Redes l
SEGURIDAD DE REDES I 2
Índice
Presentación 5
Red de contenidos 7
Unidad de Aprendizaje 1
ELEMENTOS DE SEGURIDAD Y ADMINISTRACIÓN DE RIESGOS 9
1.1 Tema 1 : Introducción a la seguridad 11
1.1.1 : Terminología de la seguridad 11
1.1.2 : Marco histórico 12
1.1.3 : Situación Actual 13
Unidad de Aprendizaje 2
TÉCNICAS DE ENUMERACIÓN 67
2.1 Tema 6 : Enumeración - I 69
2.1.1 : Tipos de Enumeración 69
2.1.2 : Enumeración NETBIOS 69
2.1.3 : SuperScan 69
Unidad de Aprendizaje 3
NAVEGACIÓN ANÓNIMA 81
3.1 Tema 8 : Navegación anónima - I 83
3.1.1 : Uso del Tor Browser 83
3.1.2 : Configuración de Tor 84
3.1.3 : Trucos y consejos para principiantes 86
Unidad de Aprendizaje 4
CONCEPTOS DE SEGURIDAD INFORMÁTICA 93
4.1 Tema 10 : Tablas Arco iris - I 95
4.1.1 : Criptoanálisis basado en Rainbow Table 96
4.1.2 : Generación de tablas Arco Iris 97
4.1.3 : Conversión de tablas Rainbow de rti2 a rt 98
Presentación
Para conocer y subsanar las vulnerabilidades de un sistema, es necesario
profundizar en las características d e los ataques a los que puede ser sometido.
No obstante, muchos administradores únicamente logran alcanzar los límites de
sus sistemas de forma casual.
Red de contenidos
SEGURIDAD DE REDES 1
Footprinting Configuración de
VPNs
Elementos de Seguridad
Análisis de Riesgos
1
SEMANA
UNIDAD
1
ELEMENTOS DE SEGURIDAD Y
ADMINISTRACIÓN DE RIESGOS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al término de la unidad, el alumno identifica correctamente los diferentes elementos y
parámetros de la electrónica orientadas fundamentalmente al funcionamiento de las
computadoras y a su mantenimiento.
TEMARIO
1.1 Tema 1 : Introducción a la seguridad
1.1.1 : Terminología de la seguridad
1.1.2 : Marco histórico
1.1.3 : Situación actual
ACTIVIDADES PROPUESTAS
La seguridad es un tema que debe inquietar a cualquier organización, que hoy en día,
decida conectar su red a otras sobre Internet. Las estadísticas de hoy indican el alto
nivel de riesgo que corre la información de una organización, si esta no es
correctamente asegurada. Esto no es de extrañar, si se tiene en cuenta el
crecimiento de Internet en los últimos años; que implica, por una parte, nuevas
redes susceptibles de ser atacadas, y por otra, la presencia de nuevos atacantes
en potencia.
Lo cierto es que, tal y como están las cosas, atacar una red conectada a Internet
que no haya sido protegida de un modo "especial" , es relativamente fácil, y mucho más
si se utilizan sistemas operativos antiguos, que no han sido actualizados ni asegurados
en forma debida. En la red es posible encontrar, sin mucho esfuerzo, listas de
vulnerabilidades, tanto de protocolos como de sistemas operativos; así como guías
que señalan los pasos a seguir para explotar dichas vulnerabilidades. Incluso,
existen servidores de ftp anónimo, con todo tipo de herramientas orientadas a tomar el
control de cualquier máquina.
A lo largo de este curso, se conocerá, con más detalle, las definiciones de los términos
que se describen a continuación.
Vulnerabilidad: Es una debilidad en el sistema, que puede ser explotada para causar
pérdida o daño. Si una persona explota una vulnerabilidad, s e está perpetrando un
ataque al sistema.
Auditoría: Debe conocerse en cada momento las actividades de los usuarios dentro
del sistema.
Confidencialidad: La información d e b e ser leída por su propietario o por alguien
explícitamente autorizado para hacerlo.
Integridad: Nos asegura que solo los equipos o usuarios autorizados serán capaces
de modificar las capacidades de los sistemas de computadoras y de la transmisión d e
información. La modificación i n c l u y e escritura, cambios, estatus del cambio,
borrado y retraso o revisión de los mensajes transmitidos.
En un principio, la seguridad de las redes estaba concentrada en el host, esto era muy
lógico, ya que este era el que unía todos los servicios del sistema de la empresa; tanto
los archivos, como la ejecución de aplicaciones estaba encomendada a este sistema,
por lo que los usuarios sólo podían, desde una terminal ejecutar aplicaciones
remotamente en el sistema central.
El otro punto crítico de seguridad eran las líneas de comunicación de los datos,
que viajaban a los terminales remotos mediante MÓDEM. Para esta conexión, un
ataque malicioso consistía en averiguar el número de teléfono al que estaba
conectado el host, realizar la llamada telefónica e introducir los datos correctos de
usuario y contraseña.
En los 80’s, aparecen el ordenador personal y las redes de área local (LAN), esto
plantea que el administrador de la red, no sólo debía de proteger los servidores
que se ubicaban en la red local, sino también cada uno de los Terminales
conectados a la red, los cuales disponen de los datos, aplicaciones y capacidad de
ejecutar código maligno a sus sistemas. Todo ello, obligaba a que todos los sistemas
debían de estar protegidos.
El primer punto crítico de estos sistemas se encuentra en los virus, que entonces sólo
se propagaban a través de disquetes y a fines de los 80’s en CD-ROM. La solución
para el administrador entonces estaba bien clara, con un antivirus que se
actualizaba regularmente mediante el envío por correo ordinario de una
actualización, bastaba para mantener la integridad del sistema.
En los 90’s, aparece Internet lo que provoca que los puntos vulnerables de la red se
comiencen a multiplicar. Cada usuario con un MÓDEM y con conexión a Internet era
un riesgo potencial para el sistema. A partir de ese momento, las actualizaciones de los
sistemas antivirus se realizaban a través de Internet, lo que hacía al proceso de
actualización mucho más rápido; ya no se actualiza con un disquete o un CD-ROM
cada semana o 15 días, ahora se realizaban cada día o dos días por Internet. En la
segunda mitad de los 90’s, se masifican las conexiones a Internet por medio de los
proxys o routers; esto proporciona una gran ventaja a los usuarios, pero muchos
problemas a los administradores de red.
La pérdida de datos insustituibles es una amenaza real para cualquier empresa que
conecta su red con el mundo exterior. Por otra parte, el acceso remoto y la conexión a
Internet permiten mejorar la comunicación a un nivel sin precedente. Además de proveer
una extensa fuente de información, el acceso a Internet abre las puertas a un gran
universo de comunicación con los clientes y proveedores. No obstante, estas mismas
oportunidades exponen sus redes locales (LAN) a sufrir ataques de “hackers”, así como al
uso inadecuado de la información por parte de sus propios empleados.
En los capítulos siguientes, se verán las diferentes tecnologías de seguridad y los factores
que debe tener en cuenta para seleccionar la que más se adecue a la realidad de la
empresa, para cubrir las necesidades de protección en la seguridad.
Actividad
Capítulo 1
Herramientas de auditoría
Objetivos
Antecedentes / Situación
Los atacantes han desarrollado muchas herramientas, en los últimos años, para atacar y
poner en peligro las redes de las organizaciones.
Estos ataques pueden tomar muchas formas, pero en la mayoría de los casos, tratan de
obtener información confidencial, destruir recursos o denegar a los usuarios legítimos el
acceso a los recursos.
