: Evaluacin de una poltica de seguridad.
111
Figura 51: Funcin principal de un protocolo Telnet.
114
Figura 52: Encabezados de Ipv6 vs Ipv4.
122
Figura 53: Tnel IPSEC.
126
Figura 54: Proceso de cifrado normal.
132
Figura 55: Proceso de cifrado simtrico.
133
Figura 56: Proceso de clave pblica asimtrica.
134
Figura 57: Proceso de un envi con firma digital.
135
Figura 58: Proceso de un envi con certificado digital.
137
Figura 59: Modo transporte y modo tnel.
140
Figura 60: IKE escenario de ejemplo.
140
Figura 61: Arquitectura IPESEC.
141
Figura 62: Modos de encapsulado en IPESEC.
142
Figura 63: Formatos de paquetes en IPESEC.
142
Figura 64: Topologa de red haciendo uso de los NIDS.
145

Figura 65: Seguridad DNS.
148
Figura 66: Protocolo Sock.
153
Figura 67: Establecimientos de sesin SSL.
156
Figura 68: Capas TLS.
157
Figura 69: ISAKMP.
159

Nombre de la Unidad
Introduccin
UNIDAD 1
Introduccin a las redes de datos
Las redes de datos actualmente juegan un papel
importante en el desarrollo tecnolgico del mundo; quizs
hay que observar la magnitud de contribucin en cada
una de las empresas y hogares.
Las redes de datos estn compuestas por un sin nmero
de piezas fsicas y lgicas, las cuales ayudarn al anlisis
de los factores de seguridad que emergen en ellas. Hay
que recordar que inicialmente las redes de datos se
integraban solo a redes cableadas, con el paso del tiempo
todo avanz, desde sus componentes hardware hasta los
lgicos, todo ello hizo que la humanidad enfocara y
centralizar toda su informacin, haciendo uso de estos
canales de comunicacin, no obstante a este factor
tecnolgico, consigo llego la inseguridad en estos canales
de comunicacin, llevando la informacin transmitida en
ellos a un punto inestable y peligroso.
Al pasar el tiempo, las redes de datos tomaron cartas en
el asunto e iniciaron labores referentes al tema de
seguridad de la informacin, encontrando importantes
soluciones y dando pasos agigantados en estos procesos,
pero sin saber que los delincuentes informticos
Hackers siempre iran un paso delante de ellos, de esta
forma la seguridad en las redes de una forma u otra
siempre va a ser vulnerada, en lo nico que afecta la
seguridad de las redes a los delincuentes informticos es
en el tiempo del ataque, solo tardarn unos minutos o
quizs unas horas ms en vulnerar cualquier sistema de
informacin.
Es importante contextualizar todo el entorno de redes, y
tener en cuenta cada proceso que se lleva a cabo con
ellas, para as lograr entender y elaborar normas
enfocadas al bien de la seguridad de las redes de datos.
Justificacin
La necesidad de la seguridad de la informacin se hace

mucho mayor con el pasar del tiempo, ello obliga a los
profesionales a centralizar su conocimientos y esfuerzo en
la seguridad de los datos.
El mdulo se enfoca al proceso bsico que maneja cada
red de datos en cuanto a sus componentes lgicos y
1

fsicos, para garantizar un debido proceso en anlisis de

seguridad de las mismas.
Intencionalidades
Formativas
El mdulo se desarrolla de una forma concreta y grfica

ya que el campo de la seguridad tiene enfoques bastante
difciles en cuanto a su teora, de tal forma que se
centraliza en la comprensin fcil y, total de cada tema
que se menciona, esto lograr capturar la mayor atencin
y, entusiasmo del profesional que desee indagar y
aprender sobre el tema.
Lo que se busca es brindar elementos conceptuales
necesarios frente a la sociedad del conocimiento, en
busca de desarrollar una mejor adaptacin de los nuevos
entornos de enseanza/aprendizaje, al igual que la
adopcin de un papel ms activo de los estudiantes, como
protagonistas de su formacin en un ambiente rico en
informacin y de entornos fluidos y mediticos de
comunicacin, no solo entre profesores y alumnos, sino
tambin con mltiples redes de conocimiento.
Todo esto se concreta en los propsitos, objetivos, metas
y competencias propuestas en este mdulo.
Las competencias que desarrollar el estudiante frente al
desarrollo de esta unidad son:
Conceptos bsicos y fundamentales de las redes de
datos.
Funcionamiento secuencial de cada una de ellas,
ordenamiento y componentes de cada red.
Destreza y conocimiento de los procesos utilizados en
las redes de datos.
Estas competencias lograrn que el profesional en
seguridad informtica pueda avanzar con el paso de la
tecnologa en la gran lnea del tiempo, siempre teniendo
claro la conceptualizacin de los temas.
Captulo 1
Leccin 1
Generalidades globales en las redes de datos

Componentes de un sistema de transmisin de datos
2

Leccin 2
Leccin 3
Leccin 4
Leccin 5
Captulo 2
Leccin 6
Leccin 7
Leccin 8
Leccin 9
Leccin 10
Captulo 3
Leccin 11
Leccin 12
Leccin 13
Leccin 14
Leccin 15
Criterios de redes
Modelo OSI
Firewalls
Topologas y modelos de redes
Conceptos bsicos de las redes inalmbricas
Inicios de las redes WLAN
Arquitectura lgica de las WLAN
Mtodos de acceso
Rangos Inalmbricos
Servicios
Mecnicas bsicas de seguridad
Pilares de la seguridad y mecanismos
Estndares WLAN
Autenticacin y privacidad
Ataques y vulnerabilidades
Procesos de seguridad

CAPITULO 1: GENERALIDADES GLOBALES EN LAS REDES DE DATOS

Introduccin
Las redes de datos hacen parte fundamental en el desarrollo tecnologico e
industrial del mundo desde tiempos memrables; la invesin y, desarrollo de este
tipo de tecnologia, a revolucionado los aspectos cotidianos de los seres humanos,
de esta forma llegando a la cuspide de los avances y maximizacin de produccin
y minimizacin de tiempos en el desarrollo de actividades. Es importante tener
conocimiento sobre las estructuras ms bsicas de las redes de datos para lograr
entender sus vulnerabilidades y posibles riesgos, ya sea en los hogares, o en
empresas.
En estos ltimos aos se ha vuelto un proceso tedioso indagar sobre las
vulnerabilidades o amenazas de las redes en un futuro, ya que sus componentes
bases o iniciales han variado de forma drastica en la delgada lnea del tiempo. Al
tener conocimiento del dao se puede generar el plan de mitigacin de dicho
dao, esta frase fundamenta en que el conocimiento previo de toda la estructura
global e interna de las redes deben ser conocidas o por lo menos mencionadas
para no generar ignorancia de los procesos que se apliquen a la contribucin de la
seguridad en redes de datos. La actualizacin de los componentes presetes en las
redes es importante, tanto que de ello depende toda la planeacin e
implementacin de mtricas de seguridad para mitigar los riesgos, y , amenazas
presentes en las redes de datos de una organizacin.
Muchas organizaciones a nivel mundial ignoran pasos importantes para establecer
mtricas correctas que ayuden al enfoque de la seguridad aplicado a la
organizacin de recursos software y hardware de una empresa o negocio,
desconociendo los componentes de una red se vuelve posiblemente un trabajo
bastante extenso y desorganizado el poder lograr aplicar seguridad.

Leccin 1: Componentes de un sistema de transmisin de datos

Un sistema de transmisin de datos se constituye en el canal que permite la
transmisin de informacin entre dos terminales o ms terminales. Para
transmitir informacin entre computadoras se hace necesario la instalacin
previa de redes para cumplir dicha misin.
Para que la transmisin de datos sea posible es necesario tener en cuenta los
siguientes elementos:
Elementos Hardware: Se basa en todos los componentes finales e
intermediarios o equipos inalmbricos y, cableados.
Elementos Software: Programas que se basan en la administracin y
funcionamiento entre hardware y usuarios finales.
Es el intercambio de ceros y unos, entre 2 dispositivos a travs de alguna forma
de medio de transmisin, la transmisin de datos se considera local si los
dispositivos de comunicacin estn en el mismo edificio o en un rea geogrfica
restringida y remota si los dispositivos estn conectados a una distancia que
supera el rea geogrfica de la local.
Para que la transmisin de datos sea posible los dispositivos de comunicacin
deben ser parte de un sistema de comunicacin formado por Hardware y
Software. La efectividad depende de:
Entrega: Dispositivo correcto
Exactitud: Datos sin alterar
Puntualidad: Sin retardos considerables en la transmisin de datos
Retardo Variable Jitter: Es el cambio o la variacin referente a la
cantidad de latencia entre paquetes de datos que se reciben.
Para comprender los componentes presentes en un sistema de transmisin de
datos es preciso ilustrarlo, por ende ello se ve claramente en la Figura 1.

Mensaje
Seal
Codificador
Origen del
mensaje
Transmisor
Seal
Medio de
transmisi
EL CANAL
Receptor
Mensaje
Decodificador
Destino del
mensaje
Origen
Codificado
Figura 1: Proceso de transmisin de datos y sus componentes. Fuente

modificado por el Autor.
Una vez ilustrado el modo en el que se transmiten datos, es importante

mencionar cada uno de los factores o componentes que hacen parte de dicho
sistema, a continuacin se mencionan los componentes principales en la
transmisin de datos [1].
Mensaje: Es el intercambio de informacin o datos a transmitir, se

puede dar con una diversificacin de formatos entre ellos: texto,
numricos, grficos, video y audio.
Emisor: Dispositivo el cual se encarga de enviar los datos del mensaje

hacia un receptor, dicho mensajes pueden ser enviados por medio de:
computadoras, telfonos, videocmaras, etc.
Receptor: Dispositivo que recibe o recepta el mensaje que es enviado

por el emisor, dicho mensaje es recibido con la ayuda de componentes
tecnolgicos como: computadoras, telfonos, videocmaras, etc.
Medio: Camino fsico por el cual viaja el mensaje del emisor hacia el

receptor: cable coaxial, fibra ptica y, ondas de radio.
Protocolo: Reglas que gobiernan la transmisin de datos. Representan

un enlace entre los dispositivos que se comunican. Sin el protocolo no
sera posible el enlace de comunicacin entre dos dispositivos, ya que
pueden estar conectados pero no listos para el envi de informacin.
Profundizacin Leccin 1: El estudiante debe profundizar en cada leccin

que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje
optimo.
Redes de transmisin de datos y proceso distribuido Uyless D. Black , A.
Prentice-Hall
Link:
http://books.google.com.co/books?id=DvzNmdo7Ef4C&pg=PA38&lpg=PA38
&dq=flujo+de+datos+simplex+duplex+semiduplex&source=bl&ots=3e3zsV7
Asu&sig=tFu6LawXtglYLirrLRWRnnita9o&hl=es&sa=X&ei=7w3GUYuKG5K
K0QHd54CQBA&ved=0CD0Q6AEwAg#v=onepage&q&f=false

Leccin 2: Criterios de redes

Para que una red sea considerada efectiva y eficiente, debe satisfacer los
siguientes criterios:
Rendimiento: El rendimiento se puede medir de muchas formas, incluyendo el
tiempo de trnsito y de respuesta. El tiempo de trnsito es la cantidad de
tiempo necesario para que un mensaje viaje desde un dispositivo al siguiente.
El tiempo de respuesta es el tiempo que transcurre entre una peticin y su
respuesta. El rendimiento de una red depende de varios factores, incluyendo el
nmero de usuarios, el tipo de medio de transmisin, la capacidad del
hardware conectado y la eficiencia del software.
El rendimiento se mide a menudo usando dos mtricas: ancho de banda y
latencia. A menudo hace falta ms ancho de banda y menos latencia. sin
embargo, ambos criterios son a menudo contradictorios. si se intenta enviar
ms datos por la red, se incrementa el ancho de banda, pero tambin la
latencia debido a la congestin de trfico en la red.
Prestaciones: Se pueden medir de muchas formas, incluyendo el tiempo de

trnsito (cantidad de tiempo para que un mensaje viaje de un dispositivo a otro)
y el tiempo de respuesta (Tiempo transcurrido entre una peticin y su
respuesta). Las prestaciones de una red dependen de un cierto nmero de
factores como son:
Nmero de usuarios
Tipo de medio de transmisin

Hardware
Software
Fiabilidad: Adems de la exactitud de la entrega, la fiabilidad de la red se mide

por:
Frecuencia de fallo
Tiempo de recuperacin despus de un fallo
Proteccin ante catstrofes

Seguridad: Los aspectos de seguridad de la red incluyen proteccin de datos

frente a accesos no autorizados, proteccin de datos frente a fallos y
modificaciones e implementacin de polticas y procedimientos para recuperarse
de interrupciones y prdidas de datos.
Accesos no autorizados
Virus

Leccin 3: Modelo OSI (Open System Interconnection)

Un modelo est determinado por los pasos a seguir para lograr un objetivo y llegar
ms all. Cuando hablamos de modelo OSI decimos que vamos agregar y agrupar
todas las fases para lograr la conexin; Este estructura los procesos, fases o
capas que interactan entre si ya que enva la informacin la recibe y la codifica
para luego almacenarla; todas las capas o fases trabajan en conjunto una sola no
hace nada. El modelo OSI es un modelo abierto para arquitecturas funcionales de
la red, perifricos, archivos a compartir o utilidades de red [2].
La estructura de las capas hace posible que cada una sea independiente y se
puedan modificar sin afectar a las otras; para que dos capas se puedan comunicar
es necesario que estn definidas las mismas funciones en ambas. A continuacin
se muestra en la Figura 2. las siete capas propuestas en el modelo OSI:
Figura 2: Capas del modelo OSI y su aplicabilidad en cada capa. Fuente

http://gargasz.info/index.php/osi-model-how-internet-works/
10

Capa de nivel 1 (Fsica): Es la que se encarga de pasar bits al medio fsico y de

suministrar servicios a la siguiente capa, para ello debe conocer las caractersticas
elctricas, mecnicas, funcionales y de procedimiento de las lneas. La capa 1 se
encarga de codificar los bits para activar nuestro equipo fsico, configura todos los
equipos activos de la red.
Capa de nivel 2 (Enlace de datos): Es la que se encarga de que los datos

enviados por la capa 1 se enven con seguridad a su destino, y libres de errores;
esta capa cuando la conexin no es peer to peer (punto a punto) no puede
asegurar su contenido es la capa superior quien lo debe hacer; esta asegura el
envi de cliente a servidor.
Capa de nivel 3 (Red): Esta capa se encarga de la transmisin de los paquetes y

de encaminar cada uno en la direccin adecuada, no se ocupa de los errores o
prdidas de paquetes. Define la estructura de direcciones y las rutas de internet.
Capa de nivel 4 (Transporte): Garantiza la fiabilidad del servicio, define cuando y

como debe utilizarse la retransmisin para asegurar su llegada. Si la capa de red
utiliza el protocolo IP, la capa de transporte es responsable de reordenar los
paquetes recibidos fuera de secuencia.
Capa de nivel 5 (Sesin): Es una extensin de la capa de transporte que nos

ofrece un control de dialogo y sincronizacin entre los computadores que estn
transmitiendo datos de cualquier ndole. Ofrece varios servicios como son: Control
de la sesin a establecer entre el emisor y el receptor, es decir, quien transmite y
quien escucha) Control de la concurrencia (que dos comunicaciones a la misma
operacin crtica no se efecten al mismo tiempo). Mantener puntos de verificacin
(checkpoints), que sirven para que, ante una interrupcin de transmisin por
cualquier causa, la misma se pueda reanudar desde el ltimo punto de verificacin
en lugar de repetirla desde el principio.
Capa de nivel 6 (Presentacin): Es la encargada de manejar la estructura de

datos abstracta y realizar las conversiones de representacin de los datos
necesarios para la correcta interpretacin de los mismos. En ella se tratan
11

aspectos tales como la semntica y la sintaxis de los datos transmitidos, ya que

distintas computadoras pueden tener diferentes formas de manejarlas.
Capa de nivel 7 (Aplicacin): Ofrece a las aplicaciones la posibilidad de acceder

a los servicios de las dems capas y define los protocolos que utilizan las
aplicaciones para intercambiar datos, como correo electrnico (POP y SMTP),
gestores de bases de datos y servidor de ficheros (FTP).

optimo.
Modelo OSI Ing. William Marn Moreno
Link: http://www.ie.itcr.ac.cr/marin/telematica/trd/01_modelo_OSI_v2.pdf
Modelo OSI exa argentina
Link:http://www.exa.unicen.edu.ar/catedras/comdat1/material/ElmodeloOSI.
pdf
12

Leccin 4: Firewalls
Quizs uno de los elementos ms publicitados a la hora de establecer seguridad,
sean estos elementos. Aunque deben ser uno de los sistemas a los que ms se
debe prestar atencin, distan mucho de ser la solucin final a los problemas de
seguridad. De hecho, los Firewalls no tienen nada que hacer contra tcnicas
como la Ingeniera Social y el ataque de Insiders [3].
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que
ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
Todo el trfico desde dentro hacia fuera, y viceversa, debe

pasar a travs de l.
Slo el trfico autorizado, definido por la poltica local de
seguridad, es permitido.
Figura 3: Visin general sobre una red domestica con un firewall y sin un
firewall. Fuente http://www.novajo.ca/firewall.html
13

Como puede observarse, el Muro Cortafuegos, slo sirven de defensa perimetral

de las redes, no defienden de ataques o errores provenientes del interior, como
tampoco puede ofrecer proteccin una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la informacin
entrante y saliente debe pasar a travs de ellos para proveer servicios de
seguridad adicionales como la encriptacin del trfico de la red. Se entiende que
si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo de
encriptacin-desencriptacin para entablar la comunicacin.
En la actualidad existen un sin numero de firewalls, que contribuyen a la
seguridad tanto de hogares como de grandes organizaciones, estos son los tipos
de firewalls:
Filtrado por paquetes

Se utilizan Routers con filtros y reglas basadas en polticas de control de acceso.
El Router es el encargado de filtrar los paquetes (un Choke) basados en
cualquiera de los siguientes criterios:
Protocolos utilizados.
Direccin IP de origen y de destino.
Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del trfico. Restringiendo
las comunicaciones entre dos computadoras (mediante las direcciones IP) se
permite determinar entre cuales mquinas la comunicacin est permitida.
El filtrado de paquetes mediante puertos y protocolos permite establecer que
servicios estarn disponibles al usuario y por cuales puertos. Se puede permitir
navegar en la WWW (puerto 80 abierto) pero no acceder a la transferencia de
archivos va FTP (puerto 21 cerrado).
Debido a su funcionamiento y estructura basada en el filtrado de direcciones y
puertos este tipo de Firewalls trabajan en los niveles de Transporte y de Red del
Modelo OSI y estn conectados a ambos permetros (interior y exterior) de la red.
Tienen la ventaja de ser econmicos, tienen un alto nivel de desempeo y son
transparentes para los usuarios conectados a la red. Sin embargo presenta
debilidades como:
14

No protege las capas superiores a nivel OSI.
Las necesidades aplicativas son difciles de traducir como filtros de

protocolos y puertos.
No son capaces de esconder la topologa de redes privadas, por lo que
exponen la red al mundo exterior.
Sus capacidades de auditora suelen ser limitadas, al igual que su
capacidad de registro de actividades.
No soportan polticas de seguridad complejas como autentificacin de
usuarios y control de accesos con horarios prefijados.
Proxy y Gateways de aplicaciones: Para evitar las debilidades asociadas al

filtrado de paquetes, los desarrolladores crearon software de aplicacin
encargados de filtrar las conexiones. Estas aplicaciones son conocidas como
Servidores Proxy y la mquina donde se ejecuta recibe el nombre de Gateway de
Aplicacin o Bastion Host.
El Proxy, instalado sobre el Nodo Bastin, acta de intermediario entre el cliente y
el servidor real de la aplicacin, siendo transparente a ambas partes. Cuando un
usuario desea un servicio, lo hace a travs del Proxy. Este, realiza el pedido al
servidor real devuelve los resultados al cliente. Su funcin fue la de analizar el
trfico de red en busca de contenido que viole la seguridad de la misma.
Dual-Homed Host: Son dispositivos que estn conectados a ambos permetros

(interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del
Filtrado de Paquetes), por lo que se dice que actan con el "IP-Forwarding
desactivado".
Un usuario interior que desee hacer uso de un servicio exterior, deber
conectarse primero al Firewall, donde el Proxy atender su peticin, y en funcin
de la configuracin impuesta en dicho Firewall, se conectar al servicio exterior
solicitado y har de puente entre este y el usuario interior.
15

Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el
Firewall y el otro desde este hasta la mquina que albergue el servicio exterior.
Figura 4: Ilustracin de un Dual-Homed Gateway. Fuente

http://lib.ru/SECURITY/firewall-faq/firewall-faq.txt_with-big-pictures.html
Screened host: En este caso se combina un Router con un host bastin y el

principal nivel de seguridad proviene del filtrado de paquetes. En el bastin, el
nico sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en
el Choke se filtran los paquetes considerados peligrosos y slo se permiten un
nmero reducido de servicios.
Screened subnet: Este diseo se intenta aislar la mquina ms atacada y

vulnerable del Firewall, el Nodo Bastin. Para ello se establece una Zona
Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta mquina no
consiga el acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router
exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos:
16

hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la
red interna y la DMZ (zona entre el Router externo y el interno).
Figura 5: Ilustracin de un screened subnet con un sistema adicional.

Fuente http://www.vtcif.telstra.com.au/pub/docs/security/80010/_16687_figure440.gif
Como puede apreciarse la Zona Desmilitarizada asla fsicamente lo s servicios

internos, separndolos de los servicios pblicos. Adems, n o existe una
conexin directa entre la red interna y la externa.
Los sistemas Dual-Homed Host y Screnned pueden ser complicados de
configurar y comprobar, lo que puede dar lugar, paradjicamente, a importantes
agujeros de seguridad en toda la red. En cambio, si se encuentran bien
configurados y administrados pueden brindar un alto grado de proteccin y
ciertas ventajas:
Ocultamiento de la informacin: los sistemas externos no deben conocer el
nombre de los sistemas internos. El Gateway de aplicaciones es el nico
autorizado a conectarse con el exterior y el encargado de bloquear la
informacin no solicitada o sospechosa.
17

Registro de actividades y autenticacin robusta: El Gateway requiere de

autenticacin cuando se realiza un pedido de datos externos. El registro de
actividades se realiza en base a estas solicitudes.
Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes
por parte del Router sern menos compleja dado a que l slo debe
atender las solicitudes del Gateway.
As mismo tiene la desventaja de ser intrusivos y no transparentes para el
usuario ya que generalmente este debe instalar algn tipo de aplicacin
especializada para lograr la comunicacin. Se suma a esto que generalmente
son ms lentos porque deben revisar todo el trfico de la red.
Inspeccin de paquetes: Este tipo de Firewalls se basa en el principio de que

cada paquete que circula por la red es inspeccionado, as como tambin su
procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones.
Generalmente son instalados cuando se requiere seguridad sensible al contexto y
en aplicaciones muy complejas.
Firewalls Personales: Estos Firewalls son aplicaciones disponibles para usuarios

finales que desean conectarse a una red externa insegura y mantener su
computadora a salvo de ataques que puedan ocasionarle desde un simple
"cuelgue" o infeccin de virus hasta la prdida de toda su informacin
almacenada.
Polticas de Diseo de Firewalls

Las polticas de accesos en un Firewalls se deben disear poniendo principal
atencin en sus limitaciones y capacidades pero tambin pensando en las
amenazas y vulnerabilidades presentes en una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas
de seguridad. Tambin es importante definir los usuarios contra los que se debe
proteger cada recurso, ya que las medidas diferirn notablemente en funcin de
esos usuarios.
18

Generalmente se plantean algunas preguntas fundamentales que debe

responder cualquier poltica de seguridad:
Qu se debe proteger?. Se deberan proteger todos los elementos de

la red interna (hardware, software, datos, etc.).
De quin protegerse?. De cualquier intento de acceso no autorizado
desde el exterior y contra ciertos ataques desde el interior que puedan
preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente

el acceso de determinados usuarios externos a determinados servicios o
denegando cualquier tipo de acceso a otros.
Cmo protegerse?. Esta es la pregunta ms difcil y est orientada a establecer
el nivel de monitorizacin, control y respuesta deseado en la organizacin. Puede
optarse por alguno de los siguientes paradigmas o estrategias:
Paradigmas de seguridad
Se permite cualquier servicio excepto aquellos expresamente

prohibidos.
Se prohbe cualquier servicio excepto aquellos expresamente
permitidos. La ms recomendada y utilizada aunque algunas veces
suele acarrear problemas por usuarios descontentos que no pueden
acceder a tal cual servicio.
Estrategias de seguridad
Paranoica: se controla todo, no se permite nada.

