INSTITUTO TECNOLOGICO DE DURANGO

LICENCIATURA EN INFORMATICA

PROYECTO DE TALLER DE INVESTIGACIÓN 2

SEGURIDAD DE REDES EMPRESARIALES

Durango Junio del 2010

Alumno: Luis Daniel Martínez Reyes
COMITÉ DE REVISION

L.I GONZALES BAÑALES DORA LUZ

RESUMEN
El presente documento intenta dar una visión más amplia, en cuanto a la seguridad de las redes
informáticas, dar a conocer que tipos de amenazas existen, cuales son las herramientas para combatir
ante estos posibles ataques y de ese modo estar más preparados para los inconvenientes que pudieran
ocurrir.
El capitulo 1, es la parte introductoria de este documento donde se nos da a conocer el por qué de la
realización de este proyecto alcances y limitaciones
El capitulo 2 define conceptos clave para poder entender cómo se estructura una red, sus ventajas y
desventajas
El capitulo 3 se desarrolla el tema de seguridad informática, posibles amenazas, tipos de virus en fin,
todos los posibles ataques a una red informática
El capitulo 4 nos enseña cómo obtener seguridad informática mediante técnicas y herramientas
especificas aunado a unas serie de recomendaciones que ayudaran de manera significativa
índice
CAPITULO I INTRODUCCION
1.1 Antecedentes…………………………………………………………………………………………………………………………….pag 5
1.2Objetivo…………………………………………………………………………………………………………………………………… .pag 5
1.3Preguntas de
Investigación……………………………………………………………………………………………………………………………..…….pag 5
1.4Alcances y
Limitaciones……………………………………………………………………………………………………………………………..………pag 5
1.5Enfoque
Metodológico…………………………………………………………………………………………………………………………….……pag 6

CAPITULO II INTRODUCCION A LAS REDES

2.1 ¿Que es una Red?………………………………………………………………………………………………………………… pag 6
2.2 Estructura de una Red………………………………………………………………………………………………………….pag 6
2.3 Importancia de una Intranet dentro de una organización…………………………………………………….pag 8
2.4 Ventajas y desventajas de una Red……………………………………………………………………………………. ..pag 8

CAPITULO III SEGURIDAD INFORMATICA

3.1 Seguridad Informática en las organizaciones………………………………………………………………………. Pag 9
3.2 Tipos de Virus…………………………………………………………………………………………………………..…………. pag 9
3.3 Principales vulnerabilidades en una Red………………………………………………………………………………. pag 11
3.4 Principales Amenazas ……………………………………………………………………………………………………….. pag 12

CAPITULO IV HERRAMIENTA PARA LA SEGURIDAD INFORMATICA DE LAS ORGANIZACIONES

4.1 Técnicas de Seguridad Informática…………………………………………………………………………………… pag 17
4.2 Principales Herramientas de seguridad informática…………………………………………………………… pag18
4.3 Instituciones Oficiales de Seguridad Informática………………………………………………………………. Pag 19
4.4 Recomendaciones…………………………………………………………………………………………………………… pag 20

CAPITULO VI RESULTADOS
5.1 Resultados…………………………………………………………………………………………………………….……….. pag21
CAPITULO I INTRODUCCION

1.1 Antecedentes

La necesidad de seguridad es un requerimiento relativamente nuevo, ya que

hasta hace poco más de veinte años la mayoría de las computadoras no estaban
conectadas en red o como caso extremo, varias terminales bobas se relacionaban con un
único mainframe desde donde se administraba y controlaba todo el sistema.
En la década del ochenta, la combinación del desarrollo de la PC
(computadora personal), la creación de un protocolo estándar de red, la caída de los
costos de hardware y el desarrollo de nuevas y mejores aplicaciones hicieron que la
arquitectura de red sea aceptada por la mayoría de los usuarios. Como resultado LANs y
WANs, junto con la computación distribuida generaron un notable incremento en la
complejidad de los ambientes computacionales [CANA01] [NETSECMai].
En principio, los desarrollos para sistemas LAN8 eran relativamente seguros
ya que se encontraban físicamente aislados y de esta manera estaban naturalmente
protegidos al permanecer independientes de otras redes privadas. Además, estas redes
se encontraban administradas de manera centralizada y con acceso limitado

1.2 Objetivo

Ayudar al Sector empresarial al conocimiento de los posibles ataques a sus vías de comunicación informáticas
para que se logre una mayor seguridad en la información que manejan.

1.3Preguntas de Investigación

¿Los dueños de las empresas conocen realmente la importancia de la seguridad en sus redes
informáticas?

1.4Alcances y Limitaciones
Este documento ayudara a las empresas a protegerse de los posibles ataques informáticos mediante el
conocimiento de técnicas y herramientas que aquí se mencionaran.
Las limitaciones serán las nuevas amenazas que van surgiendo día con día, haciendo que con el tiempo
se requiera una actualización de este documento
1.5Enfoque Metodológico
El presente documento utiliza es de carácter descriptivo, para que mediante la teoría dada sobre las
redes, amenazas y herramientas el lector pueda sacar el máximo provecho.

