5.

FIREWALLS COMO HERRAMIENTAS DE SEGURIDAD

5.1. TIPOS DE FIREWALL: DE SOFTWARE Y DE HARDWARE.
El firewall, en castellano muro de fuego, es un sistema que es utilizado para proteger una
computadora en particular o bien una red. Normalmente su objetivo es evitar el ingreso
de agentes externos, no autorizados o informacin.
Existen distintos tipos de firewalls, que pueden ser clasificados de diversas maneras en:
Firewalls en Hardware y Software:
Hardware: este tipo de sistema es colocado sobre los dispositivos usados para ingresar a
Internet, los llamados routers. Frecuentemente la instalacin ya se encuentra realizada
cuando compramos el router. En caso contrario es muy recomendable realizar la
instalacin. La colocacin del firewall en este caso es muy compleja, es hecha gracias a un
navegador que tiene acceso a Internet.
Software: pueden ser distinguidos dos tipos de estos firewalls, el primero es el gratuito:
tambin conocido bajo el nombre de software firewall, que puede ser usado con total
libertad y de manera totalmente gratuita como su nombre indica. Su objetivo es rastrear y
no permitir acceso a ciertos datos a las computadoras personales. Hoy en da la mayora
de las PC ya tienen el firewall colocado.
Este sistema es caracterizado por su fcil instalacin, al que pueden ser sumados otros
sistemas para asegurar la computadora, cuando deja de funcionar, es la misma PC quien
se encarga de avisarlo, no es requerido un sistema de Hardware para colocarlo y
generalmente son utilizado en una sola computadora.
Por otro lado se encuentran los comerciales. Estos sistemas de software poseen el mismo
funcionamiento que el anterior. Adems se les suma mayores niveles de control y
proteccin. Muchas veces son vendidos con otros sistemas de seguridad como antivirus,
para que resulten an ms eficientes a la hora de proteger la computadora.
Puede ser realizada otra clasificacin segn su nivel de aplicacin o de red:
Aplicacin: normalmente estos son utilizados con los servidores llamados proxy. En este
caso no es posible el pasaje de datos de manera directa entre redes, ya que hay un
monitoreo de los datos. Estos sistemas son utilizados para poder traducir ciertas
direcciones de la red, pero siempre escondiendo el lugar donde se origina el trfico.

Red: en este caso las decisiones son tomadas dependiendo de los puertos de los datos, la
direccin de destino y de origen de la informacin. Para ejemplificarlo esta clase de

firewalls, podra ser un router, aunque el mismo resulte un tanto obsoleto ya, porque
existen firewalls que resultan ms eficaces, sobre todo cuando es necesario tomar una
decisin y tambin en cuento a los datos. Estos resultan ser muy veloces y claros para
aquella persona que los utilicen.
5.1.1. FIREWALL DE CAPAS INFERIORES.
En construccin, la palabra firewall denota una pared que evita que el fuego (Los
peligros de Internet) se propague dentro del edificio (nuestra red interna). Las capas
inferiores encapsulan los paquetes de las capas superiores.
Otro de los dispositivos que trabajan en ms que las 3 capas inferiores son los firewalls, y
son programas corriendo en un ruteado o servidor o un componente de hardware de
propsito especial de la red. Protege los recursos de una red privada de los usuarios de
otra red.
Trabajando en conjunto con un programa de ruteo, un firewall examina cada paquete de
red y determina si lo manda o no a su destino. Es como usar un oficial de trnsito para
asegurar que slo el trfico vlido pueda entrar en ciertas redes.
5.1.2. FIREWALL DE CAPA DE APLICACIN.
Trabaja en el nivel de aplicacin (nivel 7), de manera que los filtrados se pueden adaptar a
caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico
HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un
firewall a nivel 7 de trfico HTTP, suele denominarse proxy, y permite que los
computadores de una organizacin entren a Internet de una forma controlada. Un proxy
oculta de manera eficaz las verdaderas direcciones de red. En este TFC se ha utilizado una
combinacin de firewall a nivel de aplicacin de pasarela (ya que se ha permitido el acceso
de los programas utilizados en el TFC) y de capa de red o filtrado de paquete porque se ha
limitado el rango de IPs para el acceso a dichos programas.
5.1.3. FIREWALL PERSONAL.
El firewall personal es un programa que funciona en su ordenador de forma permanente.
El programa monitoriza las conexiones que entran y salen de su ordenador y es capaz de
distinguir las que son legtimas de las realizadas por atacantes. En este segundo caso, las
bloquea y lo notifica al usuario del ordenador. El firewall personal, junto con un antivirus,
proporciona el mayor grado de seguridad posible con herramientas comerciales.
Existe un gran nmero de ofertas en el mercado. En algunos casos, los productos son
gratuitos para usuarios particulares, y de pago slo para empresas. La mayora de las
empresas que desarrollan y mantienen antivirus tambin disponen de estos productos. En
caso de duda, pngase en contacto con su proveedor habitual de software.

Instalacin
Para instalar un firewall personal, en primer lugar es necesario asegurarse de que no
existe ningn otro ya instalado. La instalacin de dos firewall personales no aumenta la
seguridad, sino que genera fallos y conflictos entre ambos.
Adems de las preguntas habituales de instalacin, el firewall personal normalmente le
solicitar que seleccione un nivel de seguridad entre laxo, normal y estricto. Se
recomienda utilizar el nivel de seguridad normal a menos que sea un usuario experto, en
cuyo caso se recomienda el nivel de seguridad estricto.
Primeros das de funcionamiento
Durante los primeros das de funcionamiento, el firewall personal le enviar un gran
nmero de mensajes. Estos avisos sern fundamentalmente de dos tipos:
Peticiones de conexin de programas: al usar un programa, normalmente se establecen
conexiones a internet. El firewall personal detectar esta conexin y advertir al usuario
de ello.
Ataques detectados: el sistema advertir de que su sistema est siendo atacado. La
frecuencia de los ataques puede llegar a ser de 3 o 4 por hora. No hay que alarmarse, casi
siempre son ataques que se dirigen a redes enteras y que no afectan a ninguna mquina.
Son intentos de ataque sin xito de los cuales le informa el firewall personal.
En cualquiera de estos casos, el firewall personal puede avisar de nuevo o slo registrar el
ataque, segn la opcin que usted elija. Es decir, en caso de un nuevo acceso le avisar de
nuevo o, por el contrario, repetir nuestra ltima orden. Se recomienda utilizar todos los
programas con conexin en la red disponibles los primeros das hasta que no haya
mensajes de aviso y el firewall personal los tenga todos registrados.
En cuanto a los ataques, ocurrir lo mismo. Los primero das se mostrar un nmero muy
alto de ataques que irn disminuyendo progresivamente.
Mantenimiento: Una vez el firewall personal est en funcionamiento debe Seguirse
manteniendo y actualizando. Un firewall personal slo es seguro si reconoce y detecta los
ltimos ataques conocidos. De la misma forma que un Antivirus y, en general, todo el
software, es conveniente actualizarlo con la ltima versin disponible.

5.2. VENTAJAS DE UN FIREWALL

Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall,
cada uno de los servidores propios del sistema se expone al ataque de otros servidores en
el Internet. Por ello la seguridad en la red privada depende de la "dureza" con que el
firewall cuente.
Administran los accesos provenientes de la red privada hacia el Internet
Permite al administrador de la red mantener fuera de la red privada a los usuarios noautorizados (tal, como, hackers, crackers y espas), prohibiendo potencialmente la entrada
o salida de datos.
El firewall crea una bitcora en donde se registra el trfico ms significativo que pasa a
travs l.
Concentra la seguridad Centraliza los accesos.
Proteccin de informacin privada: Define que usuarios de la red y que informacin va a
obtener cada uno de ellos.
Optimizacin de acceso: Define de manera directa los protocolos a utilizarse.
Proteccin de intrusos: Protege de intrusos externos restringiendo los accesos a la red.
Protege de intrusiones. El acceso a ciertos segmentos de la red de una organizacin, slo
se permite desde mquinas autorizadas de otros segmentos de la organizacin o de
Internet. Proteccin de informacin privada. Permite definir distintos niveles de acceso a
la informacin de manera que en una organizacin cada grupo de usuarios definido tendr
acceso slo a los servicios y la informacin que le son estrictamente necesarios.
Concentra la seguridad Centraliza los accesos.
Proteccin de informacin privada: Define que usuarios de la red y que informacin va a
obtener cada uno de ellos. Optimizacin de acceso: Define de manera directa los
protocolos a utilizarse.
Proteccin de intrusos: Protege de intrusos externos restringiendo los accesos a la red.
Protege de intrusiones. El acceso a ciertos segmentos de la red de una organizacin, slo
se permite desde mquinas autorizadas de otros segmentos de la organizacin o de
Internet. Proteccin de informacin privada. Permite definir distintos niveles de acceso a
la informacin de manera que en una organizacin cada grupo de usuarios definido tendr
acceso slo a los servicios y la informacin que le son estrictamente necesarios.
Optimizacin de acceso.- Identifica los elementos de la red internos y optimiza que la
comunicacin entre ellos sea ms directa. Esto ayuda a reconfigurar los parmetros de
seguridad.
Proteccin de la red :
Mantiene alejados a los piratas informticos (crakers) de su red al mismo tiempo que
permite acceder a todo el personal de la oficina.-

