Auditoría de seguridad en switches y routers

UNIVERSIDAD SIMON BOLIVAR
DECANATO DE ESTUDIOS DE POSTGRADO

COORDINACIÓN DE POSTGRADO EN ELECTRÓNICA
ESPECIALIZACIÓN EN TELEMÁTICA
TRABAJO ESPECIAL DE GRADO
AUDITORIA DE SEGURIDAD A LOS SWITCHES Y ROUTERS DE

LA RED INTERNA DE UNA EMPRESA
por
Arnoldo Nicolás Rodríguez Rangel
Septiembre, 2011
AUDITORIA DE SEGURIDAD A LOS SWITCHES Y ROUTERS DE LA RED

INTERNA DE UNA EMPRESA
Trabajo Especial de Grado presentado a la Universidad Simón Bolívar por
Arnoldo Nicolás Rodríguez Rangel
Como requisito parcial para optar al grado académico de
Especialista en Telemática
Con la asesoría del Profesor
Ricardo González
Septiembre, 2011
ii


Por: Rodríguez Rangel, Arnoldo Nicolás

Carnet No: 0886781
Este Trabajo Especial de Grado ha sido aprobado en nombre de

la Universidad Simón Bolívar por el siguiente jurado examinador:
Prof. Wilmer Pereira

Presidente
Prof. Vincenzo Mendillo

Miembro Principal (Jurado externo)
Prof. Ricardo González

Miembro Principal-Tutor
23 de Septiembre, 2011
iii
DEDICATORIA
Este trabajo especial de grado está dedicado a Dios, mis Padres, mis
Hermanos y a mi Novia. Sin ustedes a mi lado este logro no habría sido posible.
iv
AGRADECIMIENTOS
En primer lugar les doy las gracias a Dios y a mi Familia por el amor y apoyo
que siempre me han brindado. Agradezco al Departamento de Mantenimiento de
Telemática y a la Sección de Redes de Datos por su colaboración para la realización
de este Trabajo Especial de Grado.
Agradezco especialmente al Profesor Ricardo González, por todo su apoyo

técnico y recomendaciones durante la planificación, ejecución y evaluación de este
Trabajo. Le estaré siempre agradecido.
v


Por: Rodríguez Rangel, Arnoldo Nicolás

Carnet No: 0886781
Tutor: González, Ricardo
Septiembre 2011
RESUMEN
El presente trabajo tuvo como finalidad apoyar al Departamento de Mantenimiento

de Telemática, mediante la identificación de las vulnerabilidades, el análisis de las
amenazas y el diseño de medidas de protección, para mejorar la seguridad en los
switches y routers de la red interna de datos existente.
En primer lugar, se realizó un estudio sobre los mecanismos de seguridad aplicados

en los dispositivos de red de la Empresa en cuestión, evaluando la implementación
actual de algunos de los servicios más relevantes asociados a la seguridad, como lo
son: la integridad, autenticación, control de acceso y no repudiación, tal como lo
describe Stallings (2005), así como el cumplimiento de las políticas y normas
internas existentes en la organización sobre la seguridad en informática y
comunicaciones. Este estudio permitió la identificación de las vulnerabilidades, y el
análisis de las amenazas a la seguridad de estos dispositivos, ante ataques
comunes a las redes de datos.
A partir de la identificación de las vulnerabilidades y el análisis de las amenazas, se

procedió a diseñar medidas de seguridad para los dispositivos, tomando en cuenta
las limitaciones funcionales del Departamento de Mantenimiento de Telemática
dentro de la Empresa.
Palabras claves: Seguridad, Red Interna, Cifrado, Routers y Switches.

vi
ÍNDICE GENERAL
Pág.
APROBACIÓN DEL JURADO EEEEEEEEEEEEEEEE.EEEE.... ii
DEDICATORIA EEEEEEEEEEEEEEEEEEEEEEEEEE........ iii
AGRADECIMIENTOS EEEEEEEEEEEEEEEEEEEEEEEE.... iv
RESUMEN EEEEEEEEEEEEEEEEEEEEEEEEEEE........... v
ÍNDICE GENERAL EEEEEEEEEEEEEEEEEEEEEEEEE..... vi
LISTA DE ABREVIATURAS EEEEEEEEEEEEEEEEEEEEEE... xii
INTRODUCCIÓN EEEEEEEEEEEEEEEEEEEEEEEEEE.... 1
FASE DE PLANIFICACIÓN
CAPÍTULO I: PROYECTO DE TRABAJO ESPECIAL DE GRADO EE.EE.... 3
1.1. Justificación EEEEEEEEEEEEEEEEEEEEEEEEEE.... 3
1.2. Objetivos del Estudio EEEEEEEEEEEEEEEEEEEEEE.... 4
1.2.1. Objetivo General EEEEEEEEEEEEEEEEEEEE...... 4
1.2.2. Objetivos Específicos EEEEEEEEEEEEEEEEEE...... 4
1.3. Metodología EEEEEEEEEEEEEEEEEEEEEEEEEE.... 4
1.3.1. Marco Conceptual Referencial EEEEEEEEEEEEEE....... 5
1.3.2. Marco Contextual Organizacional EEEEEEEEEEEEE..... 5
1.3.3. Análisis de la Situación actual EEEEEEEEEEEEE........... 5
1.3.4. Diseño de las propuestas de medidas de protección ...................... 6
1.3.5. Validación de las propuestas de medidas de protección ................. 7
1.3.6. Evaluación del Proceso General cumplido ..................................... 7
1.4. Cronograma de Ejecución ........................................................................... 7
FASE DE EJECUCIÓN
CAPITULO II: MARCO CONCEPTUAL REFERENCIAL EEEEEEEEE... 9
2.1. Conceptos básicos en Redes de Computadores ........................................ 9
vii
2.1.1. Redes de Transmisión de Datos ...................................................... 9

2.1.2. Dispositivos de red ........................................................................... 10
2.1.3. Protocolos TCP/IP ............................................................................ 10
2.1.4. Protocolos de Enlace de Datos ........................................................ 10
2.1.4.1. High-level Data Link Control (HDLC) EEEEEEEE.... 10
2.1.4.2. Point to Point Protocol (PPP) EEEEEEEEEEEE. 11
2.1.5. Estándares de Comunicación en redes .......................................... 11
2.1.5.1. Estándares IEEE 802.3 (Ethernet) ..................................... 11
2.1.5.2. IEEE 802.11 (Wi-Fi) ............................................................ 12
2.2. Fundamentos específicos de seguridad en redes ...................................... 12
2.2.1 Auditoría de Seguridad ..................................................................... 12
2.2.2. Servicios de seguridad y principios básicos .................................... 13
2.2.2.1. Confidencialidad ................................................................. 13
2.2.2.2. Integridad ........................................................................... 14
2.2.2.3. Autenticación ...................................................................... 14
2.2.2.4. Control de Acceso .............................................................. 14
2.2.2.5. No repudiación ................................................................... 14
2.2.2.6. Disponibilidad ..................................................................... 15
2.2.3. Amenaza, Vulnerabilidad y Ataque a la seguridad .......................... 15
2.2.3.1. Amenaza ............................................................................ 15
2.2.3.2. Vulnerabilidad ..................................................................... 15
2.2.3.3. Ataque ................................................................................ 16
2.2.4. Criptografía ....................................................................................... 17
2.2.4.1. Criptografía convencional .................................................. 17
2.2.4.2. Criptografía de clave pública ............................................. 18
2.2.5. Algoritmos de cifrado ....................................................................... 18
2.2.5.1. Estándar de Cifrado de Datos (DES) .................................. 18
2.2.5.2. Estándar Avanzado de Cifrado (AES) ................................ 18
2.2.5.3. Rivest-Shamir-Adleman (RSA) ........................................... 19
2.2.6. Funciones de Dispersión (hash) ...................................................... 19
2.2.6.1. Resumen de Mensaje 5 (MD5) .......................................... 19
viii
2.2.6.2. Función de Dispersión Segura SHA-1 ............................... 20

2.2.7. Protocolos de Acceso Remoto ......................................................... 20
2.2.7.1. Telecommunications Network (Telnet) ............................... 20
2.2.7.2. Secure Shell (SSH) ............................................................ 20
2.2.8. Seguridad en IPv4 ............................................................................ 21
2.2.8.1. Seguridad con IPSec .......................................................... 21
2.3. Ataques comunes a dispositivos de red ...................................................... 21
2.3.1. Ataques de saturación de la dirección MAC .................................... 21
2.3.2. Ataques de suplantación de identidad DHCP .................................. 22
2.3.3. Ataques de suplantación de identidad ARP ..................................... 22
2.3.4. Ataques de reconocimiento CDP/SNMPv1/Telnet ........................... 23
2.3.5. Ataques VTP/DTP ............................................................................ 23
2.3.6. Ataques STP .................................................................................... 24
2.3.7. Tormentas de broadcast y Ataques DoS .......................................... 24
2.3.8. Ataques a servicios vulnerables ...................................................... 25
CAPÍTULO III: MARCO CONTEXTUAL ORGANIZACIONAL EEE.EEEE.. 26
3.1. Gerencia de Telemática .............................................................................. 26
3.2. Departamento de Mantenimiento Telemática ............................................. 27
3.3. Sección de Redes de Datos ....................................................................... 27
3.3.1. Objetivo ............................................................................................ 27
3.3.2. Funciones ......................................................................................... 27
3.4. Situación planteada ..................................................................................... 28
CAPÍTULO IV: ANALISIS DE LA SITUACIÓN ACTUAL ................................... 29
4.1. Propósitos del Proceso ................................................................................ 29
4.2. Planificación del Proceso ............................................................................. 29
4.3. Desarrollo del Proceso ................................................................................. 30
4.4. Resultados del Proceso ............................................................................... 31
4.4.1. Red de Datos ................................................................................... 31
4.4.1.1. Routers de la Red .............................................................. 31
4.4.1.2. Switches de la Red ............................................................ 32
4.4.1.3. Condiciones y acceso a los cuartos de comunicaciones .... 33
ix
4.4.1.4. Contraseñas de acceso y métodos de autenticación ......... 34

4.4.1.5. Otros detalles de los archivos de configuración ................. 35
4.4.1.6. Respaldos ........................................................................... 36
4.4.2. Políticas y Normas respecto a la Seguridad de la Red .................... 36
4.4.3. Evaluación de los Servicios de Seguridad ....................................... 37
4.4.3.1. Situación actual de la Confidencialidad .............................. 37
4.4.3.2. Situación actual de la Integridad ........................................ 38
4.4.3.3. Situación actual de la Autenticación .................................. 38
4.4.3.4. Situación actual del Control de Acceso ............................. 38
4.4.3.5. Situación actual de la No repudiación ............................... 39
4.4.4. Identificación de Vulnerabilidades y Análisis de Amenazas ............. 39
4.4.4.1. Identificación de Vulnerabilidades ...................................... 39
4.4.4.2. Análisis de las Amenazas a los dispositivos de red ............ 42
CAPÍTULO V: DISEÑO DE LAS PROPUESTAS DE MEDIDAS DE
PROTECCIÓN EEEEEEEEEEEEEEEEEEEEEE..EEEEE.. 44
5.1. Proceso de Diseño ...................................................................................... 44
5.1.1 Objetivos del Proceso ...................................................................... 44
5.1.2 Planificación del Proceso ................................................................. 44
5.1.3 Desarrollo del Proceso ..................................................................... 45
5.2. Propuestas de Medidas de Protección ....................................................... 46
5.2.1. Medidas contra las Amenazas ante ataques comunes ................... 46
5.2.1.1. Amenaza de saturación de las direcciones MAC .............. 46
5.2.1.2. Amenaza de suplantación DHCP ...................................... 47
5.2.1.3. Amenaza de suplantación ARP ......................................... 48
5.2.1.4. Amenaza de ataques de reconocimiento y retransmisión .. 48
5.2.1.5. Amenaza de ataques VTP/DTP ......................................... 50
5.2.1.6. Amenaza de ataques STP ................................................. 51
5.2.1.7. Amenaza de Tormentas de Broadcast y ataques DoS ...... 51
5.2.1.8. Amenaza de ataques a servicios vulnerables .................... 53
5.2.2. Medidas para reforzar los servicios de seguridad ........................... 54
5.2.2.1. Medidas para mejorar la Confidencialidad ......................... 54
x
5.2.2.2. Medidas para mejorar la Integridad ................................... 54

5.2.2.3. Medidas para mejorar la Autenticación .............................. 55
5.2.2.3. Medidas para mejorar el Control de Acceso ...................... 56
5.2.2.4. Medidas para mejorar el No repudio .................................. 59
5.2.2.5. Medidas adicionales para mejorar la Disponibilidad .......... 60
CAPÍTULO VI: VALIDACIÓN DE LAS PROPUESTAS DE MEDIDAS DE
PROTECCIÓN EEEEEE..EEEEEEEEEEEEEEEEEEEEE.. 61
6.1. Objetivos del Proceso ................................................................................. 61
6.2. Planificación del Proceso ............................................................................ 61
6.3. Desarrollo del Proceso ................................................................................ 62
6.4. Resultados del Proceso .............................................................................. 63
6.4.1. Validación del análisis sobre la Situación actual de la Seguridad ... 63
6.4.1.1. Preguntas de la primera etapa del Instrumento ................. 63
6.4.1.2. Resultados de la Validación del análisis sobre la
Situación actual .............................................................................. 64
6.4.2. Validación de las Propuestas de Medidas de Protección ................ 65
6.4.2.1. Preguntas de la segunda etapa del Instrumento ............... 65
6.4.2.2. Resumen de las Medidas para la Seguridad Física ........... 66
6.4.2.3. Resumen de las Medidas para la Seguridad Lógica .......... 66
6.4.2.4. Resultados de la Evaluación de las Propuestas ................ 68
6.4.3 Validación de las vulnerabilidades mediante Nessus 4.4.1 .............. 70
6.4.4 Validación de las vulnerabilidades mediante CVE ............................ 74
6.4.5 Validación de la metodología utilizada mediante OSSTMM ............. 76
6.4.5.1 Seguridad de la Información ............................................... 76
6.4.5.2 Seguridad de los Procesos ................................................. 77
6.4.5.3 Seguridad en las Tecnologías de Internet ........................... 77
6.4.5.4 Seguridad en las Comunicaciones ..................................... 80
6.4.5.5 Seguridad Inalámbrica ........................................................ 80
6.4.5.6 Seguridad Física ................................................................. 81
xi
FASE DE EVALUACIÓN
CAPÍTULO VII: EVALUACIÓN DEL PROCESO DE TRABAJO ESPECIAL DE
GRADO ................................................................................................................ 82
7.1. Comparación entre lo Planificado y lo Ejecutado ....................................... 82
7.1.1. En cuanto al Marco Conceptual Referencial ................................... 82
7.1.2. En cuanto al Marco Contextual Organizacional .............................. 83
7.1.3. En cuanto al Análisis de la situación actual ..................................... 83
7.1.4. En cuanto al Diseño de las propuestas de medidas de protección .. 84
7.1.5. En cuanto a la Validación de las propuestas de medidas ............... 85
7.3. Revisión sobre el Cronograma de Ejecución .............................................. 85
7.2. Logro de los Objetivos Planteados en la Propuesta del Estudio ................ 86
7.2.1. Cumplimiento del objetivo especifico 1.2.2.a .................................. 87
7.2.2. Cumplimiento del objetivo especifico 1.2.2.b ................................... 87
7.2.3. Cumplimiento del objetivo especifico 1.2.2.c .................................. 87
7.2.4. Cumplimiento del objetivo especifico 1.2.2.d .................................. 88
CAPÍTULO VIII: CONCLUSIONES Y RECOMENDACIONES ............................ 89
8.1. Conclusiones ............................................................................................... 89
8.2. Recomendaciones ...................................................................................... 91
REFERENCIAS ................................................................................................... 92
ANEXOS .............................................................................................................. 94
xii
LISTA DE ABREVIATURAS
AAA: En inglés Authentication, Authorization and Accounting, y corresponde a una

familia de servicios que proporcionan estas funciones, en términos de seguridad en
informática.
ACL: En inglés Access Control List, es un concepto de seguridad de la informática

utilizado para establecer los permisos de acceso adecuados sobre un objeto.
ARP: En inglés Address Resolution Protocol, es un protocolo de Capa 2 del Modelo