CAPITULO II INTRODUCCION A LAS REDES

2.1 ¿Que es una Red?

En cuanto a los elementos que la conforman, la red está integrada por un nodo o terminal y un medio
de transmisión. El nodo o terminal es el que inicia o termina la comunicación, como la computadora,
aunque también hay otros dispositivos, como por ejemplo una impresora. Mientras que los medios de
transmisión son los cables o las ondas electromagnéticas (tecnología inalámbrica, enlaces vía satélite,
etc.). También se puede hablar de una subred, que es cuando los nodos están muy distantes y tienen
entre sí nodos intermedios, conformando así entre ellos lo que se denomina subred.
Las redes pueden clasificarse según su tamaño en redes LAN, MAN y WAN. Las redes LAN (por Local
Área Network) son las Redes de Área Local, es decir las redes pequeñas -como las que se utilizan en una
empresa- en donde todas las estaciones están conectadas con el resto. Por otra parte, las redes MAN
(por Metropolitana Área Network), son las Redes de Áreas Metropolitanas, un poco más extensas que
las anteriores ya que permiten la conexión en un nivel más extenso, como una ciudad con una población
pequeña. Y por último, las redes WAN (por Wide Area Network) son las Redes de Área Extensa, aquellas
de grandes dimensiones que conectan países e incluso continentes.

2.2 Estructura de una Red

Pensar en una red clásica de pescadores es bastante gráfico para comprender la estructura de la Red. En
ella, se pueden diferenciar a simple vista dos elementos que se repiten: los nudos y los segmentos de
malla que unen los distintos nudos.

Al hablar de Internet estamos hablando también de una red y los elementos que componen esa red son
los nodos y los enlaces. La estructura de Internet no es tan regular como una red de pescadores, si bien
se pretende tener conectividad entre todos los nodos, es decir, lo ideal es tener la posibilidad de
encontrar al menos dos rutas o caminos (path en inglés) entre dos nodos cualesquiera. Uno de ellos será
el nodo origen de los mensajes mientras que el otro será el nodo destino.

Los nodos no son más que ordenadores dedicados a encaminar los paquetes hacia su destino, eligiendo
el enlace más adecuado en cada momento. Estos nodos reciben el nombre de enrutadores (ROUTERS), y
serían algunos de los nudos de la parte interna/central de la red de pesca. Igualmente, nosotros al
conectarnos utilizamos un ordenador, que si bien también es un nodo de la red se le denomina HOST (tu
ordenador).

Los enlaces son las conexiones físicas entre nodos y están formados por un conjunto de circuitos de
datos en forma de hilos telefónicos, fibras ópticas, microondas y demás soportes propios de
Telecomunicaciones. La información, se divide en trozos de un número determinado de caracteres. A
cada trozo de estos, denominado paquete, se le asocia información de enrutamiento, y se envía por un
enlace. Es decir, cuando se establece una conexión internet, tu equipo queda conectado por un enlace a
la red.
Existen una serie de ordenadores que están conectados a la red con el objeto de ofrecer y proporcionar
alguna clase de servicio a todo aquel que se lo pida. Estos ordenadores son también nodos de la red y se
denominan servidores (SERVERS).

Para poder acceder a los recursos que ofrece un servidor se necesita un tipo de programa específico,
denominado programa cliente, que debes ejecutar en tu ordenador y que es el encargado de mantener
el diálogo con el programa servidor. Se dice que estamos en una arquitectura cliente / servidor, en la
que el programa servidor corre en el ordenador que ofrece algún recurso y el programa cliente en el
ordenador de aquél que lo reclama. En el mundo Internet, por ejemplo, tenemos que los famosos
programas navegadores son clientes que piden páginas a diversos servidores que existen en la red.

En función del tráfico que deba circular por un enlace en concreto, o de lo que se pague por él, se
utilizan líneas de mayor capacidad, que hacen que el flujo de información entre dos nodos sea más o
menos rápido.

Organización de la información distribuida

En Internet no existe un único ordenador central al que acudir, sino que la información se encuentra
dispersa, en equipos situados por toda la red, en lugares desconocidos normalmente. En términos
informáticos, esta situación se describe diciendo que la información se encuentra distribuida, lo que
conlleva la necesidad de herramientas y criterios de localización.

Una fuente de datos se considera localizada cuando se conoce su dirección Internet, consistente en
cuatro grupos de números (0-255) que identifican de forma única una máquina dentro de todo el
conjunto de redes. Existe un mecanismo que nos oculta las auténticas direcciones, bastante difíciles de
memorizar, por cierto, y las sustituye por nombres mucho más intuitivos. Una dirección propia de
Internet tiene la siguiente forma: “195.76.188.2”, mientras su alias es "nodo50.org". Es lo que se llama
dirección IP. En el apartado de usuarios y dominios de este Nivel Básico de manuales ampliamos
información sobre este importante aspecto.