Para entender cómo defender una red contra los ataques, el administrador debe
identificar; en primer lugar, las vulnerabilidades de un sistema informático. Para tal fin, los
fabricantes de software han desarrollado software de auditoría de seguridad. Estas
herramientas se pueden utilizar para ayudar a identificar las posibles deficiencias de un
programa. Además, las mismas herramientas utilizadas por los atacantes se pueden
utilizar para probar la capacidad de una red para mitigar un ataque. Una vez que se
conocen las vulnerabilidades, se pueden tomar medidas para ayudar a mitigar los ataques
a la red.
haber mitigado o qué técnicas de mitigación podría haber sido implementado, para
prevenir futuros ataques.
Se puede trabajar en equipos de a dos con una persona que informe sobre la Parte 1 y la
otra información sobre las herramientas de auditoría de seguridad. Todos los miembros
del equipo ofrecen un breve resumen de sus conclusiones. Para este fin se puede utilizar
PPTs.
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Computadoras y organización
afectadas
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Nombre de la herramienta
Desarrollador
Costo
Parte 3. Reflexión
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
3. ¿Usted realmente ha trabajado para una organización o sabe de alguna que se haya
visto comprometida por algún tema de seguridad en su red?
4. Si es así, ¿cuál fue el impacto para la organización y qué hicieron al respecto?
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Resumen
1. En un principio, la seguridad de las redes estaba concentrada en el host, esto era
muy lógico, ya que este era el que unía todos los servicios del sistema de la
empresa; tanto los archivos, como la ejecución de aplicaciones estaba encomendada
a este sistema, por lo que los usuarios sólo podían, desde una terminal ejecutar
aplicaciones remotamente en el sistema central.
3. La pérdida de datos insustituibles es una amenaza real para cualquier empresa que
conecta su red con el mundo exterior. Por otra parte, el acceso remoto y la conexión a
Internet permiten mejorar la comunicación a un nivel sin precedente. Además de
proveer una extensa fuente de información, el acceso a Internet abre las puertas a un
gran universo de comunicación con los clientes y proveedores. No obstante, estas
mismas oportunidades exponen sus redes locales (LAN) a sufrir ataques de “hackers”,
así como al uso inadecuado de la información por parte de sus propios empleados.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica
http://jcef.sourceforge.net/doc/introsecurity.pdf
La seguridad se define como una estrategia a seguir para proteger un bien. Esta
estrategia debe basarse en elementos que puedan guiar nuestro diseño y adaptarlo a las
necesidades de la organización. Asimismo, se debe conocer cuáles son las principales
amenazas a la que nos enfrentamos.
El primer tema de este capítulo analiza los pilares de la seguridad, los cuales definen la
estrategia a seguir en el diseño e implementación de un sistema de seguridad integral
acorde a las necesidades de la organización.
El segundo tema presentará las relaciones de confianza, que definen cómo una entidad
se comunica con otra.
Confidencialidad
Integridad
Disponibilidad
Confidencialidad:
Permite el acceso, únicamente, a aquellas personas o servicios que son
autorizados y bajo los parámetros definidos. Consiste en prevenir la publicación no
autorizada del contenido de un mensaje de manera intencional o no.
Integridad:
Los sistemas serán modificados y/o eliminados sólo por aquellas personas o servicios
autorizados para ello. El concepto de integridad asegura que los datos:
Disponibilidad:
Los sistemas serán asequibles por los usuarios autorizados en el periodo especificado por
el propietario o administrador de la información. Se asegura el acceso, de manera fiable y
en el tiempo definido, a los datos y recursos por parte del personal apropiado.
La estrategia de seguridad más eficiente es establecer un sistema por capas tal y como
se muestra en la figura, empezando por los primeros niveles de acceso hasta los datos
mismos.
Defensa de perímetro:
Es la puerta de acceso a la red de datos desde el exterior. En este punto se tiene a los
ruteadores de acceso a Internet, así como la red de datos del proveedor de servicio.
Defensa de red:
Es la red de datos interna de la organización. Compuesta de ruteadores, swicthes y otros
dispositivos de comunicación sobre los cuales tiene control directo el propietario de la red.
Defensa de host:
Asociada a la defensa del sistema operativo de la estación, servidor. Esto aplica para la
aplicación de medidas de reforzamiento del mismo.
Defensa de aplicaciones:
Las aplicaciones también requieren de medidas de reforzamiento, los fabricantes proveen
de consejos acerca de esto.
Defensa de datos:
Es el último escalón de “la cadena de seguridad”. Los datos, la información son el bien
más preciado.
Ataques y Contramedidas
Para cada tipo de ataque es posible preparar una contramedida, para neutralizarlo.
Los ataques se clasifican de distintas maneras, pero hay que analizar el origen de los
mismos en base al tipo de atacantes.
Script Kiddies. Personas que no saben nada de redes y/o protocolos pero saben cómo
manejar las herramientas de ataque creadas por otros. Por lo general, no siguen una
estrategia muy silenciosa de ataques.
Hackers médium. Personas que saben acerca de redes, protocolos, sistemas operativos y
aplicaciones, pero que no crean sus propias herramientas, sino que utilizan las
desarrolladas por otros.
Tipos de ataques
Los ataques son amenazas que se materializan y generan pérdidas a los sistemas
que eligen como objetivo. Los ataques se han clasificado de la siguiente manera:
Troyanos. Aplicaciones que aparentan tener un uso legítimo, pero que tiene
funciones ocultas diseñadas para sobrepasar los sistemas de seguridad.
Para evitar la acción de los virus, gusanos y troyanos hay que utilizar antivirus,
mantener los sistemas actualizados y evitar el uso de software no autorizado.
Resumen
1. La seguridad es un conjunto de métodos, procedimientos y esquemas que definen
una estrategia para proteger la información basada en tres pilares.
Confidencialidad
Integridad
Disponibilidad
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
http://seguridaddeinformacion.bligoo.com/los-pilares-de-la-seguridad-
informatica#.Vd5wk_Z_MSU
http://www.carranzatorres.com.ar/index.php?option=com_content&view=article&id=637:los-
tres-pilares-de-la-seguridad-de-la-informacion&catid=96:guardar&Itemid=166
1.3 FOOTPRINTINGE M A N
1.3.1 La fase inicial: Footprinting
1. Footprinting.
2. Fingerprinting.
3. Análisis de vulnerabilidades.
4. Explotación de vulnerabilidades.
5. Generación de informes.
Pongamos como ejemplo que se tiene que auditar a la organización Flu Project
que tiene en el dominio flu-project.com su sitio Web y desde el que se pueden
conectar a distintos servicios que ofrece su organización.
El primer paso será evidentemente entrar en el sitio Web que vamos a auditar. Se
deberá navegar por todas sus páginas y aplicaciones, ya que nunca se sabe que
se va a encontrar. Es habitual, sobretodo en sitios Web muy grandes, que se dejen
olvidados enlaces a sitios que no deberían estar, o algún error en una llamada a
BBDD (algo más común de lo que se piensa). Tras hacernos una idea del estado
de la web continuaremos con el siguiente paso.
por ejemplo, es interesante ver qué saben o dicen los demás de nuestro
objetivo, para ello, podemos ayudarnos de la siguiente búsqueda en Google ,
donde el “–“ indica que queremos ver todos los resultados menos los del dominio
objetivo:
Una vez que hayamos realizado algunas búsquedas específicas será interesante
listar todas las páginas que pendan del dominio raíz. Para ello, podemos
ayudarnos de la búsqueda:
site:flu-project.com
Y podríamos leer el código fuente de las distintas páginas encontradas, para ver si
hay comentarios escritos por los programadores (algo común) u otros datos que
puedan ser de utilidad. Por ejemplo, en una ocasión nos encontramos con un
comentario muy curioso que decía algo como lo siguiente:
Si se quiere trabajar un poco menos se puede descargar el sitio web entero, con
alguna herramienta como Teleport o WebZip y hacer búsquedas directamente
sobre la carpeta donde esté el sitio web descargado con la herramienta Inforapid,
que realiza búsquedas muy rápidas sobre el contenido de los ficheros de una
carpeta.
