UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BÁSICAS E INGENIERÍA

SEGURIDAD AVANZADA EN REDES DE DATOS
JORGE IVÁN MORALES SALAZAR

Acreditador
MSC. ING, CARLOS ALBERTO AMAYA TARAZONA

Medellín
Julio de 2013

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO
El presente módulo fue diseñado en el año 2013 por el Ing. Jorge Iván Morales, el
Ing. Morales es Ingeniero de Sistemas, y especialista en Seguridad Informática, se
ha desempeñado como programador y asesor en seguridad informática en
diversas empresas de tecnología en Colombia, actualmente trabaja como
desarrollador y asesor de ciberseguridad en la ciudad de Medellín.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

INTRODUCCIÓN
Se plantea en este artículo el concepto de Educación a Distancia así como sus
ventajas dentro de los procesos de enseñanza-aprendizaje. Los cambios
producidos en la transmisión de la información y el nacimiento de la Telemática
que se define como métodos, técnicas y herramientas de la Informática aplicados.
Se presentan algunos conceptos y técnicas relacionadas con la telemática. Como
modalidades de comunicación: la comunicación directa y estructurada por
computadora, el correo electrónico, la teleconferencia informática así como el
acceso a bases de datos.

Actualmente la seguridad se ha convertido en uno de los principales problemas de
los sistemas de acceso inalámbrico. Varios elementos han contribuido a ello: el
hecho de que se utilice un medio de transmisión compartido sin control de las
personas o dispositivos con capacidad de acceso a dicho medio, la rápida
implantación de esta tecnología en la sociedad, la novedad de la tecnología
empleada, y una política en su desarrollo, que ha primado su expansión y ha
dejado de lado aspectos relativos a su seguridad. Hoy en día se está realizando
un gran esfuerzo en el desarrollo de estándares y tecnologías que eviten estos
problemas de seguridad, manteniendo la filosofía de una conexión móvil.
Por las características de la tecnología inalámbrica, ésta posee una serie de
puntos débiles y ataques característicos a nivel de seguridad que es importante
conocer. Por un lado, de cara a facilitar la rápida generalización de este tipo de
tecnología entre los usuarios y evitar en lo posible la carga del soporte, se
implantan soluciones con configuraciones de arranque en el que prácticamente
todas las medidas de seguridad están deshabilitadas: dispositivos cliente que se
activan de manera automática, una WLAN (wireless LAN) operativa, software
cliente que detecta y conecta de manera automática con una WLAN, etc. Por otro
lado, los límites del medio de transmisión resultan difusos y se extienden más allá
de lo que puede, en muchos casos, ser controlado.

Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 INDICE DE CONTENIDO PRIMERA UNIDAD: INTRODUCCIÓN A LAS REDES DE DATOS 1 Capitulo 1: Generalidades globales en las redes de datos 4 Lección 1: Componentes de un sistema de transmisión de datos 5 Lección 2: Criterios de redes 8 Lección 3: Modelo OSI 10 Lección 4: Firewalls 13 Lección 5: Topologías y tipos de redes 22 Capitulo 2: Conceptos básicos en las redes inalámbricas 30 Lección 6: Inicios de las redes WLAN 31 Lección 7: Arquitectura lógica de las WLAN 36 Lección 8: Métodos de acceso 41 Lección 9: Rangos Inalámbricos 48 Lección 10: Servicios 51 Capitulo 3: Mecánicas básica de Seguridad 53 Lección 11: Pilares de la seguridad y mecanismos 54 Lección 12: Estándares WLAN 56 Lección 13: Autenticación y privacidad 61 Lección 14: Ataques y vulnerabilidades 72 Lección 15: Procesos de seguridad 80 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Vulnerabilidades y. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 SEGUNDA UNIDAD: MÉTRICAS Y ASPECTOS TÉCNICOS DE SEGURIDAD ORIENTADAS A LAS REDES DE DATOS 84 Capitulo 4: Riesgos. ISAKMP1 157 . Tecnología e ingeniería Esp. amenazas en redes de datos 87 Lección 16: Valoración y análisis de riesgos en redes 88 Lección 17: Diversificación de herramientas de análisis de intrusos 91 Lección 18: Errores constantes de seguridad en las redes 97 Lección 19: Arquitectura de seguridad en redes 102 Lección 20: Políticas y procedimientos 109 Capitulo 5: Aspectos técnicos orientados a la seguridad en redes de datos 113 Lección 21: Telnet 114 Lección 22: IPV6 y su tipo de direccionamiento 119 Lección 23: Seguridad enfocada a IPV6 123 Lección 24: Puertos 128 Lección 25: Firma Digital y Certificado Digital 132 Capitulo 6: Conceptos avanzados en redes 138 Lección 26: IPSec (Internet Protocol Security) 139 Lección 27: NIDS (Network Intrusion Detection System) 144 Lección 28: Seguridad DNS 147 Lección 29: Socks5 y SSL 153 Lección 30: TLS.

frecuencia y. 107 Tabla 8. 117 Tabla 10. Ipv6 versus Ipv4. amenazas. 71 Tabla 4. 116 Tabla 9. 31 Tabla 2. 105 Tabla 7. Planos de la seguridad. 103 Tabla 5. velocidad. Versus entre seguridad. radio de cobertura. Métodos de autenticación de cada estándar. Dimensiones de la seguridad.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Descripción general de las capas de seguridad. 69 Tabla 3. 120 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 LISTADO DE TABLAS Tabla 1. Tabla comparativa de los protocolos de seguridad. acá se puede comparar. RFC Relacionado con Telnet. Tecnología e ingeniería Esp. Opciones negociadas de Telnet. Tabla comparativa entre los diversos estándares propuestos por la IEEE. 104 Tabla 6.

27 Figura 13: Red MAN (Red de Área Metropolitana). 16 Figura 5: Ilustración de un screened subnet con un sistema adicional. 38 Figura 18: Ilustración de DS combinado con un ESS. 23 Figura 8: Topología Estrella. 39 Figura 19: Ilustración de una conexión Ad Hoc. 34 Figura 16: Ilustración de un BSS. 25 Figura 11: Red típica LAN (Red de Área Local). 13 Figura 4: Ilustración de un Dual-Homed Gateway. 22 Figura 7: Topología anillo.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. 42 . 29 Figura 15: Cobertura y diversificación de usos en las redes Wlan. 40 Figura 20: Pasos para asegurar una red Wlan. Tecnología e ingeniería Esp. 17 Figura 6: Topología BUS. 23 Figura 9: Topología Árbol. 10 Figura 3: Visión general sobre una red domestica con un firewall y sin un firewall. 6 Figura 2: Capas del modelo OSI y su aplicabilidad en cada capa. 24 Figura 10: Topología Malla Completa. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 LISTADO DE GRÁFICOS Y FIGURAS Figura 1: Proceso de transmisión de datos y sus componentes. 26 Figura 12: Red Wan (Red de Área Amplia). 37 Figura 17: Ilustración de un IBSS. 28 Figura 14: Red PAN (Red de Área Personal).

Md5. 61 Figura 34: Difusión del SSID. Sonde de 802. 50 Figura 28: Logo. 56 Figura 29: Logo.11. autenticación de 802. 62 Figura 35: Interfaz para posterior configuración de direcciones MAC. 49 Figura 27: Rangos inalámbricos outdoor. 66 Figura 38: Leap. Instituto Europeo de Normas de Telecomunicaciones. 47 Figura 26: Rangos inalámbricos Indoors. 45 Figura 24: Métodos para controlar el acceso a las redes Wlan. 69 Figura 42: Signos para interpretar el Warchalking. 67 Figura 40: Eap .11. 68 Figura 41: Inconvenientes y ventajas del Eap . 46 Figura 25: Evolución de las redes Wlan. Tecnología e ingeniería Esp. 44 Figura 23: Paso 3.Md5. 67 Figura 39: Eap – Tls. Instituto de Ingenieros Eléctricos y Electrónicos. 65 Figura 37: Diagrama de la seguridad en Wireless. Comisión Federal de Comunicaciones. 73 . 57 Figura 31: 12 canales con frecuencia de 10 MHz. 56 Figura 30: Logo. 58 Figura 33: Autenticación de clave compartida SKA. asociación de 802.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. 63 Figura 36: Proceso de Encripción utilizando TKIP o AES. 43 Figura 22: Paso 2. 57 Figura 32: 14 canales de secuencia directa (DS). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 21: Paso 1.11.

140 Figura 61: Arquitectura IPESEC. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 43: Ataques a las redes Wifi desde un auto. 140 Figura 60: IKE escenario de ejemplo. 142 Figura 63: Formatos de paquetes en IPESEC.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. a esto se le denomina WarDriving. Denegación de servicios Distribuida. 135 Figura 58: Proceso de un envió con certificado digital. Conocido como MITM. 145 . 142 Figura 64: Topología de red haciendo uso de los NIDS. 111 Figura 51: Función principal de un protocolo Telnet. Tecnología e ingeniería Esp. 105 Figura 50: Evaluación de una política de seguridad. 132 Figura 55: Proceso de cifrado simétrico. 114 Figura 52: Encabezados de Ipv6 vs Ipv4. 74 Figura 44: Ataque de Rouge Acces. 122 Figura 53: Túnel IPSEC. 141 Figura 62: Modos de encapsulado en IPESEC. 78 Figura 47: Ataque DDoS. Spoofing. 76 Figura 45: Ataque de suplantación. 79 Figura 48: Interfaz de acunetix web. 137 Figura 59: Modo transporte y modo túnel. 94 Figura 49: Planos de seguridad. 126 Figura 54: Proceso de cifrado normal. 133 Figura 56: Proceso de clave pública asimétrica. 77 Figura 46: Ataque ARP. 134 Figura 57: Proceso de un envió con firma digital.

159 . 156 Figura 68: Capas TLS. 148 Figura 66: Protocolo Sock.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 65: Seguridad DNS. Tecnología e ingeniería Esp. 157 Figura 69: ISAKMP. 153 Figura 67: Establecimientos de sesión SSL.

Hay que recordar que inicialmente las redes de datos se integraban solo a redes cableadas. desde sus componentes hardware hasta los lógicos. las cuales ayudarán al análisis de los factores de seguridad que emergen en ellas. Al pasar el tiempo. las redes de datos tomaron cartas en el asunto e iniciaron labores referentes al tema de seguridad de la información. Es importante contextualizar todo el entorno de redes. encontrando importantes soluciones y dando pasos agigantados en estos procesos. Las redes de datos están compuestas por un sin número de piezas físicas y lógicas. en lo único que afecta la seguridad de las redes a los delincuentes informáticos es en el tiempo del ataque.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Justificación La necesidad de la seguridad de la información se hace mucho mayor con el pasar del tiempo. no obstante a este factor tecnológico. todo ello hizo que la humanidad enfocara y centralizará toda su información. El módulo se enfoca al proceso básico que maneja cada red de datos en cuanto a sus componentes lógicos y 1 . haciendo uso de estos canales de comunicación. ello obliga a los profesionales a centralizar su conocimientos y esfuerzo en la seguridad de los datos. llevando la información transmitida en ellos a un punto inestable y peligroso. quizás hay que observar la magnitud de contribución en cada una de las empresas y hogares. consigo llego la inseguridad en estos canales de comunicación. con el paso del tiempo todo avanzó. solo tardarán unos minutos o quizás unas horas más en vulnerar cualquier sistema de información. para así lograr entender y elaborar normas enfocadas al bien de la seguridad de las redes de datos. Seguridad Informática Nombre de la Unidad Introducción Seguridad Avanzada en redes de datos: 233015 UNIDAD 1 Introducción a las redes de datos Las redes de datos actualmente juegan un papel importante en el desarrollo tecnológico del mundo. Tecnología e ingeniería Esp. de esta forma la seguridad en las redes de una forma u otra siempre va a ser vulnerada. pero sin saber que los delincuentes informáticos ‘’Hackers’’ siempre irían un paso delante de ellos. y tener en cuenta cada proceso que se lleva a cabo con ellas.

Lo que se busca es brindar elementos conceptuales necesarios frente a la sociedad del conocimiento. en busca de desarrollar una mejor adaptación de los nuevos entornos de enseñanza/aprendizaje. al igual que la adopción de un papel más activo de los estudiantes. esto logrará capturar la mayor atención y. de tal forma que se centraliza en la comprensión fácil y. Intencionalidades Formativas El módulo se desarrolla de una forma concreta y gráfica ya que el campo de la seguridad tiene enfoques bastante difíciles en cuanto a su teoría. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 físicos. objetivos. Tecnología e ingeniería Esp. siempre teniendo claro la conceptualización de los temas. ordenamiento y componentes de cada red. ° Destreza y conocimiento de los procesos utilizados en las redes de datos. metas y competencias propuestas en este módulo. para garantizar un debido proceso en análisis de seguridad de las mismas. ° Funcionamiento secuencial de cada una de ellas. total de cada tema que se menciona. entusiasmo del profesional que desee indagar y aprender sobre el tema. Todo esto se concreta en los propósitos. como protagonistas de su formación en un ambiente rico en información y de entornos fluidos y mediáticos de comunicación. no solo entre profesores y alumnos. Capítulo 1 Lección 1 Generalidades globales en las redes de datos Componentes de un sistema de transmisión de datos 2 . sino también con múltiples redes de conocimiento.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Las competencias que desarrollará el estudiante frente al desarrollo de esta unidad son: ° Conceptos básicos y fundamentales de las redes de datos. Estas competencias lograrán que el profesional en seguridad informática pueda avanzar con el paso de la tecnología en la gran línea del tiempo.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Lección 2 Lección 3 Lección 4 Lección 5 Capítulo 2 Lección 6 Lección 7 Lección 8 Lección 9 Lección 10 Capítulo 3 Lección 11 Lección 12 Lección 13 Lección 14 Lección 15 Seguridad Avanzada en redes de datos: 233015 Criterios de redes Modelo OSI Firewalls Topologías y modelos de redes Conceptos básicos de las redes inalámbricas Inicios de las redes WLAN Arquitectura lógica de las WLAN Métodos de acceso Rangos Inalámbricos Servicios Mecánicas básicas de seguridad Pilares de la seguridad y mecanismos Estándares WLAN Autenticación y privacidad Ataques y vulnerabilidades Procesos de seguridad 3 . Tecnología e ingeniería Esp.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. ya que sus componentes bases o iniciales han variado de forma drastica en la delgada línea del tiempo. la invesión y. esta frase fundamenta en que el conocimiento previo de toda la estructura global e interna de las redes deben ser conocidas o por lo menos mencionadas para no generar ignorancia de los procesos que se apliquen a la contribución de la seguridad en redes de datos. tanto que de ello depende toda la planeación e implementación de métricas de seguridad para mitigar los riesgos. ya sea en los hogares. de esta forma llegando a la cuspide de los avances y maximización de producción y minimización de tiempos en el desarrollo de actividades. Tecnología e ingeniería Esp. y . a revolucionado los aspectos cotidianos de los seres humanos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 1: GENERALIDADES GLOBALES EN LAS REDES DE DATOS Introducción Las redes de datos hacen parte fundamental en el desarrollo tecnologico e industrial del mundo desde tiempos memrables. desarrollo de este tipo de tecnologia. Al tener conocimiento del daño se puede generar el plan de mitigación de dicho daño. En estos últimos años se ha vuelto un proceso tedioso indagar sobre las vulnerabilidades o amenazas de las redes en un futuro. La actualización de los componentes presetes en las redes es importante. o en empresas. Es importante tener conocimiento sobre las estructuras más básicas de las redes de datos para lograr entender sus vulnerabilidades y posibles riesgos. desconociendo los componentes de una red se vuelve posiblemente un trabajo bastante extenso y desorganizado el poder lograr aplicar seguridad. amenazas presentes en las redes de datos de una organización. Muchas organizaciones a nivel mundial ignoran pasos importantes para establecer métricas correctas que ayuden al enfoque de la seguridad aplicado a la organización de recursos software y hardware de una empresa o negocio. 4 .

Tecnología e ingeniería Esp. la transmisión de datos se considera local si los dispositivos de comunicación están en el mismo edificio o en un área geográfica restringida y remota si los dispositivos están conectados a una distancia que supera el área geográfica de la local. Para transmitir información entre computadoras se hace necesario la instalación previa de redes para cumplir dicha misión. entre 2 dispositivos a través de alguna forma de medio de transmisión. Es el intercambio de ceros y unos. 5 . Para comprender los componentes presentes en un sistema de transmisión de datos es preciso ilustrarlo. Para que la transmisión de datos sea posible los dispositivos de comunicación deben ser parte de un sistema de comunicación formado por Hardware y Software. Para que la transmisión de datos sea posible es necesario tener en cuenta los siguientes elementos:  Elementos Hardware: Se basa en todos los componentes finales e intermediarios o equipos inalámbricos y. por ende ello se ve claramente en la Figura 1. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 1: Componentes de un sistema de transmisión de datos Un sistema de transmisión de datos se constituye en el canal que permite la transmisión de información entre dos terminales o más terminales. La efectividad depende de:  Entrega: Dispositivo correcto  Exactitud: Datos sin alterar  Puntualidad: Sin retardos considerables en la transmisión de datos  Retardo Variable Jitter: Es el cambio o la variación referente a la cantidad de latencia entre paquetes de datos que se reciben.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. cableados.  Elementos Software: Programas que se basan en la administración y funcionamiento entre hardware y usuarios finales.

teléfonos. • Emisor: Dispositivo el cual se encarga de enviar los datos del mensaje hacia un receptor. gráficos. • Medio: Camino físico por el cual viaja el mensaje del emisor hacia el 6 . videocámaras. • Mensaje: Es el intercambio de información o datos a transmitir.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. etc. Una vez ilustrado el modo en el que se transmiten datos. etc. es importante mencionar cada uno de los factores o componentes que hacen parte de dicho sistema. video y audio. Fuente modificado por el Autor. dicho mensaje es recibido con la ayuda de componentes tecnológicos como: computadoras. videocámaras. numéricos. • Receptor: Dispositivo que recibe o recepta el mensaje que es enviado por el emisor. a continuación se mencionan los componentes principales en la transmisión de datos [1]. Tecnología e ingeniería Esp. teléfonos. Seguridad Informática Mensaje Señal Codificador Origen del mensaje Seguridad Avanzada en redes de datos: 233015 Transmisor Señal Medio de transmisió EL CANAL Receptor Mensaje Decodificador Destino del mensaje e Origen Codificado Figura 1: Proceso de transmisión de datos y sus componentes. se puede dar con una diversificación de formatos entre ellos: texto. dicho mensajes pueden ser enviados por medio de: computadoras.

Prentice-Hall Link: http://books. Black . ondas de radio.com.co/books?id=DvzNmdo7Ef4C&pg=PA38&lpg=PA38 &dq=flujo+de+datos+simplex+duplex+semiduplex&source=bl&ots=3e3zsV7 Asu&sig=tFu6LawXtglYLirrLRWRnnita9o&hl=es&sa=X&ei=7w3GUYuKG5K K0QHd54CQBA&ved=0CD0Q6AEwAg#v=onepage&q&f=false 7 . Representan un enlace entre los dispositivos que se comunican. fibra óptica y. Redes de transmisión de datos y proceso distribuido – Uyless D. • Protocolo: Reglas que gobiernan la transmisión de datos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 receptor: cable coaxial. ya que pueden estar conectados pero no listos para el envió de información. Profundización Lección 1: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Tecnología e ingeniería Esp.google. Sin el protocolo no sería posible el enlace de comunicación entre dos dispositivos. A.

Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 2: Criterios de redes Para que una red sea considerada efectiva y eficiente. pero también la latencia debido a la congestión de tráfico en la red. la fiabilidad de la red se mide por:  Frecuencia de fallo  Tiempo de recuperación después de un fallo  Protección ante catástrofes 8 . la capacidad del hardware conectado y la eficiencia del software. sin embargo. el tipo de medio de transmisión. El rendimiento de una red depende de varios factores. ambos criterios son a menudo contradictorios. debe satisfacer los siguientes criterios: Rendimiento: El rendimiento se puede medir de muchas formas. incluyendo el tiempo de tránsito y de respuesta. A menudo hace falta más ancho de banda y menos latencia.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. si se intenta enviar más datos por la red. El rendimiento se mide a menudo usando dos métricas: ancho de banda y latencia. incluyendo el tiempo de tránsito (cantidad de tiempo para que un mensaje viaje de un dispositivo a otro) y el tiempo de respuesta (Tiempo transcurrido entre una petición y su respuesta). Tecnología e ingeniería Esp. Prestaciones: Se pueden medir de muchas formas. se incrementa el ancho de banda. incluyendo el número de usuarios. El tiempo de tránsito es la cantidad de tiempo necesario para que un mensaje viaje desde un dispositivo al siguiente. Las prestaciones de una red dependen de un cierto número de factores como son:  Número de usuarios  Tipo de medio de transmisión  Hardware  Software Fiabilidad: Además de la exactitud de la entrega. El tiempo de respuesta es el tiempo que transcurre entre una petición y su respuesta.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Tecnología e ingeniería Esp.   Accesos no autorizados Virus 9 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Seguridad: Los aspectos de seguridad de la red incluyen protección de datos frente a accesos no autorizados. protección de datos frente a fallos y modificaciones e implementación de políticas y procedimientos para recuperarse de interrupciones y pérdidas de datos.

las siete capas propuestas en el modelo OSI: Figura 2: Capas del modelo OSI y su aplicabilidad en cada capa. periféricos. Tecnología e ingeniería Esp. Cuando hablamos de modelo OSI decimos que vamos agregar y agrupar todas las fases para lograr la conexión. El modelo OSI es un modelo abierto para arquitecturas funcionales de la red. archivos a compartir o utilidades de red [2]. Fuente http://gargasz. todas las capas o fases trabajan en conjunto una sola no hace nada.php/osi-model-how-internet-works/ 10 . para que dos capas se puedan comunicar es necesario que estén definidas las mismas funciones en ambas. A continuación se muestra en la Figura 2. fases o capas que interactúan entre si ya que envía la información la recibe y la codifica para luego almacenarla. Este estructura los procesos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 3: Modelo OSI (Open System Interconnection) Un modelo está determinado por los pasos a seguir para lograr un objetivo y llegar más allá. La estructura de las capas hace posible que cada una sea independiente y se puedan modificar sin afectar a las otras.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.info/index.

define cuando y como debe utilizarse la retransmisión para asegurar su llegada. Capa de nivel 5 (Sesión): Es una extensión de la capa de transporte que nos ofrece un control de dialogo y sincronización entre los computadores que están transmitiendo datos de cualquier índole. no se ocupa de los errores o pérdidas de paquetes. funcionales y de procedimiento de las líneas. Define la estructura de direcciones y las rutas de internet.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. ante una interrupción de transmisión por cualquier causa. para ello debe conocer las características eléctricas. Capa de nivel 2 (Enlace de datos): Es la que se encarga de que los datos enviados por la capa 1 se envíen con seguridad a su destino. la capa de transporte es responsable de reordenar los paquetes recibidos fuera de secuencia. quien transmite y quien escucha) Control de la concurrencia (que dos comunicaciones a la misma operación crítica no se efectúen al mismo tiempo). La capa 1 se encarga de codificar los bits para activar nuestro equipo físico. configura todos los equipos activos de la red. y libres de errores. Tecnología e ingeniería Esp. Capa de nivel 3 (Red): Esta capa se encarga de la transmisión de los paquetes y de encaminar cada uno en la dirección adecuada. mecánicas. que sirven para que. Ofrece varios servicios como son: Control de la sesión a establecer entre el emisor y el receptor. Capa de nivel 6 (Presentación): Es la encargada de manejar la estructura de datos abstracta y realizar las conversiones de representación de los datos necesarios para la correcta interpretación de los mismos. la misma se pueda reanudar desde el último punto de verificación en lugar de repetirla desde el principio. En ella se tratan 11 . Capa de nivel 4 (Transporte): Garantiza la fiabilidad del servicio. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Capa de nivel 1 (Física): Es la que se encarga de pasar bits al medio físico y de suministrar servicios a la siguiente capa. esta asegura el envió de cliente a servidor. Mantener puntos de verificación (checkpoints). Si la capa de red utiliza el protocolo IP. esta capa cuando la conexión no es peer to peer (punto a punto) no puede asegurar su contenido es la capa superior quien lo debe hacer. es decir.

William Marín Moreno Link: http://www.unicen. pdf 12 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 aspectos tales como la semántica y la sintaxis de los datos transmitidos.exa.cr/marin/telematica/trd/01_modelo_OSI_v2.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.ie. Profundización Lección 3: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.edu. Modelo OSI – Ing. ya que distintas computadoras pueden tener diferentes formas de manejarlas. como correo electrónico (POP y SMTP).ar/catedras/comdat1/material/ElmodeloOSI.itcr. Tecnología e ingeniería Esp.pdf Modelo OSI – exa argentina Link:http://www. Capa de nivel 7 (Aplicación): Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos. gestores de bases de datos y servidor de ficheros (FTP).ac.

Sólo el tráfico autorizado.novajo. definido por la política local de seguridad. Puede consistir en distintos dispositivos.ca/firewall. Figura 3: Visión general sobre una red domestica con un firewall y sin un firewall. y viceversa. Aunque deben ser uno de los sistemas a los que más se debe prestar atención. distan mucho de ser la solución final a los problemas de seguridad. Tecnología e ingeniería Esp. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). debe pasar a través de él. De hecho. los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders [3]. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida.html 13 . es permitido. sean estos elementos. Fuente http://www. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 4: Firewalls Quizás uno de los elementos más publicitados a la hora de establecer seguridad. tendientes a los siguientes objetivos:   Todo el tráfico desde dentro hacia fuera.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.

Estos criterios permiten gran flexibilidad en el tratamiento del tráfico. Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y están conectados a ambos perímetros (interior y exterior) de la red.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Se puede permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la transferencia de archivos vía FTP (puerto 21 cerrado). Sin embargo presenta debilidades como: 14 . el Muro Cortafuegos. Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red. no defienden de ataques o errores provenientes del interior. El Router es el encargado de filtrar los paquetes (un Choke) basados en cualquiera de los siguientes criterios:  Protocolos utilizados. Se entiende que si dos Firewalls están conectados. que contribuyen a la seguridad tanto de hogares como de grandes organizaciones. El filtrado de paquetes mediante puertos y protocolos permite establecer que servicios estarán disponibles al usuario y por cuales puertos. Restringiendo las comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre cuales máquinas la comunicación está permitida. tienen un alto nivel de desempeño y son transparentes para los usuarios conectados a la red. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Como puede observarse. Tienen la ventaja de ser económicos.  Puerto TCP-UDP de origen y de destino. Tecnología e ingeniería Esp. estos son los tipos de firewalls: Filtrado por paquetes Se utilizan Routers con filtros y reglas basadas en políticas de control de acceso. ambos deben "hablar" el mismo método de encriptación-desencriptación para entablar la comunicación. En la actualidad existen un sin numero de firewalls. sólo sirven de defensa perimetral de las redes. como tampoco puede ofrecer protección una vez que el intruso lo traspasa.  Dirección IP de origen y de destino.

Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host. se conectará al servicio exterior solicitado y hará de puente entre este y el usuario interior. al igual que su capacidad de registro de actividades. por lo que se dice que actúan con el "IP-Forwarding desactivado".UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. No soportan políticas de seguridad complejas como autentificación de usuarios y control de accesos con horarios prefijados. El Proxy. y en función de la configuración impuesta en dicho Firewall. Este. realiza el pedido al servidor real devuelve los resultados al cliente. deberá conectarse primero al Firewall. Su función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la misma. Un usuario interior que desee hacer uso de un servicio exterior. 15 . los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. lo hace a través del Proxy. donde el Proxy atenderá su petición. actúa de intermediario entre el cliente y el servidor real de la aplicación. No son capaces de esconder la topología de redes privadas. siendo transparente a ambas partes. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  No protege las capas superiores a nivel OSI. Tecnología e ingeniería Esp. Dual-Homed Host: Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes).     Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y puertos. Sus capacidades de auditoría suelen ser limitadas. por lo que exponen la red al mundo exterior. instalado sobre el Nodo Bastión. Cuando un usuario desea un servicio. Proxy y Gateways de aplicaciones: Para evitar las debilidades asociadas al filtrado de paquetes.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el
Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.

Figura 4: Ilustración de un Dual-Homed Gateway. Fuente
http://lib.ru/SECURITY/firewall-faq/firewall-faq.txt_with-big-pictures.html

Screened host: En este caso se combina un Router con un host bastión y el
principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el
único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en
el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un
número reducido de servicios.

Screened subnet: Este diseño se intenta aislar la máquina más atacada y
vulnerable del Firewall, el Nodo Bastión. Para ello se establece una Zona
Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta máquina no
consiga el acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router
exterior tiene la misión de bloquear el tráfico no deseado en ambos sentidos:

16

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la
red interna y la DMZ (zona entre el Router externo y el interno).

Figura 5: Ilustración de un screened subnet con un sistema adicional.
Fuente http://www.vtcif.telstra.com.au/pub/docs/security/80010/_16687_figure440.gif

Como puede apreciarse la Zona Desmilitarizada aísla físicamente lo s servicios
internos, separándolos de los servicios públicos. Además, n o existe una
conexión directa entre la red interna y la externa.
Los sistemas Dual-Homed Host y Screnned pueden ser complicados de
configurar y comprobar, lo que puede dar lugar, paradójicamente, a importantes
agujeros de seguridad en toda la red. En cambio, si se encuentran bien
configurados y administrados pueden brindar un alto grado de protección y
ciertas ventajas:
 Ocultamiento de la información: los sistemas externos no deben conocer el
nombre de los sistemas internos. El Gateway de aplicaciones es el único
autorizado a conectarse con el exterior y el encargado de bloquear la
información no solicitada o sospechosa.
17

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

 Registro de actividades y autenticación robusta: El Gateway requiere de
autenticación cuando se realiza un pedido de datos externos. El registro de
actividades se realiza en base a estas solicitudes.
 Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes
por parte del Router serán menos compleja dado a que él sólo debe
atender las solicitudes del Gateway.
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el
usuario ya que generalmente este debe instalar algún tipo de aplicación
especializada para lograr la comunicación. Se suma a esto que generalmente
son más lentos porque deben revisar todo el tráfico de la red.

Inspección de paquetes: Este tipo de Firewalls se basa en el principio de que
cada paquete que circula por la red es inspeccionado, así como también su
procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones.
Generalmente son instalados cuando se requiere seguridad sensible al contexto y
en aplicaciones muy complejas.

Firewalls Personales: Estos Firewalls son aplicaciones disponibles para usuarios
finales que desean conectarse a una red externa insegura y mantener su
computadora a salvo de ataques que puedan ocasionarle desde un simple
"cuelgue" o infección de virus hasta la pérdida de toda su información
almacenada.

Políticas de Diseño de Firewalls
Las políticas de accesos en un Firewalls se deben diseñar poniendo principal
atención en sus limitaciones y capacidades pero también pensando en las
amenazas y vulnerabilidades presentes en una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas
de seguridad. También es importante definir los usuarios contra los que se debe
proteger cada recurso, ya que las medidas diferirán notablemente en función de
esos usuarios.

18

Permisiva: se controla pero se permite demasiado. control y respuesta deseado en la organización. Puede optarse por alguno de los siguientes paradigmas o estrategias:  Paradigmas de seguridad   Se permite cualquier servicio excepto aquellos expresamente prohibidos. Tecnología e ingeniería Esp. software. la de permitir o denegar determinados servicios. Esta es la pregunta más difícil y está orientada a establecer el nivel de monitorización. Restricciones en el Firewall La parte más importante de las tareas que realizan los Firewalls. no se permite nada. Promiscua: no se controla (o se hace poco) y se permite todo. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir. etc. ¿De quién protegerse?.  Estrategias de seguridad     Paranoica: se controla todo.). podemos definir niveles de confianza. Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. Prudente: se controla y se conoce todo lo que sucede. ¿Cómo protegerse?. datos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad:   ¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware. Sin embargo.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio. se hacen en función de los distintos usuarios y su ubicación: 19 .

cuando provengan del interior. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo que sean necesarias. esto ha hecho que las intranets adopten direcciones sin clase. Beneficios de un Firewall Los Firewalls manejan el acceso entre dos redes. todos las computadoras de la red estarían expuestos a ataques desde el exterior. el cual puede alojarse en el Firewall. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque. Esto significa que la seguridad de toda la red. y que procesos han influido más en ese trafico. las cuales salen a Internet por medio de un "traductor de direcciones". estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna. van a poder acceder a determinados servicios externos que se han definido. y si no existiera. 20 . el administrador será el responsable de la revisión de estos monitoreos. También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro interior de la red. Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP. de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el trafico de la red. Suele tratarse de usuarios externos que por algún motivo deben acceder para consultar servicios de la red interna. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.  Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora de vigilarse. Tecnología e ingeniería Esp.

se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados. El único Firewall seguro (100%) es aquel que se mantiene apagado". Profundización Lección 4: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. es descubierto por un intruso.itcr. ellos actúan de acuerdo a parámetros introducidos por su diseñador. Ranum Link: http://www. Finalmente. Thinking About Firewalls – Marcus J. Otra limitación es que el Firewall "NO es contra humanos". él NO protege de la gente que está dentro de la red interna. Limitaciones de un Firewall La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no. el Firewall no se dará cuenta. por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo deja pasar . El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus.pdf 21 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. de antivirus apropiados. Los Firewalls no son sistemas inteligentes. donde se aloja el Firewall.cr/marin/telematica/trd/01_modelo_OSI_v2. El Firewall trabaja mejor si se complementa con una defensa interna. un Firewall es vulnerable. menor será la resistencia contra los paquetes externos. Más peligroso aún es que ese intruso deje Back Doors. Tecnología e ingeniería Esp. aunque es posible dotar a la máquina. abriendo un hueco diferente y borre las pruebas o indicios del ataque original. Como moraleja: "cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los Firewalls también tienen otros usos.ie.ac. Por ejemplo. es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información.

hubs. Tecnología e ingeniería Esp. impresoras. con la cual todas las computadoras comparten el mismo cable para efectuar su tráfico. enrutadores. Las más comunes son: broadcast (Ethernet) y transmisión de tokens (Token Ring). que es la forma en que las máquinas se comunican a través del medio físico. dispositivos de red y cableado (los medios) en la red. como el número de máquinas a interconectar.com/2011/06/topologia-bus. que es la disposición real de las máquinas. servidores. La topología lógica. La topología idónea para una red concreta va a depender de diferentes factores.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. mapas de nodos y enlaces.blogspot. a menudo formando patrones. La disposición de los diferentes componentes de una red se conoce con el nombre de topología de la red. switches. se trata de la arquitectura Cliente-Servidor o Peer to Peer.html 22 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 5: Topologías y tipos de redes La topología de una red es el arreglo físico o lógico en el cual los dispositivos de una red (computadoras. Fuente http://tareas-laura-topologias-dered. Podemos distinguir tres aspectos diferentes a la hora de considerar una topología:    La topología física. Topología en Bus Es aquella en la cual cada computadora que quiera conectarse a la red se une a un cable. etc.) se interconectan entre si sobre un medio de comunicación [4]. La topología matemática. etc. Figura 6: Topología BUS. el tipo de acceso al medio físico que deseemos.

netne.html Topología en Estrella Es aquella configuración en la que cada computadora tiene su propio cable conectado a un HUB o SWITCH. Esta topología se usa frecuentemente en redes de IBM.html 23 . Figura 8: Topología Estrella. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Topología en Anillo: Corresponde a aquella configuración de red mediante la cual todas las computadoras acceden a un anillo principal o troncal (backbone) como medio de transferencia de información. Fuente http://elmundodelasredes. Las computadoras en la red retransmiten los paquetes que reciben y los envían a la siguiente computadora en la red. Figura 7: Topología anillo. La información puede ir en dos direcciones hacia un equipo en particular. Esta topología es la utilizada actualmente por las nuevas redes de computadoras ya que ofrece el mejor desempeño que la topología de Bus. Tecnología e ingeniería Esp.net/organizacion.netne. a través del cual se intercambian los mensajes que van desde un cliente a un servidor.net/organizacion. Fuente http://elmundodelasredes.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.

si algún enlace deja de funcionar la información puede circular a través de cualquier cantidad de enlaces hasta llegar a destino. y la cantidad de conexiones con los enlaces se torna abrumadora. llamado HUB. ya que de lo contrario la cantidad de medios necesarios para los enlaces.html Topología en Malla Completa En una topología de malla completa. formando así un árbol o pirámide de hubs y dispositivos. Esta topología reúne muchas de las ventajas de los sistemas en bus y en estrella. Tecnología e ingeniería Esp. Fuente http://elmundodelasredes. Estos suelen soportar entre 4 y 32 equipos. Los hubs se conectan a una red en bus. Figura 9: Topología Árbol . los dispositivos de la red se conectan a un punto que es una caja de conexiones. cada nodo se enlaza directamente con los demás nodos.netne. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Topología en Árbol La topología en árbol se denomina también topología en estrella distribuida. Las ventajas son que. esta topología permite que la información circule por varias rutas a través de la red. 24 .net/organizacion.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. como cada nodo se conecta físicamente a los demás. La desventaja física principal es que sólo funciona con una pequeña cantidad de nodos. Por otro lado. Al igual que sucedía en la topología en estrella.

conocidas como circuitos se encargan de mover bits entre máquinas y los elementos de conmutación son ordenadores especializados que se utilizan para conectar dos o más líneas de de transmisión. o simplemente subred.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 10: Topología Malla Completa. cuando los ordenadores están en red pueden utilizar los recursos que los demás pongan a su disposición en la red (impresoras. Las tecnologías que utilizan (tipos de cables.) y los programas o lenguajes de comunicaciones (protocolos) varían según la dimensión y función de la propia red. Por ende las redes se clasifican en los siguientes tipos: 25 . Tecnología e ingeniería Esp. dispositivos.. módem). Las líneas de transmisión. aplicaciones.netne. Fuente http://elmundodelasredes. o bien acceder a carpetas compartidas.. Una red informática está formada por un conjunto de ordenadores intercomunicados entre sí que utilizan distintas tecnologías de hardware/software. Los hostales están conectados mediante una subred de comunicación. Una subred consiste de dos componentes diferentes: las líneas de transmisión y los elementos de conmutación. de tarjetas.net/organizacion. Normalmente. llamadas hostales para confeccionar programas de usuario.html En toda red existe una colección de máquinas. El trabajo de la subred consiste en enviar mensajes entre hostales. El propietario (técnicamente llamado administrador) de un ordenador en red puede decidir qué recursos son accesibles en la red y quién puede utilizarlos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Hay paquetes de software de gestión para controlar la configuración de los equipos en la LAN. Figura 11: Red típica LAN (Red de Área Local). Los routers y los bridges son equipos especiales que permiten conectar dos o más LAN. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Redes LAN (Local Area Network). La LAN más difundida. Todas las LAN comparten la característica de poseer un alcance limitado y de tener una velocidad suficiente para que la red de conexión resulte invisible para los equipos que la utilizan.net/por-que-instalar-una-red-lan-en-mi-negocio/ 26 . constituye una forma de interconectar una serie de equipos informáticos. la Ethernet. Tecnología e ingeniería Esp. LAN también proporcionan al usuario multitud de funciones avanzadas. El router es un elemento más inteligente y posibilita la interconexión de diferentes tipos de redes de ordenadores. Fuente http://innovando. y el control de los recursos de la red. la administración de los usuarios. El bridge es el equipo más elemental y sólo permite conectar varias LAN de un mismo tipo. Como su propio nombre indica. Los servicios en la mayoría de las LAN son muy potentes. utiliza un mecanismo denominado Call Sense Multiple Access-Collision Detect (CSMS-CD). Se conoce a la red de área local (LAN) como la forma de normalizar las conexiones entre las máquinas que se utilizan como sistemas ofimáticos. Esto significa que cada equipo conectado sólo puede utilizar el cable cuando ningún otro equipo lo está utilizando.

son enlaces para grandes distancias que amplían la LAN hasta convertirla en una red de área extensa (WAN).indaelpro.php Red MAN (Metropolitan Area Network) Una MAN (Red de área metropolitana) conecta diversas LAN cercanas geográficamente (en un área de alrededor de cincuenta kilómetros) entre sí a alta velocidad. Estos servicios de datos a alta velocidad suelen denominarse conexiones de banda ancha.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.com. 27 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Redes WAN (Wide Area Network): Dos de los componentes importantes de cualquier red son la red de teléfono y la de datos. Tecnología e ingeniería Esp. una MAN permite que dos nodos remotos se comuniquen como si fueran parte de la misma red de área local. Casi todos los operadores de redes nacionales ofrecen servicios para interconectar redes de computadoras. Figura 12: Red Wan (Red de Área Amplia). Una MAN está compuesta por conmutadores o routers conectados entre sí con conexiones de alta velocidad (generalmente cables de fibra óptica). Por lo tanto. Fuente http://www. que van desde los enlaces de datos sencillos y a baja velocidad que funcionan basándose en la red pública de telefonía hasta los complejos servicios de alta velocidad adecuados para la interconexión de las LAN.mx/paginas/redeswan.

netne. Actualmente existen diversas tecnologías que permiten su desarrollo. tanto aplicaciones que requieran una alta calidad multimedia como pueden ser la video conferencia.net/organizacion. Sin embargo para su completo desarrollo es necesario que estas redes garanticen una seguridad de alto nivel. Esta configuración le permite al usuario establecer una comunicación con estos dispositivos a la hora que sea de manera rápida y eficaz. ya sea en la casa. trabajo. entre ellas se encuentran la tecnología inalámbrica Bluetooth o las tecnologías de infrarrojos. Tecnología e ingeniería Esp.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Fuente http://elmundodelasredes. parque.html Red PAN (Personal Area Network) Se establece que las redes de área personal son una configuración básica llamada así mismo personal la cual está integrada por los dispositivos que están situados en el entorno personal y local del usuario. como aplicaciones de telecontrol que requieran anchos de banda muy bajos soportados sobre dispositivos de muy reducido tamaño 28 . carro. etc. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 13: Red MAN (Red de Área Metropolitana). la televisión digital o los videojuegos. que sean altamente adaptables a diversos entornos. centro comercial. y que sean capaces de proporcionar una alta gama de servicios y aplicaciones.

Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 14: Red PAN (Red de Área Personal).com.co/books?id=duk7kYoYwEC&pg=PA53&dq=topologia+de+redes&hl=es&sa=X&ei=Go3GUd7B MvS30AGX9IGACg&ved=0CDgQ6AEwAjgK#v=onepage&q=topologia%20d e%20redes&f=false 29 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.com/gadgets/funcionamiento-bluetooth Profundización Lección 5: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo. Redes Locales – Ma Del Carmen Romero Ernero Link: http://books.google. Fuente http://etecnologia. Tecnología e ingeniería Esp.

siempre van a buscar la forma más fácil y la que tenga menos trabajo para robar información. muchas personas desconocen el poder que pueden tener las redes Wlan y. son quizás unas de las mayores comodidades que se pueda disfrutar en estos momentos. no se percatan del daño colateral que se puede generar por el uso de dichas redes. y al igual que se debe conocer las redes Wlan también se debe conocer el gran listado de tipos de redes existentes actualmente alrededor del mundo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 2: CONCEPTOS BÁSICOS EN LAS REDES INALÁMBRICAS Introducción Las redes Wlan (Wireless Local Area Network) o más conocidas como redes inalámbricas. y no hay mejo forma que comenzar a conocer más a fondo las redes Wlan. Es importante conocer la estructura y forma de operar de las redes Wlan. teclados. están disponibles en conexiones inalámbricas . Muchos de los dispositivos que se utilizan en redes PAN (Personal Area Network) como lo son: impresoras. no conocer la red y dejar agujeros grandes de seguridad. pero si puede existir un sistema con excelentes métricas de seguridad para mitigar los posibles riesgos de ataques. aquellas épocas de conexiones cableadas y molestas están por terminar. se debe recordar que ellos buscan siempre la oportunidad para lograr vulnerar un sistema o red informática. pero sin que mucha gente tenga conocimiento de los grandes riesgos que se presentan en dichas redes. son muchos los peligros que se corren al no conocer este tipo de tecnología. para lograr detectar y analizar los posibles agujeros de seguridad de esta forma podremos ir al mismo nivel o quizás un paso más adelante que un atacante. Tecnología e ingeniería Esp. Es bien sabido que no existe sistema informático seguro. por lo tanto hay que conocer el terreno en su totalidad para cerrar todas las puertas que generen inseguridad en la red. se toman riesgos tales como: permitir que personas externas configuren de forma incorrecta los dispositivos de red. permitir que un atacante engañe para capturar información confidencial de manera fácil. mouse. 30 . auriculares. generando de tal forma el rango perimetral de un ataque ya que no se tienen las medidas o el conocimiento necesario para poder administrar de forma correcta dichas redes. Al desconocer su forma de operar y funcionar.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. En la actualidad se avanza en cuanto conectividad se trata.

A continuación se podrá observar un cuadro comparativo entre los diversos estándares de IEEE.725-5. Tabla 1. Fuente http://blogcmt. Tecnología e ingeniería Esp.com/2010/05/28/conceptos-basicos-de-telecos-redesinalambricas-fijas-y-en-bandas-de-uso-comun/ 31 . Tabla comparativa entre los diversos estándares propuestos por la IEEE. pero no se involucra ni decide sobre quién debe transmitir en ella. el FCC (Federal Communications Comission). donde se utilizaba el esquema del “spread-spectrum”(frecuencias altas). la agencia federal del Gobierno de Estados Unidos encargada de regular y administrar en materia de telecomunicaciones. frecuencia y. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 6: Inicios de las redes Wlan El origen de la WLAN se remonta a la publicación en 1979 de los resultados de un experimento realizado por ingenieros de IBM en Suiza. 2.4835 GHz. asignó las bandas IMS (Industrial. Estos resultados. velocidad. En mayo de 1985. IMS es una banda para uso comercial sin licencia. Las investigaciones siguieron adelante tanto con infrarrojos como con microondas. acá se puede comparar. el FCC simplemente la establece las directrices de utilización. que utiliza enlaces infrarrojos para crear una red local en una fábrica. pueden considerarse como el punto de partida en la línea evolutiva de esta tecnología [5].850 GHz a las comunicaciones inalámbricas basadas en “spread-spectrum”.4002. es decir. Tabla 1. y tras cuatro años de estudios. siempre a nivel de laboratorio. 5. radio de cobertura.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Scientific and Medical) 902-928 MHz.

32 . el uso más frecuente en la actualidad es el acceso a Internet. El término WiFi (Wireless Fidelity) surge como marca de certificación de conformidad con estándares el cual es la importancia de converger hacia un patrón único que logre cubrir el ámbito de las WLAN. WLAN (Wireless Local Area Networks) es una tecnología de acceso inalámbrico a redes de comunicaciones electrónicas de ámbito reducido o de área local. el mínimo establecido por el IEEE 802 para que la red sea considerada realmente una LAN. Intersil. Creado para ser utilizado en entornos sin cables.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Nokia y Symbol Technologies) crearon en 1999 una asociación conocida como WECA (Wireless Ethernet Compability Aliance. No obstante. aunque su empleo en el ámbito audiovisual está creciendo rápidamente [6]. El problema principal que pretende resolver la normalización es la compatibilidad. Alianza de Compatibilidad Ethernet Inalámbrica). Tecnología e ingeniería Esp. prueba y certifica que los equipos cumplen los estándares 802.11. los principales vendedores de soluciones inalámbricas (3com. hasta que en mayo de 1991 se publicaron varios trabajos referentes a WLAN operativas que superaban la velocidad de 1 Mbps. Entre las principales prestaciones de las redes WLAN se encuentran:     Alta disponibilidad Escalabilidad Gestionabilidad Arquitectura abierta WIFI En lo que se refiere al Wi-Fi es un conjunto de estándares para redes inalámbricas basados en las especificaciones IEEE 802. Desde 1985 hasta 1990 se siguió trabajando ya más en la fase de desarrollo. Para resolver este inconveniente. Esta variedad produce confusión en el mercado y descoordinación en los fabricantes. Lucent Technologies. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La asignación de una banda de frecuencias propició una mayor actividad en el seno de la industria. la organización comercial que adopta. Wi-Fi es una marca de la Wi-Fi Alliance. Airones. existen distintos estándares que definen diferentes tipos de redes inalámbricas. Ese respaldo hizo que las WLAN empezaran a dejar ya el laboratorio para iniciar el camino hacia el mercado.11. El objetivo de ésta fue crear una marca que permitiese fomentar más fácilmente la tecnología inalámbrica y asegurase la compatibilidad de equipos.

empresa u organización. Fidelidad Inalámbrica). . Un muy elevado porcentaje de redes son instaladas por administradores de sistemas y redes por su simplicidad de 33 . hoteles.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.11a de la banda de 5 Ghz mediante la marca Wi-Fi5. WECA certifica la interoperatibilidad de equipos según la norma IEEE 802. en abril de 2000. En el año 2002 eran casi 150 miembros en la asociación WECA. cibercafés.11b ofrece una velocidad máxima de transferencia de 11 Mbps. son algunos ejemplos de este uso. ¿Qué sucede con l seguridad en las redes Wlan? Uno de los problemas más graves a los cuales se enfrenta actualmente la tecnología Wi-Fi es la seguridad... ya existen estándares que permiten velocidades superiores. al que se puede conectar cualquier persona que haya contratado ese servicio o que cumpla los requisitos exigidos para ello. La norma IEEE. Como la norma 802.. independientemente del fabricante de cada uno de ellos. Por tanto. Las redes Wlan cuentan con tres estados que son:  Uso privado. centros de convenciones.11 fue diseñada para sustituir a las capas físicas y MAC de la norma 802. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 De esta forma. redes de telefonía. WECA no se ha querido quedar atrás. Por ese motivo. Esto quiere decir que en lo único que se diferencia una Wi-Fi de una Ethernet es en la forma en la que los ordenadores y terminales en general acceden a ésta.11 es completamente compatible con todos los servicios de las de cable 802. una red local inalámbrica 802.  Uso comunitario. Tecnología e ingeniería Esp.11b bajo la marca Wi-Fi (Wireless Fidelity. el resto es idéntico. Hot-spots.. Esto quiere decir que el usuario tiene la garantía de que todos los equipos que tengan el sello Wi-Fi pueden trabajar juntos sin problemas.. cuando se utiliza para dar un servicio público de acceso a Internet. se utiliza la tecnología para compartir en una comunidad concreta de hogares o de empresas el acceso a determinados recursos.3 (Ethernet).3 (Ethernet).  Uso público.802. anunció que empezaría a certificar también los equipos IEEE 802. cuando se limita el uso de esta tecnología a un entorno privado (empresa u hogar) y limitado el uso a las personas de ese hogar..

por tanto. Figura 15: Cobertura y diversificación de usos en las redes Wlan.com/ 34 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 implementación sin tener en consideración la seguridad y. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP y el WPA que se encargan de codificar la información transmitida para proteger su confidencialidad Elementos de una red Wlan    Estaciones cliente (tarjetas de red inalámbricas) APs Antenas Dispositivos No estándar en 802.blogspot. Fuente http://karcos4. Existen varias alternativas para garantizar la seguridad de estas redes. sin proteger la información que por ellas circulan.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. el uso de las redes Wlan con tecnología Wifi. convirtiendo sus redes en redes abiertas.11*  APs repetidores  Clientes universales y Workgroup bridges  Wireless bridges A continuación se ilustra en la Figura 15. Tecnología e ingeniería Esp.

com/2012/08/configuracion-y-conceptosinalambricos. Configuración y conceptos Inalámbricos Básicos .Blog Redes Cisco III Link: http://ciscoccna3.revistacec.html Redes inalámbricas. comunicación total . Tecnología e ingeniería Esp.blogspot.revista cec Link: http://www. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Profundización Lección 6: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.asp?idart=441 35 .com/articulo.

Una estación puede estar dentro de un rango de transmisores. Un cliente³wireless´ también puede asociarse a cualquier red que se encuentre disponible. Las redes Wireless tienen diversos modos de operación. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 7: Arquitectura lógica de las redes Wlan Modos de Operaciones Wlan Un “Service set (SS)” es una agrupación lógica de dispositivos.11define el protocolo que se utiliza para realizar esta conexión. Cada red ³wireless´ posee su propio nombre. Sus elementos son:  El Punto de Acceso (AP) Funciona como un concentrador inalámbrico de la red WLAN:  Todo el tráfico pasa a su través  Extienden una red LAN  Hace de Puente entre la LAN y las estaciones inalámbricas  Puede servir como repetidor en la conectividad de las dos redes WLAN Roaming:  Brinda la posibilidad de que una estación se asocie a otros AP  Interfaz web para su configuración  Desplegando varios se puede cubrir un gran área Estaciones: 36 . Las WLANs proveen acceso a la red por medio de una señal de broadcast a través de una portadora de radio frecuencia (RF). El estándar IEEE 802. En esta configuración se conectan un determinado número de puntos de acceso a una red cableada. Un cliente ³wireless´puede asociarse con una determinada red ³wireless´ especificando el SSID. los cuales utilizan un “service set identifier” (SSID). La estación usa el SSID como filtro entre las señales recibidas y localiza la que desea escuchar. bastacon no especificar ningún SSID. entre ellos se encuentran: BSS (Basic Service Set): El modo BSS es el que se utiliza normalmente. Este nombre es el SSID de la red.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Los clientes ³wireless´ se conectan a estos puntos de acceso. Este modo también se denomina modo infraestructura. Tecnología e ingeniería Esp.

PDAs. etc Figura 16: Ilustración de un BSS. anterior al estándar 802.  Es una BSS sin puntos de acceso  Sin conexiones a otras redes 37 . Este modo se encuentra especificado en el estándar IEEE 802. se ha diseñado para facilitar las conexiones punto a punto. Tecnología e ingeniería Esp. El segundo tipo se denomina modo ad-hoc de demostración o modo ad-hoc de Lucent (y algunas veces. En realidad existen dos tipos distintos de modos ad-hoc. del modo adhoc debería utilizarse sólo en instalaciones propietarias. también conocido como modo ad-hoc o modo ad-hoc del IEEE.11. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  PCs.scribd.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.11. Fuente http://es. también conocido como modo ad-hoc.Uno es el modo IBSS. Este es el modo de funcionamiento antiguo. portátiles. también se le llama simplemente modo ad-hoc.com/doc/57037191/38/IBSS-Independent-BSS IBSS (Independent Basic Service Set): El modo IBSS. lo cual es bastante confuso).  Es un conjunto de estaciones que no tienen una infraestructura de conexión y que está compuesto por más de dos estaciones inalámbricas.

scribd. Es importante destacar que los Puntos de Acceso normalmente cumplen funciones de Puentes (Bridge) debido a que permiten interconectar redes cableadas con los equipos inalámbricos.com/doc/57037191/38/IBSS-Independent-BSS Sistemas de Distribución (DS) . además de agregar un conjunto de características de administración y seguridad a los dispositivos de la red. un piso de un hospital. En esencia esta topología se basa en la integración de dos o más Conjuntos de Servicios Extendidos.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.  Los ordenadores se comunican directamente Figura 17: Ilustración de un IBSS. Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Las redes ad-hoc satisfacen las necesidades de usuarios que ocupan un área de cobertura pequeña como un aula de clases. etc. Fuente http://es. para lo cual es necesario la realización de enlaces de 38 .Servicios Extendidos (ESS): Otra alternativa de comunicación inalámbrica es el esquema de comunicación de equipos internos con la incorporación de un Punto de Acceso (AP). el cual se encarga de registrar todos los equipos de la red así como también de manejar la conmutación de los paquetes.

Los ordenadores están en igualdad de condiciones. algunos puntos de acceso permiten establecer estos enlaces con los mismos canales de radio con los que se conectan los usuarios finales. AD HOC viene del latín y se refiere a algo improvisado.org/es/carlosaguirrelinarez/teg/ftegcapituloII. 39 . Los artefactos pueden buscar nodos que están fuera del área de alcance conectándose con otros artefactos que estén conectados a la red y estén a su alcance. Las conexiones son posibles por múltiples nodos. Fuente http://www.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. La conexión es establecida por la duración de una sección. Estos enlaces en algunas ocasiones son realizados a través de puertos de red cableada con tecnología Ethernet. Los artefactos descubren otros artefactos cercanos o en rango para formar el “network”. mientras que en comunicaciones el propósito de ad hoc es proporcionar flexibilidad y autonomía aprovechando los principios de auto-organización. sino que consta de nodos móviles que usan una interface inalámbrica para enviar paquetes de datos. Tecnología e ingeniería Esp. Una red móvil ad hoc es una red formada sin ninguna administración central o no hay un nodo central. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 interconexión entre los diferentes Puntos de Acceso de la red. sin embargo. Figura 18: Ilustración de DS combinado con un ESS.html AD HOC Peer to Peer: También conocidas como MANET “Mobile ad hoc networks”.oocities.

scribd.inter. Fuente http://www.microsoft.mspx Redes Inalámbricas Ad Hoc .Microsoft Tech Net Link: http://www. Tecnología e ingeniería Esp.eusso.By Stake Link: http://es.Armando Mercado.htm Profundización Lección 7: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.com/latam/technet/articulos/wireless/pgch03.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.com/doc/19370287/Fundamentos-de-WLAN-RedesInalambricasen-Espanol Arquitectura de la solución de LAN inalámbrica segura .stk1. Rafael gil Link: http://facultad.edu/cgonzalezr/ELEN4618/Adhoc. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 19: Ilustración de una conexión Ad Hoc.pdf 40 .1 .com/Models/Wireless/UGL2454-01XR/UGL2454-01XR.bayamon. Fundamentals of Wireless Lans Versión .

que crea un acceso libre de contención (CF). datos (la información) y cola donde suelen ir un chequeo de errores). El MAC IEEE 802. no entera). viene a ser lo mismo que un paquete de datos (la información se envía por trozos.11 [7]. o en Codificación Manchester se puede tener la señal a nivel alto o bajo durante todo el tiempo de bit (evitando la transición de niveles característica de este sistema 41 . denominado Función de Coordinación de Punto (PCF). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 8: Métodos de acceso El método de acceso fundamental del MAC IEEE 802. Por secuencias de bits: Se emplea una secuencia de bits para indicar el principio y fin de una trama. que no se corresponda ni con un uno ni con un cero. o nivel de señal. 01111110. Por caracteres de principio y fin: Se emplea códigos ASCII para delimitar el principio y fin. La DCF se implementa en todas las STAs.11 MAC también puede incorporar un método de acceso opcional. Por ejemplo si la codificación física es bipolar se puede usar el nivel de 0 voltios. Se suele emplear el “guión”. ETX(End of Transmisión). se denomina Función de Coordinación Distribuida (DCF). Tecnología e ingeniería Esp.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Para delimitar estos paquetes se emplean cuatro métodos:     Por conteo de caracteres: en la cabecera se pone el número de bytes que compone el paquete. La PCF sólo puede utilizarse en configuraciones de red de infraestructura Tramas de datos: Una trama de datos. acceso múltiple con detección de portadora y colisión evitable (CSMA/CA). Al principio se pone STX (Star of Transmisión) y al final del paquete. Por violación del nivel físico: Se trata de introducir una señal. para su uso tanto en configuraciones de red ad hoc como de infraestructura.Estos paquetes constan de cabecera (donde van los protocolos de enlace).

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

Tramas de control: Son tramas que dan asistencia a la transferencia entre
estaciones inalámbricas
 Tramas RTS: implementan la función RTS para salvaguardar la presencia
de nodos ocultos.
 Tramas CTS: implementan la función CTS para salvaguardar la presencia
de nodos ocultos
 Trama ACK : implementan la función de confirmación de recepción de
tramas de datos sin error.

Figura 20: Pasos para asegurar una red Wlan. Fuente
http://technet.microsoft.com/es-es/library/dd458733.aspx

42

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

Asociación punto de acceso y cliente
Una parte clave del proceso de 802.11 es descubrir una Wlan y, luego conectarse
a ella. Los componentes principales de este proceso son los siguientes:
 Beacons: Tramas que utiliza la red Wlan para comunicar su presencia.
 Sondas: Tramas que utilizan los clientes de l red Wlan para encontrar sus
redes.
 Autenticación: Proceso que funciona como instrumento del estándar
original 802.11, que el estándar todavía exige.
 Asociación: Proceso para establecer la conexión de datos entre un punto
de acceso y un cliente Wlan.

Figura
21:
Paso
1,
Sonda
de
802.11.
Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf

43

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

Si el cliente Wlan sólo quiere conocer las redes Wlan disponibles, puede enviar un
pedido de sondeo sin SSID, y todos los puntos de acceso que estén configurados
para responder este tipo de consulta, responderían. Las Wlan con la característica
de Broadcast SSID deshabilitada no responderán.

Figura
22:
Paso
2,
autenticación
de
802.11.
Fuente
http://web.dit.upm.es/~david/TAR/trabajos2002/08-802.11-Francisco-LopezOrtiz-res.pdf

802.11 se desarrolló originalmente con dos mecanismos de autenticación. El
primero, llamada autenticación abierta, es fundamentalmente una autenticación
NULL donde el cliente dice ''autentícame'', y el punto de acceso responde con ''si''.
Este es el mecanismo utilizado en casi todas las implementaciones de 802.11.
Un segundo mecanismo de autenticación se basa en una clave que es compartida
por la estación del cliente y el punto de acceso llamado protección de equivalencia
por cable (Cable WEP)

44

A pesar de que la clave de autenticación compartida necesita estar incluida en las implementaciones de cliente y de punto de acceso para el cumplimiento general de los estándares. 45 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.upm.dit. no se utiliza ni se recomienda. El AID es equivalente a un puerto en un switch. pero cuando originalmente se implementó este método de autenticación resultó deficiente. Figura 23: Paso 3.es/~david/TAR/trabajos2002/08-802. que es la dirección MAC del punto de acceso. asociación de 802. y establece el enlace de datos entre el cliente Wlan y el punto de acceso. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La idea de la clave WEP compartida es que le permita a una conexión inalámbrica la privacidad equivalente a una conexión por cable. Tecnología e ingeniería Esp. y el punto de acceso traza un camino a un puerto lógico conocido como el identificador de asociación (AID) al cliente Wlan. Como parte de esta etapa. Fuente http://web. el cliente aprende el BSSID.pdf En esta etapa finaliza la seguridad y las opciones de tasa de bit.11.11-Francisco-LopezOrtiz-res.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. tanto para comprobar si te puedes conectar a alguna de ellas (viendo si hay cobertura) como para verificar si están entorpeciendo de algún modo en tu conexión (con accesos no autorizados a tu red si ésta no estuviese protegida).es/~david/TAR/trabajos2002/08-802. Fuente http://web.dit. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El proceso de asociación permite al switch de infraestructura seguir la pista de las tramas destinadas para el cliente Wlan. Tecnología e ingeniería Esp. Y eso es lo que hace NetStumbler. Figura 24: Métodos para controlar el acceso a las redes Wlan.upm.11-Francisco-LopezOrtiz-res. de modo que puedan ser reenviadas. Una vez que un cliente Wlan se asoció con un punto de acceso.pdf Hoy en día las redes WiFi se han convertido en algo esencial para todo aquel usuario que se conecta desde su ordenador a ellas esté donde esté. el cual es una práctica herramienta que te permite detectar y localizar redes inalámbricas WiFi. y por ello siempre es práctico disponer de una herramienta que te detecte cuántas redes WiFi existen a tu alrededor. el tráfico puede viajar de un dispositivo a otro. 46 .

microsoft. Arquitectura de la solución de LAN inalámbrica segura .ar/monografias/standard_802_11.pdf Profundización Lección 8: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.  Los SSID se descubren con facilidad.pdf 47 .11-Francisco-LopezOrtiz-res.edu. Tecnología e ingeniería Esp.Ing. Figura 25: Evolución de las redes Wlan. por los siguientes motivos:  Se puede suplantar la identidad de las direcciones MAC fácilmente. Pablo Jara Link:http://www.11 X de las WLAN .upm. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Ni el SSID camuflado ni el filtrado de direcciones MAC se consideran medios válidos para proteger a una Wlan.utn. incluso si los puntos de acceso no los transmiten.edutecne.com/es-es/library/dd458733.dit. Fuente http://web.es/~david/TAR/trabajos2002/08-802.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.aspx Estándar IEEE 802.Microsoft Tech Net Link: http://technet.

permite a las personas conectarse a Internet para descargar información e intercambiar mensajes de correo electrónico y archivos. La instalación de la tecnología inalámbrica es simple y económica. Sin embargo. Indoor (Varias Obstrucciones): Las antenas están integradas a la Tarjeta de Red Inalámbrica y la distancia entre 48 . a pesar de la disminución del costo. por ejemplo la encriptación y la autenticación. Tecnología e ingeniería Esp. muchos dispositivos. muchos dispositivos distintos las utilizan.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Wireless LAN) utilizan las regiones sin licencia del espectro de RF. utilizan estas frecuencias y pueden interferir en las comunicaciones WLAN. pesar de la flexibilidad y los beneficios de la tecnología inalámbrica. lo que permite conexiones inalámbricas más confiables y rápidas. Una de las principales ventajas es la capacidad de brindar conectividad en cualquier momento y lugar. Primero. La tecnología inalámbrica permite que las redes se amplíen fácilmente. incluso a los receptores accidentales. Dado que estas regiones no están reguladas. las tecnologías LAN inalámbricas (WLAN. las capacidades y la velocidad de transmisión de datos han aumentado. estas regiones están saturadas y las señales de distintos dispositivos suelen interferir entre sí. esta misma característica también limita la cantidad de protección que la conexión inalámbrica puede brindar a los datos. El costo de dispositivos inalámbricos domésticos y comerciales continúa disminuyendo. Además. ya que transmite datos de manera que otorga a todos los usuarios la capacidad de acceder a ella. Como resultado. como los hornos de microondas y los teléfonos inalámbricos. existen algunos riesgos y limitaciones. Sin embargo. sin limitaciones de conexiones de cableado. un área problemática de la tecnología inalámbrica es la seguridad. Permite a cualquier persona interceptar la corriente de comunicación. Los usuarios nuevos y los visitantes pueden unirse a la red rápida y fácilmente. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 9: Rangos Inalámbricos La tecnología inalámbrica ofrece muchas ventajas en comparación con las tradicionales redes conectadas por cable. En segundo lugar. La implementación extendida de la conexión inalámbrica en lugares públicos. conocidos como puntos de conexión. Para tratar estas cuestiones de seguridad se han desarrollado técnicas para ayudar a proteger las transmisiones inalámbricas. La tecnología inalámbrica brinda facilidad de acceso.

dispositivo instalado en el lado del abonado) y el AP (Access Point) puede llegar a los 300m cuando no existen paredes / obstáculos en la trayectoria entre el CPE y el AP.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Figura 26: Rangos inalámbricos Indoors.ups.  Las antenas integradas a la Tarjeta de Red Inalámbrica)  Distancias hasta 300 mts sin obstáculos y 100 mts con.. entre los puntos en donde se encuentra la antena externa del CPE y la antena del AP (nodo de la red). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 el CPE (Customer Premise Equipment . casas. Fuente http://dspace. Valores típicos pueden ubicarse dentro los 100m. etc. Algunas Características específicas del rango indoor son:  Aplicaciones para oficinas. Aplicaciones para oficinas. aulas.ec/bitstream/123456789/221/3/Capitulo%202. Tecnología e ingeniería Esp. Cuando existen obstáculos en la trayectoria.pdf Outdoor (Sin obstrucciones): En este rango se necesita tener “Línea de Vista”. etc. En estas 49 .edu. estas distancias se achican acorde a cuán grande sea el obstáculo en cuestión. salas de reuniones.

UPS .ec/bitstream/123456789/221/3/Capitulo%202. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 aplicaciones los rangos de cobertura pueden llegar a varios kilómetros (10Km.ec/bitstream/123456789/221/3/Capitulo%202.Cuenca Link: http://dspace.edu. Tecnología e ingeniería Esp. Profundización Lección 9: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.) según la configuración total de la red.pdf Algunas Características especificas del rango outdoor son:  Para oficinas remotas  Libre de obstáculos (“Línea de Vista”)  Rangos de cobertura: pueden llegar a varios kilómetros según la configuración total de la red. etc. Aplicaciones para oficinas remotas. Fuente http://dspace.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.ups.pdf 50 .ups.edu. Topologías y requerimientos Wlan . Figura 27: Rangos inalámbricos outdoor.

Una vez que llega. Estas incluyen las tasas de datos soportadas y los requerimientos de administración de energía.11 define los servicios que proporcionan las funciones que requiere la capa LLC para el envío de Unidades de Datos de Servicio MAC (MSDUs) entre dos entidades en la red. 51 .  Disociación: Elimina una asociación existente. se utiliza después de que una estación se mueve dentro del alance de radio del AP. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 10: Servicios IEEE 802. Privacidad y Entrega de datos Servicios de Distribución:  Asociación: El servicio es utilizado por las estaciones para conectarse ellas mismas al AP. Por lo general.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.  Reasociación: Establece una asociación (entre el AP y una estación STA) para ser trasladados de un AP a otro o el mismo AP. Las Unidades de datos de servicio MAC (MSDUs) pueden ser transmitidas a destinos inalámbricos o a redes cableadas (Ethernet) o ambos a través del concepto de "Sistema de Distribución". Distribución e Integración  Servicios de Estación (SS): se relacionan con la actividad dentro de una sola celda. Reasociación. Una estación podría utilizar este servicio antes de apagarse o de salir. Autenticación. asimismo el AP podría utilizarlo antes de su mantenimiento. Asociación. anuncia su identidad y sus capacidades. Estos servicios pueden clasificarse en dos categorías: Servicios Lógicos:  Servicios de Distribución (DSS): se relacionan con la administración de membrecías dentro de la celda y con la interacción con estaciones que están fuera de la celda.  Distribución: Proporciona transmisión de MSDU de los Access Points a las estaciones asociadas con ellos. Disociación. Tecnología e ingeniería Esp. Ambas categorías son utilizadas por la subcapa MAC. Desautenticación.

Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Integración: Traduce los MSDU recibidos del sistema de distribución a un no formato 802. El punto de conexión entre el DS y la red LAN se denomina “Portal”. Un algoritmo especificado es RC4. Servicios de Estación  Autenticación: Establece la identidad de una estación como miembro del conjunto de estaciones que están autorizadas a asociarse unos con otros.dynalias.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Lan Inalámbricas .UCLM Albacete Link: http://pablodeolavide. Cualquier MSDU que se recibe del Sistema de Distribución DS invoca la «integración» de los servicios de DSS antes de la "distribución" de servicios. Este servicio maneja la codificación y decodificación.  Entrega MSDU: Entrega de unidades de datos de servicio MAC (MSDU) para las estaciones.  Des-autenticación: Eliminación de una relación existente de autenticación.  Confidencialidad: Evita que el contenido de los mensajes puedan ser leídos por personas distintas de los destinatarios.com/adeubeda/apuntes%20de%20telefon%C 3%ADa/MATERIAL%20DID%C3%81CTICO%20%20ALUMNOS%20STI/08%20%20TELEFON%C3%8DA%20M%C3%93VIL/ARCHIVOS%20PDF/cap7. Profundización Lección 10: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.pdf 52 .11 y viceversa.

Tecnología e ingeniería Esp. hasta los administrativos y de gestión. o mal desarrollado. Un mecanismo mal administrado. ya que de ello depende defender el good will que otorga el rango de confiabilidad de cada organización. Los errores pueden ser técnicos y de gestión administrativa. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 3: MECÁNICAS BÁSICAS DE SEGURIDAD Introducción La seguridad se ha convertido en factor importante en las grandes organizaciones a nivel mundial. persona. El avance de la tecnología conlleva a grandes retos e iniciativas de ataques informáticos. cada segundo que pasa en el mundo siempre va a existir una mente criminal e ingeniosa detrás de un teclado. buscando cada error que se genere dentro y fuera de la organización.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. La seguridad va avanzando al ritmo del crecimiento tecnológico. este conjunto de procesos harán normas o métricas más robustas o fuertes en las empresas u organizaciones. sería un punto débil de grandes dimensiones en una organización llevándola al desprestigio. dejando atrás mecanismos ambiguos y obsoletos que no contribuirán de la misma forma que lo hicieron en épocas anteriores. Los mecanismos de seguridad se despliegan desde los aspectos técnicos ingenieriles. y ello demarca el estudio teórico práctico de los diversos campos de la informática. cuando se piensa en seguridad de la información se tiene que pensar más allá de los aspectos técnicos y centralizarse en el objetivo principal que sería resguardar los activos ya que son la base solidad de cualquier organización o persona. o empresa. 53 . Es importante recalcar que para generar mecanismos de gran autonomía se hace necesario tener conocimiento de las estructuras informáticas sobre las cuales se van a trabajar. de tal forma que siempre deben existir mecanismos por parte y parte para lograr una seguridad perimetral adecuada para cada organización. ya que sin conocerlas sería el fracaso total. sumándole personal capacitado y multidisciplinar para tener cargos como oficiales de seguridad. Todo mecanismo debe estar actualizado y no obsoleto.

al describir estos criterios se hace una analogía con la transmisión de un mensaje. PAP/CHAP. • Mecanismos: firmas digitales usando funciones hash. Autenticación: Establece la identidad de transmisor o receptor de la información.1x. Ejemplo : bajo un ataque de negación de servicio un sistema no estará disponible para enviar o recibir datos. etc. Generalmente. • Mecanismos: múltiples protocolos como 802.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. hay que tener en cuenta una serie de criterios. el acceso a recursos. Tecnología e ingeniería Esp. Autorización: Establece que tiene permitido hacer una vez que se ha identificado. • Mecanismos: Encripción (simétrica – asimétrica) Integridad: Capacidad de enviar (y recibir) datos de tal forma que una entidad no autorizada no pueda cambiar ninguna parte de los datos sin que el receptor o transmisor pueda detectar el cambio.  Mecanismos: múltiples protocolos 54 . Confidencialidad: Capacidad de enviar (y recibir) datos sin divulgarlos a ninguna entidad no autorizada durante la transmisión de estos. (Control de acceso. Disponibilidad: Capacidad de enviar o recibir datos. • Mecanismos: en su mayoría mecanismos de defensa para detectar ataques DoS. etc. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 11: Pilares de la seguridad y mecanismos A la hora de analizar la seguridad de un sistema informático. MSCHAP. capacidades y permisos). si bien el concepto es aplicable a la información almacenada. Va de la mano con la autenticación. RADIUS.

Tecnología e ingeniería Esp. políticas. autenticación.wikispaces. CKIP y TKIP Administración de clave: Un clave es un código digital que puede ser usado para encriptar. Conceptos en seguridad de los sistemas de información: confidencialidad.+integritat. Encripción: Capacidad de transformar datos (o texto plano) en bytes insignificantes (texto cifrado) basado en algún algoritmo. disponibilidad y trazabilidad .pdf 55 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Control de acceso: Capacidad de controlar el acceso de las entidades a los recursos basados en diferentes propiedades: atributos.Jesús Jiménez Herranz Link: http://oposcaib.com/file/view/38++Conceptes+en+seguretat+dels+sistemes+d%27informaci%C3%B3. etc [8]. desencriptar y firmar información.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.  Mecanismos: Distribución de claves Profundización Lección 11: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje optimo.+disponibilitat+i+tra%C3%A7abilitat. La administración de claves (key management) es el proceso de distribución de claves.  Mecanismos: WEP. integridad.+Confi dencialitat.  Mecanismos: En un AP basado en la autenticación o conocimiento de una clave WEP o WPA.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. 5.Desarrolla los estándares para WLANs [9].gov/cgb/spanish/  de Comunicaciones.8 Mhz Figura 28: Logo. Con cerca de 425. redes inalámbricas. Comisión Federal http://transition.fcc. Figura 29: Logo. ingenieros en electrónica.000 miembros y voluntarios en 160 países.4 Mhz. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 12: Estándares Wlan Organizaciones Wlan:  FCC (Federal Communications Commission): es una agencia estatal independiente de Estados Unidos.ieee. La FCC fue creada en 1934 con la Ley de Comunicaciones y es la encargada de la regulación (incluyendo censura) de telecomunicaciones interestatales e internacionales por radio. ingenieros en telecomunicación e ingenieros en Mecatrónica . bajo responsabilidad directa del Congreso.co/portal/  ETSI – IEEE (European Telecommunications Standards Institute): Instituto Europeo de Normas de Telecomunicaciones es una organización de estandarización de la industria de las telecomunicaciones (fabricantes de 56 . matemáticos aplicados. Fuente http://www. Tecnología e ingeniería Esp. ingenieros en biomédica. 2. televisión. teléfonos.org. Fuente IEEE (Institute of Electrical and Electronics Engineers): Es una asociación técnico-profesional mundial dedicada a la estandarización. ingenieros en informática. científicos de la computación. como ingenieros eléctricos. Regula las bandas ISM 900 Mhz. satélite y cable. entre otras cosas. Instituto de Ingenieros Eléctricos y Electrónicos. es la mayor asociación internacional sin ánimo de lucro formada por profesionales de las nuevas tecnologías.

Está. teléfonos digitales DECT. BlueTooth).com/ieee802.certigna. Figura 30: Logo. intentando estandarizar Bluetooth en el 802.  IEEE 802.fr/bonnes-raisons-choisir-certigna-ssl.11a Fuente Es aplicada a una LANs inalámbrica. A su vez. con proyección mundial. Tecnología e ingeniería Esp. También se usa el nombre IEEE 802 para referirse a los estándares que proponen.4 GHz (hornos microondas. La especificación esta aplicada a los sistemas de ATM inalámbricos 57 . Fuente https://www. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 equipos y operadores de redes) de Europa.11a: Estándar superior al 802.11b.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. El ETSI ha tenido gran éxito al estandarizar el sistema de telefonía móvil GSM. Figura 31: 12 canales con frecuencia de 10 MHz.15 (IEEE 802. apoyándose en la banda de los 5GHz. en inglés LAN) y redes de área metropolitana (MAN en inglés).tripod.11). algunos de los cuales son muy conocidos: Ethernet (IEEE 802. elimina el problema de las interferencias múltiples que existen en la banda de los 2. o Wi-Fi (IEEE 802. http://andersonramirez.htm#IEEE%20802. Concretamente y según su propia definición sobre redes de área local (RAL.15). Instituto Europeo de Normas de Telecomunicaciones. pues permite velocidades teóricas máximas de hasta 54 Mbps.3). incluso.xhtml IEEE 802 es un estudio de estándares elaborado por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) que actúa sobre Redes de ordenadores.

4 GHz.11g: Utiliza la banda de 2. • • • • Norma aún no ha salido definitivamente Inició trabajos en Enero de 2004 Banda de 2. en vez de tener que adquirir tarjetas inalámbricas nuevas. Así. pasando de 'Complementary Code Keying' a 'Orthogonal Frequency Division Multiplexing'. De los 14 canales solamente 3 no se solapan: 1. pero permite transmitir sobre ella a velocidades teóricas de 54 Mbps.11b Fuente Son 14 canales de secuencia directa (DS). Seguridad Informática Seguridad Avanzada en redes de datos: 233015  IEEE 802.htm#IEEE%20802.11n: Es un nuevo estándar para dispositivos Wireless que llega a soportar hasta 600 Mbps y puede dar cobertura a pequeñas oficinas.11b capaces de ínter operar con los de otros fabricantes. 6 y el 11. http://andersonramirez.4 GHz Velocidades: Hasta 600 Mbps 58 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. bastaría con cambiar su firmware interno. Cada canal DS transmite en 22 MHz. Tecnología e ingeniería Esp. Es el estándar más utilizado en las comunidades inalámbricas.11b: Extensión de 802.com/ieee802.tripod.11 para proporcionar 11 Mbps usando DSSS. Se consigue cambiando el modo de modulación de la señal. También conocido comúnmente como Wi-Fi (Wireless Fidelity): Término registrado promulgado por la WECA para certificar productos IEEE 802. Debido al traslape hay interferencia entre los canales vecinos. Figura 32: 14 canales de secuencia directa (DS). pero la separación entre ellos es solamente de 5 MHz.  IEEE 802.  IEEE 802.

ruido. el grupo de trabajo “i task group” fue creado en IEEE para mejorar la seguridad en la autenticación y la encripción de datos a nivel inalámbrico.11i : En enero de 2001. entre otros y define las frecuencias y los canales. Adiciona posibilidad de rápido roaming de clientes.11e: Nombre literal: “Media Access Control Quality of Service Enhancements”. Adiciona QoS y características básicas para soporte de multimedia en WLANs requeridas para aplicaciones de audio. • Cambios fundamentales de IEEE 802. No se garantizan niveles determinísticos de throughput o retardos.  Protocolos de Seguridad 802. voz y video. Los factores medidos incluyen: carga. Adiciona funciones de medidas y reportes de un STA (Station client).UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Estipula los mecanismos para mejorar la selección dinámica de la frecuencia mediante un umbral de detección de interferencia.11i: La separación de la autenticación de usuario de la integridad y privacidad de los 59 . IEEE 802. Seguridad Informática • • • •   Seguridad Avanzada en redes de datos: 233015 OFDM + MIMO (Multiple Input Multiple Output) Varios arreglos de antenas para transmitir y recibir Explota multiplexión y diversidad espaciales Actualmente hay equipos que manejan hasta 300Mbps (80-100 estables) IEEE 802.11i fue adoptada y recibió el nombre comercial WPA2 por parte de la alianza Wi-Fi. beacons. En junio de 2004. IAPP (Inter-Access Point Protocol) puede ser usado también entre switches y bridges que requieran intercambiar información WLAN.  IEEE 802. así que el resultado final es el de “Mejor esfuerzo”.11f: Define los servicios primitivos y protocolos para que los Aps de diferentes fabricantes puedan intercambiar información. tiempos de chequeo de disponibilidad de los canales.11k: Nombre literal: “Specification for Radio Resource Measurement”. Estándar relativamente desconocido y poco complejo. nodos escondidos. Tecnología e ingeniería Esp. la edición final del estándar 802. ambiente y rendimiento de los radios.

X (II) .AIS Link: http://estandaresieee802redes. TKIP se requiere para la certificación WPA y se incluye como parte de RSN 802.com/ 60 . asegurando así que cada usuario manejará diferentes claves para la encripción. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 mensajes.Info Link: http://www. proporcionando una arquitectura robusta y escalable.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. IEEE y los Standares 802.11i como una opción. Tecnología e ingeniería Esp.ar/articulos/67-ieee-standares-802-2. Después esa clave temporal se combina con la dirección MAC del usuario y se le añade un vector de inicialización de 16 bits para originar la clave que cifrará los datos. que sirve igualmente para las redes locales domésticas como para los grandes entornos de red corporativos.segu-info.com.Segu .blogspot. Profundización Lección 12: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.  TKIP: Inicia el proceso mediante una clave semilla de 128 bits compartida temporalmente entre los usuarios y los puntos de acceso.htm Estándares IEEE 802 .

por lo que cualquier cliente puede acceder la red sin ningún problema.11: La seguridad en el estándar IEEE 802. Figura 33: Autenticación de clave compartida SKA . En general. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 13: Autenticación y Privacidad Seguridad en el Estándar 802. Fuente http://www.com/seguridad-en-redes-wireless/ Mecanismos de Seguridad El hecho de tener un Punto de Acceso irradiando señal. se convierte en una vulnerabilidad si no se toman las acciones necesarias para garantizar la seguridad. insertar un virus informático. Este tipo de autenticación permite que cualquier cliente forme parte de la red.11 se define en la forma de autenticación: Sistemas Abiertos y Sistemas de Clave Compartida. bloquear servidores. se requiere también la implementación del mecanismo de seguridad. en el mejor de los casos. Este mecanismo de seguridad utiliza una única clave secreta para todos los miembros de la red. La autenticación del Sistema Abierto es la opción por defecto que se utiliza en todo dispositivo estandarizado bajo IEEE 802. La autenticación de Clave Compartida (SKA). entre otros.11. Cualquier persona que detecte la señal y logre ingresar a la red podrá navegar gratis por Internet.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Tecnología e ingeniería Esp. o podrá robar información sensible.expresionbinaria. la cual fue conocida por los miembros antes de entrar en la red. La seguridad que nos proporciona un Sistema abierto es nula. algunos mecanismos son: 61 .

los puntos de acceso difunden su SSID para que cada cliente pueda ver los identificadores disponibles y realizar la conexión a alguno de ellos simplemente seleccionándolos. 62 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.com/index. Pero también se puede inhabilitar la difusión de este SSID en el punto de acceso. tanto en la estación cliente como en el Punto de Acceso. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 SSID: Como uno de los primeros niveles de seguridad que se pueden definir en una red inalámbrica se cita al SSID (“Service Set Identifier” o identificador del servicio). Normalmente. este identificador permite establecer o generar. Figura 34: Difusión del SSID .draytek.php?option=com_k2&view=item&id=4012:vigor21 10n&Itemid=1436&lang=es Filtrado de direcciones MAC o ACL (Access Control List): Este método consiste en la creación de una tabla de datos en cada uno de los Puntos de Acceso de la red inalámbrica. redes lógicas que interconectarán a una serie de clientes. para dificultar el descubrimiento de la red inalámbrica por parte de personas ajenas a su uso.Fuente http://www. Aunque se trata de un sistema muy básico (normalmente no se tiene por un sistema de seguridad). Tecnología e ingeniería Esp.

de 64 bits. puede llevar a cometer errores en la manipulación de las listas. según el estándar. Figura 35: Interfaz para posterior configuración de direcciones MAC Fuente http://wiki.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. lo que obliga a escribir la clave manualmente en cada uno de los elementos de la red. y se diseñó con el fin de proteger los datos que se transmiten en una conexión inalámbrica mediante cifrado [10]. Las direcciones MAC viajan sin cifrar por el aire.png Protocolo WEP (Wired Equivalent Privacy): Forma parte de la especificación 802.ubnt. y no contempla ningún mecanismo de distribución automática de claves.com/images/c/ce/Mac_acl. por lo cual se puede usar para redes caseras o pequeñas. WEP utiliza una misma clave simétrica y estática en las estaciones y el Punto de Acceso.11. ya que no prevé ningún mecanismo de cifrado. 63 . Desventajas:      Es necesario modificar las tablas en cada AP El formato de una dirección MAC no es amigable. En caso de robo de un equipo inalámbrico. No garantiza la confidencialidad de la información transmitida. Los 40 bits son los que se deben distribuir manualmente. algoritmo de cifrado utilizado es RC4 con claves. Tecnología e ingeniería Esp. Estos 64 bits (24 bits correspondientes al vector de inicialización + 40 bits de la clave secreta). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Ventajas: Sencillez de implementación. el ladrón dispondrá de un dispositivo que la red reconoce como válido.

Estos métodos se basan en la infraestructura de clave pública (PKI) para autenticar al usuario y al servidor de autenticación. conocido como TKIP (Temporary Key Integrity Protocol .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Este estándar busca subsanar los problemas de WEP. utilizando certificados digitales. TKIP utiliza el algoritmo “Michael” para garantizar la integridad. El cliente no puede autenticar la red. añadiendo el MIC calculado a la unidad de datos a enviar. de destino y de los datos. Los protocolos WEP tienen las siguientes ventajas: Encripción WEP  Clave compartida y secreta  Usa algoritmo de encripción RC4 Autenticación WEP  Autenticación abierta  Autenticación de clave compartida Administración de Claves  Comparte la misma clave en ambos sentidos  Tamaño de la Clave entre 64 y 128 bits  Se puede utilizar con filtrado MAC Protocolo de seguridad WPA (Wi-Fi Protected Access): Es un estándar propuesto por los miembros de la Wi-Fi Alliance en colaboración con la IEEE. WEP no ofrece servicio de autenticación. mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticación. La clave pasa de ser única y estática a ser generada de forma dinámica. Tecnología e ingeniería Esp. generando un bloque de 4 bytes denominado MIC a partir de la dirección MAC de origen. WPA propone un nuevo protocolo para cifrado. basta con que el equipo móvil y el Punto de Acceso compartan la clave WEP para que la comunicación pueda llevarse a cabo.Protocolo de Clave Temporal de Integridad). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El vector de inicialización (IV) es predecible. ni al contrario. 64 . Para solucionar el problema de cifrado de los datos. Metodos de autenticación WPA: Los métodos de autenticación definidos en WPA son: EAP-TLS. EAP-TTLS y PEAP. cambiando la clave compartida entre Punto de Acceso y cliente cada cierto tiempo con una longitud 128 bits en lugar de 40 bits como WEP.

ambos generan la clave de sesión. el cliente podrá enviarle datos cifrados. que emita certificados para los usuarios y el servidor de autenticación. Tecnología e ingeniería Esp. Cisco y RSA.com/issues/2007May/wpa-security/ PEAP : PEAP fue diseñado por Microsoft. un inconveniente técnico y económico. que requieren únicamente del certificado en el servidor de autenticación. La idea subyacente es que si el servidor de autenticación dispone de un certificado digital.plynt. Figura 36: Proceso de Encripción utilizando TKIP o AES . Cuando el cliente ha validado el certificado del servidor de autenticación y creado el túnel. Para evitar esta necesidad aparecen 2 métodos: Protected EAP (PEAP) y EAPTunneled TLS (EAP-TTLS). PEAP y EAP-TTLS: EAP-TLS exige que todos los clientes dispongan de un certificado digital lo que puede ser.Fuente http://palizine. La CA puede ser privada (empresarial) o pública (basada en CAs de Internet como Verisign). tras autentificar el servidor al cliente. en muchos casos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La premisa es la existencia de una Autoridad de Certificación (CA) de confianza para la organización. creándose un “túnel de seguridad” por donde el cliente podrá enviar sus datos de autenticación.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. 65 . por ejemplo MS-CHAP v2. usando TLS se inicia una nueva autenticación donde negocian un método.

Fuente el autor. Es para usar sobre redes que actualmente no soportan EAP. LEAP es una buena opción cuando se utilizan equipos Cisco.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Las versiones actuales de los protocolos de autenticación (EAP) pueden no proporcionar la funcionalidad que se necesita y ser demasiado exigentes. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 A continuación un diagrama donde se especifican de forma general cada uno de los protocolos utilizados en Wireless: Figura 37: Diagrama de la seguridad en Wireless . LEAP es la versión de Cisco de EAP. Leap: EAP Liviano [Lightweight EAP (LEAP)] es también llamado EAP-Cisco. Esto podría comprometer el rendimiento del equipo WLAN. 66 . Tecnología e ingeniería Esp. por lo tanto.

Tecnología e ingeniería Esp.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 38: Leap .asp?p=369223&seqNum=4 67 . Figura 39: Eap .ciscopress. el protocolo Eap-Tls.Fuente http://www.asp?p=369223&seqNum=4 Ahora se verá en la Figura 36.com/articles/article.com/articles/article.ciscopress.Fuente http://www.Tls .

que es una forma avanzada de Capa de Socket Seguro [Secure Socket Layer (SSL)]. EAP-MD5 se utiliza como un bloque de construcción en EAP-TTLS. EAP-TTLS protege las passwords usando TLS. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Eap Md5: Es una autenticación de un sentido que esencialmente duplica la protección de password CHAP en una WLAN. porque no proporciona autenticación mutua. Eap . EAP-TTLS actualmente requiere un servidor RADIUS de Funk software. Figura 40: Eap .ciscopress.Ttls: EAP-Seguridad de Capa de Transporte en Túnel [EAP-Tunneled Transport Layer Security (EAP-TTLS)] es un borrador IETF creado por Funk software y Certicom.Fuente http://www.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. EAP-TTLS provee una funcionalidad similar a PEAP.asp?p=369223&seqNum=4 El Protocolo de Autenticación Expandible MD5 (EAP-MD5) no debería ser usado. Tecnología e ingeniería Esp.com/articles/article. 68 .Md5 .

Generic Token Card (EAP-GTC)]. El Autor. Fuente. Métodos de autenticación de cada estándar.com/articles/article.Otp: Passwords Ocasionales [EAP.Md5 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.ciscopress.Fuente http://www. Tabla 2. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 41: Inconvenientes y ventajas del Eap . Eap .asp?p=369223&seqNum=4 Eap . 69 .Sim: Utiliza la misma tarjeta inteligente o SIM que se utiliza en los teléfonos móviles GSM para proporcionar autenticación. EAP-SIM puede fácilmente montarse sobre EAP-TLS. Tecnología e ingeniería Esp.One Time Passwords (EAP-OTP)] también recibe el nombre de EAP-Tarjeta Token Genérica [EAP.

Para el aseguramiento de la integridad y autenticidad de los mensajes. y permitir su acceso mediante el uso de una lista de acceso adecuada en un enrutador o agrupando todos los puertos de acceso inalámbrico en una VLAN si se emplea dispositivos de capa 2 (Switch).UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Las VPN resultan especialmente atractivas para proteger redes inalámbricas. Deberá permitirse acceso completo al cliente. Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente inalámbrico a los servidores de autorización y autenticación de la VPN. WPA2 utiliza CCMP (Counter-Mode/Cipher Block Chiang /Message Authentication Code Protocol) en lugar de los códigos MIC. 70 . desarrollado por el NIST. Para configurar una red inalámbrica utilizando las VPN. VPN (Redes Privadas Virtuales): Emplea tecnologías de cifrado para crear un canal virtual privado sobre una red de uso público. sólo cuando éste ha sido debidamente autorizado y autenticado. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 WPA2 (IEEE 802.11i): Es el nuevo Estándar del IEEE para proporcionar seguridad en redes WLAN. debe comenzarse por asumir que la red inalámbrica es insegura. Requiere un hardware potente para realizar sus algoritmos. Incluye el nuevo algoritmo de cifrado AES (Advanced Encription Standard). debido a que funcionan sobre cualquier tipo de hardware inalámbrico y superan las limitaciones de WEP. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Tecnología e ingeniería Esp.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.gt/tesis/08/08_0466_CS.Saulo Barajas Doctorado en Tecnologías de las Comunicaciones Universidad Carlos III de Madrid Link: http://www. Tabla comparativa de los protocolos de seguridad.Juan Rodrigo Sac de Paz Link: http://biblioteca.pdf 71 .zero13wireless.Fuente El Autor.edu. Tecnología e ingeniería Esp.saulo.pdf Seguridad Wi-Fi – WEP.net/des/SegWiFi-art. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Tabla 3.net/wireless/seguridad/01_2006_wpa_ES. Protocolos de seguridad en redes inalámbricas . Profundización Lección 13: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. y su impacto en las redes inalámbricas de área Local .Guillaume Lehembre Link:http://www.p df Estudio de vulnerabilidad de los cifrados wep y Wpa. WPA y WPA2 .usac.

Este tipo de instalaciones. al contrario que en las redes cableadas privadas.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Y no sólo eso. Tecnología e ingeniería Esp. Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas. Falsificación de AP: Es muy simple colocar una AP que difunda sus SSID. debe considerarse inseguro. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Existen varios productos ya diseñados para falsificar AP. en el caso de un ataque pasivo. para permitir a cualquiera que se conecte. si sobre el mismo se emplean técnicas de “Phishing”. Es más. el más común es un conocido script en Perl denominado justamente “FakeAP”. pues suele ser muy común que los propios empleados de la empresa por cuestiones de comodidad. si no se controlan. en la terminología WiFi se los suelen llamar “Router AP” o Fake AP”. sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). donde sólo se escucha la información. Cualquiera podría estar escuchando la información transmitida. instalen sus propios puntos de acceso. ni siquiera se dejan huellas que posibiliten una identificación posterior. que envía Beacons con diferentes ESSID y diferentes direcciones MAC con o sin empleo de WEP. El canal de las redes inalámbricas. Cada atacante o hacker tienen objetivos o perspectivas diferentes. se puede inducir a creer que se está conectando a una red en concreto. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 14: Ataques y vulnerabilidades La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. bastaría con que estuviese en un lugar próximo donde le llegase la señal. en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa. he aquí algunos de sus objetivos más comunes: 72 . El peor de estos casos es la situación en la cual un intruso lo deja oculto y luego ingresa a la red desde cualquier ubicación cercana a la misma. dejan huecos de seguridad enormes en la red. Problemas concretos de seguridad en Wifi Puntos Ocultos: Este es un problema específico de las redes inalámbricas. Sin embargo.

de forma que puedan ser utilizadas por aquellos que 'pasen por allí'. Warchalking: Se trata de un lenguaje de símbolos utilizado para marcar sobre el terreno la existencia de las redes inalámbricas.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Sirve para recopilar información y se puede combinar con otro tipo de ataques. Hacer uso de la red para navegación (sin pagar por ello). Ataques Pasivos Espionaje: Este tipo de ataque consiste en observar el entorno donde se encuentra instalada la red inalámbrica.com/inoutframe. Sirve para recopilar información y se puede combinar con otro tipo de ataques. o para enviar un virus.html 73 . o para enviar miles de correos (spam) sin que sepan quién es.danielbauer. no se necesita ningún tipo de hardware o software especial.Fuente http://realtimecity. Seguridad Informática     Seguridad Avanzada en redes de datos: 233015 Acceso a los recursos en una red (archivos confidenciales). etc. El lenguaje como tal es realmente simple [11]. Figura 42:Signos para interpretar el Warchalking . no se necesita ningún tipo de hardware o software especial. Para dañar la red y que otros no puedan tener acceso. También consiste en observar el entorno donde se encuentra instalada la red inalámbrica. Tecnología e ingeniería Esp.

Para realizar el Wardriving se necesitan realmente pocos recursos. un dispositivo GPS para ubicar el PA en un mapa y el software apropiado (AirSnort para Linux. mediante un kit básico de war-driver. El Wireless Hacking puede requerir que el war-driver tenga que exponerse 74 . la toma de posesión y el uso del ancho de banda de las WLAN privadas y de los hot spot públicos. Figura 43: Ataques a las redes Wifi desde un auto.Fuente http://www. a esto se le denomina WarDriving . se realiza una análisis de la misma. Tras haber interceptado la señal. Se realiza habitualmente con un dispositivo móvil. como un ordenador portátil o un PDA.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. BSD. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 WarDriving: Es el método más conocido para detectar las redes inalámbricas inseguras.AriTools para BSD o NetStumbler para Windows).com/photos/vickyken/3326195529/ Interceptar una Señal: El atacante intenta identificar el origen y el destino que posee la información. el atacante intentará recopilar información sensible del sistema. programas sniffer descargables de la Red.flickr. El método es realmente simple: el atacante simplemente pasea con el dispositivo móvil y en el momento en que detecta la existencia de la red. Los más habituales son un ordenador portátil con una tarjeta inalámbrica. Tecnología e ingeniería Esp. Es decir.

Wireshark. Sniffing: El sniffing o escucha es un ataque que tiene como fin obtener información. Para el ataque se necesita:     Una tarjeta de red inalámbrica en modo promiscuo o monitor Un programa “Sniffer” Prismdump. SMC y otros). IP’s origen y destino.. D-Link. Técnicas de Intrusión MAC Spoofing (Suplantación de MAC) – Hijacking: Para este caso el intruso imita una dirección MAC de un cliente válido y trata de asociarse al Punto de Acceso. etc. Asociación Maliciosa: En este tipo de ataque el intruso intenta obtener información valiosa de la red. tales como MAC’s. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 peligrosamente. Orinoco (Lucent) y Aironet (Cisco). el atacante intenta romper el cifrado mediante la prueba de todas las combinaciones posibles.AiroPeek.Ethereal. Para obtener la contraseña se realizan principalmente dos tipos de ataques:  Ataque por Fuerza Bruta: En los ataques por fuerza bruta. Esto puede provocar una probable tendencia a una mayor prudencia.Tcpdump. teniendo que acercarse a la red para poder capturar la señal. contraseñas. Descubrimiento de Contraseña: El objetivo de este ataque es descifrar la contraseña que un usuario legítimo utiliza para acceder a la WLAN. haciéndose pasar por un Punto de Acceso válido y asociando clientes inadvertidos. claves WEP. por fuerza bruta (aunque bastante complejo) ó simplemente monitoreando el canal y capturando paquetes. Es un paso previo a ataques activos posteriores como inyección y modificación de mensajes. Existen dos formas de encontrar una dirección MAC. Snniffer Los chipsets más utilizados para sniffing son: Prism2 (Linksys. Se puede conseguir: • Nombres de usuario 75 . Tecnología e ingeniería Esp.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.

Figura 44: Ataque de Rouge Acces http://www.  Ataques por Diccionario: No se intentan todas las combinaciones posibles. etc). se usan palabras probables.ROUGE: Un AP no autorizado es un AP que se conecta sin permiso a la red existente.edu/as/computerscience/research/projects/index.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Vulnera todos los mecanismos basados en el cifrado de información entre extremos (WEP. Colapsar los servicios que puede prestar la red.php Fuente 76 . Dentro de sus Objetivos se encuentra:   Pretender ser alguien que en realidad no se es. Tecnología e ingeniería Esp. Estos dos tipos de ataques son los normalmente usados para descubrir claves de una WLAN que esté usando WEP como protocolo de seguridad. WPA. APs no autorizados. Necesita tener acceso físico a la WLAN. Puede ser uno de los ataques más perjudiciales. como se hace en el ataque por fuerza bruta. Ataques Activos Son ataques que implican la modificación en el flujo de datos o la creación de falsos flujos en la transmisión de datos. las cuales son tomadas de un diccionario de palabras y nombres.wm. Seguridad Informática • • Seguridad Avanzada en redes de datos: 233015 Contraseñas de autenticación del usuario Claves de los algoritmos de cifrado Características: • Consigue el objetivo • Demasiado tiempo gastado • Crece exponencialmente entre más larga es la clave. • Tiempo de ataque se reduce.

el intruso intenta insertarse. en la mitad de una comunicación con el propósito de interceptar los datos de un cliente.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.fluproject. 77 . El atacante suplanta parámetros del usuario invariantes antes. durante y después de la concesión de un privilegio.html MIT ''Man In The Middle'': En este tipo de ataque. De esta forma podría modificar los datos y enviarlos al destino real.Fuente http://www.      Dirección MAC Dirección IP Direcciones de correo electrónico Nombres de dominio Nombres de recursos compartidos Figura 45: Ataque de suplantación. Spoofing . él mismo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Spoofing: En esta técnica el intruso pretende ser la fuente real u original.com/spoofing. Tecnología e ingeniería Esp.

DoS: DoS (Denial of Service. para realizar un ARP Spoofing o también conocido como ARP Poisoning. no se puede controlar quien detecta o percibe la señal. por lo cual. ettercap o nemesis entre otras.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. como pueden ser caín. tanto a los legítimos como a los ilegítimos. el atacante genera gran cantidad de tráfico hacia la red atacada. 78 . A continuación se explican los mecanismos de seguridad más utilizados en redes WiFi.com/man-in-the-middle. en este tipo de ataque el intruso trata de bajar el servicio ofrecido por el Punto de Acceso.fluproject.html Denegación de Servicios DDoS . Se puede realizar de dos formas: Irradiando señales RF en la banda de 2. Denegación del Servicio) Flooding attacks: Se considera netamente vandalismo.Fuente http://www. Este tipo de ataques se realiza en redes switcheadas y no con hubs.4GHz o 5 GHz hacia el Punto de Acceso ó enviando paquetes falsos de terminación de sesión Cliente – Punto de Acceso [12]. Conocido como MITM . provocando que el AP se encuentre en imposibilidad de responder a esta gran cantidad de tráfico en la red y por tanto deniegue el servicio a los usuarios. El atacante usará alguna herramienta. Tecnología e ingeniería Esp. El objetivo es impedir el correcto funcionamiento de la red. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El aspecto crítico en las redes inalámbricas es que su medio de transmisión es el aire. Figura 46: Ataque ARP.

Seguridad Informática Seguridad Avanzada en redes de datos: 233015 El atacante envenenará las tablas ARP de las víctimas.edu.gitsinformatica. Campiño.p df WARDRIVING: ¿EL PRELUDIO A UN ATAQUE INALÁMBRICO? .exa. Daza Link:http://usuarios.ar/depar/areas/informatica/SistemasOperativo s/MONOGRAFIA_DE_SEGURIDAD_EN_%20REDES_WIFI.es/wdcali/archivos/download/Wardriving%20 El%20Preludio%20De%20Un%20Ataque%20Inal%E1mbrico.multimania.Fuente http://www.com/ddos. Figura 47: Ataque DDoS.J. Denegación de servicios Distribuida . La Red Martinez Link:http://exa.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.zero13wireless.unne. Seguridad en redes Wifi . Tecnología e ingeniería Esp.Saulo Barajas Link:http://www.pdf Protocolos de Seguridad en redes Inalámbricas .David L.pdf 79 .net/wireless/seguridad/01_2006_wpa_ES. enviando mensajes ARP ‘engañando’ a los objetivos.html Profundización Lección 14: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. R.

Luego. se pueden adoptar las medidas para que se implanten. por lo tanto. exactamente pasa lo mismo con los puertos. este tipo de seguridad no puede pasarse por alto ya que podrá traer futuros dolores de cabeza. es decir realizar controles periódicos con “Netstumbler”. pero para el “lado bueno”. en las cuales se especifica (a mano) las direcciones MAC de las tarjetas a las que se les permitirá el acceso. Escuchar tráfico e intentar obtener información trivial con “Kismet” o “AirSnort”. Esta actividad se realiza por medio de ACLs (Access List Control) en los AP. Cancelar puertos que no se emplean: Siempre existe una analogía entre puertos abiertos y puertas abiertas en una casa. entre más puertas se deje abiertas. Controle el área de transmisión: muchos puntos de acceso inalámbrico permiten ajustar el poder de la señal. mayor el rango de ataque. mayor el rango de que pueda ingresar un ladrón. pero de forma clandestina. negando el mismo a cualquiera que no figure en ellas. Satisfacer la demanda: Si se están empleando AP no autorizados por parte de los empleados. de otra forma. seguirán apareciendo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 15: Procesos de Seguridad Medidas de Seguridad Wifi Emplear las mismas herramientas que los intrusos: realizar la misma actividad. es porque les resulta útil. asegúrese de cambiar 80 . Limitar el número de direcciones MAC: que pueden acceder.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Tecnología e ingeniería Esp. medir potencias irradiadas con cualquier tarjeta desde los perímetros de la red. Pruebe el poder de la señal para que usted únicamente pueda conectarse a estos sitios. Mejorar la seguridad física: Estas mejoras se enfoca a la seguridad que pueda tener el acceso a grandes servidores o a zonas DMZ. Coloque sus puntos de acceso tan lejos como sea posible de las paredes y ventanas exteriores. a mayor numero de puertos abiertos. pero de forma segura y controlada.

Proteja la WLAN con la tecnología “VPN Ipsec” o tecnología “VPN clientless”: esta es la forma más segura de prestar servicios de autenticación de usuario e integridad y confidencialidad de la información en una WLAN. Adquiera equipamiento que responda a los estándares y certificado por “WiFi Alliance”. por consiguiente. asegúrese de activarlo. Instale firewalls personales y protección antivirus en todos los dispositivos móviles: la Alianza WiFi recomienda utilizar la política de seguridad de redes corporativas para imponer su uso continuo. La tecnología adicional VPN no depende del punto de acceso o de la tarjeta LAN inalámbrica.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. En lo posible. http. Implemente la autenticación de usuario: Mejore los puntos de acceso para usar las implementaciones de las normas WPA y 802. CDP  Habilite SSH y TACACS para la autenticación de Administrador  Virus Scanning + Firewall es recomendado en clientes WLAN  Monitoree las RF y los APs externos (posibles Rogue) 81 . Utilice una contraseña fuerte para proteger todos los puntos de acceso. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 la contraseña predeterminada en todos los puntos de acceso.11i. Listado de recomendaciones básicas en redes Wlan:  Deshabilite Telnet. Active el mayor nivel de seguridad que soporta su hardware: incluso si tiene un equipo de un modelo anterior que soporta únicamente WEP. no se incurren en costos adicionales de hardware puesto que las normas de seguridad inalámbrica continúan evolucionando. utilice por lo menos una WEP con un mínimo de encriptación de 128 bits. Tecnología e ingeniería Esp.

Puede emplearse con PEAP o EAP-TTLS.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Proporciona certificados X.       APs solo soportan WPA => implementación fundamentada en EAP que soporte un tipo de autenticación adecuado. Adicionalmente.11i. es recomendable proteger el modo EAP empleado (LEAP.509 para la autenticación de usuario y de servidor. El 82 . PEAP. Tecnología e ingeniería Esp. EAP-TTLS y PEAP se recomienda configurar los clientes inalámbricos con un certificado de un servidor seguro y evitar que el usuario pueda modificar estos parámetros. Proporciona autenticación OTP mediante servidores RADIUS. Servidor PKI. EAP-TTLS) contra ataques de fuerza bruta. por lo tanto. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Haga escaneos periódicos de los clientes y la red  Cierre la red y oculte el SSID  El SSID puede ser capturado con monitoreo pasivo  MACs pueden ser víctimas de sniffing/spoofing   No use WEP: Puede obtenerse online/offline según la cantidad de tráfico y tiempo empleado Cambie las claves de manera frecuente: El tráfico puede aún ser desencriptado offline  Utilice un portal de autenticación  Red nueva => APs sopotando IEEE 802. Para mayor seguridad EAP debe proporcionar una autenticación mutua. no es aconsejable utilizar MD5. Solo privilegios del administrador. Servidor OTP5. En caso de utilización de EAP-TLS. Necesario en caso de emplearse EAP-TLS. EAP-TTLS y PEAP.