La naturaleza distribuida de la red tiene un problema asociado: poder saltar o moverse de una fuente de
datos a otra. El refinamiento máximo vino con el protocolo de transferencia de hipertexto HTTP, que
permitió incluir dentro de un documento enlaces que apuntaban a otros documentos relacionados,
pudiendo encontrarse éstos en la misma fuente de datos o en una remota, facilitándose la navegación
intuitiva. El moverse entre fuentes de datos situadas en muy diversos lugares supone la utilización de
diversas rutas o caminos para llegar a ellos y, por tanto, la efectividad depende de:

Canal de comunicaciones variable.

Lejanía física del servidor de información.
La sobrecarga del servidor.
Dado que existen franjas horarias a lo largo del día en las que los servidores sufren picos de acceso que
provocan auténticos embotellamientos en las autopistas de la información, son las tan conocidas “horas
punta”. Recordad que estáis en una red mundial, es decir, las horas de mayor afluencia varían si el
servidor al que queremos acceder es europeo, americano, asiático, etc.
2.3 Importancia de las intranets dentro de las organizaciones

La intranet es una de las tecnologías más poderosas que pueden utilizarse en una organización,
si se aplica de forma adecuada. Su diseño e implementación, en función de los objetivos
organizacionales, provee a la institución de una herramienta fundamental para la gestión de la
información que tributa a la gestión del conocimiento, y para la comunicación interna, que
permite mejorar y agilizar la dinámica organizacional. Sin embargo, esto sólo es posible cuando
los empleados participan activamente en su mantenimiento y actualización. Se realiza un
acercamiento a esta tecnología, a partir de su definición conceptual y su caracterización en el
contexto de las organizaciones. Se analiza su visión como herramienta para la gestión de la
información y como medio de comunicación.

2.4 Ventajas y desventajas de una Red

Una red bien configurada puede aumentar la productividad y reducir errores en tareas que deben ser
compartidas, porque se evita el tener que digitar más de una vez unos mismos datos, y los usuarios
pueden obtener de manera instantánea la información y resultados que requieran de otros.

También se reducen costos, cuando se comparte una impresora de trabajo pesado o un escáner de
imagen sofisticado, por ejemplo, ya sea porque su uso es esporádico o porque no habría presupuesto
para comprar varias de estas máquinas. Igual cosa se podría decir de la línea o servicio de conexión a
Internet, ya que, estando los equipos en red, basta una sola para todos. Y esto se aplica también a los
dos o tres PCs que hoy son comunes en casas y escuelas.

Una red también permite hacer más fácil y rápido la copia de respaldo (back up) de los programas y
archivos del trabajo diario, ya que se puede utilizar para ello un disco duro compartido en otra
computadora de la red, en vez de tener que hacer la copia en CDs o en los lentos y obsoletos disquetes.

Pero una red no resuelve todos los problemas. Cuando se presenta una falla en una computadora en red
que está operando como servidor de archivos (compartiendo carpetas del disco duro) o servidor de
impresora, por ejemplo, afecta simultáneamente a todos los usuarios que dependen de tal recurso.

Además, para mantener la red operando y administrar adecuadamente los permisos y recursos, según
las tareas de cada usuario, se requiere que haya una persona con conocimientos mínimos de redes. Y el
software para operar compartidamente en red debe cumplir ciertos requisitos de seguridad y de tráfico
de operaciones que permitan la función multiusuario y multitarea, lo cual hace que sea más costoso que
los programas monousuario.
Para que una computadora trabaje en red debe tener una tarjeta interfaz que permita la conexión con el
medio de comunicación de la red (cableado o inalámbrico), un sistema operativo que maneje red (Linux,
Unix, Windows, etc.), un protocolo común (reglas para que haya la comunicación) y una topología.

CAPITULO III SEGURIDAD INFORMATICA

3.1 Seguridad Informática
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus
propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es una
definición útil para conocer lo que implica el concepto de seguridad informática.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o
daño, ya sea de manera personal, grupal o empresarial.

En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las
redes empresariales.

Por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o
hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.

Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier
compañía; de acuerdo con expertos en el área, más de 70 por ciento de las Violaciones e intrusiones a
los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos,
metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos
cuya pérdida puede afectar el buen funcionamiento de la organización.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la
mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la
planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales
amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles
de la organización, lo que puede representar un daño con valor de miles o millones de dólares.

3.2 Tipos de Virus

Virus de Boot
Uno de los primeros tipos de virus conocido, el virus de boot infecta la partición de inicialización del
sistema operativo. El virus se activa cuando la computadora es encendida y el sistema operativo se
carga.