Otro dato interesante será listar los subdominios que pen dan del dominio principal
con sus correspondientes direcciones IP y, por tanto, máquinas y servidores. De
esta manera, nos podremos dar cuenta rápidamente del tamaño de la
organización. Para ello, nos podremos ayudar de nuevo de la herramienta
Anubis que automatiza búsquedas de Google Hacking con los verbos “site”
e “inurl”. Con estos datos, posteriormente, en la fase de Fingerprinting (activo),
con Nmap por ejemplo, podremos intentar obtener más datos y en fases
posteriores realizar otro tipo de ataques:
Para esta tarea, también se puede utilizar algún servicio Web como los siguientes:
http://serversniff.net/content.php?do=hostonip
http://www.myipneighbors.com/
Netcraft (http://searchdns.netcraft.com)
Cuwhois (http://www.cuwhois.com/)
Entre los datos más interesantes que nos podrá aportar se encuentran la IP,
Servidores DNS, Registrador del dominio, País, Idioma, Lenguaje de programación
del sitio Web, codificación, modelo del Servidor Web, la posición en distintos
rankings, feeds, incluso, si comparte servidor Web con otras páginas, nos
proporcionará un listado con sus vecinos:
Chatox (http://www.chatox.com/whois/whois.html )
IPTools (http://www.iptools.com/)
Resumen
1. Script Kiddies, Personas que no saben nada de redes y/o protocolos pero
saben cómo manejar las herramientas de ataque creadas por otros. Por lo
general, no siguen una estrategia muy silenciosa de ataques.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
https://en.wikipedia.org/wiki/Footprinting
https://en.wikipedia.org/wiki/DNA_footprinting
Obviamente, la Criptografía hace años que dejó de ser un arte para convertirse en
una técnica, o más bien un conglomerado de técnicas, que tratan sobre la
protección - ocultamiento frente a observadores no autorizados- de la información.
Existen dos trabajos fundamentales sobre los que se apoya prácticamente toda la
teoría criptográfica actual. Uno de ellos, desarrollado por Claude Shannon en sus
artículos “A Mathematical Theory of Communication" (1948) y “Communication
Theory of Secrecy Systems" (1949), sienta las bases de la Teoría de la
Información y de la Criptografía moderna. El segundo, publicado por Whitfield Diffie y
Martin Hellman en 1976, se titulaba “New directions in Cryptography” e introducía el
concepto de Criptografía de Llave Pública, abriendo enormemente el abanico de
aplicación de esta disciplina.
Conviene hacer notar que, la palabra Criptografía sólo hace referencia al uso de
códigos, por lo que no engloba a las técnicas que se usan para romper dichos códigos,
conocidas en su conjunto como Criptoanálisis. En cualquier caso, ambas disciplinas
están íntimamente ligadas; no olvidemos que cuando se diseña un sistema para
cifrar información, hay que tener muy presente su posible criptoanálisis, ya
que en caso contrario podríamos llevarnos desagradables sorpresas.
Tras romper los códigos, descubren atónitos que, entre otras cosas, el mensaje
anunciaba la guerra con los Estados Unidos. Con ello, los Estados Unidos entran en
la confrontación mundial y ayuda a los aliados a ganar la guerra. Según palabras de
David Khan, autor de la obra más completa sobre historia de la criptografía.
El radiotelegrama estaba cifrado con una máquina que los norteamericanos llamaron
Purple, cuyo código fue roto por William Friedman, quizás el criptólogo más importante
de la historia, y un grupo de criptoanalistas. Si bien es cierto que ello no pudo evitar el
ataque de los japoneses a Pearl Harbor, el esfuerzo realizado por todos en la destrucción
de tales códigos jugó luego, un papel fundamental y marcó la derrota del pueblo nipón,
así como el fin de la guerra.
Según lo anterior, podríamos afirmar entonces que la criptografía clásica abarca desde
tiempos inmemoriales, como veremos a continuación, hasta los años de la posguerra es
decir, hasta la mitad del siglo XX.
La escítala
Ya en el siglo V a.c. los lacedemonios, un antiguo pueblo griego, usaban el método de la
escítala para cifrar sus mensajes. El sistema consistía en una cinta que se enrollaba en
un bastón y sobre el cual se escribía el mensaje en forma longitudinal como se muestra:
Figura 1: La escítala
Una vez escrito el mensaje, la cinta se desenrollaba y era entregada al mensajero; si éste
era interceptado por cualquier enemigo, lo único que se conseguía era un conjunto de
caracteres o letras distribuidas al parecer de forma aleatoria en dicha cinta. Incluso, si el
enemigo intentaba enrollar la cinta en un bastón con diámetro diferente, el resultado
obtenido era un conjunto de letras escritas una a continuación de otra sin sentido alguno.
C = AACSNIICTCOAINLFLARAAEBS.
Para enmascarar completamente la escritura, es obvio que la cinta en cuestión debe
tener caracteres en todo su contorno. Como es de esperar, la clave del sistema residía,
precisamente, en el diámetro de aquel bastón, de forma que solamente el receptor
autorizado tenía una copia exacta del mismo bastón en el que enrollaba el mensaje
recibido y, por tanto, podía leer el texto en claro. En este sistema no existe modificación
alguna del mensaje; es decir, éste va en claro desde el transmisor hacia el receptor, por
lo que como veremos más adelante se tratará de un cifrado por transposición.
El cifrador de Polybios
A mediados del siglo II a.c., encontramos el cifrador por sustitución de caracteres más
antiguo que se conoce. Atribuido al historiador griego Polybios, el sistema de cifra
consistía en hacer corresponder a cada letra del alfabeto un par de letras que indicaban
la fila y la columna en la cual aquella se encontraba, en un recuadro de 5 x 5 = 25
caracteres, transmitiéndose, por tanto, en este caso el mensaje como un criptograma.
En la figura 2, se muestra una tabla de cifrar de Polybios adaptada al inglés, con un
alfabeto de cifrado consistente en el conjunto de letras A, B, C, D y E, aunque algunos
autores representan el alfabeto de cifrado como los números 1, 2, 3, 4 y 5.
Acorde con este método, la letra A se cifrará como AA, la H como BC, etc. Esto significa
que aplicamos una sustitución al alfabeto {A, B, C, .., X, Y, Z} de 26 letras convirtiéndolo
en un alfabeto de cifrado {AA, AB, AC, ..., EC, ED, EE} de 25 caracteres, si bien
sólo existen 5 símbolos diferentes {A, B, C, D, E}.
Este tipo de tabla o matriz de cifrado será muy parecida a la que en el siglo XIX se
utilizará en el criptosistema conocido como cifrador de Playfair y que será tratado más
adelante en el apartado de cifradores poligrámicos, salvo que en este último la operación
de cifra no se realiza por monogramas, como en el de Polybios, sino por diagramas,
conjunto de dos caracteres del texto en claro.
Ejemplo:
Solución:
C= DADEAE ABDEAECCAA BDADAEAA CAAA ADAECA BDBBDAEBBCD.