Jorge Luis Link: http://www.ec/handle/123456789/4160 83 .dspace.   Cuando la cuenta de usuario está bloqueada el usuario no puede ser autenticado hasta que no se lleva a cabo una serie de acciones administrativas.ups.edu. Tecnología e ingeniería Esp.pontón portilla diana carolina Link:http://dspace. lo que permite al administrador llevar a cabo un examen de la seguridad.edu. se puede exigir a los usuarios inalámbricos llevar a cabo autenticación tipo OTP.11 .pdf Seguridad en redes inalámbricas 802.pdf Análisis y diseño de lineamientos para generar una propuesta de soluciones de seguridad Mena Ludeña. Para evitar este riesgo.co/biblioteca_digital/bitstream/10906/40 0/1/jamdrid-seguridad_redes_inalambricas.unach.ec/bitstream/123456789/363/1/FI-ESC40A013. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 servidor RADIUS debe bloquear las cuentas de usuario tras una serie de intentos de logueo fallidos.edu. Investigación del servidor radius para la seguridad en redes lan inalámbricas .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Profundización Lección 15: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.Juan Manuel Madrid Molina Link:http://bibliotecadigital.icesi.

siendo aplicada a todo tipo de proceso y logrando una colaboración en el cuidado de la información de empresas y hogares. ya que no se cuenta en ocasiones con los componentes de aprendizaje iniciales. una muy mala práctica de seguridad informática. esto genera un círculo de competencias que se deben aplicar al pro de la seguridad. Los ataques informáticos crecen cada día. Tecnología e ingeniería Esp. sin dejar a un lado que la seguridad no es una profesión.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. esto lleva. una tarea que pone en riesgo toda una organización. con más fuerza. Los procesos de administración de recursos y gestión de la seguridad ha tomado un impacto bastante fuerte en este campo. Las métricas al igual que los aspectos de configuración para brindar un nivel de seguridad adecuado. a estos activos se les llama información. al no tener dichos conocimientos previos pueden generar confusión. Seguridad Informática UNIDAD 2 Nombre de la Unidad Introducción Seguridad Avanzada en redes de datos: 233015 Métricas y aspectos técnicos de seguridad orientada a las redes de datos La seguridad hoy en día. se ha convertido en uno de los componentes más en la gran familia de la tecnología. Justificación Cada proceso va encadenado al conocimiento de conceptualización ya que a cada componente se le llama por su nombre. ya que antes se centraban esfuerzos en los componentes técnicos. lo peor del caso. desorganización. ya que son canales que transportan activos muy importantes y sensibles. es un estilo de vida. pero en estos tiempos con grandes brechas de seguridad sobre él. a que sea una tarea bastante agotadora y. son más difíciles cada día que pasa. 84 . así que no hay nada mejor que tener objetivos claros basados en la teoría de redes. la gestión cubre gran parte de los procesos de seguridad que se deben llevar en plenitud para idealizar realmente lo que es la seguridad informática. Este módulo genera el conocimiento en técnicas y procesos para mitigar los riesgos en una red de datos. Es importante precisar el aprendizaje de técnicas y conceptos que logren administrar niveles de seguridad básica y esencial en el medio tecnológico. Las redes de datos son factor importante. y.

Lo que se busca es brindar elementos conceptuales necesarios frente a la sociedad del conocimiento. Las competencias que desarrollará el estudiante frente al desarrollo de esta unidad son: ° Conceptos básicos y fundamentales en gestión de redes de datos. no solo entre profesores y alumnos. lograr ° Análisis profesionales en cuestionamiento de seguridad en redes de datos. Tecnología e ingeniería Esp. ° Funcionamiento secuencial de ataques informáticos para lograr propuestas que mitiguen el riesgo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 todo ello formará profesionales de alta calidad que puedan tener grandes responsabilidades como el de la seguridad en redes de datos. transmitir conocimientos pocos convencionales para mostrar al mundo que se enfrentan. Todo esto se concreta en los propósitos. Estas competencias lograrán que el profesional en seguridad informática pueda avanzar con el paso de la 85 . de tal forma que no se puede dejar ningún cabo suelto y. como protagonistas de su formación en un ambiente rico en información y de entornos fluidos y mediáticos de comunicación. Intencionalidades Formativas Se indican casos de ataques que son un poco convencionales. objetivos. metas y competencias propuestas en este módulo.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. ° Conceptos avanzados en redes para configuraciones físicas y lógicas de calidad. en busca de desarrollar una mejor adaptación de los nuevos entornos de enseñanza/aprendizaje. al igual que la adopción de un papel más activo de los estudiantes. caseros. pero que a su vez generará una alerta en el profesional de seguridad ya que estas pequeñas cosas pueden conllevar a grandes caos en el mundo tecnológico. sino también con múltiples redes de conocimiento.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. vulnerabilidades y. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 tecnología en la gran línea del tiempo. Tecnología e ingeniería Esp. ISAKMP1 86 . siempre teniendo claro la conceptualización de los temas. Capítulo 4 Lección 16 Lección 17 Lección 18 Lección 19 Lección 20 Capítulo 5 Lección 21 Lección 22 Lección 23 Lección 24 Lección 25 Capítulo 6 Lección 26 Lección 27 Lección 28 Lección 29 Lección 30 Riesgos. amenazas en redes de datos Valoración y análisis de riesgos en redes Diversificación de herramientas de análisis de intrusos Errores constantes de seguridad en las redes Arquitectura de seguridad en redes Políticas y procedimientos Aspectos técnicos orientados a la seguridad en redes de datos Telnet IPV6 y su tipo de direccionamiento Seguridad enfocada a IPV6 Puertos Firma Digital Conceptos avanzados en redes IPSec ‘’Internet Protocol Security’’ NIDS ‘’Network Based Instrusion Detection System’’ Seguridad DNS Socks 5 y SSL TLS.

alcance de mercadeo etc. La necesidad imperante del flujo de información y el traslado de recursos de un sitio a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de comunicación. hardware. 87 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 4: RIESGOS. Sin embargo. Para que una empresa desarrolladora de software funcione correctamente y alcance los objetivos propuestos por la administración son necesarios activos o recursos de diferentes índoles y con diversos fines. La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un período que no ocasiona situaciones críticas para la actividad normal de la empresa. puede haber circunstancias que generen interrupciones prolongadas. etc. Tecnología e ingeniería Esp.) e inmateriales (software. instalaciones. materiales (edificios. que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos . Todos estos recursos se encuentran en un entorno de incertidumbre. Estos recursos pueden ser humanos.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. puede mostrase agresivo y provocar interrupciones inesperadas del funcionamiento normal de la actividad de la empresa. experiencia. AMENAZAS EN REDES DE DATOS Introducción Los sistemas de información y los datos almacenados son uno de los recursos más valiosos con los que puede contar cualquier Empresa u organización. que en ocasiones.). inmuebles. papelería. credibilidad. VULENRABILIDADES Y.

No se confíe de nadie. Es bueno evaluar todos los equipos. es el estudio de las causas de las posibles amenazas y probables eventos no deseados.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. pero siempre tenga en mano un backup de persona. por lo tanto.  Establecer el riesgo técnico en el cual se encuentra la organización. Tecnología e ingeniería Esp. deben ser gestionados por el emprendedor con especial atención. A continuación se desglosa el análisis de la siguiente forma:  Analizar los intereses sobre información de los principales actores de la empresa. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 16: Valoración y análisis de riesgos en redes Valoración del Riesgo El análisis de riesgo. RIESGO = AMENAZAS * VULNERABILIDADES CAPACIDADES Amenazas está dado por los siguientes componentes:  Targeting  Delincuencia Informática  Amenazas indirectas Análisis del riesgo en redes y equipos: La gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. como lo son daños o consecuencias que éstas puedan producir [13]. El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y. 88 . también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis.  Evaluar el impacto de la perdida de información. precio por daño o hacking de equipos o redes.

Amenazas Las amenazas informáticas son los problemas más vulnerables que ingresan a nuestra computadora con el hecho de afectarlo (virus). Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  El súper equipo costoso y súper seguro ''Routers.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.  Amenazas por delincuente común.  Precisión en la información 89 . Capacidades Son los puntos fuertes y los recursos a los que puede acceder a una empres para lograr un nivel razonable de seguridad. Dónde están las mayores vulnerabilidades:     Seguridad física Concienciar a los usuarios acerca de los problemas de seguridad. ya que es más que un mito. firewalls. Switch'' no existen. siempre va a quedar un agujero. amenazas potenciales. estás son algunos tipos de amenazas:  Targeting: Amenazas declaradas. no interesa cuánto se invierte en seguridad. Vulnerabilidad Falencias o brechas representa el grado de exposición a las amenazas en un contexto particular. Seguridad lógica Seguridad en las telecomunicaciones.  El hacker más peligroso es uno mismo junto con la confianza.  Amenazas indirectas: Tener el equipo equivocado en el momento equivocado.

Manual de seguridad para pc y redes locales . la falta de conocimiento del usuario acerca de las funciones del sistema. la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Mantener.p df 90 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. STEPHEN Link:http://dspace. Profundización Lección 16: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. revisar las ACL de los enrutadores).COBB.edu.ucbscz.bo/dspace/bitstream/123456789/905/3/235. cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan). algunas de las cuales pueden ser dañinas para el sistema (por ejemplo. Tienen en común su deseo de buscar los puntos débiles de una red.  Poseer equipo de seguridad a la medida de la empresa y no a la del fabricante ¿Qué puede hacer un hacker en una organización?  Aprovechar la confianza que se tiene sobre la red y los equipos. Tecnología e ingeniería Esp.  Un estado de inseguridad pasivo: Es decir. enviar y recibir información  Poseer información clave en pocas personas. no desactivar los servicios de red que el usuario no necesita. La inseguridad se puede dividir en dos categorías:  Un estado de inseguridad activo: Es decir.

o protegido por un cortafuegos [15]. Este tipo de escaners deberían ser utilizados también por el departamento de desarrollo (programación) de una aplicación web. Escáner base de datos: Permite encontrar puntos débiles en bases de datos. (También se podría incluir a los escaners de redes VoIP). Tecnología e ingeniería Esp. A continuación se nombrarán algunas herramientas utilizadas para el análisis de redes: Escáner de red: Escáner de uso general usado para encontrar vulnerabilidades potenciales en la red de la empresa. También puede llegar a detectar el sistema operativo que está ejecutando la máquina según los puertos que tiene abiertos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 17: Diversificación de herramientas de análisis de intrusos Unas de las prácticas actuales para el análisis de intrusos es el hacking ético. Escáner de Puertos: El término escáner de puertos o escaneo de puertos se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Estos escaners sirven a su vez para auditar redes LAN o WLAN. antes de poner la aplicación a un entorno de producción. pero también es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la máquina o la red.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades de seguridad según los puertos abiertos. Escáner para la seguridad de aplicaciones Web: Permite a los negocios realizar evaluaciones de riesgo para identificar las vulnerabilidades en aplicaciones web y así evitar ataques. facilitando el trabajo de indagar en dichas redes [14]. ayudando así a encontrar todos los bugs que puedan generarse durante la creación de la aplicación. Es quizás una de las herramientas más importantes ya que si en la base de datos se llega a radicar un error o una amenazase verá comprometido el buen nombre y la confianza de la organización 91 . ello se utiliza para detectar las posibles vulnerabilidades o falencias en un sistema informático o red de datos. Es usado por administradores de sistemas para analizar posibles problemas de seguridad. cerrado. protegiendo así el activo más importante de una empresa. Detecta si un puerto está abierto.

92 . La Inyección SQL es uno de los muchos mecanismos de ataque de web utilizados por los piratas informáticos para robar datos de organizaciones. la inyección SQL surge porque los campos disponibles para los datos proporcionados por el usuario permiten a las instrucciones SQL a pasar y consultar la base de datos directamente. En esencia. Cuando se encuentran los puertos abiertos. Las credenciales de usuario. a las cadenas de comunidad SNMP débiles y muchos otros controles de seguridad a nivel de red. Tecnología e ingeniería Esp. financieras y la información de pago. pruebas a servidores proxy mal configurados. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Acunetix web Vulnerability Scanner: identifica primero los servidores web desde una dirección IP particular o intervalo de IP. reúne información sobre cada archivo que encuentra y muestra la estructura de todo el sitio web. Quizá es una de las técnicas de ataque de aplicaciones más comunes usadas hoy en día. Después de eso. Es el tipo de ataque que aprovecha una codificación incorrecta de las aplicaciones web y permiten al pirata informático inyectar comandos SQL en un formulario de inicio de sesión para que pueda acceder a los datos de tu base de datos. Después de esta etapa de descubrimiento. todas pueden residir dentro de una base de datos y ser accedida por los usuarios legítimos a través de aplicaciones web estándar y personalizados. como pruebas de recursividad a las DNS abiertas. estadísticas de la compañía. Las bases de datos son fundamentales para los sitios web modernos – almacenan datos necesarios para que los sitios web ofrezcan un contenido específico a los visitantes y procesa información a los clientes. Las aplicaciones web permiten a los visitantes del sitio web legítimo presentar y recuperar datos desde una base de datos por Internet usando su navegador preferido.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. rastrea todo el sitio. realiza una auditoría automática para los problemas de seguridad comunes. empleados y un host para las partes interesadas. Acunetix WVS llevará a cabo complejas comprobaciones de seguridad a nivel de red contra el servicio de red que se ejecuta en ese puerto. El Escáner de puerto y las alertas de red permiten realizar un escaneo del puerto contra el servidor web donde se ejecuta el sitio web escaneado. Acunetix Web Vulnerability Scanner es un software que detecta automáticamente la inserción de archivos. proveedores.

ofrecen la forma moderna a los sitios web y proporcionan a las empresas los medios necesarios para comunicarse con los clientes y los posibles consumidores. formas de comentarios. Si no se limpian correctamente. Tales características como páginas de inicio de sesión. compras de carros y entrega general de contenido dinámico. las aplicaciones web pueden provocar ataques de inyección SQL que permiten a los piratas informáticos ver la información de la base de datos o incluso erradicarla. Estas características del sitio web son todas susceptibles a los ataques de inyección SQL que surgen porque los campos disponibles para los datos proporcionados por el usuario permiten pasar directamente instrucciones SQL y consultar la base de datos. soportes y formularios de solicitud de los productos. mientras que genera menos falsos positivos.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Además indica exactamente donde está la vulnerabilidad de tu código. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Las aplicaciones web y bases de datos permiten ejecutar regularmente tu negocio. La tecnología de AcuSensor de Acunetix es una nueva tecnología de seguridad que te permite identificar vulnerabilidades más que un escáner de aplicación Web tradicional. Estas características del sitio web son ejemplos de aplicaciones web que pueden ser comprados diseñados para estas aplicaciones o desarrollados como programas especiales. páginas de búsqueda. 93 . La mayor precisión se consigue mediante la combinación de la técnica de escaneo de caja negra con una exploración del código dinámico mientras el código fuente está siendo ejecutado. Tecnología e ingeniería Esp. La inyección SQL es la técnica de pirateo que intenta pasar comandos SQL (instrucciones) a través de una aplicación web para la ejecución de la base de datos por back-end.

S. En su lugar. GFI LANguard N.com/vb/t33322/ GFI LanGuard Nwtwork Security Scanner: GFI LANguard Network Security Scanner (GFI LANguardN.Fuente http://ktaby.S.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.S. Además puede realizar la administración de actualización es de seguridad. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 48: Interfaz de acunetix web. Además proporciona hipervínculos a sitios de seguridad para averiguar más sobre estas vulnerabilidades. 94 . Tecnología e ingeniería Esp. ayudará a resaltar la información más importante. Al contrario que otros escáneres de seguridad.S.S. GFI LANguard N. no creará un ‘bombardeo’ de información. crea informes que pueden ser utilizados para resolver problemas de seguridad de la red.S.) es una herramienta que permite a los administradores de red realizar rápida y fácilmente una auditoría de segurida de red. que es virtualmente imposible de seguir.

líder en Supervisión de seguridad unificada. que puertos tiene abierto. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Utilizando análisis inteligente. Tecnología e ingeniería Esp. más otros muchos potenciales problemas de seguridad. FIN. es el proveedor del analizador de vulnerabilidades Nessus. grupos. Nmap: Es una de las herramientas consideradas como una de las más importantes cuando se habla de seguridad. filtración de datos. dispositivos inalámbricos y otras informaciones sobre un Dominio Windows.S. Retina Network Security Scanner: Retina identifica conocidas vulnerabilidades de día cero y dispone además de la evaluación de riesgos de seguridad. puntos débiles de configuración. uso se paquetes Null. Esto significa que se mandan cierto tipo de paquetes a cada puerto y estos responderán con alguna señal que permitirá a scanner encontrar versiones y servicios. Xmas y ACK. Tenable Nessus 5. GFI LANguard N. sus sistema operativo. recoge información sobre los equipos como nombres de usuario. administración de registros y detección de compromisos para ayudar a garantizar la seguridad de redes y la compatibilidad con FDCC. dispositivos USB. Los galardonados productos de Tenable son utilizados por muchas organizaciones de la lista Forbes Global 2000 y organismos gubernamentales con el fin de minimizar de forma proactiva el riesgo de las redes. aplicación de políticas y auditorías reglamentarias. Soporta escaneos sobre ciertos puertos específicos. y ha creado soluciones de clase empresarial sin agente para la supervisión continua de vulnerabilidades. además SYN que es el paquete por defecto.S. SANS CAG y PCI. GFI LANguard N.S. Además de esto. exploits en Servidores Microsoft IIS y Apache Web o problemas en la configuración del a política de seguridad Windows.S. FISMA. lo que permite mejores prácticas de seguridad. Es capaz se utilizar diferentes técnicas de evasión de detección como escaneo stealth. Detecta Host. entre otros. también identifica vulnerabilidades específicas como problemas de configuración de servidores FTP. Nmap es una utilidad que nos sirve para explorar y auditar la seguridad de una red de comunicación o un dominio. Firewalls. Es una Excelente herramienta para realizar auditoria de redes y se usa para llevar a cabo escaneo rápidos en una gran cantidad de redes pero se pueden utilizar en host individuales. 95 . recursos compartidos.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.0: Tenable Network Security. entre rangos IP específicos. servicios y aplicaciones que corren.

y la evaluación de la vulnerabilidad.  Lección 17: Diversificación de herramientas de análisis de intrusos Profundización Lección 17: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.  Red de evaluación de la vulnerabilidad: Identificar las vulnerabilidades de seguridad de red. niveles de la política de configuraciones. parches.0_user_guide_ESN.pdf 96 . de gestión de parches.gfihispana. Inc Link:http://static.com/lannetscan/lanscan6manual_es.tenable. Link: http://www.  Red descubrimiento y la evaluación de políticas: Retina descubre todos los dispositivos.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. además de amenazas de día cero.wordpress. pdf GFI LANguard Network Security Scanner 6 . la falta de actualizaciones de la aplicación. y la gestión de vulnerabilidades.GFI Software Ltd. aplicaciones.Eeye Link:http://bitsnocturnos. Permite prioridad a la gestión de la política.  Rápida y precisa exploraciones: Exactitud escanear un Clase C de los dispositivos de red.Tenable Network Security. Retina Network Securitt . Tecnología e ingeniería Esp.com/2010/01/15/escaner-devulnerabilidad-retina-network-security-scanner/ Tenable Network Security . sistemas operativos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Características:  Escáner de seguridad de red: Retina permite priorizado la gestión de la política. sistemas operativos y aplicaciones en ~ 15 minutos.com/documentation/nessus_5. de gestión de parches.

Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 18: Errores constantes de seguridad en las redes En la administración de redes de datos siempre existirá el factor error. asignación de direcciones. SA. administrador. Manejo equivocado de autenticaciones: Este factor es recurrente en base a los administradores de sistemas de autenticación. grave error Tener cuidado al asignar permisos de Super root. servidores DHCP. switch. Se puede dar un doble direccionamiento a estos equipos y puede generar errores de seguridad. y de allí se puede desencadenar un sin número de ataques y vulnerabilidades al sistema.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. router.  Firewalls mal administrados y no conocer sus alcances  No conocer los Servidores críticos e importantes y desconocer por total los tipos de sistemas operativos que se tienen instalados. algunos ejemplos: 97 . Tecnología e ingeniería Esp. A continuación se nombraran los errores más recurrentes y frecuentes que se pueden cometer dentro de una organización. etc.  Direccionamiento WAN-LAN (IPV4 ó IPV6). es un factor principal en cuanto a errores. los errores son: No conocer la red (Lan-wan): No conocer la infraestructura tecnológica que se tiene a cargo podría llevar a ignorar grandes falencias que se pueden tener y que se pueden mejorar aplicando un determinado número de pasos para aplicar métricas de seguridad.  No conocer la topología de la red. Contraseñas deben ser alfa numéricas Proxy mal Configurado: Al configurar de forma errónea un proxy se pueden presentar diversos problemas que limitan el buen funcionamiento de una red. (Se le otorgan privilegios de alto rango por error a un trabajador X)      Mala administración en la renovación de claves Tipos y niveles de autenticación mal asignados Tener una sola contraseña para acceder a todas las cuentas. mascara de red. ya que una asignación equivoca de privilegios en la autenticación puede llevar a la fuga de información reservada y clasificada en cualquier organización.

de allí depende su ubicación y correcto funcionamiento. Firewall mal configurado: Un Firewall mal configurado es como tener un celador bastante armado pero dormido en su labor. y saber si es configuración de fábrica para proceder a reconfigurar ya que se puede prestar para un ataque utilizando los valores de default. Tecnología e ingeniería Esp. algunos factores a tener en cuenta son:  Se debe definir si es un Firewall interno o externo. y más si se trata de controlar el tráfico que entra y sale de la organización. Hardening o Hardened de Servidores: Los servidores hacen parte importante de una organización de tal forma que se hace necesario su constante revisión y configuración en cuanto términos de seguridad se trata. De allí se deriva un factor importante a la hora de configurar parámetros de seguridad.  Autenticaciones por Samba o Netlog  Asignar responsables a cada equipo o servidor incorporado en la red.  Conocer la configuración del Firewall.  Configurarlo abierto o cerrado.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. pero que permita trabajar normalmente a la organización.  Constantemente es bueno definir nuevos firewall para estar a la vanguardia y al nivel de los nuevos delincuentes informáticos y amenazas en la red. 98 .  Es importante no tener firewall desactualizado ya que es probable utilizar tecnología de última generación para penetrar cualquier sistema de seguridad configurado en él. A continuación factores que hay que tener en cuenta:  Es saludable tener inventario hardware y software de cada servidor. Seguridad Informática     Seguridad Avanzada en redes de datos: 233015 Problemas con las listas ACL Autenticación Limitación en el ancho de banda Logs.

(Protocolos.  Toda subcontratación debe realizarse con auditoria. de esta forma se podrá tener control de los eventos inesperados.  Lo que no se usa se Borra. aplicaciones. es susceptible de ser capturado. el tener múltiples puertos abiertos logra un rango mayor en cualquier tipo de ataque informático. es preciso recordar que la instalación de una aplicación software conlleva a la apertura colateral de algún puerto. Servicios Inoperantes: Un problema que se puede generar en las redes es dejar activos servicios. Switchs o hub sin administración: Estás configuraciones infunden en el buen desempeño de una red de datos. o desactívelo. aún no se dan cuenta que existen los manuales en internet sobre los dispositivos adquiridos en la organización y que allí se ubican los default passowrd. al igual es importante ya que de allí se debe evitar la intercepción de información. configuraciones 99 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. esto ayudará al control de propagación de malware en una organización. y como se mencionaba en capítulos anteriores. control de cambios y bitácora. puertos.  SNMP ‘’Simple Network Management Protocol’’: El protocolo funciona en texto claro. etc. solo personal autorizado podrá ejecutar estas labores. programas que no se utilicen. las cosas que se deben tener en cuenta para no caer en errores [16]:  Usuarios y claves por defecto. ya que el software pirata contrae una cantidad abundante de malware. solo personal altamente calificado y confiable debería ejecutar estas configuraciones. servicios.)  Lo que no sea adquirido de forma legal no se usa. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Tener registros de eventos Log  Llevar a cabo una bitácora donde se podrá plasmar cada suceso y se asignará un responsable de inmediato. Tecnología e ingeniería Esp. por lo que. es uno de los principales problemas y errores a nivel administrativo de redes.  No se debe permitir instalar nada en los equipos o servidores que pertenecen a la red.

SNMP. Tecnología e ingeniería Esp.FTP Telefonía IP: Es importante tener controles específicos en la telefonía IP. ya que es información la que se filtra por estos medios. como puertos TCP/UDP. aquí algunos aspectos importantes:  Manejo de claves para cada usuario.  Vlans bien definidas y gestionadas.  Si el usuario no tiene memoria. ¿qué eventos se deben analizar?. para ello se debe saber ¿dónde aplicarlo? Y a qué procesos.  Los más peligrosos incorporan a las funcionalidades de un switch de capa 3 la habilidad de implementar las políticas y filtros a partir de información de capa 4 o superior. pero debería aplicarse a un proceso de 6 meses.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Estas son algunas recomendaciones:  Centralizado y descentralizado  SYSlog es el protocolo utilizado para transportar los eventos generados por los dispositivos a los servidores de bitácoras. no es apto para cambiar radicalmente contraseñas. haciendo uso del puerto 514 UDP. Dentro de los logs. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 filtran IP desde la cual se puede hacer consultas SNMP como medida de seguridad. Log: El log forma parte importante de un control en cualquier evento ocasionado en la red o en un sistema informático. lo más correcto sería los siguientes elementos: 100 .  Toda telefonía IP debe estar acompañada de auditoria  Separar siempre con Vlan o Switch datos y voz. es importante tener dos segmentos de red diferentes para este proceso.

wordpress.com/2010/01/15/escaner-devulnerabilidad-retina-network-security-scanner/ Simulación de un sistema de protección y seguridad de servidores web y de correo electrónico basado en sistema operativo Linux –Diego Ramos Link: http://eelalnx01. Tecnología e ingeniería Esp. IDS Radius Profundización Lección 18: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. switches Firewalls.pdf 101 . Seguridad Informática      Seguridad Avanzada en redes de datos: 233015 Ssitema Correo web Ruteadores.edu.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.epn. Seguridad Informática – Fabian Portantier Link:http://bitsnocturnos.ec/bitstream/15000/1523/1/CD-2231.

se identifican ocho conjuntos de medidas contra las principales amenazas. las aplicaciones y la información de usuario. Tecnología e ingeniería Esp. los servicios y las aplicaciones de red.805. óptica o de cable. y es válida para redes de voz.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Esta arquitectura de seguridad integra las consideraciones de gestión. La arquitectura de seguridad integra tres consideraciones esenciales. las empresas y los consumidores. en distintos componentes de arquitectura. Esta segmentación permite considerar la seguridad de extremo a extremo de forma sistemática. de datos y convergentes de tecnología inalámbrica. Las dimensiones de seguridad incluyen a la red. y contra qué amenazas? ¿Cuáles son los diferentes conjuntos de equipos e instalaciones de red que es necesario proteger? ¿Cuáles son las diferentes actividades de red que es necesario proteger? Para responder a estas preguntas hay que considerar tres componentes de la arquitectura:  Dimensiones de Seguridad  Capas de Seguridad  Planos de Seguridad Una dimensión de seguridad es un conjunto de medidas de seguridad que responden a un determinado aspecto de la seguridad de red. la arquitectura de seguridad responde a las exigencias generales de seguridad de los proveedores de servicio. control y utilización de la infraestructura. En la recomendación ITU X. para la seguridad extremo a extremo:    ¿Qué tipo de protección se necesita. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 19: Arquitectura de Seguridad en redes De acuerdo al estándar ITU X. lo que permite planificar nuevas soluciones de seguridad y evaluar la seguridad de las redes actuales.805. Se aplican a los proveedores de servicio y las empresas 102 . La arquitectura de seguridad divide lógicamente a una serie compleja de características de seguridad de red extremo a extremo.

las capas de seguridad. etc. software antivirus. Autenticación Garantía de la procedencia de la información. AES. firewall. DES. Confidencialidad de los Datos Garantía de que la información solo es accesible por las entidades. IPsec. Frame Relay. las cuales se complementan mutuamente para conformar soluciones de red. Las dimensiones de seguridad son las descritas en la tabla 1. se mantengan disponibles para los usuarios legítimos. Garantía de que los elementos de red. listas de acceso. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 que ofrecen servicios de seguridad a sus clientes. RSA. No-Repudio Garantía de que no se pueda negar cualquier tipo de actividad en la red. etc. DES. etc. IPS. Password compartido. Comunicación segura Integridad de los Datos Disponibilidad Privacidad Ejemplo Password. etc. AES. sistemas o personas autorizadas. etc. Garantía de que la información que fluye en la red se mantenga privada. MD5. firmas digitales. sistemas de registros de eventos. es necesario aplicar las dimensiones de seguridad antes descritas a una jerarquía de equipos de red y dispositivos. servicios y aplicaciones. firmas digitales. Bitácoras. certificados digitales. Las capas de seguridad son las descritas en la tabla 2. etc. etc. firmas digitales. NAT. es decir. etc. La arquitectura de seguridad tiene en cuenta que las vulnerabilidades de seguridad de cada capa son diferentes. Tecnología e ingeniería Esp. redundancia en la red. servicios y aplicaciones. desde su transmisión hasta su recepción. RSA. Dimensión de Descripción Seguridad Control de Acceso Límites y control en al acceso a los elementos de red.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Garantía de que la información no ha sido modificada o corrompida de manera alguna. En la recomendación ITU X. Capas de seguridad: Para realizar una solución de seguridad extremo a extremo. IDS.805 se definen tres capas de seguridad. 103 . MPLS. y ofrece la flexibilidad necesaria para reaccionar a las posibles amenazas de la forma más apropiada para una determinada capa de seguridad. Dimensiones de la seguridad. Garantía de que la información fluye desde la fuente al destino. Tabla 4.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Capa
Descripción
Seguridad de
La capa de seguridad de
infraestructura infraestructura, comprende los
dispositivos de transmisión y los
elementos de red. Esta capa
constituye la base fundamental
de las redes, sus servicios y
aplicaciones.
Seguridad de
La capa de seguridad de
Servicios
servicios, tiene que ver con la
seguridad de los servicios que
los proveedores prestan a sus
clientes.

Seguridad de
Aplicaciones

Seguridad Avanzada en redes de datos: 233015

Ejemplo
Enrutadores, centros de
conmutación, servidores,
enlaces de comunicación, etc.

Servicios básicos de transporte
y conectividad, plataformas
auxiliares para el acceso a
Internet (servicios AAA, DHCP
DNS, etc.), o servicios de valor
añadido como QoS, mensajería
instantánea, etc.
La capa de seguridad
Aplicaciones básicas como FTP
aplicaciones tiene que ver con la o HTTP, aplicaciones como
seguridad de las aplicaciones de mensajería en red y correo
la red a las que acceden los
electrónico y aplicaciones más
clientes de proveedores de
elaboradas, como comercio
servicios. Son aplicaciones
electrónico o móvil,
soportadas por servicios de red. colaboración en vídeo, etc.

Tabla 5. Descripción general de las capas de seguridad.

Planos de Seguridad: Un plano de seguridad es una determinada actividad de
red protegida por las dimensiones de seguridad. En la recomendación ITU X.805
se definen tres planos de seguridad, los que representan los tres tipos de
actividades a proteger que se realizan en la red. Cada plano se describe en la
tabla 3.
Capa
Gestión

Control

Descripción
Este plano tiene que ver con la protección de las funciones de
operación, administración, mantenimiento y configuración de los
elementos de red, dispositivos de transmisión, sistemas administrativos
y centros de datos.
El tráfico para estas actividades puede transportarse en la red dentro o
fuera de la banda, con respecto al tráfico de usuario del proveedor de
servicio.
Este plano tiene que ver con la protección de las actividades que
permiten una distribución eficiente de información, servicios y
aplicaciones en la red. Generalmente consiste en la comunicación que
permite determinar la mejor forma de enrutar o conmutar el tráfico en la
red de transporte.
Se habla de información de control o información de señalización. Estos
mensajes se pueden transportar en la red dentro o fuera de la banda,
con respecto al tráfico de usuario del proveedor de servicio. Los

104

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática
Capa

Usuario
de
Extremo

Seguridad Avanzada en redes de datos: 233015

Descripción
protocolos de enrutamiento, DNS, SIP, SS7, Megaco/H.248, etc., son
ejemplos de este tráfico.
Este plano tiene que ver con la seguridad cuando los clientes acceden y
utilizan la red del proveedor de servicio.
En este plano también se incluyen flujos de datos efectivos del usuario
de extremo. El usuario de extremo puede utilizar una red que sólo
proporciona conectividad, puede utilizar redes para servicios de valor
añadido como las RPV, o redes para acceder a aplicaciones de red.

Tabla 6. Planos de la seguridad.
Es importante que el sistema de red pueda separar totalmente los eventos de dos
planos de seguridad. Por ejemplo, una gran cantidad de consultas de DNS en el
plano de usuario de extremo, iniciadas por peticiones de usuarios, no debería
bloquear la interfaz de operación, administración, mantenimiento o configuración
del plano de gestión, para que el gestor pueda resolver el problema.
En la Figura 48 se representa la arquitectura de seguridad con sus planos de
seguridad.

Figura 49: Planos de seguridad- Fuente http://www.subinet.es/guias-ytips/guias-y-tips-seguridad/los-5-principios-fundamentales-de-la-seguridadinformatica/
Cada actividad de red tiene necesidades de seguridad particulares. El concepto de
planos de seguridad permite distinguir los riesgos de seguridad de cada actividad
y tratarlos separadamente.
105

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

Considérese el caso de un servicio de VoIP, incluido en la capa de seguridad
servicios. La gestión del servicio VoIP (por ejemplo la configuración de usuarios)
tiene que ser independiente del control del servicio (por ejemplo, protocolos como
SIP) y también de la seguridad de los datos del usuario de extremo transportados
por el servicio (por ejemplo, voz de usuario).
Amenazas contra la Seguridad
La arquitectura de seguridad establece un plan y un conjunto de principios que
constituyen una estructura de seguridad para la solución de seguridad extremo a
extremo.
La arquitectura identifica elementos de seguridad a considerar para evitar
amenazas intencionales y accidentales.
Las amenazas contra un sistema de comunicación de datos, de acuerdo a la
recomendación ITU X.800, son las siguientes:
 Destrucción de información y/o de otros recursos
 Corrupción o modificación de información

 Robo, supresión o pérdida de información y/o de otros recursos
 Revelación de información
 Interrupción de servicios

A su vez las amenazas pueden clasificarse en:
 Amenazas Accidentales. Las amenazas accidentales son las que existen
sin que haya premeditación. Ej. Fallos del sistema, equivocaciones en la
operación y errores en los programas.

 Amenazas Intencionales. Las amenazas intencionales pueden ir desde el
examen ocasional, mediante el empleo de instrumentos de monitorización
de fácil adquisición, hasta ataques sofisticados, gracias a un conocimiento
especial del sistema. Una amenaza intencional que se concretiza puede
considerarse como un ataque.
 Amenazas Pasivas. Las amenazas pasivas son las que no producirían
ninguna modificación de la información contenida en el(los) sistema(s) y
que tampoco modifican el funcionamiento ni el estado del sistema. La
interceptación pasiva para observar la información transmitida por una línea
de comunicaciones es un ejemplo.

106

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Versus entre seguridad . En la tabla 3 se indican las dimensiones de seguridad para las distintas amenazas. Las amenazas activas contra un sistema conllevan la alteración de información contenida en el sistema. Dimensiones de seguridad Vs Amenazas: La intersección de cada capa de seguridad y cada plano de seguridad determina una perspectiva en la que se aplican dimensiones de seguridad para contrarrestar amenazas. o las modificaciones del estado o de la operación del sistema. 107 . Destrucción Corrupción Supresión Dimensiones de la o o Pérdida Revelación Interrupción de seguridad Información Modificación de la de la de los y Otros de la Información Información Servicios Recursos Información y de Otros Recursos Control de Y Y Y Y Acceso Autentificación Y Y No Repudio Y Y Y Y Confidencialidad Y Y de los Datos Seguridad de la Y Y Comunicación Seguridad de la Y Y Información Integridad de los Y Y Datos Disponibilidad Y Y Privacidad Y Tabla 7. Tecnología e ingeniería Esp. siendo esta relación válida para todas las perspectivas de seguridad. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Amenazas Activas. Amenazas Contra la Seguridad Robo. La modificación maliciosa de las tablas de enrutamiento por un usuario no autorizado es un ejemplo de amenaza activa. amenazas .

es/images/descarga_promo_SEGURIDAD%20E N%20INTERNET.%20Nowtilus.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.pdf 108 .google. Seguridad en la informática de empresas – Jean-Marc Royer Link: http://books.es/books?hl=es&lr=lang_es&id=K8XdRni4t94C&oi=fnd& pg=PA9&dq=capas+de+seguridad+inform%C3%A1tica&ots=Pg7AnCVWgy &sig=s1kko5-Ng88WEqwRnoGfB7dfyU#v=onepage&q=capas%20de%20seguridad%20inform%C3%A1tica&f= false Seguridad en Internet – Gonzalo Asensio Link: http://seguridadeninternet. Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Profundización Lección 19: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.

Las políticas deben seguir un proceso de actualización periódica sujeta a los cambios relevantes de la empresa como crecimiento y rotación del personal. Determinación de los riesgos: Se refiere a la detección de cualquier amenaza interna o externa como negación del servicio. Determinación de políticas de seguridad: Se contemplan los siguientes pasos para la determinación de las políticas de seguridad:     Preparación: Contempla la recopilación del material relacionado con cuestiones de seguridad en la organización y define los recursos que se van a proteger Determinación de privilegios: Se refiere al establecimiento de los privilegios relacionados con los accesos que pueden afectar la seguridad como el acceso externo a la Intranet de la empresa. determinación de accesos no autorizados y restricciones de acceso a información importante. la autorización de acceso remoto a usuarios.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 20: Políticas y procedimientos Son los lineamientos que las empresas deben seguir para asegurar la confiabilidad de sus sistemas. implantación de nuevos servicios.  Establecen la forma de uso y limitaciones de los recursos y servicios de información críticos de la empresa.  Establecen las medidas y acciones que se deben llevar a cabo en caso de que se presente alguna contingencia relacionada con los mismos. cambio en la infraestructura tecnológica. etc. ya que:  Comprenden una descripción de los recursos de la empresa que se van a proteger y justifican el por qué de ello. robo y divulgación de la información. 109 . daño. acceso no autorizado. Administración de los privilegios: Consiste en asignar a los privilegios diferentes niveles de acceso. Tecnología e ingeniería Esp.

Tecnología e ingeniería Esp. 110 . Revisión y actualización: Retroalimentación del proceso para mantener vigente el programa de seguridad. Evaluación de políticas de seguridad: La evaluación de las políticas comprende el estudio de los siguientes elementos que las conforman: Factores: Los que intervienen en la ejecución de las políticas de seguridad. es el punto más vulnerable en toda la cadena  Mecanismos necesarios para llevar a cabo los procesos (técnicos.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Auditoria: Asegura el cumplimiento de los procesos implementados.  Definición de las violaciones y las consecuencias por incumplir la política.  Requerimientos mínimos de seguridad de los sistemas. Controles y vigilancia: Aseguran el cumplimiento del programa de seguridad. sistemas y personal.  Responsabilidades de los usuarios con respecto a la información a la que tienen acceso. que son en su mayoría:  Humano. Pruebas del sistema: Simula eventos que atenten contra la seguridad del sistema. físicos o lógicos)  Medio ambiente en que se desempeña la política  Consecuencias de las fallas de Seguridad  Amenazas del sistema Plan de acción: Cómo se llevará a cabo el Programa de Seguridad. incluyendo facilidades. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los principales elementos que deben ser contemplados en las políticas de seguridad son:  El alcance.  Objetivos y descripción clara de los elementos involucrados.  Responsabilidades por cada uno de los servicios y recursos a todos los niveles de la organización.

el formato al que deberán apegarse. Figura 50: Evaluación de una política de seguridad.  De control de acceso: Especifican cómo deben acceder los usuarios al sistema. así como lo que está permitido y lo que está prohibido dentro del mismo. De uso: Especifican a los usuarios lo que se considera uso adecuado o inadecuado del sistema. desde donde y de qué manera deben autentificarse. etc.Fuente http://qanewsblog. Tecnología e ingeniería Esp.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 En la figura 49 se muestra el proceso completo para la evaluación de una política de seguridad.com/2013/04/16/evaluacion-de-la-seguridad-delos-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/ Ejemplos de tipos de políticas de seguridad en redes: Algunos ejemplos de políticas frecuentes en las empresas son:  De contraseñas: Especifican indicaciones relacionadas con las contraseñas como los responsables de asignarlas. 111 . la longitud deben tener.wordpress.

como deberá ser restaurada la información.php/revista-universidadeafit/article/view/1124 112 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015  De respaldos: Especifican que información debe respaldarse. derechos y obligaciones a nivel usuario.co/index. Procedimientos: Son el medio para llevar a cabo las políticas y comprenden las actividades que deben seguirse para la realización de algunas tareas concretas como:  Otorgamiento de cuentas  Alta de usuarios  Conexión y localización de computadoras en red  Actualización e instalación de software y sistemas operativos  Restauración y respaldos de información Profundización Lección 20: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.edu.  De correo electrónico: Especifica el uso adecuado e inadecuado del servicio de correo electrónico. Tecnología e ingeniería Esp. políticas y herramientas de seguridad en redes – Edwin Montoya Link: http://publicaciones. así como medios vigilancia. etc. con que periodicidad. monitoreo. que medios deberán utilizarse.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.  De control de acceso físico: Especifica las restricciones para el acceso a los dispositivos e instalaciones de la empresa. Riesgos.eafit. etc. donde deberán almacenarse los respaldos.

todo es un procesos de encadenar conocimientos. Se abarcan temáticas enfocada a puertos ya que es el mejor complemento en aspectos de seguridad. no desconocer el origen de las tecnologías. Tecnología e ingeniería Esp. Cada paso que se determine en procesos de seguridad van ligados a los aspectos teóricos. ello es lo más importante.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. 113 . se ejecutarán los procesos muchos más rápidos y sin tanto preámbulo a indagar sobre lo que se esté trabajando. que se adquieren con el pasar del tiempo y. y ese proceso es el que se está llevando con gran éxito en este módulo de seguridad en redes avanzadas de datos. pero desconocen las raíces de la seguridad. de tal forma que no hay que caer en la ambigüedad del conocimiento. La seguridad informática más que un término es un estilo de vida para cada profesional que la lleva a cabo. y al ser conocedores de dichos términos. En la actualidad se pueden encontrar profesionales del campo desconocer conceptos básicos pero por el contrario con conocimientos en altas tecnologías. y más si se habla de seguridad informática. En este capítulo se mencionarán términos indispensables y muy comunes en el campo de la seguridad informática. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 5: ASPECTOS TÉCNICOS ORIENTADOS A LA SEGURIDAD EN REDES DE DATOS. En ocasiones al desconocer términos teóricos sobre seguridad se arriesga a desconocer ataques de última generación. la persona interesada está actualizada en su medio tecnológico. estas condiciones desarrollan los profesionales de alto nivel en este campo. solo si. Introducción Lo procesos de seguridad conllevan a un sin número de términos y conocimientos previos.

com/ un protocolo Telnet - Fuente 114 .es" o de dirección IP "194. de hecho la mayoría de los servicios posteriores. ejecutas programas en ella. FTP. muchos surfeadores del Internet.150" y pueden ir acompañadas de un número al final (el número del puerto) si no se nos proporciona el puerto se asume que el utilizado es el correspondiente al protocolo telnet por defecto. Una dirección típica sería: "maquina.blogspot. están perdiendo algo bueno" Las direcciones TELNET suelen tener el formato del nombre de dominio "maquina. se basan en telnet (pe.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Haciendo telnet a una máquina. HTTP). Tecnología e ingeniería Esp. los ciudadanos sabios del Internet estaban utilizando una herramienta basada en texto llamada Telnet para hacer conexión con las maravillas del mundo en-línea. Bob Ranking dice textualmente: "Mucho antes de que la Telaraña y todo el resplandor de sus multimedios fueron una indicación visual siquiera en el radar del Internet. Pero hoy. quienes no han escuchado hablar del telnet.remota.2.remota. recibiendo tu la entrada/salida de los datos [17]. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 21: Telnet TELNET es el protocolo de "conexión" a otro ordenador. el 23.es 2010" Figura 51: Función principal de http://ibstareasbasicas.106.

Las especificaciones Telnet no mencionan la autenticación porque Telnet se encuentra totalmente separado de las aplicaciones que lo utilizan (el protocolo FTP define una secuencia de autenticación sobre Telnet). Más sobre Telnet El protocolo Telnet se aplica en una conexión TCP para enviar datos en formato ASCII codificados en 8 bits. Cuando se utiliza el protocolo Telnet para conectar un host remoto a un equipo que funciona como servidor. SMTP. Éste es un protocolo base. POP3. También podemos consultar grandes bases de datos e incluso acceder a servicios GHOPER o WWW. El protocolo Telnet se basa en tres conceptos básicos:    el paradigma Terminal virtual de red (NVT). ya que los datos que transmite circulan en la red como texto sin codificar (de manera no cifrada). entre los cuales se encuentran secuencias de verificación Telnet. etc. al que se le aplican otros protocolos del conjunto TCP/IP (FTP. Cuando se transmite el byte 255. el principio de opciones negociadas. Por lo tanto. muy útil si no tenemos acceso a estos servicios por la vía normal. a este protocolo se le asigna el puerto 23. haciendo telnet a la máquina y puerto correspondientes según cada caso. Por ejemplo si queremos utilizar el servicio POP de nuestro ISP para ver el correo que tenemos. el protocolo Telnet no es un protocolo de transferencia de datos seguro. haremos telnet a la maquina POP por el puerto de este protocolo.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Tecnología e ingeniería Esp. Además. esto significa que de manera predeterminada los datos se envían línea por línea). brinda un sistema de comunicación orientado bidireccional (semidúplex) codificado en 8 bits y fácil de implementar. si ninguna opción especifica lo contrario— en un búfer antes de enviarse. las reglas de negociación. el 110. Específicamente. La transmisión de datos a través de Telnet consiste sólo en transmitir bytes en el flujo TCP (el protocolo Telnet especifica que los datos deben agruparse de manera predeterminada — esto es. las especificaciones del protocolo Telnet son básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 ¿Qué se puede hacer con el protocolo Telnet? Por telnet se pueden utilizar TODO tipo de servicios. Excepto por las opciones asociadas y las reglas de negociación. el byte siguiente debe 115 .).

mientras que las distintas opciones están descriptas en la RFC 855 hasta la RFC 861. cinco caracteres de control opcionales. Tabla 8. un juego de señales de control básicas. RFC Relacionado con Telnet . La noción de terminal virtual Cuando surgió Internet. 116 . Por lo tanto. juegos de caracteres. se decidió desarrollar una interfaz estándar denominada NVT (Terminal virtual de red). la red (ARPANET) estaba compuesta de equipos cuyas configuraciones eran muy poco homogéneas (teclados. Por lo tanto. Tecnología e ingeniería Esp. en lugar de crear adaptadores para cada tipo de terminal. Además. el byte 255 se denomina IAC (Interpretar como comando). tres caracteres de control. resoluciones. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 interpretarse como un comando. para que pudiera haber interoperabilidad entre estos sistemas. se proporcionó una base de comunicación estándar. las sesiones de los terminales también tenían su propia manera de controlar el flujo de datos entrante/saliente. a los cuales se les agrega el código ASCII extendido. Las especificaciones básicas del protocolo Telnet se encuentran disponibles en la RFC (petición de comentarios) 854. longitud de las líneas visualizadas). compuesta de:     caracteres ASCII de 7 bits. Así.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.

se niega a que la otra parte utilice (WON'T). se niega a usar (DON'T). definir las opciones que:     desea usar (DO). 117 . Opciones negociadas de Telnet . La otra parte debe responder si acepta o no el uso de la opción. desea que la otra parte utilice (WILL).UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Cuando la solicitud se refiere a la desactivación de una opción. es decir. El principio de opciones negociables Las especificaciones del protocolo Telnet permiten tener en cuenta el hecho de que ciertos terminales ofrecen servicios adicionales. Las opciones de Telnet afectan por separado cada dirección del canal de datos. en ambos lados. Entonces. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Por lo tanto. Por lo tanto. Estas funcionalidades se reflejan como opciones. cada parte puede enviar una solicitud para utilizar una opción. el protocolo Telnet consiste en crear una abstracción del terminal que permita a cualquier host (cliente o servidor) comunicarse con otro host sin conocer sus características. al iniciar solicitudes para su autorización desde el sistema remoto. no definidos en las especificaciones básicas (pero de acuerdo con las especificaciones). Tabla 9. Tecnología e ingeniería Esp. De esta manera. para poder utilizar funciones avanzadas. cada parte puede negociar las opciones. el destinatario de la solicitud no debe rechazarla para ser completamente compatible con el modelo NVT. el protocolo Telnet ofrece un sistema de negociaciones de opciones que permite el uso de funciones avanzadas en forma de opciones.

Tecnología e ingeniería Esp. Profundización Lección 21: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. De todas maneras. La RFC (petición de comentarios) 855 explica cómo documentar una nueva opción. Redes de datos – Udelar Link:http://eva.uy/pluginfile. el protocolo Telnet proporciona un espacio de dirección que permite describir nuevas opciones.php/285962/mod_resource/cont ent/1/Laboratorio3-Instructivo-TCP.pdf 118 .edu.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Existen 255 códigos de opción.universidad.

utiliza un protocolo que denominamos Protocolo de Internet (IP. así como la propia administración pública.768. es decir 2^128 posibles direcciones (340. o dicho de otro modo. tanto si somos usuarios residenciales.296 direcciones). en una coexistencia ordenada con IPv4. Tecnología e ingeniería Esp.282. Para que los dispositivos se conecten a la red.463.374. el organismo que se encarga de la estandarización de los protocolos de Internet (IETF. junto con el imparable crecimiento de usuarios y dispositivos. es decir.938. concretamente la versión 6 (IPv6). casi como un experimento. navegación web. prácticamente desde que Internet tiene un uso comercial. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 22: IPV6 y su tipo de direccionamiento ¿Qué es IPV6? Cuando utilizamos Internet para cualquier actividad. y dado que sólo dispone de 2^32 direcciones (direcciones con una longitud de 32 bits.431. que posee direcciones con una longitud de 128 bits. es importante que entendamos cómo se realiza el despliegue del nuevo protocolo de Internet.366. Por ello.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.920. implica que en pocos meses estas direcciones se agotarán. Internet Engineering Task Force).967. En los últimos años. 119 . y previendo la situación. proveedores de contenidos.456). ha trabajado en los últimos años en una nueva versión del Protocolo de Internet. no se pensó que pudiera tener tanto éxito comercial. 340 sextillones. la versión de este protocolo es la número 4 (IPv4). contenidos y servicios se vayan adaptando a la nueva versión del protocolo de Internet. o cualquier otro servicio o aplicación. equipos de red. Por este motivo.211. El despliegue de IPv6 se irá realizando gradualmente. descarga de ficheros.463. proveedores de servicios de Internet. Internet Protocol) [18]. necesitan una dirección IP. Cuando se diseñó IPv4. aplicaciones.294. como corporativos.607. al que irá desplazando a medida que dispositivos de cliente. ya sea correo electrónico. la comunicación entre los diferentes elementos de la red y nuestro propio ordenador o teléfono. 4.

Unicast: Se utilizan para comunicaciones uno a uno. Hay varios tipos de direcciones de unicast: 120 . multicas y anycast. Ipv6 versus Ipv4 . También establece una nueva forma de utilizar el direccionamiento y nuevas prestaciones. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Tabla 10. Pueden ser sumariados. Pero más allá de esta simplificación de 3 tipos de direcciones.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. hay más aspectos a considerar. Tecnología e ingeniería Esp. Parte de esta novedad es una variedad amplia de diferentes tipos de direcciones IPv6. para esto las direcciones son acompañadas por un prefijo que especifica una cantidad determinada de bits significativos. Básicamente hay 3 tipos de direcciones: unicast. En IPv6 se ha suprimido completamente el broadcast de capa 3. Tipos de direcciones en IPV6 IPv6 no sólo ofrece un nuevo esquema de direccionamiento con un espacio de direccionamiento mucho más amplio.

Su alcance está limitado al enlace y no son reenviadas. Se utilizan en procesos de configuración automática. Son direcciones definidas por el prefijo FF00::/8 donde el segundo octeto define el alcance de esta dirección multicast que puede ser la sola interfaz.  Direcciones link-local: Todas las interfaces que operan con IPv6 tienen una dirección link-local. Un identificador de enrutamiento local (subred). 121 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Permiten la comunicación entre dispositivos que están en un mismo segmento de red sin necesidad de otro tipo de direcciones. define una interfaz local para el stack IP.  Direcciones para propósitos especiales: Dirección sin especificar.0. una red o Internet.  Direcciones site-local: (obsoletas). Un ID de subred de 16 bits. por ejemplo en solicitudes DHCP. típicamente de 48 bits. Un identificador de interfaz de 64 bits de longitud. Tecnología e ingeniería Esp. Nunca ocupa el campo de dirección de origen en un encabezado IPv6. Direcciones de multicast: Permiten establecer como destino todos las interfaces de un grupo. el segmento de red. descubrimiento de vecinos y descubrimiento de routers.1. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Direcciones globales: Son utilizadas para tráfico global y tienen una estructura jerárquica de 3 niveles Un prefijo de enrutamiento global (red). Si así fuera el paquete no será reenviado. pero generalmente se respetan los 64 bits del ID de interfaz para mantener compatibilidad con múltiples implementaciones. de 16 bits. El rango FF00:: a FF0F:: está reservado y asignado a través del RFC 2375. En la actualidad IANA y RIR están asignando direcciones del rango 2000::/3. Estas direcciones tienen una estructura propia: Un prefijo FC00::/7 de 8 bits. Se utiliza como dirección de origen con propósitos especiales. El ID del grupo de multicast está definido por los restantes 112 bits. Un ID global pseudo-aleatorio de 40 bits. La longitud de cada porción es arbitraria. Estas direcciones no son ruteables sobre Internet. Son generadas dinámicamente con el prefijo FE80::/10 y un identificador de interfaz de 64 bits.0. Dirección de loopback: ::1Como en el caso de la dirección 127.  Direcciones unique local: Son direcciones que tienen el alcance de un sitio específico sin garantías de que sean globalmente únicas. una subred. Un identificador de interfaz de 64 bits.

org/wiki/File:IPv6_vs_IPv4.jpg Profundización Lección 22: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.Fuente http://commons. se rutea hacia la interfaz más cercana que esté asociada a esa dirección. Caracterizaciín IPV6 – Carlos A. Las direcciones de anycast se toman del rango de direcciones de unicast y requieren que la interfaz esté explícitamente configurada para identificar la dirección como dirección de anycast. Castillo Link:http://tecnura.co/ojs/index. Figura 52: Encabezados de Ipv6 vs Ipv4 . Cuando la dirección de destino de un paquete IPv6 es una dirección de anycast.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.wikimedia. Son direcciones asignadas a interfaces de uno o más nodos. Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Direcciones de anycast: Permiten definir como destino un host cualquiera de un grupo.udistrital.edu.php/revista/article/view/542/52 9 122 .

se tiene poca o ninguna experiencia con IPv6 en el mundo real. como resultado. IPv6 parece ser excelente. Esta transición es desde el actual protocolo IP versión 4 al nuevo estándar IP versión 6. En papel. y a una escala tan grande. y a continuación se analizan los que se deben cuidar muy cerca. negando la eficacia de las características de seguridad de IPv6. esto asegura la comunicación IP al encriptar y autenticar paquetes IP. Para las empresas. no significa que tendrá un amplio soporte. Volver una característica obligatoria. IPv4 se ha ganado su reputación en las últimas décadas. poniendo a la empresa en un riesgo mayor. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 23: Seguridad enfocada a IPV6 El Internet está agotando su espacio y. Programación sin depurar Aquí es usualmente donde las cosas se complican. Las empresas necesitan saber y entender esta transición – ya que habrá nuevos problemas de seguridad en el período intermedio.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. En una transición tan compleja. Hay muchas trampas y obstáculos que evitar. es obligatoria. El peor escenario es que realmente se termine con una infraestructura de IPv6 que es aún más frágil que la anterior infraestructura de IPv6. En IPv4. era una característica opcional. en IPv6. pero es seguro que lo mismo sucedió con el Titanic. al amplificar el espacio de ataque. Aunque una de las promesas de IPv6 es de más seguridad. Va a tomar mucha preparación de pre-lanzamiento y una inmensa cantidad de vigilancia de seguridad para ejecutarla correctamente. Caso en cuestión: IPSec. Por otro lado. el punto es que IPv6 no es automáticamente más seguro. y nos hemos familiarizado con lo que puede y no puede hacer. hay mucho que considerar. Esencialmente. En el mejor de los casos. IPv6 ofrece mejor seguridad pero no la garantiza. y esto muy seguramente cae en la responsabilidad del Jefe de Seguridad de la Oficina. existe una posibilidad muy alta de que los programadores cometan errores en la implementación. 123 . lo cual podría dejar las vulnerabilidades con las puertas bien abiertas a los delincuentes informáticos. está a punto de someterse a una transición importante para ampliar el número de direcciones en-línea disponibles. Tecnología e ingeniería Esp.

Seguridad Informática Seguridad Avanzada en redes de datos: 233015 La explotación de la transición Esta migración va a llevar un tiempo. dado su tamaño. sistemas de detección de intrusos (IDS). Los ataques de amplificación de difusión. aunque cambios en la arquitectura pueden mitigarlos de manera mas eficiente. dejando recursos en riesgo de ser bombardeados al punto de ser parados por completo.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. 124 . y cortafuegos – a menudo son la forma en que las empresas se dan cuenta que están siendo atacados. credenciales. Los ataques de fragmentación pueden ser usados para evadir. los cuales abruman una red de computadoras o un sitio web para volverlos inoperantes. Esto incrementa la carga de trabajo del personal de redes de las compañías e incrementa el número de posibilidades en que las cosas pueden salir mal. correos electrónicos y secretos de negocio. Evadir Medidas de Seguridad. dando mas espacio a los delincuentes informáticos para que realicen sus ataques. todo es juego limpio: información del cliente. Distributed Denial of Service). debido a este período intermedio híbrido. pueden hacer exactamente eso: mantenerte alejado de tus clientes. nos vamos a encontrar situaciones inusuales donde los delincuentes informáticos pueden tomar una ventaja potencial gracias a la interacción entre los protocolos. Aquí es donde la vigilancia de la seguridad es crucial. Los ataques Distribuidos de Negación de Servicio (DDoS. Tecnología e ingeniería Esp. Una vez dentro. y hasta entonces. sistemas de prevención de intrusos (IPS). Esto representa el problema de que algunas técnicas de seguridad podrían no tener una adecuada transición de IPv4 a IPv6. Mientras que IPv6 puede mitigar los efectos de los ataques DDoS hasta un cierto punto. cada uno con su propio y específico conjunto de problemas de seguridad. no los previene. aún seguirán representando una amenaza para las empresas en IPv6. Ataques DDoS. Mientras que las listas negras IP han sido exitosas en reducir el volumen global de correo basura. existe la preocupación de que los ISPs (Proveedores de Servicio de Internet) no serán capaces de escalar las listas negras IP a IPv6. Los ataques de fragmentación todavía serán un problema en IPv6. como los ataques “smurf”. Listas negras ineficaces. las empresas se encontrarán en un ambiente dual de IPv4/IPv6.

y de ese modo.el impacto que tendrá no solo en sus consumidores base. los líderes de la industria como Facebook. También puede ser usado para falsificar una identidad –para implicar a una persona inocente o una compañía en un ataque en el que realmente no tuvo ninguna relación. pero la nueva obligación de IPSec manejará mejor esta amenaza a las empresas. Es importante reseñar que IPv6 habilita la posibilidad de usar IPsec. No hay que tomar esto a la ligera. y no los mecanismos de cifrado y autenticación propios de IPsec. Seguridad IPV6 IPSEC. entre otros. Los ataques no están limitados a aquellos que tratan de robar información o destruir recursos. Esto sirvió como un punto de referencia excelente para las empresas. 125 . Google. realizaron una prueba de ofrecer su contenido sobre IPv6 por 24 horas. De hecho en los Estados Unidos de América hay que apurarse: el gobierno federal está considerando el fin del 2012 como la fecha límite para hacer la transición a IPv6. Yahoo y Cisco. Tecnología e ingeniería Esp. Bing. el Día Mundial de IPv6. integridad y confidencialidad a las comunicaciones de extremo a extremo. aquí estamos hablando acerca de la columna vertebral del comercio electrónico. sino también en su infraestructura. mientras que en IPv6 la propia arquitectura "extensible" del protocolo permite implementar IPsec de forma natural. para poder evaluar –por lo menos algo. IPv6 incluye explícitamente la posibilidad de utilizar el modelo de seguridad IPsec (Internet Protocol Security) que proporciona autenticidad. IPsec es un conjunto de protocolos abiertos que tienen como fin proporcionar seguridad en las comunicaciones de la capa de red del modelo OSI (a la que pertenece el protocolo IPv6). ellos realmente intentan empañar la reputación de la compañía. La suplantación de identidad permite a los delincuentes informáticos ocultar sus identidades. El pasado junio 8. y esto puede hacer la diferencia entre mantener su línea de negocio o no. a todos los protocolos de capas superiores. En IPv4 la implementación de IPsec se define en una especificación diferente a la del propio protocolo IPv4. Los ataques de suplantación de identidad todavía serán una amenaza en IPv6. por lo que la inclusión del protocolo se hace con mecanismos definidos fuera del mismo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Enmascaramiento de Puntos de Origen.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. haciendo difícil seguirlos después de un ataque.

o pasarela. Además. Tecnología e ingeniería Esp. por contra. la información de las cabeceras.  ESP (Encapsulating Security Payload): además de las ventajas anteriores proporciona confidencialidad. pero se necesita de una plataforma que realice el túnel. IPsec tiene dos modos o protocolos de transferencia. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 IPsec tiene dos modos de funcionamiento que proporcionan distintos niveles de seguridad:  Modo Transporte: se cifra y/o autentica la carga útil. encapsula el paquete original en otro paquete. pero las cabeceras no se tienen en cuenta. Tiene como ventaja que se puede utilizar de extremo a extremo pero. Con ello se cifra y/o autentica el paquete original completo.net/2009/12/28/creando-un-tunel-ipsec-esp-con-vyatta/ 126 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.Fuente http://blog. Figura 53: Túnel IPSEC .e2h. es visible. integridad y un servicio de anti-repetición opcional. que a su vez pueden funcionar en modo túnel o transporte:  AH (Authentication Header): proporciona autenticación. o payload. como la dirección IP de origen y destino.  Modo Túnel: una plataforma.

com/manuales/seguridad/IPsec_IPv4_IPv6. Tecnología e ingeniería Esp.si6networks.Hugo Adrian Franciscon Link: http://redes-linux.udistrital. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Profundización Lección 23: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.co/ojs/index.pdf 127 .UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.edu.php/revista/article/view/542/52 9 Consideraciones generales sobre seguridad IPv6 .Mendoza Link: http://www.com/presentations/wipv6ld/fgont-wipv6ld2012seguridad-ipv6.pdf IPsec en Ambientes IPv4 e IPv6 . Mitos sobre la seguridad en IPv6: desmontando falsas ideas Fernando Gont Link:http://tecnura.

necesarios para que nuestros programas puedan comunicarse con el exterior. podemos decir que el servidor web suele estar enlazado (escuchando) en el puerto 80. o puesto. Un puerto lógico es una salida de bits. siendo conocidos los puertos de 1 a 1024 como :      HTTP puerto 80 transferencia de hipertexto por Internet FTP puerto 20 transferencia de data (mp3. Por ejemplo. sale por el puerto 4000 para conectarse a este servidor.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. o que nuestro navegador. que pueden ser 1 o 0. o sea. para tener una referencia. El servicio RPC (remote procedure call) escucha en los sistemas XP por el puerto 135. y que los otros programas puedan conectarse a los nuestros y traspasar información. y que proporciona un espacio para el almacenamiento temporal de la información que se va a transferir entre la localización de memoria y el canal de comunicación. 128 . el cliente de IRC y mandar un correo y aún así estaremos usando sólo unas decenas. están divididos según sus funciones. Podemos navegar. La diferencia es que se enlazan virtualmente en nuestra conexión TCP con los programas. Tecnología e ingeniería Esp.000 pudiendo llegar a mas. un puerto es el valor que se usa en el modelo de la capa de transporte para distinguir entre las múltiples aplicaciones que se pueden conectar al mismo host. pero resulta que a ese puerto se conectaba el virus Blaster para infectar todos los Windows que encontraba a su paso. algunos TROYANOS y otras aplicaciones inocuas. Además. Muy pocas veces usaremos tantos puertos -65. documentos.000-. usar nuestro programa de mensajería instantánea. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 24: Puertos El Puerto Lógico es una zona. Los puertos se identifican por números desde 1 hasta 65. etc) HTTPS puerto 443 transferencia segura SMTP puerto 25 correo electrónico Del 1025 para arriba son desconocidos. o localización. Los puertos lógicos son. Entonces un puerto lógico de Internet es una interface de software que permitirá el ingreso y salida de data por aplicaciones que usan Internet. al igual que los puertos físicos. de la memoria de un ordenador que se asocia con un puerto físico o con un canal de comunicación.

FTP Data . celulares. Es una de las formas mas fáciles de entrar ilícitamente en una pc ajena. hacking. Puertos Fundamentales.Puerto utilizado por Secure Shell (SSH).UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Conocer los puertos que “hablan” en nuestro ordenador. es el protocolo. que lo necesitan.Puerto utilizado por SMTP (Simple Mail Transfer Protocol). etc. 23 . (Microsoft lo hace a menudo). 21 . porque son los clientes (el navegador. del 135 al 139 para la NetBios. que se puede encontrar en www.. los cuales permiten controlar una pc de forma remota.Utilizado por servidores FTP (File Transfer Protocol) para la transmisión de datos en modo pasivo. el cliente de FTP) los que lo eligen aleatoriamente para establecer desde ellos la conexión a los puertos servidores y. el cliente de correo. 129 . El resto de puertos hasta el 65536 son los llamados efímeros.) 22 .SMTP . Por ejemplo el 22 es para SSH (Secure SHell). los efímeros. etc. 25 . Los puertos que van de 1025 a 49151 no son estándar.También utilizado por servidores FTP.Telnet . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los puertos de 1 a 1024 se llaman puertos reservados. 20 . Tecnología e ingeniería Esp. pero la IANA se encarga de asignarlos a distintas aplicaciones. desde ficheros sueltos hasta una sesión de FTP cifrado. nos proporciona información sobre lo que está haciendo nuestra máquina. Como deben suponer.Telnet es una herramienta que proporciona una ventana de comandos. que permite transferir correo electrónico entre diferentes computadoras. o en español Protocolo de transferencia simple de correo electrónico. se liberan y pueden ser usados por cualquier otra aplicación o protocolo más tarde. Además funciona como una herramienta de transmisión de datos. basado en texto. el cual es un protocolo y un programa que lo utiliza para acceder a maquinas remotas a través de una red. Esto puede ser un signo de que alguien nos está robando información. si la conexión cae.org. La organización que se encarga de establecer los estándares es la IANA (Internet Assigned Numbers Authority). Si aplicamos un escáner de puertos a nuestro propio PC podemos obtener gran cantidad de información. Conocer los puertos a la escucha nos proporciona información sobre los servicios que tenemos instalados como servidor. si se está comunicando con otra y a través de qué puerto. Su mala configuración puede resultar en ataques (troyanos.iana.FTP . PDA's.SSH . Tienen una función específica que mandan los estándares.

muy detallada. que es el correo electrónico.Puerto que transmite el protocolo HTTP (Hypertext Transfer Protocol) que es el utilizado en cada transacción web (WWW).El Hypertext Transfer Protocol Secure. 59 . 113 . 139 . se ejecuta el IMAP (Internet Message Access Protocol). del ya mencionado HTTP.Utilizado principalmente en programas de comunicación para transferir ficheros.Puerto que utiliza el servicio POP3 (Post Office Protocol 3). A partir de Windows 2000.Este puerto lo utiliza el DNS (Domain Name System).Por este puerto funciona el servicio NetBIOS que es el encargado de compartir ficheros de tu pc. se encarga de traducir nombres de dominios a IP's. por lo cual los servidores de internet que lo utilizan.Por acá. IRC consultan este puerto en respuesta a conexiones de clientes. 143 . 130 . De esta forma.DNS . Este es un servicio nuevo.En este puerto se corre el servicio Finger. Lo cual implica. estén o no logueados. es el encargado de administrar la comunicación con otra pc cuando un programa solicita ejecutar código en esa otra pc. IMAP. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 53 . 110 .HTTP . por tu red interna. 80 .Server Message Block. 79 . Tecnología e ingeniería Esp. no han tenido suficiente tiempo para madurar.RPC . Con este puerto abierto peligras de que gente de todo el mundo. microsoft añadió la posibilidad de ejecutar SMB directamente sobre TCP/IP sin la capa extra de NBT. 443 . el programador no tiene que procurarse por esta conexion.MSFT DS .IDENT . de los usuarios de una maquina. SMTP. Este servicio. Los servidores de internet.Servicio de identificación/autorización. offline. como POP. pueda ver y usar estos ficheros a través de internet.Remote Procedure Cell.POP3 .DCC . 135 . no es más que una versión segura. el cual ha sido uno de los mayores problemas de seguridad en Unix. que este sea una muy buena via de acceso para los intrusos.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.NetBIOS . 445 .IMAP .HTTPS .Finger . ya que este proporciona información. esta base de datos distribuida o jerárquica.

13. Profundización Lección 24: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. 8080 .Este puerto lo pueden utilizar terceros para ocultar su verdadero IP a los servidores web. Tecnología e ingeniería Esp. aplicaciones y dispositivos inalambricos.UPnP . el cual es un protocolo que permite a las aplicaciones cliente-servidor usar de manera transparente los servicios de un firewall de red.Aquí funciona el servicio Socks.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. 5000 .206.pdf 131 . Aplicación de control de puertos lógicos .WebProxy .M.El universal plug n' play define protocolos y procedimientos comunes para garantizar la interoperabilidad sobre PC's permitidos por red. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 1080 .Socks . Sánchez Link:http://130.20/difusion/publicaciones/boletin/6667/ponencia21.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Fuente: http://morenojhonny.wordpress. Ambos extremos deben tener la misma clave para cumplir con el proceso Figura 55. con la finalidad de realizar intercambios de información seguros a través de las redes (Intranet. La robustez de un algoritmo de cifrado simétrico recae en el conocimiento de dicha clave. 132 . Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 25: Firma digital y Certificado Digital Criptografía También llamada cifrado. Figura 54: Proceso de cifrado normal. se encarga de la protección de los datos mediante la transformación matemática de los mismos a un formato ilegible. Extranet e Internet). Esta clave se debe intercambiar entre los equipos por medio de un canal seguro. Tecnología e ingeniería Esp.com/2012/06/14/4-1-cifrado-simetrico-yconfidencialidad-de-mensajes/ Criptografía Simétrica La criptografía simétrica se basa en la utilización de la misma clave para el cifrado y para el descifrado. Clave secreta (simétrica): Utiliza una clave para la encriptación y desencriptación del mensaje.

Tecnología e ingeniería Esp. Las principales desventajas de los métodos simétricos son la distribución de las claves.  Conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros. Fuente: http://algoritmo-simetrico-descifrado. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 55: Proceso de cifrado simétrico. y los principales algoritmos simétricos actuales son DES. IDEA y RC5.wikispaces. el peligro de que muchas personas deban conocer una misma clave y la dificultad de almacenar y proteger muchas claves diferentes. Todos los sistemas criptográficos clásicos se pueden considerar simétricos. Criptografía Asimétrica En este tipo de cifrado se utilizan dos claves relacionadas matemáticamente: 133 .com/ Para que un algoritmo de este tipo sea considerado fiable debe cumplir algunos requisitos básicos:  Conocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en claro ni la clave.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.

claves que poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado. Una de las claves de la pareja. estando cada una de ellas ligada intrínsecamente a la otra. existiendo servidores que guardan. se basa en el uso de dos claves diferentes. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Clave pública (asimétrica) También llamada asimétrica. de tal forma que se generan siempre a la vez.com/ Las claves pública y privada tienen características matemáticas especiales. es usada para desencriptar el mensaje Figura 56. por parejas. para que esté al alcance del mayor número posible de personas. es usada por el propietario para encriptar los mensajes. mientras que la otra. llamada clave pública. 134 . Fuente: http://algoritmo-simetrico-descifrado. ya que es la base de la seguridad del sistema.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. la clave pública es difundida. Figura 56: Proceso de clave pública asimétrica. Tecnología e ingeniería Esp.wikispaces. llamada clave privada. administran y difunden dichas claves. Mientras que la clave privada debe mantenerla en secreto su propietario.

es que:  El receptor pueda verificar la identidad del transmisor. archivo u otra información codificada.wordpress. Lo que se busca al utilizar una firma digital. vinculen digitalmente su identidad a la información. Fuente: http://neobrr. Se crean combinando la tecnología de claves públicas con algoritmos Hash. Figura 57: Proceso de un envió con firma digital.  El transmisor no pueda repudiar después el contenido del mensaje. Creación y envío de firmas Digitales El proceso para crear una firma digital implica la transformación de información y algunos datos confidenciales del remitente en una etiqueta o firma. Tecnología e ingeniería Esp. Se utilizan cuando los datos se distribuyen como texto no cifrado.  Ninguna parte del mensaje que se ha recibido ha sido modificada.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Firma Digital Es un medio para que los creadores de un mensaje.com/2008/09/29/ley-de-firmas-digitales-en-guatemala/ 135 .  El receptor no haya podido confeccionar el mensaje él mismo.

Extranet e Intranets.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.  El remitente envía al destinatario los datos originales.  El destinatario aplica el algoritmo Hash a los datos y genera su propio valor resumen. el mensaje o la huella enviada han sido modificados y por lo tanto la firma no es correcta. envío y comprobación son:  El remitente aplica un algoritmo Hash a los datos para generar un valor resumen.  El destinatario compara la firma digital (la obtiene utilizando la clave pública del remitente) y el valor que generó en el paso anterior y sí no coinciden (cuando el valor del remitente es diferente al del destinatario). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Los pasos que deben seguirse para su creación. Certificado Digital Es una declaración firmada digitalmente que proporciona un mecanismo para establecer una relación entre una clave pública y la entidad que posee la clave privada que le corresponde.  El remitente transforma el valor en una firma digital aplicando cifrado de clave privada. Tecnología e ingeniería Esp. la firma y su certificado de autenticidad. 136 . Se utiliza para autenticar y asegurar el intercambio de información en Internet. y se rige por los estándares definidos por ITU-T X. Los certificados pueden emitirse con objetivos diferentes como:  Autenticación de servidores Web  Seguridad del correo electrónico  Seguridad IP (IPSec)  Nivel de sockets seguros (SSL/TLS)  Firma de código e información enviada Este certificado es firmado por una CA (Certificate Authoritym / Autoridad Certificadora).509.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Tecnología e ingeniería Esp.ucbcba.monografias.bo/index. Herrera Acabey Link: http://ucbconocimiento.php/ran/article/download/112/1 07 137 .edu.shtml Profundización Lección 25: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo. Fuente: http://www. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 58: Proceso de un envió con certificado digital. Certificados Digitales – J.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.

Sin embargo. tan cerca de un servidor están sus usuarios legítimos como los usuarios que hacen uso de la misma red de comunicaciones. 138 . no se piensa que cualquier persona del mundo puede llegar a ésta de una forma inmediata como si se tratara. Es más.) y que pueden limitar las operaciones que puede realizar así como los recursos a los que se le permite acceder. Es por esto que los usuarios a veces puedan tener una imagen negativa de la seguridad. Por ejemplo. en lugar de un banco. estos usuarios. En el mundo intangible de la informática. un usuario se encuentra con tareas que le pueden resultar incómodas (como por ejemplo. De igual forma. cuando se guardan cosas en una caja fuerte en un banco real. Tecnología e ingeniería Esp. ya que la seguridad suele ir en el platillo opuesto de la comodidad y facilidad de uso en la balanza del diseño de un sistema. estos aspectos a veces pueden considerarse una molestia. la seguridad es fundamental a la hora de afrontar tareas que se realizan en sistemas informáticos ya que son las únicas medidas que pueden garantizar que éstas se realicen con una serie de garantías que se dan por sentado en el mundo físico. etc. Algunos serán “buenos vecinos” pero otros serán agentes hostiles. se cuentan por millones. por considerarlo algo molesto y que interrumpe su capacidad de realización de un trabajo determinado.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 CAPITULO 6: CONCEPTOS AVANZADOS EN REDES Introducción Habitualmente los usuarios finales no tienen en consideración la seguridad cuando hacen uso de un sistema. frecuentemente se ignoran los aspectos relacionados con la seguridad. cambiarlas periódicamente. ya que. En un entorno seguro. de una estación de autobuses. en el caso de una red global. recordar contraseñas.

integridad de los datos. Para la cifrado utiliza DES o 3DES u otro esquema de cifrado simétrica.  Modo túnel es un asociación de seguridad donde uno o las dos partes de la comunicación son gateway de seguridad (sistema intermedio que actúa como interfaz entre dos redes) 139 . Los protocolos de seguridad de IPSec son AH (Autentication Header) y ESP (Encapsulating Security Payload) . AH puede aplicarse solo o en conjunto con ESP. Sólo se aplica un protocolo de seguridad por cada SA. brinda confidencialidad ya que cifra los datos (payload). Asociaciones de seguridad Una SA (Asociación de Seguridad) es una conexión unidireccional que permite negociar los parámetros de seguridad para proteger el tráfico de la red. permite verificar la integridad del datagrama IP. autenticar el origen de los datos y provee protección opcional contra ataques de replay. asociaciones de seguridad y administración de llaves. modo transporte y modo túnel:  Modo transporte es una asociación de seguridad entre dos host. Es utilizado para formar VPNs en ambientes de intranets e Internet. así como.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Provee integridad de datos. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 26: IPSEC (Internet Protocol Security) IPSec es una extensión de IP que asegura su comunicación. Protocolos de seguridad ESP encapsula los datos. pero no proporciona protección a las cabeceras externas. autenticación y confidencialidad. para esto utiliza un conjunto de protocolos de seguridad y algoritmos. Tecnología e ingeniería Esp. Existen dos tipos de SAs. servicio anti-replay y opcional autenticidad del origen de datos. toma a la cabecera dentro de los datos. AH protege al datagrama completo. estos protocolos pueden ser usados tanto en IPv4 e IPv6.

com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2.shtml 140 .shtml Administración de llaves IKE (Internet Key Exchange) es por defecto el protocolo de administración de llaves.monografias. su función principal es establecer y mantener las asociaciones de seguridad. Tecnología e ingeniería Esp. Fuente: http://www.monografias. Está basado en ISAKMP (Internet Security Association and Key Management Protocol) el cual es un esquema para autenticación e intercambio de llaves2 Figura 60: IKE escenario de ejemplo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 59: Modo transporte y modo túnel. Fuente: http://www.

(criptoalgoritmos. El presente trabajo posee como meta estudiar los protocolos de tunelizado. Tecnología e ingeniería Esp.monografias. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Características IPSEC Estandariza en la medida de lo posible la interoperabilidad y favorece la reutilización de componentes  Es un Estándar Abierto  Compuesto por módulos genéricos que pueden ser reemplazados. Desarrollado para proveer a nivel de red servicios de seguridad criptográfica. y confidencialidad. que flexiblemente soportan autenticación. control de acceso. Protocolos. Es un mecanismo desarrollado para proteger a los protocolos clientes de IP. sistemas de intercambio de claves).shtml Modos de encapsulado PSec define dos modos de encapsulado para tratamiento de paquetes IP:  Modo de Transporte  Modo de Túnel 141 . Los aspectos del estándar relativos a encripción y autenticación son vastos y exceden el tratamiento de esta presentación. . integridad.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2. Figura 61: Arquitectura IPESEC. Fuente: http://www. Se centra la atención en los Túneles IPSec. que son solo un aspecto de la implementación de IPSec.

com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 62: Modos de encapsulado en IPESEC. se incorpora un encabezado 142 . así como el formato más general de encapsulado del paquete.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.monografias. se procede a encriptar y autenticar el contenido de los mismos. Fuente: http://www. Tecnología e ingeniería Esp.shtml El siguiente esquema presenta una típica conexión extremo a extremo utilizando IPSec.com/trabajos38/comercio-electronicodominicana/comercio-electronico-dominicana2. Figura 63: Formatos de paquetes en IPESEC. (IP). Fuente: http://www. Claramente se demarcan los extremos del túnel.shtml Modo de transporte En esta modalidad se interceptan los paquetes de nivel de red.monografias.

Se puede opcionalmente encriptar y/o autenticar el paquete. (incluido todo lo que es posible de su header).PDF 143 .com/revista42/pdf_42/SIC_42_otros%20titulos. Si bien se hace una doble autenticación. Ambos se identifican en el campo de protocolo del encabezado IP. entre dos Gateways o entre un Host y un Gateway. Esta modalidad se puede operar entre dos Hosts. provee autenticación del paquete IP completo. así como a los protocolos de capas superiores. lo que otorga una máxima cobertura en cuanto a Encripción y Autenticación. Modo de túnel Esta variante de IPSec intercepta los paquetes IP. Fuster Link: http://revistasic. llamados Authentication Header. Es también posible el uso combinado de AH + ESP.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. (AH) y Encapsulating Security Payload. resulta un esquema muy utilizado. Tecnología e ingeniería Esp. pero al menos una de ambas acciones debe ser ejecutada. (VPN). Técnicas criptográficas de protección de datos – A. AH. Posteriormente. (ESP). se procede a incorporar el encabezado IPSec y se encapsula el paquete resultante sobre IP. preservando este último encabezado IP la mayor parte del contenido del encapsulado IP original. encripta y autentica los mismos incluyendo su encabezado. por su parte solo encripta y autentica el “Payload” del paquete. Protocolos Usados en IPSec Básicamente se utilizan dos protocolos en IPSec. Es la modalidad utilizada en la confección de Redes Privadas Virtuales. ESP. y se encapsula nuevamente sobre IP. (lo cual resulta redundante y genera overhead). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 IPSec. Profundización Lección 26: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.

Con conocimientos avanzados en estadísticas y matemáticas Sin embargo los NIDS no son cosas de otro mundo si conocen los denominados Network Analyzer o Sniffers. los cuales son aplicaciones de escucha electrónica. cuando detecta una anomalía “actúa”  Prevención: Siempre escanea el tráfico de la red (Sniffer).  Reacción: Siempre visualiza logs en el sistema. además de poseer una BDS de ataques. si detecta paquetes en tránsito anómalas “actúa” 144 . ante cualquier intromisión estos sistemas entran en acción. Tecnología e ingeniería Esp. para poder escuchar el tráfico de la red. las cuales se encargan de detectar intrusiones en tiempo real. Sistemas adaptables Los NIDS que existen hasta el momento. difíciles de mantener y necesitan de un admin.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Un ejemplo sería Un FireWallPhoenix Adaptable que soporta denegaciones de servicios X y aparece una nueva vulnerabilidad que provoca una denegación de servicios en ese tipo de FireWalls y el admin. son capaces mediante Inteligencia Artificial aprender nuevos tipos de ataques a detectar. La base de datos del NIDS necesita ser especificada ya que si existen dos ataques similares pero no! iguales el ataque pasara sin ser detectado. Simplemente el FireWall cae al ataque. Los NIDS se basan similarmente a los funcionamientos de los Sniffers. Es obtener un sistema seguro.  Compañías con información de ataques conocidos Quiere decir que el NIDS al igual que los Firewalls necesita una base de datos con ataques soportados. Aparte de la BDS con ataques soportados. Los métodos a usar son reacción y preventivo. Sus principales desventajas. dichos sistemas les llaman “Network Intruder Detection System” NIDS.  Sistemas de Bases de Datos (BDS) con información actualizada de ataques soportados. son de costos muy elevados. Lo mismo ocurre con los NIDS. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 27: NIDS (Network Intrusion Detection System) Las herramientas de detecciones de intrusos NIDS son aplicaciones automáticas. no obstante existen varios tipos de configuraciones para los IDS. No ha actualizado la BDS. Necesita ser actualizada periódicamente. ademas esta BDS.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Figura 64: Topología de red haciendo uso de los NIDS. o cuando un NIDS ejecuta una shell para ejecutar comandos al detectar un ataque puede saturarse el sistema al llamar muchas shells.html 145 . a que me refiero con esto si instalo un NIDS que escanea logs en vez de paquetes en un tarro 486 simplemente es mucha tarea para un pobre tarro. en esas circunstancias es mejor instalar un NIDS con detección de ataques en paquetes en tránsito (Sniffer). La inserción de los NIDS depende bastante de la máquina que se esté usando. muchos de ellos caen a ataques spoofeados desde direcciones distintas con ataques similares. Tecnología e ingeniería Esp. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 En la actualidad los NIDS existentes son muy vulnerables a denegaciones de servicios producidas por usuarios y no por fallas en los NIDS.com/articlestutorials/intrusion_detection/Hids_vs_Nids_Part1. Fuente: http://www.windowsecurity. es por eso que es difícil parchar ciertas vulnerabilidades en NIDS.

Sistemas detectores de intrusos y análisis de funcionamiento del proyecto de código abierto snort – Jairo Alberto Rojas Link:http://ingenieria1. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Modos de los NIDS Ciertamente el NIDS al igual que un FireWall emplea modos “bajo. exploits. Tecnología e ingeniería Esp.udistrital.edu.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas.php/redesdeingenieria /article/view/56 146 . También existen aplicaciones que testean a los NIDS como el NIDSBENCH el cual se encarga de atacar equipos NIDS mediante algunas tools que este posee.  FragRouter : Se encarga de atacar de la misma forma usando ataques conocidos. en otras palabras usa ataques TCP/IP listados en la base de datos de ataques a evadir.  IdsTest : Consiste en una metodología de chequeo de NIDS. ciertamente es una decisión más del admin del NIDS establecer el modo. además chequea ataques DOS. medio. Lo que provoca anomalías arbitrarias en TcpDump mediante los ataques TcpReplay escanea la velocidad de la red y la velocidad de respuesta de esta misma. etc. analiza vulnerabilidades expuestas por empresas. y Vulnerabilities Scanners. La idea es siempre poner un equipo con NIDS antes del host víctima. de la misma forma con que se tratan los firewalls. Profundización Lección 27: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.co/digital/index.  TcpReplay : Es una aplicación que ataca los procesos background de la red con ataques escondidos. alto. paranoico” si es utilizado un modo paranoico en un NIDS siempre que se ejecuten comandos de root por otro usuario el NIDS va a lanzar alertas de ataques.

Los HSM son sistemas dedicados que aseguran física y lógicamente las claves criptográficas y procesos de cifrado que se encuentran en el núcleo de las firmas digitales. En la cima de la jerarquía del Sistema de nombres de dominio (DNS) se encuentran los clústeres de servidores que mantienen los datos de la zona raíz. Tecnología e ingeniería Esp. así la respuesta del servidor DNS será una dirección IP incorrecta. Una forma de lograr su objetivo es ingresar al registro DNS y modificarlo. las cuales usan firmas digitales y cifrado de claves públicas para permitir a los servidores web verificar los nombres de dominio de sus sitios web y las direcciones IP correspondientes. Aplicaciones web como eCommerce. La mayoría de ataques a DNS tratan de direccionar el tráfico de datos a un sitio incorrecto. Su seguridad principalmente requiere que el sistema sea diseñado y configurado correctamente. La comunidad desarrolladora de DNS recomienda como solución las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 28: Seguridad DNS El DNS es un sistema que almacena asociaciones entre direcciones IP y nombres de dominios de host. Otra forma es suplantar al verdadero servidor DNS. Los HSM aseguran al servidor DNS de manera que la generación de claves. Infortunadamente. Para prevenir ataques al DNS se presenta un esquema de seguridad donde se provee la autenticación del origen de datos de un registro en el servidor DNS. Los módulos de seguridad en hardware (HSM) de SafeNet cumplen los exigentes requisitos de resistencia y disponibilidad necesarios para asegurar la integridad del espacio de los nombres de dominio. eCommerce y aplicaciones web. ya que la demora en hacerlo es perjudicial para la integridad ininterrumpida de la Internet. 147 . redes sociales e incluso el correo electrónico dependen del DNS. el DNS contiene los nombres desprotegidos y vulnerables de los servidores de copia caché.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. que son fácil presa de los hackers para secuestrar el tráfico web que contiene datos confidenciales. SaaS. el almacenamiento de las claves privadas y la firma de las zonas se ejecuta en un servidor DNS que físicamente tiene un acceso restringido solamente al personal esencial. Firmar las zonas configuraría en efecto los nombres de los servidores de copia caché para tomar en cuenta la seguridad. y responder a una solicitud de resolución de dirección IP con un valor falso. Las zonas raíz de DNS están en la necesidad urgente de ser firmadas digitalmente.

1. Sin embargo un usuario mal intencionado ubicado en el mismo segmento de red o situado en algún lugar del camino hacia el servidor DNS podría enviar una respuesta con la dirección IP del servidor DNS como dirección origen del paquete.net/seguridad-en-el-dnsde-gnulinux/ Falsificación Al contrario de lo que ocurre en el caso de TCP. El programa dnsspoof. éste responde a la consulta enviando un paquete UDP cuyo origen es el puerto 53. Este hecho facilita la falsificación del tráfico UDP.com. supongamos que un atacante ha podido infiltrarse en la puerta de enlace de una red cuya dirección IP es 10. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Figura 65: Seguridad DNS. Fuente: http://www. distribuido junto con Dsniff. Si el cliente recibe antes la respuesta procedente del usuario mal intencionado que la del verdadero servidor DNS.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Falsificar respuestas DNS.0.1. Por ejemplo. UDP no es un protocolo orientado a conexión.2 es la dirección IP real de algunacompania. se daría por buena la respuesta falsificada. Supongamos también que la dirección IP 10. podría hacer que el cliente se conectase a su sistema en lugar de al verdadero destino. El atacante podría ejecutar dnsspoof y responder a 148 . Tecnología e ingeniería Esp.0. Como el atacante podría proporcionar al cliente una respuesta DNS falsa. es una herramienta que hace posible la falsificación de respuestas DNS.1. Cuando un cliente DNS lanza una consulta a un servidor DNS.centosni.

El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53 está abierto en el firewall de la red.1 que es la dirección IP de su máquina. Implemente este nivel de seguridad DNS únicamente en entornos de red en los que no preocupa la integridad de los datos DNS o bien en una red privada en la que no haya amenazas de conectividad externa. la dirección Los Tres niveles de seguridad DNS En las secciones siguientes se describen los tres niveles de seguridad DNS. Todos los servidores DNS se configuran con sugerencias de raíz que señalan a los servidores raíz de Internet.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 todas las consultas DNS poralgunacompania. La actualización dinámica se permite en todas las zonas DNS. Todos los servidores DNS de la red llevan a cabo la resolución DNS estándar. tanto para direcciones de origen como de destino. La seguridad DNS de nivel bajo tiene las siguientes características:         La infraestructura DNS de la organización se expone completamente a Internet. Tecnología e ingeniería Esp.1.com con IP 192. Todos los servidores DNS permiten las transferencias de zona a cualquier servidor.168. 149 . Seguridad de nivel bajo: La seguridad de nivel bajo es una implementación DNS estándar sin medidas de seguridad configuradas. Todos los servidores DNS están configurados para escuchar en todas sus direcciones IP. La función para evitar la contaminación de la caché está deshabilitada en todos los servidores DNS.

Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Seguridad de nivel medio: La seguridad de nivel medio usa las características de seguridad DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en los Servicios de dominio de Active Directory (AD DS). Los servidores DNS externos delante del firewall se configuran con sugerencias de raíz que apuntan a los servidores raíz de Internet. Los servidores DNS se configuran para escuchar en direcciones IP especificadas. 150 . La actualización dinámica no segura no está permitida en ninguna zona DNS. La seguridad DNS de nivel medio tiene las siguientes características:          La infraestructura DNS de la organización tiene una exposición limitada a Internet. Tecnología e ingeniería Esp.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Todas las resoluciones de nombres de Internet se realizan con puertas de enlace y servidores proxy. Todos los servidores DNS limitan las transferencias de zona a servidores incluidos en los registros de recursos del servidor de nombres (NS) de sus respectivas zonas. Los servidores DNS internos se comunican con los servidores DNS externos mediante el firewall con una lista limitada de direcciones de origen y de destino permitidas. La función para evitar la contaminación de la caché está habilitada en todos los servidores DNS. Todos los servidores DNS están configurados para usar reenviadores que apunten a una lista específica de servidores DNS internos cuando no puedan resolver los nombres de forma local.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

Seguridad de nivel alto: La seguridad de nivel alto usa la misma configuración
que la seguridad de nivel medio. También usa las características de seguridad
disponibles cuando el servicio Servidor DNS se ejecuta en un controlador de
dominio y las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de
nivel alto elimina completamente la comunicación DNS con Internet. No es la
configuración típica, pero se recomienda cuando no se requiere conectividad a
Internet. La seguridad DNS de nivel alto tiene las siguientes características:






En la infraestructura DNS de la organización, los servidores DNS internos
no tienen comunicación con Internet.
La red usa un espacio de nombres y una raíz DNS de carácter interno; toda
la autoridad de las zonas DNS es interna.
Los servidores DNS que se configuran con reenviadores sólo usan
direcciones IP de servidor DNS interno.
Todos los servidores DNS limitan las transferencias de zona a las
direcciones IP especificadas.
Los servidores DNS se configuran para escuchar en direcciones IP
especificadas.
La función para evitar daños en la memoria caché está habilitada en todos
los servidores DNS.
Los servidores DNS internos se configuran con sugerencias de raíz que
señalan a los servidores DNS internos que hospedan la zona raíz del
espacio de nombres interno.
Todos los servidores DNS se ejecutan en controladores de dominio. Se
configura una lista de control de acceso discrecional (DACL) en el servicio
Servidor DNS para permitir que sólo usuarios específicos realicen tareas
administrativas en el servidor DNS.
Todas las zonas DNS se almacenan en AD DS. La lista DACL se configura
para permitir que sólo usuarios específicos puedan crear, eliminar o
modificar zonas DNS.
Las listas DACL se configuran en registros de recursos DNS para permitir
que sólo usuarios específicos puedan crear, eliminar o modificar datos
DNS.
151

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

La actualización dinámica segura se configura para las zonas DNS, excepto
para las zonas raíz y de nivel superior, que no permiten ningún tipo de
actualización dinámica.

Profundización Lección 28: El estudiante debe profundizar en cada
lección que sea vista para adquirir conocimientos a fondo y lograr un
aprendizaje óptimo.
SafeNet HSMS – DNSSEC
Link:http://www.safenetinc.com/uploadedFiles/About_SafeNet/Resource_Library/Resource_Items
/Solution_Briefs_EDP/SafeNet_Solution_Brief_Protecting_DNSSEC.pdf?
n=7060

Información de seguridad para DNS – Microsoft
Link:http://technet.microsoft.com/es-es/library/cc755131.aspx

152

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e ingeniería
Esp. Seguridad Informática

Seguridad Avanzada en redes de datos: 233015

Lección 29: Socks5 y SSL
SOCKS
Es un protocolo estándar diseñado para manejar tráfico TCP a través de un
servidor proxy. Existen dos versiones: SOCKS4 y SOCKS5. La versión SOCKS5 a
diferencia de la versión SOCKS4, soporta aplicaciones basadas en UDP e incluye
seguridad adicional mediante autenticación. Este protocolo opera entre la capa
transporte y aplicación.
SOCK5 proporciona funciones de firewall básicas, porque autentica paquetes de
entrada-salida y puede proveer NAT.

Figura 66: Protocolo
es/proxis-socks/

Sock.

Fuente:

http://en.flossmanuals.net/bypassing-

En la figura un cliente basado en TCP quiere establecer una conexión a un
proceso que se ejecuta sobre un host interno que es accesible sólo vía un firewall.
Primero el cliente debe establecer una conexión TCP al servidor SOCKS sobre el
host firewall, el servidor SOCKS escucha en el puerto 1080. El cliente propone uno
o más métodos de autenticación.





El servidor SOCKS escoge un método y notifica al cliente.
El servidor y cliente negocian e intercambian parámetros de
autenticación.
El cliente envía al servidor el requerimiento de conexión, en este caso la
dirección IP destino y puerto TCP.
La respuesta del conector contiene el número de puerto que el servidor
asignó
para conectarse con el host objetivo, y la dirección IP asociada.

153

(Eso es 340000000000000 billones de billones. no sirva para descifrar futuras transacciones. El protocolo SSL es un sistema diseñado y propuesto por Netscape Communications Corporation. para aquellos de ustedes hacer el seguimiento en casa. y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública. Que tomaría algún tiempo.463. SSL En los primeros días de la World Wide Web. Proporciona cifrado de datos.) Se determinó que si las computadoras siguió avanzando en la velocidad como lo han hecho en el pasado.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Posiblemente. SMTP. con los procesadores de gama alta que vendría en el futuro. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolosHTTP. típicamente el RSA.768. claves de 40-bit de poco se usaron. lo cual permite que aunque sea reventada por un atacante en una transacción dada. 154 . si no más. los piratas informáticos podría llegar a probar todas las claves hasta encontrar el adecuado.938. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico. los datos son transmitidos entre el host externo y el host interno. opcionalmente.456 único. autenticación de servidores. integridad de mensajes y.211. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Luego del proceso de autenticación y establecimiento de conexión exitoso. autenticación de cliente para conexiones TCP/IP.607. lo que les permite descifrar y robar información privada. Eso es un poco más de un billón claves distintas. típicamente el RC4 o IDEA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro.920.366. FTP. Debido a la velocidad cada vez mayor de computadoras. Eso es 2128 claves. pero era posible. etc. códigos de cifrado o 340. MD5 se usa como algoritmo de hash. Cada bit puede contener un uno o un cero . sin embargo.282. estos códigos de 128 bits que permanecen seguros durante por lo menos una década más. se hizo evidente que una clave de 40 bits no era lo suficientemente seguro.463.374.lo que significaba que eran dos claves diferentes disponibles. Las claves se alargaron a 128 bits. Los certificados SSL DigiCert también son compatibles con el nuevo estándar de RSA 2048-bit de encriptación. Se genera una clave de sesión distinta para cada transacción. Tecnología e ingeniería Esp. Certificados DigiCert no se detienen allí.431.

en la que intercambia información sobre las claves. usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación. 155 . El Protocolo SSL Handshake Durante el protocolo SSL Handshake. y sirve para que el cliente autentique al servidor. La fase de verificación del servidor. de modo que al final ambas partes comparten una clave maestra. la fase de fin. que será la usada para cifrar los datos intercambiados. el código de autenticación del mensaje. Tecnología e ingeniería Esp. Este protocolo sigue las siguientes seis fases (de manera muy resumida):       La fase Hola. situado encima de TCP. quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente. el servidor abre un puerto cifrado. los datos requeridos para rellenar el mensaje cuando se usa cifrado en bloque. que indica que ya se puede comenzar la sesión segura. La porción de datos del protocolo tiene tres componentes:    MAC-DATA. ACTUAL-DATA. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Cuando el cliente pide al servidor seguro una comunicación segura. PADDING-DATA. La fase de autenticación del cliente. Por último. La fase de intercambio de claves.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. La fase de producción de clave de sesión. El Protocolo SSL Record El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y recibidos. Protocolo SSL Handshake. gestionado por un software llamado Protocolo SSL Record.509 (si es necesaria la autenticación de cliente). en la que el servidor solicita al cliente un certificado X. presente sólo cuando se usa RSA como algoritmo de intercambio de claves. Será el software de alto nivel. los datos de aplicación a transmitir.

además envía una ID de sesión.blogspot.princast. El establecimiento de sesión inicia con cifrado asimétrico. Tecnología e ingeniería Esp. las dos partes cambian ha cifrado simétrico.  El browser cliente crea una llave pre_master_secret.es/fp/hola/hola_bus/cursos/curso17/d ocumentos/seguras. Fuente: http://technologypractice. la cifra usando la llave pública del servidor y transmite al servidor.educastur.pdf 156 .  El servidor envía su llave pública con un certificado digital firmado por una CA reconocida. luego de generar e intercambiar la llave de sesión (llave privada). Transacciones Seguras – Luciano Moreno Link:http://www.com/2012/06/ssl-2048-bits-mejores-practicas. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Establecimiento de sesión segura con SSL Figura 67: Establecimientos de sesión SSL. Esto se debe a que con cifrado simétrico se crea mucho menos overhead y en consecuencia se logra mayor rendimiento.html  Las dos partes de la comunicación intercambian números aleatorios. para lograr una conexión segura y autenticar a las partes.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. Profundización Lección 29: El estudiante debe profundizar en cada lección que sea vista para adquirir conocimientos a fondo y lograr un aprendizaje óptimo.  Las dos partes generan una llave de sesión usando la pre_master_secret y los números aleatorios. Sin embargo.

incluyendo el protocolo de Handshake TLS.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. La arquitectura de los dos protocolos es bastante similar.com/2011/02/analizando-ssl-ii-de-iii-aplicaciones-y. Fuente: http://lobobinario.blogspot. al ser una versión avanzada proporciona mejores características de seguridad. y autenticación de entidades de la comunicación. Consiste de dos capas. TLS proporciona integridad de datos. ISAKMP1 TLS (Transport Layer Security) El desarrollo de TLS se basa en el protocolo SSLv3. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 Lección 30: TLS. como se muestra en la siguiente figura: Figura 68: Capas TLS.  Comprime los datos (opcional). Se ubica sobre un protocolo de transporte confiable. 157 . el Protocolo de Registro TLS y el Protocolo de Handshake TLS. tal como TCP. Realiza el siguiente procedimiento con los mensajes a ser transmitidos:  Fragmenta los datos en bloques manejables. confidencialidad de datos. Tecnología e ingeniería Esp.  Aplica un código de autenticación del mensaje. sin embargo no se asegura la compatibilidad entre estos.html Protocolo de Registro TLS El protocolo de registro TLS permite encapsular protocolos de alto nivel.

 El protocolo de alerta: permite notificar que la conexión va a ser cerrada. tipo de autenticación y generan llaves secretas.  El protocolo de cambio de código: mensaje enviado por el cliente y servidor. Tecnología e ingeniería Esp. IPsec AH o TLS. en el caso de UDP que es un protocolo no confiable. se logra una administración de llaves confiable con el uso de este protocolo. Seguridad Informática Seguridad Avanzada en redes de datos: 233015  Cifra y transmite el resultado. Algunos de los protocolos de seguridad usados pueden ser IPsec ESP. aunque ISAKMP 158 . Consiste de tres protocolos:  El protocolo de hanshake: es el protocolo más importante por el cual el cliente  y servidor acuerdan parámetros como: el algoritmo criptográfico. Su función es similar a SASL (Simple Authentication and Security Layer).UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. antes que los datos sean transmitidos. ISAKMP ISAKMP proporciona un framework para el establecimiento y administración de asociaciones de seguridad de forma independiente del protocolo de seguridad. Protocolo de Handshake TLS El protocolo de Handshake TLS permite la mutua identificación cliente-servidor y negociación del algoritmo y llaves de cifrado. para notificar que los siguientes mensajes van a ser protegidos bajo los nuevos parámetros de seguridad negociados. Puede implementarse ISAKMP sobre cualquier protocolo de transporte o sobre IP. autenticación de ambas partes y total anonimato. el que también permite el uso de diferentes mecanismos de seguridad. o que ha ocurrido un error en la conexión TLS soporta tres tipos de autenticación: autenticación del servidor.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. El conjunto de atributos y parámetros que definen una SA son llamados dominio de interpretación.  Convenciones para nombrar a la información importante de seguridad. En la fase 1 se establece una SA entre las partes de la comunicación. la que define la forma de proteger los futuros mensajes de negociación.fi/Opinnot/Tik110. Tecnología e ingeniería Esp.tkk.  Tipo de intercambio.501/1998/papers/16isakmp/isakmp. 159 . Fuente: http://www.tml. Luego de la fase 2 el protocolo de seguridad puede iniciar su ejecución.html La negociación se realiza en dos fases. La fase 2 establece uno o varios SAs para el protocolo de seguridad que se va a usar. estos son:  formato de payload. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 es más complejo ya que maneja una asociación de seguridad múltiple. Negociación Figura 69: ISAKMP.

21 de julio]. ed. Madrid: Universidad Carlos III de Madrid. y Daza.). Disponible en: http://usuarios. [en línea]. Zilic. (2005).).).. ed.). [10] Barajas.). B. (2003). [en línea]. O. Protocolos de seguridad en redes inalámbricas.. 21 de julio]. L. [2] Philippe. (2004). [4] Anguita.pdf [2013. Redes de computadoras (4a. Seguridad en redes telemáticas. Prokic. 51 (3). Conceptos fundamentales (2a.11-Francisco-Lopez-Ortizres. España: Thompson. Prieto.J-S.dit. G. J. 21 de julio]. [9] Chenard.saulo.F: [6] Miller..multimania. y Dubrawsky. W. Arquitectura de computadores (2a.11 Wireless LAN. Estados Unidos: Pearson Printice Hall. L. México D.es/~david/TAR/trabajos2002/08-802. [7] López. M. A. Tecnología e ingeniería Esp.net/des/SegWiFiart. S.UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. (2002). Seguridad Informática Seguridad Avanzada en redes de datos: 233015 REFERENCIAS [1] Forouzan. Disponible en: http://web. E. 160 . Prindice Hall.pdf [2013. 378. Firewall Fundamentals (1a. España: Universidad Santiago de Cali. Pearson. Madrid: McGraw-Hill. Disponible en: http://www. Wardriving: el preludio a un ataque inalámbrico?. ed. Transmisión de datos y redes de comunicaciones (2a. J. I. Ortega.pdf [2013.F: McGrawHill. S. R. [en línea]. A. Revista Iberoamericana de tecnologías del aprendizaje (IEEE-RITA). Z. Barcelona: España: Ediciones ENI.. y Dordoigne. ed. ed. [8] Carracedo. El estándar IEEE 802. Seguridad en Wifi. A laboratory setup and teaching methodology for wireless and mobile embedded systems.upm.es/wdcali/archivos/download/Wardriving%20El%20Prelu dio%20De%20Un%20Ataque%20Inal%E1mbrico. Madrid: Universidad Politécnica de Madrid. (2006). (2004). (2006). México D. Madrid: McGraw-Hill. [11] Campiño. [5] Tanenbaum. [3] Noonan. (2008). Redes informáticas.

Scambray. ed. (2011). G. Estados Unidos: McGraw-Hill.php?pid=S0718-13372005000300015&script=sci_arttext [2013. A. [15] Sanders. [13] McClure.). C. J.. España: Anaya Multimedia/O'Reilly.cl/scielo. Reino Unido: Packt Publishing Ltd. Practical packet analysis: using wireshark to solve realworld network problems. (2a. Seg 2: El tiempo nos da la razón.scielo. y González.. Tecnología e ingeniería Esp. C. (2012). 21 de julio]. Disponible en: http://www. [16] McNab.).UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas. V. 56. Beginner's Guide. San Francisco: No starch press. Chile: Revista facultad de ingenierías Universidad de Tarapacá. [14] Ramachandran. (2011). Seguridad de redes. 36-38. S. [en línea]. ed. Kurtz.V. BackTrack 5 wireless penetration testing. [17] Álvarez. Seguridad Informática Seguridad Avanzada en redes de datos: 233015 [12] Gallego. 161 . (2004). ed. protección de datos y comunicación. (2012).). (7a. Hacking exposed: network security secrets & solutions (7a. Red seguridad: revista especializada en seguridad informática. (2005) Estudio y configuración de calidad de servicio para protocolos IPV4 e IPV6 en una red de fibra óptica WDM. M.