Time Bomb
Los virus del tipo "bomba de tiempo" son programados para que se activen en determinados
momentos, definido por su creador. Una vez infectado un determinado sistema, el virus solamente se
activará y causará algún tipo de daño el día o el instante previamente definido. Algunos virus se hicieron
famosos, como el "Viernes 13" y el "Michelangelo".

Lombrices, worm o gusanos

Con el interés de hacer un virus pueda esparcirse de la forma más amplia posible, sus creadores a veces,
dejaron de lado el hecho de dañar el sistema de los usuarios infectados y pasaron a programar sus virus
de forma que sólo se repliquen, sin el objetivo de causar graves daños al sistema. De esta forma, sus
autores tratan de hacer sus creaciones más conocidas en internet. Este tipo de virus pasó a ser llamado
gusano o worm. Son cada vez más perfectos, hay una versión que al atacar la computadora, no sólo se
replica, sino que también se propaga por internet enviándose a los e-mail que están registrados en el
cliente de e-mail, infectando las computadoras que abran aquel e-mail, reiniciando el ciclo.

Troyanos o caballos de Troya

Ciertos virus traen en su interior un código aparte, que le permite a una persona acceder a la
computadora infectada o recolectar datos y enviarlos por Internet a un desconocido, sin que el usuario
se dé cuenta de esto. Estos códigos son denominados Troyanos o caballos de Troya.
Inicialmente, los caballos de Troya permitían que la computadora infectada pudiera recibir comandos
externos, sin el conocimiento del usuario. De esta forma el invasor podría leer, copiar, borrar y alterar
datos del sistema. Actualmente los caballos de Troya buscan robar datos confidenciales del usuario,
como contraseñas bancarias.
Los virus eran en el pasado, los mayores responsables por la instalación de los caballos de Troya, como
parte de su acción, pues ellos no tienen la capacidad de replicarse. Actualmente, los caballos de Troya ya
no llegan exclusivamente transportados por virus, ahora son instalados cuando el usuario baja un
archivo de Internet y lo ejecuta. Práctica eficaz debido a la enorme cantidad de e-mails fraudulentos que
llegan a los buzones de los usuarios. Tales e-mails contiene una dirección en la web para que la víctima
baje, sin saber, el caballo de Troya, en vez del archivo que el mensaje dice que es. Esta práctica se
denomina phishing, expresión derivada del verbo to fish, "pescar" en inglés. Actualmente, la mayoría de
los caballos de Troya simulan webs bancarias, "pescando" la contraseña tecleada por los usuarios de las
computadoras infectadas.

Hijackers
Los hijackers son programas o scripts que "secuestran" navegadores de Internet, principalmente el
Internet Explorer. Cuando eso pasa, el hijacker altera la página inicial del browser e impide al usuario
cambiarla, muestra publicidad en pop-ups o ventanas nuevas, instala barras de herramientas en el
navegador y pueden impedir el acceso a determinadas webs (como webs de software antivirus, por
ejemplo).

Keylogger
El KeyLogger es una de las especies de virus existentes, el significado de los términos en inglés que más
se adapta al contexto sería: Capturador de teclas. Luego que son ejecutados, normalmente los
keyloggers quedan escondidos en el sistema operativo, de manera que la víctima no tiene como saber
que está siendo monitorizada. Actualmente los keyloggers son desarrollados para medios ilícitos, como
por ejemplo robo de contraseñas bancarias. Son utilizados también por usuarios con un poco más de
conocimiento para poder obtener contraseñas personales, como de cuentas de email, MSN, entre otros.
Existen tipos de keyloggers que capturan la pantalla de la víctima, de manera de saber, quien implantó
el keylogger, lo que la persona está haciendo en la computadora.

Zombie
El estado zombie en una computadora ocurre cuando es infectada y está siendo controlada por terceros.
Pueden usarlo para diseminar virus , keyloggers, y procedimientos invasivos en general. Usualmente
esta situación ocurre porque la computadora tiene su Firewall y/o sistema operativo desactualizado.
Según estudios, una computadora que está en internet en esas condiciones tiene casi un 50% de
chances de convertirse en una máquina zombie, pasando a depender de quien la está controlando, casi
siempre con fines criminales.

Virus de Macro
Los virus de macro (o macro virus) vinculan sus acciones a modelos de documentos y a otros archivos de
modo que, cuando una aplicación carga el archivo y ejecuta las instrucciones contenidas en el archivo,
las primeras instrucciones ejecutadas serán las del virus.
Los virus de macro son parecidos a otros virus en varios aspectos: son códigos escritos para que, bajo
ciertas condiciones, este código se "reproduzca", haciendo una copia de él mismo. Como otros virus,
pueden ser desarrollados para causar daños, presentar un mensaje o hacer cualquier cosa que un
programa pueda hacer.

3.3 Principales vulnerabilidades en una Red

1. Control de acceso inadecuado al router: un ACL del router que se haya configurado erróneamente
puede permitir la filtración de información a través de ICMP , IP NetBIOS, y permitir los accesos no
autorizados a determinados servicios en sus servidores DMZ.