Mi ABCDEFGHIJKLMNÑOPQRSTU
V W X Y Z Ci DEFGHIJKLMNÑOPQR
STUVW XYZABC
Figura 3: Cifrador del Cesar
Ejemplo:
Con el cifrador del César según el alfabeto mostrado en la figura anterior, cifre los
siguientes mensajes:
Solución:
A partir del ejemplo anterior, es fácil apreciar ciertas debilidades en este cifrador como,
por ejemplo, la repetición de la cadena de caracteres YL en el criptograma primero y
FHVDU en el segundo que entregan demasiadas pistas a un posible criptoanalista.
Estos y otros puntos débiles del cifrador del César, que por ahora no saltan a la vista,
serán analizados y comentados más adelante.
El cifrador de Alberti
En el siglo XVI, León Battista Alberti presenta un manuscrito en el que describe un disco
cifrador con el que es posible cifrar textos, sin que exista una correspondencia única entre
el alfabeto del mensaje y el alfabeto de cifrado como en los casos analizados
anteriormente. Con este sistema, cada letra del texto en claro podía ser cifrada con un
carácter distinto dependiendo esto de una clave secreta. Se dice entonces, que tales
cifradores usan más de un alfabeto; por lo que se denominan cifradores polialfabéticos, a
diferencia de los anteriores denominados monoalfabéticos.
Como se aprecia en la Figura 4, el disco de Alberti presenta en su círculo exterior los
20 caracteres del latín, esto es, los mismos del alfabeto castellano excepto las letras
H, J, Ñ, K, U, W e Y, y se incluyen los números 1, 2, 3 y 4 para códigos especiales. Por su
parte, en el disco interior aparecen todos los caracteres del latín además del signo & y las
La innovación que supone este sistema consiste en que el alfabeto de sustitución puede
ser cambiado durante el proceso de cifrado, por ejemplo, cada k caracteres, simplemente
girando el disco interior y, por tanto, utilizando otro alfabeto de sustitución.
Ejemplo:
Solución:
Desplazamos el disco interior dos espacios en el sentido de las agujas del reloj y leemos
el carácter cifrado en el disco interior, bajo el carácter correspondiente del texto en claro
del disco exterior, obteniéndose:
En la era moderna, esta barrera clásica se rompió, debido principalmente a los siguientes
factores:
Toda la seguridad de este sistema está basada en la llave simétrica, por lo que es misión
fundamental, tanto del emisor como del receptor, conocer esta clave y mantenerla en
secreto. Si la llave cae en manos de terceros, el sistema deja de ser seguro, por lo que
habría que desechar dicha llave y generar una nueva.
Para que un algoritmo de este tipo sea considerado fiable debe cumplir varios requisitos
básicos:
Los algoritmos simétricos encriptan bloques de texto del documento original y son más
sencillos que los sistemas de clave pública; por lo que sus procesos de encriptación
y desencriptación son más rápidos.
Las principales desventajas de los métodos simétricos son la distribución de las claves, el
peligro de que muchas personas deban conocer una misma clave y la dificultad de
almacenar y proteger muchas claves diferentes.
Generalmente, una de las claves de la pareja, denominada clave privada, es usada por el
propietario para encriptar los mensajes, mientras que la otra, llamada clave pública, es
usada para desencriptar el mensaje cifrado.
Las claves pública y privada tienen características matemáticas especiales, de tal forma
que se generan siempre a la vez, por parejas, estando cada una de ellas ligada
intrínsecamente a la otra; de tal forma que si dos llaves públicas son diferentes,
entonces sus llaves privadas asociadas también lo son y viceversa.
En este sistema, para enviar un documento con seguridad, el emisor (A) encripta el mismo
con la clave pública del receptor (B) y lo envía por el medio inseguro. Este documento
está totalmente protegido en su viaje, ya que sólo se puede desencriptar con la clave
privada correspondiente, conocida solamente por B. Al llegar el mensaje cifrado a su
destino, el receptor usa su clave privada para obtener el mensaje en claro.
Una variación de este sistema se produce cuando es el emisor A el que encripta un texto
con su clave privada, enviando por el medio inseguro tanto el mensaje en claro, como el
cifrado. Así, cualquier receptor B del mismo, puede comprobar que el emisor ha sido A y
no otro que lo suplante, con tan sólo desencriptar el texto cifrado con la clave pública de A
y comprobar que coincide con el texto sin cifrar. Como sólo A conoce su clave privada, B
puede estar seguro de la autenticidad del emisor del mensaje. Este sistema de
autentificación se denomina firma digital y lo estudiaremos después con más detenimiento
Para que un algoritmo de clave pública sea considerado seguro debe cumplir con los
siguientes requerimientos:
La principal ventaja de los sistemas de clave pública frente a los simétricos es que la clave
pública y el algoritmo de cifrado son o pueden ser de dominio público y no es necesario
poner en peligro la clave privada en tránsito por los medios inseguros, ya que ésta
está siempre oculta y en poder únicamente de su propietario. Como desventaja, los
sistemas de clave pública dificultan la implementación del sistema y son mucho más
lentos que los simétricos.
El primer sistema de clave pública que apareció fue el de Diffie-Hellman, en 1976 y fue la
base para el desarrollo de los que después aparecieron, entre los que cabe destacar el
RSA (el más utilizado en la actualidad).
Los principales sistemas criptográficos, tanto de clave simétrica como pública, los veremos
con más detenimiento más adelante.
Uno de los tipos de análisis más interesantes es el de texto claro escogido, que parte de
que conocemos una serie de pares de textos claros - elegidos por nosotros - y
sus criptogramas correspondientes. Esta situación se suele dar cuando tenemos
acceso al dispositivo de cifrado y éste nos permite efectuar operaciones, pero no nos
permite leer su clave; por ejemplo, las tarjetas de los teléfonos móviles GSM. El número
de pares necesarios para obtener la clave desciende entonces significativamente.
Cuando el sistema es débil, pueden ser suficientes unos cientos de mensajes para
obtener información que permita deducir la clave empleada.
Un par de métodos de criptoanálisis que han dado interesantes resultados son el análisis
diferencial y el análisis lineal. El primero de ellos, partiendo de pares de mensajes con
diferencias mínimas - usualmente de un bit -, estudia las variaciones que existen
entre los mensajes cifrados correspondientes, tratando de identificar patrones comunes.
El segundo, emplea operaciones XOR entre algunos bits del texto claro y algunos bits
del texto cifrado, obteniendo, finalmente, un único bit. Si realizamos esto con muchos
pares de texto claro-texto cifrado podemos obtener una probabilidad p en ese bit que
calculamos. Si p está suficientemente sesgada (no se aproxima a 1/2), tendremos la
posibilidad de recuperar la clave.
Otro tipo de análisis, esta vez para los algoritmos asimétricos, consistiría en tratar de
deducir la llave privada a partir de la pública. Suelen ser técnicas analíticas que
básicamente intentan resolver los problemas de elevado costo computacional, en los que
se apoyan estos criptosistemas: factorización, logaritmos discretos, etc. Mientras estos
problemas genéricos permanezcan sin solución eficiente, podremos seguir confiando
en estos algoritmos.
Resumen
1. Los modernos algoritmos de encriptación simétricos mezclan la transposición
y la permutación, mientras que los de clave pública se basan más en
complejas operaciones matemáticas.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
http://www.segu-info.com.ar/proyectos/p1_ataques.htm
https://es.wikipedia.org/wiki/Criptograf%C3%ADa
Estadísticas
Para los hackers no existen sistemas que no sean atractivos para atacar pues el
sistema puede:
Criterios de la clasificación
La información y otros componentes del sistema están siempre bajo la amenaza de ser
atacados por agentes, tanto externos como internos, quienes tratan de
aprovechase de las vulnerabilidades del sistema y, por ello, siempre existirá un nivel
de riesgo.
