Académique Documents
Professionnel Documents
Culture Documents
NDICE
1. INTRODUCCIN 3
2. AMENAZAS A LA SEGURIDAD 4
3. LEGISLACIN EN LA RED 5
4. ADOPCIN DE MEDIDAS ADECUADAS 5
5. CONEXIONES SEGURAS Y CIFRADAS 6
6. CONFIGURACIN SEGURA DEL NAVEGADOR 8
7. PROTECCIN FSICA DE ACCESO A LAS REDES 9
7.1. Redes cableadas ....................................................................................................................................... 9
7.2. Redes inalmbricas ................................................................................................................................. 9
9.1.3. WPA2 19
9.2.2. AES 20
1. INTRODUCCIN
Las redes de ordenadores constituyen el principal soporte de la comunicacin entre usuarios,
administraciones y empresas. Dada la enorme cantidad de informacin que circula por ellas, es
necesario garantizar la proteccin de los datos y recursos.
El problema es que los sistemas informticos son susceptibles de virus, accesos no autorizados,
avenas, etc. que pueden dejar el sistema inconsistente. Para poder hacer frente a todos estos factores,
deben desarrollarse planes de seguridad integrales que permitan, en la medida de lo posible, eliminar
los riesgos potenciales.
Para que un sistema en red sea seguro, debe cumplir las siguientes caractersticas:
Confidencialidad. Solo deben tener acceso a los datos los usuarios autorizados para ello.
Autentificacin. Se debe confirmar que cada usuario es quien dice ser a travs de su identidad
digital.
Autorizacin. El acceso a los diferentes servicios debe estar condicionado por la identidad y
los permisos atribuidos a cada usuario.
Integridad. Los datos enviados deben ser los mismos que los recibidos, evitando la manipulacin
o corrupcin de estos en su recorrido.
2. AMENAZAS A LA SEGURIDAD
La seguridad de una red est expuesta a numerosas amenazas que se pueden agrupar en los
siguientes tipos:
Causas humanas. Son usuarios que, intencionada o accidentalmente, pueden daar el sistema :
usuarios inexpertos, piratas informticos, espas, ingeniera social, etc.
Causas lgicas. Es el software que puede atacar al ordenador : malware, correo basura, virus,
errores de programacin, etc.
3. LEGISLACIN EN LA RED
Existe legislacin especfica sobre el uso de las redes y los delitos informticos.
NOTA: Cada vez que se realizan actividades en la red, como enviar un e-mail, subir un vdeo o
una imagen a Internet, los servidores registran automticamente datos como la IP, el navegador
utilizado y el tiempo de permanencia. Esta informacin, generalmente utilizada con fines estadsticos
tambin es til para desvelar identidad de personas que cometen un delito en la red.
Al trabajar en red, no basta con tener soluciones de seguridad, sino que, adems, es
fundamental utilizar el sentido comn para gestionar los recursos correctamente y realizar buenas
prcticas.
En cualquier sistema informtico en red es necesario adoptar un conjunto de medidas para
evitar o reducir las diferentes amenazas y sus efectos. Algunas de ellas, a diferentes niveles, son:
Proteccin. Tradicionalmente, los virus han sido uno de los principales riesgos de seguridad
para los sistemas informticos que se han propagado a travs de las redes informticas. En los
ltimos tiempos, y debido al uso generalizado de Internet, han aparecido otras amenazas de
malware (malicious software) que pueden resultar muy dainas, tanto por causar prdida de
datos como por prdida de productividad. Algunas medidas de proteccin son el uso de
contraseas robustas, permisos de acceso, cortafuegos, antimalware, conexiones seguras, etc .
o Antivirus. Un antivirus es un programa que detecta, bloquea y elimina malware. Aunque
se sigue utilizando la palabra antivirus, estos programas han evolucionado y son capaces
de detectar y eliminar no slo virus, sino tambin otros tipos de cdigos maliciosos como
gusanos, troyanos, espas, etc. Algunos ejemplos de antivirus son Kaspersky, McAfee,
Norton, Panda, Nod32, etc.
o Cortafuegos. Un cortafuegos (o firewall) es un programa o dispositivo hardware que se
utiliza para controlar las comunicaciones e impedir accesos no autorizados a un
ordenador o a una red. Para ello, filtra los datos de la conexin dejando pasar solo los
que estn autorizados.