2. Los puntos de acceso remoto no seguros y no vigilados uno de los nodos más sencillos para acceder a
su red corporativa.

3. La filtración de información puede proporcionar al atacante la información del sistema operativo y de

la aplicación , los usuarios, grupos, servicios compartidos, información DNS, a través de transferencia de
zona, y servicios en ejecución, tales como: SNMP, finger, SMTP, telnet, ruser, sunrpc, netBIOS.

4. Los hosts que ejecutan servicios innecesarios tales como: sunpc, FTP, DNS y SMTP dejan caminos
abiertos.

5. Contraseñas reutilizadas, sencillas o fácilmente adivinables a nivel de estación de trabajo pueden

poner en peligro la seguridad de sus servidores.

6. Cuentas de usuarios o de prueba con excesivos privilegios.

7. Servidores de Internet mal configurados, Scripts CGI en servidores web y FTP anónimos.
8. Los cortafuegos o las ACL de routers mal configurados pueden permitir el acceso a sistemas internos o
una vez que un servidor DMZ quede comprometido.

9. Aplicaciones que no hayan sido corregidas mediante la utilización de parches, que hayan quedado
anticuadas, que sean vulnerables o que se hayan quedado en configuraciones predeterminadas.

10. Excesivos controles de acceso a los archivos y directorios (NT/95 compartidos, exportaciones
mediante NFS en UNIX).

11. Excesivas relaciones de confianza, tales como NT Domain Trusts y archivos UNIX .rhosts y hosts ,
pueden permitir el acceso no autorizado a los atacantes a sistemas sensibles.

12. Servicios no autenticados, tales como xwindows.

13. Capacidades de registro, de vigilancia y de detección inadecuadas a nivel de red y de host.

14. Falta de políticas de seguridad, procedimientos directrices y unos estándares mínimos básicos
aceptados y publicados.

3.4 Principales Amenazas en una red

Ingeniería Social
Consiste en utilizar artilugios, tretas y otras técnicas para el engaño de las personas logrando que
revelen información de interés para el atacante, como ser contraseñas de acceso. Se diferencia del resto
de las amenazas básicamente porque no se aprovecha de debilidades y vulnerabilidades propias de un
componente informático para la obtención de información.

Phishing
Consiste en el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales de
entidades/empresas legítimas con el fin de obtener datos personales y bancarios de los usuarios.

Escaneo de Puertos
Consiste en detectar qué servicios posee activos un equipo, con el objeto de ser utilizados para los fines
del atacante.

Wardialers

Se trata de herramientas de software que utilizan el acceso telefónico de una máquina para encontrar
puntos de conexión telefónicos en otros equipos o redes, con el objeto de lograr acceso o recabar
información.

Código Malicioso / Virus

 Se define como todo programa o fragmento del mismo que genera algún tipo de problema en el
sistema en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo.
Existen diferentes tipos de código malicioso; a continuación mencionamos algunos de ellos:
Bombas lógicas
Se encuentran diseñados para activarse ante la ocurrencia de un evento definido en su lógica.

Exploits
Se trata de programas o técnicas que explotan una vulnerabilidad de un sistema para el logro de los
objetivos del atacante, como ser, intrusión, robo de información, denegación de servicio, etc.

Ataques de Contraseña
Consiste en la prueba metódica de contraseñas para lograr el acceso a un sistema, siempre y cuando la
cuenta no presente un control de intentos fallidos de logueo. Este tipo de ataques puede ser efectuado:
o Por diccionario: existiendo un diccionario de palabras, una herramienta intentará acceder al sistema
probando una a una las palabras incluidas en el diccionario.
o Por fuerza bruta: una herramienta generará combinaciones de letras números y símbolos formando
posibles contraseñas y probando una a una en el login del sistema.

Control Remoto de Equipos

Un atacante puede tomar el control de un equipo en forma remota y no autorizada, mediante la
utilización de programas desarrollados para tal fin, e instalados por el atacante mediante, por ejemplo la
utilización de troyanos.

Eavesdropping
El eavesdropping es un proceso por el cual un atacante capta de información (cifrada o no) que no le iba
dirigida. Existen diferentes tipos de técnicas que pueden utilizarse:

Sniffing
Consiste en capturar paquetes de información que circulan por la red con la utilización de una
herramienta para dicho fin, instalada en un equipo conectado a la red; o bien mediante un dispositivo
especial conectado al cable. En redes inalámbricas la captura de paquetes es más simple, pues no
requiere de acceso físico al medio.
Relacionados con este tipo de ataque, pueden distinguirse también las siguientes técnicas:
- AIRsniffing: consiste en capturar paquetes de información que circulan por redes inalámbricas. Para
ello es necesario contar con una placa de red "wireless" configurada en modo promiscuo y una antena.
- War Driving y Netstumbling: estas técnicas se valen del AIRsniffing, ya que consisten en circular
(generalmente en un vehículo) por un vecindario o zona urbana, con el objeto de capturar información
transmitida a través de redes inalámbricas. Esto es posible debido a que generalmente las ondas de
transmisión de información en redes inalámbricas se expanden fuera del área donde se ubican los
usuarios legítimos de la red, pudiendo ser alcanzadas por atacantes. Lo que en ocasiones las hace más
vulnerables es la falta de seguridad con que se encuentran implementadas.