Las amenazas son eventos que podrían causar daños a la organización, las
cuales tratan de explotar vulnerabilidades que son debilidades o ausencias de
fortalezas en un bien. Las amenazas y las vulnerabilidades definen el nivel del
riesgo de una organización, también conocida como factor de exposición (EF).
El valor de pérdida potencial en que se encuentra la organización se ha obtenido
mediante la siguiente fórmula:
Donde:
VI = Valor de la información
ARO = Razón de ocurrencia anual
EF = Factor de Exposición. En función de las amenazas y vulnerabilidades
Ejemplo:
Esto sería el valor de la información por el factor de exposición, también conocido como
Single Loss Expectancy (SLE) del riesgo, entonces SLE = VI x EF. Multiplicando
el ARO por el SLE se puede calcular el ALE.
R= V * A * VI
La ecuación muestra que el riesgo tiene una relación directa con las amenazas y
vulnerabilidades. La información tiene un valor que se incrementa por la calidad de la
información o decrece por el valor contable del bien.
Aplicación de parches
Ejecución de checklist y worlarounds: anulación de servicios,
establecimiento de políticas de administración en los sistemas, etc.
Definición y aplicación de procedimientos, entrenamiento, etc.
Acondicionamiento físico
Procedimientos administrativos
Seguridad personal
Estándares deSeguridad:
ISO 7498-2.
ISO 17799.
ISO 7498-2
Cifrado. Encriptación de datos que van de un sistema a otro en una red o entre
procesos de un sistema
Firma Digital. Verificación de la identidad de un usuario y del contenido de
un mensaje mediante una entidad externa.
Control de Acceso. Chequeo de que el usuario o proceso está permitido de
ejecutar algo.
ISO 17799
ISO 17799 es una norma internacional, que ofrece recomendaciones para realizar la
gestión de la seguridad de la información dirigidas a los responsables de
iniciar, implantar o mantener la seguridad de una organización.
Define la información como un activo que posee valor para la organización y requiere,
por tanto, de una protección adecuada. El objetivo de la seguridad de la información es
proteger adecuadamente este activo, para asegurar la continuidad del negocio,
minimizar los daños a la organización y maximizar el retorno de las inversiones y las
oportunidades de negocio.
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad
Historia
Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como
norma ISO en 2000 y denominada ISO/IEC 17799:
En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799) y en
2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente
ISO).
Dominios de control:
La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por
completo la Gestión de la Seguridad de la Información:
1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10. Conformidad con la legislación
Políticas de Seguridad
Organización de la Seguridad
Estructura Organizacional.
Resumen
1. La información y otros componentes del sistema están siempre bajo la amenaza de
ser atacados por agentes, tanto externos como internos, quienes tratan de
aprovechase de las vulnerabilidades del sistema y por ello siempre existirá un
nivel de riesgo.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo
https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
1
SEMANA
UNIDAD
2
TÉCNICAS DE ENUMERACIÓN
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al finalizar la unidad, el alumno, identifica los componentes más importantes
del software de una computadora como el sistema operativo; y efectúa la
instalación del mismo. También identifica las ventajas de los entornos
virtualizados y efectúa la instalación de los mismos.
TEMARIO
2.1 Tema 6 : Enumeración I
2.1.1 : Tipos de enumeración
2.1.2 : Enumeración NETBIOS
2.1.3 : SuperScan
ACTIVIDADES PROPUESTAS
2.1. ENUMERACIÓN I
La enumeración de objetivos, es la actividad mediante la cual podemos obtener,
recolectar y organizar la información de máquinas, redes, aplicaciones, servicios u
otras tecnologías disponibles y ofrecidas por el o los objetivos.
A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la
detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203
sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites
orientados al comercio y con contenidos específicos, además de un conjunto de
sistemas informáticos aleatorios con los que realizar comparaciones.
Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto
a un atacante potencial, es decir, posee problemas de seguridad conocidos en
disposición de ser explotados. Así por ejemplo, un problema de seguridad del grupo
rojo es un equipo que tiene el servicio de FTP anónimo mal configurado. Los
problemas de seguridad del grupo amarillo son menos serios pero también reseñables.
Implican que el problema detectado no compromete inmediatamente al sistema pero
puede causarle serios daños o bien, que es necesario realizar tests más intrusivos
para determinar si existe o no un problema del grupo rojo.
2.1.3 SuperScan
Netbios Enumerator
Esta aplicación fue sugerida para mostrar el uso de los recursos remotos
Resumen
1. Aunque el nivel de seguridad que ofrece es muy alto, no es ni mucho menos
perfecto, de hecho el propio Tor Project lo admite en su página oficial. El problema
radica en que aunque usemos multitud de routers y nodos para enviar el mensaje
una entidad que controle un gran número de ellos (por ejemplo un ISP en alianza
con el gobierno de un país) puede, hipotéticamente, inferir la ubicación del usuario
que envía el mensaje y el receptor si observa durante una cantidad suficiente de
tiempo, que puede ir desde los 6 meses hasta varios días.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
https://es.wikipedia.org/wiki/Tor_(red_de_anonimato)
https://dan1t0.wordpress.com/2010/09/27/analisis-de-redes-enumeracion-de-
sistemas-windows/
2.2. ENUMERACIÓN II
Network Time Protocol (NTP) es un protocolo de Internet utilizado para sincronizar los
relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes
con latencia variable.
NTP utiliza UDP como su capa de transporte, usando el puerto 123. Está diseñado
para resistir los efectos de la latencia variable.
NTP utiliza el Algoritmo de Marzullo con la escala de tiempo UTC, incluyendo soporte
para características como segundos intercalares. NTPv4 puede mantenerse
sincronizado con una diferencia máxima de 10 milisegundos (1/100 segundos) a través
de Internet, y puede llegar a acercarse hasta 200 microsegundos (1/5000 segundos) o
más en redes de área local sobre condiciones ideales.
NTP es uno de los protocolos de internet más viejos que siguen en uso (desde antes
de 1985). NTP fue diseñado originalmente por David L. Mills de la Universidad de
Delaware, el cual lo sigue manteniendo, en conjunto con un equipo de voluntarios.
Las estampas de tiempo utilizadas por NTP consisten en un segundo de 32-bit y una
parte fraccional de 32-bit, dando con esto una escala de 232 segundos (136 años),
con una resolución teórica de 2−32 segundos (0.233 nanosegundos). Aunque las
escalas de tiempo NTP se redondean cada 232 segundos, las implementaciones
deberían desambiguar el tiempo NTP utilizando el tiempo aproximado de otras
fuentes. Esto no es un problema en la utilización general ya que esto solamente
requiere un tiempo cercano a unas cuantas décadas.
Los detalles operacionales de NTP se encuentran ilustrados en el RFC 778, RFC 891,
RFC 956, RFC 958 y RFC 1305. (NTP no debe ser confundido con daytime (RFC 867)
o los protocolos de tiempo (RFC 868)). La versión actual de NTP es la versión 4; hasta
el 2005, sólo las versiones superiores a la versión 3 han sido documentadas en los
RFCs. El grupo de trabajo de NTP IETF ha sido formado para estandarizar el trabajo
de la comunidad de NTP desde RFC 1305.
Hay una forma menos compleja de NTP que no requiere almacenar la información
respecto a las comunicaciones previas que se conoce como Protocolo Simple de
Tiempo de Red' o SNTP. Ha ganado popularidad en dispositivos incrustados y en
aplicaciones en las que no se necesita una gran precisión.
http://www.bytefusion.com/products/fs/ntpscan/ntpscan.html
Abra el programa ntpscan, luego click a Options, y desmarque Search Internet for
time Servers.