Control de acceso a los recursos de la red :

Al encargarse de filtrar, en primer nivel antes que lleguen los paquetes al resto de las
computadoras de la red, el firewall es idneo para implementar en el los controles de
acceso. Control de uso de internet :
Permite bloquear el material no- adecuado, determinar que sitios que puede visitar el
usuario de la red interna y llevar un registro.Concentra la seguridad:
El firewall facilita la labor a los responsables de seguridad, dado que su mxima
preocupacin de encarar los ataques externos y vigilar, es mantener un monitoreo.
Control y estadsticas:
Permite controlar el uso de internet en el mbito interno y conocer los intentos de
conexiones desde el exterior y detectar actividades sospechosas.
Choke-Point:
Permite al administrador de la red definir un (embudo) manteniendo al margen los
usuarios no-autorizados fuera de la red, prohibiendo potencialmente la entrada o salida al
vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques.
Genera Alarmas de Seguridad:
El administrador del firewall puede tomar el tiempo para responder una alarma y examina
regularmente los registros de base.
Audita y registra internet:
Permite al administrador de red justificar el gasto que implica la conexin a internet,
localizando con precisin los cuellos de botella potenciales del ancho de banda.
5.3. LIMITACIONES DE UN FIREWALL.
En el enfoque tradicional comentado, un firewall no puede ofrecer proteccin contra
conexiones que no pasen a travs de l, por lo que el firewall no puede proteger la red
contra atacantes internos.
Adicionalmente un firewall restringir el acceso a ciertos dispositivos o funcionalidades, si
existen conexiones no protegidas que pueden comunicar los sistemas de la red interna
con la externa, es posible que algn usuario no autorizado intente saltear el firewall para
obtener acceso a esas funcionalidades. Este tipo de amenaza solo puede ser tratada por
procedimientos de administracin que estn incorporados a las polticas de seguridad de
las organizaciones y aseguren la proteccin o eliminacin de estas conexiones.

5.4. POLTICAS DEL FIREWALL.

Una poltica de seguridad es un conjunto de decisiones que determinan, de forma
colectiva, la postura asumida con respecto a las medidas de seguridad implementadas (o a
implementar) en una red de computadoras.
No existe una frmula para la poltica de seguridad de una red privada sino que cada
responsable debe disearla segn el caso.
Las consideraciones de una poltica de seguridad estn dirigidas por las necesidades
estructurales, de negocios o tecnolgicas de la organizacin y pueden involucrar
decisiones tales como restringir el trfico de salida de red que permita a los empleados
exportar datos valiosos, restringir el software importado por los empleados sin permiso de
la compaa, impedir el uso de un determinado protocolo de comunicacin porque no
puede ser administrado de forma segura, entre otras. Este es un proceso iterativo que
permite modificar la filosofa para ajustarse a las necesidades del momento.
El funcionamiento de un firewall est fuertemente asociado a la poltica de seguridad
elegida. Definir los lmites de comportamiento es fundamental para la operacin de un
firewall. Por lo tanto, una vez que se haya establecido y documentado apropiadamente
una slida poltica de seguridad, el firewall debe ser configurado para reflejarla y es su
trabajo aplicarla como parte de una defensa de permetro (siguiendo el enfoque
tradicional). Consecuentemente se configura un firewall para rechazar todo, a menos que
hayamos elegido explcitamente aceptarlo y correr el riesgo. Tomar el camino opuesto de
rechazar solo a los ofensores conocidos es una opcin extremadamente peligrosa. Por
ltimo, cualquier cambio hecho al firewall debera ser corregido en la poltica de seguridad
y viceversa. Hay dos polticas bsicas en la configuracin de un cortafuego que cambian
radicalmente la filosofa fundamental de la seguridad en la organizacin:
Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente
permitido. El cortafuego obstruye todo el trfico y hay que habilitar expresamente
el trfico de los servicios que se necesiten. Esta aproximacin es la que suelen
utilizar la empresa y organismos gubernamentales.
Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente
denegado. Cada servicio potencialmente peligroso necesitar ser aislado
bsicamente caso por caso, mientras que el resto del trfico no ser filtrado. Esta
aproximacin la suelen utilizar universidades, centros de investigacin y servicios
pblicos de acceso a internet. La poltica restrictiva es la ms segura, ya que es
ms difcil permitir por error trfico potencialmente peligroso, mientras que en la
poltica permisiva es posible que no se haya contemplado algn caso de trfico
peligroso y sea permitido por omisin.

5.5. ENLACES EXTERNOS.

Bsicamente, una aplicacin Firewall se caracteriza por un dispositivo que intercepta la
conexin entre un servidor Web y un Cliente para garantizar el cumplimiento de ciertas
normas. En otras palabras, sirve para proteger el servidor Web de posibles ataques o
conexiones no autorizadas.
El secreto est en que estas aplicaciones firewall (o cortafuegos) restringen el acceso a
ciertos puertos o servicios, y eso es todo. El proceso completo consiste en revisar cada
paquete solicitado o enviado por el cliente inspeccionando sus capas de servicio Web
HTTP, HTTPS, SOAP y XML-RPC. Adems de todo esto, algunos de estos servidores
cortafuegos persiguen
firmas de ataque concretas para prevenir aquellos ataques especficos de un intruso
particular. Hay que tener muy en cuenta que las aplicaciones Firewall pueden basarse en
software o en un dispositivo de hardware, y estn instalados en un servidor Web con la
intencin de prevenir ataques. Modsecurity es una aplicacin que te permitir incluir un
cortafuego en tu Servidor Web Apache de forma totalmente gratuita, slo tienes que
descargarlo e instalarlo en el sistema de tu servidor.
USO DE FIREWALL
Muchas veces tenemos bastantes software instalados en nuestro equipo, a veces esto se
conectan a internet para enviar informes, fallos, buscar actualizaciones, etc. Son a veces
estas conexiones las cuales puede causar desde una mnima lentitud en el servicio de
internet. Pero falta ms por saber, pueden haber conexiones hacia otros host los cuales
nosotros no hemos autorizado, a falta de un software llamado firewall estos simplemente
conectaran y uno como usuario del PC pierde el control.
Firewall o cortafuegos, ya sea fsico o de software, es un sistema que bloquea y permite
conexiones entrantes y salientes del host o PC. Nuestra recomendacin es que tengan un
firewall instalado, con ello podrn saber que se est conectando a nuestro PC y que
conexiones se estn realizando desde nuestro PC hacia la red de internet
Firewall / Cortafuegos
Quizs uno de los elementos ms publicitados a la hora de establecer seguridad, sean
estos elementos. Aunque deben ser uno de los sistemas a los que ms se debe prestar
atencin, distan mucho de ser la solucin final a los problemas de seguridad. De hecho,
los Firewalls no tienen nada que hacer contra tcnicas como la Ingeniera Social y el
ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la
una poltica de seguridad establecida. Es el mecanismo encargado de proteger una red
confiable de una que no lo es (por ejemplo Internet).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

1.-Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l.
2. Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido.

Como puede observarse, el Muro Cortafuegos, slo sirven de defensa perimetral de las
redes, no defienden de ataques o errores provenientes del interior, como tampoco puede
ofrecer proteccin una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y
saliente debe pasar a travs de ellos para proveer servicios de seguridad adicionales como
la encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados,
ambos deben "hablar" el mismo mtodo de encriptacin-desencriptacin para entablar la
comunicacin.
Routers y Bridges
Cuando los paquetes de informacin viajan entre su destino y origen, va TCP/IP, estos
pasan por diferentes Routers (enrutadores a nivel de Red). Los Routers son dispositivos
electrnicos encargados de establecer comunicaciones externas y de convertir los
protocolos utilizados en las LAN en protocolos de WAN y viceversa. En cambio, si se
conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes que operan a
nivel de Enlace.
La evolucin tecnolgica les ha permitido transformarse en computadoras muy
especializadas capaz de determinar, si el paquete tiene un destino externo y el camino
ms corto y ms descongestionado hacia el Router de la red destino. En caso de que el
paquete provenga de afuera, determina el destino en la red interna y lo deriva a la
mquina correspondiente o devuelve el paquete a su origen en caso de que l no sea el
destinatario del mismo. Los Routers "toman decisiones" en base a un conjunto de datos,
regla, filtros y excepciones que le indican que rutas son las ms apropiadas para enviar los
paquetes.

Cmo funciona un sistema Firewall

Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al
sistema:
Autorizar la conexin (permitir)
Bloquear la conexin (denegar)
Rechazar el pedido de conexin sin informar al que lo envi (negar)
Todas estas reglas implementan un mtodo de filtrado que depende de la poltica de
seguridad adoptada por la organizacin. Las polticas de seguridad se dividen
generalmente en dos tipos que permiten:
La autorizacin de slo aquellas comunicaciones que se autorizaron
explcitamente:
"Todo lo que no se ha autorizado explcitamente est prohibido"
El rechazo de intercambios que fueron prohibidos explcitamente
El primer mtodo es sin duda el ms seguro. Sin embargo, impone una definicin precisa y
restrictiva de las necesidades de comunicacin.
Filtrado de paquetes Stateless.
Un sistema de firewall opera segn el principio del filtrado simple de paquetes, o filtrado
de paquetes stateless. Analiza el encabezado de cada paquete de datos (datagrama) que
se ha intercambiado entre un ordenador de red interna y un ordenador externo.
As, los paquetes de datos que se han intercambiado entre un ordenador con red externa
y uno con red interna pasan por el firewall y contienen los siguientes encabezados, los
cuales son analizados sistemticamente por el firewall:
La direccin IP del ordenador que enva los paquetes
La direccin IP del ordenador que recibe los paquetes
El tipo de paquete (TCP, UDP, etc.)
El nmero de puerto (recordatorio: un puerto es un nmero asociado a un servicio
o a una aplicacin de red).
Las direcciones IP que los paquetes contienen permiten identificar el ordenador que enva
los paquetes y el ordenador de destino, mientras que el tipo de paquete y el nmero de
puerto indican el tipo de servicio que se utiliza.

La siguiente tabla proporciona ejemplos de reglas del firewall:

Los puertos reconocidos (cuyos nmeros van del 0 al 1023) estn asociados con servicios
ordinarios (por ejemplo, los puertos 25 y 110 estn asociados con el correo electrnico y
el puerto 80 con la Web). La mayora de los dispositivos de firewall se configuran al menos
para filtrar comunicaciones de acuerdo con el puerto que se usa. Normalmente, se
recomienda bloquear todos los puertos que no son fundamentales (segn la poltica de
seguridad vigente).
Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada mediante
dispositivos de firewall, ya que corresponde al protocolo TELNET, el cual permite a una
persona emular el acceso terminal a una mquina remota para ejecutar comandos a
distancia. Los datos que se intercambian a travs de TELNET no estn codificados. Esto
significa que es probable que un hacker observe la actividad de la red y robe cualquier
contrasea que no est codificada. Generalmente, los administradores prefieren el
protocolo SSH, el cual tiene la reputacin de ser seguro y brinda las mismas funciones que
TELNET.
Filtrado Dinmico
El Filtrado de paquetes Stateless slo intenta examinar los paquetes IP
independientemente, lo cual corresponde al nivel 3 del modelo OSI
(Interconexin de sistemas abiertos). Sin embargo, la mayora de las conexiones son
admitidas por el protocolo TCP, el cual administra sesiones, para tener la seguridad de que
todos los intercambios se lleven a cabo en forma correcta. Asimismo, muchos servicios
(por ejemplo, FTP) inician una conexin en un puerto esttico. Sin embargo, abren un
puerto en forma dinmica (es decir, aleatoria) para establecer una sesin entre la
mquina que acta como servidor y la mquina cliente. De esta manera, con un filtrado de
paquetes stateless, es imposible prever cules puertos deberan autorizarse y cules

deberan prohibirse Para solucionar este problema, el sistema de filtrado dinmico de

paquetes se basa en la inspeccin de las capas 3 y 4 del modelo OSI, lo que permite
controlar la totalidad de las transacciones entre el cliente y el servidor. El trmino que se
usa para denominar este proceso es "inspeccin stateful" o
"filtrado de paquetes stateful". Un dispositivo de firewall con "inspeccin stateful" puede
asegurar el control de los intercambios. Esto significa que toma en cuenta el estado de
paquetes previos cuando se definen reglas de filtrado. De esta manera, desde el momento
en que una mquina autorizada inicia una conexin con una mquina ubicada al otro lado
del firewall, todos los paquetes que pasen por esta conexin sern aceptados
implcitamente por el firewall.
El hecho de que el filtrado dinmico sea ms efectivo que el filtrado bsico de paquetes
no implica que el primero proteger el ordenador contra los hackers que se aprovechan
de las vulnerabilidades de las aplicaciones. Aun as, estas vulnerabilidades representan la
mayor parte de los riesgos de seguridad.
Filtrado de aplicaciones
El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicacin. El filtrado
de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del
filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de
los protocolos utilizados por cada aplicacin. Como su nombre lo indica, el filtrado de
aplicaciones permite filtrar las comunicaciones de cada aplicacin. El filtrado de
aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento
de la forma en que en sta se estructuran los datos intercambiados (puertos, etc.). Un
firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de
aplicaciones" o ("proxy"), ya que acta como rel entre dos redes mediante la
intervencin y la realizacin de una evaluacin completa del contenido en los paquetes
intercambiados. Por lo tanto, el proxy acta como intermediario entre los ordenadores de
la red interna y la red externa, y es el que recibe los ataques. Adems, el filtrado de
aplicaciones permite la destruccin de los encabezados que preceden los mensajes de
aplicaciones, lo cual proporciona una mayor seguridad.
Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena
proteccin de la red. Por otra parte, el anlisis detallado de los datos de la aplicacin
requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentizacin
de las comunicaciones, ya que cada paquete debe analizarse minuciosamente.
Adems, el proxy debe interpretar una gran variedad de protocolos y conocer las
vulnerabilidades relacionadas para ser efectivo.
Finalmente, un sistema como este podra tener vulnerabilidades debido a que interpreta
pedidos que pasan a travs de sus brechas. Por lo tanto, el firewall (dinmico o no)
debera disociarse del proxy para reducir los riesgos de comprometer al sistema.
El concepto de Firewall personal .El trmino firewall personal se utiliza para los casos en
que el rea protegida se limita al ordenador en el que el firewall est instalado.

Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el

ordenador y prevenir notablemente los ataques de programas como los troyanos, es
decir, programas dainos que penetran en el sistema para permitir que un hacker controle
el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir
intrusiones de aplicaciones no autorizadas a conectarse a su ordenador.
Limitaciones del Firewall
Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo contrario.
Los firewalls slo ofrecen proteccin en tanto todas las comunicaciones salientes pasen
sistemticamente a travs de stos y estn configuradas correctamente. Los accesos a la
red externa que sortean el firewall tambin son puntos dbiles en la seguridad.
Claramente, ste es el caso de las conexiones que se realizan desde la red interna
mediante un mdem o cualquier otro medio de conexin que evite el firewall.
Asimismo, la adicin de medios externos de almacenamiento a los ordenadores de
sobremesa o porttiles de red interna puede daar enormemente la poltica de seguridad
general. Para garantizar un nivel mximo de proteccin, debe ejecutarse un firewall en el
ordenador y su registro de actividad debe controlarse para poder detectar intentos de
intrusin o anomalas. Adems, se recomienda controlar la seguridad (por ejemplo,
inscribindose para recibir alertas de seguridad a fin de modificar los parmetros del
dispositivo de firewall en funcin de las alertas publicadas. La instalacin de un firewall
debe llevarse a cabo de la mano de una poltica de seguridad real.

6.-VIGILANCIA DE LOS SISTEMAS DE INFORMACIN

6.1- DEFINICION DE VIGILANCIA
Del latn vigilanta, la vigilancia es el cuidado y la supervisin de las cosas que estn a cargo de
uno. La persona que debe encargarse de la vigilancia de algo o de alguien
tiene responsabilidad sobre el sujeto o la cosa en cuestin.

El servicio ordenado y dispuesto para vigilar tambin se conoce como vigilancia. Puede tratarse del
servicio prestado por una compaa privada (ya sea mediante guardias o equipos tecnolgicos
como cmaras de video) o por las fuerzas pblicas de seguridad , en este sentido tenemos que
destacar que para poder llevar a cabo esta tarea de prevencin y proteccin, hay que hacer uso de
todo tipo de herramientas tcnicas y tecnologa. Entre las mismas han tomado especial
protagonismo en los ltimos aos las llamadas cmaras de videovigilancia. Estas se encargan de
grabar en imgenes todo lo que sucede en el entorno donde se encuentran ubicadas, ya sea el
interior de un edificio o el exterior de una vivienda. Gracias a ellas se consigue percibir, por
ejemplo, la llegada de intrusos al lugar y no slo eso sino que ahora, gracias a los avances que
incorporan, pueden avisar directamente al dueo del recinto mediante una alarma cuando se
perciba esa presencia de desconocidos.
No obstante, existen otros muchos instrumentos y dispositivos que se pueden emplear para
acometer las tareas de videovigilancia. En concreto podramos hablar de rastreos de GPS, escuchas
telefnicas, micrfonos ocultos, vehculos camuflados Aparatos todos ellos que, en muchas
ocasiones, son utilizados por las fuerzas militares o policiales a la hora de conseguir capturar a un
peligroso delincuente o bien de proteger a algn alto mandatario de posibles atentados que
quieran acabar con su vida.
Puede decirse que la vigilancia es un proceso de monitoreo, ya sea de seres humanos, animales,
objetos o procesos. La intencin es que lo vigilado acte o se mantenga dentro de los parmetros
esperados.
En algunas cuestiones, la vigilancia desarrollada con el objetivo de garantizar la seguridad entra en
conflicto con la privacidad de las personas. Ese es el caso de las cmaras instaladas en lugares
pblicos.

6.2- ANATOMA DE UN ATAQUE INFORMTICO

Conocer las diferentes etapas que conforman un ataque informtico brinda la ventaja de
aprender a pensar como los atacantes y a jams subestimar su mentalidad. Desde la perspectiva
del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la
forma en que los atacantes llevan a cabo un ataque.
La siguiente imagen. Muestra las cinco etapas por las cuales suele pasar un ataque informtico al
momento de ser ejecutado:

Figura 1. Fases comunes de un ataque informtico

Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtencin de informacin
(Information Gathering) con respecto a una potencial vctima que puede ser una persona u
organizacin. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como
Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las tcnicas utilizadas en
este primer paso son la Ingeniera Social, el Dumpster Diving, el sniffing.
Fase 2: Scanning (Exploracin). En esta segunda etapa se utiliza la informacin obtenida en la fase
1 para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como
direcciones IP, nombres de host, datos de autenticacin, entre otros. Entre las herramientas que
un atacante puede emplear durante la exploracin se encuentra el network mappers, port
mappers, network scanners, port scanners, y vulnerabilit y scanners.

Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a
travs de la explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation)
descubiertos durante las fases de reconocimiento y exploracin. Algunas de las tcnicas que el
atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed
Denial of Service (DDos), Password filtering y Session hijacking.
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder
al sistema, buscar implantar herramientas que le permitan volver a acceder en el futuro desde
cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors,
rootkits y troyanos.
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logr obtener y mantener el
acceso al sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para
evitar ser detectado por el profesional de seguridad o los administradores de la red. En
consecuencia, buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin
de Intrusos (IDS).
Si utilizas al enemigo para derrotar al enemigo, sers poderoso en cualquier lugar a donde vayas.

6.2.1. IDENTIFICACIN DE OBJETIVOS.

La seguridad consta de tres elementos fundamentales que forman parte de los objetivos que
intentan comprometer los atacantes. Estos elementos son la confidencialidad, la integridad y la
disponibilidad de los recursos. Bajo esta perspectiva, el atacante intentar explotar las
vulnerabilidades de un sistema o de una red para encontrar una o ms debilidades en alguno de
los tres elementos de seguridad.
Para que, conceptualmente hablando, quede ms claro de qu manera se compromete cada uno
de estos elementos en alguna fase del ataque, tomemos como ejemplo los siguientes casos
hipotticos segn el elemento que afecte.
Confidencialidad. Un atacante podra robar informacin sensible como contraseas u otro tipo de
datos que viajan en texto claro a travs de redes confiables, atentando contra la confidencialidad
al permitir que otra persona, que no es el destinatario, tenga acceso a los datos. Un ejemplo que
compromete este elemento es el envenenamiento de la tabla ARP (ARP Poisoning).
Integridad. Mientras la informacin se transmite a travs del protocolo de comunicacin, un
atacante podra interceptar el mensaje y realizar cambios en determinados bits del texto cifrado
con la intencin de alterar los datos del criptograma. Este tipo de ataques se denomina BitFlipping y son considerados ataques contra la integridad de la informacin.
El ataque no se lleva a cabo de manera directa contra el sistema de cifrado pero s en contra de un
mensaje o de una serie de mensajes cifrados. En el extremo, esto puede convertirse en un ataque
de denegacin de servicio contra todos los mensajes en un canal que utiliza cifrado.

Disponibilidad. En este caso, un atacante podra utilizar los recursos de la organizacin,

Como el ancho de banda de la conexin DSL para inundar de mensaje el sistema vctima y forzar la
cada del mismo, negando as los recursos y servicios a los usuarios legtimos del sistema. Esto se
conoce como Denial of Service (DoS) y atenta directamente contra la Integridad de la informacin.

6.2.2. RECONOCIMIENTO INICIAL.

6.2.3. TCNICAS DE RECOPILACIN DE INFORMACIN Y ANLISIS FORENSE.
6.3. ESCANEOS.
Escaneo de puertos TCP
47

Al establecer una conexin TCP (Transmission Control Protocol), necesariamente

se sigue una negociacin consistente en tres pasos, regularmente conocida
como Three-way-handshake. Este protocolo se inicia con la mquina origen que
enva un paquete con la bandera SYN activada; la mquina destino responde a
su vez con las banderas SYN/ACK prendidas y por ltimo, la computadora origen
enva un tercer y ltimo paquete conteniendo la bandera ACK; una vez
completados dichos pasos, la conexin entre los dos equipos se ha completado.
(Vase figura 15.)
Figura 15. Representacin grfica de los pasos que se siguen durante el protocolo Three-wayhandshake.

Un escner de puertos TCP enva varios paquetes SYN al equipo que se est
atacando y dependiendo de la respuesta que obtenga, interpreta lo siguiente:
Si la respuesta es un SYN/ACK, entonces el puerto est abierto.
Si la respuesta es un paquete RST, significar que el puerto est cerrado.
47

Tomada de http://insecure.org/

30

Tema 2. Identificacin de ataques y tcnicas de intrusin

Por ltimo, si lo que se obtiene es un paquete ICMP (Internet Control
Message Protocol) como puerto inalcanzable, ser porque dicho puerto
est protegido por un firewall.
Realizando dicho procedimiento en los puertos conocidos se tendr una visin
bastante completa del estado del equipo vctima.
B

Escaneo de puertos UDP

Aunque el protocolo UDP (User Datagram Protocol) es uno no orientado a
conexin, si se manda un paquete a un puerto de estos y se encuentra cerrado,
se obtendr un mensaje de puerto inalcanzable, en cambio, si no obtienen
respuesta, es posible inferir entonces que el puerto est abierto, aunque, si este
est protegido por un firewall, entonces se obtendra informacin errnea.
Otra opcin para descubrir puertos UDP es mandar paquetes de una aplicacin
especfica con el fin de generar una respuesta de la capa de aplicacin del
modelo OSI (Open System Intercconection). Por ejemplo, se podra mandar una
consulta DNS (Domain Name System).

6.3.1. IDENTIFICACIN Y ATAQUES A PUERTOS TCP/UDP.

El protocolo UDP
UDP es un protocolo no orientado a conexin. Es decir cuando una maquina A enva paquetes a
una maquina B, el flujo es unidireccional. La transferencia de datos es realizada sin haber realizado
previamente una conexin con la maquina de destino (maquina B), y el destinatario recibir los
datos sin enviar una confirmacin al emisor (la maquina A). Esto es debido a que la encapsulacin
de datos enviada por el protocolo UDP no permite transmitir la informacin relacionada al emisor.
Por ello el destinatario no conocer al emisor de los datos excepto su IP.

El protocolo TCP
Contrariamente a UDP, el protocolo TCP est orientado a conexin. Cuando una mquina A enva
datos a una mquina B, la mquina B es informada de la llegada de datos, y confirma su buena
recepcin. Aqu interviene el control CRC de datos que se basa en una ecuacin matemtica que
permite verificar la integridad de los datos transmitidos. De este modo, si los datos recibidos son
corruptos, el protocolo TCP permite que los destinatarios soliciten al emisor que vuelvan a enviar
los datos corruptos.

Vulnerabilidades y ataques UDP:

Una es el rastreo de puertos UDP abiertos: Aunque el protocolo UDP no est orientado a la
conexin, es posible realizar un escaneo. No tiene un paquete SYN como el protocolo TCP, sin
embargo si un paquete se enva a un puerto que no est abierto, responde con un mensaje ICMP
Port Un reachable. La mayora del escner de puertos UDP usa este mtodo, e infieren que si no
hay respuesta, el puerto est abierto. Pero en el caso que est filtrado por un firewall, este
mtodo dar una informacin errnea. Una opcin es enviar paquetes UDP de una aplicacin
especfica, para generar una respuesta de la capa de aplicacin. Por ejemplo enviar una consulta
DNS el resultado ser un servidor DNS con su cache repleta de resoluciones incorrectas.
Posible solucin Vulnerabilidades UDP:
Los efectos para el usuario pueden ser desastrosos, pues, en cierta manera, se crea un problema
de seguridad similar al phishing (se redirige al usuario a pginas que no son las verdaderas). El fallo
afecta a multitud de sistemas y varias empresas han lazando parches desde entonces para intentar
solucionar el problema (Microsoft, Sun, Cisco, Red Hat, Deban, Apple.. ) aunque segn parece no
han tenido el efecto esperado y la vulnerabilidad sigue estando presente en los servidores que han
sido parcheados. A pesar de la primera oleada de parches parece que todava se est intentando
encontrar una solucin duradera (que no pase por redefinir el funcionamiento de las DNS) y de
todas maneras, muchos servidores todava no han aplicado los parches ya existentes, con el con
siguiente riesgo para los usuarios.

Vulnerabilidades y ataques Protocolo TCP:

Bsicamente las vulnerabilidades delicadas TCP estn en el manejo de sus banderas (Flags) y en la
apertura de los puertos que usan las aplicaciones los cuales pueden ser escaneados con software
fcil de adquirir en la red. Objetivos primarios del Scanning:
1. Detectar sistemas vivos o activos que estn corriendo en la red.
2. Descubrir cuales puertos estn activos o abiertos para saber por dnde entrar.
3. Descubrir el OS y su versin para buscar vulnerabilidades especificas.
4. Descubrir qu tipo de servicios o aplicaciones est corriendo en el sistema para buscar
vulnerabilidades especficas de esa aplicacin y poder tener acceso al sistema.
5. Descubrir direcciones IP del sistema objetivo (target).
Otras formas de ataque TCP es por sus Flags. Las ms usadas son el Half-Open y escaneo Inerte.
Escaneo Half-Open (media abierta) Muchos Hackers, para evitar ser detectados usan esta tcnica
de escaneo, se le llama as porque el atacante no abre o establece una conexin TCP completa o
Full-Open. Esta tcnica es parecida a la Full-Open, con la diferencia de que al final en vez de enviar
un paquete con una bandera ACK se enva un paquete con un RST para terminar la conexin. Esta
tcnica es registrada por muy pocos sitios, pero los IDS y Firewalls sofisticados son capaces de
detectar esta tcnica. Adems necesitas tener privilegios de root para poder usar esta tcnica de
escaneo.
Otras formas de ataque TCP es por sus Flags Escaneo IDLE (inerte, inactivo) El escaneo Idle es el
favorito de los Hackers y Crackers, tambin conocido como escaneo invisible o zombie. Esta
tcnica relativamente nueva fue inventada hace aproximadamente 4 aos por el investigador de
seguridad Antirez. Esta tcnica permite un escaneo a los puertos completamente invisible, el
atacante puede escanear a su objetivo sin enviar un solo paquete que pueda revelar la direccin IP
del atacante.

6.3.2. IDENTIFICACIN Y ATAQUES A SERVICIOS

Un "ataque por denegacin de servicio" (DoS, Denial of service) tiene como objetivo
imposibilitar el acceso a los servicios y recursos de una organizacin durante un perodo
indefinido de tiempo. Por lo general, este tipo de ataques est dirigido a los servidores de
una compaa, para que no puedan utilizarse ni consultarse.
La denegacin de servicio es una complicacin que puede afectar a cualquier servidor de
la compaa o individuo conectado a Internet. Su objetivo no reside en recuperar ni alterar
datos, sino en daar la reputacin de las compaas con presencia en Internet y
potencialmente impedir el desarrollo normal de sus actividades en caso de que stas se
basen en un sistema informtico.
En trminos tcnicos, estos ataques no son muy complicados, pero no por ello dejan de
ser eficaces contra cualquier tipo de equipo que cuente con Windows (95, 98, NT, 2000,
XP, etc.), Linux (Debian, Mandrake, RedHat, Suse, etc.), Commercial Unix (HP-UX, AIX, IRIX,
Solaris, etc.) o cualquier otro sistema operativo. La mayora de los ataques de denegacin

de servicio aprovechan las vulnerabilidades relacionadas con la implementacin de un

protocolo TCP/IP modelo.

6.3.2. IDENTIFICACIN Y ATAQUES A SERVICIOS.

Diagrama de un ataque DDoS usando el software Stacheldraht

En seguridad informtica, un ataque de denegacin de servicios, tambin llamado ataque DoS (de
las siglas en ingls Denial of Service), es un ataque a un sistema de computadoras o red que causa
que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida
de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o
sobrecarga de los recursos computacionales del sistema de la vctima. Un ejemplo notable de este
tipo de ataque se produjo el 27 de marzo de 2013, cuando un ataque de una empresa a otra
inund la red de spam provocando una ralentizacin generalizada de Internet incluso lleg a
afectar a puntos clave como el nodo central de Londres.1
Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que
el servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le denomina
"denegacin", pues hace que el servidor no d abasto a la cantidad de solicitudes. Esta tcnica es
usada por los llamados crackers para dejar fuera de servicio a servidores objetivo.
Una ampliacin del ataque DoS es el llamado ataque distribuido de denegacin de servicio,
tambin llamado ataque DDoS (de las siglas en ingls Distributed Denial of Service) el cual se lleva
a cabo generando un gran flujo de informacin desde varios puntos de conexin.
La forma ms comn de realizar un DDoS es a travs de una botnet, siendo esta tcnica el ciber
ataque ms usual y eficaz por su sencillez tecnolgica.
En ocasiones, esta herramienta ha sido utilizada como un buen mtodo para comprobar la
capacidad de trfico que un ordenador puede soportar sin volverse inestable y afectar a los

servicios que presta. Un administrador de redes puede as conocer la capacidad real de cada
mquina.
Actualmente el gobierno est planeando penalizar este tipo de ataque para que pase a ser ilegal
ya que hay muchas pginas inaccesibles debido a esta forma de ataque.

6.4. IDENTIFICACIN DE VULNERABILIDADES.

Los puntos debiles son los elementos que, al ser explotados por amenazas, afectan la
cnfidencialidad, disponibilidad e integridad de la informacion de un individuo o empresa.
Uno de ls primeros pasos para la implementacion de la seguridad es astrear y eliminar los puntos
debiles de un ambiente de tecnologia de la informacion. Al ser identificados los puntos debiles,
sera posible dimensionar los riesgos a los cuales el ambiente esta expuesto y definir las medidas
de seguridad apropiadas para su correcion.
Los puntos debiles dependen de la forma en que se organizo el ambiente en que se maneja la
informacion. La existencia de puntos debiles esta relacionada con la presencia de elementos que
perjudican el uso adecuado de la informacion y del medio en que la misma se esta utilizando.
Podemos comprender ahora otro objetivo de seguridad de la informacion: la correcion de puntos
debiles existentes en el ambiente en que se usa ka informacion, con el objetivo de reducir los
riesgos a que esta sometida, evitando asi la concretizacion de una amenaza.

Tipos de vulnerabilidades
a) Vulnerabilidades fsicas
Los puntos dbiles de orden fsico son aquellos presentes en los ambientes en los cuales la
informacin se est almacenando o manejando. Ejemplo, como ejemplo de esta vulnerabilidad se
distinguen: instalaciones inadecuadas del espacio de trabajo, ausencia de recursos para el
combate a incendios; disposicin desorganizada de cables de energa y de red, ausencia de
identificacin de personas y de locales, entre otros.
b) Vulnerabilidades naturales
Los puntos dbiles naturales son aquellos relacionados con las condiciones de la naturaleza que
puedan colocar en riesgo la informacin. Muchas veces, la humedad, el polvo y la contaminacin
podrn causar daos a los activos. Por ello, los mismos debern estar protegidos para poder
garantizar sus funciones. La probabilidad es estar expuestos a las amenazas naturales es
determinar en la eleccin y montaje de un ambiente, se debern tomar cuidados especiales con el
local, de acuerdo con el tipo de amenaza natural que pueda ocurrir en una determinada regin
con el tipo de amenaza natural que pueda ocurrir en una determinada regin geogrfica.
c) Vulnerabilidades de hardware

Los posibles defectos en la fabricacion o configuracion de los equipoas de la empresa que pudiera
permitir el ataque o alteracion de los mismos. Existen muchos elementos que representan puntos
debiles de hardware. Entre ellos podemos mencionar: la usencia de actualizaciones conforme con
las orientaciones d elos fabricantes de los programas que se utilizan y conservacion inadecuada
de los equipos. Por ello, la seguridad informatica busca evaluar: si el hardware utilizado esta
dimensionado correctamente para sus funciones.Si posee area de almacenamiento suficiente,
procesamiento y velocidad adeacuados.Ejemplo: la falta de configuracion de respaldos o equipos
de contigencia pudiera representar una vulnerabilidad para los sitemas de la empresa.

d) Vulnerabilidades de software
Los puntos debiles de aplicaciones permiten que ocurran accesos indebidos a sistemas
informaticos incluso sin el conocimiento de un usuario a administrador de red. Los puntos bebiles
relacionados con el software podran ser explotados por diversas amenazas ya conocidas. Entre
estos estan:
La configuracion e instalacion indebidas de los programas de computadoras, que llevaran el uso
abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso
implica el aumento de riesgo. Ejemplo; lectores de e-mail que permiten la ejecucion de codigos
maliciosos, editores de texto que permiten la ejecucion de virus de macro, etc, estos puntos
debiles colocan en riesgos la seuridad de los ambientes tecnologicos.
Las aplicaciones son los elementos que realizan la lectura de la informacion y que permiten el
acceso de los usuarios a dichos datos en medio electronico y por esta razon, se conviertn en el
objetivo predilecto de agentes causantes de amenazas.

e) Vulnerabilidades de medios de almacenaje

Los medios de almacenamiento son los soportes fsicos o magnticos que se utilizan para
almacenar la informacin. Entre los tipos de soporte o medios de almacenamiento d la informan
que estn expuestos podemos citar: disquetes, cd, discos duros de los servidores y de las bases de
datos, as como lo que est registrado en papel.
Por lo tanto
De medios de almacenaje. Si los soportes que almacenan informacin, no se utilizan de forma
adecuada, el contenido en los mismos podr estar vulnerable a una serie de factores que podrn
afectar la integridad, disponibilidad y confidencialidad de la informacin.

f) Vulnerabilidades de comunicacin
Este tipo de punto dbil abarca todo el trnsito de la informacin. Donde sea que la informacin
transite, ya sea va cable, satlite, fibra ptica u ondas de radio, debe existir seguridad. El xito en
el trnsito de los datos es un aspecto crucial en la implementacin de la seguridad de la
informacin.

Hay un intercambio de datos a travs de medios de comunicacin que rompen barreras fsicas
tales como telfono, internet, wap, fax, telex etc. Siendo as, estos medios debern recibir
tratamiento de seguridad adecuada con el propsito de evitar que: cualquier falla en la
comunicacin haga que una informacin quede no disponible para sus usuarios, o por lo tanto, la
seguridad de la informacin tambin est asociada con el desempeo de los equipos involucrados
en la comunicacin, pues se preocupa por: la calidad del ambiente que fue preparado para el
trnsito, tratamiento, almacenamiento y lectura de la informacin.

g) Vulnerabilidades humanas
Esta categora de vulnerabilidad est relacionada con los a daos que las personas pueden causar
a la informacin y el ambiente tecnolgico que la soporta. Los puntos dbiles humanos tambin
pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la
seguridad de la informacin ocurren en ambientes institucionales. La mayor vulnerabilidad es el
desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento
constituyente, principalmente los miembros internos de la empresa. Se destacan dos puntos
dbiles humanos por sus grados de frecuencia: la falta de capacitacin especfica para la ejecucin
de las actividades inherentes actividades de rutina, los errores, omisiones, insatisfacciones etc. En
lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas
aquellas que puedan ser explotadas por amenazas como vandalismo, estafas, invasiones, etc.

6.4.1. TCNICAS MANUALES.

6.4.2. TCNICAS AUTOMTICAS.
6.5. ACTIVIDADES DE INFILTRACIN.
6.5.1. SISTEMA OPERATIVO.
Existen dos tcnicas encaminadas a descubrir el sistema operativo que corre la mquina que est
bajo ataque: la tcnica activa y la pasiva. La activa opera bajo el principio de que cada sistema
operativo responde diferente a una serie de paquetes mal formados. Lo que se hace es mandar a
la mquina vctima estos paquetes y comparar su respuesta con una base de datos previamente
hecha. Este mtodo requiere de una conexin con la mquina vctima y su accin puede ser
reconocida por un sistema IDS.

La identificacin pasiva, por otra parte, captura paquetes provenientes del otro equipo con la
ayuda de sniffers. Para determinar el sistema operativo del que se trata, esta tcnica se basa en el
principio de que todas las pilas IP se manejan de diferente manera para cada sistema operativo y
as, analizando los paquetes capturados e identificando dichas diferencias, se podr determinar el
sistema operativo usado.
Existen reas de los paquetes TCP capturados cuyo examen puede llevarnos a conocer el sistema
operativo del que provienen, ejemplo de esto son:

TLL. El nmero de saltos mximo que tiene un paquete antes de ser eliminado.

Tamao del frame.

Si la bandera DF (Dont Fragment) est activada o no.

Analizando estos campos, es posible determinar el sistema operativo. Aunque no es 100% preciso,
s puede darnos un panorama bastante claro de lo que est corriendo en la mquina vctima.
Con esta tcnica, puede evitarse el riesgo de ser detectado por un sistema IDS, adems de que
tambin pueden identificarse firewalls que trabajen como servidor proxy.
Esta tcnica, como cualquiera, tiene ciertas limitaciones, como por ejemplo, el capturar paquetes
de aplicaciones que construyen los suyos propios, un caso de esto es NMap. Y si se han modificado
los valores del TTL, DF, entre otros, entonces no concordarn con ninguna base de datos, siendo
esto una manera eficiente de protegerse contra dichos ataques.

6.5.2. APLICACIONES.
6.5.3. BASES DE DATOS.
Se trata de una vulnerabilidad a nivel de la validacin a las entradas a la base de
datos de una aplicacin. Es, en otras palabras, la posibilidad de inyectar
sentencias SQL (Structured Query Languaje) arbitrarias en, por ejemplo, formularios
estndar publicados en un sitio web.
Para iniciar, demos un repaso a los comandos comunes a todas las distribuciones
de SQL. (Vanse tablas 2, 3 y 4.)
Comandos DCL (Data Control Languaje)
Grant Utilizado para otorgar permisos

Revoke Utilizado para revocar permisos

Deny Utilizado para denegar el acceso
Tabla 2. Comandos DCL, permiten al administrador controlar el acceso a los datos contenidos en
una base de datos.
72

Comandos DDL (Data Definition Languaje Statements)

Create Utilizado para crear tablas, campos e ndices

Drop Empleado para eliminar tablas e ndices
Alter Utilizado para modificar tablas agregando campos o cambiando su
definicin.
Tabla 3. Comandos DDL, permiten a los usuarios llevar a cabo las tareas de definicin de las
estructuras que almacenarn los datos, as como los procedimientos o funciones que permitan
consultarlos.
73

Comandos DML (Data Manipulation Languaje Statements)

Select Utilizado para conmutar registros de la base de datos para satisfacer un
criterio determinado.
Insert Utilizado para cargar lotes de datos a la base de datos en un nica
operacin
Update Utilizado para modificar los valores de los campos y registros especificados.
Delete Utilizado para eliminar registros de una tabla de la base de datos.
Tabla 4. Comandos DML, permiten al usuario llevar tareas de consulta o manipulacin de datos.

Clusulas
Las clusulas son condiciones de modificacin utilizadas para definir los datos que
se desean seleccionar o manipular. (Vase tabla 5.)
Clusulas
From Es utilizada para especificar la tabla de la cual se van a seleccionar los
registros
Where Utilizada para especificar las condiciones que deben reunir los registros que
se van a seleccionar
Gruoup
by
Utilizada para separar los registros seleccionados en grupos especficos.
Having Utilizada para expresar la condicin que debe satisfacer cada grupo
Order by Utilizada para ordenar los registros seleccionados de acuerdo a un orden

Operadores de comparacin
especfico

Tabla 5. Relacin de clusulas y su uso.

75

Son operadores, en su mayora binarios, que nos permiten comprar variables

devolviendo un valor booleano a 1, si se cumple la condicin y 0, en caso
contrario. (Vase tabla 6.)
Operadores de comparacin
< Menor que
> Mayor que
<> Distinto de
<= Menor o igual que
>= Mayor o igual que
= Igual que
Between Para especificar un intervalo de valores
Like Utilizado para comparar modelos
In Utilizado para especificar registros en una base de datos.
Tabla 6. Los operadores de comparacin verifican la relacin entre dos variables.

6.6.- CONSOLIDACIN.
La consolidacin de seguridad es una estrategia inteligente y ms an en estos momentos.
Independientemente del resultado final de la crisis, las organizaciones se estn reforzando y
preparando para enfrentarse a condiciones econmicas difciles e inciertas que podrn durar
varios aos.
La consolidacin est motivada por un deseo de controlar costes; costes tanto de nuevas
inversiones como de su operativa y gestin. Pero si la proteccin de sus activos de red no puede
verse comprometida, dnde debe ahorrar costes?, vale la pena volver a buscar alternativas para
ajusta el gasto en seguridad? Ahora es el momento ptimo para implementar una estrategia de
consolidacin de seguridad de redes que puede tener como resultado importantes ahorros para su
organizacin, sin comprometer los niveles de proteccin y sin que el rendimiento de su red se vea
afectado. De acuerdo a Gartner, la manera ms importante en la que las organizaciones ahorrarn
dinero en los prximos meses y aos es aprovechar las plataformas de seguridad basadas en red o
servidores que proporcionan una seguridad multicapa en un nico producto para hacer frente a la
multitud de amenazas en desarrollo.
Tres pasos para lograr una seguridad ptima durante la crisis Las condiciones del mercado estn
haciendo que la consolidacin de los activos de seguridad de red sea ms necesaria que nunca.
Proteger la red.
La consolidacin en el rea de seguridad de redes est impulsada por un panorama de amenazas
cada vez ms dinmico. El continuo aumento de la sofisticacin y el predominio de amenazas
requieren mltiples protecciones de seguridad. La mayor adopcin por parte de las empresas de
aplicaciones Web 2.0 y servicios basados en IP da lugar a nuevos mtodos de ataque. Adems han
surgido regulaciones y normativas ms estrictas y complejas como SOX y PCI. Ante esta situacin,
es posible protegerse de las cambiantes amenazas con una solucin de seguridad de red
consolidada que mejore la proteccin, la gestin y el anlisis mediante una verdadera integracin,
lo opuesto a simplemente improvisar una solucin a travs de adquisiciones. La consolidacin de
la seguridad de redes al utilizar soluciones de Gestin Unificada de Amenazas (UTM) ayuda a las
compaas a hacer frente a estos retos y ofrece mayor seguridad a un menor precio que si se
utilizan soluciones puntuales. Mantener la inversin, Otro punto a tomar en cuenta son los
ajustados presupuestos de TI. El crecimiento de los presupuestos de TI ha disminuido y, en
muchos casos, se reducir an ms. La complejidad y el coste de gestionar y mantener mltiples
soluciones de seguridad ha empeorado; las organizaciones necesitan opciones factibles. Los
directivos de TI tienen mayor presin para mejorar los servicios de seguridad mientras reducen el
coste total de propiedad. La consolidacin de seguridad de redes ofrece mltiples beneficios
econmicos haciendo ms eficiente el uso de los recursos existentes, presupuestos y capacidades.
Reducir el impacto medio ambiental
Existe una mayor presin para reducir tanto el impacto fsico como de emisiones de carbono de la
infraestructura de TI. Se ha ido imponiendo la tendencia a virtualizar funciones de datos,
incluyendo el sistema de redes y la seguridad. Las grandes empresas estn hacindolo y a muchas
pequeas y medianas organizaciones les gustara hacerlo. El aumento de iniciativas para reducir el

nmero de dispositivos instalados en la red, significa menos compras, menor mantenimiento,

menos consumo de recursos operativos. La consolidacin de la seguridad de las redes disminuye
directamente los gastos de energa y espacio, reduciendo la infraestructura sin que su eficacia se
vea afectada.
La filosofa de soluciones puntuales est superada
Alguna vez se ha preguntado por qu las organizaciones estn abandonando las soluciones
puntuales individuales? El nuevo reto es lograr mayor flexibilidad, sin comprometer el
rendimiento.
La credibilidad de las estrategias de seguridad basadas en productos puntuales se est perdiendo a
medida que las grandes compaas favorecen cada vez ms la evolucin hacia la consolidacin de
su infraestructura de seguridad de redes. Esta estrategia generalmente se centra slo en dos o tres
funciones de seguridad, aunque a veces pueden ser ms. La tecnologa de gama alta ha avanzado a
tal nivel que las soluciones puntuales por s solas no aportan una ventaja tangible en trminos de
rendimiento o eficacia de la seguridad.
Una solucin puntual independiente es difcil de gestionar ya que requiere mltiples interfaces de
gestin, agrega costes de gestin al no existir integracin entre los proveedores y muchas veces
las dificultades no pueden ser resueltas, ya que los problemas no se pueden aislar. Adems suele
ser costosa de desplegar y mantener y se deben negociar, coordinar y mantener contratos con
mltiples proveedores; por lo que no hay oportunidades para virtualizar o racionalizar.
Asimismo, se requieren costosas licencias de soporte por usuario y funciones de seguridad para
cada uno que son difciles de replicar. Otro punto es que la falta de integracin, lleva a problemas
de rendimiento y seguridad. El rendimiento de la red se ve afectado por los diversos procesos de
revisin, a medida que los paquetes IP deben separarse o reagruparse secuencialmente para cada
funcin de seguridad. Adems las soluciones basadas slo en software reducen an ms el
rendimiento.
Soluciones para los retos del presente y del futuro
La consolidacin de la seguridad de redes al utilizar una solucin integral de UTM permite a las
empresas contar con una mejor proteccin de redes, un uso ms eficiente de su presupuesto de
capital y menores gastos operativos al reducir el trabajo de gestin as como la formacin, soporte
y costes de actualizacin de amenazas. Asimismo, maximiza las inversiones en seguridad al
permitir que las compaas aadan funcionalidades de seguridad robustas con poco o ningn
hardware adicional. Adems de estos ahorros, estn los beneficios en materia medioambiental,
ms notablemente menores emisiones de carbono a travs de todo el ciclo de vida del equipo. En
resumen, la consolidacin de la seguridad de redes ofrece tanto ventajas econmicas como de
reputacin que la hace una de las mejores inversiones que los departamentos de TI, sin importar
su tamao, pueden hacer.

6.7. DEFENSA PERIMETRAL.

En qu consiste bsicamente un Sistema de Proteccin y Seguridad Perimetral?
Es la instalacin de elementos simples o complejos, en forma separada o integrados, destinados a
disuadir, defender y detectar las intrusiones en el momento que las mismas tienen el grado de
intento de intrusin. La DISUASIN, as como la DEFENSA se genera mediante elementos hostiles
punzo cortantes (Concertina, Pas de Seguridad, etc.), repulsin elctrica (Cercos Electrificados),
altura (Mallas), etc. La DETECCIN puede instrumentarse mediante equipamiento oculto o visible,
adaptado al medio y a las caractersticas fsicas, funcionales, climticas, entorno socio econmico
del lugar donde este asentado el objetivo y las particularidades que el mismo
ostente. Grficamente, un sistema de seguridad, debe verse como un crculo compuesto de
diferentes anillos. El o los anillos perifricos conforman el permetro donde se aplican los
conceptos vertidos Lo bsico: un sistema de seguridad debe verse como un crculo compuesto de
diferentes anillos, normalmente el centro o uno de los anillos ms cercanos a l, es el lugar a
proteger (alternativamente el centro podra identificarse como amenazas internas como
sabotajes, espionaje etc.). Por otro lado los anillos ms alejados siempre se asocian con el
PERMETRO o los sectores cercanos a el, entre ellos se encuentran:

Prevencin inteligencia, identificacin de merodeo,

Disuasin, Retardado y/o Ralentizado alambrados, muros, elementos corto-punzantes,
pulsos elctricos letales y no letales, etc.
Deteccin sensores varios, cables sensores, barreras de Microondas, Barreras Infrarrojas
etc.

Esto no quita que algunos o todos estos anillos puedan complementarse como uno y/o cambiar su
orden como por ejemplo:
Disuasin, Repulsin y Deteccin = Cerco elctrico NO LETAL, Cuchillas con sensor.
Inteligencia Previa, Monitoreo y Deteccin = (Deteccin por Video para exteriores), etc.

Cules son las principales ventajas de estos Sistemas?

Detener, demorar, desalentar los intentos de intrusin a un predio protegido, lo mas alejado
posible de las personas y bienes a proteger, ganando tiempo para instrumentar la reaccin, son las
ventajas que se persiguen. El criterio subsiste desde la prehistoria y desde aquel entonces, con las
variaciones propia que el instintos, la conocimiento nacido de la experiencia, la evaluacin
cientfica luego, pasando por la precaria y prehistrica enramada, la empalizada, el muro, desde la
primitiva pirca hasta la colosal muralla china, los castillos con su fosos, etc., nos hablan de que el
hombre, en sus distintos estadios, siempre recurri como medio de proteccin a DEFENDER EL
PERIMETRO.

6.7.1. CREACIN DE UNA DMZ.

Una DMZ (del ingls Demilitarized zone) o Zona Desmilitarizada es una red local que se ubica entre
la red interna de una organizacin y una red externa, generalmente
Internet.
El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn
permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir:
los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que
protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host)
situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se convierte en un laberinto sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde
fuera, como servidores de e-mail, Web y DNS.
1.- Conectar la PC al modem va cable o WiFi.

2.- Entrar a la interface de configuracin del modem como se muestra en los siguientes
pasos:
a) Abrimos el explorador de Internet e Ingresamos la siguiente direccin 192.168.1.254

b) Ingresamos los siguientes datos:

Nombre de usuario: TELMEX (maysculas).
Contrasea: la encontramos en la etiqueta, dice Wep Key.

3.- Interface de configuracin

3.1.- Seleccionamos estado avanzado, en el panel del lado izquierdo.
3.2.- seleccionamos Firewall.
3.3.- Seleccionamos permitir todas las aplicaciones.

Configuramos de la siguiente manera:

En aplicaciones seleccionamos activado.
En direccin IP ingresamos la direccin de la maquina o dispositivo al cual le queremos
habilitar DMZ. Presionamos guardar.

6.7.2. ANTIVIRUS.
En informtica los antivirus son programas cuyo objetivo es detectar y/o eliminar virus
informticos. Nacieron durante la dcada de 1980.
Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e Internet, ha
hecho que los antivirus hayan evolucionado hacia programas ms avanzados que no slo buscan
detectar virus informticos, sino bloquearlos, desinfectar archivos y prevenir una infeccin de los
mismos, y actualmente ya son capaces de reconocer otros tipos de malware,
como spyware, gusanos, troyanos, rootkits, etc.
Antivirus
Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se emplear para la
generacin de discos de recuperacin y emergencia. Sin embargo no se recomienda en una red el
uso continuo de antivirus.

El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema,
reduciendo el valor de las inversiones en hardware realizadas.
Aunque si los recursos son suficientes, este extra de seguridad puede ser muy til.
Sin embargo los filtros de correos con detectores de virus son imprescindibles, ya que de esta
forma se asegurar una reduccin importante de elecciones de usuarios no entrenados que
pueden poner en riesgo la red.
Los virus ms comunes son los troyanos y gusanos, los cuales ocultan tu informacin, creando
Accesos Directos.

6.7.3.- NAT.

Qu es NAT (Network Address Translation)?

NAT (Network Address Translation - Traduccin de Direccin de Red) es un mecanismo utilizado
por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente
direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los
paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin de
protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo.
El uso ms comn es permitir utilizar direcciones privadas (definidas en el RFC 1918) y an as
proveer conectividad con el resto de Internet. Esto es necesario debido a la progresiva escasez de
direcciones provocada por el agotamiento de stas. Se espera que con el advenimiento de IPv6 no
sea necesario continuar con esta prctica.
Un router NAT cambia la direccin origen en cada paquete de salida y, dependiendo del mtodo,
tambin el puerto origen para que sea nico. Estas traducciones de direccin se almacenan en una
tabla, para recordar qu direccin y puerto le corresponde a cada dispositivo cliente y as saber
dnde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red
interna no existe en la tabla de traducciones, entonces es descartado. Debido a este
comportamiento, se puede definir en la tabla que en un determinado puerto y direccin se pueda
acceder a un determinado dispositivo, como por ejemplo un servidor web, lo que se denomina
NAT inverso o DNAT (Destinationion NAT).
Tiene muchas formas de funcionamiento, entre las que destaca.
NAT Esttico: Realiza un mapeo en la que una direccin IP privada se traduce a una
correspondiente direccin IP pblica de forma unvoca. Normalmente se utiliza cuando un
dispositivo necesita ser accesible desde fuera de la red privada.

NAT dinmico: Una direccin IP privada se traduce a un grupo de direcciones pblicas. Por
ejemplo, si un dispositivo posee la IP 192.168.10.10 puede tomar direcciones de un rango entre la
IP 200.85.67.44 y 200.85.67.99. Implementando esta forma de NAT se genera automticamente
un firewall entre la red pblica y la privada, ya que slo se permite la conexin que se origina
desde sta ltima Sobrecarga.
La forma ms utilizada de NAT proviene del NAT dinmico, ya que toma mltiples direcciones IP
privadas y las traduce a una nica direccin IP pblica utilizando diferentes puertos. Esto se
conoce tambin como PAT (Port Address Translation - Traduccin de Direcciones por Puerto), NAT
de nica direccin o NAT multiplex pblica. As se evita los conflictos de direcciones entre las
distintas redes.

6.7.4. PROXY
Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin en
representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har
mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Esta
situacin estratgica de punto intermedio suele ser aprovechada para soportar una serie de
funcionalidades: proporcionar cach, control de acceso, registro del trfico, prohibir cierto tipo de
trfico, etc.
Su finalidad ms habitual es la de servidor proxy, que consiste en interceptar las conexiones de red
que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad,
rendimiento, anonimato, etc. Esta funcin de servidor proxy puede ser realizada por un programa
o dispositivo.
Caractersticas
La palabra en ingls proxy significa intermediario en espaol.
El uso ms comn es el de servidor proxy, que es un ordenador que intercepta las conexiones de
red que un cliente hace a un servidor de destino.
De ellos, el ms famoso es el servidor proxy web (comnmente conocido solamente como
proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles:
seguridad, rendimiento, anonimato, etc.
Tambin existen proxy para otros protocolos, como el proxy de FTP.
El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre
ordenadores.
Proxy (patrn de diseo) tambin es un patrn de diseo (programacin) con el mismo esquema
que el proxy de red.

Un componente hardware tambin puede actuar como intermediario para otros.

Como se ve, proxy tiene un significado muy general, aunque siempre es sinnimo
de intermediario. Cuando un equipo de la red desea acceder a una informacin o recurso, es
realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado al equipo
que la solicit.
Hay dos tipos de proxy atendiendo a quien es el que quiere implementar la poltica del proxy:
Proxy local: En este caso el que quiere implementar la poltica es el mismo que hace la peticin.
Por eso se le llama local. Suelen estar en la misma mquina que el cliente que hace las peticiones.
Son muy usados para que el cliente pueda controlar el trfico y pueda establecer reglas de filtrado
que por ejemplo pueden asegurar que no se revela informacin privada (Proxy de filtrado para
mejora de la privacidad).
Proxy externo: El que quiere implementar la poltica del proxy es una entidad externa. Por eso se
le llama externo. Se suelen usar para implementar cacheos, bloquear contenidos, control del
trfico, compartir IP, etc.

BIBLIOGRAFIA
http://www.vinagreasesino.com/articulos/tipos-de-firewalls-ventajas-ydesventajas.php
http://es.scribd.com/doc/62530360/18/Caracteristicas-y-ventajas-del-Firewall
http://www.jaja.cl/?a=5177
http://es.scribd.com/doc/71427406/73/Firewall-de-capa-de-aplicacion
http://www.upv.es/entidades/ASIC/seguridad/353811normalc.html
http://www.ucema.edu.ar/conferencias/download/Firewalls_de_Internet.pdf
http://www.segu-info.com.ar/firewall/firewall.htm
http://es.kioskea.net/contents/protect/firewall.php3
http://www.adslfaqs.com.ar

http://es.wikipedia.org/wiki/Antivirus#Antivirus
http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos
http://es.kioskea.net/faq/1559-diferencias-entre-los-protocolos-tcp-y-udp
http://www.slideshare.net/osced/presentacion-exposicion-udp-y-tcp
http://es.wikipedia.org/wiki/Proxy