Desbordamiento de CAM
Se trata de inundar la tabla de direcciones de un switch con el objeto de bloquear la capacidad que éste
posee de direccionar cada paquete exclusivamente a su destino. De esta forma el atacante podrá
efectuar sniffing de los paquetes enviados por un switch, cuando en condiciones normales un switch no
es vulnerable a este tipo de ataques.

VLAN hopping
Las VLANs son redes LAN virtuales las cuales se implementan para generar un control de tráfico entre las
mismas, de forma que los equipos conectados a una VLAN no posean acceso a otras. Este tipo de ataque
pretende engañar a un switch (sobre el cual se implementan VLANs) mediante técnicas de Switch
Spoofing logrando conocer los paquetes de información que circulan entre VLANs.

STP manipulation
Este tipo de ataque es utilizado en topologías que cuentan con un árbol de switches que implementan el
protocolo Spanning Tree Protocol para coordinar su comunicación. El equipo atacante buscará
convertirse en la “raíz” de dicho árbol, con el objeto de poder tener acceso a los paquetes de
información que circulan por todos los switches.

Man-in-the-middle
El atacante se interpone entre el origen y el destino en una comunicación pudiendo conocer y/o
modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas. Esto
puede ocurrir en diversos ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en
Internet, dentro de una red LAN, etc..

Defacement
Consiste en la modificación del contenido de un sitio web por parte de un atacante.

IP Spoofing - MAC Address Spoofing

El atacante modifica la dirección IP o la dirección MAC de origen de los paquetes de información que
envía a la red, falsificando su identificación para hacerse pasar por otro usuario. De esta manera, el
atacante puede asumir la identificación de un usuario válido de la red, obteniendo sus privilegios.

Repetición de Transacción
Consiste en capturar la información correspondiente a una transacción efectuada en la red interna o en
Internet, con el objeto de reproducirla posteriormente. Esto cobra real criticidad en transacciones
monetarias.
 Backdoors
También denominados “puertas traseras”, consisten en accesos no convencionales a los sistemas, los
cuales pueden permitir efectuar acciones que no son permitidas por vías normales. Generalmente son
instalados por el atacante para lograr un permanente acceso al sistema.

DHCP Starvation
El atacante busca reemplazar al servidor DHCP que se encuentra funcionando en la red, de forma de
asignar a los clientes direcciones IP y otra información (como ser el servidor Gateway) de acuerdo a su
conveniencia. De esta forma podría luego simular ser el Gateway e interceptar la información que los
clientes envíen, con el tipo de ataque Man-in-the-middle.

Trashing
Consiste en la búsqueda de información dentro de la basura. Esto puede representar una amenaza
importante para usuarios que no destruyen la información crítica o confidencial al eliminarla.

Denegación de Servicio
Su objetivo es degradar considerablemente o detener el funcionamiento de un servicio ofrecido por un
sistema o dispositivo de red. Existen diferentes técnicas para la explotación de este tipo de ataques:
Envío de paquetes de información mal conformados de manera de que la aplicación que debe
interpretarlo no puede hacerlo y colapsa.
Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.)
que no permiten que circulen los paquetes de información de usuarios.
Bloqueo de cuentas por excesivos intentos de login fallidos.
Impedimento de logueo del administrador.

Denegación de Servicio Distribuida

Su objetivo es el mismo que el perseguido por un ataque de denegación de servicio común, pero en
este caso se utilizan múltiples equipos para generar el ataque.
 Fraude Informático
Se trata del perjuicio económico efectuado a una persona mediante la utilización de un sistema
informático, ya sea, modificando datos, introduciendo datos falsos o verdaderos o cualquier elemento
extraño que sortee la seguridad del sistema.

Software Ilegal
Consiste en la instalación de software licenciado sin contar con la licencia correspondiente que habilita
su uso, o mediante la falsificación de la misma.

Acceso a Información Confidencial Impresa

Ocurre cuando información confidencial impresa es obtenida por personal no autorizado debido a que
la misma no es resguardada adecuadamente mediante por ejemplo, una política de limpieza de
escritorios.

Daños Físicos al Equipamiento

Los daños físicos pueden ser ocasionados por:

Acciones intencionadas
Negligencia de los usuarios (ej.: derrame de líquidos, golpes, etc.)
Catástrofes naturales (ej.: fallas eléctricas, incendio, inundación, falta de refrigeración, etc.)