2. Modifique la hora del servidor NTP y verifique como la hora cambia en el equipo
cliente.
Para efectuar el barrido de varias direcciones IP, podemos usar el comando fping.
La opción >host1.txt, indica que la salida del comando sea enviada a un archivo de
texto, que se ubicara en el directorio en el que se ingresó el comando.
Resumen
1. NTP utiliza el Algoritmo de Marzullo con la escala de tiempo UTC, incluyendo
soporte para características como segundos intercalares. NTPv4 puede mantenerse
sincronizado con una diferencia máxima de 10 milisegundos (1/100 segundos) a
través de Internet, y puede llegar a acercarse hasta 200 microsegundos (1/5000
segundos) o más en redes de área local sobre condiciones ideales.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
http://www.alcancelibre.org/staticpages/index.php/como-ntp
http://www.ntp.org/ntpfaq/NTP-s-def.htm
1
SEMANA
UNIDAD
3
NAVEGACIÓN ANÓNIMA
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al finalizar la unidad, el alumno, identifica las características más importantes
de las redes de computadoras y los principales protocolos utilizados en las
redes actuales.
TEMARIO
3.1 Tema 8 : Navegación anónima – I
3.1.1 : Uso del Tor Browser
3.1.2 : Configuración de Tor
3.1.3 : Trucos y consejos para principiantes
ACTIVIDADES PROPUESTAS
Antes de entrar en materia, quizá lo más apropiado sea explicar, brevemente y a nivel
usuario, que es exactamente Tor y cómo es su funcionamiento. Consiste básicamente
en que cada uno de los mensajes que envía nuestra máquina, nuestro computador, es
rebotado de manera aleatoria y cifrado a través de una serie de nodos. Ninguno de
esos nodos puede descifrar el mensaje y sólo conoce el siguiente nodo al que pasar el
mensaje de modo que desde el punto de vista de un observador externo en lugar de
una conexión de A hasta B lo único que ve es una serie de conversaciones
fragmentadas y cifradas saltando aquí y allá.
Aunque el nivel de seguridad que ofrece es muy alto, no es ni mucho menos perfecto,
de hecho el propio Tor Project lo admite en su página oficial. El problema radica en que
aunque usemos multitud de routers y nodos para enviar el mensaje una entidad que
controle un gran número de ellos (por ejemplo un ISP en alianza con el gobierno de un
país) puede, hipotéticamente, inferir la ubicación del usuario que envía el mensaje y el
receptor si observa durante una cantidad suficiente de tiempo, que puede ir desde los
6 meses hasta varios días. Para expresarlo de manera simple: cuanto más tiempo
pasas en Tor más posibilidades hay, si alguien está decidido a encontrarte, de que lo
consiga. Algo parecido a lo que ocurre en las películas de Hollywood con la
triangulación de señal según las antenas: cuanto más tiempo dura la llamada más fácil
es inferir la ubicación final.
Contrario a la creencia que parece estar más extendida, el proceso de descargar Tor y
comenzar a navegar de manera segura dura, literalmente, menos de un minuto:
Si es la primera vez que utilizas Tor, hay algunos consejos y consideraciones básicas
que debes tener en cuenta:
Sólo es seguro el navegador Tor: Es uno de los fallos más frecuentes. La única
información que se envía de manera segura es aquella que intercambias a través
del navegador Tor. Dicho de otro modo, ni tu ordenador ni tu conexión son 100%
seguras, sólo el navegador.
No hay Flash: aparte de porque es una de las piezas de software más infames de
la era de Internet, está llena de agujeros de seguridad y vulnerabilidades.
Afortunadamente, una gran mayoría de webs decentes, comenzando por YouTube,
ya permiten ser visualizadas en HTML5. Por si acaso, el navegador Tor ofrece una
opción para activar YouTube desde sus ajustes, aunque vaya por delante que está
profundamente desaconsejado.
Mail2Tor: Muy similar a TorChat pero para emails. Su página sólo puede
accederse desde un navegador Tor y permite enviar y recibir emails de manera
segura.
Resumen
1. Aunque el nivel de seguridad que ofrece es muy alto, no es ni mucho menos
perfecto, de hecho el propio Tor Project lo admite en su página oficial. El problema
radica en que aunque usemos multitud de routers y nodos para enviar el mensaje
una entidad que controle un gran número de ellos (por ejemplo, un ISP en alianza
con el gobierno de un país) puede, hipotéticamente, inferir la ubicación del usuario
que envía el mensaje y el receptor si observa durante una cantidad suficiente de
tiempo, que puede ir desde los 6 meses hasta varios días.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
http://www.welivesecurity.com/la-es/2014/07/09/como-utilizar-tor-navegacion-
anonima-internet/
https://es.wikipedia.org/wiki/Internet_profunda
El OUI es asignado al fabricante por IEEE. Esta dirección está guardada o "quemada"
en la ROM de la placa de red y es copiada a la RAM del dispositivo en el momento en
que se inicializa la NIC. Por estar guardada en la ROM también se la denomina
Dirección Grabada.
La placa de red utiliza la dirección MAC para identificar las tramas originadas en ese
puerto, y para evaluar si la trama recibida debe ser pasada a las capas superiores o
no.
En una red Ethernet, todos los nodos deben verificar el encabezado de la trama para
verificar si deben copiarla o no.
C:\>ipconfig /all
Switch#show mac-address-table
. . . . . Mac Address Table
--------------------------------------
Vlan . Mac Address . . .Type . . Ports
---- . ----------- . . .-------- -----
All . .0014.1c40.b080 . STATIC . CPU
La dirección MAC de los puertos de los routers Cisco se puede conocer utilizando el
comando show interfaces:
Cada interfaz Ethernet o Fast Ethernet de los routes tiene su propia dirección MAC. En
algunos casos especiales, como el de los switches, el dispositivo está dotado de un
conjunto o pool de direcciones MAC. Esto es lo que observamos como direcciones
estáticas al revisar la tabla de direcciones MAC de los switches.
Este procedimiento tiene varios usos "lícitos" (también puede ser utilizado con el
propósito de obtener accesos no autorizados). Entre ellos, cuando necesitamos
enmascarar la dirección MAC de nuestro puerto para permitir el acceso a un puerto o
dispositivo que tiene una dirección MAC permitida de modo estático, o cuando es
necesario probar funciones de filtrado de direcciones MAC.
En algunos dispositivos esta función se ha denominado "clonación de direcciones
MAC".
En Cisco IOS esto se hace utilizando el comando mac-address en el modo
configuración de interfaz. He aquí un ejemplo:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0/0
Router(config-if)#mac-address 0000.0000.0001
Router(config-if)#^Z
RouterB#
RouterB#show int e0/0
Ethernet0/0 is up, line protocol is up
Hardware is AmdP2, address is 0000.0000.0001 (bia 0003.e39b.9220)
Internet address is 192.168.1.1/8
Observe que ahora, al revisar el valor de la dirección MAC utilizando show interfaces,
el valor de la dirección MAC y el que aparece entre paréntesis (BIA) son diferentes. El
valor que se muestra en primer lugar es el que el dispositivo tiene en su memoria RAM
y que utilizará para encapsular las tramas Ethernet salientes. El valor que aparece
entre paréntesis como BIA, es la dirección MAC que se mantiene guardada en la ROM
del puerto y que volverá a leer cuando sea reiniciado.
Filtrado de tráfico basado en las direcciones MAC
Cisco IOS permite realizar filtrado de tráfico a partir de la dirección MAC contenida en
el encabezado de la trama. Esto puede ser implementado por diferentes motivos,
como por ejemplo, bloquear el tráfico que tiene origen en una determinada dirección.