Prudente: se controla y se conoce todo lo que sucede.
Permisiva: se controla pero se permite demasiado.
Promiscua: no se controla (o se hace poco) y se permite todo.
Restricciones en el Firewall
La parte ms importante de las tareas que realizan los Firewalls, la de permitir o
denegar determinados servicios, se hacen en funcin de los distintos usuarios y
su ubicacin:
19

Usuarios internos con permiso de salida para servicios

restringidos: permite especificar una serie de redes y direcciones a los que
denomina Trusted (validados) . Estos usuarios, cuando provengan del
interior, van a poder acceder a determinados servicios externos que se han
definido.
Usuarios externos con permiso de entrada desde el exterior: este es el
caso ms sensible a la hora de vigilarse. Suele tratarse de usuarios
externos que por algn motivo deben acceder para consultar servicios de la
red interna.
Tambin es habitual utilizar estos accesos por parte de terceros para prestar
servicios al permetro interior de la red. Sera conveniente que estas cuentas
sean activadas y desactivadas bajo demanda y nicamente el tiempo que sean
necesarias.
Beneficios de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las
computadoras de la red estaran expuestos a ataques desde el exterior. Esto
significa que la seguridad de toda la red, estara dependiendo de que tan fcil
fuera violar la seguridad local de cada maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar
alarmas de intentos de ataque, el administrador ser el responsable de la
revisin de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi
imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis
el nmero disponible de direcciones IP, esto ha hecho que las intranets adopten
direcciones sin clase, las cuales salen a Internet por medio de un "traductor de
direcciones", el cual puede alojarse en el Firewall.
Los Firewalls tambin son importantes desde el punto de vista de llevar las
estadsticas del ancho de banda "consumido" por el trafico de la red, y que
procesos han influido ms en ese trafico, de esta manera el administrador de la
red puede restringir el uso de estos procesos y economizar o aprovechar mejor el
ancho de banda disponible.
20

Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir
partes de un sitio que tienen distintas necesidades de seguridad o para albergar
los servicios WWW y FTP brindados.
Limitaciones de un Firewall
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no
se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls
no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos
por su diseador, por ende si un paquete de informacin no se encuentra dentro
de estos parmetros como una amenaza de peligro simplemente lo deja pasar .
Ms peligroso an es que ese intruso deje Back Doors, abriendo un hueco
diferente y borre las pruebas o indicios del ataque original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un
intruso logra entrar a la organizacin y descubrir passwords o los huecos del
Firewall y difunde esta informacin, el Firewall no se dar cuenta. El Firewall
tampoco provee de herramientas contra la filtracin de software o archivos
infectados con virus, aunque es posible dotar a la mquina, donde se aloja el
Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, l NO
protege de la gente que est dentro de la red interna. El Firewall trabaja mejor si
se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el
trfico de entrada y salida permitido por el Firewall, menor ser la resistencia
contra los paquetes externos. El nico Firewall seguro (100%) es aquel que se
mantiene apagado".
optimo.
Thinking About Firewalls Marcus J. Ranum
Link:
http://www.ie.itcr.ac.cr/marin/telematica/trd/01_modelo_OSI_v2.pdf
21

Leccin 5: Topologas y tipos de redes

La topologa de una red es el arreglo fsico o lgico en el cual los dispositivos de
una red (computadoras, impresoras, servidores, hubs, switches, enrutadores, etc.)
se interconectan entre si sobre un medio de comunicacin [4].
La disposicin de los diferentes componentes de una red se conoce con el nombre
de topologa de la red. La topologa idnea para una red concreta va a depender
de diferentes factores, como el nmero de mquinas a interconectar, el tipo de
acceso al medio fsico que deseemos, etc. Podemos distinguir tres aspectos
diferentes a la hora de considerar una topologa:
La topologa fsica, que es la disposicin real de las mquinas,

dispositivos de red y cableado (los medios) en la red.
La topologa lgica, que es la forma en que las mquinas se comunican a
travs del medio fsico. Las ms comunes son: broadcast (Ethernet) y
transmisin de tokens (Token Ring).
La topologa matemtica, mapas de nodos y enlaces, a menudo formando
patrones.
Topologa en Bus
Es aquella en la cual cada computadora que quiera conectarse a la red se une a
un cable, con la cual todas las computadoras comparten el mismo cable para
efectuar su trfico, se trata de la arquitectura Cliente-Servidor o Peer to Peer.
Figura 6: Topologa BUS. Fuente http://tareas-laura-topologias-dered.blogspot.com/2011/06/topologia-bus.html

22

Topologa en Anillo: Corresponde a aquella configuracin de red mediante la

cual todas las computadoras acceden a un anillo principal o troncal (backbone)
como medio de transferencia de informacin. Las computadoras en la red
retransmiten los paquetes que reciben y los envan a la siguiente computadora en
la red.
Esta topologa se usa frecuentemente en redes de IBM. La informacin puede ir
en dos direcciones hacia un equipo en particular.
Figura 7: Topologa anillo. Fuente

http://elmundodelasredes.netne.net/organizacion.html
Topologa en Estrella
Es aquella configuracin en la que cada computadora tiene su propio cable
conectado a un HUB o SWITCH, a travs del cual se intercambian los mensajes
que van desde un cliente a un servidor.
Esta topologa es la utilizada actualmente por las nuevas redes de computadoras
ya que ofrece el mejor desempeo que la topologa de Bus.
Figura 8: Topologa Estrella. Fuente

23

Topologa en rbol
La topologa en rbol se denomina tambin topologa en estrella distribuida. Al
igual que suceda en la topologa en estrella, los dispositivos de la red se conectan
a un punto que es una caja de conexiones, llamado HUB.
Estos suelen soportar entre 4 y 32 equipos. Los hubs se conectan a una red en
bus, formando as un rbol o pirmide de hubs y dispositivos. Esta topologa rene
muchas de las ventajas de los sistemas en bus y en estrella.
Figura 9: Topologa rbol . Fuente

Topologa en Malla Completa
En una topologa de malla completa, cada nodo se enlaza directamente con los
dems nodos. Las ventajas son que, como cada nodo se conecta fsicamente a
los dems, si algn enlace deja de funcionar la informacin puede circular a travs
de cualquier cantidad de enlaces hasta llegar a destino.
Por otro lado, esta topologa permite que la informacin circule por varias rutas a
travs de la red. La desventaja fsica principal es que slo funciona con una
pequea cantidad de nodos, ya que de lo contrario la cantidad de medios
necesarios para los enlaces, y la cantidad de conexiones con los enlaces se torna
abrumadora.
24

Figura 10: Topologa Malla Completa. Fuente

En toda red existe una coleccin de mquinas, llamadas hostales para

confeccionar programas de usuario, aplicaciones.
Los hostales estn conectados mediante una subred de comunicacin, o
simplemente subred. El trabajo de la subred consiste en enviar mensajes entre
hostales. Una subred consiste de dos componentes diferentes: las lneas de
transmisin y los elementos de conmutacin. Las lneas de transmisin, conocidas
como circuitos se encargan de mover bits entre mquinas y los elementos de
conmutacin son ordenadores especializados que se utilizan para conectar dos o
ms lneas de de transmisin. Una red informtica est formada por un conjunto
de ordenadores intercomunicados entre s que utilizan distintas tecnologas de
hardware/software. Las tecnologas que utilizan (tipos de cables, de tarjetas,
dispositivos...) y los programas o lenguajes de comunicaciones (protocolos) varan
segn la dimensin y funcin de la propia red.
Normalmente, cuando los ordenadores estn en red pueden utilizar los recursos
que los dems pongan a su disposicin en la red (impresoras, mdem), o bien
acceder a carpetas compartidas. El propietario (tcnicamente llamado
administrador) de un ordenador en red puede decidir qu recursos son accesibles
en la red y quin puede utilizarlos.
Por ende las redes se clasifican en los siguientes tipos:
25

Redes LAN (Local Area Network).

Se conoce a la red de rea local (LAN) como la forma de normalizar las
conexiones entre las mquinas que se utilizan como sistemas ofimticos. Como su
propio nombre indica, constituye una forma de interconectar una serie de equipos
informticos. La LAN ms difundida, la Ethernet, utiliza un mecanismo
denominado Call Sense Multiple Access-Collision Detect (CSMS-CD).
Esto significa que cada equipo conectado slo puede utilizar el cable cuando
ningn otro equipo lo est utilizando. Todas las LAN comparten la caracterstica de
poseer un alcance limitado y de tener una velocidad suficiente para que la red de
conexin resulte invisible para los equipos que la utilizan. LAN tambin
proporcionan al usuario multitud de funciones avanzadas.
Hay paquetes de software de gestin para controlar la configuracin de los
equipos en la LAN, la administracin de los usuarios, y el control de los recursos
de la red. Los servicios en la mayora de las LAN son muy potentes. Los routers y
los bridges son equipos especiales que permiten conectar dos o ms LAN. El
bridge es el equipo ms elemental y slo permite conectar varias LAN de un
mismo tipo. El router es un elemento ms inteligente y posibilita la interconexin
de diferentes tipos de redes de ordenadores.
Figura 11: Red tpica LAN (Red de rea Local). Fuente

http://innovando.net/por-que-instalar-una-red-lan-en-mi-negocio/
26

Redes WAN (Wide Area Network): Dos de los componentes importantes de cualquier
red son la red de telfono y la de datos, son enlaces para grandes distancias que amplan
la LAN hasta convertirla en una red de rea extensa (WAN). Casi todos los operadores de
redes nacionales ofrecen servicios para interconectar redes de computadoras, que van
desde los enlaces de datos sencillos y a baja velocidad que funcionan basndose en la
red pblica de telefona hasta los complejos servicios de alta velocidad adecuados para
la interconexin de las LAN. Estos servicios de datos a alta velocidad suelen denominarse
conexiones de banda ancha.
Figura 12: Red Wan (Red de rea Amplia). Fuente

http://www.indaelpro.com.mx/paginas/redeswan.php
Red MAN (Metropolitan Area Network)
Una MAN (Red de rea metropolitana) conecta diversas LAN cercanas
geogrficamente (en un rea de alrededor de cincuenta kilmetros) entre s a alta
velocidad. Por lo tanto, una MAN permite que dos nodos remotos se comuniquen
como si fueran parte de la misma red de rea local. Una MAN est compuesta por
conmutadores o routers conectados entre s con conexiones de alta velocidad
(generalmente cables de fibra ptica).
27

Figura 13: Red MAN (Red de rea Metropolitana). Fuente

Red PAN (Personal Area Network)

Se establece que las redes de rea personal son una configuracin bsica
llamada as mismo personal la cual est integrada por los dispositivos que estn
situados en el entorno personal y local del usuario, ya sea en la casa, trabajo,
carro, parque, centro comercial, etc. Esta configuracin le permite al usuario
establecer una comunicacin con estos dispositivos a la hora que sea de manera
rpida y eficaz. Actualmente existen diversas tecnologas que permiten su
desarrollo, entre ellas se encuentran la tecnologa inalmbrica Bluetooth o las
tecnologas de infrarrojos. Sin embargo para su completo desarrollo es necesario
que estas redes garanticen una seguridad de alto nivel, que sean altamente
adaptables a diversos entornos, y que sean capaces de proporcionar una alta
gama de servicios y aplicaciones, tanto aplicaciones que requieran una alta
calidad multimedia como pueden ser la video conferencia, la televisin digital o los
videojuegos, como aplicaciones de telecontrol que requieran anchos de banda
muy bajos soportados sobre dispositivos de muy reducido tamao
28

Figura 14: Red PAN (Red de rea Personal). Fuente

http://etecnologia.com/gadgets/funcionamiento-bluetooth

optimo.
Redes Locales Ma Del Carmen Romero Ernero
Link:
http://books.google.com.co/books?id=duk7kYoYwEC&pg=PA53&dq=topologia+de+redes&hl=es&sa=X&ei=Go3GUd7B
MvS30AGX9IGACg&ved=0CDgQ6AEwAjgK#v=onepage&q=topologia%20d
e%20redes&f=false
29

CAPITULO 2: CONCEPTOS BSICOS EN LAS REDES INALMBRICAS

Introduccin
Las redes Wlan (Wireless Local Area Network) o ms conocidas como redes
inalmbricas, son quizs unas de las mayores comodidades que se pueda
disfrutar en estos momentos, pero sin que mucha gente tenga conocimiento de los
grandes riesgos que se presentan en dichas redes. En la actualidad se avanza en
cuanto conectividad se trata, aquellas pocas de conexiones cableadas y
molestas estn por terminar.
Muchos de los dispositivos que se utilizan en redes PAN (Personal Area Network)
como lo son: impresoras, teclados, mouse, auriculares, estn disponibles en
conexiones inalmbricas , generando de tal forma el rango perimetral de un
ataque ya que no se tienen las medidas o el conocimiento necesario para poder
administrar de forma correcta dichas redes, muchas personas desconocen el
poder que pueden tener las redes Wlan y, no se percatan del dao colateral que
se puede generar por el uso de dichas redes. Es bien sabido que no existe
sistema informtico seguro, pero si puede existir un sistema con excelentes
mtricas de seguridad para mitigar los posibles riesgos de ataques, y no hay mejo
forma que comenzar a conocer ms a fondo las redes Wlan.
Es importante conocer la estructura y forma de operar de las redes Wlan, para
lograr detectar y analizar los posibles agujeros de seguridad de esta forma
podremos ir al mismo nivel o quizs un paso ms adelante que un atacante, se
debe recordar que ellos buscan siempre la oportunidad para lograr vulnerar un
sistema o red informtica, siempre van a buscar la forma ms fcil y la que tenga
menos trabajo para robar informacin, por lo tanto hay que conocer el terreno en
su totalidad para cerrar todas las puertas que generen inseguridad en la red. Al
desconocer su forma de operar y funcionar, se toman riesgos tales como: permitir
que personas externas configuren de forma incorrecta los dispositivos de red, no
conocer la red y dejar agujeros grandes de seguridad, permitir que un atacante
engae para capturar informacin confidencial de manera fcil; son muchos los
peligros que se corren al no conocer este tipo de tecnologa, y al igual que se debe
conocer las redes Wlan tambin se debe conocer el gran listado de tipos de redes
existentes actualmente alrededor del mundo.
30

Leccin 6: Inicios de las redes Wlan

El origen de la WLAN se remonta a la publicacin en 1979 de los resultados de un
experimento realizado por ingenieros de IBM en Suiza, que utiliza enlaces
infrarrojos para crear una red local en una fbrica. Estos resultados, pueden
considerarse como el punto de partida en la lnea evolutiva de esta tecnologa [5].
Las investigaciones siguieron adelante tanto con infrarrojos como con microondas,
donde se utilizaba el esquema del spread-spectrum(frecuencias altas), siempre a
nivel de laboratorio. En mayo de 1985, y tras cuatro aos de estudios, el FCC
(Federal Communications Comission), la agencia federal del Gobierno de Estados
Unidos encargada de regular y administrar en materia de telecomunicaciones,
asign las bandas IMS (Industrial, Scientific and Medical) 902-928 MHz, 2,4002,4835 GHz, 5,725-5,850 GHz a las comunicaciones inalmbricas basadas en
spread-spectrum. IMS es una banda para uso comercial sin licencia, es decir, el
FCC simplemente la establece las directrices de utilizacin, pero no se involucra ni
decide sobre quin debe transmitir en ella. A continuacin se podr observar un
cuadro comparativo entre los diversos estndares de IEEE, Tabla 1.
Tabla 1. Tabla comparativa entre los diversos estndares propuestos por

la IEEE, ac se puede comparar, velocidad, frecuencia y, radio de
cobertura. Fuente
http://blogcmt.com/2010/05/28/conceptos-basicos-de-telecos-redesinalambricas-fijas-y-en-bandas-de-uso-comun/
31

La asignacin de una banda de frecuencias propici una mayor actividad en el

seno de la industria. Ese respaldo hizo que las WLAN empezaran a dejar ya el
laboratorio para iniciar el camino hacia el mercado. Desde 1985 hasta 1990 se
sigui trabajando ya ms en la fase de desarrollo, hasta que en mayo de 1991 se
publicaron varios trabajos referentes a WLAN operativas que superaban la
velocidad de 1 Mbps, el mnimo establecido por el IEEE 802 para que la red sea
considerada realmente una LAN.
WLAN (Wireless Local Area Networks) es una tecnologa de acceso
inalmbrico a redes de comunicaciones electrnicas de mbito reducido o de rea
local. El trmino WiFi (Wireless Fidelity) surge como marca de certificacin
de conformidad con estndares el cual es la importancia de converger hacia
un patrn nico que logre cubrir el mbito de las WLAN. Entre las principales
prestaciones de las redes WLAN se encuentran:
Alta disponibilidad
Escalabilidad
Gestionabilidad
Arquitectura abierta
WIFI
En lo que se refiere al Wi-Fi es un conjunto de estndares para redes inalmbricas
basados en las especificaciones IEEE 802.11. Creado para ser utilizado en
entornos sin cables, el uso ms frecuente en la actualidad es el acceso a Internet,
aunque su empleo en el mbito audiovisual est creciendo rpidamente [6].
Wi-Fi es una marca de la Wi-Fi Alliance, la organizacin comercial que adopta,
prueba y certifica que los equipos cumplen los estndares 802.11.
El problema principal que pretende resolver la normalizacin es la compatibilidad.
No obstante, existen distintos estndares que definen diferentes tipos de redes
inalmbricas. Esta variedad produce confusin en el mercado y descoordinacin
en los fabricantes. Para resolver este inconveniente, los principales vendedores de
soluciones inalmbricas (3com, Airones, Intersil, Lucent Technologies, Nokia y
Symbol Technologies) crearon en 1999 una asociacin conocida como WECA
(Wireless Ethernet Compability Aliance, Alianza de Compatibilidad Ethernet
Inalmbrica). El objetivo de sta fue crear una marca que permitiese fomentar ms
fcilmente la tecnologa inalmbrica y asegurase la compatibilidad de equipos.
32

De esta forma, en abril de 2000, WECA certifica la interoperatibilidad de equipos

segn la norma IEEE 802.11b bajo la marca Wi-Fi (Wireless Fidelity, Fidelidad
Inalmbrica). Esto quiere decir que el usuario tiene la garanta de que todos los
equipos que tengan el sello Wi-Fi pueden trabajar juntos sin problemas,
independientemente del fabricante de cada uno de ellos.
En el ao 2002 eran casi 150 miembros en la asociacin WECA. Como la norma
802.11b ofrece una velocidad mxima de transferencia de 11 Mbps, ya existen
estndares que permiten velocidades superiores, WECA no se ha querido quedar
atrs. Por ese motivo, anunci que empezara a certificar tambin los equipos
IEEE 802.11a de la banda de 5 Ghz mediante la marca Wi-Fi5.
La norma IEEE.802.11 fue diseada para sustituir a las capas fsicas y MAC de la
norma 802.3 (Ethernet). Esto quiere decir que en lo nico que se diferencia una
Wi-Fi de una Ethernet es en la forma en la que los ordenadores y terminales en
general acceden a sta; el resto es idntico. Por tanto, una red local inalmbrica
802.11 es completamente compatible con todos los servicios de las de cable 802.3
(Ethernet).
Las redes Wlan cuentan con tres estados que son:
Uso privado, cuando se limita el uso de esta tecnologa a un entorno
privado (empresa u hogar) y limitado el uso a las personas de ese hogar,
empresa u organizacin.
Uso pblico, cuando se utiliza para dar un servicio pblico de acceso a
Internet, redes de telefona, ...., al que se puede conectar cualquier persona
que haya contratado ese servicio o que cumpla los requisitos exigidos para
ello. Hot-spots, hoteles, centros de convenciones, cibercafs,.. son algunos
ejemplos de este uso.
Uso comunitario, se utiliza la tecnologa para compartir en una comunidad
concreta de hogares o de empresas el acceso a determinados recursos.
Qu sucede con l seguridad en las redes Wlan?

Uno de los problemas ms graves a los cuales se enfrenta actualmente la
tecnologa Wi-Fi es la seguridad. Un muy elevado porcentaje de redes son
instaladas por administradores de sistemas y redes por su simplicidad de
33

implementacin sin tener en consideracin la seguridad y, por tanto, convirtiendo

sus redes en redes abiertas, sin proteger la informacin que por ellas circulan.
Existen varias alternativas para garantizar la seguridad de estas redes. Las ms
comunes son la utilizacin de protocolos de cifrado de datos para los estndares
Wi-Fi como el WEP y el WPA que se encargan de codificar la informacin
transmitida para proteger su confidencialidad
Elementos de una red Wlan
Estaciones cliente (tarjetas de red inalmbricas)

APs
Antenas
Dispositivos No estndar en 802.11*

APs repetidores
Clientes universales y Workgroup bridges
Wireless bridges
A continuacin se ilustra en la Figura 15. el uso de las redes Wlan con tecnologa
Wifi.
Figura 15: Cobertura y diversificacin de usos en las redes Wlan. Fuente

http://karcos4.blogspot.com/
34


optimo.
Configuracin y conceptos Inalmbricos Bsicos - Blog Redes Cisco III

Link:
http://ciscoccna3.blogspot.com/2012/08/configuracion-y-conceptosinalambricos.html
Redes inalmbricas, comunicacin total - revista cec

Link: http://www.revistacec.com/articulo.asp?idart=441
35

Leccin 7: Arquitectura lgica de las redes Wlan

Modos de Operaciones Wlan
Un Service set (SS) es una agrupacin lgica de dispositivos. Las WLANs
proveen acceso a la red por medio de una seal de broadcast a travs de una
portadora de radio frecuencia (RF). Una estacin puede estar dentro de un rango
de transmisores, los cuales utilizan un service set identifier (SSID). La estacin
usa el SSID como filtro entre las seales recibidas y localiza la que desea
escuchar.
Las redes Wireless tienen diversos modos de operacin, entre ellos se
encuentran:
BSS (Basic Service Set): El modo BSS es el que se utiliza normalmente. Este modo
tambin se denomina modo infraestructura. En esta configuracin se conectan un determinado
nmero de puntos de acceso a una red cableada. Cada red wireless posee su
propio nombre. Este nombre es el SSID de la red. Los clientes wireless se conectan a
estos puntos de acceso. El estndar IEEE 802.11define el protocolo que se utiliza para realizar
esta conexin. Un cliente wirelesspuede asociarse con una determinada red wireless
especificando el SSID. Un clientewireless tambin puede asociarse a cualquier red que
se encuentre disponible; bastacon no especificar ningn SSID.
Sus elementos son:
El Punto de Acceso (AP)
Funciona como un concentrador inalmbrico de la red WLAN:
Todo el trfico pasa a su travs
Extienden una red LAN
Hace de Puente entre la LAN y las estaciones inalmbricas
Puede servir como repetidor en la conectividad de las dos redes WLAN

Roaming:
Brinda la posibilidad de que una estacin se asocie a otros AP
Interfaz web para su configuracin
Desplegando varios se puede cubrir un gran rea Estaciones:

36

PCs, porttiles, PDAs, etc
Figura 16: Ilustracin de un BSS. Fuente

http://es.scribd.com/doc/57037191/38/IBSS-Independent-BSS
IBSS (Independent Basic Service Set): El modo IBSS, tambin conocido como
modo ad-hoc, se ha diseado para facilitar las conexiones punto a punto. En
realidad existen dos tipos distintos de modos ad-hoc.Uno es el modo IBSS,
tambin conocido como modo ad-hoc o modo ad-hoc del IEEE. Este modo se
encuentra especificado en el estndar IEEE 802.11. El segundo tipo se denomina
modo ad-hoc de demostracin o modo ad-hoc de Lucent (y algunas veces,
tambin se le llama simplemente modo ad-hoc, lo cual es bastante confuso). Este
es el modo de funcionamiento antiguo, anterior al estndar 802.11, del modo adhoc debera utilizarse slo en instalaciones propietarias.
Es un conjunto de estaciones que no tienen una infraestructura de conexin
y que est compuesto por ms de dos estaciones inalmbricas.
Es una BSS sin puntos de acceso
Sin conexiones a otras redes
37

Las redes ad-hoc satisfacen las necesidades de usuarios que ocupan un

rea de cobertura pequea como un aula de clases, un piso de un hospital,
etc.
Los ordenadores se comunican directamente
Figura 17: Ilustracin de un IBSS. Fuente

http://es.scribd.com/doc/57037191/38/IBSS-Independent-BSS
Sistemas de Distribucin (DS) - Servicios Extendidos (ESS): Otra alternativa

de comunicacin inalmbrica es el esquema de comunicacin de equipos internos
con la incorporacin de un Punto de Acceso (AP), el cual se encarga de registrar
todos los equipos de la red as como tambin de manejar la conmutacin de los
paquetes.
Es importante destacar que los Puntos de Acceso normalmente cumplen
funciones de Puentes (Bridge) debido a que permiten interconectar redes
cableadas con los equipos inalmbricos, adems de agregar un conjunto de
caractersticas de administracin y seguridad a los dispositivos de la red.
En esencia esta topologa se basa en la integracin de dos o ms Conjuntos de

Servicios Extendidos, para lo cual es necesario la realizacin de enlaces de
38

interconexin entre los diferentes Puntos de Acceso de la red. Estos enlaces en

algunas ocasiones son realizados a travs de puertos de red cableada con
tecnologa Ethernet, sin embargo, algunos puntos de acceso permiten establecer
estos enlaces con los mismos canales de radio con los que se conectan los
usuarios finales.
Figura 18: Ilustracin de DS combinado con un ESS. Fuente

http://www.oocities.org/es/carlosaguirrelinarez/teg/ftegcapituloII.html
AD HOC Peer to Peer: Tambin conocidas como MANET Mobile ad hoc

networks. AD HOC viene del latn y se refiere a algo improvisado, mientras que
en comunicaciones el propsito de ad hoc es proporcionar flexibilidad y autonoma
aprovechando los principios de auto-organizacin. Una red mvil ad hoc es una
red formada sin ninguna administracin central o no hay un nodo central, sino que
consta de nodos mviles que usan una interface inalmbrica para enviar paquetes
de datos. Los ordenadores estn en igualdad de condiciones.
La conexin es establecida por la duracin de una seccin. Los artefactos
descubren otros artefactos cercanos o en rango para formar el network. Los
artefactos pueden buscar nodos que estn fuera del rea de alcance
conectndose con otros artefactos que estn conectados a la red y estn a su

alcance. Las conexiones son posibles por mltiples nodos.
39

Figura 19: Ilustracin de una conexin Ad Hoc. Fuente

http://www.eusso.com/Models/Wireless/UGL2454-01XR/UGL2454-01XR.htm

optimo.
Fundamentals of Wireless Lans Versin - stk1.1 - By Stake
Link:
http://es.scribd.com/doc/19370287/Fundamentos-de-WLAN-RedesInalambricasen-Espanol
Arquitectura de la solucin de LAN inalmbrica segura - Microsoft Tech Net
Link:
http://www.microsoft.com/latam/technet/articulos/wireless/pgch03.mspx
Redes Inalmbricas Ad Hoc - Armando Mercado, Rafael gil
Link: http://facultad.bayamon.inter.edu/cgonzalezr/ELEN4618/Adhoc.pdf
40

Leccin 8: Mtodos de acceso

El mtodo de acceso fundamental del MAC IEEE 802.11 [7], acceso mltiple con
deteccin de portadora y colisin evitable (CSMA/CA), se denomina Funcin de
Coordinacin Distribuida (DCF). La DCF se implementa en todas las STAs, para
su uso tanto en configuraciones de red ad hoc como de infraestructura.
El MAC IEEE 802.11 MAC tambin puede incorporar un mtodo de acceso
opcional, denominado Funcin de Coordinacin de Punto (PCF), que crea un
acceso libre de contencin (CF). La PCF slo puede utilizarse en configuraciones
de red de infraestructura
Tramas de datos: Una trama de datos, viene a ser lo mismo que un paquete de
datos (la informacin se enva por trozos, no entera).Estos paquetes constan de
cabecera (donde van los protocolos de enlace), datos (la informacin) y cola
donde suelen ir un chequeo de errores). Para delimitar estos paquetes se emplean
cuatro mtodos:
Por conteo de caracteres: en la cabecera se pone el nmero de bytes

que compone el paquete.
Por caracteres de principio y fin: Se emplea cdigos ASCII para
delimitar el principio y fin. Al principio se pone STX (Star of Transmisin) y
al final del paquete, ETX(End of Transmisin).
Por secuencias de bits: Se emplea una secuencia de bits para indicar el
principio y fin de una trama. Se suele emplear el guin, 01111110.
Por violacin del nivel fsico: Se trata de introducir una seal, o nivel de
seal, que no se corresponda ni con un uno ni con un cero. Por ejemplo si
la codificacin fsica es bipolar se puede usar el nivel de 0 voltios, o en
Codificacin Manchester se puede tener la seal a nivel alto o bajo durante
todo el tiempo de bit (evitando la transicin de niveles caracterstica de
este sistema
41