Robo de Equipamiento o Componentes

El robo puede involucrar todo un equipo o de parte del mismo, ej.: un disco rígido. Puede ocurrir por
un deficiente control de acceso establecido al centro de cómputos (o recinto donde residen los equipos:
servidores, routers, switches, etc.), así como a las propias instalaciones del Organismo.

Pérdida de Copias de Resguardo

Si no existen adecuadas medidas de seguridad física para las copias de resguardo, las mismas pueden
dañarse, por ejemplo, en caso de ser afectadas por desastres como un incendio, inundación, o incluso
por robo. Asimismo, una administración inadecuada de los medios físicos de almacenamiento puede
provocar la obsolescencia de los mismos (ej.: reutilización excesiva de cintas).
Por otra parte, se debe tener en cuenta la obsolescencia tecnológica de los medios de almacenamiento
con el paso del tiempo, de manera de actualizarlos adecuadamente para permitir su restauración en
caso de ser necesaria.
CAPITULO IV HERRAMIENTA PARA LA SEGURIDAD INFORMATICA DE LAS ORGANIZACIONES
4.1 Técnicas de Seguridad Informática

Filtrado de paquetes, Screening Router o de capa de red:

Este tipo de firewalls posee uno de los modelos más sencillos y antiguos
[SCHI97] en la capacidad de realizar un enrutado selectivo, trabajan a nivel de
Transporte y de Red del modelo OSI y se encuentran conectados en ambos perímetros
de la red. A este nivel de pueden realizar filtros según los campos de los paquetes IP
(dirección IP de origen y dirección IP destino), a nivel cuatro (puerto origen y puerto
destino) y a nivel de enlace de datos o capa dos (dirección MAC) [BUILDFW].

Proxy-Gateway:
Este tipo de firewall trabaja a nivel de aplicación o capa 7 del modelo OSI
de manera que puede implementar filtrados específicos aprovechando características del
protocolo de este nivel. La utilización de este servidor intermediario entre el cliente y el
servidor real sigue siendo transparente para el usuario. Como ejemplo, un servidor de
proxy cache permite a un conjunto de computadoras establecer una conexión web
limitando el tráfico HTTP mediante su análisis, restringiendo los accesos según URLs o
contenido que violen las reglas de seguridad. Una buena implementación de un proxy
cache es la utilización de la herramienta open source Squid, disponible en
http://www.squid-cache.org en su versión 3.0 (estable desde diciembre de 2007), o
desde los repositorios oficiales de Ubuntu en su versión 2.6-14. Squid permite añadir
seguridad a nivel de filtrando de tráfico, estableciendo reglas de control de acceso a
partir de los archivos de configuración (generalmente ubicados en
/etc./squid/squid.conf). Squid se puede combinar con la aplicación SquidGuard45 para
facilitar el manejo de prohibición de acceso a páginas mediante el uso de listas negras46
simplemente modificando una línea en el archivo de configuración de Squid.

Screened Host
Para escalar un nivel más en términos de seguridad, se presenta la
arquitectura de screened host, donde son combinadas dos de las alternativas anteriores
(Screening Router y Dual Homed Host) donde en una primera instancia se filtran
paquetes mediante el router y en la segunda línea de defensa se sitúa el host bastion con
un reducido número de servicios publicados hacia el exterior. Entonces, el router se
encuentra configurado para dirigir todo el tráfico de la red externa al host bastión (lo
único que se puede acceder desde el exterior, y este mismo dirige todo el tráfico de la
red interna hacia el router
Screened Subnet
La arquitectura de Screened Subnet, o más conocida como De-militarized
Zone, zona desmilitarizada o simplemente DMZ, es actualmente la más utilizada en Firewall
implementada ya que incrementa el nivel de seguridad agregando una subred intermedia
entre las redes externa e interna, donde se ubican los servidores y servicios públicos
(como http, ftp, correo, etc.) y se evita tener un único punto débil como en el caso del
host bastion. Para este caso es necesario aumentar la complejidad de la configuración
anterior ubicando dos router (uno en cada lado de los servidores públicos). El router
conectado al exterior (generalmente internet) es el encargado de bloquear el tráfico no
deseado entre la red perimetral y la DMZ, mientras que el router interior tiene el mismo
objetivo pero entre la DMZ y la red interna. De esta forma, el atacante debe romper la
seguridad de ambos routers para acceder a la red privada. También se puede aumentar
los niveles de seguridad (a un modo paranoico) donde se definen varias redes
perimétricas en serie desde los servicios que requieren menos fiabilidad y hacia la red
interna [BUILDFW].