Para este propósito se pueden utilizar tanto ACL numeradas como nombradas. Este
es un ejemplo utilizando ACL nombradas:
En este ejemplo se crea una lista de acceso MAC nombrada extendida que deniega
todo el tráfico que tenga como dirección MAC de origen 0000.0000.0001, sin importar
la dirección IP
Por todo lo dicho también, es preciso tener presente que este procedimiento no es una
medida de seguridad efectiva ya que las direcciones MAC son fácilmente modificables.
Windows 7 tiene un error o una restricción que hace que sea difícil cambiar la
dirección MAC. Es por ello, que se han creado herramientas como la que hoy os
presentamos: Win7 Mac Changer. Se trata de una función muy simple para cambiar la
dirección MAC en tu equipo con Windows 7 (también sirve para XP o Vista).
Básicamente, lo que se tiene que hacer, una vez instalada la función, es elegir el
adaptador de tarjeta de red de la lista y hacer clic en “Change”(cambiar) para asignar
manualmente la dirección MAC o dejar que se genere automáticamente.
Resumen
1. Ethernet utiliza la "dirección de hardware", "MAC" "dirección física" o simplemente
"dirección Ethernet" para identificar cada puerto dentro de una red LAN y así
permitir las comunicaciones desde un dispositivo local hasta otro dispositivo local
identificados unívocamente en la red.
2. La placa de red utiliza la dirección MAC para identificar las tramas originadas en
ese puerto, y para evaluar si la trama recibida debe ser pasada a las capas
superiores o no. En una red Ethernet, todos los nodos deben verificar el
encabezado de la trama para verificar si deben copiarla o no
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
https://en.wikipedia.org/wiki/MAC_spoofing
http://www.howtogeek.com/192173/how-and-why-to-change-your-mac-address-on-
windows-linux-and-mac/
1
SEMANA
UNIDAD
4
CONCEPTOS DE SEGURIDAD
INFORMÁTICA
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al finalizar la unidad, el alumno, identifica las principales amenazas
informáticas así como los procedimientos para protegernos contra ellos.
También reconoce las funciones del profesional en TI, su comportamiento ético
así como sus responsabilidades.
TEMARIO
4.1 Tema 10 : Tablas Arco iris – I
4.1.1 : Criptoanálisis basado en Rainbow Table
4.1.2 : Generación de tablas Arco Iris
4.1.3 : Conversión de tablas Rainbow de rti2 a rt
ACTIVIDADES PROPUESTAS
Hash es una función que se aplica a un archivo de cualquier tipo, ya sea documentos,
fotos, música, etc. de la cual se obtiene una clave que representa de manera única a
ese archivo.
SHA
MD5
LM
NTLM
Primero se aplica la reducción (aplicar una función hash pero en sentido contrario) que
se utilizó por última vez en la tabla y comprobar si la contraseña obtenida aparece en
la última columna de la tabla (paso 1).
Si el proceso ha sido positivo (paso 3, en este caso linux23 aparece en la tabla al final
de la cadena), la contraseña se recupera en el principio de la cadena que produce
linux23. Aquí nos encontramos con passwd al principio de la cadena almacenada en la
tabla.
En este punto (paso 4) se genera una cadena y en cada iteración se compara el hash
con el que queremos obtener. En este caso nos encontramos con el hash re3xes en la
cadena. Por tanto la contraseña actual «culture» genera este hash que es la que se
busca.
Es importante saber que las tablas rainbow son creadas a partir de una función de
hash específica, por ejemplo, para romper los hashes de MD5 necesitaremos unas
tablas rainbow basadas en hashes de MD5 y para SHA, tablas rainbow SHA.
Esta técnica fue desarrollada por Philippe Oechslin como un método basado en el
compromiso espacio-tiempo o tiempo-memoria.
Aplicaciones
Los programas que utilizan las tablas rainbow siempre han de utilizarse como auditoría
de tus contraseñas en lo que se llama hacking ético.
Otra técnica utilizada para efectuar la auditoría de las contraseñas es el método de las
tablas arco iris o rainbow tables.
Esta técnica fue desarrollada por Philippe Oechslin como un método basado en el
compromiso espacio-tiempo o tiempo-memoria. Ophcrack utiliza esta técnica contra
contraseñas de sistemas Windows.
Las tablas rainbow son generadas a partir de una función de hash específicas, por
ejemplo, para romper los hashes de MD5 necesitaremos unas tablas rainbow basadas
en hashes de MD5 y para SHA necesitaremos tablas rainbow SHA.
Este programa nos permite generar distintos tipos de tablas rainbow, sin embargo,
generalmente el proceso de generar las tablas rainbow puede ser bastante tedioso,
tanto así que el cómputo de una tabla rainbow MD5 de solo caracteres numéricos del
0 al 9, puede tomar como 28 horas y generar un archivo de 610 Mb.
Hay tablas rainbow que pueden pesar 800 GB y que pueden tomar como 10 días en
generarse, por lo tanto es recomendable descargarlas. Existen opciones de descarga
gratuita o también sitios que venden Rainbow Tables ya grabados en disco duros
externos.
Si se trata de descargar Tablas Rainbow existen varios sitios desde los cuales
podemos descargar los torrents de dichos archivos:
Una vez que hemos generado o descargado una tabla rainbow podemos utilizarla con
Cain o con otro programa como Rainbow Crack.
Ejercicio 01:
1. Ejecutamos WinrtGen
2. Escogemos la opción Add Table
3. Desde allí podemos escoger el tipo de Tabla Rainbow que deseamos generar, por
ejemplo:
Hash : ntlm
Min Len : 1
Max Len : 7
Chain Len : 2400
Charset : alpha-numeric-symbol-14-space
4. Si picamos la opción Benchmark nos dará algunos datos acerca del tiempo de
generación de los hashes:
Llenar la siguiente tabla con esos datos
Key space
Disk space
Success probability
Hash speed
Ejercicio 02:
Key space
Disk space
Success probability
Hash speed
Ejercicio 03:
Key space
Disk space
Success probability
Hash speed
https://www.freerainbowtables.com/tables2/
Sin embargo, hay muchos casos en que estas tablas vienen en un formato con
extensión *.rti2, el cual no es reconocido por Caín ni por Rainbow Crack.
Vamos a utilizar tablas rainbow de extensión rti2 que ya han sido descargadas. Estas
tablas serán proporcionadas por el profesor, como verán son tablas pesadas y por eso
no están colgadas en el Moodle.
En este caso tendremos que efectuar la conversión de las tablas *.rti2 a tablas *.rt.
Para este trabajo utilizaremos el programa rti2rto_0.3_beta4_win32_vc. Este programa
se ejecuta en una consola CMD.
5. Luego de tener las tablas en formato RT, las podemos utilizar con Cain o Rainbow
Crack.
Resumen
1 Las tablas arcoíris o tablas Rainbow son tablas de consulta que ofrecen un
compromiso espacio-tiempo para obtener claves en texto simple a partir del
resultado de una función de hash.
3 Esta técnica fue desarrollada por Philippe Oechslin como un método basado en el
compromiso espacio-tiempo o tiempo-memoria. Ophcrack utiliza esta técnica contra
contraseñas de sistemas Windows.