Tramas de control: Son tramas que dan asistencia a la transferencia entre

estaciones inalmbricas
Tramas RTS: implementan la funcin RTS para salvaguardar la presencia
de nodos ocultos.
Tramas CTS: implementan la funcin CTS para salvaguardar la presencia
de nodos ocultos
Trama ACK : implementan la funcin de confirmacin de recepcin de
tramas de datos sin error.
Figura 20: Pasos para asegurar una red Wlan. Fuente

http://technet.microsoft.com/es-es/library/dd458733.aspx
42

Asociacin punto de acceso y cliente

Una parte clave del proceso de 802.11 es descubrir una Wlan y, luego conectarse
a ella. Los componentes principales de este proceso son los siguientes:
Beacons: Tramas que utiliza la red Wlan para comunicar su presencia.
Sondas: Tramas que utilizan los clientes de l red Wlan para encontrar sus
redes.
Autenticacin: Proceso que funciona como instrumento del estndar
original 802.11, que el estndar todava exige.
Asociacin: Proceso para establecer la conexin de datos entre un punto
de acceso y un cliente Wlan.
Figura
21:
Paso
1,
Sonda
de
802.11.
Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf
43

Si el cliente Wlan slo quiere conocer las redes Wlan disponibles, puede enviar un
pedido de sondeo sin SSID, y todos los puntos de acceso que estn configurados
para responder este tipo de consulta, responderan. Las Wlan con la caracterstica
de Broadcast SSID deshabilitada no respondern.
Figura
22:
Paso
2,
autenticacin
de
802.11.
Fuente
802.11 se desarroll originalmente con dos mecanismos de autenticacin. El

primero, llamada autenticacin abierta, es fundamentalmente una autenticacin
NULL donde el cliente dice ''autentcame'', y el punto de acceso responde con ''si''.
Este es el mecanismo utilizado en casi todas las implementaciones de 802.11.
Un segundo mecanismo de autenticacin se basa en una clave que es compartida
por la estacin del cliente y el punto de acceso llamado proteccin de equivalencia
por cable (Cable WEP)
44

La idea de la clave WEP compartida es que le permita a una conexin inalmbrica

la privacidad equivalente a una conexin por cable, pero cuando originalmente se
implement este mtodo de autenticacin result deficiente. A pesar de que la
clave de autenticacin compartida necesita estar incluida en las implementaciones
de cliente y de punto de acceso para el cumplimiento general de los estndares,
no se utiliza ni se recomienda.
Figura
23:
Paso
3,
asociacin
de
802.11.
Fuente
En esta etapa finaliza la seguridad y las opciones de tasa de bit, y establece el

enlace de datos entre el cliente Wlan y el punto de acceso. Como parte de esta
etapa, el cliente aprende el BSSID, que es la direccin MAC del punto de acceso,
y el punto de acceso traza un camino a un puerto lgico conocido como el
identificador de asociacin (AID) al cliente Wlan. El AID es equivalente a un puerto
en un switch.
45

El proceso de asociacin permite al switch de infraestructura seguir la pista de las

tramas destinadas para el cliente Wlan, de modo que puedan ser reenviadas. Una
vez que un cliente Wlan se asoci con un punto de acceso, el trfico puede viajar
de un dispositivo a otro.
Figura 24: Mtodos para controlar el acceso a las redes Wlan. Fuente
Hoy en da las redes WiFi se han convertido en algo esencial para todo aquel
usuario que se conecta desde su ordenador a ellas est donde est, y por ello
siempre es prctico disponer de una herramienta que te detecte cuntas redes
WiFi existen a tu alrededor.
Y eso es lo que hace NetStumbler, el cual es una prctica herramienta que te
permite detectar y localizar redes inalmbricas WiFi, tanto para comprobar si te
puedes conectar a alguna de ellas (viendo si hay cobertura) como para verificar si
estn entorpeciendo de algn modo en tu conexin (con accesos no autorizados a
tu red si sta no estuviese protegida).
46

Ni el SSID camuflado ni el filtrado de direcciones MAC se consideran medios

vlidos para proteger a una Wlan, por los siguientes motivos:
Se puede suplantar la identidad de las direcciones MAC fcilmente.
Los SSID se descubren con facilidad, incluso si los puntos de acceso no los
transmiten.
Figura
25:
Evolucin
de
las
redes
Wlan.
Fuente

optimo.
Arquitectura de la solucin de LAN inalmbrica segura - Microsoft Tech Net
Link: http://technet.microsoft.com/es-es/library/dd458733.aspx
Estndar IEEE 802.11 X de las WLAN - Ing. Pablo Jara

Link:http://www.edutecne.utn.edu.ar/monografias/standard_802_11.pdf
47

Leccin 9: Rangos Inalmbricos

La tecnologa inalmbrica ofrece muchas ventajas en comparacin con las
tradicionales redes conectadas por cable. Una de las principales ventajas es la
capacidad de brindar conectividad en cualquier momento y lugar. La
implementacin extendida de la conexin inalmbrica en lugares pblicos,
conocidos como puntos de conexin, permite a las personas conectarse a Internet
para descargar informacin e intercambiar mensajes de correo electrnico y
archivos. La instalacin de la tecnologa inalmbrica es simple y econmica. El
costo de dispositivos inalmbricos domsticos y comerciales contina
disminuyendo. Sin embargo, a pesar de la disminucin del costo, las capacidades
y la velocidad de transmisin de datos han aumentado, lo que permite conexiones
inalmbricas ms confiables y rpidas.
La tecnologa inalmbrica permite que las redes se amplen fcilmente, sin
limitaciones de conexiones de cableado. Los usuarios nuevos y los visitantes
pueden unirse a la red rpida y fcilmente. pesar de la flexibilidad y los beneficios
de la tecnologa inalmbrica, existen algunos riesgos y limitaciones. Primero, las
tecnologas LAN inalmbricas (WLAN, Wireless LAN) utilizan las regiones sin
licencia del espectro de RF. Dado que estas regiones no estn reguladas, muchos
dispositivos distintos las utilizan. Como resultado, estas regiones estn saturadas
y las seales de distintos dispositivos suelen interferir entre s. Adems, muchos
dispositivos, como los hornos de microondas y los telfonos inalmbricos, utilizan
estas frecuencias y pueden interferir en las comunicaciones WLAN.
En segundo lugar, un rea problemtica de la tecnologa inalmbrica es la
seguridad. La tecnologa inalmbrica brinda facilidad de acceso, ya que transmite
datos de manera que otorga a todos los usuarios la capacidad de acceder a ella.
Sin embargo, esta misma caracterstica tambin limita la cantidad de proteccin
que la conexin inalmbrica puede brindar a los datos. Permite a cualquier
persona interceptar la corriente de comunicacin, incluso a los receptores
accidentales. Para tratar estas cuestiones de seguridad se han desarrollado
tcnicas para ayudar a proteger las transmisiones inalmbricas, por ejemplo la
encriptacin y la autenticacin.
Indoor (Varias Obstrucciones):

Las antenas estn integradas a la Tarjeta de Red Inalmbrica y la distancia entre
48

el CPE (Customer Premise Equipment - dispositivo instalado en el lado del

abonado) y el AP (Access Point) puede llegar a los 300m cuando no existen
paredes / obstculos en la trayectoria entre el CPE y el AP. Cuando existen
obstculos en la trayectoria, estas distancias se achican acorde a cun grande sea
el obstculo en cuestin. Valores tpicos pueden ubicarse dentro los 100m.
Aplicaciones para oficinas, aulas, etc.
Algunas Caractersticas especficas del rango indoor son:
Aplicaciones para oficinas, casas, salas de reuniones, etc..
Las antenas integradas a la Tarjeta de Red Inalmbrica)
Distancias hasta 300 mts sin obstculos y 100 mts con.
Figura
26:
Rangos
inalmbricos
Indoors.
Fuente
http://dspace.ups.edu.ec/bitstream/123456789/221/3/Capitulo%202.pdf
Outdoor (Sin obstrucciones):

En este rango se necesita tener Lnea de Vista, entre los puntos en donde se
encuentra la antena externa del CPE y la antena del AP (nodo de la red). En estas
49

aplicaciones los rangos de cobertura pueden llegar a varios kilmetros (10Km,

Aplicaciones para oficinas remotas, etc.) segn la configuracin total de la red.
Figura
27:
Rangos
inalmbricos
outdoor.
Fuente
Algunas Caractersticas especificas del rango outdoor son:
Para oficinas remotas
Libre de obstculos (Lnea de Vista)
Rangos de cobertura: pueden llegar a varios kilmetros segn la

configuracin total de la red.

optimo.
Topologas y requerimientos Wlan - UPS - Cuenca
Link:
50

Leccin 10: Servicios

IEEE 802,11 define los servicios que proporcionan las funciones que requiere la
capa LLC para el envo de Unidades de Datos de Servicio MAC (MSDUs) entre
dos entidades en la red. Estos servicios pueden clasificarse en dos categoras:
Servicios Lgicos:
Servicios de Distribucin (DSS): se relacionan con la administracin de
membrecas dentro de la celda y con la interaccin con estaciones que
estn fuera de la celda. Asociacin,
Disociacin, Reasociacin,
Distribucin e Integracin
Servicios de Estacin (SS): se relacionan con la actividad dentro de una
sola celda. Ambas categoras son utilizadas por la subcapa MAC.
Autenticacin, Desautenticacin, Privacidad y Entrega de datos
Servicios de Distribucin:
Asociacin: El servicio es utilizado por las estaciones para conectarse
ellas mismas al AP. Por lo general, se utiliza despus de que una estacin
se mueve dentro del alance de radio del AP. Una vez que llega, anuncia su
identidad y sus capacidades. Estas incluyen las tasas de datos soportadas
y los requerimientos de administracin de energa.
Disociacin: Elimina una asociacin existente. Una estacin podra utilizar
este servicio antes de apagarse o de salir, asimismo el AP podra utilizarlo
antes de su mantenimiento.
Reasociacin: Establece una asociacin (entre el AP y una estacin STA)
para ser trasladados de un AP a otro o el mismo AP.
Distribucin: Proporciona transmisin de MSDU de los Access Points a las
estaciones asociadas con ellos. Las Unidades de datos de servicio MAC
(MSDUs) pueden ser transmitidas a destinos inalmbricos o a redes
cableadas (Ethernet) o ambos a travs del concepto de "Sistema de
Distribucin".
51

Integracin: Traduce los MSDU recibidos del sistema de distribucin a un

no formato 802.11 y viceversa. Cualquier MSDU que se recibe del Sistema
de Distribucin DS invoca la integracin de los servicios de DSS antes de
la "distribucin" de servicios. El punto de conexin entre el DS y la red LAN
se denomina Portal.
Servicios de Estacin
Autenticacin: Establece la identidad de una estacin como miembro del
conjunto de estaciones que estn autorizadas a asociarse unos con otros.
Des-autenticacin: Eliminacin de una relacin existente de autenticacin.
Confidencialidad: Evita que el contenido de los mensajes puedan ser
ledos por personas distintas de los destinatarios. Este servicio maneja la
codificacin y decodificacin. Un algoritmo especificado es RC4.
Entrega MSDU: Entrega de unidades de datos de servicio MAC (MSDU)
para las estaciones.
Profundizacin Leccin 10: El estudiante debe profundizar en cada

leccin que sea vista para adquirir conocimientos a fondo y lograr un
aprendizaje optimo.
Lan Inalmbricas - UCLM Albacete
Link:
http://pablodeolavide.dynalias.com/adeubeda/apuntes%20de%20telefon%C
3%ADa/MATERIAL%20DID%C3%81CTICO%20%20ALUMNOS%20STI/08%20%20TELEFON%C3%8DA%20M%C3%93VIL/ARCHIVOS%20PDF/cap7.pdf
52

CAPITULO 3: MECNICAS BSICAS DE SEGURIDAD

Introduccin
La seguridad se ha convertido en factor importante en las grandes organizaciones
a nivel mundial, ya que de ello depende defender el good will que otorga el rango
de confiabilidad de cada organizacin. La seguridad va avanzando al ritmo del
crecimiento tecnolgico, dejando atrs mecanismos ambiguos y obsoletos que no
contribuirn de la misma forma que lo hicieron en pocas anteriores.
Un mecanismo mal administrado, o mal desarrollado, sera un punto dbil de
grandes dimensiones en una organizacin llevndola al desprestigio, cuando se
piensa en seguridad de la informacin se tiene que pensar ms all de los
aspectos tcnicos y centralizarse en el objetivo principal que sera resguardar los
activos ya que son la base solidad de cualquier organizacin o persona. Los
mecanismos de seguridad se despliegan desde los aspectos tcnicos ingenieriles,
hasta los administrativos y de gestin, este conjunto de procesos harn normas o
mtricas ms robustas o fuertes en las empresas u organizaciones. Todo
mecanismo debe estar actualizado y no obsoleto, sumndole personal capacitado
y multidisciplinar para tener cargos como oficiales de seguridad.
El avance de la tecnologa conlleva a grandes retos e iniciativas de ataques
informticos, cada segundo que pasa en el mundo siempre va a existir una mente
criminal e ingeniosa detrs de un teclado, buscando cada error que se genere
dentro y fuera de la organizacin; Los errores pueden ser tcnicos y de gestin
administrativa, de tal forma que siempre deben existir mecanismos por parte y
parte para lograr una seguridad perimetral adecuada para cada organizacin,
persona, o empresa. Es importante recalcar que para generar mecanismos de
gran autonoma se hace necesario tener conocimiento de las estructuras
informticas sobre las cuales se van a trabajar, ya que sin conocerlas sera el
fracaso total, y ello demarca el estudio terico prctico de los diversos campos de
la informtica.
53

Leccin 11: Pilares de la seguridad y mecanismos

A la hora de analizar la seguridad de un sistema informtico, hay que tener en
cuenta una serie de criterios. Generalmente, al describir estos criterios se hace
una analoga con la transmisin de un mensaje, si bien el concepto es aplicable a
la informacin almacenada, el acceso a recursos, etc.
Confidencialidad: Capacidad de enviar (y recibir) datos sin divulgarlos a ninguna
entidad no autorizada durante la transmisin de estos.
Mecanismos: Encripcin (simtrica asimtrica)
Integridad: Capacidad de enviar (y recibir) datos de tal forma que una entidad no
autorizada no pueda cambiar ninguna parte de los datos sin que el receptor o
transmisor pueda detectar el cambio.
Mecanismos: firmas digitales usando funciones hash.
Disponibilidad: Capacidad de enviar o recibir datos. Ejemplo : bajo un ataque de

negacin de servicio un sistema no estar disponible para enviar o recibir datos.
Mecanismos: en su mayora mecanismos de defensa para detectar ataques

DoS.
Autenticacin: Establece la identidad de transmisor o receptor de la informacin.
Mecanismos: mltiples protocolos como 802.1x, RADIUS, PAP/CHAP, MSCHAP, etc.
Autorizacin: Establece que tiene permitido hacer una vez que se ha identificado.
(Control de acceso, capacidades y permisos). Va de la mano con la autenticacin.
Mecanismos: mltiples protocolos
54

Control de acceso: Capacidad de controlar el acceso de las entidades a los

recursos basados en diferentes propiedades: atributos, autenticacin, polticas, etc
[8].
Mecanismos: En un AP basado en la autenticacin o conocimiento de una

clave WEP o WPA.
Encripcin: Capacidad de transformar datos (o texto plano) en bytes

insignificantes (texto cifrado) basado en algn algoritmo.
Mecanismos: WEP, CKIP y TKIP
Administracin de clave: Un clave es un cdigo digital que puede ser usado para
encriptar, desencriptar y firmar informacin. La administracin de claves (key
management) es el proceso de distribucin de claves.
Mecanismos: Distribucin de claves

aprendizaje optimo.
Conceptos en seguridad de los sistemas de informacin: confidencialidad,
integridad, disponibilidad y trazabilidad - Jess Jimnez Herranz
Link:
http://oposcaib.wikispaces.com/file/view/38++Conceptes+en+seguretat+dels+sistemes+d%27informaci%C3%B3.+Confi
dencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf
55

Leccin 12: Estndares Wlan

Organizaciones Wlan:
FCC (Federal Communications Commission): es una agencia estatal

independiente de Estados Unidos, bajo responsabilidad directa del
Congreso. La FCC fue creada en 1934 con la Ley de Comunicaciones y es
la encargada de la regulacin (incluyendo censura) de telecomunicaciones
interestatales e internacionales por radio, televisin, redes inalmbricas,
telfonos, satlite y cable. Regula las bandas ISM 900 Mhz, 2.4 Mhz, 5.8
Mhz
Figura 28: Logo, Comisin Federal

http://transition.fcc.gov/cgb/spanish/
de
Comunicaciones.
Fuente
IEEE (Institute of Electrical and Electronics Engineers): Es una

asociacin tcnico-profesional mundial dedicada a la estandarizacin, entre
otras cosas. Con cerca de 425.000 miembros y voluntarios en 160 pases,
es la mayor asociacin internacional sin nimo de lucro formada por
profesionales de las nuevas tecnologas, como ingenieros elctricos,
ingenieros en electrnica, cientficos de la computacin, ingenieros en
informtica, matemticos aplicados, ingenieros en biomdica, ingenieros en
telecomunicacin e ingenieros en Mecatrnica .Desarrolla los estndares
para WLANs [9].
Figura 29: Logo, Instituto de Ingenieros Elctricos y Electrnicos. Fuente

http://www.ieee.org.co/portal/
ETSI IEEE (European Telecommunications Standards Institute):

Instituto Europeo de Normas de Telecomunicaciones es una organizacin
de estandarizacin de la industria de las telecomunicaciones (fabricantes de
56

equipos y operadores de redes) de Europa, con proyeccin mundial. El

ETSI ha tenido gran xito al estandarizar el sistema de telefona mvil
GSM.
Figura 30: Logo, Instituto Europeo de Normas de Telecomunicaciones.

Fuente https://www.certigna.fr/bonnes-raisons-choisir-certigna-ssl.xhtml
IEEE 802 es un estudio de estndares elaborado por el Instituto de Ingenieros

Elctricos y Electrnicos (IEEE) que acta sobre Redes de ordenadores.
Concretamente y segn su propia definicin sobre redes de rea local (RAL, en
ingls LAN) y redes de rea metropolitana (MAN en ingls). Tambin se usa el
nombre IEEE 802 para referirse a los estndares que proponen, algunos de los
cuales son muy conocidos: Ethernet (IEEE 802.3), o Wi-Fi (IEEE 802.11). Est,
incluso, intentando estandarizar Bluetooth en el 802.15 (IEEE 802.15).
IEEE 802.11a: Estndar superior al 802.11b, pues permite velocidades
tericas mximas de hasta 54 Mbps, apoyndose en la banda de los 5GHz.
A su vez, elimina el problema de las interferencias mltiples que existen en
la banda de los 2,4 GHz (hornos microondas, telfonos digitales DECT,
BlueTooth).
Figura 31: 12 canales con frecuencia de 10 MHz.

http://andersonramirez.tripod.com/ieee802.htm#IEEE%20802.11a
Fuente
Es aplicada a una LANs inalmbrica. La especificacin esta aplicada a los

sistemas de ATM inalmbricos
57

IEEE 802.11b: Extensin de 802.11 para proporcionar 11 Mbps usando

DSSS. Tambin conocido comnmente como Wi-Fi (Wireless Fidelity):
Trmino registrado promulgado por la WECA para certificar productos IEEE
802.11b capaces de nter operar con los de otros fabricantes. Es el
estndar ms utilizado en las comunidades inalmbricas.
Figura 32: 14 canales de secuencia directa (DS).

http://andersonramirez.tripod.com/ieee802.htm#IEEE%20802.11b
Fuente
Son 14 canales de secuencia directa (DS). Cada canal DS transmite en 22 MHz,

pero la separacin entre ellos es solamente de 5 MHz. Debido al traslape hay
interferencia entre los canales vecinos. De los 14 canales solamente 3 no se
solapan: 1, 6 y el 11.
IEEE 802.11g: Utiliza la banda de 2,4 GHz, pero permite transmitir sobre
ella a velocidades tericas de 54 Mbps. Se consigue cambiando el modo de
modulacin de la seal, pasando de 'Complementary Code Keying' a
'Orthogonal Frequency Division Multiplexing'. As, en vez de tener que
adquirir tarjetas inalmbricas nuevas, bastara con cambiar su firmware
interno.
IEEE 802.11n: Es un nuevo estndar para dispositivos Wireless que llega a
soportar hasta 600 Mbps y puede dar cobertura a pequeas oficinas.
Norma an no ha salido definitivamente

Inici trabajos en Enero de 2004
Banda de 2,4 GHz
Velocidades: Hasta 600 Mbps
58

OFDM + MIMO (Multiple Input Multiple Output)

Varios arreglos de antenas para transmitir y recibir
Explota multiplexin y diversidad espaciales
Actualmente hay equipos que manejan hasta 300Mbps (80-100
estables)
IEEE 802.11f: Define los servicios primitivos y protocolos para que los Aps
de diferentes fabricantes puedan intercambiar informacin. Estndar
relativamente desconocido y poco complejo. IAPP (Inter-Access Point
Protocol) puede ser usado tambin entre switches y bridges que requieran
intercambiar informacin WLAN. Adiciona posibilidad de rpido roaming de
clientes.
IEEE 802.11e: Nombre literal: Media Access Control Quality of Service
Enhancements; Adiciona QoS y caractersticas bsicas para soporte de
multimedia en WLANs requeridas para aplicaciones de audio, voz y video.
No se garantizan niveles determinsticos de throughput o retardos, as que el
resultado final es el de Mejor esfuerzo.
IEEE 802.11k: Nombre literal: Specification for Radio Resource

Measurement. Adiciona funciones de medidas y reportes de un STA
(Station client). Los factores medidos incluyen: carga, ruido, beacons, nodos
escondidos, ambiente y rendimiento de los radios.
Estipula los mecanismos para mejorar la seleccin dinmica de la frecuencia
mediante un umbral de deteccin de interferencia, tiempos de chequeo de
disponibilidad de los canales, entre otros y define las frecuencias y los
canales.
Protocolos de Seguridad 802.11i : En enero de 2001, el grupo de trabajo

i task group fue creado en IEEE para mejorar la seguridad en la
autenticacin y la encripcin de datos a nivel inalmbrico. En junio de 2004,
la edicin final del estndar 802.11i fue adoptada y recibi el nombre
comercial WPA2 por parte de la alianza Wi-Fi.
Cambios fundamentales de IEEE 802.11i: La separacin de la

autenticacin de usuario de la integridad y privacidad de los
59

mensajes, proporcionando una arquitectura robusta y escalable, que

sirve igualmente para las redes locales domsticas como para los
grandes entornos de red corporativos.
TKIP: Inicia el proceso mediante una clave semilla de 128 bits compartida
temporalmente entre los usuarios y los puntos de acceso. Despus esa
clave temporal se combina con la direccin MAC del usuario y se le aade
un vector de inicializacin de 16 bits para originar la clave que cifrar los
datos, asegurando as que cada usuario manejar diferentes claves para la
encripcin.
TKIP se requiere para la certificacin WPA y se incluye como parte de RSN
802.11i como una opcin.

aprendizaje ptimo.
IEEE y los Standares 802.X (II) - Segu - Info
Link:
http://www.segu-info.com.ar/articulos/67-ieee-standares-802-2.htm
Estndares IEEE 802 - AIS
Link:
http://estandaresieee802redes.blogspot.com/
60

Leccin 13: Autenticacin y Privacidad

Seguridad en el Estndar 802.11: La seguridad en el estndar IEEE 802.11 se
define en la forma de autenticacin: Sistemas Abiertos y Sistemas de Clave
Compartida.
La autenticacin del Sistema Abierto es la opcin por defecto que se

utiliza en todo dispositivo estandarizado bajo IEEE 802.11. Este tipo de
autenticacin permite que cualquier cliente forme parte de la red. La seguridad
que nos proporciona un Sistema abierto es nula, por lo que cualquier cliente
puede acceder la red sin ningn problema.
La autenticacin de Clave Compartida (SKA). se requiere tambin la

implementacin del mecanismo de seguridad. Este mecanismo de seguridad
utiliza una nica clave secreta para todos los miembros de la red, la cual
fue conocida por los miembros antes de entrar en la red.
Figura 33: Autenticacin de clave compartida SKA

. Fuente http://www.expresionbinaria.com/seguridad-en-redes-wireless/
Mecanismos de Seguridad
El hecho de tener un Punto de Acceso irradiando seal, se convierte en
una vulnerabilidad si no se toman las acciones necesarias para
garantizar la seguridad. Cualquier persona que detecte la seal y logre ingresar
a la red podr navegar gratis por Internet, en el mejor de los casos, o podr
robar informacin sensible, insertar un virus informtico, bloquear servidores,
entre otros. En general, algunos mecanismos son:
61

SSID: Como uno de los primeros niveles de seguridad que se pueden definir en
una red inalmbrica se cita al SSID (Service Set Identifier o identificador
del servicio). Aunque se trata de un sistema muy bsico (normalmente no
se tiene por un sistema de seguridad), este identificador permite establecer o
generar, tanto en la estacin cliente como en el Punto de Acceso, redes lgicas
que interconectarn a una serie de clientes.
Normalmente, los puntos de acceso difunden su SSID para que cada
cliente pueda ver los identificadores disponibles y realizar la conexin a alguno
de ellos simplemente seleccionndolos. Pero tambin se puede inhabilitar la
difusin de este SSID en el
punto de acceso, para dificultar el
descubrimiento de la red inalmbrica por parte de personas ajenas a su uso.
Figura 34: Difusin del SSID - Fuente

http://www.draytek.com/index.php?option=com_k2&view=item&id=4012:vigor21
10n&Itemid=1436&lang=es
Filtrado de direcciones MAC o ACL (Access Control List): Este mtodo

consiste en la creacin de una tabla de datos en cada uno de los Puntos de
Acceso de la red inalmbrica.
62

Ventajas: Sencillez de implementacin, por lo cual se puede usar para redes

caseras o pequeas.
Desventajas:
Es necesario modificar las tablas en cada AP

El formato de una direccin MAC no es amigable, puede llevar a
cometer errores en la manipulacin de las listas.
Las direcciones MAC viajan sin cifrar por el aire.
En caso de robo de un equipo inalmbrico, el ladrn dispondr
de un dispositivo que la red reconoce como vlido.
No garantiza la confidencialidad de la informacin transmitida, ya que
no prev ningn mecanismo de cifrado.
Figura 35: Interfaz para posterior configuracin de direcciones MAC Fuente http://wiki.ubnt.com/images/c/ce/Mac_acl.png
Protocolo WEP (Wired Equivalent Privacy): Forma

parte de la
especificacin 802.11, y se dise con el fin de proteger los datos que
se transmiten en una conexin inalmbrica mediante cifrado [10].
WEP utiliza una misma clave simtrica y esttica en las estaciones y el
Punto de Acceso; y no contempla ningn mecanismo de distribucin
automtica de claves, lo que obliga a escribir la clave manualmente en cada
uno de los elementos de la red. algoritmo de cifrado utilizado es RC4 con
claves, segn el estndar, de 64 bits.
Estos 64
bits (24
bits
correspondientes al vector de inicializacin + 40 bits de la clave secreta).
Los 40 bits son los que se deben distribuir manualmente.
63

El vector de inicializacin (IV) es predecible. WEP no ofrece servicio de

autenticacin. El cliente no puede autenticar la red, ni al contrario; basta
con que el equipo mvil y el Punto de Acceso compartan la clave WEP
para que la comunicacin pueda llevarse a cabo. Los protocolos WEP tienen
las siguientes ventajas:
Encripcin WEP
Clave compartida y secreta
Usa algoritmo de encripcin RC4
Autenticacin WEP
Autenticacin abierta
Autenticacin de clave compartida
Administracin de Claves
Comparte la misma clave en ambos sentidos
Tamao de la Clave entre 64 y 128 bits
Se puede utilizar con filtrado MAC
Protocolo de seguridad WPA (Wi-Fi Protected Access): Es un estndar

propuesto por los miembros de la Wi-Fi Alliance en colaboracin con la IEEE.
Este estndar busca subsanar los problemas de WEP, mejorando el cifrado de los
datos y ofreciendo un mecanismo de autenticacin.
Para solucionar el problema de cifrado de los datos, WPA propone un
nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity
Protocol - Protocolo de Clave Temporal de Integridad). cambiando la clave
compartida entre Punto de Acceso y cliente cada cierto tiempo con una longitud
128 bits en lugar de 40 bits como WEP.
La clave pasa de ser nica y esttica a ser generada de forma dinmica.
TKIP utiliza el algoritmo Michael para garantizar la integridad, generando un
bloque de 4 bytes denominado MIC a partir de la direccin MAC de origen, de
destino y de los datos, aadiendo el MIC calculado a la unidad de datos a enviar.
Metodos de autenticacin WPA: Los mtodos de autenticacin definidos en

WPA son: EAP-TLS, EAP-TTLS y PEAP. Estos mtodos se basan en la
infraestructura de clave pblica (PKI) para autenticar al usuario y al
servidor de autenticacin, utilizando certificados digitales.
64

La premisa es la existencia de una Autoridad de Certificacin (CA) de confianza

para la organizacin, que emita certificados para los usuarios y el servidor
de autenticacin. La CA puede ser privada (empresarial) o pblica (basada
en CAs de Internet como Verisign).
Figura 36: Proceso de Encripcin utilizando TKIP o AES - Fuente

http://palizine.plynt.com/issues/2007May/wpa-security/
PEAP : PEAP fue diseado por Microsoft, Cisco y RSA. Cuando el cliente ha
validado el certificado del servidor de autenticacin y creado el tnel,
usando TLS se inicia una nueva autenticacin donde negocian un mtodo,
por ejemplo MS-CHAP v2, tras autentificar el servidor al cliente, ambos generan
la clave de sesin.
PEAP y EAP-TTLS: EAP-TLS exige que todos los clientes dispongan de un

certificado digital lo que puede ser, en muchos casos, un inconveniente tcnico
y econmico.
Para evitar esta necesidad aparecen 2 mtodos: Protected EAP (PEAP) y EAPTunneled TLS (EAP-TTLS), que requieren nicamente del certificado en el
servidor de autenticacin. La idea subyacente es que si el servidor de
autenticacin dispone de un certificado digital, el cliente podr enviarle datos
cifrados, crendose un tnel de seguridad por donde el cliente podr enviar
sus datos de autenticacin.
65

A continuacin un diagrama donde se especifican de forma general cada uno de

los protocolos utilizados en Wireless:
Figura 37: Diagrama de la seguridad en Wireless - Fuente el autor.
Leap: EAP Liviano [Lightweight EAP (LEAP)] es tambin llamado EAP-Cisco.