4.2 Principales Herramientas de seguridad informática

Método de cifrado WPA

Para solucionar las limitaciones de seguridad que proporciona WEP, se
recurrió a un subconjunto de la especificación 802.11i, el estándar de seguridad de las
redes wireless, la cual será la versión definitiva cuando sea aprobada. La información
sigue siendo cifrada utilizando el algoritmo RC4, con clave de 128 bits y un vector de
62 Wepcrack
63 Airsnort
Seguridad Wi-Fi
inicialización de 48 bits, pero utiliza TKIP (Temporal Key Integriti Protocol), un
protocolo que evita la reutilización de claves (una de las fallas de WEP) y agrega a esto,
MIC (Message Integrity Check) para reforzar la verificación de integridad de los datos.
4.2.2Metodo 802.11i
Es un WPA con “esteroides”, también llamado WPA2 posee mayor
seguridad que su antecesor al implementar el cambio esperado reemplazando el
algoritmo de encriptado RC4 (utilizados en WEP y WPA) por uno mucho más
avanzado, el AES (o Advanced Encryption Standard). Este posee dos versiones, una
personal que controla el acceso utilizando PSK (Pre-Shared Key), y la otra empresarial
que utiliza la verificación de usuarios implementando el protocolo 802.1X que ofrece un
proceso de variación dinámica de claves ajustado con otro protocolo denominado EAP
(Extensible Authentication Protocol) donde el cliente se encuentra autenticado con una
clave única que se va modificando automáticamente y es continuamente negociada por
el servidor de manera transparente al usuario

Packet Filter (a partir de ahora pf) es el filtro de paquetes de openBSD,

escrito originalmente por Daniel Hartmeier como reemplazo del anterior módulo
desarrollado por Darren Reed, el IPFilter56 [COD23].
Algunos de los puntos fuertes de pf son [OBSD_PF]:
● Filtrado de paquetes Ipv4 e Ipv6.
● NAT (Network Address Translation).
● Normalización de paquetes.
● Set de reglas dinámicos.
● Balanceo de carga.
● Modulación de ancho de banda.
● Logueo de paquetes.
● Autenticación de usuarios contra el firewall.

Priorizando ACK con ALTQ (alternate Queueing)

El regulador de caudal de tráfico ALTQ también esta incluido en el pf de
openBSD y está formado por un conjunto de herramientas que permiten manejar QoS
(calidad de servicio) armando colas de tráfico, manejando asignación de caudales y
modificando prioridades de paquetes. Desde la versión 3.3 de openBSD está integrado
este módulo que permite modelar las colas de paquetes que son almacenados en el
firewall de forma que, en lugar de seguir el orden FIFO (el primero que llega es el
primero en salir) se puedan establecer reglas y prioridades basados en el origen, destino
o tipos de paquetes que se están tratando
4.3 Instituciones Oficiales de Seguridad Informática

esCERT-UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en redes

telemáticas. Los principales objetivos de nuestra organización son:

■Informar sobre vulnerabilidades de seguridad y amenazas.

■Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver incidentes
de seguridad.
■Realizar investigaciones relacionadas con la seguridad informática.
■Educar a la comunidad en general sobre temas de seguridad.
De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez aumentar el
nivel de confianza de las empresas y de los usuarios en las redes telemáticas. Se puede colaborar con
nosotros:

■Prescribiendo nuestros servicios

■Reportando incidentes
■Constituyendo equipos de Respuesta a Incidentes
■Contratando nuestros servicios
■Colaborando en la divulgación de la Seguridad Informática
■Patrocinando la coordinación de incidentes

Historia

A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa técnico TERENA
se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994,
esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas) como
primer centro español dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos
telemáticos.

4.4 Recomendaciones

Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que

capten la atención de sus interlocutores.
· Asocie el punto anterior a las estrategias de la organización y a la imagen que
se tiene de la organización en el desarrollo de sus actividades.
· Articule las estrategias de seguridad informática con el proceso de toma de
decisiones y los principios de integridad, confidencialidad y disponibilidad de la
información. Muestre una valoración costo-beneficio, ante una falla de
seguridad.
· Justifique la importancia de la seguridad informática en función de hechos y
preguntas concretas, que muestren el impacto, limitaciones y beneficios sobre
los activos claves de la organización

CAPITULO V RESULTADOS
5.1 Resultados

Después de la siguiente investigación se conoce que lo más importante para una organización es su
información, es por ende que es donde más se tiene que invertir dinero y esfuerzo para reforzar la
seguridad de la misma y así lograr una mayor confianza y seguridad de que la seguridad informática de
la empresa marcha bien.
Bibliografía

http://www.nodo50.org/manuales/internet/2.htm
http://www.bvs.sld.cu/revistas/aci/vol16_4_07/aci041007.html
http://www.repararpc.info/2009/08/ventajas-y-desventajas-de-una-red.html
http://www.cuentame.inegi.gob.mx/museo/cerquita/redes/seguridad/intro.htm
http://seguridad.internautas.org/html/29.html
http://www.arcert.gov.ar/politica/versionimpresa.html
http://www.scribd.com/doc/7103092/Seguridad-Informatica-Tecnicas-de-defensa-comunes-bajo-
variantes-del-sistema-operativo-Unix
http://escert.upc.edu/
http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf