o de varios recursos de la red.

Esto puede traer como consecuencia la prdida de tiempo valioso para realizar una
determinada operacin, incomunicacin o finalmente, la inoperancia de uno o de varios recursos de la red. Existen 3 tipos de
ataques bsicos para negar un servicio:

Consumo de recursos escasos, limitados, o no renovables: Los recursos propios de los terminales (datos, ancho de
banda de subida y/o bajada, acceso a otros terminales) son utilizados por el atacante para su propio beneficio, o en su
defecto, para simplemente interrumpir la labor/funcin/actividad de la vctima. Las maneras son, por ejemplo, negar la
conexin a la red de los terminales mediante SYN Flood; aprovechar la conectividad de la vctima contra s misma
creando una congestin mediante el servicio UDP; consumiendo el ancho de banda tambin mediante el envo masivo
de paquetes, etc.

Destruccin o alteracin de informacin de configuracin: Simplemente, acceder a su terminal ingresando ilcitamente al

recurso (Hack) y eliminar o desconfigurar el sistema operativo y/o datos existentes; o en forma presencial, ingresando a
su terminal directamente, obtener su contrasea o realizar un crack de la misma, y luego realizar una operacin similar.
Tambin es posible ingresar ilcitamente a la configuracin del router, cambiar la informacin, lo que deshabilitara a la
red.

Destruccin o alteracin fsica de los componentes de la red: Es muy importante mantener aislados los componentes
fsicos de una red, limitar los accesos a los mismos y lo ms importante, mantener un control peridico de la integridad
fsica de routers, servidores y terminales.
Prevencin: Entre las medidas a tomar, se encuentra el uso de listas de acceso en los routers (Muchos routers poseen
filtros de MAC, los cuales permiten el acceso de slo aquellas terminales que coincidan con el nmero de MAC
correspondiente); instalar parches contra flooding de TCP SYN (Muchos equipos vienen ya con esta ventaja incluida);
invalidar cualquier servicio de red innecesario o sin utilizar; realizar controles regulares y establezca una lnea base de
actividad de la red, lo cual permitira detectar un aprovechamiento de ancho de banda ilcito. Instalar boot disks (tarjetas
de booteo) en los terminales importantes y servidores, esto permite que una vez se reinicie el equipo este mantenga la
configuracin original.

1. Obtencin o uso ilcito de claves de acceso.

Existen 3 maneras de obtener una clave de acceso:

Poseer una clave de acceso: Por lo general, la poseen elementos alejados de la corporacin, por uno u otro motivo.
Dicha clave puede ser usada por el mismo o por otro usuario, lo que generara una eventual brecha de seguridad.

Crear una clave de acceso: Esto se logra mediante el ingreso ilcito (Hack) a los servidores y/o terminales, mediante la
creacin de un nuevo usuario y contrasea.

Cracking de clave de acceso: Mediante un programa especfico, se obtiene la clave de acceso del terminal y/o servidor
(cracking). Adems es posible obtener las listas de claves mediante ingreso ilcito a los servidores/terminales (incluyendo
las listas encriptadas las cuales pueden ser descifradas mediante un programa especfico (crack)).

2. E-mail bombing y spamming (ataque SMTP)

E-mail bombing: Consiste en enviar muchas veces un mensaje idntico a una misma direccin, saturando el correo
(Inbox) del destinatario.

Spamming: Se refiere a enviar el email a centenares o millares de usuarios e, inclusive, a listas de inters. El Spamming
puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que todos reciban la respuesta. Esto,

combinado con e-mail poofing (que altera la identidad de la cuenta que enva el e-mail, y por consiguiente, oculta la
identidad del emisor real) hacen del spamming una de las herramientas favoritas para iniciar ataques hacia redes
desprotegidas.
En la actualidad, los servicios de mensajera (como Gmail, Yahoo o MSN) poseen filtros de mensajes spam, los cuales
(slo luego de haber identificado al atacante y siempre despus de un ataque).
3. Ataques por FTP
Los ataques por FTP son quizs uno de los favoritos de los hackers y crackers en la actualidad, puesto que el enlace
generado ocupa un puerto de preferencia (el 21) en los servidores y adems entrega las facilidades obvias de transferencia
de archivos, condicin muy ventajosa para un ataque. El ftp Bounce, por ejemplo, es un recurso de ataque usado para
ingresar a la terminal de un tercero, utilizando un servidor como escudo y medio de ocultacin a la vez. Consiste bsicamente
en realizar una conexin FTP regular con un servidor, pero con la diferencia que la eleccin del puerto cliente no es arbitraria.
La idea de usar la conexin arbitraria del puerto cliente permite al atacante elegir un puerto que no sea el de su propio
equipo, sino que otro diferente (el puerto del terminal de la vctima). Esto permite, entre otras cosas, realizar una conexin
ilcita con el puerto de la vctima, el servidor y el atacante ocultando la identidad de este ltimo con la del servidor.

Cliente (hacker)
Cliente (hacker)
entrega puerto de
solicita conexin de
acceso de otro
Host (servidor)
ftp Bounce (ya mencionado),
el escaneo
de puertos
(ports), que utiliza el mismo recurso de escaneo arbitrario para ubicar un
control mediante
ftp
cliente (vctima).
solicita conexin de
(puerto(o21).
puerto abierto del servidor
bajo el radar deldatos
firewall)
que luego se utiliza para invadir el terminal.
en puerto
aleatorio.
Para neutralizar estas medidas, es muy importante
tener en cuenta que de acuerdo a su funcionalidad hay servidores que
pueden trabajar sin conexiones arbitrarias, mientras que otros dependen de stas para cumplir su funcin. Un caso de los
primeros sera el servidor de una empresa, y un caso de los segundos, un servidor de uso pblico. Para los segundos,
existen algunos convenios que entregan mayor seguridad a la hora de iniciar una conexin. Por ejemplo, el comando PORT
incluye parmetros que indican al servidor cul direccin IP conectar y qu puerto abrir en aquella direccin. Este es el medio
en el cual se manejan los atacantes para organizar toda su estrategia. Pero trabajando en exclusiva conformidad con las
funciones del RFC, se puede lograr que la mquina slo trabaje para un solo terminal por vez, y slo con este terminal. En
lneas generales, esto evita que un terminal realice una conexin con el servidor con la intencin de crear otra conexin
alterna con diferente direccin. La otra alternativa es realizando un proceso de condicionamiento selectivo de los terminales
conectados al servidor, suprimiendo directamente aquellos que no han realizado una conexin inicial. En particular, el servicio
ftp es un servicio de gran utilidad, puesto que es rpido y confiable a nivel de usuario, pero sus brechas como se puede ver
son muchas, y en lo posible es importante procurar evadir su uso como servicio pblico.
de los scripts de las pginas para que el servidor entregue informacin que no desea entregar. Un ejemplo muy sencillo es
ingresar al directorio raz del web Server, omitiendo la extensin index.htm. Otra manera es cambiando los scripts de la
pgina; por ejemplo, crear un clon web
4. .
5. Seguridad en NetBIOS
El sistema operativo ms usado actualmente es Windows. La mayora de las redes corporativas ocupan este sistema
operativo por una razn muy sencilla: es amigable y fcil de usar. Pero es un sistema cerrado. No admite modificaciones,
ni libertad de accin en sus subrutinas. Esto quizs por un lado es positivo, ya que tambin entrega un sistema muy difcil de

romper, desde el punto de vista de un atacante. Como sea, los sistemas operativos de Microsoft usan el protocolo NetBIOS
para comunicarse entre s. Esto significa una gran desventaja desde el punto de vista comunicacional, debido a que otros
sistemas operativos no requieren de presentes equipos Microsoft la mejor combinacin es usar NBT, aunque a veces es
mejor usar otras combinaciones, como es en el caso de una red LAN con conexin a Internet. En este caso, quizs la mejor
combinacin es NetBIOS sobre IPX/SPX, que adems tiene la ventaja de compatibilidad con otros sistemas operativos.
Dentro del tema, quizs uno de los mayores problemas a los que nos enfrentamos cuando se habla de redes Microsoft, son
las carpetas compartidas. Grave error. La mayora considera trivial incluir una contrasea para acceder a una carpeta
compartida de slo lectura. Y lo que es peor, ignora absolutamente que esta carpeta puede ser vista por todos los usuarios
de Internet. En efecto, si tiene
Finalmente,

para cualquier administrador de redes le es indispensable poseer herramientas que permitan diagnosticar,