4 Este programa nos permite generar distintos tipos de tablas rainbow, sin embargo,
generalmente el proceso de generar las tablas rainbow puede ser bastante tedioso,
tanto así que el cómputo de una tabla rainbow MD5 de solo caracteres numéricos
del 0 al 9, puede tomar como 28 horas y generar un archivo de 610 Mb
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
http://www.subinet.es/que-es-unaun-ataque-rainbow-table-tabla-arco-iris/
http://foro.elhacker.net/wireless_en_linux/crear_tablas_raibow-t319748.0.html
Ejemplo 01:
4. Luego de eso, indicamos la Rainbow Table que vamos a aplicar para efectuar el
testeo. En este caso vamos a utilizar un Rainbow Table que hemos descargado de
Internet:
Este Rainbow Table consta de 4 archivos que serán agregados en la opción ADD
Table.
Estos archivos ya tienen la extensión .rt, sin embargo no siempre es así, en algunos
casos se pueden encontrar las Tablas Rainbow con la extensión *.rti2.
Estas tablas no son reconocidas por Cain ni por Rainbow Crak, por lo que se deben
convertir a formato rt.
Ejemplo 02:
Ejemplo 03:
4. Verificamos si el ataque tuvo éxito. En algunos casos las tablas Rainbow pueden no
dar con la contraseña dependiendo de la forma en que han sido generadas.
5. Pegar la pantalla del resultado final del “crackeo”
Ejemplo 04:
También es posible atacar las contraseñas de sistemas Windows. Como sabemos las
contraseñas Windows son almacenadas de manera encriptada en el sistema utilizando
los Hashes LM y NTLM.
Los hashes LM (Lan Manager) se utilizaron en los primeros sistemas Windows hasta
Windows NT; luego de ello se empezaron a utilizar los hashes NTLM.
Los hashes los podemos utilizar con el PWDUMP.exe, así como también con el CAIN.
En el anterior laboratorio trabajamos con el PWDUMP.exe, ahora lo haremos con el
CAIN.
Ejemplo 05:
Rainbowcrack es otra herramienta que también puede ser utilizada para “crackear”
contraseñas que utilizan hashes de tipo MD5, LM y NTLM.
Ejemplo 01:
Ejemplo 02:
Resumen
1. En criptografía, se denomina salt a un fragmento aleatorio (caracteres, números...)
que se añade a un hash para conseguir que si dos usuarios generan una misma
contraseña, su hash no sea idéntico y con ello evitar problemas de seguridad.
2. Este programa nos permite generar distintos tipos de tablas rainbow, sin embargo,
generalmente el proceso de generar las tablas rainbow puede ser bastante tedioso,
tanto así que el cómputo de una tabla rainbow MD5 de solo caracteres numéricos
del 0 al 9, puede tomar como 28 horas y generar un archivo de 610 Mb.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
http://www.emezeta.com/articulos/criptoanalisis-las-tablas-rainbow
Las organizaciones utilizan las VPN para crear una conexión de red privada de
extremo a extremo a través de redes externas como Internet o las extranets. El túnel
elimina la barrera de distancia y permite que los usuarios remotos accedan a los
recursos de red del sitio central. Una VPN es una red privada creada mediante
tunneling a través de una red pública, generalmente Internet. Una VPN es un entorno
de comunicaciones en el que el acceso se controla de forma estricta para permitir las
conexiones de peers dentro de una comunidad de interés definida.
Compatibilidad con la tecnología de banda ancha: las redes VPN permiten que
los trabajadores móviles y los empleados a distancia aprovechen la conectividad
por banda ancha de alta velocidad, como DSL y cable, para acceder a las redes
de sus organizaciones. La conectividad por banda ancha proporciona flexibilidad y
eficacia. Las conexiones por banda ancha de alta velocidad también proporcionan
una solución rentable para conectar oficinas remotas.
Una VPN de sitio a sitio se crea cuando los dispositivos en ambos lados de la
conexión VPN conocen la configuración de VPN con anticipación, como se muestra en
la ilustración. La VPN permanece estática, y los hosts internos no saben que existe
una VPN. En una VPN de sitio a sitio, los hosts terminales envían y reciben tráfico
TCP/IP normal a través de un “gateway” VPN. El gateway VPN es el responsable de
encapsular y cifrar el tráfico saliente para todo el tráfico de un sitio en particular.
Después, el gateway VPN lo envía por un túnel VPN a través de Internet a un gateway
VPN de peer en el sitio de destino. Al recibirlo, el gateway VPN de peer elimina los
encabezados, descifra el contenido y transmite el paquete hacia el host de destino
dentro de su red privada.
Una VPN de sitio a sitio es una extensión de una red WAN clásica. Las VPN de sitio a
sitio conectan redes enteras entre sí, por ejemplo, pueden conectar la red de una
sucursal a la red de la oficina central de una empresa. En el pasado, se requería una
conexión de línea arrendada o de Frame Relay para conectar sitios, pero dado que en
la actualidad la mayoría de las empresas tienen acceso a Internet, estas conexiones
se pueden reemplazar por VPN de sitio a sitio.
Si se utiliza una VPN de sitio a sitio para conectar redes enteras, la VPN de acceso
remoto admite las necesidades de los empleados a distancia, de los usuarios móviles
y del tráfico de extranet de cliente a empresa. Una VPN de acceso remoto se crea
cuando la información de VPN no se configura de forma estática, pero permite el
intercambio dinámico de información y se puede habilitar y deshabilitar. Las VPN de
acceso remoto admiten una arquitectura cliente/servidor, en la que el cliente VPN (host
remoto) obtiene acceso seguro a la red empresarial mediante un dispositivo del
servidor VPN en el perímetro de la red.
Las VPN de acceso remoto se utilizan para conectar hosts individuales que deben
acceder a la red de su empresa de forma segura a través de Internet. La conectividad
a Internet que utilizan los trabajadores a distancia suele ser una conexión por banda
ancha, DSL, cable o inalámbrica, como se indica en la ilustración.
Es posible que se deba instalar un software de cliente VPN en la terminal del usuario
móvil; por ejemplo, cada host puede tener el software Cisco AnyConnect Secure
Mobility Client instalado. Cuando el host intenta enviar cualquier tipo de tráfico, el
software Cisco AnyConnect VPN Client encapsula y cifra este tráfico. Después, los
datos cifrados se envían por Internet al gateway VPN en el perímetro de la red de
destino. Al recibirlos, el gateway VPN se comporta como lo hace para las VPN de sitio
a sitio.
Resumen
1. Las organizaciones necesitan redes seguras, confiables y rentables para
interconectar varias redes, por ejemplo, para permitir que las sucursales y los
proveedores se conecten a la red de la oficina central de una empresa. Además,
con el aumento en la cantidad de trabajadores a distancia, hay una creciente
necesidad de las empresas de contar con formas seguras, confiables y rentables
para que los empleados que trabajan en oficinas pequeñas y oficinas domésticas
(SOHO), y en otras ubicaciones remotas se conecten a los recursos en sitios
empresariales.
2. Una VPN de sitio a sitio se crea cuando los dispositivos en ambos lados de la
conexión VPN conocen la configuración de VPN con anticipación, como se muestra
en la ilustración. La VPN permanece estática, y los hosts internos no saben que
existe una VPN. En una VPN de sitio a sitio, los hosts terminales envían y reciben
tráfico TCP/IP normal a través de un “gateway” VPN. El gateway VPN es el
responsable de encapsular y cifrar el tráfico saliente para todo el tráfico de un sitio
en particular. Después, el gateway VPN lo envía por un túnel VPN a través de
Internet a un gateway VPN de peer en el sitio de destino. Al recibirlo, el gateway
VPN de peer elimina los encabezados, descifra el contenido y transmite el paquete
hacia el host de destino dentro de su red privada
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
http://computerhoy.com/paso-a-paso/internet/como-conectarte-crear-configurar-tu-propia-
red-vpn-7981
http://www.xatakaon.com/seguridad-en-redes/como-crear-nuestra-propia-red-vpn-en-windows-7