LEAP es la versin de Cisco de EAP. Es para usar sobre redes que
actualmente no soportan EAP.
Las versiones actuales de los protocolos de autenticacin (EAP) pueden no
proporcionar la funcionalidad que se necesita y ser demasiado exigentes.
Esto podra comprometer el rendimiento del equipo WLAN, por lo tanto, LEAP
es una buena opcin cuando se utilizan equipos Cisco.
66

Figura 38: Leap - Fuente

http://www.ciscopress.com/articles/article.asp?p=369223&seqNum=4
Ahora se ver en la Figura 36. el protocolo Eap-Tls.
Figura 39: Eap - Tls - Fuente

67

Eap Md5: Es una autenticacin de un sentido que esencialmente duplica la

proteccin de password CHAP en una WLAN. EAP-MD5 se utiliza como un bloque
de construccin en EAP-TTLS.
Figura 40: Eap - Md5 - Fuente

El Protocolo de Autenticacin Expandible MD5 (EAP-MD5) no debera ser usado,

porque no proporciona autenticacin mutua.
Eap - Ttls: EAP-Seguridad de Capa de Transporte en Tnel [EAP-Tunneled
Transport Layer Security (EAP-TTLS)] es un borrador IETF creado por Funk
software y Certicom.
EAP-TTLS provee una funcionalidad similar a PEAP. EAP-TTLS protege las
passwords usando TLS, que es una forma avanzada de Capa de Socket Seguro
[Secure Socket Layer (SSL)]. EAP-TTLS actualmente requiere un servidor
RADIUS de Funk software.
68

Figura 41: Inconvenientes y ventajas del Eap - Md5 - Fuente

Eap - Otp: Passwords Ocasionales [EAP- One Time Passwords (EAP-OTP)]

tambin recibe el nombre de EAP-Tarjeta Token Genrica [EAP- Generic Token
Card (EAP-GTC)].
Eap - Sim: Utiliza la misma tarjeta inteligente o SIM que se utiliza en los telfonos
mviles GSM para proporcionar autenticacin. EAP-SIM puede fcilmente
montarse sobre EAP-TLS.
Tabla 2. Mtodos de autenticacin de cada estndar. Fuente. El Autor.

69

WPA2 (IEEE 802.11i): Es el nuevo Estndar del IEEE para proporcionar

seguridad en redes WLAN.
Incluye el nuevo algoritmo de cifrado AES (Advanced Encription Standard),
desarrollado por el NIST. Se trata de un algoritmo de cifrado de bloque (RC4 es
de flujo) con claves de 128 bits.
Requiere un hardware potente para realizar sus algoritmos. Para
el
aseguramiento de la integridad y autenticidad de los mensajes, WPA2
utiliza CCMP (Counter-Mode/Cipher Block Chiang /Message Authentication
Code Protocol) en lugar de los cdigos MIC.
VPN (Redes Privadas Virtuales): Emplea tecnologas de cifrado para crear un

canal virtual privado sobre una red de uso pblico.
Las VPN resultan especialmente atractivas para proteger redes inalmbricas,
debido a que funcionan sobre cualquier tipo de hardware inalmbrico y superan
las limitaciones de WEP.
Para configurar una red inalmbrica utilizando las VPN, debe comenzarse
por asumir que la red inalmbrica es insegura, y permitir su acceso mediante el
uso de una lista de acceso adecuada en un enrutador o agrupando todos los
puertos de acceso inalmbrico en una VLAN si se emplea dispositivos de capa 2
(Switch).
Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente
inalmbrico a los servidores de autorizacin y autenticacin de la VPN.
Deber permitirse acceso completo al cliente,
slo cuando ste ha sido
debidamente autorizado y autenticado.
70

Tabla 3. Tabla comparativa de los protocolos de seguridad- Fuente

El Autor.
aprendizaje ptimo.
Protocolos de seguridad en redes inalmbricas - Saulo Barajas Doctorado
en Tecnologas de las Comunicaciones Universidad Carlos III de Madrid
Link: http://www.saulo.net/des/SegWiFi-art.pdf
Seguridad Wi-Fi WEP, WPA y WPA2 - Guillaume Lehembre
Link:http://www.zero13wireless.net/wireless/seguridad/01_2006_wpa_ES.p
df
Estudio de vulnerabilidad de los cifrados wep y Wpa, y su impacto en las
redes inalmbricas de rea Local - Juan Rodrigo Sac de Paz
Link: http://biblioteca.usac.edu.gt/tesis/08/08_0466_CS.pdf
71

Leccin 14: Ataques y vulnerabilidades

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de
redes inalmbricas. Para tener acceso a una red cableada es imprescindible una
conexin fsica al cable de la red. Sin embargo, en una red inalmbrica
desplegada en una oficina un tercero podra acceder a la red sin ni siquiera estar
ubicado en las dependencias de la empresa, bastara con que estuviese en un
lugar prximo donde le llegase la seal. Es ms, en el caso de un ataque pasivo,
donde slo se escucha la informacin, ni siquiera se dejan huellas que posibiliten
una identificacin posterior. El canal de las redes inalmbricas, al contrario que en
las redes cableadas privadas, debe considerarse inseguro. Cualquiera podra
estar escuchando la informacin transmitida. Y no slo eso, sino que tambin se
pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos).
Las mismas precauciones que tenemos para enviar datos a travs de Internet
deben tenerse tambin para las redes inalmbricas.
Problemas concretos de seguridad en Wifi

Puntos Ocultos: Este es un problema especfico de las redes inalmbricas, pues
suele ser muy comn que los propios empleados de la empresa por cuestiones de
comodidad, instalen sus propios puntos de acceso. Este tipo de instalaciones, si
no se controlan, dejan huecos de seguridad enormes en la red. El peor de estos
casos es la situacin en la cual un intruso lo deja oculto y luego ingresa a la red
desde cualquier ubicacin cercana a la misma.
Falsificacin de AP: Es muy simple colocar una AP que difunda sus SSID, para
permitir a cualquiera que se conecte, si sobre el mismo se emplean tcnicas de
Phishing, se puede inducir a creer que se est conectando a una red en
concreto. Existen varios productos ya diseados para falsificar AP, en la
terminologa WiFi se los suelen llamar Router AP o Fake AP, el ms comn es
un conocido script en Perl denominado justamente FakeAP, que enva Beacons
con diferentes ESSID y diferentes direcciones MAC con o sin empleo de WEP.
Cada atacante o hacker tienen objetivos o perspectivas diferentes, he aqu

algunos de sus objetivos ms comunes:
72

Acceso a los recursos en una red (archivos confidenciales).

Hacer uso de la red para navegacin (sin pagar por ello), o para enviar
miles de correos (spam) sin que sepan quin es, o para enviar un virus, etc.
Para daar la red y que otros no
puedan tener acceso.
Ataques Pasivos
Espionaje: Este tipo de ataque consiste en observar el entorno donde se
encuentra instalada la red inalmbrica, no se necesita ningn tipo de hardware o
software especial. Sirve para recopilar informacin y se puede combinar con otro
tipo de ataques. Tambin consiste en observar el entorno donde se encuentra
instalada la red inalmbrica, no se necesita ningn tipo de hardware o software
especial. Sirve para recopilar informacin y se puede combinar con otro tipo de
ataques.
Warchalking: Se trata de un lenguaje de smbolos utilizado para marcar sobre el
terreno la existencia de las redes inalmbricas, de forma que puedan ser
utilizadas por aquellos que 'pasen por all'. El lenguaje como tal es
realmente simple [11].
Figura 42:Signos para interpretar el Warchalking - Fuente

http://realtimecity.danielbauer.com/inoutframe.html
73

WarDriving: Es el mtodo ms conocido para detectar las redes inalmbricas

inseguras. Se realiza habitualmente con un dispositivo mvil, como un
ordenador porttil o un PDA. El mtodo es realmente simple: el atacante
simplemente pasea con el dispositivo mvil y en el momento en que
detecta la existencia de la red, se realiza una anlisis de la misma.
Para realizar el Wardriving se necesitan realmente pocos recursos. Los
ms habituales son un ordenador porttil con una tarjeta inalmbrica, un
dispositivo GPS para ubicar el PA en un mapa y el software apropiado
(AirSnort para Linux, BSD- AriTools para BSD o NetStumbler para
Windows).
Figura 43: Ataques a las redes Wifi desde un auto, a esto se le denomina
WarDriving - Fuente http://www.flickr.com/photos/vickyken/3326195529/
Interceptar una Seal: El atacante intenta identificar el origen y el destino que

posee la informacin. Es decir, la toma de posesin y el uso del ancho de banda
de las WLAN privadas y de los hot spot pblicos, mediante un kit bsico de
war-driver, programas sniffer descargables de la Red. Tras haber interceptado
la seal, el atacante intentar recopilar informacin sensible del sistema. El
Wireless Hacking puede requerir que el war-driver tenga que exponerse
74

peligrosamente, teniendo que acercarse a la red para poder capturar la seal.

Esto puede provocar una probable tendencia a una mayor prudencia.
Tcnicas de Intrusin
MAC Spoofing (Suplantacin de MAC) Hijacking: Para este caso el intruso
imita una direccin MAC de un cliente vlido y trata de asociarse al Punto de
Acceso. Existen dos formas de encontrar una direccin MAC, por fuerza
bruta (aunque bastante complejo) simplemente monitoreando el canal y
capturando paquetes.
Asociacin Maliciosa: En este tipo de ataque el intruso intenta obtener

informacin valiosa de la red, hacindose pasar por un Punto de
Acceso vlido y asociando clientes inadvertidos.
Sniffing: El sniffing o escucha es un ataque que tiene como fin obtener

informacin, tales como MACs, IPs origen y destino, contraseas, claves WEP,
etc.
Es un paso previo a ataques activos posteriores como inyeccin y modificacin de
mensajes. Para el ataque se necesita:
Una tarjeta de red inalmbrica en modo promiscuo o monitor

Un programa Sniffer
Prismdump,Ethereal,Tcpdump,,Wireshark,AiroPeek, Snniffer
Los chipsets ms utilizados para sniffing son: Prism2 (Linksys, D-Link, SMC
y otros), Orinoco (Lucent) y Aironet (Cisco).
Descubrimiento de Contrasea: El objetivo de este ataque es descifrar la

contrasea que un usuario legtimo utiliza para acceder a la WLAN. Para obtener
la contrasea se realizan principalmente dos tipos de ataques:
Ataque por Fuerza Bruta: En los ataques por fuerza bruta, el atacante
intenta romper el cifrado mediante la prueba de todas las combinaciones
posibles.
Se puede conseguir:
Nombres de usuario
75

Contraseas de autenticacin del usuario

Claves de los algoritmos de cifrado
Caractersticas:
Consigue el objetivo
Demasiado tiempo gastado
Crece exponencialmente entre ms larga es la clave.
Ataques por Diccionario: No se intentan todas las combinaciones
posibles, como se hace en el ataque por fuerza bruta, se usan palabras
probables, las cuales son tomadas de un diccionario de palabras y
nombres.
Tiempo de ataque se reduce.
Estos dos tipos de ataques son los normalmente usados para descubrir
claves de una WLAN que est usando WEP como protocolo de seguridad.
Ataques Activos
Son ataques que implican la modificacin en el flujo de datos o la creacin de
falsos flujos en la transmisin de datos. Dentro de sus Objetivos se encuentra:
Pretender ser alguien que en realidad no se es.

Colapsar los servicios que puede prestar la red.
APs no autorizados- ROUGE: Un AP no autorizado es un AP que se conecta sin

permiso a la red existente. Puede ser uno de los ataques ms perjudiciales.
Necesita tener acceso fsico a la WLAN. Vulnera todos los mecanismos basados
en el cifrado de informacin entre extremos (WEP, WPA, etc).
Figura
44:
Ataque
de
Rouge
Acces
http://www.wm.edu/as/computerscience/research/projects/index.php
Fuente
76

Spoofing: En esta tcnica el intruso pretende ser la fuente real u original. El

atacante suplanta parmetros del usuario invariantes antes, durante y despus de
la concesin de un privilegio.
Direccin MAC
Direccin IP
Direcciones de correo electrnico
Nombres de dominio
Nombres de recursos compartidos
Figura 45: Ataque de suplantacin, Spoofing - Fuente http://www.fluproject.com/spoofing.html
MIT ''Man In The Middle'': En este tipo de ataque, el intruso intenta insertarse, l
mismo, en la mitad de una comunicacin con el propsito de interceptar los
datos de un cliente. De esta forma podra modificar los datos y enviarlos al
destino real.
77

El aspecto crtico en las redes inalmbricas es que su medio de transmisin es el

aire, por lo cual, no se puede controlar quien detecta o percibe la seal. A
continuacin se explican los mecanismos de seguridad ms utilizados en redes
WiFi.
Figura 46: Ataque ARP, Conocido como MITM - Fuente http://www.fluproject.com/man-in-the-middle.html
Denegacin de Servicios DDoS - DoS: DoS (Denial of Service, Denegacin del

Servicio) Flooding attacks: Se considera netamente vandalismo, en este tipo
de ataque el intruso trata de bajar el servicio ofrecido por el Punto de
Acceso. Se puede realizar de dos formas: Irradiando seales RF en la banda
de 2.4GHz o 5 GHz hacia el Punto de Acceso enviando paquetes falsos de
terminacin de sesin Cliente Punto de Acceso [12].
El objetivo es impedir el correcto funcionamiento de la red, el atacante genera gran
cantidad de trfico hacia la red atacada, provocando que el AP se encuentre en
imposibilidad de responder a esta gran cantidad de trfico en la red y por tanto
deniegue el servicio a los usuarios, tanto a los legtimos como a los ilegtimos.
El atacante usar alguna herramienta, como pueden ser can, ettercap o nemesis
entre otras, para realizar un ARP Spoofing o tambin conocido como ARP
Poisoning. Este tipo de ataques se realiza en redes switcheadas y no con hubs.
78

El atacante envenenar las tablas ARP de las vctimas, enviando mensajes ARP
engaando a los objetivos.
Figura 47: Ataque DDoS, Denegacin de servicios Distribuida - Fuente

http://www.gitsinformatica.com/ddos.html

aprendizaje ptimo.
Seguridad en redes Wifi - David L. La Red Martinez
Link:http://exa.exa.unne.edu.ar/depar/areas/informatica/SistemasOperativo
s/MONOGRAFIA_DE_SEGURIDAD_EN_%20REDES_WIFI.pdf
Protocolos de Seguridad en redes Inalmbricas - Saulo Barajas

Link:http://www.zero13wireless.net/wireless/seguridad/01_2006_wpa_ES.p
df
WARDRIVING: EL PRELUDIO A UN ATAQUE INALMBRICO? - J.

Campio, R. Daza
Link:http://usuarios.multimania.es/wdcali/archivos/download/Wardriving%20
El%20Preludio%20De%20Un%20Ataque%20Inal%E1mbrico.pdf
79

Leccin 15: Procesos de Seguridad

Medidas de Seguridad Wifi
Emplear las mismas herramientas que los intrusos: realizar la misma actividad,
pero para el lado bueno, es decir realizar controles peridicos con Netstumbler,
Escuchar trfico e intentar obtener informacin trivial con Kismet o AirSnort,
medir potencias irradiadas con cualquier tarjeta desde los permetros de la red.
Mejorar la seguridad fsica: Estas mejoras se enfoca a la seguridad que pueda

tener el acceso a grandes servidores o a zonas DMZ; este tipo de seguridad no
puede pasarse por alto ya que podr traer futuros dolores de cabeza.
Cancelar puertos que no se emplean: Siempre existe una analoga entre

puertos abiertos y puertas abiertas en una casa, entre ms puertas se deje
abiertas, mayor el rango de que pueda ingresar un ladrn, exactamente pasa lo
mismo con los puertos, a mayor numero de puertos abiertos, mayor el rango de
ataque.
Limitar el nmero de direcciones MAC: que pueden acceder. Esta actividad se

realiza por medio de ACLs (Access List Control) en los AP, en las cuales se
especifica (a mano) las direcciones MAC de las tarjetas a las que se les permitir
el acceso, negando el mismo a cualquiera que no figure en ellas.
Satisfacer la demanda: Si se estn empleando AP no autorizados por parte de

los empleados, es porque les resulta til, por lo tanto, se pueden adoptar las
medidas para que se implanten, pero de forma segura y controlada, de otra forma,
seguirn apareciendo, pero de forma clandestina.
Controle el rea de transmisin: muchos puntos de acceso inalmbrico permiten

ajustar el poder de la seal. Coloque sus puntos de acceso tan lejos como sea
posible de las paredes y ventanas exteriores. Pruebe el poder de la seal para que
usted nicamente pueda conectarse a estos sitios. Luego, asegrese de cambiar
80

la contrasea predeterminada en todos los puntos de acceso. Utilice una

contrasea fuerte para proteger todos los puntos de acceso.
Implemente la autenticacin de usuario: Mejore los puntos de acceso para usar

las implementaciones de las normas WPA y 802.11i.
Proteja la WLAN con la tecnologa VPN Ipsec o tecnologa VPN

clientless: esta es la forma ms segura de prestar servicios de autenticacin de
usuario e integridad y confidencialidad de la informacin en una WLAN. La
tecnologa adicional VPN no depende del punto de acceso o de la tarjeta LAN
inalmbrica; por consiguiente, no se incurren en costos adicionales de hardware
puesto que las normas de seguridad inalmbrica continan evolucionando.
Active el mayor nivel de seguridad que soporta su hardware: incluso si tiene

un equipo de un modelo anterior que soporta nicamente WEP, asegrese de
activarlo. En lo posible, utilice por lo menos una WEP con un mnimo de
encriptacin de 128 bits.
Instale firewalls personales y proteccin antivirus en todos los dispositivos

mviles: la Alianza WiFi recomienda utilizar la poltica de seguridad de redes
corporativas para imponer su uso continuo.
Adquiera equipamiento que responda a los estndares y certificado por WiFi

Alliance.
Listado de recomendaciones bsicas en redes Wlan:
Deshabilite Telnet, http, CDP
Habilite SSH y TACACS para la autenticacin de Administrador
Virus Scanning + Firewall es recomendado en clientes WLAN
Monitoree las RF y los APs externos (posibles Rogue)

81

Haga escaneos peridicos de los clientes y la red
Cierre la red y oculte el SSID
El SSID puede ser capturado con monitoreo pasivo
MACs pueden ser vctimas de sniffing/spoofing
No use WEP: Puede obtenerse online/offline segn la cantidad de

trfico y tiempo empleado
Cambie las claves de manera frecuente: El trfico puede an ser
desencriptado offline
Utilice un portal de autenticacin
Red nueva => APs sopotando IEEE 802.11i.
APs solo soportan WPA => implementacin fundamentada en EAP

que soporte un tipo de autenticacin adecuado.
Para mayor seguridad EAP debe proporcionar una autenticacin
mutua, por lo tanto, no es aconsejable utilizar MD5.
En caso de utilizacin de EAP-TLS, EAP-TTLS y PEAP se
recomienda configurar los clientes inalmbricos con un certificado de
un servidor seguro y evitar que el usuario pueda modificar estos
parmetros. Solo privilegios del administrador.
Servidor PKI. Proporciona certificados X.509 para la autenticacin de
usuario y de servidor. Necesario en caso de emplearse EAP-TLS,
EAP-TTLS y PEAP.
Servidor OTP5. Proporciona autenticacin OTP mediante servidores
RADIUS. Puede emplearse con PEAP o EAP-TTLS.
Adicionalmente, es recomendable proteger el modo EAP empleado
(LEAP, PEAP, EAP-TTLS) contra ataques de fuerza bruta. El
82

servidor RADIUS debe bloquear las cuentas de usuario tras una

serie de intentos de logueo fallidos.
Cuando la cuenta de usuario est bloqueada el usuario no puede ser

autenticado hasta que no se lleva a cabo una serie de acciones
administrativas, lo que permite al administrador llevar a cabo un
examen de la seguridad.
Para evitar este riesgo, se puede exigir a los usuarios inalmbricos
llevar a cabo autenticacin tipo OTP.

aprendizaje ptimo.
Investigacin del servidor radius para la seguridad en redes lan
inalmbricas - pontn portilla diana carolina
Link:http://dspace.unach.edu.ec/bitstream/123456789/363/1/FI-ESC40A013.pdf
Seguridad en redes inalmbricas 802.11 - Juan Manuel Madrid Molina

Link:http://bibliotecadigital.icesi.edu.co/biblioteca_digital/bitstream/10906/40
0/1/jamdrid-seguridad_redes_inalambricas.pdf
Anlisis y diseo de lineamientos para generar una propuesta de soluciones
de
seguridad
Mena
Ludea,
Jorge
Luis
Link: http://www.dspace.ups.edu.ec/handle/123456789/4160
83

UNIDAD 2
Nombre de la Unidad
Introduccin
Mtricas y aspectos tcnicos de seguridad orientada a

las redes de datos
La seguridad hoy en da, se ha convertido en uno de los
componentes ms en la gran familia de la tecnologa,
siendo aplicada a todo tipo de proceso y logrando una
colaboracin en el cuidado de la informacin de empresas
y hogares.
Las mtricas al igual que los aspectos de configuracin
para brindar un nivel de seguridad adecuado, son ms
difciles cada da que pasa, ya que no se cuenta en
ocasiones con los componentes de aprendizaje iniciales,
esto lleva, a que sea una tarea bastante agotadora y, lo
peor del caso, una tarea que pone en riesgo toda una
organizacin. Las redes de datos son factor importante, ya
que son canales que transportan activos muy importantes
y sensibles, a estos activos se les llama informacin.
Es importante precisar el aprendizaje de tcnicas y
conceptos que logren administrar niveles de seguridad
bsica y esencial en el medio tecnolgico. Los procesos
de administracin de recursos y gestin de la seguridad
ha tomado un impacto bastante fuerte en este campo, ya
que antes se centraban esfuerzos en los componentes
tcnicos, pero en estos tiempos con grandes brechas de
seguridad sobre l, la gestin cubre gran parte de los
procesos de seguridad que se deben llevar en plenitud
para idealizar realmente lo que es la seguridad
informtica.
Justificacin
Cada proceso va encadenado al conocimiento de

conceptualizacin ya que a cada componente se le llama
por su nombre, al no tener dichos conocimientos previos
pueden generar confusin, desorganizacin, y, una muy
mala prctica de seguridad informtica, as que no hay
nada mejor que tener objetivos claros basados en la teora
de redes.
Los ataques informticos crecen cada da, con ms
fuerza, esto genera un crculo de competencias que se
deben aplicar al pro de la seguridad, sin dejar a un lado
que la seguridad no es una profesin, es un estilo de vida.
Este mdulo genera el conocimiento en tcnicas y
procesos para mitigar los riesgos en una red de datos,
84

todo ello formar profesionales de alta calidad que

puedan tener grandes responsabilidades como el de la
seguridad en redes de datos.
Intencionalidades
Formativas
Se indican casos de ataques que son un poco

convencionales, caseros, pero que a su vez generar una
alerta en el profesional de seguridad ya que estas
pequeas cosas pueden conllevar a grandes caos en el
mundo tecnolgico, de tal forma que no se puede dejar
ningn cabo suelto y, transmitir conocimientos pocos
convencionales para mostrar al mundo que se enfrentan.
Lo que se busca es brindar elementos conceptuales
necesarios frente a la sociedad del conocimiento, en
busca de desarrollar una mejor adaptacin de los nuevos
entornos de enseanza/aprendizaje, al igual que la
adopcin de un papel ms activo de los estudiantes, como
protagonistas de su formacin en un ambiente rico en
informacin y de entornos fluidos y mediticos de
comunicacin, no solo entre profesores y alumnos, sino
tambin con mltiples redes de conocimiento.
Todo esto se concreta en los propsitos, objetivos, metas
y competencias propuestas en este mdulo.
Las competencias que desarrollar el estudiante frente al
desarrollo de esta unidad son:
Conceptos bsicos y fundamentales en gestin de redes
de datos.
Funcionamiento secuencial de ataques informticos para
lograr propuestas que mitiguen el riesgo.
Conceptos avanzados en redes para
configuraciones fsicas y lgicas de calidad.
lograr
Anlisis profesionales en cuestionamiento de seguridad

en redes de datos.
Estas competencias lograrn que el profesional en
seguridad informtica pueda avanzar con el paso de la
85

tecnologa en la gran lnea del tiempo, siempre teniendo

claro la conceptualizacin de los temas.
Captulo 4
Leccin 16
Leccin 17
Leccin 18
Leccin 19
Leccin 20
Captulo 5
Leccin 21
Leccin 22
Leccin 23
Leccin 24
Leccin 25
Captulo 6
Leccin 26
Leccin 27
Leccin 28
Leccin 29
Leccin 30
Riesgos, vulnerabilidades y, amenazas en redes de

datos
Valoracin y anlisis de riesgos en redes
Diversificacin de herramientas de anlisis de intrusos
Errores constantes de seguridad en las redes
Arquitectura de seguridad en redes
Polticas y procedimientos
Aspectos tcnicos orientados a la seguridad en redes
de datos
Telnet
IPV6 y su tipo de direccionamiento
Seguridad enfocada a IPV6
Puertos
Firma Digital
Conceptos avanzados en redes
IPSec Internet Protocol Security
NIDS Network Based Instrusion Detection System
Seguridad DNS
Socks 5 y SSL
TLS, ISAKMP1
86

CAPITULO 4: RIESGOS, VULENRABILIDADES Y, AMENAZAS EN REDES DE

DATOS
Introduccin
Los sistemas de informacin y los datos almacenados son uno de los recursos
ms valiosos con los que puede contar cualquier Empresa u organizacin. La
necesidad imperante del flujo de informacin y el traslado de recursos de un sitio a
otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la
infraestructura de comunicacin.
Para que una empresa desarrolladora de software funcione correctamente y
alcance los objetivos propuestos por la administracin son necesarios activos o
recursos de diferentes ndoles y con diversos fines. Estos recursos pueden ser
humanos, materiales (edificios, instalaciones, inmuebles, papelera, hardware,
etc.) e inmateriales (software, experiencia, credibilidad, alcance de mercadeo etc.).
Todos estos recursos se encuentran en un entorno de incertidumbre, que en
ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del
funcionamiento normal de la actividad de la empresa.
La mayor parte de estas interrupciones suelen ser temporales y las condiciones
vuelven a ser normales en un perodo que no ocasiona situaciones crticas para la
actividad normal de la empresa. Sin embargo, puede haber circunstancias que
generen interrupciones prolongadas, que lleguen a influir en la capacidad de
funcionamiento de los servicios o impidan el desarrollo normal de los mismos
.
87

Leccin 16: Valoracin y anlisis de riesgos en redes

Valoracin del Riesgo
El anlisis de riesgo, tambin conocido como evaluacin de riesgo o PHA por sus
siglas en ingls Process Hazards Analysis, es el estudio de las causas de las
posibles amenazas y probables eventos no deseados, como lo son daos o
consecuencias que stas puedan producir [13].
El anlisis de los riesgos determinar cules son los factores de riesgo que
potencialmente tendran un mayor efecto sobre nuestro proyecto y, por lo tanto,
deben ser gestionados por el emprendedor con especial atencin.
RIESGO = AMENAZAS * VULNERABILIDADES

CAPACIDADES
Amenazas est dado por los siguientes componentes:

Targeting
Delincuencia Informtica
Amenazas indirectas
Anlisis del riesgo en redes y equipos: La gestin hace parte importante como
componente principal para el desarrollo de las mtricas de seguridad. A
continuacin se desglosa el anlisis de la siguiente forma:
Analizar los intereses sobre informacin de los principales actores de la
empresa. No se confe de nadie, pero siempre tenga en mano un backup de
persona.
Evaluar el impacto de la perdida de informacin, precio por dao o hacking
de equipos o redes.
Establecer el riesgo tcnico en el cual se encuentra la organizacin. Es
bueno evaluar todos los equipos.
88

El sper equipo costoso y sper seguro ''Routers, firewalls, Switch'' no

existen, ya que es ms que un mito, no interesa cunto se invierte en
seguridad, siempre va a quedar un agujero.
El hacker ms peligroso es uno mismo junto con la confianza.
Amenazas
Las amenazas informticas son los problemas ms vulnerables que ingresan a
nuestra computadora con el hecho de afectarlo (virus), ests son algunos tipos de
amenazas:
Targeting: Amenazas declaradas, amenazas potenciales.
Amenazas por delincuente comn.
Amenazas indirectas: Tener el equipo equivocado en el momento
equivocado.
Vulnerabilidad
Falencias o brechas representa el grado de exposicin a las amenazas en un
contexto particular. Dnde estn las mayores vulnerabilidades:
Seguridad fsica
Concienciar a los usuarios acerca de los problemas de seguridad.
Seguridad lgica
Seguridad en las telecomunicaciones.
Capacidades
Son los puntos fuertes y los recursos a los que puede acceder a una empres para
lograr un nivel razonable de seguridad.
Precisin en la informacin
89

Mantener, enviar y recibir informacin

Poseer informacin clave en pocas personas.
Poseer equipo de seguridad a la medida de la empresa y no a la del
fabricante
Qu puede hacer un hacker en una organizacin?

Aprovechar la confianza que se tiene sobre la red y los equipos. Tienen en
comn su deseo de buscar los puntos dbiles de una red.
La inseguridad se puede dividir en dos categoras:
Un estado de inseguridad activo: Es decir, la falta de conocimiento del
usuario acerca de las funciones del sistema, algunas de las cuales pueden
ser dainas para el sistema (por ejemplo, no desactivar los servicios de red
que el usuario no necesita, revisar las ACL de los enrutadores).
Un estado de inseguridad pasivo: Es decir, la falta de conocimiento de las
medidas de seguridad disponibles (por ejemplo, cuando el administrador o
usuario de un sistema no conocen los dispositivos de seguridad con los que
cuentan).
aprendizaje ptimo.
Manual de seguridad para pc y redes locales - COBB, STEPHEN
Link:http://dspace.ucbscz.edu.bo/dspace/bitstream/123456789/905/3/235.p
df
90


Unas de las prcticas actuales para el anlisis de intrusos es el hacking tico, ello
se utiliza para detectar las posibles vulnerabilidades o falencias en un sistema
informtico o red de datos. A continuacin se nombrarn algunas herramientas
utilizadas para el anlisis de redes:
Escner de red: Escner de uso general usado para encontrar vulnerabilidades
potenciales en la red de la empresa. (Tambin se podra incluir a los escaners de
redes VoIP). Estos escaners sirven a su vez para auditar redes LAN o WLAN,
facilitando el trabajo de indagar en dichas redes [14].
Escner de Puertos: El trmino escner de puertos o escaneo de puertos se

emplea para designar la accin de analizar por medio de un programa el estado
de los puertos de una mquina conectada a una red de comunicaciones. Detecta
si un puerto est abierto, cerrado, o protegido por un cortafuegos [15].
Se utiliza para detectar qu servicios comunes est ofreciendo la mquina y
posibles vulnerabilidades de seguridad segn los puertos abiertos. Tambin puede
llegar a detectar el sistema operativo que est ejecutando la mquina segn los
puertos que tiene abiertos. Es usado por administradores de sistemas para
analizar posibles problemas de seguridad, pero tambin es utilizado por usuarios
malintencionados que intentan comprometer la seguridad de la mquina o la red.
Escner para la seguridad de aplicaciones Web: Permite a los negocios realizar

evaluaciones de riesgo para identificar las vulnerabilidades en aplicaciones web y
as evitar ataques. Este tipo de escaners deberan ser utilizados tambin por el
departamento de desarrollo (programacin) de una aplicacin web, ayudando as
a encontrar todos los bugs que puedan generarse durante la creacin de la
aplicacin, antes de poner la aplicacin a un entorno de produccin.
Escner base de datos: Permite encontrar puntos dbiles en bases de datos,

protegiendo as el activo ms importante de una empresa. Es quizs una de las
herramientas ms importantes ya que si en la base de datos se llega a radicar un
error o una amenazase ver comprometido el buen nombre y la confianza de la
organizacin
91

Acunetix web Vulnerability Scanner: identifica primero los servidores web desde
una direccin IP particular o intervalo de IP. Despus de eso, rastrea todo el sitio,
rene informacin sobre cada archivo que encuentra y muestra la estructura de
todo el sitio web.
Despus de esta etapa de descubrimiento, realiza una auditora automtica para
los problemas de seguridad comunes. Acunetix Web Vulnerability Scanner es un
software que
detecta
automticamente
la
insercin
de
archivos.
El Escner de puerto y las alertas de red permiten realizar un escaneo del puerto
contra el servidor web donde se ejecuta el sitio web escaneado. Cuando se
encuentran los puertos abiertos, Acunetix WVS llevar a cabo complejas
comprobaciones de seguridad a nivel de red contra el servicio de red que se
ejecuta en ese puerto, como pruebas de recursividad a las DNS abiertas, pruebas
a servidores proxy mal configurados, a las cadenas de comunidad SNMP dbiles y
muchos otros controles de seguridad a nivel de red.
La Inyeccin SQL es uno de los muchos mecanismos de ataque de web utilizados
por los piratas informticos para robar datos de organizaciones. Quiz es una de
las tcnicas de ataque de aplicaciones ms comunes usadas hoy en da. Es el tipo
de ataque que aprovecha una codificacin incorrecta de las aplicaciones web y
permiten al pirata informtico inyectar comandos SQL en un formulario de inicio de
sesin para que pueda acceder a los datos de tu base de datos.
En esencia, la inyeccin SQL surge porque los campos disponibles para los datos
proporcionados por el usuario permiten a las instrucciones SQL a pasar y
consultar la base de datos directamente.
Las aplicaciones web permiten a los visitantes del sitio web legtimo presentar y
recuperar datos desde una base de datos por Internet usando su navegador
preferido. Las bases de datos son fundamentales para los sitios web modernos
almacenan datos necesarios para que los sitios web ofrezcan un contenido
especfico a los visitantes y procesa informacin a los clientes, proveedores,
empleados y un host para las partes interesadas.
Las credenciales de usuario, financieras y la informacin de pago, estadsticas de
la compaa, todas pueden residir dentro de una base de datos y ser accedida por
los usuarios legtimos a travs de aplicaciones web estndar y personalizados.
92

Las aplicaciones web y bases de datos permiten ejecutar regularmente tu negocio.

La inyeccin SQL es la tcnica de pirateo que intenta pasar comandos SQL
(instrucciones) a travs de una aplicacin web para la ejecucin de la base de
datos por back-end. Si no se limpian correctamente, las aplicaciones web pueden
provocar ataques de inyeccin SQL que permiten a los piratas informticos ver la
informacin de la base de datos o incluso erradicarla.
Tales caractersticas como pginas de inicio de sesin, soportes y formularios de
solicitud de los productos, formas de comentarios, pginas de bsqueda, compras
de carros y entrega general de contenido dinmico, ofrecen la forma moderna a
los sitios web y proporcionan a las empresas los medios necesarios para
comunicarse con los clientes y los posibles consumidores. Estas caractersticas
del sitio web son ejemplos de aplicaciones web que pueden ser comprados
diseados para estas aplicaciones o desarrollados como programas especiales.
Estas caractersticas del sitio web son todas susceptibles a los ataques de
inyeccin SQL que surgen porque los campos disponibles para los datos
proporcionados por el usuario permiten pasar directamente instrucciones SQL y
consultar la base de datos.
La tecnologa de AcuSensor de Acunetix es una nueva tecnologa de seguridad
que te permite identificar vulnerabilidades ms que un escner de aplicacin Web
tradicional, mientras que genera menos falsos positivos. Adems indica
exactamente donde est la vulnerabilidad de tu cdigo. La mayor precisin se
consigue mediante la combinacin de la tcnica de escaneo de caja negra
con una exploracin del cdigo dinmico mientras el cdigo fuente est siendo
ejecutado.
93

Figura 48: Interfaz de acunetix web- Fuente http://ktaby.com/vb/t33322/
GFI LanGuard Nwtwork Security Scanner: GFI LANguard Network Security

Scanner (GFI LANguardN.S.S.) es una herramienta que permite a los
administradores de red realizar rpida y fcilmente una auditora de segurida de
red. GFI LANguard N.S.S. crea informes que pueden ser utilizados para resolver
problemas de seguridad de la red. Adems puede realizar la administracin de
actualizacin es de seguridad.
Al contrario que otros escneres de seguridad, GFI LANguard N.S.S. no crear un
bombardeo de informacin, que es virtualmente imposible de seguir. En su lugar,
ayudar a resaltar la informacin ms importante. Adems proporciona
hipervnculos a sitios de seguridad para averiguar ms sobre estas
vulnerabilidades.
94

Utilizando anlisis inteligente, GFI LANguard N.S.S. recoge informacin sobre los
equipos como nombres de usuario, grupos, recursos compartidos, dispositivos
USB, dispositivos inalmbricos y otras informaciones sobre un Dominio Windows.
Adems de esto, GFI LANguard N.S.S. tambin identifica vulnerabilidades
especficas como problemas de configuracin de servidores FTP, exploits en
Servidores Microsoft IIS y Apache Web o problemas en la configuracin del a
poltica de seguridad Windows, ms otros muchos potenciales problemas de
seguridad.
Tenable Nessus 5.0: Tenable Network Security, lder en Supervisin de seguridad

unificada, es el proveedor del analizador de vulnerabilidades Nessus, y ha creado
soluciones de clase empresarial sin agente para la supervisin continua de
vulnerabilidades, puntos dbiles de configuracin, filtracin de datos,
administracin de registros y deteccin de compromisos para ayudar a garantizar
la seguridad de redes y la compatibilidad con FDCC, FISMA, SANS CAG y PCI.
Los galardonados productos de Tenable son utilizados por muchas organizaciones
de la lista Forbes Global 2000 y organismos gubernamentales con el fin de
minimizar de forma proactiva el riesgo de las redes.
Nmap: Es una de las herramientas consideradas como una de las ms
importantes cuando se habla de seguridad. Nmap es una utilidad que nos sirve
para explorar y auditar la seguridad de una red de comunicacin o un dominio.
Detecta Host, que puertos tiene abierto, servicios y aplicaciones que corren, sus
sistema operativo, Firewalls, entre otros. Es una Excelente herramienta para
realizar auditoria de redes y se usa para llevar a cabo escaneo rpidos en una
gran cantidad de redes pero se pueden utilizar en host individuales.
Es capaz se utilizar diferentes tcnicas de evasin de deteccin como escaneo
stealth. Soporta escaneos sobre ciertos puertos especficos, entre rangos IP
especficos, uso se paquetes Null, FIN, Xmas y ACK, adems SYN que es el
paquete por defecto. Esto significa que se mandan cierto tipo de paquetes a cada
puerto y estos respondern con alguna seal que permitir a scanner encontrar
versiones y servicios.
Retina Network Security Scanner: Retina identifica conocidas vulnerabilidades

de da cero y dispone adems de la evaluacin de riesgos de seguridad, lo que
permite mejores prcticas de seguridad, aplicacin de polticas y auditoras
reglamentarias.
95

Caractersticas:
Escner de seguridad de red: Retina permite priorizado la gestin de la
poltica, de gestin de parches, y la gestin de vulnerabilidades.
Red de evaluacin de la vulnerabilidad: Identificar las vulnerabilidades de
seguridad de red, la falta de actualizaciones de la aplicacin, adems de
amenazas de da cero.
Red descubrimiento y la evaluacin de polticas: Retina descubre todos
los dispositivos, sistemas operativos, aplicaciones, parches, niveles de la
poltica de configuraciones.
Permite prioridad a la gestin de la poltica, de gestin de parches, y la
evaluacin de la vulnerabilidad.
Rpida y precisa exploraciones: Exactitud escanear un Clase C de los
dispositivos de red, sistemas operativos y aplicaciones en ~ 15 minutos.
aprendizaje ptimo.
Retina Network Securitt - Eeye
Link:http://bitsnocturnos.wordpress.com/2010/01/15/escaner-devulnerabilidad-retina-network-security-scanner/
Tenable Network Security - Tenable Network Security, Inc

Link:http://static.tenable.com/documentation/nessus_5.0_user_guide_ESN.
pdf
GFI LANguard Network Security Scanner 6 - GFI Software Ltd.

Link: http://www.gfihispana.com/lannetscan/lanscan6manual_es.pdf
96

Leccin 18: Errores constantes de seguridad en las redes

En la administracin de redes de datos siempre existir el factor error, y de all se
puede desencadenar un sin nmero de ataques y vulnerabilidades al sistema. A
continuacin se nombraran los errores ms recurrentes y frecuentes que se
pueden cometer dentro de una organizacin, los errores son:
No conocer la red (Lan-wan): No conocer la infraestructura tecnolgica que se
tiene a cargo podra llevar a ignorar grandes falencias que se pueden tener y que
se pueden mejorar aplicando un determinado nmero de pasos para aplicar
mtricas de seguridad, es un factor principal en cuanto a errores.
Direccionamiento WAN-LAN (IPV4 IPV6), asignacin de direcciones,
mascara de red, servidores DHCP, router, switch. Se puede dar un doble
direccionamiento a estos equipos y puede generar errores de seguridad.
No conocer la topologa de la red.
Firewalls mal administrados y no conocer sus alcances
No conocer los Servidores crticos e importantes y desconocer por total los
tipos de sistemas operativos que se tienen instalados.
Manejo equivocado de autenticaciones: Este factor es recurrente en base a los
administradores de sistemas de autenticacin, ya que una asignacin equivoca de
privilegios en la autenticacin puede llevar a la fuga de informacin reservada y
clasificada en cualquier organizacin. (Se le otorgan privilegios de alto rango por
error a un trabajador X)
Mala administracin en la renovacin de claves

Tipos y niveles de autenticacin mal asignados
Tener una sola contrasea para acceder a todas las cuentas, grave error
Tener cuidado al asignar permisos de Super root, SA, administrador, etc.
Contraseas deben ser alfa numricas
Proxy mal Configurado: Al configurar de forma errnea un proxy se pueden

presentar diversos problemas que limitan el buen funcionamiento de una red,
algunos ejemplos:
97

Problemas con las listas ACL

Autenticacin
Limitacin en el ancho de banda
Logs,
Firewall mal configurado: Un Firewall mal configurado es como tener un celador

bastante armado pero dormido en su labor. De all se deriva un factor importante a
la hora de configurar parmetros de seguridad, y ms si se trata de controlar el
trfico que entra y sale de la organizacin, algunos factores a tener en cuenta son:
Se debe definir si es un Firewall interno o externo, de all depende su
ubicacin y correcto funcionamiento.
Configurarlo abierto o cerrado, pero que permita trabajar normalmente a la
organizacin.
Conocer la configuracin del Firewall, y saber si es configuracin de fbrica
para proceder a reconfigurar ya que se puede prestar para un ataque
utilizando los valores de default.
Es importante no tener firewall desactualizado ya que es probable utilizar
tecnologa de ltima generacin para penetrar cualquier sistema de
seguridad configurado en l.
Constantemente es bueno definir nuevos firewall para estar a la vanguardia
y al nivel de los nuevos delincuentes informticos y amenazas en la red.
Hardening o Hardened de Servidores: Los servidores hacen parte importante de

una organizacin de tal forma que se hace necesario su constante revisin y
configuracin en cuanto trminos de seguridad se trata. A continuacin factores
que hay que tener en cuenta:
Es saludable tener inventario hardware y software de cada servidor.
Autenticaciones por Samba o Netlog
Asignar responsables a cada equipo o servidor incorporado en la red.
98

Tener registros de eventos Log

Llevar a cabo una bitcora donde se podr plasmar cada suceso y se
asignar un responsable de inmediato, de esta forma se podr tener control
de los eventos inesperados.
Servicios Inoperantes: Un problema que se puede generar en las redes es dejar
activos servicios, programas que no se utilicen, es preciso recordar que la
instalacin de una aplicacin software conlleva a la apertura colateral de algn
puerto, y como se mencionaba en captulos anteriores, el tener mltiples puertos
abiertos logra un rango mayor en cualquier tipo de ataque informtico.
Lo que no se usa se Borra, o desactvelo. (Protocolos, servicios, puertos,
aplicaciones, etc.)
Lo que no sea adquirido de forma legal no se usa, ya que el software pirata
contrae una cantidad abundante de malware.
No se debe permitir instalar nada en los equipos o servidores que
pertenecen a la red, solo personal autorizado podr ejecutar estas labores,
esto ayudar al control de propagacin de malware en una organizacin.
Toda subcontratacin debe realizarse con auditoria, control de cambios y
bitcora.
Switchs o hub sin administracin: Ests configuraciones infunden en el buen

desempeo de una red de datos, al igual es importante ya que de all se debe
evitar la intercepcin de informacin, solo personal altamente calificado y confiable
debera ejecutar estas configuraciones, las cosas que se deben tener en cuenta
para no caer en errores [16]:
Usuarios y claves por defecto, es uno de los principales problemas y errores
a nivel administrativo de redes, an no se dan cuenta que existen los
manuales en internet sobre los dispositivos adquiridos en la organizacin y
que all se ubican los default passowrd.
SNMP Simple Network Management Protocol: El protocolo funciona en
texto claro, por lo que, es susceptible de ser capturado, configuraciones
99

filtran IP desde la cual se puede hacer consultas SNMP como medida de

seguridad.
Vlans bien definidas y gestionadas.
Los ms peligrosos incorporan a las funcionalidades de un switch de capa 3
la habilidad de implementar las polticas y filtros a partir de informacin de
capa 4 o superior, como puertos TCP/UDP,SNMP,FTP
Telefona IP: Es importante tener controles especficos en la telefona IP, ya que

es informacin la que se filtra por estos medios, aqu algunos aspectos
importantes:
Manejo de claves para cada usuario.
Toda telefona IP debe estar acompaada de auditoria
Separar siempre con Vlan o Switch datos y voz, es importante tener dos
segmentos de red diferentes para este proceso.
Si el usuario no tiene memoria, no es apto para cambiar radicalmente
contraseas, pero debera aplicarse a un proceso de 6 meses.
Log: El log forma parte importante de un control en cualquier evento ocasionado

en la red o en un sistema informtico, para ello se debe saber dnde aplicarlo? Y
a qu procesos. Estas son algunas recomendaciones:
Centralizado y descentralizado
SYSlog es el protocolo utilizado para transportar los eventos generados por
los dispositivos a los servidores de bitcoras, haciendo uso del puerto 514
UDP.
Dentro de los logs, qu eventos se deben analizar?, lo ms correcto sera los
siguientes elementos:
100

Ssitema
Correo web
Ruteadores, switches
Firewalls, IDS
Radius

aprendizaje ptimo.
Seguridad Informtica Fabian Portantier
Link:http://bitsnocturnos.wordpress.com/2010/01/15/escaner-devulnerabilidad-retina-network-security-scanner/
Simulacin de un sistema de proteccin y seguridad de servidores web y

de correo electrnico basado en sistema operativo Linux Diego Ramos
Link: http://eelalnx01.epn.edu.ec/bitstream/15000/1523/1/CD-2231.pdf
101

Leccin 19: Arquitectura de Seguridad en redes

De acuerdo al estndar ITU X.805, la arquitectura de seguridad responde a las
exigencias generales de seguridad de los proveedores de servicio, las empresas y
los consumidores, y es vlida para redes de voz, de datos y convergentes de
tecnologa inalmbrica, ptica o de cable.
Esta arquitectura de seguridad integra las consideraciones de gestin, control y
utilizacin de la infraestructura, los servicios y las aplicaciones de red.
La arquitectura de seguridad divide lgicamente a una serie compleja de
caractersticas de seguridad de red extremo a extremo, en distintos componentes
de arquitectura.
Esta segmentacin permite considerar la seguridad de extremo a extremo de
forma sistemtica, lo que permite planificar nuevas soluciones de seguridad y
evaluar la seguridad de las redes actuales.
La arquitectura de seguridad integra tres consideraciones esenciales, para la
seguridad extremo a extremo:
Qu tipo de proteccin se necesita, y contra qu amenazas?

Cules son los diferentes conjuntos de equipos e instalaciones de red
que es necesario proteger?
Cules son las diferentes actividades de red que es necesario proteger?
Para responder a estas preguntas hay que considerar tres componentes de la

arquitectura:
Dimensiones de Seguridad
Capas de Seguridad
Planos de Seguridad
Una dimensin de seguridad es un conjunto de medidas de seguridad que

responden a un determinado aspecto de la seguridad de red. En la recomendacin
ITU X.805, se identifican ocho conjuntos de medidas contra las principales
amenazas. Las dimensiones de seguridad incluyen a la red, las aplicaciones y la
informacin de usuario. Se aplican a los proveedores de servicio y las empresas
102

que ofrecen servicios de seguridad a sus clientes. Las dimensiones de seguridad

son las descritas en la tabla 1.
Dimensin de
Descripcin
Seguridad
Control de Acceso Lmites y control en al acceso a los
elementos de red, servicios y
aplicaciones.
Autenticacin
Garanta de la procedencia de la
informacin.
No-Repudio
Garanta de que no se pueda negar

cualquier tipo de actividad en la red.
Confidencialidad
de los Datos
Garanta de que la informacin solo

es accesible por las entidades,
sistemas o personas autorizadas.
Garanta de que la informacin fluye
desde la fuente al destino.
Garanta de que la informacin no ha
sido modificada o corrompida de
manera alguna, desde su transmisin
hasta su recepcin.
Garanta de que los elementos de
red, servicios y aplicaciones, se
mantengan disponibles para los
usuarios legtimos.
Garanta de que la informacin que
fluye en la red se mantenga privada.
Comunicacin
segura
Integridad de los
Datos
Disponibilidad
Privacidad
Ejemplo
Password, listas de
acceso, firewall, etc.
Password compartido,
firmas digitales,
certificados digitales,
etc.
Bitcoras, sistemas de
registros de eventos,
firmas digitales, etc.
DES, AES, RSA, etc.
Frame Relay, MPLS,

IPsec, etc.
MD5, firmas digitales,
software antivirus, etc.
IDS, IPS, redundancia

en la red, etc.
NAT, DES, AES, RSA,

etc.
Tabla 4. Dimensiones de la seguridad.
Capas de seguridad: Para realizar una solucin de seguridad extremo a extremo,

es necesario aplicar las dimensiones de seguridad antes descritas a una jerarqua
de equipos de red y dispositivos, es decir, las capas de seguridad.
La arquitectura de seguridad tiene en cuenta que las vulnerabilidades de
seguridad de cada capa son diferentes, y ofrece la flexibilidad necesaria para
reaccionar a las posibles amenazas de la forma ms apropiada para una
determinada capa de seguridad.
En la recomendacin ITU X.805 se definen tres capas de seguridad, las cuales se
complementan mutuamente para conformar soluciones de red. Las capas de
seguridad son las descritas en la tabla 2.
103

Capa
Descripcin
Seguridad de
La capa de seguridad de
infraestructura infraestructura, comprende los
dispositivos de transmisin y los
elementos de red. Esta capa
constituye la base fundamental
de las redes, sus servicios y
aplicaciones.
Seguridad de
La capa de seguridad de
Servicios
servicios, tiene que ver con la
seguridad de los servicios que
los proveedores prestan a sus
clientes.
Seguridad de
Aplicaciones
Ejemplo
Enrutadores, centros de
conmutacin, servidores,
enlaces de comunicacin, etc.
Servicios bsicos de transporte

y conectividad, plataformas
auxiliares para el acceso a
Internet (servicios AAA, DHCP
DNS, etc.), o servicios de valor
aadido como QoS, mensajera
instantnea, etc.
La capa de seguridad
Aplicaciones bsicas como FTP
aplicaciones tiene que ver con la o HTTP, aplicaciones como
seguridad de las aplicaciones de mensajera en red y correo
la red a las que acceden los
electrnico y aplicaciones ms
clientes de proveedores de
elaboradas, como comercio
servicios. Son aplicaciones
electrnico o mvil,
soportadas por servicios de red. colaboracin en vdeo, etc.
Tabla 5. Descripcin general de las capas de seguridad.
Planos de Seguridad: Un plano de seguridad es una determinada actividad de

red protegida por las dimensiones de seguridad. En la recomendacin ITU X.805
se definen tres planos de seguridad, los que representan los tres tipos de
actividades a proteger que se realizan en la red. Cada plano se describe en la
tabla 3.
Capa
Gestin
Control
Descripcin
Este plano tiene que ver con la proteccin de las funciones de
operacin, administracin, mantenimiento y configuracin de los
elementos de red, dispositivos de transmisin, sistemas administrativos
y centros de datos.
El trfico para estas actividades puede transportarse en la red dentro o
fuera de la banda, con respecto al trfico de usuario del proveedor de
servicio.
Este plano tiene que ver con la proteccin de las actividades que
permiten una distribucin eficiente de informacin, servicios y
aplicaciones en la red. Generalmente consiste en la comunicacin que
permite determinar la mejor forma de enrutar o conmutar el trfico en la
red de transporte.
Se habla de informacin de control o informacin de sealizacin. Estos
mensajes se pueden transportar en la red dentro o fuera de la banda,
con respecto al trfico de usuario del proveedor de servicio. Los
104

Capa
Usuario
de
Extremo
Descripcin
protocolos de enrutamiento, DNS, SIP, SS7, Megaco/H.248, etc., son
ejemplos de este trfico.
Este plano tiene que ver con la seguridad cuando los clientes acceden y
utilizan la red del proveedor de servicio.
En este plano tambin se incluyen flujos de datos efectivos del usuario
de extremo. El usuario de extremo puede utilizar una red que slo
proporciona conectividad, puede utilizar redes para servicios de valor
aadido como las RPV, o redes para acceder a aplicaciones de red.
Tabla 6. Planos de la seguridad.

Es importante que el sistema de red pueda separar totalmente los eventos de dos
planos de seguridad. Por ejemplo, una gran cantidad de consultas de DNS en el
plano de usuario de extremo, iniciadas por peticiones de usuarios, no debera
bloquear la interfaz de operacin, administracin, mantenimiento o configuracin
del plano de gestin, para que el gestor pueda resolver el problema.
En la Figura 48 se representa la arquitectura de seguridad con sus planos de
seguridad.
Figura 49: Planos de seguridad- Fuente http://www.subinet.es/guias-ytips/guias-y-tips-seguridad/los-5-principios-fundamentales-de-la-seguridadinformatica/

Cada actividad de red tiene necesidades de seguridad particulares. El concepto de
planos de seguridad permite distinguir los riesgos de seguridad de cada actividad
y tratarlos separadamente.
105

Considrese el caso de un servicio de VoIP, incluido en la capa de seguridad

servicios. La gestin del servicio VoIP (por ejemplo la configuracin de usuarios)
tiene que ser independiente del control del servicio (por ejemplo, protocolos como
SIP) y tambin de la seguridad de los datos del usuario de extremo transportados
por el servicio (por ejemplo, voz de usuario).
Amenazas contra la Seguridad
La arquitectura de seguridad establece un plan y un conjunto de principios que
constituyen una estructura de seguridad para la solucin de seguridad extremo a
extremo.
La arquitectura identifica elementos de seguridad a considerar para evitar
amenazas intencionales y accidentales.
Las amenazas contra un sistema de comunicacin de datos, de acuerdo a la
recomendacin ITU X.800, son las siguientes:
Destruccin de informacin y/o de otros recursos
Corrupcin o modificacin de informacin
Robo, supresin o prdida de informacin y/o de otros recursos

Revelacin de informacin
Interrupcin de servicios
A su vez las amenazas pueden clasificarse en:

Amenazas Accidentales. Las amenazas accidentales son las que existen
sin que haya premeditacin. Ej. Fallos del sistema, equivocaciones en la
operacin y errores en los programas.
Amenazas Intencionales. Las amenazas intencionales pueden ir desde el

examen ocasional, mediante el empleo de instrumentos de monitorizacin
de fcil adquisicin, hasta ataques sofisticados, gracias a un conocimiento
especial del sistema. Una amenaza intencional que se concretiza puede
considerarse como un ataque.
Amenazas Pasivas. Las amenazas pasivas son las que no produciran
ninguna modificacin de la informacin contenida en el(los) sistema(s) y
que tampoco modifican el funcionamiento ni el estado del sistema. La
interceptacin pasiva para observar la informacin transmitida por una lnea
de comunicaciones es un ejemplo.
106

Amenazas Activas. Las amenazas activas contra un sistema conllevan la

alteracin de informacin contenida en el sistema, o las modificaciones del
estado o de la operacin del sistema. La modificacin maliciosa de las
tablas de enrutamiento por un usuario no autorizado es un ejemplo de
amenaza activa.
Dimensiones de seguridad Vs Amenazas: La interseccin de cada capa de
seguridad y cada plano de seguridad determina una perspectiva en la que se
aplican dimensiones de seguridad para contrarrestar amenazas.
En la tabla 3 se indican las dimensiones de seguridad para las distintas amenazas,
siendo esta relacin vlida para todas las perspectivas de seguridad.
Amenazas Contra la Seguridad

Robo,
Destruccin Corrupcin Supresin
Dimensiones
de la
o
o Prdida Revelacin Interrupcin
de seguridad Informacin Modificacin
de la
de la
de los
y Otros
de la
Informacin Informacin Servicios
Recursos Informacin y de Otros
Recursos
Control de
Y
Y
Y
Y
Acceso
Autentificacin
Y
Y
No Repudio
Y
Y
Y
Y
Confidencialidad
Y
Y
de los Datos
Seguridad de la
Y
Y
Comunicacin
Seguridad de la
Y
Y
Informacin
Integridad de los
Y
Y
Datos
Disponibilidad
Y
Y
Privacidad
Y
Tabla 7. Versus entre seguridad , amenazas .
107


aprendizaje ptimo.
Seguridad en la informtica de empresas Jean-Marc Royer
Link:
http://books.google.es/books?hl=es&lr=lang_es&id=K8XdRni4t94C&oi=fnd&
pg=PA9&dq=capas+de+seguridad+inform%C3%A1tica&ots=Pg7AnCVWgy
&sig=s1kko5-Ng88WEqwRnoGfB7dfyU#v=onepage&q=capas%20de%20seguridad%20inform%C3%A1tica&f=
false
Seguridad en Internet Gonzalo Asensio
Link:
http://seguridadeninternet.es/images/descarga_promo_SEGURIDAD%20E
N%20INTERNET,%20Nowtilus.pdf
108

Leccin 20: Polticas y procedimientos

Son los lineamientos que las empresas deben seguir para asegurar la
confiabilidad de sus sistemas, ya que:
Comprenden una descripcin de los recursos de la empresa que se van a
proteger y justifican el por qu de ello.
Establecen la forma de uso y limitaciones de los recursos y servicios de
informacin crticos de la empresa.
Establecen las medidas y acciones que se deben llevar a cabo en caso de

que se presente alguna contingencia relacionada con los mismos.
Las polticas deben seguir un proceso de actualizacin peridica sujeta a los
cambios relevantes de la empresa como crecimiento y rotacin del personal,
cambio en la infraestructura tecnolgica, implantacin de nuevos servicios, etc.
Determinacin de polticas de seguridad: Se contemplan los siguientes pasos

para la determinacin de las polticas de seguridad:
Preparacin: Contempla la recopilacin del material relacionado con

cuestiones de seguridad en la organizacin y define los recursos que se
van a proteger
Determinacin de privilegios: Se refiere al establecimiento de los
privilegios relacionados con los accesos que pueden afectar la seguridad
como el acceso externo a la Intranet de la empresa, la autorizacin de
acceso remoto a usuarios, determinacin de accesos no autorizados y
restricciones de acceso a informacin importante.
Administracin de los privilegios: Consiste en asignar a los privilegios
diferentes niveles de acceso.
Determinacin de los riesgos: Se refiere a la deteccin de cualquier
amenaza interna o externa como negacin del servicio, acceso no
autorizado, dao, robo y divulgacin de la informacin.
109

Los principales elementos que deben ser contemplados en las polticas de

seguridad son:
El alcance, incluyendo facilidades, sistemas y personal.
Objetivos y descripcin clara de los elementos involucrados.
Responsabilidades por cada uno de los servicios y recursos a todos los

niveles de la organizacin.
Requerimientos mnimos de seguridad de los sistemas.
Definicin de las violaciones y las consecuencias por incumplir la poltica.
Responsabilidades de los usuarios con respecto a la informacin a la que

tienen acceso.
Evaluacin de polticas de seguridad: La evaluacin de las polticas comprende

el estudio de los siguientes elementos que las conforman:
Factores: Los que intervienen en la ejecucin de las polticas de seguridad, que
son en su mayora:
Humano, es el punto ms vulnerable en toda la cadena
Mecanismos necesarios para llevar a cabo los procesos (tcnicos, fsicos o

lgicos)
Medio ambiente en que se desempea la poltica
Consecuencias de las fallas de Seguridad
Amenazas del sistema
Plan de accin: Cmo se llevar a cabo el Programa de Seguridad.

Controles y vigilancia: Aseguran el cumplimiento del programa de seguridad.
Auditoria: Asegura el cumplimiento de los procesos implementados.
Pruebas del sistema: Simula eventos que atenten contra la seguridad del
sistema.
Revisin y actualizacin: Retroalimentacin del proceso para mantener vigente
el programa de seguridad.
110

En la figura 49 se muestra el proceso completo para la evaluacin de una poltica

de seguridad.
Figura 50: Evaluacin de una poltica de seguridad- Fuente

http://qanewsblog.wordpress.com/2013/04/16/evaluacion-de-la-seguridad-delos-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/
Ejemplos de tipos de polticas de seguridad en redes: Algunos ejemplos de

polticas frecuentes en las empresas son:
De contraseas: Especifican indicaciones relacionadas con las
contraseas como los responsables de asignarlas, la longitud deben tener,
el formato al que debern apegarse, etc.
De control de acceso: Especifican cmo deben acceder los usuarios al

sistema, desde donde y de qu manera deben autentificarse. De uso:
Especifican a los usuarios lo que se considera uso adecuado o inadecuado
del sistema, as como lo que est permitido y lo que est prohibido dentro
del mismo.
111

De respaldos: Especifican que informacin debe respaldarse, con que

periodicidad, que medios debern utilizarse, como deber ser restaurada la
informacin, donde debern almacenarse los respaldos, etc.
De correo electrnico: Especifica el uso adecuado e inadecuado del

servicio de correo electrnico, derechos y obligaciones a nivel usuario.
De control de acceso fsico: Especifica las restricciones para el acceso a
los dispositivos e instalaciones de la empresa, as como medios vigilancia,
monitoreo, etc.
Procedimientos: Son el medio para llevar a cabo las polticas y comprenden las
actividades que deben seguirse para la realizacin de algunas tareas concretas
como:
Otorgamiento de cuentas
Alta de usuarios
Conexin y localizacin de computadoras en red
Actualizacin e instalacin de software y sistemas operativos

Restauracin y respaldos de informacin

aprendizaje ptimo.
Riesgos, polticas y herramientas de seguridad en redes Edwin Montoya
Link:
http://publicaciones.eafit.edu.co/index.php/revista-universidadeafit/article/view/1124
112

CAPITULO 5: ASPECTOS TCNICOS ORIENTADOS A LA SEGURIDAD EN

REDES DE DATOS.
Introduccin
Lo procesos de seguridad conllevan a un sin nmero de trminos y conocimientos
previos, que se adquieren con el pasar del tiempo y, solo si, la persona interesada
est actualizada en su medio tecnolgico.
Cada paso que se determine en procesos de seguridad van ligados a los aspectos
tericos, y al ser conocedores de dichos trminos, se ejecutarn los procesos
muchos ms rpidos y sin tanto prembulo a indagar sobre lo que se est
trabajando. En ocasiones al desconocer trminos tericos sobre seguridad se
arriesga a desconocer ataques de ltima generacin, de tal forma que no hay que
caer en la ambigedad del conocimiento. La seguridad informtica ms que un
trmino es un estilo de vida para cada profesional que la lleva a cabo, estas
condiciones desarrollan los profesionales de alto nivel en este campo.
En este captulo se mencionarn trminos indispensables y muy comunes en el
campo de la seguridad informtica, todo es un procesos de encadenar
conocimientos, y ese proceso es el que se est llevando con gran xito en este
mdulo de seguridad en redes avanzadas de datos. Se abarcan temticas
enfocada a puertos ya que es el mejor complemento en aspectos de seguridad; En
la actualidad se pueden encontrar profesionales del campo desconocer conceptos
bsicos pero por el contrario con conocimientos en altas tecnologas, pero
desconocen las races de la seguridad, ello es lo ms importante, no desconocer
el origen de las tecnologas, y ms si se habla de seguridad informtica.
113

Leccin 21: Telnet

TELNET es el protocolo de "conexin" a otro ordenador, de hecho la
mayora de los servicios posteriores, se basan en telnet (pe. FTP, HTTP).
Haciendo telnet a una mquina, ejecutas programas en ella, recibiendo tu la
entrada/salida de los datos [17].
Bob Ranking dice textualmente: "Mucho antes de que la Telaraa y todo el
resplandor de sus multimedios fueron una indicacin visual siquiera en el
radar del Internet, los ciudadanos sabios del Internet estaban utilizando una
herramienta basada en texto llamada Telnet para hacer conexin con las
maravillas del mundo en-lnea. Pero hoy, muchos surfeadores del Internet,
quienes no han escuchado hablar del telnet, estn perdiendo algo bueno"
Las direcciones TELNET suelen tener el formato del nombre de dominio
"maquina.remota.es" o de direccin IP "194.106.2.150" y pueden ir acompaadas
de un nmero al final (el nmero del puerto) si no se nos proporciona el
puerto se asume que el utilizado es el correspondiente al protocolo telnet
por defecto, el 23. Una direccin tpica sera: "maquina.remota.es 2010"
Figura 51: Funcin principal de

http://ibstareasbasicas.blogspot.com/
un
protocolo
Telnet
Fuente
114

Qu se puede hacer con el protocolo Telnet?

Por telnet se pueden utilizar TODO tipo de servicios, haciendo telnet a la
mquina y puerto correspondientes segn cada caso. Por ejemplo si queremos
utilizar el servicio POP de nuestro ISP para ver el correo que tenemos,
haremos telnet a la maquina POP por el puerto de este protocolo, el 110.
Tambin podemos consultar grandes bases de datos e incluso acceder a
servicios GHOPER o WWW, muy til si no tenemos acceso a estos servicios
por la va normal.
Ms sobre Telnet
El protocolo Telnet se aplica en una conexin TCP para enviar datos en formato
ASCII codificados en 8 bits, entre los cuales se encuentran secuencias de
verificacin Telnet. Por lo tanto, brinda un sistema de comunicacin orientado
bidireccional (semidplex) codificado en 8 bits y fcil de implementar.
El protocolo Telnet se basa en tres conceptos bsicos:
el paradigma Terminal virtual de red (NVT);

el principio de opciones negociadas;
las reglas de negociacin.
ste es un protocolo base, al que se le aplican otros protocolos del conjunto

TCP/IP (FTP, SMTP, POP3, etc.). Las especificaciones Telnet no mencionan la
autenticacin porque Telnet se encuentra totalmente separado de las aplicaciones
que lo utilizan (el protocolo FTP define una secuencia de autenticacin sobre
Telnet). Adems, el protocolo Telnet no es un protocolo de transferencia de datos
seguro, ya que los datos que transmite circulan en la red como texto sin codificar
(de manera no cifrada). Cuando se utiliza el protocolo Telnet para conectar un host
remoto a un equipo que funciona como servidor, a este protocolo se le asigna el
puerto 23.
Excepto por las opciones asociadas y las reglas de negociacin, las
especificaciones del protocolo Telnet son bsicas. La transmisin de datos a
travs de Telnet consiste slo en transmitir bytes en el flujo TCP (el protocolo
Telnet especifica que los datos deben agruparse de manera predeterminada
esto es, si ninguna opcin especifica lo contrario en un bfer antes de enviarse.
Especficamente, esto significa que de manera predeterminada los datos se
envan lnea por lnea). Cuando se transmite el byte 255, el byte siguiente debe
115

interpretarse como un comando. Por lo tanto, el byte 255 se denomina IAC

(Interpretar como comando).
Las especificaciones bsicas del protocolo Telnet se encuentran disponibles en la
RFC (peticin de comentarios) 854, mientras que las distintas opciones estn
descriptas en la RFC 855 hasta la RFC 861.
Tabla 8. RFC Relacionado con Telnet .

La nocin de terminal virtual
Cuando surgi Internet, la red (ARPANET) estaba compuesta de equipos cuyas
configuraciones eran muy poco homogneas (teclados, juegos de caracteres,
resoluciones, longitud de las lneas visualizadas). Adems, las sesiones de los
terminales tambin tenan su propia manera de controlar el flujo de datos
entrante/saliente.
Por lo tanto, en lugar de crear adaptadores para cada tipo de terminal, para que
pudiera haber interoperabilidad entre estos sistemas, se decidi desarrollar una
interfaz estndar denominada NVT (Terminal virtual de red). As, se proporcion
una base de comunicacin estndar, compuesta de:
caracteres ASCII de 7 bits, a los cuales se les agrega el cdigo ASCII

extendido;
tres caracteres de control;
cinco caracteres de control opcionales;
un juego de seales de control bsicas.
116

Por lo tanto, el protocolo Telnet consiste en crear una abstraccin del terminal que
permita a cualquier host (cliente o servidor) comunicarse con otro host sin conocer
sus caractersticas.
El principio de opciones negociables
Las especificaciones del protocolo Telnet permiten tener en cuenta el hecho de
que ciertos terminales ofrecen servicios adicionales, no definidos en las
especificaciones bsicas (pero de acuerdo con las especificaciones), para poder
utilizar funciones avanzadas. Estas funcionalidades se reflejan como opciones.
Por lo tanto, el protocolo Telnet ofrece un sistema de negociaciones de opciones
que permite el uso de funciones avanzadas en forma de opciones, en ambos
lados, al iniciar solicitudes para su autorizacin desde el sistema remoto.
Las opciones de Telnet afectan por separado cada direccin del canal de datos.
Entonces, cada parte puede negociar las opciones, es decir, definir las opciones
que:
desea usar (DO);

se niega a usar (DON'T);
desea que la otra parte utilice (WILL);
se niega a que la otra parte utilice (WON'T).
De esta manera, cada parte puede enviar una solicitud para utilizar una opcin. La
otra parte debe responder si acepta o no el uso de la opcin. Cuando la solicitud
se refiere a la desactivacin de una opcin, el destinatario de la solicitud no debe
rechazarla para ser completamente compatible con el modelo NVT.
Tabla 9. Opciones negociadas de Telnet .

117

Existen 255 cdigos de opcin. De todas maneras, el protocolo Telnet proporciona

un espacio de direccin que permite describir nuevas opciones.
La RFC (peticin de comentarios) 855 explica cmo documentar una nueva
opcin.

aprendizaje ptimo.
Redes de datos Udelar
Link:http://eva.universidad.edu.uy/pluginfile.php/285962/mod_resource/cont
ent/1/Laboratorio3-Instructivo-TCP.pdf
118

Leccin 22: IPV6 y su tipo de direccionamiento

Qu es IPV6?
Cuando utilizamos Internet para cualquier actividad, ya sea correo electrnico,
navegacin web, descarga de ficheros, o cualquier otro servicio o aplicacin, la
comunicacin entre los diferentes elementos de la red y nuestro propio ordenador
o telfono, utiliza un protocolo que denominamos Protocolo de Internet (IP,
Internet Protocol) [18].
En los ltimos aos, prcticamente desde que Internet tiene un uso comercial, la
versin de este protocolo es la nmero 4 (IPv4).
Para que los dispositivos se conecten a la red, necesitan una direccin IP. Cuando
se dise IPv4, casi como un experimento, no se pens que pudiera tener tanto
xito comercial, y dado que slo dispone de 2^32 direcciones (direcciones con una
longitud de 32 bits, es decir, 4.294.967.296 direcciones), junto con el imparable
crecimiento de usuarios y dispositivos, implica que en pocos meses estas
direcciones se agotarn.
Por este motivo, y previendo la situacin, el organismo que se encarga de la
estandarizacin de los protocolos de Internet (IETF, Internet Engineering Task
Force), ha trabajado en los ltimos aos en una nueva versin del Protocolo de
Internet, concretamente la versin 6 (IPv6), que posee direcciones con una
longitud
de
128
bits,
es
decir
2^128
posibles
direcciones
(340.282.366.920.938.463.463.374.607.431.768.211.456), o dicho de otro modo,
340 sextillones.
El despliegue de IPv6 se ir realizando gradualmente, en una coexistencia
ordenada con IPv4, al que ir desplazando a medida que dispositivos de cliente,
equipos de red, aplicaciones, contenidos y servicios se vayan adaptando a la
nueva versin del protocolo de Internet.
Por ello, es importante que entendamos cmo se realiza el despliegue del nuevo
protocolo de Internet, tanto si somos usuarios residenciales, como corporativos,
proveedores de contenidos, proveedores de servicios de Internet, as como la
propia administracin pblica.
119

Tabla 10. Ipv6 versus Ipv4 .
Tipos de direcciones en IPV6

IPv6 no slo ofrece un nuevo esquema de direccionamiento con un espacio de
direccionamiento mucho ms amplio. Tambin establece una nueva forma de
utilizar el direccionamiento y nuevas prestaciones. Parte de esta novedad es una
variedad
amplia
de
diferentes
tipos
de
direcciones
IPv6.
Bsicamente hay 3 tipos de direcciones: unicast, multicas y anycast. En IPv6 se
ha
suprimido
completamente
el
broadcast
de
capa
3.
Pero ms all de esta simplificacin de 3 tipos de direcciones, hay ms aspectos a
considerar.
Unicast:
Se
utilizan
para
comunicaciones
uno
a
uno.
Pueden ser sumariados, para esto las direcciones son acompaadas por un prefijo
que
especifica
una
cantidad
determinada
de
bits
significativos.
Hay varios tipos de direcciones de unicast:
120

Direcciones globales: Son utilizadas para trfico global y tienen una

estructura jerrquica de 3 niveles Un prefijo de enrutamiento global (red),
tpicamente de 48 bits.
Un identificador de enrutamiento local (subred), de 16 bits. Un identificador
de interfaz de 64 bits de longitud. La longitud de cada porcin es arbitraria,
pero generalmente se respetan los 64 bits del ID de interfaz para mantener
compatibilidad con mltiples implementaciones. En la actualidad IANA y
RIR estn asignando direcciones del rango 2000::/3.
Direcciones site-local: (obsoletas).
Direcciones unique local: Son direcciones que tienen el alcance de un
sitio especfico sin garantas de que sean globalmente nicas. Estas
direcciones tienen una estructura propia: Un prefijo FC00::/7 de 8 bits. Un
ID global pseudo-aleatorio de 40 bits. Un ID de subred de 16 bits. Un
identificador de interfaz de 64 bits. Estas direcciones no son ruteables sobre
Internet.
Direcciones link-local: Todas las interfaces que operan con IPv6 tienen
una direccin link-local. Su alcance est limitado al enlace y no son
reenviadas. Son generadas dinmicamente con el prefijo FE80::/10 y un
identificador de interfaz de 64 bits. Permiten la comunicacin entre
dispositivos que estn en un mismo segmento de red sin necesidad de otro
tipo de direcciones. Se utilizan en procesos de configuracin automtica,
descubrimiento de vecinos y descubrimiento de routers.
Direcciones para propsitos especiales: Direccin sin especificar, Se

utiliza como direccin de origen con propsitos especiales, por ejemplo en
solicitudes DHCP. Nunca ocupa el campo de direccin de origen en un
encabezado IPv6. Si as fuera el paquete no ser reenviado. Direccin de
loopback: ::1Como en el caso de la direccin 127.0.0.1, define una interfaz
local para el stack IP.
Direcciones de multicast: Permiten establecer como destino todos las interfaces
de un grupo. Son direcciones definidas por el prefijo FF00::/8 donde el segundo
octeto define el alcance de esta direccin multicast que puede ser la sola interfaz,
el segmento de red, una subred, una red o Internet. El ID del grupo de multicast
est definido por los restantes 112 bits. El rango FF00:: a FF0F:: est reservado y
asignado a travs del RFC 2375.
121

Direcciones de anycast: Permiten definir como destino un host cualquiera de un

grupo. Son direcciones asignadas a interfaces de uno o ms nodos. Cuando la
direccin de destino de un paquete IPv6 es una direccin de anycast, se rutea
hacia la interfaz ms cercana que est asociada a esa direccin. Las direcciones
de anycast se toman del rango de direcciones de unicast y requieren que la
interfaz est explcitamente configurada para identificar la direccin como
direccin de anycast.
Figura 52: Encabezados de Ipv6 vs Ipv4 - Fuente

http://commons.wikimedia.org/wiki/File:IPv6_vs_IPv4.jpg

aprendizaje ptimo.
Caracterizacin IPV6 Carlos A. Castillo
Link:http://tecnura.udistrital.edu.co/ojs/index.php/revista/article/view/542/52
9
122

Leccin 23: Seguridad enfocada a IPV6
El Internet est agotando su espacio y, como resultado, est a punto de someterse

a una transicin importante para ampliar el nmero de direcciones en-lnea
disponibles. Esta transicin es desde el actual protocolo IP versin 4 al nuevo
estndar IP versin 6. Las empresas necesitan saber y entender esta transicin
ya que habr nuevos problemas de seguridad en el perodo intermedio.
Aunque una de las promesas de IPv6 es de ms seguridad, IPv4 se ha ganado su
reputacin en las ltimas dcadas, y nos hemos familiarizado con lo que puede y
no puede hacer. Por otro lado, se tiene poca o ninguna experiencia con IPv6 en el
mundo real. En papel, IPv6 parece ser excelente, pero es seguro que lo mismo
sucedi con el Titanic. En el mejor de los casos, IPv6 ofrece mejor seguridad pero
no la garantiza.
Caso en cuestin: IPSec. Esencialmente, esto asegura la comunicacin IP al
encriptar y autenticar paquetes IP. En IPv4, era una caracterstica opcional; en
IPv6, es obligatoria. Volver una caracterstica obligatoria, no significa que tendr
un amplio soporte; el punto es que IPv6 no es automticamente ms seguro. Va a
tomar mucha preparacin de pre-lanzamiento y una inmensa cantidad de
vigilancia de seguridad para ejecutarla correctamente.
Para las empresas, hay mucho que considerar, y esto muy seguramente cae en la
responsabilidad del Jefe de Seguridad de la Oficina. Hay muchas trampas y
obstculos que evitar, y a continuacin se analizan los que se deben cuidar muy
cerca.
Programacin sin depurar

Aqu es usualmente donde las cosas se complican. En una transicin tan
compleja, y a una escala tan grande, existe una posibilidad muy alta de que los
programadores cometan errores en la implementacin, lo cual podra dejar las
vulnerabilidades con las puertas bien abiertas a los delincuentes informticos,
negando la eficacia de las caractersticas de seguridad de IPv6. El peor escenario
es que realmente se termine con una infraestructura de IPv6 que es an ms frgil
que la anterior infraestructura de IPv6, poniendo a la empresa en un riesgo mayor,
al amplificar el espacio de ataque.
123

La explotacin de la transicin
Esta migracin va a llevar un tiempo, y hasta entonces, las empresas se
encontrarn en un ambiente dual de IPv4/IPv6, cada uno con su propio y
especfico conjunto de problemas de seguridad. Esto incrementa la carga de
trabajo del personal de redes de las compaas e incrementa el nmero de
posibilidades en que las cosas pueden salir mal. Aqu es donde la vigilancia de la
seguridad es crucial; debido a este perodo intermedio hbrido, nos vamos a
encontrar situaciones inusuales donde los delincuentes informticos pueden tomar
una ventaja potencial gracias a la interaccin entre los protocolos.
Listas negras ineficaces.

Mientras que las listas negras IP han sido exitosas en reducir el volumen global de
correo basura, existe la preocupacin de que los ISPs (Proveedores de Servicio
de Internet) no sern capaces de escalar las listas negras IP a IPv6, dado su
tamao. Esto representa el problema de que algunas tcnicas de seguridad
podran no tener una adecuada transicin de IPv4 a IPv6, dando mas espacio a
los delincuentes informticos para que realicen sus ataques.
Ataques DDoS.
Los ataques Distribuidos de Negacin de Servicio (DDoS, Distributed Denial of
Service), los cuales abruman una red de computadoras o un sitio web para
volverlos inoperantes, an seguirn representando una amenaza para las
empresas en IPv6. Mientras que IPv6 puede mitigar los efectos de los ataques
DDoS hasta un cierto punto, no los previene, dejando recursos en riesgo de ser
bombardeados al punto de ser parados por completo. Los ataques de
amplificacin de difusin, como los ataques smurf, pueden hacer exactamente
eso: mantenerte alejado de tus clientes.
Evadir Medidas de Seguridad.
Los ataques de fragmentacin todava sern un problema en IPv6, aunque
cambios en la arquitectura pueden mitigarlos de manera mas eficiente. Los
ataques de fragmentacin pueden ser usados para evadir, sistemas de deteccin
de intrusos (IDS), sistemas de prevencin de intrusos (IPS), y cortafuegos a
menudo son la forma en que las empresas se dan cuenta que estn siendo
atacados. Una vez dentro, todo es juego limpio: informacin del cliente,
credenciales, correos electrnicos y secretos de negocio.
124

Enmascaramiento de Puntos de Origen.

Los ataques de suplantacin de identidad todava sern una amenaza en IPv6,
pero la nueva obligacin de IPSec manejar mejor esta amenaza a las empresas.
La suplantacin de identidad permite a los delincuentes informticos ocultar sus
identidades, haciendo difcil seguirlos despus de un ataque. Tambin puede ser
usado para falsificar una identidad para implicar a una persona inocente o una
compaa en un ataque en el que realmente no tuvo ninguna relacin. Los ataques
no estn limitados a aquellos que tratan de robar informacin o destruir recursos,
ellos realmente intentan empaar la reputacin de la compaa.
El pasado junio 8, el Da Mundial de IPv6, los lderes de la industria como
Facebook, Google, Bing, Yahoo y Cisco, entre otros, realizaron una prueba de
ofrecer su contenido sobre IPv6 por 24 horas. Esto sirvi como un punto de
referencia excelente para las empresas, para poder evaluar por lo menos algo- el
impacto que tendr no solo en sus consumidores base, sino tambin en su
infraestructura.
De hecho en los Estados Unidos de Amrica hay que apurarse: el gobierno federal
est considerando el fin del 2012 como la fecha lmite para hacer la transicin a
IPv6. No hay que tomar esto a la ligera; aqu estamos hablando acerca de la
columna vertebral del comercio electrnico, y esto puede hacer la diferencia entre
mantener su lnea de negocio o no.
Seguridad IPV6 IPSEC.

IPv6 incluye explcitamente la posibilidad de utilizar el modelo de seguridad IPsec
(Internet Protocol Security) que proporciona autenticidad, integridad y
confidencialidad a las comunicaciones de extremo a extremo.
IPsec es un conjunto de protocolos abiertos que tienen como fin proporcionar
seguridad en las comunicaciones de la capa de red del modelo OSI (a la que
pertenece el protocolo IPv6), y de ese modo, a todos los protocolos de capas
superiores.
En IPv4 la implementacin de IPsec se define en una especificacin diferente a la
del propio protocolo IPv4, por lo que la inclusin del protocolo se hace con
mecanismos definidos fuera del mismo, mientras que en IPv6 la propia
arquitectura "extensible" del protocolo permite implementar IPsec de forma natural.
Es importante resear que IPv6 habilita la posibilidad de usar IPsec, y no los
mecanismos de cifrado y autenticacin propios de IPsec.
125

IPsec tiene dos modos de funcionamiento que proporcionan distintos niveles de

seguridad:
Modo Transporte: se cifra y/o autentica la carga til, o payload, pero las
cabeceras no se tienen en cuenta. Tiene como ventaja que se puede utilizar
de extremo a extremo pero, por contra, la informacin de las cabeceras,
como la direccin IP de origen y destino, es visible.
Modo Tnel: una plataforma, o pasarela, encapsula el paquete original en

otro paquete. Con ello se cifra y/o autentica el paquete original completo,
pero se necesita de una plataforma que realice el tnel.
Adems, IPsec tiene dos modos o protocolos de transferencia, que a su vez

pueden funcionar en modo tnel o transporte:
AH (Authentication Header): proporciona autenticacin, integridad y un
servicio de anti-repeticin opcional.
ESP (Encapsulating Security Payload): adems de las ventajas anteriores
proporciona confidencialidad.
Figura 53: Tnel IPSEC - Fuente

http://blog.e2h.net/2009/12/28/creando-un-tunel-ipsec-esp-con-vyatta/
126


aprendizaje ptimo.
Mitos sobre la seguridad en IPv6: desmontando falsas ideas Fernando Gont
Link:http://tecnura.udistrital.edu.co/ojs/index.php/revista/article/view/542/52
9
Consideraciones generales sobre seguridad IPv6 - Mendoza

Link: http://www.si6networks.com/presentations/wipv6ld/fgont-wipv6ld2012seguridad-ipv6.pdf
IPsec en Ambientes IPv4 e IPv6 - Hugo Adrian Franciscon

Link: http://redes-linux.com/manuales/seguridad/IPsec_IPv4_IPv6.pdf
127

Leccin 24: Puertos

El Puerto Lgico es una zona, o localizacin, de la memoria de un ordenador que
se asocia con un puerto fsico o con un canal de comunicacin, y que proporciona
un espacio para el almacenamiento temporal de la informacin que se va a
transferir entre la localizacin de memoria y el canal de comunicacin.
Un puerto lgico es una salida de bits, que pueden ser 1 o 0, o sea, un puerto es
el valor que se usa en el modelo de la capa de transporte para distinguir entre las
mltiples aplicaciones que se pueden conectar al mismo host, o puesto. Entonces
un puerto lgico de Internet es una interface de software que permitir el ingreso y
salida
de
data
por
aplicaciones
que
usan
Internet.
Los puertos se identifican por nmeros desde 1 hasta 65.000 pudiendo llegar a
mas, siendo conocidos los puertos de 1 a 1024 como :
HTTP puerto 80 transferencia de hipertexto por Internet

FTP puerto 20 transferencia de data (mp3, documentos, etc)
HTTPS puerto 443 transferencia segura
SMTP puerto 25 correo electrnico
Del 1025 para arriba son desconocidos, algunos TROYANOS y otras
aplicaciones inocuas.
Los puertos lgicos son, al igual que los puertos fsicos, necesarios para que
nuestros programas puedan comunicarse con el exterior. La diferencia es que se
enlazan virtualmente en nuestra conexin TCP con los programas, para tener una
referencia, y que los otros programas puedan conectarse a los nuestros y
traspasar informacin. Por ejemplo, podemos decir que el servidor web suele estar
enlazado (escuchando) en el puerto 80, o que nuestro navegador, sale por el
puerto 4000 para conectarse a este servidor. El servicio RPC (remote procedure
call) escucha en los sistemas XP por el puerto 135, pero resulta que a ese puerto
se conectaba el virus Blaster para infectar todos los Windows que encontraba a su
paso.
Muy pocas veces usaremos tantos puertos -65.000-. Podemos navegar, usar
nuestro programa de mensajera instantnea, el cliente de IRC y mandar un correo
y an as estaremos usando slo unas decenas. Adems, estn divididos segn
sus funciones.
128

Los puertos de 1 a 1024 se llaman puertos reservados. Tienen una funcin

especfica que mandan los estndares. La organizacin que se encarga de
establecer los estndares es la IANA (Internet Assigned Numbers Authority), que
se puede encontrar en www.iana.org. Por ejemplo el 22 es para SSH (Secure
SHell), del 135 al 139 para la NetBios. Los puertos que van de 1025 a 49151 no
son estndar, pero la IANA se encarga de asignarlos a distintas aplicaciones, que
lo necesitan. El resto de puertos hasta el 65536 son los llamados efmeros, porque
son los clientes (el navegador, el cliente de correo, el cliente de FTP) los que lo
eligen aleatoriamente para establecer desde ellos la conexin a los puertos
servidores y, si la conexin cae, se liberan y pueden ser usados por cualquier otra
aplicacin o protocolo ms tarde.
Si aplicamos un escner de puertos a nuestro propio PC podemos obtener gran
cantidad de informacin. Conocer los puertos a la escucha nos proporciona
informacin sobre los servicios que tenemos instalados como servidor. Conocer
los puertos que hablan en nuestro ordenador, los efmeros, nos proporciona
informacin sobre lo que est haciendo nuestra mquina, si se est comunicando
con otra y a travs de qu puerto. Esto puede ser un signo de que alguien nos
est robando informacin. (Microsoft lo hace a menudo).
Puertos Fundamentales.
20 - FTP Data - Utilizado por servidores FTP (File Transfer Protocol) para la
transmisin de datos en modo pasivo.
21 - FTP - Tambin utilizado por servidores FTP. Su mala configuracin puede
resultar en ataques (troyanos, hacking, etc..)
22 - SSH - Puerto utilizado por Secure Shell (SSH), el cual es un protocolo y un
programa que lo utiliza para acceder a maquinas remotas a travs de una red.
Adems funciona como una herramienta de transmisin de datos, desde ficheros
sueltos hasta una sesin de FTP cifrado.
23 - Telnet - Telnet es una herramienta que proporciona una ventana de
comandos, los cuales permiten controlar una pc de forma remota. Es una de las
formas mas fciles de entrar ilcitamente en una pc ajena.
25 - SMTP - Puerto utilizado por SMTP (Simple Mail Transfer Protocol), o en
espaol Protocolo de transferencia simple de correo electrnico. Como deben
suponer, es el protocolo, basado en texto, que permite transferir correo electrnico
entre diferentes computadoras, PDA's, celulares, etc.
129

53 - DNS - Este puerto lo utiliza el DNS (Domain Name System), esta base de
datos distribuida o jerrquica, se encarga de traducir nombres de dominios a IP's.
59 - DCC - Utilizado principalmente en programas de comunicacin para transferir
ficheros.
79 - Finger - En este puerto se corre el servicio Finger, el cual ha sido uno de los
mayores problemas de seguridad en Unix, ya que este proporciona informacin,
muy detallada, de los usuarios de una maquina, estn o no logueados.
80 - HTTP - Puerto que transmite el protocolo HTTP (Hypertext Transfer Protocol)
que es el utilizado en cada transaccin web (WWW).
110 - POP3 - Puerto que utiliza el servicio POP3 (Post Office Protocol 3), que es el
correo electrnico, offline.
113 - IDENT - Servicio de identificacin/autorizacin. Los servidores de internet,
como POP, IMAP, SMTP, IRC consultan este puerto en respuesta a conexiones
de clientes.
135 - RPC - Remote Procedure Cell. Este servicio, es el encargado de administrar
la comunicacin con otra pc cuando un programa solicita ejecutar cdigo en esa
otra pc. De esta forma, el programador no tiene que procurarse por esta conexion.
139 - NetBIOS - Por este puerto funciona el servicio NetBIOS que es el encargado
de compartir ficheros de tu pc, por tu red interna. Con este puerto abierto peligras
de que gente de todo el mundo, pueda ver y usar estos ficheros a travs de
internet.
143 - IMAP - Por ac, se ejecuta el IMAP (Internet Message Access Protocol).
Este es un servicio nuevo, por lo cual los servidores de internet que lo utilizan, no
han tenido suficiente tiempo para madurar. Lo cual implica, que este sea una muy
buena via de acceso para los intrusos.
443 - HTTPS - El Hypertext Transfer Protocol Secure, no es ms que una versin
segura, del ya mencionado HTTP.
445 - MSFT DS - Server Message Block. A partir de Windows 2000, microsoft
aadi la posibilidad de ejecutar SMB directamente sobre TCP/IP sin la capa extra
de NBT.
130

1080 - Socks - Aqu funciona el servicio Socks, el cual es un protocolo que permite
a las aplicaciones cliente-servidor usar de manera transparente los servicios de un
firewall de red.
5000 - UPnP - El universal plug n' play define protocolos y procedimientos
comunes para garantizar la interoperabilidad sobre PC's permitidos por red,
aplicaciones y dispositivos inalambricos.
8080 - WebProxy - Este puerto lo pueden utilizar terceros para ocultar su
verdadero IP a los servidores web.

aprendizaje ptimo.
Aplicacin de control de puertos lgicos - M. Snchez
Link:http://130.206.13.20/difusion/publicaciones/boletin/6667/ponencia21.pdf
131

Leccin 25: Firma digital y Certificado Digital

Criptografa
Tambin llamada cifrado, se encarga de la proteccin de los datos mediante la
transformacin matemtica de los mismos a un formato ilegible, con la finalidad de
realizar intercambios de informacin seguros a travs de las redes (Intranet,
Extranet e Internet).
Figura 54: Proceso de cifrado normal. Fuente:

http://morenojhonny.wordpress.com/2012/06/14/4-1-cifrado-simetrico-yconfidencialidad-de-mensajes/
Criptografa Simtrica
La criptografa simtrica se basa en la utilizacin de la misma clave para el cifrado
y para el descifrado. La robustez de un algoritmo de cifrado simtrico recae en el
conocimiento de dicha clave.
Clave secreta (simtrica): Utiliza una clave para la encriptacin y
desencriptacin del mensaje. Esta clave se debe intercambiar entre los equipos
por medio de un canal seguro. Ambos extremos deben tener la misma clave para
cumplir con el proceso Figura 55.
132

Figura 55: Proceso de cifrado simtrico. Fuente:

http://algoritmo-simetrico-descifrado.wikispaces.com/
Para que un algoritmo de este tipo sea considerado fiable debe cumplir algunos
requisitos bsicos:
Conocido el criptograma (texto cifrado) no se pueden obtener de l ni el
texto en claro ni la clave.
Conocidos el texto en claro y el texto cifrado debe resultar ms caro en
tiempo o dinero descifrar la clave que el valor posible de la informacin
obtenida por terceros.
Todos los sistemas criptogrficos clsicos se pueden considerar simtricos, y los
principales algoritmos simtricos actuales son DES, IDEA y RC5.
Las principales desventajas de los mtodos simtricos son la distribucin de las
claves, el peligro de que muchas personas deban conocer una misma clave y la
dificultad de almacenar y proteger muchas claves diferentes.
Criptografa Asimtrica
En este tipo de cifrado se utilizan dos claves relacionadas matemticamente:
133

Clave pblica (asimtrica)

Tambin llamada asimtrica, se basa en el uso de dos claves diferentes, claves
que poseen una propiedad fundamental: una clave puede desencriptar lo que la
otra ha encriptado.
Una de las claves de la pareja, llamada clave privada, es usada por el propietario
para encriptar los mensajes, mientras que la otra, llamada clave pblica, es usada
para desencriptar el mensaje Figura 56.
Figura 56: Proceso de clave pblica asimtrica. Fuente:

http://algoritmo-simetrico-descifrado.wikispaces.com/
Las claves pblica y privada tienen caractersticas matemticas especiales, de tal

forma que se generan siempre a la vez, por parejas, estando cada una de ellas
ligada intrnsecamente a la otra.
Mientras que la clave privada debe mantenerla en secreto su propietario, ya que
es la base de la seguridad del sistema, la clave pblica es difundida, para que est
al alcance del mayor nmero posible de personas, existiendo servidores que
guardan, administran y difunden dichas claves.
134

Firma Digital
Es un medio para que los creadores de un mensaje, archivo u otra informacin
codificada, vinculen digitalmente su identidad a la informacin. Se utilizan cuando
los datos se distribuyen como texto no cifrado. Lo que se busca al utilizar una
firma digital, es que:
El receptor pueda verificar la identidad del transmisor.
El transmisor no pueda repudiar despus el contenido del mensaje.

El receptor no haya podido confeccionar el mensaje l mismo.
Ninguna parte del mensaje que se ha recibido ha sido modificada.

Creacin y envo de firmas Digitales
El proceso para crear una firma digital implica la transformacin de informacin y
algunos datos confidenciales del remitente en una etiqueta o firma. Se crean
combinando la tecnologa de claves pblicas con algoritmos Hash.
Figura 57: Proceso de un envi con firma digital. Fuente:

http://neobrr.wordpress.com/2008/09/29/ley-de-firmas-digitales-en-guatemala/
135

Los pasos que deben seguirse para su creacin, envo y comprobacin son:
El remitente aplica un algoritmo Hash a los datos para generar un valor
resumen.
El remitente transforma el valor en una firma digital aplicando cifrado de

clave privada.
El remitente enva al destinatario los datos originales, la firma y su

certificado de autenticidad.
El destinatario aplica el algoritmo Hash a los datos y genera su propio valor

resumen.
El destinatario compara la firma digital (la obtiene utilizando la clave pblica

del remitente) y el valor que gener en el paso anterior y s no coinciden
(cuando el valor del remitente es diferente al del destinatario), el mensaje o
la huella enviada han sido modificados y por lo tanto la firma no es correcta.
Certificado Digital
Es una declaracin firmada digitalmente que proporciona un mecanismo para
establecer una relacin entre una clave pblica y la entidad que posee la clave
privada que le corresponde. Se utiliza para autenticar y asegurar el intercambio de
informacin en Internet, Extranet e Intranets.
Los certificados pueden emitirse con objetivos diferentes como:
Autenticacin de servidores Web
Seguridad del correo electrnico
Seguridad IP (IPSec)
Nivel de sockets seguros (SSL/TLS)
Firma de cdigo e informacin enviada
Este certificado es firmado por una CA (Certificate Authoritym / Autoridad

Certificadora), y se rige por los estndares definidos por ITU-T X.509.
136

Figura 58: Proceso de un envi con certificado digital. Fuente:

http://www.monografias.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml

aprendizaje ptimo.
Certificados Digitales J. Herrera Acabey Link:
http://ucbconocimiento.ucbcba.edu.bo/index.php/ran/article/download/112/1
07
137

CAPITULO 6: CONCEPTOS AVANZADOS EN REDES

Introduccin
Habitualmente los usuarios nales no tienen en consideracin la seguridad cuando
hacen uso de un sistema, ya que, frecuentemente se ignoran los aspectos
relacionados con la seguridad. De igual forma, estos aspectos a veces pueden
considerarse una molestia, ya que la seguridad suele ir en el platillo opuesto de la
comodidad y facilidad de uso en la balanza del diseo de un sistema.
Es por esto que los usuarios a veces puedan tener una imagen negativa de la
seguridad, por considerarlo algo molesto y que interrumpe su capacidad de
realizacin de un trabajo determinado. En un entorno seguro, un usuario se
encuentra con tareas que le pueden resultar incmodas (como por ejemplo,
recordar contraseas, cambiarlas peridicamente, etc.) y que pueden limitar las
operaciones que puede realizar as como los recursos a los que se le permite
acceder. Sin embargo, la seguridad es fundamental a la hora de afrontar tareas
que se realizan en sistemas informticos ya que son las nicas medidas que
pueden garantizar que stas se realicen con una serie de garantas que se dan
por sentado en el mundo fsico. Por ejemplo, cuando se guardan cosas en una
caja fuerte en un banco real, no se piensa que cualquier persona del mundo puede
llegar a sta de una forma inmediata como si se tratara, en lugar de un banco, de
una estacin de autobuses.
En el mundo intangible de la informtica, tan cerca de un servidor estn sus
usuarios legtimos como los usuarios que hacen uso de la misma red de
comunicaciones. Es ms, estos usuarios, en el caso de una red global, se cuentan
por millones. Algunos sern buenos vecinos pero otros sern agentes hostiles.
138

Leccin 26: IPSEC (Internet Protocol Security)

IPSec es una extensin de IP que asegura su comunicacin, para esto utiliza un
conjunto de protocolos de seguridad y algoritmos. Provee integridad de datos,
autenticacin y confidencialidad; as como, asociaciones de seguridad y
administracin de llaves. Es utilizado para formar VPNs en ambientes de intranets
e Internet.
Los protocolos de seguridad de IPSec son AH (Autentication Header) y ESP
(Encapsulating Security Payload) , estos protocolos pueden ser usados tanto en
IPv4 e IPv6.
Protocolos de seguridad
ESP encapsula los datos, pero no proporciona proteccin a las cabeceras
externas, brinda confidencialidad ya que cifra los datos (payload), integridad de los
datos, servicio anti-replay y opcional autenticidad del origen de datos. Para la
cifrado utiliza DES o 3DES u otro esquema de cifrado simtrica.
AH protege al datagrama completo, toma a la cabecera dentro de los datos,
permite verificar la integridad del datagrama IP, autenticar el origen de los datos y
provee proteccin opcional contra ataques de replay. AH puede aplicarse solo o
en conjunto con ESP.
Asociaciones de seguridad
Una SA (Asociacin de Seguridad) es una conexin unidireccional que permite
negociar los parmetros de seguridad para proteger el trfico de la red. Slo se
aplica un protocolo de seguridad por cada SA. Existen dos tipos de SAs, modo
transporte y modo tnel:
Modo transporte es una asociacin de seguridad entre dos host.
Modo tnel es un asociacin de seguridad donde uno o las dos partes de la
comunicacin son gateway de seguridad (sistema intermedio que acta
como interfaz entre dos redes)
139

Figura 59: Modo transporte y modo tnel. Fuente:

Administracin de llaves
IKE (Internet Key Exchange) es por defecto el protocolo de administracin de
llaves, su funcin principal es establecer y mantener las asociaciones de
seguridad. Est basado en ISAKMP (Internet Security Association and Key
Management Protocol) el cual es un esquema para autenticacin e intercambio de
llaves2
Figura 60: IKE escenario de ejemplo. Fuente:

140

Caractersticas IPSEC
Estandariza en la medida de lo posible la interoperabilidad y favorece la
reutilizacin de componentes
Es un Estndar Abierto
Compuesto por mdulos genricos que pueden ser reemplazados,

(criptoalgoritmos, Protocolos, sistemas de intercambio de claves).
Es un mecanismo desarrollado para proteger a los protocolos clientes de IP.
Desarrollado para proveer a nivel de red servicios de seguridad criptogrfica, que
flexiblemente soportan autenticacin, integridad, control de acceso, y
confidencialidad. El presente trabajo posee como meta estudiar los protocolos de
tunelizado, que son solo un aspecto de la implementacin de IPSec. Los aspectos
del estndar relativos a encripcin y autenticacin son vastos y exceden el
tratamiento de esta presentacin. Se centra la atencin en los Tneles IPSec.
Figura 61: Arquitectura IPESEC. Fuente:

Modos de encapsulado
PSec define dos modos de encapsulado para tratamiento de paquetes IP:
Modo de Transporte
Modo de Tnel
141

Figura 62: Modos de encapsulado en IPESEC. Fuente:

El siguiente esquema presenta una tpica conexin extremo a extremo utilizando

IPSec, as como el formato ms general de encapsulado del paquete. Claramente
se demarcan los extremos del tnel.
Figura 63: Formatos de paquetes en IPESEC. Fuente:

Modo de transporte
En esta modalidad se interceptan los paquetes de nivel de red, (IP), se procede a
encriptar y autenticar el contenido de los mismos, se incorpora un encabezado
142

IPSec, y se encapsula nuevamente sobre IP; preservando este ltimo encabezado

IP la mayor parte del contenido del encapsulado IP original.
Modo de tnel
Esta variante de IPSec intercepta los paquetes IP, encripta y autentica los mismos
incluyendo su encabezado. Posteriormente, se procede a incorporar el
encabezado IPSec y se encapsula el paquete resultante sobre IP. Esta modalidad
se puede operar entre dos Hosts, entre dos Gateways o entre un Host y un
Gateway. Es la modalidad utilizada en la confeccin de Redes Privadas Virtuales,
(VPN).
Protocolos Usados en IPSec

Bsicamente se utilizan dos protocolos en IPSec, llamados Authentication Header,
(AH) y Encapsulating Security Payload, (ESP). Ambos se identifican en el campo
de protocolo del encabezado IP.
AH, provee autenticacin del paquete IP completo, (incluido todo lo que es posible
de su header), as como a los protocolos de capas superiores.
ESP, por su parte solo encripta y autentica el Payload del paquete. Se puede
opcionalmente encriptar y/o autenticar el paquete, pero al menos una de ambas
acciones debe ser ejecutada. Es tambin posible el uso combinado de AH + ESP,
lo que otorga una mxima cobertura en cuanto a Encripcin y Autenticacin. Si
bien se hace una doble autenticacin, (lo cual resulta redundante y genera
overhead), resulta un esquema muy utilizado.

aprendizaje ptimo.
Tcnicas criptogrficas de proteccin de datos A. Fuster
Link: http://revistasic.com/revista42/pdf_42/SIC_42_otros%20titulos.PDF
143

Leccin 27: NIDS (Network Intrusion Detection System)

Las herramientas de detecciones de intrusos NIDS son aplicaciones automticas,
las cuales se encargan de detectar intrusiones en tiempo real, dichos sistemas les
llaman Network Intruder Detection System NIDS.
Es obtener un sistema seguro, ante cualquier intromisin estos sistemas entran en
accin, no obstante existen varios tipos de configuraciones para los IDS.
Sistemas de Bases de Datos (BDS) con informacin actualizada de ataques
soportados.
Compaas con informacin de ataques conocidos
Quiere decir que el NIDS al igual que los Firewalls necesita una base de datos con
ataques soportados, ademas esta BDS. Necesita ser actualizada peridicamente.
Un ejemplo sera Un FireWallPhoenix Adaptable que soporta denegaciones de
servicios X y aparece una nueva vulnerabilidad que provoca una denegacin de
servicios en ese tipo de FireWalls y el admin. No ha actualizado la BDS.
Simplemente el FireWall cae al ataque. Lo mismo ocurre con los NIDS.
La base de datos del NIDS necesita ser especificada ya que si existen dos
ataques similares pero no! iguales el ataque pasara sin ser detectado.
Sistemas adaptables
Los NIDS que existen hasta el momento. Aparte de la BDS con ataques
soportados, son capaces mediante Inteligencia Artificial aprender nuevos tipos de
ataques a detectar, adems de poseer una BDS de ataques. Sus principales
desventajas, son de costos muy elevados, difciles de mantener y necesitan de un
admin. Con conocimientos avanzados en estadsticas y matemticas Sin embargo
los NIDS no son cosas de otro mundo si conocen los denominados Network
Analyzer o Sniffers, los cuales son aplicaciones de escucha electrnica. Los NIDS
se basan similarmente a los funcionamientos de los Sniffers, para poder escuchar
el trfico de la red. Los mtodos a usar son reaccin y preventivo.
Reaccin: Siempre visualiza logs en el sistema, cuando detecta una
anomala acta
Prevencin: Siempre escanea el trfico de la red (Sniffer), si detecta
paquetes en trnsito anmalas acta
144

En la actualidad los NIDS existentes son muy vulnerables a denegaciones de

servicios producidas por usuarios y no por fallas en los NIDS, es por eso que es
difcil parchar ciertas vulnerabilidades en NIDS, muchos de ellos caen a
ataques spoofeados desde direcciones distintas con ataques similares, o cuando
un NIDS ejecuta una shell para ejecutar comandos al detectar un ataque puede
saturarse el sistema al llamar muchas shells.
La insercin de los NIDS depende bastante de la mquina que se est usando, a
que me refiero con esto si instalo un NIDS que escanea logs en vez de paquetes
en un tarro 486 simplemente es mucha tarea para un pobre tarro, en esas
circunstancias es mejor instalar un NIDS con deteccin de ataques en paquetes
en trnsito (Sniffer).
Figura 64: Topologa de red haciendo uso de los NIDS. Fuente:

http://www.windowsecurity.com/articlestutorials/intrusion_detection/Hids_vs_Nids_Part1.html
145

Modos de los NIDS

Ciertamente el NIDS al igual que un FireWall emplea modos bajo, medio, alto,
paranoico si es utilizado un modo paranoico en un NIDS siempre que se ejecuten
comandos de root por otro usuario el NIDS va a lanzar alertas de ataques,
ciertamente es una decisin ms del admin del NIDS establecer el modo. La idea
es siempre poner un equipo con NIDS antes del host vctima, de la misma forma
con que se tratan los firewalls. Tambin existen aplicaciones que testean a los
NIDS como el NIDSBENCH el cual se encarga de atacar equipos NIDS mediante
algunas tools que este posee.
TcpReplay : Es una aplicacin que ataca los procesos background de la
red con ataques escondidos. Lo que provoca anomalas arbitrarias
en TcpDump mediante los ataques TcpReplay escanea la velocidad de la
red y la velocidad de respuesta de esta misma.
FragRouter : Se encarga de atacar de la misma forma usando ataques
conocidos, en otras palabras usa ataques TCP/IP listados en la base de
datos de ataques a evadir.
IdsTest : Consiste en una metodologa de chequeo de NIDS, analiza
vulnerabilidades expuestas por empresas, y Vulnerabilities Scanners,
adems chequea ataques DOS, exploits, etc.

aprendizaje ptimo.
Sistemas detectores de intrusos y anlisis de funcionamiento del proyecto
de cdigo abierto snort Jairo Alberto Rojas
Link:http://ingenieria1.udistrital.edu.co/digital/index.php/redesdeingenieria
/article/view/56
146

Leccin 28: Seguridad DNS

El DNS es un sistema que almacena asociaciones entre direcciones IP y nombres
de dominios de host. Su seguridad principalmente requiere que el sistema sea
diseado y configurado correctamente.
La mayora de ataques a DNS tratan de direccionar el trfico de datos a un sitio
incorrecto. Una forma de lograr su objetivo es ingresar al registro DNS y
modificarlo, as la respuesta del servidor DNS ser una direccin IP incorrecta.
Otra forma es suplantar al verdadero servidor DNS, y responder a una solicitud de
resolucin de direccin IP con un valor falso.
Para prevenir ataques al DNS se presenta un esquema de seguridad donde se
provee la autenticacin del origen de datos de un registro en el servidor DNS.
En la cima de la jerarqua del Sistema de nombres de dominio (DNS) se
encuentran los clsteres de servidores que mantienen los datos de la zona raz.
Aplicaciones web como eCommerce, SaaS, redes sociales e incluso el correo
electrnico dependen del DNS. Infortunadamente, el DNS contiene los nombres
desprotegidos y vulnerables de los servidores de copia cach, que son fcil presa
de los hackers para secuestrar el trfico web que contiene datos confidenciales.
La comunidad desarrolladora de DNS recomienda como solucin las Extensiones
de seguridad del sistema de nombres de dominio (DNSSEC), las cuales usan
firmas digitales y cifrado de claves pblicas para permitir a los servidores web
verificar los nombres de dominio de sus sitios web y las direcciones IP
correspondientes. Las zonas raz de DNS estn en la necesidad urgente de ser
firmadas digitalmente, ya que la demora en hacerlo es perjudicial para la
integridad ininterrumpida de la Internet, eCommerce y aplicaciones web. Firmar las
zonas configurara en efecto los nombres de los servidores de copia cach para
tomar en cuenta la seguridad.
Los mdulos de seguridad en hardware (HSM) de SafeNet cumplen los exigentes
requisitos de resistencia y disponibilidad necesarios para asegurar la integridad del
espacio de los nombres de dominio. Los HSM son sistemas dedicados que
aseguran fsica y lgicamente las claves criptogrficas y procesos de cifrado que
se encuentran en el ncleo de las firmas digitales. Los HSM aseguran al servidor
DNS de manera que la generacin de claves, el almacenamiento de las claves
privadas y la firma de las zonas se ejecuta en un servidor DNS que fsicamente
tiene un acceso restringido solamente al personal esencial.
147

Figura 65: Seguridad DNS. Fuente: http://www.centosni.net/seguridad-en-el-dnsde-gnulinux/
Falsificacin
Al contrario de lo que ocurre en el caso de TCP, UDP no es un protocolo orientado
a conexin. Este hecho facilita la falsificacin del trfico UDP. Cuando un
cliente DNS lanza una consulta a un servidor DNS, ste responde a la consulta
enviando un paquete UDP cuyo origen es el puerto 53.
Sin embargo un usuario mal intencionado ubicado en el mismo segmento de red o
situado en algn lugar del camino hacia el servidor DNS podra enviar una
respuesta con la direccin IP del servidor DNS como direccin origen del paquete.
Si el cliente recibe antes la respuesta procedente del usuario mal intencionado que
la del verdadero servidor DNS, se dara por buena la respuesta falsificada. Como
el atacante podra proporcionar al cliente una respuesta DNS falsa, podra hacer
que el cliente se conectase a su sistema en lugar de al verdadero destino.
Falsificar respuestas DNS.
El programa dnsspoof, distribuido junto con Dsniff, es una herramienta que hace
posible la falsificacin de respuestas DNS. Por ejemplo, supongamos que un
atacante ha podido infiltrarse en la puerta de enlace de una red cuya direccin IP
es 10.0.0.1. Supongamos tambin que la direccin IP 10.1.1.2 es la direccin IP
real de algunacompania.com. El atacante podra ejecutar dnsspoof y responder a
148

todas
las
consultas DNS poralgunacompania.com con
IP 192.168.1.1 que es la direccin IP de su mquina.
la
direccin
Los Tres niveles de seguridad DNS

En las secciones siguientes se describen los tres niveles de seguridad DNS.
Seguridad de nivel bajo: La seguridad de nivel bajo es una implementacin DNS
estndar sin medidas de seguridad configuradas. Implemente este nivel de
seguridad DNS nicamente en entornos de red en los que no preocupa la
integridad de los datos DNS o bien en una red privada en la que no haya
amenazas de conectividad externa. La seguridad DNS de nivel bajo tiene las
siguientes caractersticas:
La infraestructura DNS de la organizacin se expone completamente a

Internet.
Todos los servidores DNS de la red llevan a cabo la resolucin DNS
estndar.
Todos los servidores DNS se configuran con sugerencias de raz que
sealan a los servidores raz de Internet.
Todos los servidores DNS permiten las transferencias de zona a cualquier
servidor.
Todos los servidores DNS estn configurados para escuchar en todas sus
direcciones IP.
La funcin para evitar la contaminacin de la cach est deshabilitada en
todos los servidores DNS.
La actualizacin dinmica se permite en todas las zonas DNS.
El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53 est
abierto en el firewall de la red, tanto para direcciones de origen como de
destino.
149

Seguridad de nivel medio: La seguridad de nivel medio usa las caractersticas de

seguridad DNS disponibles sin ejecutar servidores DNS en controladores de
dominio ni almacenar zonas DNS en los Servicios de dominio de Active Directory
(AD DS). La seguridad DNS de nivel medio tiene las siguientes caractersticas:
La infraestructura DNS de la organizacin tiene una exposicin limitada a

Internet.
Todos los servidores DNS estn configurados para usar reenviadores que
apunten a una lista especfica de servidores DNS internos cuando no
puedan resolver los nombres de forma local.
Todos los servidores DNS limitan las transferencias de zona a servidores
incluidos en los registros de recursos del servidor de nombres (NS) de sus
respectivas zonas.
Los servidores DNS se configuran para escuchar en direcciones IP
especificadas.
La funcin para evitar la contaminacin de la cach est habilitada en todos
los servidores DNS.
La actualizacin dinmica no segura no est permitida en ninguna zona
DNS.
Los servidores DNS internos se comunican con los servidores DNS
externos mediante el firewall con una lista limitada de direcciones de origen
y de destino permitidas.
Los servidores DNS externos delante del firewall se configuran con
sugerencias de raz que apuntan a los servidores raz de Internet.
Todas las resoluciones de nombres de Internet se realizan con puertas de
enlace y servidores proxy.
150

Seguridad de nivel alto: La seguridad de nivel alto usa la misma configuracin

que la seguridad de nivel medio. Tambin usa las caractersticas de seguridad
disponibles cuando el servicio Servidor DNS se ejecuta en un controlador de
dominio y las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de
nivel alto elimina completamente la comunicacin DNS con Internet. No es la
configuracin tpica, pero se recomienda cuando no se requiere conectividad a
Internet. La seguridad DNS de nivel alto tiene las siguientes caractersticas:
En la infraestructura DNS de la organizacin, los servidores DNS internos

no tienen comunicacin con Internet.
La red usa un espacio de nombres y una raz DNS de carcter interno; toda
la autoridad de las zonas DNS es interna.
Los servidores DNS que se configuran con reenviadores slo usan
direcciones IP de servidor DNS interno.
Todos los servidores DNS limitan las transferencias de zona a las
direcciones IP especificadas.
Los servidores DNS se configuran para escuchar en direcciones IP
especificadas.
La funcin para evitar daos en la memoria cach est habilitada en todos
los servidores DNS.
Los servidores DNS internos se configuran con sugerencias de raz que
sealan a los servidores DNS internos que hospedan la zona raz del
espacio de nombres interno.
Todos los servidores DNS se ejecutan en controladores de dominio. Se
configura una lista de control de acceso discrecional (DACL) en el servicio
Servidor DNS para permitir que slo usuarios especficos realicen tareas
administrativas en el servidor DNS.
Todas las zonas DNS se almacenan en AD DS. La lista DACL se configura
para permitir que slo usuarios especficos puedan crear, eliminar o
modificar zonas DNS.
Las listas DACL se configuran en registros de recursos DNS para permitir
que slo usuarios especficos puedan crear, eliminar o modificar datos
DNS.
151

La actualizacin dinmica segura se configura para las zonas DNS, excepto

para las zonas raz y de nivel superior, que no permiten ningn tipo de
actualizacin dinmica.

aprendizaje ptimo.
SafeNet HSMS DNSSEC
Link:http://www.safenetinc.com/uploadedFiles/About_SafeNet/Resource_Library/Resource_Items
/Solution_Briefs_EDP/SafeNet_Solution_Brief_Protecting_DNSSEC.pdf?
n=7060
Informacin de seguridad para DNS Microsoft

Link:http://technet.microsoft.com/es-es/library/cc755131.aspx
152

Leccin 29: Socks5 y SSL

SOCKS
Es un protocolo estndar diseado para manejar trfico TCP a travs de un
servidor proxy. Existen dos versiones: SOCKS4 y SOCKS5. La versin SOCKS5 a
diferencia de la versin SOCKS4, soporta aplicaciones basadas en UDP e incluye
seguridad adicional mediante autenticacin. Este protocolo opera entre la capa
transporte y aplicacin.
SOCK5 proporciona funciones de firewall bsicas, porque autentica paquetes de
entrada-salida y puede proveer NAT.
Figura 66: Protocolo

es/proxis-socks/
Sock.
Fuente:
http://en.flossmanuals.net/bypassing-
En la figura un cliente basado en TCP quiere establecer una conexin a un

proceso que se ejecuta sobre un host interno que es accesible slo va un firewall.
Primero el cliente debe establecer una conexin TCP al servidor SOCKS sobre el
host firewall, el servidor SOCKS escucha en el puerto 1080. El cliente propone uno
o ms mtodos de autenticacin.
El servidor SOCKS escoge un mtodo y notifica al cliente.

El servidor y cliente negocian e intercambian parmetros de
autenticacin.
El cliente enva al servidor el requerimiento de conexin, en este caso la
direccin IP destino y puerto TCP.
La respuesta del conector contiene el nmero de puerto que el servidor
asign
para conectarse con el host objetivo, y la direccin IP asociada.
153

Luego del proceso de autenticacin y establecimiento de conexin exitoso, los

datos son transmitidos entre el host externo y el host interno.
SSL
En los primeros das de la World Wide Web, claves de 40-bit de poco se usaron.
Cada bit puede contener un uno o un cero - lo que significaba que eran dos claves
diferentes disponibles. Eso es un poco ms de un billn claves distintas.
Debido a la velocidad cada vez mayor de computadoras, se hizo evidente que una
clave de 40 bits no era lo suficientemente seguro. Posiblemente, con los
procesadores de gama alta que vendra en el futuro, los piratas informticos
podra llegar a probar todas las claves hasta encontrar el adecuado, lo que les
permite descifrar y robar informacin privada. Que tomara algn tiempo, pero era
posible.
Las claves se alargaron a 128 bits. Eso es 2128 claves, cdigos de cifrado o
340.282.366.920.938.463.463.374.607.431.768.211.456
nico.
(Eso
es
340000000000000 billones de billones, para aquellos de ustedes hacer el
seguimiento en casa.) Se determin que si las computadoras sigui avanzando en
la velocidad como lo han hecho en el pasado, estos cdigos de 128 bits que
permanecen seguros durante por lo menos una dcada ms, si no ms.
Certificados DigiCert no se detienen all, sin embargo. Los certificados SSL
DigiCert tambin son compatibles con el nuevo estndar de RSA 2048-bit de
encriptacin.
El protocolo SSL es un sistema diseado y propuesto por Netscape
Communications Corporation. Se encuentra en la pila OSI entre los niveles de
TCP/IP y de los protocolosHTTP, FTP, SMTP, etc. Proporciona sus servicios de
seguridad cifrando los datos intercambiados entre el servidor y el cliente con un
algoritmo de cifrado simtrico, tpicamente el RC4 o IDEA, y cifrando la clave de
sesin de RC4 o IDEA mediante un algoritmo de cifrado de clave pblica,
tpicamente el RSA. La clave de sesin es la que se utiliza para cifrar los datos
que vienen del y van al servidor seguro. Se genera una clave de sesin distinta
para cada transaccin, lo cual permite que aunque sea reventada por un atacante
en una transaccin dada, no sirva para descifrar futuras transacciones. MD5 se
usa como algoritmo de hash.
Proporciona cifrado de datos, autenticacin de servidores, integridad de mensajes
y, opcionalmente, autenticacin de cliente para conexiones TCP/IP.
154

Cuando el cliente pide al servidor seguro una comunicacin segura, el servidor

abre un puerto cifrado, gestionado por un software llamado Protocolo SSL Record,
situado encima de TCP. Ser el software de alto nivel, Protocolo SSL Handshake,
quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de
forma segura con el cliente.
El Protocolo SSL Handshake
Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una
serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue
las siguientes seis fases (de manera muy resumida):
La fase Hola, usada para ponerse de acuerdo sobre el conjunto de

algoritmos para mantener la intimidad y para la autenticacin.
La fase de intercambio de claves, en la que intercambia informacin sobre
las claves, de modo que al final ambas partes comparten una clave
maestra.
La fase de produccin de clave de sesin, que ser la usada para cifrar los
datos intercambiados.
La fase de verificacin del servidor, presente slo cuando se usa RSA como
algoritmo de intercambio de claves, y sirve para que el cliente autentique al
servidor.
La fase de autenticacin del cliente, en la que el servidor solicita al cliente
un certificado X.509 (si es necesaria la autenticacin de cliente).
Por ltimo, la fase de fin, que indica que ya se puede comenzar la sesin
segura.
El Protocolo SSL Record

El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos
y recibidos. La porcin de datos del protocolo tiene tres componentes:
MAC-DATA, el cdigo de autenticacin del mensaje.

ACTUAL-DATA, los datos de aplicacin a transmitir.
PADDING-DATA, los datos requeridos para rellenar el mensaje cuando se
usa cifrado en bloque.
155

Establecimiento de sesin segura con SSL
Figura 67: Establecimientos de sesin SSL. Fuente: http://technologypractice.blogspot.com/2012/06/ssl-2048-bits-mejores-practicas.html

Las dos partes de la comunicacin intercambian nmeros aleatorios.
El servidor enva su llave pblica con un certificado digital firmado por una
CA reconocida, adems enva una ID de sesin.
El browser cliente crea una llave pre_master_secret, la cifra usando la llave
pblica del servidor y transmite al servidor.
Las dos partes generan una llave de sesin usando la pre_master_secret y
los nmeros aleatorios.
El establecimiento de sesin inicia con cifrado asimtrico, para lograr una
conexin segura y autenticar a las partes. Sin embargo, luego de generar e
intercambiar la llave de sesin (llave privada), las dos partes cambian ha cifrado
simtrico. Esto se debe a que con cifrado simtrico se crea mucho menos
overhead y en consecuencia se logra mayor rendimiento.

aprendizaje ptimo.
Transacciones Seguras Luciano Moreno
Link:http://www.educastur.princast.es/fp/hola/hola_bus/cursos/curso17/d
ocumentos/seguras.pdf
156

Leccin 30: TLS, ISAKMP1

TLS (Transport Layer Security)
El desarrollo de TLS se basa en el protocolo SSLv3, al ser una versin avanzada
proporciona mejores caractersticas de seguridad. La arquitectura de los dos
protocolos es bastante similar, sin embargo no se asegura la compatibilidad entre
estos.
TLS proporciona integridad de datos, confidencialidad de datos, y autenticacin de
entidades de la comunicacin. Se ubica sobre un protocolo de transporte
confiable, tal como TCP. Consiste de dos capas, el Protocolo de Registro TLS y el
Protocolo de Handshake TLS, como se muestra en la siguiente figura:
Figura 68: Capas TLS. Fuente:

http://lobobinario.blogspot.com/2011/02/analizando-ssl-ii-de-iii-aplicaciones-y.html
Protocolo de Registro TLS

El protocolo de registro TLS permite encapsular protocolos de alto nivel,
incluyendo el protocolo de Handshake TLS.
Realiza el siguiente procedimiento con los mensajes a ser transmitidos:
Fragmenta los datos en bloques manejables.
Comprime los datos (opcional).
Aplica un cdigo de autenticacin del mensaje.
157

Cifra y transmite el resultado.
Protocolo de Handshake TLS

El protocolo de Handshake TLS permite la mutua identificacin cliente-servidor y
negociacin del algoritmo y llaves de cifrado, antes que los datos sean
transmitidos.
Consiste de tres protocolos:
El protocolo de hanshake: es el protocolo ms importante por el cual el
cliente
y servidor acuerdan parmetros como: el algoritmo criptogrfico, tipo de
autenticacin y generan llaves secretas.
El protocolo de cambio de cdigo: mensaje enviado por el cliente y servidor,
para notificar que los siguientes mensajes van a ser protegidos bajo los
nuevos parmetros de seguridad negociados.
El protocolo de alerta: permite notificar que la conexin va a ser cerrada, o
que ha ocurrido un error en la conexin
TLS soporta tres tipos de autenticacin: autenticacin del servidor, autenticacin

de ambas partes y total anonimato.
ISAKMP
ISAKMP proporciona un framework para el establecimiento y administracin de
asociaciones de seguridad de forma independiente del protocolo de seguridad.
Algunos de los protocolos de seguridad usados pueden ser IPsec ESP, IPsec AH
o TLS.
Puede implementarse ISAKMP sobre cualquier protocolo de transporte o sobre IP,
en el caso de UDP que es un protocolo no confiable, se logra una administracin
de llaves confiable con el uso de este protocolo.
Su funcin es similar a SASL (Simple Authentication and Security Layer), el que
tambin permite el uso de diferentes mecanismos de seguridad, aunque ISAKMP
158

es ms complejo ya que maneja una asociacin de seguridad mltiple.

Negociacin
Figura 69: ISAKMP. Fuente: http://www.tml.tkk.fi/Opinnot/Tik110.501/1998/papers/16isakmp/isakmp.html

La negociacin se realiza en dos fases. En la fase 1 se establece una SA entre las
partes de la comunicacin, la que define la forma de proteger los futuros mensajes
de negociacin. La fase 2 establece uno o varios SAs para el protocolo de
seguridad que se va a usar. Luego de la fase 2 el protocolo de seguridad puede
iniciar su ejecucin.
El conjunto de atributos y parmetros que definen una SA son llamados dominio
de interpretacin, estos son:
formato de payload.
Tipo de intercambio.
Convenciones para nombrar a la informacin importante de seguridad.
159

REFERENCIAS
[1] Forouzan, B. (2002). Transmisin de datos y redes de comunicaciones (2a.
ed.). Madrid: McGraw-Hill.
[2] Philippe, A. y Dordoigne, J. (2006). Redes informticas. Conceptos
fundamentales (2a. ed.). Barcelona: Espaa: Ediciones ENI.
[3] Noonan, W. y Dubrawsky, I. (2006). Firewall Fundamentals (1a. ed.). Estados
Unidos: Pearson Printice Hall.
[4] Anguita, L., Ortega, L., Prieto, E. (2005). Arquitectura de computadores (2a.
ed.). Espaa: Thompson.
[5] Tanenbaum, A. (2003). Redes de computadoras (4a. ed.).
Pearson. Prindice Hall.
Mxico D.F:
[6] Miller, S. (2004). Seguridad en Wifi. Madrid: McGraw-Hill.

[7] Lpez, O. El estndar IEEE 802.11 Wireless LAN. [en lnea]. Madrid:
Universidad
Politcnica
de
Madrid.
Disponible
en:
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-Lopez-Ortizres.pdf [2013, 21 de julio].
[8] Carracedo, G. (2004). Seguridad en redes telemticas. Mxico D.F: McGrawHill.
[9] Chenard,J-S., Zilic, Z., Prokic, M. (2008). A laboratory setup and teaching
methodology for wireless and mobile embedded systems. Revista Iberoamericana
de tecnologas del aprendizaje (IEEE-RITA), 51 (3), 378.
[10] Barajas, S. Protocolos de seguridad en redes inalmbricas. [en lnea]. Madrid:
Universidad Carlos III de Madrid. Disponible en: http://www.saulo.net/des/SegWiFiart.pdf [2013, 21 de julio].
[11] Campio, J. y Daza, R. Wardriving: el preludio a un ataque inalmbrico?. [en
lnea].
Espaa:
Universidad
Santiago
de
Cali.
Disponible
en:
http://usuarios.multimania.es/wdcali/archivos/download/Wardriving%20El%20Prelu
dio%20De%20Un%20Ataque%20Inal%E1mbrico.pdf [2013, 21 de julio].
160

[12] Gallego, A. (2012). Seg 2: El tiempo nos da la razn. Red seguridad: revista
especializada en seguridad informtica, proteccin de datos y comunicacin, 56,
36-38.
[13] McClure, S., Scambray, J., Kurtz, G. (2012). Hacking exposed: network
security secrets & solutions (7a. ed.). Estados Unidos: McGraw-Hill.
[14] Ramachandran, V. (2011). BackTrack 5 wireless penetration testing.
Beginner's Guide. (7a. ed.). Reino Unido: Packt Publishing Ltd.
[15] Sanders, C. (2011). Practical packet analysis: using wireshark to solve realworld network problems. (2a. ed.). San Francisco: No starch press.
[16] McNab, C. (2004). Seguridad de redes. Espaa: Anaya Multimedia/O'Reilly.
[17] lvarez, M. y Gonzlez,V. (2005) Estudio y configuracin de calidad de
servicio para protocolos IPV4 e IPV6 en una red de fibra ptica WDM. [en lnea].
Chile: Revista facultad de ingenieras Universidad de Tarapac. Disponible en:
http://www.scielo.cl/scielo.php?pid=S0718-13372005000300015&script=sci_arttext
[2013, 21 de julio].
161

Seguridad Avanzada en Redes de Datos

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Seguridad Avanzada en Redes de Datos

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Escuela de Ciencias Bsicas, Tecnologa e ingeniera