supervisar, realizar estimaciones, obtener datos y por sobre todo, defenderse de posibles ataques y resolver los problemas que se
generan a nivel interno y externo de una red corporativa. Estas herramientas nos permitirn mantener un control sobre todos los
paquetes que entran por la capa de red y de aplicacin de la mquina. Est dems decir que su uso tambin puede ser usado de
manera perjudicial, por lo que la instalacin de estos programas debe ser de manera aislada, preferentemente de uso particular
del administrador y en un terminal que no sea de tipo servidor. Naturalmente, esto(s) terminal(es) administrativo(s) deben
permanecer tambin aislados del uso de otros usuarios de la red.
1. tcp-wrappers: Software de dominio pblico cuya funcin es proteger a los sistemas de operaciones no deseadas a
determinados servicios de red, permitiendo a su vez ejecutar determinados comandos ante determinadas acciones de
manera automtica. Con este programa es posible monitorear y filtrar peticiones entrantes de distintos servicios TCP/IP.
Se pueden controlar los accesos mediante el uso de reglas y dejar una traza de todos los intentos de conexin tanto
admitidos como rechazados (por servicios, e indicando la mquina que hace el intento de conexin).
2. Netlog: Es una
3. tcpdump: Herramienta que imprime las cabeceras de los paquetes que pasan por una interfaz de red. Tanto en la
captura como en la visualizacin de la informacin, es posible aplicar filtros por protocolo, puerto, direcciones fuente,
direcciones destino y direcciones de red. Los filtros pueden ser realizados por operadores lgicos, y adems ver el
tamao de los paquetes de datos.
4. SATAN (Security Administrator Tool for Analyzing Network): Esta herramienta es mi favorita. Permite entre otras
cosas, chequear mquinas conectadas en red y genera informacin sobre el tipo de mquina, qu servicios da cada
mquina, y avisa de varios tipos de fallos de seguridad de cada mquina. La gracia de SATAN es que ocupa una interfaz
de pgina web, similar a las que usan los enrutadores para su configuracin. Crea una base de datos de todos los
terminales y los va relacionando entre ellos. Por ejemplo, si determina un terminal inseguro, y nota que este terminal est
relacionado con otro, el segundo terminal tambin lo considera como inseguro. Sin embargo, as como puede entregar
datos valiosos de potenciales ataques y/o problemas de la red, tambin puede ser usado como herramienta para
detectar todas las caractersticas de todos los terminales de una red y as preparar un ataque estratgico. El sucesor
natural (actual) de esta herramienta es Nessus.
5. ISS (Internet Security Scanner): Esta aplicacin chequea una serie de servicios para comprobar el nivel de seguridad
que tiene esa mquina. Es capaz de chequear una direccin IP o un rango de direcciones IP, con una IP inicial y una
final. Ej: Quiero revisar el nivel de seguridad en el que trabajan los terminales del grupo 8 (4 piso, departamento de
administracin tcnica). Los terminales son 15, pero adems s que la IP del primer terminal es 215.1.4.1, y la IP del

terminal de la oficina del jefe del departamento es 215.1.4.15. Lo nico que debo hacer entonces es escribir ambas IP
como rango para
Conclusiones
El principal factor de riesgo en una corporacin es el factor humano. Como recurso siempre resultar indispensable, y la
seguridad de una red depender siempre de cmo evaluar correctamente su grado de responsabilidad en el uso de la red. Dentro
de todo procedimiento, los niveles de responsabilidad de cada miembro deben ser considerados a la hora de emitir un juicio de
quin debe usar un determinado recurso de la red y de qu manera. Y por sobre todo, siempre mantener un control constante del
uso de los recursos de la red, para as evitar su colapso o la prdida de su funcionalidad. Tener conocimiento de cules son las
caractersticas de cada recurso (ya sea humano o mquina), controlar sus limitaciones, estar preparado para eventuales ataques
y problemas internos, contar con las herramientas adecuadas y mantener supervisin constante de los recursos de la red son la
clave de todo buen estudio de seguridad en una red corporativa.

Referencias

Manual de Seguridad en Redes (ArCERT)

Coordinacin

de

Emergencia

en

Redes

Teleinformticas

de

la

Administracin

Pblica

Argentina

http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf

Libro Gua: James F. Kurose and Keith W. Ross, \"Computer Networking: A top-Down Approach Featuring the Internet\",
Addison Wesley, Third Edition 2005.