La comunicacin en red ofrece un amplio abanico de posibilidades tanto para ciudadanos como
para empresarial ya que, adems de comunicarse, permite comercializar productos y servicios.
Los usuarios se autentifican a travs de su identidad digital, utilizando:
DNIe, que acredita electrnicamente la identidad de la persona que lo utiliza . Para acceder a un
sitio seguro con el DNIe, se inserta en el lector de tarjetas inteligentes y se introduce el PIN
de seguridad.
Certificados digitales, que autentifican a los usuarios, de forma similar al DNI. Los
certificados suelen contener archivos que hay que instalar en el ordenador o utilizar desde una
memoria USB, junto con una clave de seguridad que solamente conoce el usuario.
Por su parte, las empresas y dems organismos deben garantizar la seguridad en las
comunicaciones, especialmente cuando se van a realizar transacciones relacionadas con el comercio
electrnico, acceso a datos de carcter personal, gestiones administrativas, etc . Por ello, para acceder
a sus sedes electrnicas, es importante verificar que se realizan conexiones cifradas https
autentificadas con certificados electrnicos.
HTTPS (Hyper Text Transfer Protocol Secure, Protocolo seguro de transferencia de
hipertexto). Es la versin cifrada de HTTP y est diseado para la transferencia de datos
sensibles, resistiendo a ataques o accesos no autorizados . Hay que tener en cuenta que la
informacin que se enva a Internet utilizando el protocolo http viaja en texto plano (legible
para cualquier persona que lo intercepte), sin encriptar, con el riesgo que supone el envo de
datos confidenciales como contraseas, datos bancarios, mensajes, etc.
Para verificar la autenticidad del protocolo https se requiere un certificado emitido por una
entidad autorizada. Los detalles del certificado se pueden consultar haciendo dic sobre el botn o
candado que aparece en la barra de navegacin.
Los navegadores incluyen diferentes herramientas y opciones que permiten configurar el nivel
de seguridad necesario para cada usuario. Algunas de estas caractersticas de seguridad y privacidad
son:
Navegacin privada. Al elegir este modo, el navegador no guardar nada relacionado con el
historial de navegacin, las bsquedas, el historial de descargas, cookies o archivos temporales
de Internet. Es recomendable activarla cuando se necesita un nivel de privacidad muy alto , por
ejemplo al utilizar un ordenador de acceso pblico.
Filtro contra la suplantacin de identidad (Phishing). Opcin que se utiliza para que el
navegador indique si la pgina que se est visualizando est intentando suplantar la identidad de
otra. Ejemplo: Las pginas que imitan a las de entidades bancarias con el propsito de confundir
al usuario y que ste proporcione datos confidenciales para posteriormente realizar una estafa.
Bloqueador de elementos emergentes. Evita que aparezcan ventanas con publicidad no deseada
o pop-ups que, en algunas ocasiones, intentan infectar el ordenador con software malicioso.
Java/JavaScript. Lenguajes que dotan a las pginas Web de nuevas funciones y que, en
ocasiones, pueden ser aprovechadas por los piratas informticos para realizar alguna actividad
maliciosa, robar informacin del equipo, etc.
Filtrado ActiveX. Tecnologa usada por los desarrolladores Web para crear contenido
interactivo en sus pginas, aunque tambin puede implicar un riesgo de seguridad. Es posible
activar los controles ActiveX solamente para los sitios que son de confianza.
Configuracin de las cookies. Las cookies son pequeos archivos que se guardan en el
ordenador con informacin sobre los usuarios para facilitarles la navegacin cuando se visitan
ciertas pginas de forma frecuente. El peligro es que sean utilizados con intenciones
fraudulentas para conseguir informacin de los usuarios sin su consentimiento.
Otras de las herramientas que hay que tener configuradas adecuadamente a la hora de usar el
navegador son: Historial, Descargas, Configuracin de los formularios, Gestin de contraseas, etc .
Independientemente de las medidas que se adopten para proteger los equipos de una red de
rea local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no
autorizados puedan acceder. Las medidas habituales dependen del medio fsico a proteger .
A continuacin, se enumeran algunos de los mtodos, sin entrar al tema de la proteccin de la
red frente a ataques o intentos de intrusin desde redes externas, tales como Internet.
Las rosetas de conexin de los edificios deben estar protegidas y vigiladas. Una medida bsica
es evitar tener puntos de red conectados a los switches. Aun as siempre puede ser sustituido un equipo
por otro no autorizado con lo que hacen falta medidas adicionales: norma de acceso 802.1x, listas de
control de acceso por direcciones MAC, servidores de DHCP por asignacin reservada, etc.
En este caso el control fsico se hace ms difcil, si bien se pueden tomar medidas de
contencin de la emisin electromagntica para circunscribirla a aquellos lugares que consideremos
apropiados y seguros. Adems se consideran medidas de calidad el uso del cifrado (WPA, WPA v.2, uso
de certificados digitales, etc.), contraseas compartidas y, tambin en este caso, los filtros de
direcciones MAC, son varias de las medidas habituales que cuando se aplican conjuntamente aumentan
la seguridad de forma considerable frente al uso de un nico mtodo.
Cuando una LAN (Local Area Network, Red de rea Local) se conecta a Internet puede ser
vctima de un ataque informtico. La metodologa de ataque que generalmente se usa consiste en
analizar la red (mediante el envo aleatorio de paquetes de datos) en busca de un ordenador conectado.
Una vez que se encuentra un ordenador, se busca un punto dbil en el sistema de seguridad para
explotarlo y tener acceso a los datos de la mquina.
Vamos a ver varios elementos que contribuyen a la seguridad de la red: el firewall, el proxy, el
tnel VPN, el protocolo PPTP, el protocolo IPSec, la tecnologa NAT y el DMZ.
8.1. Firewall
El firewall (o cortafuegos) es un sistema que permite restringir el acceso a la red en ambas
direcciones, desde el exterior hacia dentro de la red y desde dentro de la red hacia afuera . Para ello,
filtra los paquetes de datos que se intercambian a travs de la red.
Para configurar un cortafuegos, hay que establecer un conjunto de reglas que permiten o
deniegan conexiones.
Ejemplo: Si queremos que todos los equipos de nuestra red (192.168.l.x) puedan navegar por
Internet a travs de HTTP, tendremos que abrir el puerto 80 utilizando la siguiente regla:
Puerto Puerto
Regla Accin IP origen IP destino Protocolo
origen destino
Ejemplo: SPI (Stateful Packet Inspection) es un tipo de firewall que examina los paquetes
entrantes de datos para cerciorarse de que corresponden a una peticin saliente . Los paquetes de
datos que no fueron solicitados son rechazados.
Se encarga, entre otras funciones, de compartir las conexiones a Internet y de habilitar una
memoria cach con las pginas solicitadas por los usuarios de la LAN, de modo que los accesos
repetidos a la misma pgina web sean mucho ms rpidos.
Los servidores proxy tambin aumentan la seguridad de la LAN, ya que pueden filtrar pginas
web y programas maliciosos.
8.3. VPN
Una VPN (Virtual Private Network, Red Privada Virtual) consiste en acceder a los recursos
de una LAN desde fuera de ella con una conexin cifrada y segura usando IPSec. A sto se le llama
tambin tnel VPN.
sto es til para que, por ejemplo, los trabajadores de una empresa puedan acceder a discos y
recursos compartidos de la red corporativa de la empresa desde su propia casa, utilizando una red
pblica (Internet) como transporte.
Cuando la transmisin de datos sale de su red local, los datos en s mismos no estn protegidos,
a menos que se establezca un tnel seguro entre los dos dispositivos, creando un tnel VPN.
Una sucursal tiene una conexin VPN con la oficina en la sede central.
Cuando se utiliza una VPN, se est creando una conexin segura entre su red y otra usando
Internet.
8.4. PPTP
PPTP (Point to Point Tunneling Protocol, Protocolo de Tunelizacin de Punto a Punto), que
opera en el puerto TCP 1723, es uno de los protocolos VPN ms antiguos en uso, siendo contemporneo
con Windows 95, y estndar en todas las versiones de Windows desde entonces.
PPTP fue desarrollado gracias a una iniciativa de Microsoft para encapsular otro protocolo
llamado PPP (Protocolo Punto a Punto).
De todos los protocolos VPN, PPTP es uno de los ms comunes, ms fciles de configurar y
computacionalmente rpidos.
Por esa razn, el PPTP es particularmente til para aplicaciones en las cuales la velocidad es
fundamental, como descargas de audio o vdeo, o en dispositivos ms antiguos y lentos, con
procesadores ms limitados.
Sin embargo, el PPTP tambin est expuesto a serias vulnerabilidades de seguridad. Sus
protocolos de autenticacin subyacentes, tpicamente MS-CHAP-v1/v2, son fundamentalmente
inseguros, y han sido descifrados en anlisis de seguridad una y otra vez desde que se introdujo por vez
primera.
Por sta razn, el PPTP NO se recomienda, excepto en los casos donde la seguridad es
absolutamente prescindible.
8.5. IPSec
IPSec (Internet Protocol Security) es un conjunto de protocolos cuya funcin es asegurar las
comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un
flujo de datos.
Los protocolos de IPSec actan en la capa de red (capa 3 del modelo OSI).
sto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la
capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms usados.
Ejemplo: IPSec puede utilizarse para crear VPNs seguras.
8.6. NAT
La tecnologa NAT (Network Address Translation) traduce las direcciones del IP de una red
de rea local a una direccin IP diferente para Internet . Cada ordenador en su red tiene una direccin
IP local. Cuando el router recibe un paquete de datos para enviar hacia Internet, el router pone una
direccin IP distinta en el encabezado. De esta manera, quienquiera que recibe la transmisin de datos
no sabe cul es la direccin IP real del ordenador, as que el ordenador est oculto y seguro de los ojos
indiscretos.
Por tanto, la tecnologa NAT de conversin de la direccin IP evita que los hackers vean (y le
ataquen) su direccin IP de red, mientras ests navegando en Internet.
Ejemplo:
8.7. DMZ
DMZ (zona desmilitarizada) es un diseo conceptual de red donde los servidores de acceso
pblico se colocan en un segmento separado, aislado de la red .
El objetivo de DMZ es asegurar que los servidores de acceso pblico no puedan comunicarse con
otros segmentos de la red interna, en el caso de que un servidor se encuentre comprometido .
Su uso es habitual en redes de grandes empresas para crear una zona segura de acceso a
determinados equipos (como servidores) que se encuentran separados de otros.
En muchos casos se utiliza para mejorar el rendimiento de las aplicaciones como videojuegos,
programas, P2P, servicios web, etc.
Ejemplo: En el caso una empresa, el DMZ est aplicado a un servidor NAS que es accesible
desde el exterior, pero con los puertos protegidos de forma correcta gracias al firewall existente en el
software del equipo. Adems, los servicios que no se utilizan no estn activados, evitando de esta forma
que se puedan utilizar para acceder y manipular la informacin del equipo.
En este router domstico, el concepto DMZ host se refiere a la posibilidad de establecer una
direccin IP (perteneciente a un equipo de la red LAN) que tendr todos los puertos abiertos en
el router, con la excepcin de aquellos que ya estuvieran definidos en la tabla NAT.
Establecer un DMZ host para un dispositivo puede ser muy til cuando tenemos problemas con
la configuracin y queremos descartar que el origen del error sean los puertos . As, temporalmente
podemos dejar libre acceso a la IP que hayamos asignado al dispositivo para, una vez detectado el
problema, configurar nicamente los puertos que vayamos a utilizar en la seccin Port Forwarding.
Por lo que sirve sobre todo para evitar problemas existentes, para ejecutar programas o para
acceder a determinados servicios desde el exterior que se encuentran en el dispositivo que se
encuentra bajo la regla DMZ.
Es muy importante entender los importantes riesgos de seguridad que conlleva DMZ host y
utilizarlo nicamente como herramienta de diagnstico. En escenarios domsticos y sin los
conocimientos ni herramientas adecuadas, desproteger completamente un equipo ante posibles
intrusiones es una fuente casi segura de problemas. Pues, dejar abiertos todos los puertos en el
router implica que cualquier persona desde Internet podr realizar un rastreo para detectar
vulnerabilidades en los servicios que se estn utilizando (FTP, SSH, TELNET,). sto quiere decir que
si el router no es capaz de proteger el dispositivo, ste deber disponer de un firewall o d cuentas en
los diferentes servicios que estn correctamente protegidas, sin utilizar contraseas triviales que
puedan aparecer en diccionarios.
Obviamente, hacer uso de esta funcin resulta muy cmodo, pero siempre que se pueda es
mejor utilizar el NAT de nuestro router y redirigir los puertos a la IP LAN indicada siempre que sea
necesario.
La seguridad en las conexiones sin cable es muy importante, ya que los datos viajan por el aire.
Para que los datos no viajen por el aire de forma legible, hay que cifrar la comunicacin.
WPA2.
9.1.1. WEP
Es el primer sistema de cifrado incluido en el estndar IEEE 802.11.
Est basado en el algoritmo de cifrado RC4 y utiliza claves de 64, 128 256 bits.
Inconveniente: Este algoritmo no es muy seguro y existen programas que rompen este cifrado
en pocos minutos.
Ejemplo: Configuracin del router inalmbrico Linksys con seguridad WEP de 64 bits.
9.1.2. WPA
Surgi para corregir las deficiencias del cifrado WEP.
Utiliza el mismo algoritmo que WEP, pero incorpora un vector de inicializacin de 48 bits,
adems, distribuye claves diferentes a cada usuario.
Utiliza un servidor RADIUS (Servicio de Usuario de Acceso Telefnico de Autenticacin
Remota), que crea de forma aleatoria claves nicas en redes corporativas o gubernamentales ,
Wi-Fi ms grandes.
Se emplea para clientes inalmbricos 802.11g.
Ejemplo: Configuracin del router inalmbrico Linksys con seguridad WPA-PSK y cifrado TKIP.
9.1.3. WPA2
Es un sistema de cifrado ms moderno para proteger las redes inalmbricas.
Est basado en el algoritmo de cifrado AES que utiliza clculos ms complejos que el algoritmo
RC4.
Ejemplo: Configuracin del router inalmbrico Linksys con seguridad WPA2-PSK y cifrado AES.
Ejemplo: Configuracin del router inalmbrico Linksys con seguridad WPA-PSK / WPA2-PSK y
cifrado automtico.
9.2.1. TKIP
TKIP (Temporal Key Integrity Protocol) es un algoritmo de encriptacin que fue
especialmente diseado para evitar los ataques se producan contra WEP .
TKIP empieza con una clave temporal de 128 bits que comparte entre los clientes y los puntos
de acceso. Combina esta clave temporal con la direccin MAC de cada cliente y aade a su vez un vector
de inicializacin para producir la clave final con la que se van a cifrar los datos.
9.2.2. AES
AES (Advanced Encription Standard) es un algoritmo de encriptacin por bloques, donde el
tamao de la clave y del bloque son configurables. Se basa en varias operaciones realizadas en bloques
de datos de 16 bytes.
Actualmente, es ms seguro que TKIP.
Ejemplo: Configuracin del router inalmbrico Linksys con seguridad WPA2-PSK y cifrado TKIP
+ AES.
Los routers ofrecen las siguientes opciones para configurar la seguridad de la red inalmbrica:
Abiertas (riesgo). Las redes Wi-Fi abiertas no tienen contrasea, por lo que queda claro que no
se aconseja de ninguna forma.
WEP de 64 (riesgo). El viejo estndar de encriptacin WEP es vulnerable y no se debe utilizar.
WEP de 128 (riesgo). WEP con un cifrado de mayor tamao, pero igual inseguro.
WPA-PSK (AES). ste elige el protocolo inalmbrico WPA con el cifrado ms moderno AES.
Los dispositivos que soportan AES casi siempre soportarn WPA2, mientras que los dispositivos
que requieran WPA1 casi nunca admitirn el cifrado AES. Esta opcin tiene muy poco sentido.
WPA2-PSK (TKIP). Se utiliza el estndar WPA2 con cifrado TKIP. Esta opcin no es segura,
sin embargo, es la mejor opcin si se tienen dispositivos antiguos que no soportan una red
WPA2-PSK (AES).
WPA2-PSK (AES). sta es la opcin ms segura. Utiliza WPA2, el ltimo estndar de
encriptacin Wi-Fi, y el ms reciente protocolo de encriptacin AES. Debes utilizar esta opcin.
En los routers con interfaces menos confusas, la opcin marcada WPA2 o WPA2-PSK
probablemente slo utilice AES, ya que es una eleccin de sentido comn.
WPAWPA2-PSK (TKIP/AES). sto permite tanto WPA y WPA2 con TKIP y AES. sto
proporciona la mxima compatibilidad con todos los dispositivos antiguos, sin embargo, aunque
sea una opcin habitualmente predeterminada por los routers para evitar problemas con los
dispositivos, es una opcin poco aconsejable, ya que termina siendo tambin vulnerable. Esta
opcin TKIP + AES tambin pueden ser llamada WPA2-PSK modo mezcla.
9.4. WPS
Es decir, si nuestro router tiene habilitada la funcionalidad WPS y queremos acceder a nuestra
Wi-Fi, simplemente tenemos que enviarle un cdigo PIN de 8 dgitos para que el router nos permita
acceder a la red inalmbrica. Habitualmente, este cdigo PIN viene escrito en la parte inferior, pero
existen maneras alternativas de averiguarlo.
Inconveniente: Ofrece una nueva opcin para un ciberdelincuente interesado en acceder a una
red inalmbrica, ya que el tiempo que el ciberdelincuente necesita para averiguar un PIN de 8 dgitos es
mucho menor que el que necesita para averiguar la contrasea WPA2 configurada en la red.
Para mantener nuestra red Wi-Fi segura, debemos renunciar a la comodidad de conectarnos
mediante esta utilidad e introducir la contrasea WPA2 cada vez que queramos conectar un nuevo
dispositivo a nuestra red.
Un servidor web est preparado para soportar una cierta cantidad de peticiones o conexiones
simultneas. Si supera ese lmite de conexiones, pueden pasar dos cosas:
La respuesta de las peticiones de los usuarios pueden ser lentas o nulas.
El servidor web se desconecta de la red y queda sin conexin.
El ataque DoS satura el servidor web por medio de muchas peticiones de un mismo PC que poco
a poco va consumiendo recursos hasta que comience a rechazar las peticiones y comience a denegar el
servicio (DoS).
Como ventaja tiene que el administrador de la red puede ver de dnde vienen todos esos
ataques, bloquear esa IP y as el ataque cesa.
Direccin IP de origen.
Direccin IP de destino.
Direcciones MAC.
Dominios.
Protocolos.
Tipo de aplicacin.
Ejemplo: El filtrado de paquetes se puede comparar con el filtrado de correo basura. Muchas
aplicaciones de correo electrnico permiten a los usuarios ajustar la configuracin para que los correos
electrnicos enviados desde una direccin de origen particular se eliminen automticamente.
Ejemplo: Los routers empresariales reconocen el trfico perjudicial e impiden que ingrese y
dae la red. Casi todos los routers filtran trfico de acuerdo con las direcciones IP de origen y de
destino de los paquetes. Tambin filtran aplicaciones especficas y protocolos tales como IP, TCP,
HTTP, FTP y Telnet.
Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o
pequeas.
Sin embargo, posee muchas desventajas que lo hacen imprctico para uso en redes medianas o
grandes:
No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario
editar las tablas de direcciones de todos los puntos de acceso.
Ejemplo: Un administrador de red puede permitir que los usuarios locales tengan acceso a
Internet, pero impedir a los usuarios externos el acceso a travs de Telnet a la red local.
Decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Ejemplo:
Permitir que se enve el trfico de correo electrnico, pero bloquear todo el trfico de Telnet.
Otorgar o denegar permiso a los equipos para acceder a ciertos tipos de aplicaciones, tales
como FTP o HTTP.
Ejemplo: Cerrar todos los puertos, excepto los puertos TCP 20, 21 y 25, y UDP 69.
Otra opcin es indicar lo que se permite y denegar todo lo dems. Esta segunda estrategia
es mucho ms restrictiva que la primera.
El tamao de una ACL vara desde una sentencia que permite o deniega el trfico de un origen ,
hasta cientos de sentencias que permiten o deniegan paquetes de varios orgenes .
El uso principal de las ACL es identificar los tipos de paquetes que se deben aceptar o denegar .
Identificar o clasificar el trfico para funciones avanzadas tales como QoS y colas.
Por tanto, una ACL es una lista secuencial de condiciones que se aplican al trfico que viaja a
travs de una interfaz del router. Estas condiciones indican al router el tipo de paquetes que debe
aceptar o rechazar. El router examina cada paquete y lo enviar o lo descartar, segn las condiciones
especificadas en la ACL. La decisin de enviar o rechazar un paquete se tomar en funcin del origen
del paquete, el destino del paquete y el protocolo usado.
Existen ACLs para distintas pilas de protocolos: TCP/IP, IPX/SPX, AppleTalk, etc.
Las ACLs se identifican por un nmero.
Cada pila de protocolos identifica a sus ACLs dentro de un rango de nmeros y son:
La carga adicional sobre el router para verificar todos los paquetes se traduce en menos tiempo
para el reenvo de paquetes.
Las ACL con diseos defectuosos colocan una carga an mayor sobre el router y podran
interrumpir el uso de la red.
Las ACL colocadas de forma incorrecta bloquean el trfico que debe ser permitido y permiten
el trfico que debe ser bloqueado.
Cambia siempre la contrasea predeterminada. Cualquier persona puede hacer una bsqueda
en Internet y obtener el usuario y contrasea por defecto de un router. Cambia la contrasea
por una de al menos 8 caracteres en los que se alternen letras minsculas, maysculas, nmeros
y algn carcter especial (#&*@).
Nunca se debe usar la opcin WPS (Wi-Fi Protected Setup) en los dispositivos que lo
incluyen. Desactivarla siempre, aunque se use WPA2 y una contrasea de 50 caracteres.
Activa el Firewall de Windows para impedir que el malware, como gusanos o troyanos puedan
acceder al ordenador.
Desactivar la difusin del SSID. Si no desactivamos esta opcin, cada 10 msg el punto de
acceso propaga el SSID por la red. Si lo desactivamos, solamente las personas que conozcan el
SSID de la red van a poder acceder a ella.
Utilizar filtrado de direcciones MAC. En una red donde el nmero de ordenadores que se
conectan es fijo, se pueden guardar sus direcciones MAC en el punto de acceso para que no
puedan acceder ordenadores con distintas MAC.
Un cracker (criminal hacker, 1985) es alguien que viola la seguridad de un sistema informtico
de forma similar a como lo hara un hacker, slo que a diferencia de este ltimo, el cracker realiza la
intrusin con fines de beneficio personal o para hacer dao a su objetivo .
Hacker tico consiste en profesionales de la seguridad que aplican sus conocimientos de
hacking con fines defensivos (y legales).
1) Reconocimiento:
o Pasivo.
2) Rastreo (escaneo):
o Activo.
3) Acceso:
o Sistema operativo /
aplicacin.
o Redes.
o Denegacin de
servicio.
4) Mantener el acceso.
5) Borrado de huellas.
Reconocimiento pasivo:
o Google Hacking.
o Ingeniera social.
o Monitorizacin de redes de datos. Por ejemplo, sniffing, etc.
o Puertos abiertos.
o Localizacin de routers.
A veces un hacker blinda el sistema contra otros posibles hacker, protegiendo sus puertas
traseras, rootKits y Troyanos.
Hay que tener claro que hay tcnicas ms intrusivas (y por lo tanto delatoras) que otras.
Anlisis forense.
White Hats (o sombreros blancos): son individuos que tienen habilidades de hacker y su uso es
con fines defensivos. Tambin conocido como Security Analysts (analistas de seguridad).
Gray Hats (o sombreros grises): son personas que trabajan al mismo tiempo tanto en la parte
ofensiva como en la defensiva.
Redes locales. Simulacin de un ataque desde dentro (empleados, hacker que ha obtenido
privilegios en un sistema, ...).
Test interno (se le conoce tambin como Gray-box testing) se examina la red desde dentro.
Detalles de los resultados de las actividades y pruebas de hacking realizadas. Comparacin con
lo acordado previamente en el contrato.
Se detallarn las vulnerabilidades y se sugiere cmo evitar que hagan uso de ellas.
Ojo, que esto debe ser absolutamente confidencial! Deben quedar registrados en el contrato
dichas clusulas de confidencialidad.
11.1. Qu es un sniffer?
Se puede definir como sniffer a un proceso que detecta el trfico que se genera en la red a
nivel de enlace; de este modo, puede leer toda la informacin que circula por el tramo de red en el que
se encuentre. A travs de este mtodo se pueden capturar claves de acceso, datos que se transmiten,
nmeros de secuencia, etc.
En una red no conmutada, los datos se envan a todos los equipos de la red. Pero en uso normal,
los equipos ignoran los paquetes que se les envan. As, al usar la interfaz de red en un modo especfico
(en general llamado modo promiscuo), es posible supervisar todo el trfico que pasa a travs de una
tarjeta de red (una tarjeta de red Ethernet, una tarjeta de red inalmbrica, etc.).
Ejemplos:
Nmap es un programa de cdigo abierto que sirve para efectuar rastreo de puertos TCP y
UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informticos, as como
para descubrir servicios o servidores en una red informtica. Nmap es un escaneo activo.
Nmap puede usarse desde la lnea de comandos o con su cliente grfico Zenmap (incluido en la
instalacin).
Un rastreador es una herramienta que permite supervisar el trfico de una red . En general, lo
usan los administradores para diagnosticar problemas en sus redes y para obtener informacin sobre el
trfico que circula en la red.
Los Sistemas de Deteccin de Intrusiones (IDS) se basan en un rastreador para capturar
paquetes y usan bases de datos para detectar paquetes sospechosos.
Desafortunadamente, como ocurre con todas las herramientas administrativas, personas
malintencionadas que tengan acceso fsico a la red pueden usar el rastreador para recopilar
informacin. Este riesgo es incluso mayor en redes inalmbricas, ya que es difcil limitar las ondas de
radio a un rea; por lo tanto, personas malintencionadas pueden supervisar el trfico con tan slo estar
en el vecindario.
La inmensa mayora de los protocolos de Internet tienen informacin sin codificar, es decir, no
cifrada. Por lo tanto, cuando un usuario de red consulta sus mensajes a travs del protocolo POP o
IMAP, o navega en Internet por sitios que no empiezan con HTTPS, se puede interceptar toda la
informacin que se enve o reciba. As es cmo los hackers han desarrollado rastreadores de puertos
para recuperar contraseas que circulan por las redes.
12.2. Contramedidas
Existen varias formas de evitar los problemas que puedan surgir debido al uso de rastreadores
en su red:
Use protocolos cifrados para todas las comunicaciones que tengan contenido confidencial.
Use un detector de rastreadores. Es una herramienta que analiza la red en busca de hardware
mediante el modo promiscuo.
Se aconseja que, para redes inalmbricas, reduzca la potencia de su hardware para cubrir
slo el rea de superficie necesaria. Esto no impedir que potenciales hackers supervisen la red,
pero limitar el rea geogrfica donde puedan operar .
Esta herramienta permite identificar los riesgos de seguridad. En general, con este tipo de
herramienta es posible efectuar un anlisis en una serie o lista de direcciones IP a fin de realizar una
verificacin completa de una red.
Ejemplo: Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas
operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y
nessus, el cliente (basado en consola o grfico), que muestra el avance y reporte de los escaneos.
Actualmente, existen dos versiones: Home y Work. Esta ltima es de pago y sin
restricciones.
Adquisicin activa de informacin, que consiste en enviar una gran cantidad de paquetes con
encabezados caractersticos que normalmente no cumplen con las recomendaciones y analizar
las respuestas para identificar la versin de la aplicacin utilizada . Como todas ellas utilizan
protocolos ligeramente diferentes, esto posibilita su diferenciacin.
Adquisicin pasiva de informaciones (tambin denominado anlisis pasivo o anlisis no
agresivo), un mtodo mucho menos invasivo que reduce la probabilidad de ser detectado por un
sistema detector de intrusiones. Funciona de modo similar, efectuando un anlisis de los campos
de datagramas IP que circulan en una red utilizando un rastreador de puertos . Dada su
naturaleza pasiva, la versin analiza los cambios en los valores de campo dividindolos en una
serie de fragmentos, lo que requiere un tiempo de anlisis mucho ms prolongado. Por ello, este
tipo de anlisis es muy difcil e incluso imposible de detectar en determinadas ocasiones.