OSI y es responsable de encontrar la dirección física o MAC que corresponde a una
dirección IP especifica.
BOOTP: En inglés se refiera a Bootstrap Protocol. Es un antiguo protocolo de red

que trabaja sobre UDP y es utilizado por los equipos en una red para obtener
automáticamente su dirección IP.
CAM: En inglés Content Addressable Memory, es una tabla que almacena

dinámicamente las direcciones MAC aprendidas por un switch Ethernet. Es uno de
las principales características que distingue un switch de un hub.
CEF: En inglés Cisco's Express Forwarding, es una tecnología avanzada de Capa 3

del Modelo OSI, la cual permite incrementar la velocidad de conmutación de los
paquetes que son transmitidos por un router, por medio de la reducción del tamaño
del encabezado y los retardos a través de técnicas especiales de enrutamiento.
CHAP: En inglés Challenge Handshake Authentication Protocol, es un protocolo de

autenticación por mutuo desafío, actualmente es uno de los protocolos más
xiii
utilizados para autentificar a un usuario ante un ISP.
CRC: En inglés Cyclic Redundancy Check, es una función que recibe datos de
cualquier longitud como entrada y regresa un valor de longitud fija como salida.
Están basados en identificar el resto de la división de los bits del mensaje entre un
polinomio especialmente seleccionado. Son utilizadas de forma similar a la suma de
verificación para detectar la modificación de los datos durante su transmisión o
almacenamiento.
DDoS: En inglés Distributed Denial of Service Attack, es una ampliación del ataque
Dos, el cual se lleva a cabo generando un gran flujo de información desde varios
puntos de conexión.
DHCP: En inglés Dynamic Host Configuration Protocol, es un protocolo de red que

permite a los equipos en una red TPC/IP adquirir los parámetros de configuración de
red automáticamente. DHCP es un protocolo basado en BOOTP, pero más
avanzado.
DNS: En inglés Domain Name System, es un sistema de nombres jerárquico para

computadoras o cualquier recurso conectado a Internet o a una red privada.
DoS: En inglés Denial of Service Attack, es un ataque contra un sistema de

computadoras o red que ocasiona la pérdida de un servicio o recurso, de modo que
es inaccesible a los usuarios legítimos por un lapso de tiempo determinado.
DTP: En inglés Dynamic Trunking Protocol, es un protocolo propietario de Cisco

Systems que opera entre switches Cisco, el cual automatiza la configuración de
enlaces trunking (ISL o 802.1Q) sobre interfaces Ethernet.
FTP: En inglés File Transfer Protocol, es un protocolo de red que trabaja TCP
basado en la arquitectura cliente-servidor, el cual es utilizado para la transferencia de
xiv
archivos entre sistemas.
HTTP: En inglés Hypertext Transfer Protocol, es el protocolo utilizado en cada

transacción sobre la World Wide Web cuando se solicita información de una página
web desde una computadora o dispositivo.
ICMP: En inglés Internet Control Message Protocol, es el sub protocolo de control y

notificación de errores de IP. Solamente informa de incidencias en la entrega o de
errores en la red en general, pero no toma decisión alguna al respecto.
IEEE: En inglés Institute of Electrical and Electronics Engineers, es una asociación

técnica-profesional a nivel mundial dedicada a la estandarización y al fomento de la
innovación tecnológica.
IOS: En inglés Internetwork Operating System, es un sistema operativo creado por

Cisco Systems utilizado para programar y mantener equipos de redes como switches
y routers.
IP: En inglés Internet Protocol, es un protocolo no orientado a conexión, usado por

los dispositivos intermedios y finales para la comunicación de datos a través de una
red conmutada, no confiable y de mejor esfuerzo.
LAN: En inglés Local Area Network, se refiere a la interconexión de varias

computadoras y dispositivos en un área geográfica reducida o local. Su extensión
usualmente está limitada físicamente a un edificio, sin embargo la evolución de la
tecnología está expandiendo cada vez más su alcance.
MAC: En inglés Media Access Control, es un identificador de 48 bits que

corresponde de forma única a una tarjeta o dispositivo de red. Se conoce también
como dirección física.
xv
NTP: En inglés Network Time Protocol, es un protocolo de Internet utilizado para

sincronizar los relojes de los sistemas informáticos. NTP trabaja sobre UDP usando
el puerto 123.
PAP: En inglés Password Authentication Protocol, es un protocolo sencillo de

autenticación, el cual es utilizado para autenticar un usuario ante un servidor o un
proveedor de servicios.
RADIUS: En inglés Remote Authentication Dial-In User Server, es un protocolo de

autenticación y autorización utilizado en aplicaciones de acceso a la red. Utiliza el
puerto 1812 UDP para establecer sus conexiones.
RAM: En inglés Random Access Memory, es la memoria desde donde el procesador

de un dispositivo recibe las instrucciones y guarda los resultados temporalmente. La
información en esta memoria sólo es almacenada mientras el dispositivo esta
encendido.
RPF: En inglés Reverse Path Forward, es un mecanismo que puede implementarse

en los routers Cisco, de modo que el dispositivo utilice la información almacenada en
la tabla de enrutamiento para decidir si acepta o rechaza un paquete unicast recibido
por alguna de sus interfaces.
SNMP: En inglés Simple Network Management Protocol, es un protocolo de la capa

de aplicación que facilita el intercambio de información para la gestión de los
dispositivos de red.
SSID: En inglés Service Set Identifier, es un nombre que es adicionado en todos los
paquetes de una red inalámbrica WLAN, para identificarlos como parte de la red. Los
dispositivos inalámbricos que intentan comunicarse entre sí deben compartir el
mismo SSID.
xvi
STP: En inglés Spanning Tree Protocol, es un protocolo de red de la Capa 2 del

modelo OSI, el cual se encarga de gestionar la presencia de bucles y enlaces
redundantes en una topología de red.
TACACS: En inglés Terminal Access Controller Access Control System, es un

protocolo propietario de Cisco Systems, el cual es utilizado para la autenticación
remota ante un servidor de autenticación.
TCP: En inglés Transmission Control Protocol, es uno de los protocolos de

transporte fundamentales en Internet y garantiza que los datos serán entregados en
su destino sin errores y en el mismo orden en que se transmitieron.
TFTP: En inglés Trivial File Transfer Protocol, es un protocolo de transferencia

simplificado equivalente a una versión básica del protocolo FTP. Usualmente se
emplea para transferir archivos pequeños entre dispositivos en una red.
UDP: En inglés User Datagram Protocol, es un protocolo del nivel de transporte

basado en el intercambio de datagramas. A diferencia de TCP, no ofrece
confirmación ni control de flujo.
UPS: En inglés Uninterruptible Power Supply, es un dispositivo que por medio del
uso de baterías, es capaz de proporcionar energía eléctrica a los dispositivos que
tenga conectados, aunque ocurra un corte o falla en el suministro principal de
energía.
VLAN: En inglés Virtual LAN, es un método que permite la creación de redes

lógicamente independientes dentro de una misma topología de red física.
VTP: En inglés VLAN Trunking Protocol, es un protocolo usado para configurar y

administrar VLANs en equipos Cisco.
xvii
VTY: En inglés Virtual Teminal Line, es una línea o puerto de comunicaciones virtual
o remoto que es utilizado para enviar caracteres a un dispositivo o monitor.
WAN: En inglés Wide Area Network, se refiere a la interconexión de varios

dispositivos en un área geográfica amplia. Las WAN son capaces de interconectar
redes LAN ubicadas en distintas locaciones.
WEP: En inglés Wired Equivalent Privacy, es el sistema de cifrado incluido en el

estándar IEEE 802.11 como protocolo para redes Wi-Fi, el cual que permite cifrar la
información que se transmite.
WLAN: En inglés Wireless Local Area Network, es un sistema inalámbrico de

comunicaciones flexible, ampliamente utilizado como alternativa a las redes de área
local cableadas o como una extensión de estas.
WPA: En inglés Wi-Fi Protected Access, es un sistema utilizado para proteger las
redes inalámbricas Wi-Fi mediante el cifrado, creado para corregir las deficiencias
del sistema previo WEP.
1
INTRODUCCIÓN
En la actualidad, la seguridad se ha convertido en un aspecto primordial en la

administración de las redes de datos. En muy poco tiempo, las redes informáticas
han crecido en tamaño y en importancia, lamentablemente con el pasar de los años,
las aplicaciones y las técnicas de ataque a las redes han evolucionado. Por lo que el
diseño y aplicación de políticas, mecanismos y estrategias necesarias para lograr un
nivel adecuado de seguridad en la red, se ha vuelto una actividad cada vez más
relevante en una organización.
La seguridad de los routers es un elemento crítico para las implementaciones de

medidas de seguridad. Debido que los routers proporcionan la puerta de enlace
hacia otras redes, son objetivos indiscutibles y están expuestos a un número
significativo de ataques. Asimismo, los switches direccionan y controlan una cantidad
importante del tráfico que fluye a través de las redes de datos y proveen la conexión
directa entre los elementos de una red de área local, lo cual los convierte también en
objetivos de los agresores.
Los tipos de amenazas potenciales a la seguridad de la red se encuentran siempre

en evolución, de modo que es importante implementar y mantener actualizada una
política de seguridad sobre la informática y las comunicaciones, que defina pautas
acerca de las acciones que deben ejecutarse y los recursos que deben emplearse
para proporcionar seguridad a la red de una organización.
Por estas razones, nace la importancia de considerar la seguridad de los routers y

los switches, como elementos esenciales para garantizar permanentemente la
seguridad y administración de las redes de datos. El presente Trabajo Especial de
Grado denominado “Auditoria de Seguridad a los switches y routers de la red interna
2
de una Empresa” se encuentra estrechamente vinculado a esta temática y está

constituido en tres partes principales: Planificación, Ejecución y Evaluación.
La primera parte, denominada fase de Planificación, comprende el Proyecto de

Trabajo Especial de Grado contemplado en el Capítulo I, el cual fue presentado a la
Coordinación de Postgrado en Ingeniería Electrónica. Esta etapa contempló la
formulación de los Objetivos, Metodología y el Cronograma de ejecución a seguir
para la ejecución de las actividades relacionadas.
La segunda etapa, denominada fase de Ejecución comprende el desarrollo de lo

indicado en el apartado correspondiente a la Metodología empleada en el Proyecto
de Trabajo Especial de Grado presentado, el cual se encuentra disponible en el
Capítulo I. El desarrollo de esta metodología contempla los Capítulos II, III, IV, V y
VI, los cuales corresponden al Marco Conceptual Referencial, Marco Contextual
Organizacional, Análisis de la Situación actual, Diseño de un conjunto de propuestas
para mejorar la seguridad de la red y un proceso de Validación de las propuestas en
conjunto con los actores involucrados.
La última fase denominada Evaluación, comprende la evaluación del proceso de

elaboración del presente Trabajo Especial de Grado, así como las Conclusiones y
Recomendaciones, las cuales son presentadas y documentadas en los Capítulos VII
y VIII respectivamente.
3
CAPÍTULO I
PROYECTO DE TRABAJO ESPECIAL DE GRADO
El presente Capítulo documenta la fase de planificación del Trabajo Especial de

Grado o Proyecto de Trabajo Especial de Grado. Se expone la justificación, el
objetivo general y los objetivos específicos, la metodología utilizada y se finaliza con
la presentación del cronograma de ejecución elaborado durante esta fase.
1.1 Justificación
El término Seguridad para Kizza (2009) se refiere en general al proceso continuo de

proteger un objeto del acceso no autorizado. Desde el punto de vista de las redes de
computación, los objetos pueden ser físicos o no, continúa Kizza (2009). Los objetos
físicos o tangibles son los recursos de hardware de la red y los objetos intangibles
son la información y datos en el sistema.
Más específicamente, la seguridad en redes de computación afirma Stallings (2005)

comprende un conjunto de medidas que permiten determinar, prevenir, detectar y
corregir violaciones de seguridad que involucran la transmisión de información a
través de redes.
En este contexto, es posible que los switches y routers de la Empresa en cuestión no

tengan implementadas las medidas de seguridad más adecuadas. Para cubrir estos
aspectos se hace necesario, en primer lugar efectuar un estudio sobre los
mecanismos de seguridad actualmente implementados sobre los dispositivos, para
identificar las vulnerabilidades y analizar las amenazas a la seguridad de los
mismos; y en segundo lugar diseñar medidas de protección, considerando las
limitaciones funcionales del Departamento de Mantenimiento de Telemática.
4
Con el presente trabajo especial de grado se espera apoyar al Departamento de

Mantenimiento de Telemática, por medio de la realización de una auditoría de
seguridad a los switches y routers de la red interna de la Empresa.
1.2 Objetivos del Estudio
En ese contexto, como objetivos del Estudio fueron propuestos los siguientes:
1.2.1 Objetivo General
Realizar una auditoría de seguridad a los switches y routers de la red interna de la

Empresa en cuestión.
1.2.2 Objetivos Específicos
a. Estudiar los mecanismos de seguridad existentes, evaluando la implementación

actual de los servicios de seguridad y el cumplimiento de las políticas y normas
internas, sobre la seguridad en informática y comunicaciones existentes en la
organización.
b. Identificar las vulnerabilidades y analizar las amenazas potenciales a la
seguridad de los switches y routers.
c. Diseñar propuestas de medidas de protección que permitan disminuir las
vulnerabilidades detectadas en los dispositivos, considerando las limitaciones del
Departamento de Mantenimiento de Telemática.
d. Validar las propuestas de medidas de protección con los trabajadores de la
Sección de Redes de Datos, con la finalidad de determinar su validez y
viabilidad.
1.3 Metodología
Para el logro de los objetivos propuestos, se estableció cumplir los siguientes pasos
durante la elaboración del Trabajo Especial de Grado:
5
1.3.1 Marco Conceptual Referencial
Inicialmente se expondrán conceptos básicos en redes de computadoras como LAN,

WAN, dispositivos de red, protocolos TCP/IP, protocolos de enlace de datos y
estándares en comunicaciones de datos desarrollados por autores como Tanenbaum
(2003), Stallings (2004), Beasley (2009) y Cisco Systems (2003)(2009), siendo estas
las bases teóricas que sustentan las redes de computadores.
Luego, utilizando referencias bibliográficas sobre seguridad en redes y criptografía

de autores tales como Stallings (2005), Cole (2005) y Kizza (2009), además del
material del curso “Seguridad en Informática y Comunicaciones” de la USB facilitado
por el Profesor Vincenzo Mendillo (2009), se estudiarían los fundamentos de la
seguridad en informática y comunicaciones, algoritmos de cifrado, protocolos de
acceso remoto y ataques comunes a las redes de datos.
1.3.2 Marco Contextual Organizacional
Utilizando documentos de la Empresa en cuestión, tales como los manuales de

organización de la Gerencia de Telemática y del Departamento de Mantenimiento de
Telemática, se presentaría la revisión de la unidad responsable de la operación y
mantenimiento de los equipos y sistemas de comunicación.
1.3.3 Análisis de la Situación actual
El proceso básico consistiría en realizar un levantamiento de información de los

dispositivos en cuestión, así como también las políticas y normas internas existentes
en la Empresa sobre la seguridad en informática y comunicaciones. El levantamiento
de información incluiría como elementos básicos las condiciones y acceso de los
cuartos de comunicaciones, gabinetes, racks, fuentes de alimentación, topología de
la red, medios físicos, distribución del cableado vertical y horizontal, tipo de
interfaces, protocolos, marca y modelo de los equipos, versiones de IOS, robustez
6
de las contraseñas de acceso, métodos de autenticación, listas de control de acceso,

archivos de configuración, servidores de respaldo, entre otros.
Este levantamiento inicial, permitiría estudiar los mecanismos de seguridad

aplicados sobre los dispositivos y daría lugar a la evaluación de la implementación
actual de los servicios de seguridad indicados y el cumplimiento de las políticas y
normas señaladas. Se concluiría con la documentación de las vulnerabilidades
detectadas y el análisis de las amenazas potenciales ante ataques comunes a las
redes de datos.
1.3.4 Diseño de las propuestas de medidas de protección
A partir de la identificación de las vulnerabilidades y el análisis de las amenazas a la

seguridad de los dispositivos, se diseñarían medidas de protección que permitan la
implementación de los servicios de seguridad anteriormente descritos y el
cumplimiento de las políticas y normas internas de la organización en cuanto a la
seguridad en informática y las comunicaciones.
Los diseños indicarían los nuevos requerimientos en cuanto a nuevas instalaciones,

equipos, actualizaciones de software y otras aplicaciones para su implementación.
Las propuestas que por su naturaleza, deban implementarse a través de la
configuración de los routers y switches, serían diseñadas en forma de plantillas de
seguridad (secure templates), y especificarían las líneas de comando sobre IOS que
deban ser modificadas o agregadas en los archivos de configuración.
Finalmente, se procedería a evaluar y seleccionar el conjunto de medidas de

protección que permitan cumplir con las siguientes premisas de diseño:
• Reducir las vulnerabilidades detectadas en los equipos para así mitigar las
amenazas ante ataques comunes en redes de datos.
• Disminuir la posibilidad de ocurrencia de delitos informáticos en los dispositivos
de red.
7
• Minimizar los requerimientos adicionales en cuanto a procesamiento y/o

memoria en los equipos además de capacidad de los enlaces.
Adicionalmente, los diseños considerarían las limitaciones y restricciones a nivel

presupuestario y funcional del Departamento de Mantenimiento de Telemática, en
cuanto a la adquisición de nuevos equipos, actualizaciones, instalación de
aplicaciones, reconfiguración de servidores, reasignación de direcciones IP, entre
otras.
1.3.5 Validación de las propuestas de medidas de protección
Los diseños de medidas de protección serían presentadas a los trabajadores de la

Sección de Redes de Datos para su análisis y discusión. Se estableció elaborar un
instrumento que permitiría recoger su opinión sobre la viabilidad de la propuesta.
1.3.6 Evaluación del Proceso General cumplido
Para la evaluación del proceso de Trabajo Especial de Grado, se analizaría la

correspondencia entre lo planificado y lo ejecutado, el cumplimiento del cronograma
de ejecución y el grado de logro de los objetivos.
1.4 Cronograma de Ejecución
Para el cumplimiento de los pasos establecidos en la metodología se cumpliría el

cronograma presentado en la tabla 1.1. Dicho cronograma se presenta a
continuación.
8
Tabla 1.1. Cronograma de Ejecución Trabajo Especial de Grado
Tiempo
Actividad Fecha Probable
Estimado
Elaboración del Marco Conceptual

7 días 28/03/2011
Referencial.
Elaboración del Marco Contextual

7 días 04/04/2011
Organizacional.
Elaboración del análisis de la Situación

28 días 02/05/2011
actual.
Diseño de las propuestas de medidas de

35 días 06/06/2011
protección.
Validación de las propuestas de medidas

14 días 20/06/2011
de protección.
Evaluación del proceso de Trabajo

7 días 27/06/2011
Especial de Grado.
Elaboración de conclusiones y
14 días 11/07/2011
recomendaciones.
Entrega del Informe Final 1ra Versión. 7 días 18/07/2011
Con esto se concluye la descripción del Proyecto del Trabajo Especial de Grado
presentado a la Coordinación de Postgrado en Electrónica. En las páginas siguientes
se expone en detalle el desarrollo de cada una de las actividades aquí descritas, sus
resultados y como contribuyeron a cumplir con los objetivos inicialmente trazados en
este trabajo.
9
CAPÍTULO II
MARCO CONCEPTUAL REFERENCIAL
Como Marco Conceptual del trabajo se presenta los conceptos básicos que
fundamentan las redes de computadores, incluyendo definiciones utilizadas en la
transmisión de datos, clasificación de las redes de datos, conmutación, dispositivos
de red, protocolos TCP/IP, protocolos de enlace de datos y estándares de
comunicación. Se continuará con la exposición de fundamentos específicos de
seguridad en informática y comunicaciones, servicios, ataques, criptografía,
algoritmos de cifrado, protocolos de acceso remoto y seguridad en IP.
Finalmente, se presentará un resumen sobre los ataques comunes a dispositivos de

red como routers y switches, los cuales servirán de base en el diseño de las medidas
de protección.
2.1 Conceptos básicos en Redes de Computadores
Una red de comunicación de datos para Haykin (2006), se forma a través de la

interconexión de varios enrutadores dotados con procesadores inteligentes.
2.1.1 Redes de Transmisión de Datos
Para clasificar las redes de comunicación, Stallings (2004) considera dos grandes
categorías, las redes de área amplia (WAN) y las redes de área local (LAN). En
términos generales para Tanenbaum (2003), una LAN es una red o interconexión de
varias computadoras utilizada para compartir recursos de computación e
intercambiar datos en un área limitada. Por otro lado, Beasley (2009) define las WAN
como una colección de varias LAN interconectadas entre si, en un área extensa.
10
2.1.2 Dispositivos de red
Los equipos que se conectan de forma directa a un segmento de red, según Cisco
Systems (2003) se denominan dispositivos o hosts. Estos dispositivos se clasifican
en dos grandes grupos. El primer grupo está conformado por los equipos de usuario
final y el segundo está formado por los equipos ó dispositivos de red. Entre los
dispositivos de red existentes se encuentran los switches y routers. Un switch, según
Beasley (2009) es un dispositivo de red que provee la conexión directa entre los
elementos de una red de área local (LAN). Un router, según Cisco Systems (2009)
conecta múltiples redes y tiene como función el envío de paquetes de red a red,
desde el origen inicial al destino.
2.1.3 Protocolos TCP/IP
Afirma Stallings (2004), “La mayor parte de aplicaciones que se ejecutan usando la
arquitectura TCP/IP usan como protocolo de transporte TCP” (pág. 41). TCP
proporciona una conexión confiable para transportar datos entre aplicaciones.
Por su parte, el Protocolo de Internet (IP), continúa Stallings (2004), se utiliza para
prestar el servicio de enrutamiento a través de varias redes. Este protocolo se
implementa tanto en los equipos de usuario final como en routers intermedios.
2.1.4 Protocolos de Enlace de Datos
Afirma Stallings (2004), “Para llevar a cabo el control necesario se necesita una capa
lógica adicional por encima de la interfaz física” (pág. 216). A continuación se
examinarán varios protocolos de enlace de datos de amplio uso en conexiones
seriales para redes WAN.
2.1.4.1 High-level Data Link Control (HDLC)
HDLC, para Cisco Systems (2003), define una estructura de entramado que permite
11
el control de flujo y de errores por medio de acuses de recibo y un esquema de

ventanas. HDLC es el protocolo de Capa 2 por defecto para las interfaces seriales
de los routers Cisco.
2.1.4.2 Point to Point Protocol (PPP)
El Protocolo punto a punto (PPP), según Cisco Systems (2003), “Puede manejar
tanto la comunicación síncrona como la asíncrona e incluye la detección de los
errores. Y, lo que es más, incorpora un proceso de autenticación que utiliza CHAP o
PAP” (CCNA 4, 3).
2.1.5 Estándares de Comunicación en redes
Las redes LAN más ampliamente utilizadas en la actualidad, según Stallings (2004)
son las basadas en Ethernet. Mientras que en el campo de las redes LAN
inalámbricas, la especificación más difundida la desarrolló el grupo de trabajo IEEE
802.11, comúnmente llamado Wi-Fi.
2.1.5.1 Estándares IEEE 802.3 (Ethernet)
Afirma Cisco Systems (2009) “Ethernet es la tecnología LAN más ampliamente

utilizada y soporta anchos de banda de datos de 10, 100, 1000, o 10 000 Mbps”
(CCNA 1, 7.3.5). Las especificaciones de Ethernet, admiten diferentes medios y
anchos de banda, sin embargo, el formato básico de trama y el esquema de
direccionamiento son idénticos para todas las variedades de Ethernet. A
continuación se muestran tecnologías Ethernet de uso extendido:
100BASE-TX y 1000BASE-T: Llamados Fast Ethernet y Gigabit Ethernet, transportan

100 Mbps de tráfico en half-duplex y 1 Gbps en full-duplex a través de cable UTP
Categoría 5e o superior. Según Cisco Systems (2003).
1000BASE-SX y LX: Corresponden a las versiones de Gigabit Ethernet sobre fibra

12
óptica. Cisco Systems (2003) asegura que 1000BASE-SX utiliza fibra óptica
multimodo y 1000BASE-LX fibra monomodo o multimodo.
2.1.5.2 IEEE 802.11 (Wi-Fi)
El sistema inalámbrico denominado 802.11 o Wi-Fi (Wireless Fidelity) está

haciéndose muy popular, según Bates (2003). El estándar IEEE 802.11 ha sido
definido en cuatro etapas, define Stallings (2004). Estas etapas corresponden a IEEE
802.11, 802.11b, 802.11a y 802.11g.
Para Cisco Systems (2009) 802.11b “opera en una banda de frecuencia de 2.4 GHz
y ofrece velocidades de hasta 11 Mbps” (CCNA 1, 8.3.7). Mientras que 802.11a,
continúa el mismo autor “abarca los dispositivos WLAN que operan en la banda de
transmisión de 5 GHZ” (CCNA 1, 3.3.1). 802.11a básico proporciona una tasa de
transmisión de 54 Mbps.
802.11g: Para Stallings (2004) este estándar “es una extensión de IEEE 802.11b a
mayor velocidad” (pág. 581). Este esquema combina las técnicas de codificación
utilizadas en 802.11a y 802.11b.
2.2 Fundamentos específicos de seguridad en redes
Uno de los aspectos que más han afectado la seguridad en los sistemas de
información, para Kizza (2009), fue la introducción de sistemas distribuidos y el uso
de redes. Las medidas de protección en seguridad en redes se requieren para
proteger la información durante el momento de la transmisión y garantizar que los
datos sean auténticos.
2.2.1 Auditoría de Seguridad
La metodología OSSTMM (Open Source Security Testing Methodology Manual)

creada por Herzog (2003), define una auditoría de seguridad como la “Inspección
13
manual con privilegios de acceso del sistema operativo y de los programas de

aplicación del sistema o sistemas dentro de una red o redes” (pág. 13), además
asegura que es un término de uso corriente que hace referencia a pruebas de
seguridad. Las pruebas de seguridad, continúa el mismo autor, es un examen de la
presencia de seguridad y puede ser especificado por sección.
La OSSTMM plantea que una auditoria de seguridad pueden definirse en las

siguientes secciones: Seguridad de la Información, Seguridad de los Procesos,
Seguridad en las tecnologías de Internet, Seguridad en las Comunicaciones,
Seguridad Inalámbrica y Seguridad Física.
Continúa Herzog (2003) “El mapa de seguridad es un imagen de la presencia de

seguridad. Esta corresponde al ambiente de un análisis de seguridad y está
compuesta por seis secciones equivalentes a las de este manual. Las secciones se
superponen entre si y contienen elementos de todas las otras secciones. Un análisis
apropiado de cualquier sección debe incluir los elementos de todas las otras
secciones, directa o indirectamente” (pág, 23).
2.2.2 Servicios de seguridad y principios básicos
Según Cole (2005), la seguridad en redes de computación está íntimamente

relacionada a tres (3) principios básicos: confidencialidad, integridad y disponibilidad
(C-I-A, confidentiality, integrity, availability). Stallings (2005) indica que dos de estos
principios básicos (C-I-A) expuestos por Cole (2005), están incluidos en la
recomendación X.800 como servicios de seguridad. X.800 identifica dichos servicios
de seguridad y los divide en cinco (5) categorías: confidencialidad, integridad,
autenticación, control de acceso, y no repudiación.
2.2.2.1 Confidencialidad
Para Kizza (2009) este servicio protege los datos y la información de ser expuestos a
entidades no autorizadas. Es implementado a través de mecanismos de seguridad
14
como los algoritmos de cifrado, para garantizar la protección de los datos durante el
transito en ambientes no confiables.
2.2.2.2 Integridad
Este servicio, continúa Kizza (2009), protege la información de intrusos que deseen
alterarla. En este caso, las funciones hash son utilizados como medida de seguridad.
Este servicio se asegura a través de sumas de comprobación, comprobación de
redundancia cíclica y el uso de algoritmos hash.
2.2.2.3 Autenticación
Para Stallings (2005) la autenticación es el servicio que asegura que una

comunicación entre entidades es autentica. X.800 define dos servicios específicos
en esta categoría: autenticación de la entidad par y autenticación del origen de los
datos.
El servicio de autenticación de la entidad par, según Stallings (2005) permite

corroborar la identidad de ambos extremos en una asociación. La autenticación del
origen de los datos garantiza la fuente de la información, sin embargo no provee
protección ante la retransmisión o modificación.
2.2.2.4 Control de Acceso
Kizza (2009) afirma que este servicio, acompañado por la identificación del usuario,
es utilizado para determinar “quien usa que” en un sistema. Mientras para Stallings
(2005), en el contexto de seguridad en redes, el control de acceso es la habilidad de
limitar y controlar el acceso a un host y aplicaciones a través de enlaces de
comunicación.
2.2.2.5 No repudiación
Previene según Stallings (2005), que tanto del mensajero o el receptor nieguen la
15
transmisión o recepción de un mensaje. Este servicio, afirma Kizza (2009), asegura

que los datos no sean repudiados, a través de firmas digitales y algoritmos de
cifrado.
2.2.2.6 Disponibilidad
Ambas recomendaciones X.800 y RFC 2828, según Stallings (2005), definen la

disponibilidad como la propiedad de un sistema o un recurso de estar accesible ante
las demandas de una entidad autorizada, sin embargo, no lo clasifican como un
servicio de seguridad.
2.2.3 Amenaza, Vulnerabilidad y Ataque a la seguridad
Además de los servicios de seguridad, descritos anteriormente, existen tres

conceptos muy importantes en el área de seguridad de la información: Amenaza,
Vulnerabilidad y Ataque.
2.2.3.1 Amenaza
“Una amenaza es la potencial ocurrencia de una acción, ya sea maliciosa o sin

intención, que tendrá un efecto no deseado en los recursos de la red y sus
computadores” (Amoroso, 1994:2).
2.2.3.2 Vulnerabilidad
Amoroso (1994) indica que una vulnerabilidad “Es una característica de la red o de
un computador que hace posible que una amenaza potencial ocurra. La presencia
de vulnerabilidades hace que puedan ocurrir cosas malas en la red” (pág. 2). A
criterio de Cisco Systems (2009), hay tres tipos de vulnerabilidades o debilidades
principales: las tecnológicas, las asociadas a la configuración y las asociadas a las
políticas de seguridad.
16
a) Vulnerabilidades tecnológicas
Al respecto, Cisco Systems (2009) comenta que “las tecnologías informáticas y de
red tienen debilidades de seguridad intrínsecas. Entre ellas, las debilidades del
protocolo TCP/IP, del sistema operativo y de los equipos de red” (CCNA 4, 4.1.2).
b) Vulnerabilidades en la configuración
En este sentido para Cisco Systems (2009) “los administradores o los ingenieros de
redes necesitan aprender cuáles son las debilidades de la configuración y configurar
correctamente sus dispositivos informáticos y de red para compensarlas” (CCNA 4,
4.1.2). Entre estas debilidades se encuentran las cuentas de usuario no seguras,
contraseñas fáciles de adivinar, configuraciones predeterminadas no seguras,
equipos de red mal configurados entre otras.
c) Vulnerabilidades en la política de seguridad

Para Cisco Systems (2009) “hay riesgos de seguridad en la red si los usuarios no
respetan la política de seguridad” (CCNA 4, 4.1.2). Entre estas debilidades se
encuentran la falta de políticas escritas, controles de acceso lógico no aplicados, los
cambios de software y hardware que no respetan las políticas, entre otras.
2.2.3.3 Ataque
Según Amoroso (1994) “Un ataque es la ocurrencia de una acción por parte de un
intruso malintencionado que envuelve el hecho de explotar alguna vulnerabilidad del
sistema o de la red” (pág. 2).
Stallings (2005) afirma que los ataques de seguridad se pueden clasificar en pasivos
y activos. Un ataque pasivo intenta aprender o hacer uso de la información del
sistema sin afectar los recursos. La divulgación del contenido del mensaje y el
análisis de tráfico son dos tipos de ataques pasivos.
Un ataque activo intenta alterar los recursos del sistema o afectar su operación
normal. Stallings (2004) afirma que los ataques activos se pueden clasificar en
17
cuatro categorías: suplantación, retransmisión, modificación de mensajes y

denegación de servicio.
El enmascaramiento ocurre cuando un dispositivo o aplicación pretende ser otro

distinto. Asegura Stallings (2004) “se pueden capturar secuencias de autenticación y
retransmitirlas después que tenga lugar la secuencia válida” (pág. 726). Los ataques
basados en la retransmisión y la modificación de mensajes, según Stallings (2004),
implican retransmitir o modificar mensajes para producir efectos no autorizados.
El ataque de negación de servicio, continúa Stallings (2004), impide el correcto

funcionamiento o gestión de servicios de comunicación. El ataque DoS puede tener
un objetivo específico, como por ejemplo un servidor o equipo de red.
2.2.4 Criptografía
Afirma Konheim (2007), la palabra criptografía se deriva de las palabras griegas

krypto que significa ocultar, y graphien que significa escribir. El cifrado o la
encriptación es un proceso de transformación donde se convierte el mensaje
original, también llamado texto nativo (plaintext), en un mensaje alterado, también
denominado texto cifrado (ciphertext).
Las técnicas usadas para descifrar un mensaje, define Stallings (2005), sin tener
ningún conocimiento detallado acerca de la contraseña o algoritmo de cifrado son
denominadas criptoanálisis. Ambas áreas de conocimiento criptografía y
criptoanálisis son llamadas criptología.
2.2.4.1 Criptografía convencional
Para Kizza (2009), existen dos formas de encriptación normalmente utilizadas:

convencional o simétrica y de clave pública o asimétrica. El primer tipo de cifrado
también es denominado de clave única, y requiere que tanto el emisor como el
receptor conozcan una clave secreta común a ambos.
18
La principal ventaja de estos algoritmos, continúa el mismo autor, es que son más
rápidos y requieren menos recursos computacionales que su contraparte, los
algoritmos de clave pública.
2.2.4.2 Criptografía de clave pública
La segunda forma de encriptación de clave pública es asimétrica, suponiendo el uso

de dos claves diferentes afirma Stallings (2005). Una de las claves se denomina
pública y la otra privada, y se seleccionan de modo que una se use para el cifrado y
la otra para el descifrado. Asegura Stallings (2004) que no existe nada en el cifrado
simétrico o de clave pública que vuelta a uno superior al otro ante el criptoanálisis.
2.2.5 Algoritmos de cifrado
Los algoritmos de cifrado simétrico más comúnmente empleados, según Stallings

(2004), son los algoritmos criptográficos de bloque. Los dos algoritmos simétricos de
bloques más importantes, son DES y AES.
2.2.5.1 Estándar de Cifrado de Datos (DES)
El método de cifrado simétrico más ampliamente utilizado en los Estados Unidos,

considera Kizza (2009), es el Triple Estándar de Cifrado de Datos (3DES). Triple
DES fue desarrollado a partir del original DES. La vida de DES fue prologada,
plantea Stallings (2004), “gracias al uso de triples DES (3DES), que supone la
repetición del algoritmo básico DES tres veces, utilizando dos o tres claves únicas,
para una longitud de clave de 112 o 168 bits” (pág. 728). El principal inconveniente
de 3DES, para Stallings (2004), es que es relativamente lento.
2.2.5.2 Estándar Avanzado de Cifrado (AES)
Debido a las deficiencias de DES, según Kizza (2009), el Instituto Nacional de

Estándares y Tecnología (NIST), presentó el Estándar Avanzado de Cifrado (AES).
19
El algoritmo usado en AES es denominado Rijndael y fue diseñado por Joan

Daemen y Vincent Rijmen. Rijndael afirma Stallings (2005), fue elegido como
algoritmo para el estándar AES, ya que no ha tenido ningún ataque de seguridad
exitoso conocido hasta el momento y soporta longitudes independientes de bloques
y claves de 128, 192, y 256 bits.
2.2.5.3 Rivest-Shamir-Adleman (RSA)
Uno de los primeros esquemas de clave pública, según explica Stallings (2004), fue
desarrollado en el año 1977 por Ron Rivest, Adi Shamir y Len Adleman. “RSA es un
cifrador de bloque en el que el texto nativo y el texto cifrado son enteros entre 0 y n -
1, para algún n” (pág. 745). El cifrado de un texto nativo M y el descifrado de un
bloque cifrado C se realiza de acuerdo a las siguientes expresiones matemáticas:
• C = Me mod n, M = Cd mod n = Med mod n
Para que el algoritmo sea satisfactorio, continúa Stallings (2004), el modulo n debe
ser producto de dos números primos grandes, p y q.
2.2.6 Funciones de Dispersión (hash)
X.800 distingue entre dos tipos diferentes de mecanismos de cifrado, reversible e

irreversible (one way). Las funciones de dispersión o hash, también llamadas one-
way según Cole (2005), toman un mensaje y computan un mensaje corto de tamaño
fijo llamado digest. Entre las funciones hash más usadas, asegura Kizza (2009),
están SHA-1 y MD5.
2.2.6.1 Resumen de Mensaje 5 (MD5)
La función de resumen de mensaje 5 (Message Digest 5), para Kizza (2009), es un

algoritmo criptográfico diseñado por Ron Rivest que es ampliamente utilizado en
servidores para la autenticación. El algoritmo toma un mensaje, lo procesa en
bloques y produce un digest de 128 bits.
20
2.2.6.2 Función de Dispersión Segura SHA-1
El algoritmo de dispersión segura (SHA), para Stallings (2004) fue desarrollado y

publicado como estándar federal para el procesamiento de la información (FIPS 180)
en el año 1993. En el año 1995 fue publicada una versión revisada, conocida como
SHA-1. Este algoritmo toma como entrada un mensaje con una longitud máxima de
264 bits, la procesa en bloques de 512 y produce un digest de 160 bits. No se
conocen debilidades ocultas de este algoritmo, continúa Stallings (2004) “la dificultad
de que aparezcan dos mensajes con el mismo resumen de mensaje es del orden de
280 operaciones” (pág. 742).
2.2.7 Protocolos de Acceso Remoto
Para configurar los routers o switches, asegura Cisco Systems (2003), se debe
ingresar a la interfaz de usuario mediante una conexión directa al puerto de consola
o un acceso remoto. Un método que sirve para acceder en forma remota a la interfaz
de línea de Comando (CLI) es hacer Telnet o SSH al dispositivo, afirma Cisco
Systems (2009).
2.2.7.1 Telecommunications Network (Telnet)
El protocolo Telnet, según Edwards (2009), le brinda al usuario la habilidad de

acceder y gestionar un nodo remoto. Según Cisco Systems (2009), “Telnet es una
manera insegura de acceder a un dispositivo de red, porque envía todas las
comunicaciones a través de la red en un texto claro. Mediante el software de
monitoreo de red, un atacante puede leer todas las teclas que se envían entre el
cliente Telnet y el servicio Telnet ejecutándose” (CCNA 3, 2.4.3).
2.2.7.2 Secure Shell (SSH)
El protocolo SSH, afirma Edwards (2009), proporciona una función muy importante
que Telnet no posee: proteger la integridad de los datos transmitidos al soportar
21
conexiones encriptadas entre los nodos de red. SSH utiliza criptografía de clave
pública, continua Edwards (2009), que provee contraseñas para autenticar nodos y
usuarios remotos. Cisco recomienda implementar SSHv2 con un módulo de clave de
1024 bits.
2.2.8 Seguridad en IPv4
Stallings (2004), plantea “la necesidad de asegurar el tráfico de usuario final a

usuario final utilizando mecanismos de autenticación y cifrado” (pág. 754). Para dar
respuesta, explica Stallings (2004), “IAB incluyó la autenticación y el cifrado como
características de seguridad necesarias en el protocolo IP de nueva generación, que
ha sido emitido como IPv6. Afortunadamente, estas capacidades de seguridad se
diseñaron para que fueran utilizables tanto en IPv4 como en IPv6” (pág. 754).
2.2.8.1 Seguridad con IPSec
IPSec proporciona seguridad en las comunicaciones a través de una LAN y una

WAN, tanto privada como pública. Afirma Stallings (2004), que la principal
característica de IPSec es que puede cifrar y/o autenticar todo el tráfico a nivel IP.
2.3 Ataques comunes a dispositivos de red
Los tipos de amenazas potenciales y ataques a la seguridad de la red se encuentran

siempre en evolución. A continuación se describen algunos de los ataques de
seguridad más comunes que se aprovechan de las vulnerabilidades presentes en
routers y switches.
2.3.1 Ataques de saturación de la dirección MAC
Para comprender el mecanismo de un ataque de sobrecarga de la tabla de

direcciones MAC, afirma Cisco Systems (2009), es necesario conocer el
funcionamiento básico del switch. A medida que las tramas llegan a los puertos de
un switch, continúa Cisco Systems (2009), las direcciones MAC de origen se
22
aprenden y se registran en la tabla de direcciones MAC.
Explica Cisco Systems (2009), que en esta situación el ataque utiliza la limitación de
tamaño de la tabla de direcciones MAC para bombardear al switch con direcciones
MAC falsas hasta que la tabla esté llena. Luego el switch ingresa a lo que se conoce
como modo de falla de apertura y envía paquetes a todas las máquinas directamente
conectadas, sobrecargando así el tráfico de la red.
2.3.2 Ataques de suplantación de identidad DHCP
El Protocolo DHCP, afirma Cisco Systems (2003) “permite que los dispositivos de
usuario obtengan la dirección IP de forma dinámica sin que el administrador de red
tenga que configurar un perfil individual para cada dispositivo” (CCNA 1, 9.3.5).
Una forma en que un atacante puede acceder al tráfico de la red es suplantando las
respuestas enviadas por un servidor de DHCP válido, asegura Cisco Systems
(2009). La respuesta del DHCP intruso ofrece una dirección IP e información de
soporte que designa al intruso como gateway por defecto o como servidor de
sistema de nombres de dominios (DNS). En el caso gateway, los clientes envían
paquetes al dispositivo atacante, el cual luego los envía al destino deseado,
conformando un esquema que en el ámbito de la seguridad es conocido como man-
in-the-middle.
2.3.3 Ataques de suplantación de identidad ARP
La suplantación ARP o el envenenamiento ARP, plantea Cisco Systems (2009), es

una técnica que utiliza un atacante para introducir una asociación de direcciones
MAC incorrecta en una red emitiendo solicitudes de ARP falsas. Un atacante falsifica
la dirección MAC de un host y a continuación pueden enviarse tramas al destino
equivocado. Usualmente, todo el tráfico dirigido al host víctima, será erróneamente
enviado al atacante, el cual suplanta su identidad.
23
Existe una variante de ataque ARP, según Arellano (2005), denominado “solicitudes
ARP gratuitas”, estas solicitudes son empleadas por dispositivos para “anunciar su
dirección IP” a los demás. Utilizando ARP spoofing, continúa Arellano (2005), se
puede lograr que las tramas dirigidas hacia otro puerto del switch lleguen al puerto
del atacante. Este ataque logra que las tramas que intercambian las víctimas pasen
primero por el equipo del atacante (man-in-the-middle).
2.3.4 Ataques de reconocimiento CDP/SNMPv1/Telnet
El Protocolo de descubrimiento de Cisco (CDP), explica Cisco Systems (2009), es un

protocolo que descubre otros dispositivos de Cisco conectados directamente. Los
mensajes no están encriptados y de manera predeterminada, la mayoría de los
equipos Cisco lo poseen habilitado. Un segundo ejemplo de datos susceptibles,
continúa Cisco Systems (2009), son las cadenas comunitarias SNMP versión 1, que
también se envían en texto no cifrado y sirven de contraseña para este protocolo.
“Un intruso podría infiltrarse en las consultas de SNMP y recopilar datos valiosos
sobre la configuración de los equipos de la red” (CCNA 4, 4.1).
Otro ejemplo es la captura de nombres de usuario y contraseñas a medida que

transitan por la red. Esto es especialmente cierto en el caso del acceso remoto a
dispositivos de red por medio de la aplicación Telnet, la cual envía estos datos en
claro (sin cifrar) por la red.
2.3.5 Ataques VTP/DTP
El enlace troncal de VLAN, según Cisco Systems (2003) “permite que se definan
varias VLAN en toda la organización, agregando etiquetas especiales a las tramas
que identifican la VLAN a la cual pertenecen. Este etiquetado permite que varias
VLAN sean transportadas por toda una gran red conmutada a través de un
backbone” (CCNA 3, 9). El DTP (Dynamic Trunk Protocol) administra la negociación
de enlace troncal ISL y 802.1Q. Por defecto, DTP se encuentra activado en modo
automático, “Luego de una negociación de DTP, el puerto local termina en estado de
24
enlace troncal sólo si el modo de enlace troncal del puerto remoto ha sido
configurado para estar activo” (CCNA 3, 3.2.3). Según Arellano (2005), un ataque
puede ocurrir si un equipo se hace pasar como un switch, o bien se emplea un
switch configurado con un puerto en el modo de enlace troncal activo.
VLAN Trunking Protocol (VTP), es un protocolo, según Cisco Systems (2003) que
usa tramas de enlace troncal de Capa 2 para agregar, borrar y cambiar el nombre de
las VLAN. VTP también admite cambios centralizados que se comunican a todos los
demás switches de la red. Los switches VTP operan en uno de estos tres modos:
Servidor, Cliente y Transparente. Si un atacante logra que su puerto se convierta en
enlace troncal, afirma Arellano (2005), puede enviar mensajes VTP como servidor y
agregar, borrar o cambiar las VLAN definidas en todos los switches del dominio VTP
a su conveniencia.
2.3.6 Ataques STP
Para contrarrestar la posibilidad de bucles o loops en redes basadas en switches,

afirma Cisco Systems (2003), existe el protocolo Spanning Tree (STP). Cada switch
que usa STP envía un mensaje denominado BPDU (Bridge Protocol Data Unit)
desde todos sus puertos para que los otros switches sepan de su existencia y elijan
un puente raíz. “Las BPDU son enviadas con el ID de puente (BID). El BID se
compone de una prioridad de puente que asume un valor por defecto de 32768 y la
dirección MAC del switch” (CCNA 3, 7.2.4). Todos los switches acuerdan que el
switch con valor de BID más bajo sea el puente raíz. Los ataques STP, explica
Arellano (2005), ocurren cuando el atacante envía mensajes BPDU anunciándose
como un switch con prioridad 0, para convertirse en raíz. Para esto, el atacante se
conecta a dos (02) switches a la vez (man-in-the-middle) y logra tener acceso a todo
el tráfico que es intercambiado por estos dos (02) dispositivos.
2.3.7 Tormentas de broadcast y Ataques DoS
Las tormentas de broadcast, asegura Cisco Systems (2003), pueden originarse en

25
dispositivos que requieren información de redes con gran cantidad de elementos. La

petición original desencadena peticiones similares de otros dispositivos que
finalmente bloquean el flujo de tráfico en la red o incluso pueden llegar a causar la
interrupción del servicio.
El ataque Smurf es uno los ataques DoS más conocidos, asegura Cisco Systems
(2009), el cual utiliza mensajes ping de broadcast suplantados. Inicia cuando un
atacante envía una gran cantidad de peticiones ICMP (ping) a la dirección de
broadcast de la red desde varias direcciones IP suplantadas, con la finalidad de
interrumpir o entorpecer el servicio de red.
2.3.8 Ataques a servicios vulnerables
Explica Cisco Systems (2009), los routers brindan una gran cantidad de servicios de
red en las capas 2, 3, 4 y 7. Varios de estos servicios son protocolos que permiten a
los usuarios y procesos conectarse al router. Otros son procesos automáticos y
configuraciones especializadas que representan riesgos de seguridad. Dentro de
estos servicios generales con vulnerabilidades se encuentran los siguientes: CDP,
Finger, HTTP, BOOTP, Enrutamiento IP de origen, ARP proxy, Broadcast dirigido IP,
NTP, SNMP, DNS, entre otros. Algunos de estos servicios pueden desactivarse para
mejorar la seguridad sin distorsionar el uso operativo del router.
26
CAPÍTULO III
MARCO CONTEXTUAL ORGANIZACIONAL
Como Marco Contextual Organizacional se expone la función de Gerencia

Telemática dentro de la Empresa, los objetivos y funciones del Departamento de de
Mantenimiento de Telemática y más concretamente de la Sección de Redes de
Datos, unidad responsable de la administración, operación y mantenimiento de los
equipos e infraestructura de red de datos.
Finalmente se concluye con una breve descripción de la necesidad que motiva la

realización del presente trabajo especial de grado.
3.1 Gerencia de Telemática
El presente trabajo especial de grado se enmarca dentro de la Gerencia de

Telemática, la cual es la unidad encarga de planificar, diseñar e implementar, así
como de operar y mantener los sistemas de telecomunicaciones e informática de la
Empresa en cuestión.
El objetivo de la Gerencia de Telemática es el siguiente: Operar y mantener los

sistemas, equipos e infraestructura asociados a los Sistemas de Telecomunicaciones
e Informática, mediante la coordinación de las acciones a ser desarrolladas por los
diferentes Departamentos, asegurando la prestación de los servicios de información
y comunicación que se requieren para el funcionamiento de la Empresa, de acuerdo
con los parámetros de calidad, exigidos por la misma.
27
La Gerencia de Telemática cuenta con varios departamentos a su cargo.

Específicamente, el Departamento de Mantenimiento de Telemática es la unidad
encargada de los mantenimientos y adecuaciones de la red de datos.
3.5 Departamento de Mantenimiento de Telemática
El Departamento de Mantenimiento de Telemática tiene por objetivo: Operar y

mantener los sistemas, equipos e infraestructura de Telemática, mediante el
establecimiento, actualización y aplicación de procedimientos y estándares, a fin de
garantizar el desempeño y continuidad de los sistemas, equipos e infraestructura.
Organizacionalmente el Departamento está compuesto por secciones, una de ellas
es la Sección de Redes de Datos.
3.6 Sección de Redes de Datos
3.6.1 Objetivo
Operar y mantener la Infraestructura de la Red de Datos, mediante la aplicación de

procedimientos y la planificación, ejecución, control y evaluación de la gestión, a fin
de garantizar su disponibilidad y continuidad operativa en términos de calidad y
eficiencia.
3.6.2 Funciones
Para cumplir con su objetivo, la Sección de Redes de Datos, requiere de las

siguientes funciones, entre otras:
• Programar, ejecutar, controlar y evaluar los trabajos de mantenimiento

preventivo, correctivo, instalaciones, mejoras y adecuaciones de la
Infraestructura de la Red de Datos.
• Participar en el proceso de análisis de fallas o perturbaciones que afecten el
funcionamiento normal o la disponibilidad de la Infraestructura de la Red de
Datos.
28
• Participar en la elaboración de especificaciones técnicas para la adquisición de

los componentes y repuestos de la Infraestructura de la Red de Datos.
3.7 Situación planteada
En el contexto de la seguridad de los sistemas de comunicaciones y dada la

importancia de la Empresa en cuestión, surge la necesidad de revisar las medidas
de seguridad actualmente implementadas en los switches y router, con la finalidad
de identificar posibles vulnerabilidades y amenazas.
Con el presente trabajo especial de grado se espera apoyar al Departamento de

Mantenimiento de Telemática por medio de la realización de una auditoría de
seguridad a los switches y routers de la red interna de la Empresa.
29
CAPÍTULO IV
ANÁLISIS DE LA SITUACIÓN ACTUAL
En el presente capítulo se pretende identificar cuál es la situación actual de la

gestión de los aspectos de seguridad que están siendo manejados actualmente en la
red de datos. En este sentido, de acuerdo a lo dispuesto en el Capítulo I, el proceso
básico consistió en la realización de un levantamiento de información de los
dispositivos de la red, así como también de las políticas y normas internas existentes
en la organización sobre la seguridad en informática y comunicaciones.
4.1 Propósitos del Proceso
El proceso general del análisis de la situación tiene por objetivo principal, identificar
las vulnerabilidades y analizar las amenazas potenciales a la seguridad de los
switches y routers de la red. Sin embargo para el logro de este objetivo principal, es
necesario primero comprender y estudiar los mecanismos de seguridad actualmente
utilizados, evaluando la implementación actual de los servicios de seguridad y el
cumplimiento de las políticas y normas internas, sobre la seguridad en informática y
comunicaciones existentes en la organización, para a partir de esta información
identificar cuáles son las vulnerabilidades que están presentes.
4.2 Planificación del Proceso
De acuerdo con la planificación del proceso, el levantamiento de información inicial

requirió del estudio de las características y configuraciones de los dispositivos de
red, así como el estudio de las políticas de seguridad especificadas en el Capítulo I.
30
Este levantamiento inicial, permitió estudiar los mecanismos de seguridad aplicados

sobre los dispositivos y daría lugar a la evaluación de la implementación actual de
los servicios de seguridad indicados y el cumplimiento de las políticas y normas
señaladas.
Finalmente con todos estos elementos, se concluyó con la documentación de las

vulnerabilidades detectadas y el análisis de las amenazas potenciales ante ataques
comunes a las redes de datos.
4.3 Desarrollo del Proceso
En concordancia a lo planificado, se realizó el levantamiento de información sobre la

red incluyendo los elementos contemplados. Sin embargo, al momento de la
documentación fue necesario excluir o anonimizar cierta información considerada
como confidencial por el Departamento de Mantenimiento de Telemática, respecto a
las direcciones IP de los equipos, cantidades explicitas y características de los
dispositivos e interfaces de red, topología WAN, entre otros; que han sido
modificados respecto a la información original recolectada, con el objetivo de
eliminar cualquier posibilidad de que este informe sea usado para explotar las
vulnerabilidades de la organización.
En referencia a las políticas y normas internas, se encontró que la Empresa no

contaba con políticas ni normas formalmente escritas, sin embargo se tomaron como
directrices una serie de circulares oficiales sobre el acceso no autorizado a la red.
Posteriormente, y a partir del levantamiento de estos elementos de información, se

estudiaron los mecanismos de seguridad, las mejores prácticas y las posibles
implementaciones de los servicios de seguridad estudiados en capítulos anteriores.
Finalmente, se concluyó con la documentación de las vulnerabilidades detectadas y
el análisis de las amenazas a la seguridad de los routers y switches de la red.
31
4.4 Resultados del Proceso
4.4.1 Red de Datos
Las redes de datos en todas las ubicaciones cuentan con uno o más routers que
sirven de gateways locales, y las interconectan con otros routers a través de los
equipos de transporte y acceso administrados por la Sección de Transmisión y
Comunicaciones.
4.4.1.1 Routers de la Red
La Empresa cuenta con enrutadores o routers de la marca Cisco. Específicamente,

existen routers Cisco instalados en ciertas edificaciones e infraestructuras ubicadas
en la Empresa.
a) Versiones de IOS:
Algunos routers de la red utilizan la versión IPBASE del IOS de Cisco. Este IOS
corresponde a una versión básica, no admite características especiales de
criptografía, SSH, SNMPv3 ni IPSec. Sin embargo, la mayor parte de los routers
utilizan versiones avanzadas que soportan estas características.
b) Interfaces WAN y LAN:

Las interfaces WAN de los routers son implementadas en algunos casos mediante
módulos Cisco WIC-1T ó WIC-2T. Un número particular de estos enlaces seriales se
encuentran configurados para trabajar con la versión de HDLC de Cisco, la cual no
admite funciones de autenticación para la entidad par.
Cierta cantidad de enlaces seriales que sirven de enlace hacia otras regiones,
utilizan el protocolo de enlace PPP con la funciones Multilink y balanceo de carga
activados, sin embargo la función de autenticación mediante los protocolos CHAP o
PAP no está habilitada.
32
Respecto a las interfaces LAN Fast o Gigabit Ethernet, existen algunas configuradas
con los parámetros por defecto: dúplex, velocidad y negociación en modo
automático, entre otros.
4.4.1.2 Switches de la Red
Los routers en cada localidad cuentan con al menos un switch directamente

conectado a la interfaz Fast o Gigabit Ethernet, que proporciona el servicio de
interconexión local con los dispositivos de usuario.
En algunas redes se cuenta con un switch principal que además de interconectarse

con el router, brinda el servicio de distribución al dar conectividad a los switches de
acceso que usualmente prestan el servicio de conexión directa a los usuarios. Los
switches principales son dispositivos Cisco serie Catalyst. En otras locaciones no
existen switches principales, sin embargo un conjunto de switches Catalyst apilados,
cumplen con la funciones de interconexión con el router, brindando el servicio de
distribución e incluso de acceso para una importante cantidad de usuarios.
Los demás switches de acceso son de distintos fabricantes, sin embargo la mayor
parte son Cisco de la serie Catalyst. Respecto a otros fabricantes, se cuenta con
equipos de las marcas 3Com, Extreme y Lucent, sin embargo prácticamente ningún
equipo es administrable. El nivel de acceso en algunas localidades, está compuesto
por conjuntos de switches Catalyst apilados.
Anteriormente se comentó que los switches de acceso usualmente prestan el

servicio de conexión directa a los usuarios. En ciertas localidades existen varios
hubs y mini switches no gestionables, instalados de manera provisional en las áreas
de las estaciones de trabajo, con la finalidad conectar más de un usuario a las
interfaces de los switches de acceso.
33
a) Versiones de IOS:
Los switches Catalyst de la red de datos utilizan, en un número particular las
versiones IPBASE e IPSERVICES del IOS de Cisco. Estos IOS no admiten
funciones especiales de criptografía, SSH ni SNMPv3. Sin embargo soportan otras
características de seguridad sobre capa 2 como por ejemplo seguridad de puertos.
b) Interfaces LAN:
Algunas de las interfaces LAN Fast Ethernet o Gigabit Ethernet de los switches están
configuradas con los parámetros por defecto: dúplex, velocidad, negociación y modo
trunking en automático, entre otros. Sin embargo, la mayor parte de las interfaces
Ethernet tienen habilitado el modo de operación en access y otros mecanismos de
seguridad de puerto.
Una pequeña cantidad de enlaces entre switches, son implementados a través de

equipos WLAN basados en 802.11. Un número elevado de estos enlaces son un par
de puentes inalámbricos configurados en esquemas punto a punto. En el resto de
los enlaces, un dispositivo sirve de punto de acceso (AP) y los demás como equipos
locales (CPE). Los modelos más antiguos utilizan el cifrado WEP.
Respecto a las VLANs, una cantidad importante de los equipos tiene las VLANs
configuradas por defecto (1,1002-1005). Pocos switches de la red interna cuentan
con VLANs adicionales configuradas.
4.4.1.3 Condiciones y acceso a los cuartos de comunicaciones
Respecto a la seguridad física de los dispositivos en las distintas regiones, los

mismos pueden ser categorizados básicamente en 3 grupos según los niveles de
control de acceso físico implementados.
El primer grupo, compuesto básicamente por los routers, switches principales y

switches de acceso, brinda seguridad física a través de cuartos de comunicaciones
con acceso restringido a través de cerraduras y gabinetes con llaves independientes.
34
Estos cuartos de cableado protegen a los equipos más importantes. En este primer
grupo el cableado vertical está compuesto de backbones de fibra óptica y el
cableado horizontal está constituido por cableado UTP Categoría 5e o 6. Los cuartos
están equipados con sistemas de aire acondicionado y alimentación de respaldo.
El segundo grupo, está constituido por algunos switches de acceso. Aquí se brinda
seguridad física a los equipos por medio de gabinetes con acceso restringido, sin
embargo los mismos se encuentran dentro de las oficinas y/o áreas de trabajo de los
usuarios finales. En este segundo grupo tanto el cableado vertical como horizontal
es UTP Categoría 5e o 6. El sistema de aire acondicionado depende de las
condiciones en las distintas áreas de trabajo, y prácticamente no se cuenta con
alimentación de respaldo.
El tercer grupo es el más inseguro de todos y agrupa a todos los mini switches y
hubs, además de otros switches de acceso. Estos equipos se encuentran totalmente
expuestos al acceso no autorizado, ya que están a la vista dentro de las oficinas y/o
áreas de trabajo de los usuarios finales.
En este último caso ningún equipo fue instalado considerando las especificaciones
de cableado estructurado EIA/TIA 568; las interfaces y el cableado UTP, tanto
vertical como horizontal están completamente expuestos. Respecto a las
condiciones de los sistemas de aire acondicionado y fuentes de alimentación de
respaldos, son similares a las expuestas en el grupo anterior.
4.4.1.4 Contraseñas de acceso y métodos de autenticación
Respecto a las contraseñas de acceso para el modo privilegiado (level 15), cierta
cantidad de routers y switches se encuentran configurados mediante ambos
comandos enable secret y enable password, con una misma contraseña. En el caso
de la configuración de las líneas de consola y vty (acceso remoto), varios
dispositivos usan la misma contraseña utilizada en enable secret y enable password.
Adicionalmente las líneas se encuentran configuradas con el comando privilege level
35
15, con la finalidad de acceder directamente al modo privilegiado o de

administración.
Es importante aclarar que el comando enable secret cifra las contraseñas con la
función hash MD5, mientras que enable password y las contraseñas para las líneas
de consola y vty no utilizan el cifrado por defecto. Todas las versiones de IOS de
Cisco permiten cifrar estas contraseñas a través de la activación del comando
service password-encryption. El algoritmo de cifrado usado con este comando, es un
algoritmo reversible propietario de Cisco, denominado “type 7” y ofrece un
encriptación débil para las contraseñas. Menos de la mitad de los routers en la red
interna poseen esta función de cifrado activada, sin embargo casi todos los switches
la tienen habilitada.
Específicamente para las líneas vty, el protocolo de acceso utilizado normalmente es

Telnet ya que algunos dispositivos no soportan el acceso a través de SSH. Es
importante aclarar, que debido a las características de la red, es indispensable para
los técnicos e ingenieros de la Sección de Redes de Datos hacer uso de protocolos
de acceso remoto para la administración de routers y switches. Destaca
adicionalmente, que existen una pequeña cantidad de switches que no tienen
configuradas contraseñas para el modo privilegiado, línea de consola ni vty. Ninguno
de estos dispositivos posee configurada una dirección IP y todos conservan los
parámetros configurados por defecto.
4.4.1.5 Otros detalles de los archivos de configuración
En términos generales varios los archivos de configuración de los routers mantienen

las características que se encuentran activadas o desactivadas por defecto en los
dispositivos Cisco: no aaa new-model, ip subnet-zero, ip cef, ip domain name
yourdomain.com e ip classless. Existen routers configurados con: no ftp-server write-
enable, no ip classless e ip http server. Por su parte, cierto número de switches
cuentan con las siguientes funciones habilitadas globalmente: no aaa new-model, ip
subnet-zero e ip http server.
36
Además, el enrutamiento de los routers está configurado a través de rutas estáticas.

No existen protocolos dinámicos implementados. Los archivos de configuración de
los routers cuentan con un banner configurado por medio del comando banner motd,
el cual muestra una advertencia al momento de ingresar las credenciales. Solo una
pequeña cantidad de switches usan este banner durante la fase de autenticación.
En referencia a SNMP, cierta cantidad de routers y switches tienen configurado este

protocolo en su primera versión (SNMPv1). Los traps o mensajes configurados para
todos los routers son diferentes y varían según la localidad.
4.4.1.6 Respaldos
Respecto al respaldo los archivos de configuración, no existe ningún servidor FTP o

TFTP oficial en la red interna, así que los mismos se realizan a través de archivos de
texto con el resultado de show running-config o show startup-config. Los archivos de
configuración y versiones de IOS mencionadas con anterioridad, se encuentran
respaldados en los equipos oficiales propiedad del Departamento de Mantenimiento
de Telemática, los cuales tienen instalada una aplicación para la transferencia de
archivos.
4.4.2 Políticas y Normas respecto a la Seguridad de la Red
Actualmente en la organización, existe una Coordinación de Seguridad adscrita a la

Gerencia de Telemática. Esta Coordinación es responsable de diseñar las políticas y
normas respecto a la seguridad en informática y de comunicaciones, así como velar
por el cumplimiento de dichas normas en la red interna de la organización. Por
medio de esta Coordinación, la Gerencia de Telemática ha enviado masivamente a
través del correo electrónico interno de la Empresa una serie de circulares
informativas, en las cuales se prohíbe el acceso de equipos personales o de otras
organizaciones ajenas a la red.
37
Específicamente dentro de esta línea de acción, la Gerencia desarrolló en conjunto

con sus Departamentos, un proyecto para la implementación de esquemas de
seguridad de puertos en los switches. Sin embargo, como puede apreciarse en las
secciones anteriores de este capítulo, cierto número de interfaces de los switches
administrables en la red no tienen configurada esta función de seguridad.
Aunque la Empresa no cuenta con políticas ni normativas formales respecto a la

seguridad de la información y las comunicaciones, actualmente la Gerencia se
encuentra en proceso de elaboración y aprobación de una propuesta oficial del
Manual de Normativas de Seguridad Lógica.
4.4.3 Evaluación de los Servicios de Seguridad
Dentro de esta sección se procederá a evaluar la implementación actual de los

servicios de seguridad que proporcionan los mecanismos y medidas de seguridad
existentes, con el fin de proteger a los routers y switches de la red contra el acceso
no autorizado.
4.4.3.1 Situación actual de la Confidencialidad
El objetivo fundamental de este servicio es proteger los datos y la información

relacionada directamente a los routers y switches, de ser expuestos a entidades no
autorizadas.
En primera instancia, la existencia de equipos y cableado físicamente expuestos en

las áreas de trabajo de los usuarios finales, permiten la realización de conexiones e
intervenciones irregulares no autorizadas, lo cual puede ser fuente de violaciones a
la confidencialidad.
En segundo lugar y respecto a la seguridad lógica en general, protocolos

actualmente utilizados por algunos equipos para enviar e intercambiar información
no usan cifrado: SNMPv1 y Telnet. Además las interfaces Ethernet configuradas con
38
parámetros por defecto y el uso de la VLAN 1, posibilitan la conexión de entidades

no autorizadas, lo cual también puede ocasionar la obtención ilegal de datos sobre
los dispositivos.
4.4.3.2 Situación actual de la Integridad
La función de este servicio es proteger la información propia de los routers y

switches de intrusos que deseen alterarla. Al igual que en el servicio de
confidencialidad, la existencia de equipos y cableado físicamente expuestos,
protocolos sin funciones hash, parámetros por defecto en las interfaces Ethernet
permiten violaciones a la integridad.
4.4.3.3 Situación actual de la Autenticación
La finalidad de implementar este servicio es la de verificar la identidad de los equipos

que se comunican con los dispositivos de red. En el caso de las interfaces WAN, el
servicio no es implementado ya que se utilizan los protocolos HDLC y PPP con la
autenticación mediante CHAP o PAP deshabilitada, por otro lado, las interfaces LAN
Ethernet con IPv4 que no poseen habilitadas funciones de seguridad de puerto,
tampoco son capaces de ofrecer este servicio.
Respecto a las conexiones remotas mediante Telnet o SNMPv1, este servicio es

implementado a través de las contraseñas de líneas vty y las cadenas de
comunidad, sin embargo dado que la comunicación se lleva a cabo sin cifrado, es
posible que un ente no autorizado obtenga las credenciales requeridas después de
violar el servicio de confidencialidad.
4.4.3.4 Situación actual del Control de Acceso
En la red interna, la determinación de “quien usa que” para switches y routers está
basada en el acceso físico al cuarto de comunicaciones, el gabinete y el equipo,
además de las contraseñas de acceso a la consola y las líneas vty. A nivel lógico, los
39
equipos de usuario con acceso a un cliente Telnet pueden conectarse remotamente

a un switch o router de la red interna si conoce su dirección IP y las contraseñas de
acceso.
Desde el punto de vista de gestión de los dispositivos, el mecanismo de control de

acceso en la consola y líneas vty tiene dos niveles predeterminados: usuario y
administrador. Sin embargo, en algunos casos la contraseña configurada para
ambos niveles es la misma y en varios equipos sólo existe el nivel de administrador,
ya que el comando privilege level 15 permite ingresar directamente sin pasar por el
modo de usuario.
4.4.3.5 Situación actual de la No repudiación
En los equipos de red en cuestión, no hay manera de prevenir que una entidad
niegue haber realizado modificaciones en la configuración de un router o un switch.
Es posible realizar esta afirmación debido a las deficiencias en el servicio de
integridad, y a la falta de cuentas de usuario individuales y de logs de seguridad
dentro de los equipos.
4.4.4 Identificación de Vulnerabilidades y Análisis de Amenazas
Luego de estudiar los distintos mecanismos de seguridad existentes y de evaluar la

implementación actual de los servicios de seguridad, en esta sección se
documentarán las vulnerabilidades detectadas y se realizará un análisis sobre las
posibles amenazas a los routers y switches en función de dichas vulnerabilidades y
los potenciales ataques más comunes a las redes de datos.
4.4.4.1 Identificación de Vulnerabilidades
A continuación se presentan las vulnerabilidades detectadas, luego de finalizar el

estudio de los mecanismos de seguridad existentes y la evaluación de la
implementación actual de los servicios de seguridad:
40
a) Vulnerabilidades tecnológicas:
a.1. Algunos dispositivos utilizan versiones de IOS básicas que no admiten funciones
especiales de seguridad, SSH o SNMPv3. Los protocolos normalmente
utilizados para la gestión son Telnet y SNMPv1, los cuales son intrínsecamente
inseguros debido a que envían los paquetes en texto en claro.
a.2. La tabla CAM de los switches es finita y puede sobrecargarse.
a.3. Los protocolos DHCP y ARP son intrínsecamente inseguros ya que las
solicitudes se envían en texto en claro mediante tramas broadcast y otros
equipos en el dominio de subred pueden responderlas.
b) Vulnerabilidades en la configuración:
b.1. Existen interfaces Ethernet configuradas con parámetros por defecto. Las
interfaces Ethernet por defecto están asignadas a la VLAN 1 y con el protocolo
DTP en automático. La VLAN 1 es usada para enviar datos sensibles propios de
los switches (DTP, CDP). DTP ofrece autonegociación para convertir interfaces
al modo trunk, permitiendo el envío/recepción de los datos de varias o todas las
VLANs configuradas.
b.2. En algunas localidades las direcciones IP asignadas para la gestión de routers,
switches y los equipos de usuarios se encuentran en el mismo segmento de
subred.
b.3. Existen interfaces WAN en los routers que no utilizan ninguna función de
autenticación de la entidad par.
b.4. Existen switches no configurados expuestos en las áreas de trabajo y puentes
inalámbricos configurados como AP utilizando cifrado WEP.
b.5. La contraseña de acceso vía Telnet y consola se encuentra accesible por defecto
en texto en claro en los archivos de configuración. Los comandos enable
password y service password-encryption ofrecen cifrado débil “type 7” para las
contraseñas, el cual puede ser descifrado en pocos segundos con un PC
convencional.
b.6. Los switches por defecto tienen habilitado el protocolo VTP en modo servidor y
sin especificar el dominio. Este protocolo es inseguro ya que permite modificar
41
y/o eliminar la información de las VLANs en múltiples equipos. El protocolo no es

utilizado en los switches.
b.7. Los equipos Cisco por defecto tienen habilitado el protocolo CDP. El protocolo es
intrínsecamente inseguro y no es utilizado en la gestión de los equipos de la red
de datos.
b.8. Existen routers y switches Cisco que tienen habilitada por defecto la función de
configuración a través de HTTP. Algunos equipos en la red interna tienen esta
característica habilitada.
b.9. Por defecto los equipos Cisco tienen habilitados servicios intrínsecamente
inseguros como por ejemplo NTP, BOOTP, ARP proxy entre otros. Existen
equipos en la red interna de datos que no tienen estos servicios deshabilitados
explícitamente.
c) Vulnerabilidades en la política y procedimientos:

c.1. No existe un documento de políticas oficiales de seguridad para la red de datos.
Las políticas y procedimientos no escritos se hacen más difíciles de implementar.
c.2. Existen switches de acceso, mini switches, hubs y cableado físicamente
expuestos en las áreas de trabajo de los usuarios finales.
c.3. Existen puntos de red no utilizados que se encuentran activos y las interfaces
Ethernet asociadas configuradas con parámetros por defecto. Los mecanismos
de seguridad de puertos no están implementados en todas la interfaces Ethernet
donde existen usuarios conectados.
c.4. Algunas claves de acceso remoto y cadenas comunitarias de SNMPv1 se han
mantenido sin cambios durante un largo tiempo. No existen listas de control de
acceso en los routers que limiten el acceso remoto vía Telnet o SSH en la red
interna.
c.5. Existen routers, switches y puentes inalámbricos que no tienen fuentes de
alimentación de respaldo y ni protección ante cortes eléctricos.
42
4.4.4.2 Análisis de las Amenazas a los dispositivos de red
En esta sección se realizará el análisis sobre las posibles amenazas a los routers y
switches. El análisis se hará en función de las vulnerabilidades detectadas.
a) Amenaza de saturación de las direcciones MAC:

La presencia de las vulnerabilidades indicadas en los puntos a.2, b.1, b.4, c.2, y c.3
de la sección anterior, muestra que es posible la ocurrencia este tipo de ataques. La
no existencia de mecanismos que limiten el aprendizaje de direcciones MAC en
todos los puertos de los switches, puede causar que una entidad defectuosa y/o no
autorizada bombardee las interfaces no protegidas mediante una combinación de
MAC falsas y genuinas, hasta saturarlas.
b) Amenaza de suplantación de identidad DHCP:

De la misma manera las vulnerabilidades a.3, b.1, b.4, c.2, y c.3 posibilita que este
tipo de ataque represente una amenaza. La posibilidad de entidades no autorizadas
en la red y la existencia de dominios de broadcast amplios, puede ocasionar que las
respuestas de un DHCP no autorizado, alcancen a algunos equipos de usuario antes
que las respuestas del DHCP válido, suplantándolas.
c) Amenaza de suplantación de identidad ARP:

Igualmente, las vulnerabilidades en los puntos a.3, b.1, b.4, c.2, y c.3, muestran que
es posible la ocurrencia este tipo de ataques. En especial la posibilidad que equipos
mal configurados y/o no autorizados en la red, puedan enviar masivamente paquetes
ARP gratuitos y así envenenar las tablas ARP de varios equipos en el dominio de
broadcast.
d) Amenaza análisis de tráfico CDP/SNMPv1/Telnet:

Este tipo de ataque es posible debido a las vulnerabilidades a.1, b.3, b.5, b.7 y c.4,
además de la posibilidad de entidades no autorizadas en la red. La captura de datos
o información susceptible sin cifrar, como por ejemplo las contraseñas de acceso
43
mediante Telnet, podrían ocasionar el acceso no autorizado a la configuración de los

dispositivos de red. El reconocimiento es también una amenaza, si algún ataque de
los mencionados con anterioridad (MAC, DHCP, ARP) es ejecutado con éxito.
e) Amenaza de ataques VTP/DTP:

A pesar que la vulnerabilidades indicadas en los puntos b.1 y b.6, sugieren que estos
ataques son posibles; el porcentaje interfaces Ethernet asignadas a la VLAN por
defecto y la poca cantidad de switches con VLANs adicionales e interfaces trunk
configuradas, permiten suponer que estos ataques no deberían representar una
amenaza relevante. Sin embargo, es importante tener en cuenta que una futura
implementación de VLANs y enlaces trunks adicionales, puede elevar la probabilidad
de ocurrencia de estos ataques y llegar a convertirlos en una posible amenaza.
f) Amenaza de ataques STP:

La existencia de las vulnerabilidades b.1 y c.2, permite la creación de bucles físicos,
intencionales o no, entre los hubs o mini switches y puntos de red disponibles de
otras interfaces en los switches de acceso; constituyendo este tipo de situación una
posible amenaza.
g) Amenaza de tormentas de broadcast y ataques DoS:

En referencia a estos ataques de red, las vulnerabilidades indicadas en los puntos
b.2 y c.5, respecto a los dominios de broadcast amplios en algunas locaciones y la
falta de fuentes de alimentación de respaldo, los convierten en una posible amenaza.
h) Amenaza a servicios vulnerables:

Por último, los dispositivos de red en especial los routers, están expuestos a ataques
que utilizan varios servicios vulnerables, los cuales por defecto se encuentran
activos y normalmente no se usan. Es posible afirmar que este tipo de ataque
representa una amenaza, gracias a las vulnerabilidades expresadas en los puntos
b.6, b.8 y b.9, especialmente para los casos de ataques de reconocimiento CDP y
acceso remoto a través de HTTP.
44
CAPÍTULO V
DISEÑO DE LAS PROPUESTAS DE MEDIDAS DE PROTECCIÓN
En el presente capítulo se presentan una serie de propuestas de medidas de

protección, que permiten la implementación de los servicios de seguridad
anteriormente descritos, buscando reducir y de ser posible controlar las amenazas y
vulnerabilidades a la seguridad detectadas en las redes, tal como han sido descritas
en el capitulo anterior. De acuerdo con lo establecido en el la fase de planificación,
se diseñarían las medidas de protección a partir de la identificación de las
vulnerabilidades y el análisis de las amenazas a la seguridad de los dispositivos. A
continuación se presenta la documentación de este proceso.
5.1 Proceso de Diseño
5.1.1 Objetivos del Proceso
El proceso general del diseño de las propuestas tiene como objetivo diseñar una
serie de propuestas de medidas de protección, que permitan la disminución de las
vulnerabilidades detectadas, tomando en cuenta las limitaciones del Departamento
de Mantenimiento de Telemática.
5.1.2 Planificación del Proceso
De acuerdo con el proceso de planificación, se diseñarán medidas de protección, a

partir de las vulnerabilidades y amenazas, que permitan la implementación de los
servicios de seguridad y el cumplimiento de las políticas y normas internas de la
organización en cuanto a la seguridad en informática y las comunicaciones.
45
Los diseños indicaron los nuevos requerimientos en cuanto a nuevas instalaciones,

equipos, actualizaciones de software y otras aplicaciones para su implementación.
Además, las propuestas que por su naturaleza, deban implementarse a través de la
configuración de los routers y switches, fueron diseñadas en forma de plantillas de
seguridad (security templates), y especificaron las líneas de comando sobre IOS que
deban ser modificadas o agregadas en los archivos de configuración.
Posteriormente, se procedió a seleccionar el conjunto de medidas de protección que

permitan cumplir con los siguientes aspectos: reducir las vulnerabilidades
detectadas, mitigar las amenazas ante ataques comunes en redes de datos,
disminuir la posibilidad de ocurrencia de incidentes delitos informáticos en los
dispositivos de red y minimizar los requerimientos adicionales en cuanto a
procesamiento y/o memoria en los equipos.
Finalmente, los diseños consideraron las limitaciones y restricciones a nivel

presupuestario y funcional del Departamento de Mantenimiento de Telemática en
cuanto a la adquisición de nuevos equipos, actualizaciones, instalación de
aplicaciones, reconfiguración de servidores, reasignación de direcciones IP, entre
otras.
5.1.3 Desarrollo del Proceso
En concordancia con el proceso de planificación, las propuestas que aquí se

describen fueron diseñadas a partir de las vulnerabilidades y amenazas detectadas.
Sin embargo, debido a la inexistencia de una política organizacional escrita respecto
a la seguridad en informática y las comunicaciones, fue imposible diseñar medidas
de protección para garantizar su cumplimiento.
Las políticas y procedimientos de seguridad para los equipos de red deben

especificar, entre otros aspectos: objetivos y consideraciones a nivel de seguridad
física, configuración y tráfico, servicios y protocolos no permitidos, así como los roles
del personal técnico involucrado. El diseño de una política de seguridad para los
46
dispositivos de red, excede el alcance de este trabajo especial de grado y supera las
funciones del Departamento de Mantenimiento de Telemática.
En este sentido, cumpliendo con las premisas y los criterios establecidos

inicialmente, fueron diseñadas una serie de medidas de seguridad basadas en las
mejores prácticas y recomendaciones de Cisco Systems y la National Secutiry
Agency (NSA), con la finalidad de mejorar la situación actual de los routers y
switches ante las amenazas y vulnerabilidades detectadas y reforzar los servicios de
seguridad, sin afectar el rendimiento de los equipos, los servicios o las aplicaciones
que hacen uso de la red de datos corporativa, mientras la política de seguridad
oficial en informática y comunicaciones es diseñada y difundida en la organización.
5.2 Propuestas de Medidas de Protección
5.2.1 Medidas contra las Amenazas ante ataques comunes
Las medidas de protección típicas para este tipo de ataques se basan, según lo
expresado por Cisco Systems (2009), en la implementación de filtros y otras
restricciones en las interfaces, además del uso de criptografía y la inhabilitación de
servicios no utilizados, ya que estos pueden representar potenciales puntos de
penetración a la red por parte de intrusos o personas no autorizadas. En esta
sección se plantean las medidas propuestas para mitigar este tipo de ataques.
5.2.1.1 Amenaza de saturación de las direcciones MAC
La medida más común para este tipo de ataque es la implementación de seguridad

de puerto, la cual según la NSA (2004) permite limitar el acceso de equipos a la red
a partir de las direcciones MAC de sus interfaces de red. Esta medida es capaz de
limitar el número de MAC que pueden ser aprendidas por una determinada interfaz
del switch.
Para configurar la seguridad de puerto, la interfaz debe encontrase en modo de

acceso. Los siguientes comandos permiten activar la seguridad de puerto y limitar el
47
acceso a un solo equipo en las interfaces donde se requiera establecer este

mecanismo:
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security maximum 1
(config-if)# switchport port-security mac-address 0009.192C.6B17
Implementar esta medida de seguridad en todas las interfaces de switches

administrables donde existan dispositivos de usuarios conectados, como ha sido
solicitado por la Coordinación de Seguridad, puede minimizar en gran medida el
riesgo de acceso no autorizado a la red. Además, tal y como asegura Cisco Systems
(2009) la mayor parte de los ataques man-in-the-middle en redes LAN se puede
reducir configurando la seguridad de los puertos en los switches.
Otras medidas no menos importantes, que también ayudarían a reducir el acceso no

autorizado a la red, son la inhabilitación de todas las interfaces Ethernet no
utilizadas, la actualización del firmware o sustitución de los puentes inalámbricos
para soportar cifrado WPA2, y la eliminación de los hubs y/o mini switches expuestos
en las áreas de trabajo.
5.2.1.2 Amenaza de suplantación DHCP
Existen varias maneras de mitigar este tipo de ataques, una de ellas para Cisco
Systems (2009) es la implementación del comando DHCP snooping. Este método
permite especificar desde que puertos es posible recibir respuestas a solicitudes
DHCP. Las interfaces que pueden transmitir respuestas y solicitudes DHCP son
configuradas como puertos confiables. Por lo tanto, este comando permite configurar
como confiables los puertos o interfaces que contengan servidores legítimos.
(config)#ip dhcp snooping
(config)#interface FastEthernet 0/1
(config-if)#ip dhcp snooping trust
48
5.2.1.3 Amenaza de suplantación ARP
Al igual que en caso anterior, existen varias maneras de disminuir estos ataques, dos
de ellas según la NSA (2004) y Arellano (2005) son la implementación de no ip
gratuitous-arps y la activación de VLANs privadas, como complemento al mecanismo
de seguridad de puerto. El primer caso evita que los switches reenvíen masivamente
respuestas ARP gratuitas, es decir paquetes que fueron enviados sin antes haber
recibido una solicitud ARP, a todos los hosts del dominio broadcast.
El segundo método, permite la configuración de puertos protegidos (isolated) y no

protegidos (promiscuos). La comunicación entre puertos protegidos de un mismo
switch no es posible, mientras que las comunicaciones que involucren al menos un
puerto no protegido son permitidas:
(config-if)# switchport protected
5.2.1.4 Amenaza de ataques de reconocimiento y retransmisión
El diseño de medidas de protección contra la lectura, el análisis de tráfico y la

retransmisión de mensajes involucran típicamente el uso de seguridad de puertos,
criptografía y contraseñas robustas. En esta sección se plantean las medidas para
mitigar este tipo de ataques.
a) Amenaza de análisis de tráfico CDP/SNMPv1/Telnet:

Las medidas básicas que permiten la reducción de estos ataques consisten según
Cisco Systems (2009) en la inhabilitación de CDP y la sustitución de SNMPv1 y
Telnet por SNMPv3 y SSHv2. Sin embargo para estos dos últimos casos, debido a
las restricciones en la legislación de los Estados Unidos de América respecto a la
criptografía, algunos de los equipos de red Cisco presentan por defecto versiones
básicas de IOS.
A pesar de esta limitación, es posible descargar desde el sitio web de Cisco

versiones avanzadas de IOS. En el caso de los switches de acceso, estos IOS
49
pueden ser descargados de manera gratuita con sólo estar registrado en Cisco.com,
es de destacar que dicho registro también es gratuito. Sin embargo para los routers,
Cisco exige un perfil de Socio o Distribuidor, lo cual implica que para obtener dichos
IOS la Empresa deberá incurrir en gastos adicionales.
En el caso de la migración de SNMPv1 a SNMPv3, se hace necesario definir los

parámetros: grupos, hosts y usuarios. Sin embargo, ya que la definición de estos
parámetros es función de la Coordinación de Gestión de la red, no serán incluidos en
el presente Trabajo Especial de Grado.
Respecto a la administración remota de los dispositivos de red, se recomienda la

configuración de SSHv2 con un módulo de clave de 1024 bits según lo recomendado
por Cisco Systems (2009). Para la configuración de este protocolo se deben indicar
los siguientes parámetros:
(config)# ip domain-name mydomain.com
(config)# crypto key generate rsa modulus 1024
(config)# line vty 0 4
(config-line)# transport input ssh
b) Amenaza de ataques de retransmisión en enlaces WAN:

En el capítulo IV del presente documento, se comentó que las interfaces seriales
HDLC o PPP de los routers, no usan ninguna función para autenticar a la entidad al
otro extremo. Para autenticar a los routers directamente conectados, es
recomendado por Cisco Systems (2003) configurar las interfaces WAN con
encapsulación PPP y autenticación mediante el protocolo CHAP.
(config)# aaa authentication ppp default local
(config)# username ROUTERCISCO privilege 0 password contraseña
(config)# interface Serial 0/0/0
(config-if)# encapsulation ppp
(config-if)# ppp authentication chap default
50
5.2.1.5 Amenaza de ataques VTP/DTP
En el capitulo anterior, se afirmó que este tipo de ataques no representan una

amenaza latente en la red. Sin embargo, una futura implementación de VLANs,
convertirán este tipo de ataques en una amenaza. Por lo tanto, para su mitigación,
según la NSA (2004) y Arellano (2005), se requiere deshabilitar el estado de DTP en
automático de las interfaces que no sean utilizadas en modo trunk. Al deshabilitar
DTP se evita que las interfaces Ethernet puedan negociar y establecerse como
enlaces trunk de forma automática.
(config-if)# switchport nonegotiate
Además de configurar las interfaces de usuario como puertos de acceso y sin

permitir negociación, con la finalidad de minimizar la amenaza de ataques de doble
etiquetado VLAN, es mejor para Cisco Systems (2009) y la NSA (2004), la
configuración de una VLAN nativa diferente para los puertos trunk y el control de
acceso de las VLANs por el enlace.
(config-if)# switchport trunk encapsulation dot1q
(config-if)# switchport mode trunk
(config-if)# switchport trunk native vlan 99
(config-if)# switchport trunk allowed vlan 2-10,1002-1005
En un ataque de doble etiquetado VLAN, se envían tramas 802.1Q de la VLAN de la

víctima encapsuladas dentro de otra trama 802.1Q de la VLAN donde se encuentra
el atacante, logrando que las tramas “salten” (VLAN hopping) de una VLAN a otra.
Este ataque logra tráfico en una sola dirección y funciona si la VLAN nativa del trunk
es la misma del atacante.
Los ataques VTP para agregar, eliminar o modificar las VLAN configuradas pueden
evitarse según la NSA (2004) deshabilitando explícitamente VTP. En la red interna
este protocolo no es utilizado para la gestión de las VLANs, así que todos los
switches deben tener el protocolo VTP deshabilitado.
51
(config)# no vtp mode

(config)# no vtp password
(config)# no vtp pruning
5.2.1.6 Amenaza de ataques STP
Los atacantes que usan las vulnerabilidades STP, envían BPDU falsificados de
prioridad 0 con la finalidad de convertirse en la raíz del árbol STP. Según la NSA
(2004), el IOS de Cisco es capaz de limitar la recepción de BPDU en las interfaces a
través de los siguientes comandos.
(config-if)# spanning-tree bpduguard enable
Para proteger a las interfaces que conectan switches que no deberían ser raíz STP,
la NSA (2004) recomienda configurar root guard para evitar que los mismos sean
designados como raíz.
(config-if)# spanning-tree root guard
5.2.1.7 Amenaza de Tormentas de Broadcast y ataques DoS
Existen muchas variantes y tipos de ataques que pueden saturar la red y por ende
dificultar el desempeño en la gestión de los dispositivos, sin embargo la reducción
del tamaño de los dominios de broadcast a través de VLANs es una medida básica
para evitar que el tráfico broadcast sea enviado a todos los dispositivos de la red,
incluyendo routers y switches.
Respecto a la creación de VLANs, Cisco Systems (2009) recomienda al menos

separar el dominio de broadcast de los servidores de uso global, administración de
dispositivos de red, equipos VoIP y usuarios generales. Constituye una buena
práctica, según recomendaciones de la NSA (2005), reservar una subred para la
administración de los routers mediante una interfaz loopback. Se considera como la
mejor práctica, definir esta interfaz y designarla como fuente del tráfico.
(config)# ip telnet source-interface loopback0
52
(config)# ip ssh source-interface loopback0

(config)# logging source-interface loopback0
(config)# snmp-server trap-source loopback0
(config)# ntp source loopback0
En el caso particular de ataques smurf, se recomienda según lo planteado por la

NSA (2005), bloquear en las interfaces todos los paquetes entrantes y salientes
destinados a las direcciones de red y de broadcast.
(config)# access-list 120 deny ip any host 192.168.1.255
(config)# access-list 120 deny ip any host 192.168.1.0
(config)# access-list 120 permit ip any any
En este orden de ideas, es apropiado para la NSA (2005) eliminar o en su defecto

aplicar límites para el tráfico ICMP en las interfaces de los routers. Según lo
recomendado por NSA (2005), el tráfico no debe exceder en condiciones operativas
normales más del 1% del ancho de canal disponible.
(config)# access-list 110 permit icmp any any
(config)#interface Gigabit Ethernet 0/0
(config-if)# rate-limit input access-group 110 10000000 1875000 3750000 conform-
action transmit exceed-action drop
Para el caso de ataques DDoS por spoofing en general una medida relevante según
lo recomendado por la NSA (2005), es la habilitación de la característica RPF
(Reverse Path Forwarding).de CEF (Cisco Express Forwarding) en las interfaces de
los routers. Esto con la finalidad de verificar que la subred a la cual pertenece la IP
del emisor, coincida con la información en la tabla de enrutamiento del router.
(config)# ip cef
(config)#interface Gigabit Ethernet 0/0
(config-if)# ip verify unicast reverse-path
53
5.2.1.8 Amenaza de ataques a servicios vulnerables
Los dispositivos de red como se ha comentado con anterioridad, en especial los

routers, son capaces de brindar servicios en las capas 2, 3, 4 y 7. Según la NSA
(2005), muchos de estos servicios pueden ser restringidos o inhabilitados para
mejorar la seguridad sin degradar la operatividad del router, siempre y cuando el
servicio no sea utilizado o exista algún otro equipo que lo suministre. Algunos
switches L3 también son capaces de proveer este tipo de servicios.
El siguiente listado de comandos deshabilita explícitamente los servicios que debido

a su naturaleza no requieren ser utilizados en la red.
(config)# no cdp run
(config)# no service tcp-small-servers
(config)# no service udp-small-servers
(config)# no ip finger
(config)# no service finger
(config)# no ip http server
(config)# no ip http secure-server
(config)# no ip bootp server
(config)# no boot network
(config)# no service config
(config)# no ip source-route
(config)# no ip domain-lookup
Adicionalmente, la NSA (2005) recomienda la inhabilitación específica en las

interfaces de los servicios Proxy ARP y directed broadcast, los cuales permiten
romper el perímetro de seguridad LAN en lo que se refiere al envío de solicitudes
ARP y broadcast fuera de la red.
(config-if)# no ip proxy-arp
(config-if)# no ip directed-broadcast
54
5.2.2 Medidas para reforzar los servicios de seguridad
En esta sección se diseñarán y explicarán las medidas de protección adicionales que

permitirán reforzar la implementación de los servicios en los routers y switches:
Confidencialidad, Integridad, Autenticación, Control de Acceso y No repudiación.
5.2.2.1 Medidas para mejorar la Confidencialidad
Según lo indicado en la recomendación X.800, los mecanismos de seguridad que

deben implementarse se refieren al uso de cifrado. En este sentido, las medidas
indicadas en la sección 5.2.1.4 respecto al uso de SSHv2 y SNMPv3 brindan la
protección requerida. Adicionalmente, para proteger la confidencialidad de la
información intercambiada mediante protocolos no cifrados, las medidas indicadas
en la sección 5.2.1.7 sobre la segmentación de los dominios de broadcast impiden
que el tráfico de la VLAN de los usuarios regulares se mezcle con las demás VLANs,
estableciendo zonas seguras.
5.2.2.2 Medidas para mejorar la Integridad
Similar al caso del servicio de Confiabilidad, la recomendación X.800 indica el uso de

funciones hash para la protección de la Integridad. De la misma manera, las medidas
especificadas en las secciones 5.2.1.4 y 5.2.1.7 brindan la protección requerida
respecto a la integridad y a la definición de zonas seguras.
Respecto a las medidas descritas en la sección 5.2.1.4 es importante destacar que

SSHv2 implementa un algoritmo denominado Message Authentication Code, el cual
mejora en gran medida las características de integridad ofrecidas por el CRC de
32bits en SSHv1 y por Telnet. Adicionalmente, SNMP a partir de la versión 3 permite
la incorporación de funciones hash para asegurar la integridad de los paquetes.
55
5.2.2.3 Medidas para mejorar la Autenticación
La X.800 recomienda implementar mecanismos de cifrado e intercambio de

información de autenticación para proveer este servicio. Específicamente para la
autenticación en interfaces WAN, las medidas indicadas 5.2.1.4 sobre el uso de
CHAP permiten reforzar este servicio. Para el caso de las interfaces LAN Ethernet, la
implementación de seguridad de puerto según lo especificado en la sección 5.2.1.1,
constituye un mecanismo adicional para la autenticación de los equipos de usuario a
nivel de las direcciones MAC.
Respecto a las conexiones remotas, la sustitución de los protocolos Telnet y

SNMPv1 por SSHv2 y SNMPv3 respectivamente brindan la protección requerida a
nivel de cifrado en las comunicaciones. Además, es buena práctica según Cisco
Systems (2009), el uso de contraseñas configuradas mediante enable secret. Es
importante no utilizar contraseñas enable password sin cifrar o con cifrado débil “type
7” de Cisco, en su lugar se recomienda usar mecanismos de autenticación local o en
su defecto a través esquemas de autenticación, autorización y contabilización
basado en la arquitectura AAA:
(config)# aaa new-model
(config)# aaa authentication login default local
(config)# aaa authorization console
(config)# aaa authorization exec default local
(config)# enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7
(config)# no enable password
(config)# line console 0
(config-line)# login authentication default
(config-line)# authorization exec default
(config-line)# login authentication default
(config-line)# authorization exec default
56
Inicialmente y debido a que la instalación de servidores RADIUS o TACACS excede

las funciones del Departamento de Mantenimiento de Telemática, se recomienda el
uso de la arquitectura AAA a nivel local. Con esta implementación, cada técnico
tendrá un usuario único y una contraseña.
(config)# username usuario privilege 2 secret 5 $1$mERr$eNbOr/1gAtXl
5.2.2.3 Medidas para mejorar el Control de Acceso
La recomendación X.800 indica que este servicio sólo puede ser cubierto a través de
mecanismos especiales de control de acceso. Respecto a la seguridad física, en el
capítulo anterior se clasificó a los dispositivos en tres grupos. Específicamente, para
los switches ubicados en el tercer grupo se requiere de la adquisición de gabinetes
de pared (13UR), ya que los mismos se encuentran actualmente expuestos dentro
de las áreas de trabajo de los usuarios finales. Adicionalmente, se requiere de la
adquisición de gabinetes de pared (13UR) para los nuevos equipos administrables
que sustituirán a los hubs y mini switches existentes.
A nivel lógico, algunas de las vulnerabilidades mencionadas en el capítulo IV no son

mitigadas mediante la sustitución de Telnet y SNMPv1 por SSH y SNMPv3. Por esta
razón la NSA (2005) recomienda la implementación de ACLs que limiten el acceso
remoto a los equipos. Las VLANs asignadas para las oficinas de Telemática, además
de las subredes para la gestión de los equipos de red serán las únicas autorizadas
para tener acceso.
(config)# access-list 122 permit tcp 192.168.1.0 0.0.0.255 any range 22 23
(config)# access-list 122 permit tcp 192.168.2.0 0.0.0.255 any range 22 23
(config)# access-list 122 deny tcp any any range 22 23
(config-line)# access-class 122 in
Cada técnico podrá acceder remotamente a los dispositivos, desde las ubicaciones
admitidas con un perfil de acceso básico, el cual le permitirá realizar un conjunto de
actividades de mantenimiento cotidiano.
57
(config)# privilege interface level 2 shutdown

(config)# privilege configure level 2 interface
(config)# privilege exec level 2 enable
(config)# privilege exec level 2 disable
(config)# privilege exec level 2 copy startup-config
(config)# privilege exec level 2 copy
(config)# privilege exec level 2 configure terminal
(config)# privilege exec level 2 configure
(config)# privilege exec level 2 show environment all
(config)# privilege exec level 2 show environment
(config)# privilege exec level 2 show processes cpu
(config)# privilege exec level 2 show processes
(config)# privilege exec level 2 show startup-config
(config)# privilege exec level 2 show
Además del perfil de acceso básico del técnico (privilege 2) y el perfil de

administrador (privilege 15), se recomienda la implementación de al menos un tercer
nivel de acceso avanzado (privilege 3), que permita a los técnicos configurar nuevas
interfaces en caso de fallas y nuevos requerimientos.
(config)# privilege interface level 3 ppp multilink group
(config)# privilege interface level 3 multilink-group
(config)# privilege interface level 3 ppp multilink
(config)# privilege interface level 3 ppp
(config)# privilege interface level 3 pppoe
(config)# privilege interface level 3 speed
(config)# privilege interface level 3 duplex
(config)# privilege interface level 3 encapsulation ppp
(config)# privilege interface level 3 encapsulation hdlc
(config)# privilege interface level 3 ip address
(config)# privilege interface level 3 ip
(config)# privilege interface level 3 encapsulation dot1Q
58
(config)# privilege interface level 3 encapsulation

(config)# privilege interface level 3 switchport trunk
(config)# privilege interface level 3 switchport mode
(config)# privilege interface level 3 description
(config)# privilege interface level 3 switchport mode trunk
(config)# privilege interface level 3 switchport mode access
(config)# privilege interface level 3 switchport access
(config)# privilege interface level 3 switchport trunk encapsulation dot1q
(config)# privilege interface level 3 switchport trunk allowed
(config)# privilege interface level 3 switchport trunk native
(config)# privilege interface level 3 switchport trunk native vlan
(config)# privilege interface level 3 switchport trunk allowed vlan
(config)# privilege interface level 3 switchport access vlan
(config)# privilege interface level 3 switchport nonegotiate
(config)# privilege interface level 3 switchport port-security mac-address sticky
(config)# privilege interface level 3 switchport port-security mac-address
(config)# privilege interface level 3 switchport port-security maximum
(config)# privilege interface level 3 switchport port-security
(config)# privilege interface level 3 spanning-tree portfast
(config)# privilege interface level 3 spanning-tree bpduguard enable
(config)# privilege interface level 3 cdp enable
(config)# privilege configure level 3 ip route
(config)# privilege configure level 3 ip
(config)# privilege configure level 3 monitor session 1 source interface
(config)# privilege configure level 3 monitor session 1 destination interface
(config)# privilege exec level 3 show running-config
(config)# privilege exec level 3 clear port-security sticky address
(config)# privilege exec level 3 show port-security address
(config)# privilege exec level 3 show port-security interface
(config)# privilege exec level 3 copy running-config
59
Para acceder a los niveles de acceso avanzado y de administrador, se requerirá del

uso de contraseñas configuradas mediante enable secret.
5.2.2.4 Medidas para mejorar el No repudio
Según indica la recomendación X.800, este servicio debe ser implementado a través
de mecanismos de integridad y notarización. La notarización se refiere al uso de una
tercera entidad o proceso confiable, para registrar y/u obtener evidencia. El
mecanismo de integridad es ofrecido por SSHv2, SNMPv3 y las zonas seguras, sin
embargo no se han diseñado medidas respecto al registro y/u obtención de
evidencias.
La recomendación X.813 define el marco de no repudiación, e indica que la

evidencia para asegurar el no rechazo, incluye normalmente la identidad de las
entidades involucradas, los datos, la fecha y la hora de recepción.
En este sentido, para generar esta evidencia se requiere de la habilitación de logs en

los equipos. La NSA (2005) indica que es buena práctica que las ACLs generen un
registro ante violaciones, adicionalmente recomienda utilizar un búfer local de al
menos 16KB, sin embargo si la memoria RAM es superior a 16MB, se puede
establecer en 32 o 64KB.
(config)# service timestamps log datetime msec localtime show-timezone
(config)# logging userinfo
(config)# logging buffered 65536 information
La NSA (2005) también recomienda mantener sincronizados los logs. Esta

sincronización puede ser establecida a través de Network Time Protocol. La red de
datos de Corporativa cuenta con el servicio NTP habilitado para el establecimiento
de la fecha y hora en las PCs de los usuarios.
(config)# ntp server 10.0.0.1
(config)# clock timezone Caracas -4 30
(config)# access-list 21 permit host 192.168.1.1
60
(config)# access-list 21 deny any log

(config)# ntp access-group peer 21
5.2.2.5 Medidas adicionales para mejorar la Disponibilidad
Según recomienda la NSA (2005) y los criterios generales para cableado

estructurado de la Gerencia de Telemática, todos los cuartos de cableado y
gabinetes deben poseer un UPS (Uninterruptible Power Suppy) como fuente de
alimentación de respaldo.
Específicamente, para los switches de acceso actualmente ubicados dentro del

segundo y tercer grupo de acceso, se requiere de la adquisición de UPS para los
nuevos gabinetes de 13UR a instalar donde están ubicados los equipos
administrables expuestos.
Además se requiere de UPS para algunos gabinetes y racks existentes. Por su

parte, el proceso de eliminación y/o sustitución de hubs y mini switches del requiere
de la adquisición de UPS, uno para cada gabinete adicional requerido.
61
CAPÍTULO VI
VALIDACIÓN DE LAS PROPUESTAS DE MEDIDAS DE PROTECCIÓN
En el presente capítulo se presentan los resultados de la validación de los diseños

de medidas de protección, ante los trabajadores de la Sección de Redes de Datos.
De acuerdo con lo establecido en la fase de planificación, los diseños serian
presentados al personal responsable de esta sección para su análisis y discusión.
6.1 Objetivos del Proceso
El desarrollo del proceso general de evaluación de las propuestas, tiene como

objetivo validar las propuestas de medidas de protección con el personal
responsable de la Sección de Redes de Datos, con la finalidad de determinar su
validez y viabilidad.
6.2 Planificación del Proceso
De acuerdo con lo establecido en la fase de planificación, se elaboraría un

instrumento que permitiría recoger la opinión sobre las propuestas y la viabilidad de
su implementación.
El instrumento fue dividido en dos partes:

• Validación del análisis sobre la Situación actual de la Seguridad.
• Validación de las Propuestas de Medidas de Protección.
En el anexo A, se incluye el formato del instrumento utilizado y las repuestas

obtenidas de cada empleado de la Sección de Redes de Datos.
62
6.3 Desarrollo del Proceso
Los diseños de medidas de protección fueron expuestos y explicados a los

empleados de la Sección de Redes de Datos, para su análisis y discusión según lo
planteado en el Proyecto de Trabajo Especial de Grado. Posterior a la exposición de
lo planteado en los capítulos IV y V del presente Trabajo Especial de Grado, y con el
fin de medir el grado de aceptación que pudieran tener estas medidas en el personal
que presta el soporte y administra la red de datos, se hizo entrega a cada empleado
de la Sección de Redes de un cuestionario con las interrogantes presentadas en las
siguientes secciones.
Posteriormente para fortalecer la validación del proceso de análisis de la situación

actual en general, fueron empleados un analizador de vulnerabilidades denominado
Nessus 4.4.1, el cual se encuentra disponible en el sitio web http://www.nessus.org
en su versión domestica (gratuita) y la base de datos de la CVE (Common
Vulnerabilities and Exposures) de la MITRE Corporation con el fin de verificar la
existencia o no, de debilidades adicionales no consideradas durante el desarrollo del
Trabajo Especial de Grado. Es importante destacar que Nessus es un escáner de
seguridad remoto para sistemas operativos como Windows, Linux, BSD, Solaris,
entre otros Unix desarrollado por la empresa Tenable Netework Security.
Finalmente con la finalidad de validar el nivel de cobertura de la metodología

utilizada en el presente Trabajo Especial de Grado para evaluar la seguridad en
switches y routers, se procedió a efectuar un análisis comparativo tomando como
base la metodología OSSTMM (Open Source Security Testing Methodology Manual)
disponible en el sitio web http://www.isecom.org/osstmm. Esta metodología ofrece un
marco de referencia en lo que se refiere a pruebas de seguridad y fue desarrollada
por el instituto ISECOM (Institute for Security and Open Methodologies).
63
6.4 Resultados del Proceso
Luego de la aplicación del instrumento de medición a los empleados de la Sección

de Redes de Datos, el empleo de la aplicación Nessus 4.4.1 y la base de datos de
vulnerabilidades de la CVE sobre los dispositivos de red y sus versiones de IOS,
además del análisis comparativo con base a la metodología OSSTMM, se obtuvieron
los resultados presentados en las próximas secciones.
6.4.1 Validación del análisis sobre la Situación actual de la Seguridad
Con la finalidad de facilitar la comprensión de los resultados obtenidos en la primera

parte del instrumento, a continuación se presentan las preguntas realizadas a los
trabajadores. Es importante destacar que las preguntas en esta primera parte podían
ser respondidas de tres maneras (Si, No, Prefiero no responder).
6.4.1.1 Preguntas de la primera etapa del Instrumento
a. ¿Considera usted que la presencia de hubs, mini switches y cableado al alcance

de los usuarios de la red, en sus estaciones de trabajo, posibilita el acceso no
autorizado y conexiones irregulares a la red?
b. ¿Considera usted que los protocolos SNMPv1 y Telnet brindan las medidas de
seguridad necesarias para garantizar la confidencialidad e integridad de la
información que es intercambiada con los routers y switches?
c. ¿Considera usted que las interfaces Ethernet de los switches configuradas con
los parámetros por defecto restringen el acceso no autorizado a la red?
d. ¿Considera usted que actualmente podrían existir equipos personales o
pertenecientes a otras empresas conectados en estas interfaces Ethernet
configuradas con parámetros por defecto?
e. ¿Considera usted que la existencia de estos dispositivos no autorizados en la
red representan una fuente de violación a la confidencialidad e integridad de los
datos que transitan por la red corporativa?
f. ¿Considera usted que el uso actual de los protocolos HDLC y PPP en las
64
interfaces WAN de los routers ofrece el servicio de autenticación de la entidad

par?
g. ¿Considera usted que el uso actual de los protocolos Telnet y SNMPv1, así
como la configuración de las contraseñas en los routers y switches ofrece un
deficiente servicio de autenticación de las entidades?
h. ¿Considera usted que los hubs y mini switches al alcance de los usuarios de la
red, ofrecen un adecuado servicio de control de acceso?
i. ¿Considera usted que actualmente los protocolos utilizados y las listas de
acceso en los routers y switches, garantizan que solamente los administradores
de red tengan acceso remoto a los mismos?
j. ¿Considera usted que el uso de la misma contraseña para los modos de usuario
y administrador en routers y switches representa una mala práctica de control de
acceso?
k. ¿Considera usted que actualmente es posible determinar cuál técnico, desde
que equipo y a qué hora fue realizada una modificación en la configuración en
los routers y switches?
6.4.1.2 Resultados de la Validación del análisis sobre la Situación actual
En términos generales, como puede apreciarse en la figura 6.1, el 100% de los

encuestados están de acuerdo en los planteamientos sobre los hubs y/o mini
switches expuestos, las interfaces Ethernet configuradas con parámetros por
defecto, el uso actual de SNMPv1 y Telnet, la configuración de las contraseñas, el
control de acceso remoto y la repudiación ante modificaciones en la configuración.
El 80% de los encuestados coinciden que los protocolos SNMPv1 y Telnet no

ofrecen confidencialidad e integridad, y consideran que es posible la existencia de
equipos personales o de otras empresas conectadas a la red. Finalmente, el 80% de
los encuestados prefirió no responder sobre el uso de los protocolos HDLC y PPP
respecto a la autenticación de su par.
65
6.4.2 Validación de las Propuestas de Medidas de Protección
Con la finalidad de facilitar la comprensión de los resultados obtenidos en la segunda

parte del instrumento, a continuación se presentan las preguntas realizadas a los
empleados de la Sección y un resumen de las medidas propuestas desde el punto
de vista físico y lógico. Las preguntas en la segunda etapa del instrumento se
requirieron la selección de varios ítems según lo dispuesto en el capítulo V.
Pregunta 1(a)
Pregunta 1(b)
Pregunta 1(c)
Pregunta 1(d)
Pregunta 1(e)
Pregunta 1(f)
Pregunta 1(g)
Pregunta 1(h)
Pregunta 1(i)
Pregunta 1(j)
Pregunta 1(k)
0% 20% 40% 60% 80% 100%
Si No NS/NR
Figura 6.1. Resultados de la Evaluación de la primera etapa del instrumento

correspondiente al análisis sobre la situación actual.
6.4.2.1 Preguntas de la segunda etapa del Instrumento
a. ¿Considera usted que la implementación de las medidas de seguridad física

propuestas en el capítulo V, ayudan a mitigar las vulnerabilidades indicadas?
Especifique cuales medidas de seguridad física.
b. ¿Considera usted que es viable la implementación de estas medidas de
seguridad física en el corto o mediano plazo? Especifique cuales medidas de
66
seguridad física.
c. ¿Considera usted que la implementación de las medidas de seguridad lógica
propuestas en el capítulo V, ayudan a mitigar las vulnerabilidades indicadas?
Especifique cuales medidas de seguridad lógica.
d. ¿Considera usted que es viable la implementación de estas medidas de
seguridad lógica en el corto o mediano plazo? Especifique cuales medidas de
seguridad lógicas.
6.4.2.2 Resumen de las Medidas para la Seguridad Física
a. Adquisición e instalación progresiva de gabinetes de pared de 13UR con racks

de 19’’. Con la finalidad de mejorar la seguridad y el control de acceso a los
switches de acceso que están actualmente, y estarán en un futuro, ubicados
dentro de las áreas de trabajo de los usuarios finales.
b. Adquisición e instalación progresiva de UPS de 25 minutos de autonomía, según
exigencias de la Empresa. Para mejorar la disponibilidad de los equipos de red
ante cortes eléctricos por fallas en los circuitos que prestan este servicio.
c. Adquisición e instalación progresiva de switches administrables para sustituir los
hubs y/o mini switches. De forma de contar con equipos gestionables que
permitan la implementación de las medidas de seguridad lógica propuestas.
6.4.2.3 Resumen de las Medidas para la Seguridad Lógica
a. Implementación de seguridad de puerto por direcciones MAC en todos los

puertos de switches de acceso donde se encuentren conectados usuarios
finales, hubs y/o mini switches mientras son eliminados progresivamente.
b. Inhabilitación de todas las interfaces Ethernet donde no se encuentre conectado
al menos un usuario.
c. Actualización del firmware y/o reemplazo de los puentes inalámbricos que usan
WEP. Se recomienda el uso de puentes inalámbricos con esquemas punto a
punto, cifrado WPA2 con AES y SSID broadcasting deshabilitado.
d. Implementación de DHCP snooping en todos los switches. Se configurarán como
67
puertos confiables las interfaces que interconectan a los switches entre sí,
switches hacia el router y la interfaz para el servidor DHCP.
e. Implementación del comando no ip gratuitous-arps y de PVLANs en los switches.
Se configurarán como puertos no protegidos las interfaces que conectan a los
switches entre sí, router, servidores e impresoras de red.
f. Adquisición e instalación de la versión ADVSECURITYK9 en todos los routers,
así como la implementación de SNMPv3 y SSHv2, con la finalidad de eliminar el
uso de SNMPv1 y Telnet para la gestión de los equipos, además de reemplazar
los IOS por versiones más seguras y actualizadas.
g. Descarga e instalación de las versiones IPBASEK9 e IPSERVICESK9 en los
switches, así como la implementación de SNMPv3 SSHv2, con la finalidad de
eliminar el uso de SNMPv1 y Telnet para la gestión, y actualizar los IOS de los
switches a una versión más segura.
h. Implementación del protocolo PPP con autenticación CHAP en todos los enlaces
seriales de la red interna.
i. Inhabilitación de la autonegociación del modo trunk, utilización de VLANs nativas
diferentes a la VLAN por defecto en puertos troncales y deshabilitación del
protocolo VTP.
j. Implementación de bpduguard enable para los puertos conectados a hubs o
directamente a usuarios, y de root guard para los puertos conectados a hubs y/o
mini switches mientras son eliminados progresivamente.
k. Implementación de un esquema de VLANs para segmentar las redes LAN.
l. Implementación de filtros para bloquear paquetes destinados a las direcciones
de red y de broadcast, para prevenir ataques smurf.
m. Implementación de límites ICMP en las interfaces Ethernet de los routers según
los parámetros recomendados por la NSA.
n. Implementación de CEF y la característica RPF en todas las interfaces de los
routers.
o. Inhabilitación de los servicios vulnerables no utilizados en la red interna.
p. Implementación de arquitectura AAA localmente en cada dispositivo y de perfiles
individuales para cada técnico.
68
q. Utilización de contraseñas cifradas con MD5 (enable secret) en lugar de

contraseñas cifradas con “type 7” (enable password).
r. Implementación de ACLs que limiten el acceso remoto a los equipos de red
interna. Las subredes del Departamento de Mantenimiento de Telemática y de
gestión propia de los dispositivos, tendrán acceso exclusivo a través de SSH o
Telnet mientras se actualiza el IOS de los equipos.
s. Implementación del nivel de acceso básico para el perfil de los técnicos y de un
nivel adicional de acceso avanzado protegido con contraseña.
t. Implementación de búferes locales de 64KB para logs de seguridad y
sincronización fecha-hora a través del servidor NTP de la red Corporativa para
los equipos con memoria RAM superior a 16MB. En los equipos con memoria
RAM igual o inferior a 16MB, implementar búferes locales de 16KB.
6.4.2.4 Resultados de la Evaluación de las Propuestas
Los encuestados coinciden, como puede observarse en las figuras 6.2 y 6.3, que
más del 95% de las medidas de seguridad propuestas ayudan a mitigar las
vulnerabilidades indicadas en el capítulo IV y consideran que es viable la
implementación de más del 50% de las medidas en el corto plazo.
De la misma manera como puede apreciarse, el 80% de los encuestados está de

acuerdo con todas las medidas de seguridad propuestas respecto a su la capacidad
para mitigar las vulnerabilidades indicadas.
En función de los resultados obtenidos, se considera que las medidas de protección

aquí descritas tendrán un importante efecto positivo en el aumento de la seguridad
de los dispositivos de red y un importante nivel de aceptación entre el personal que
debe hacerlas cumplir, de modo que es altamente probable que su implementación
sea exitosa a mediano y largo plazo.
69
Medida S. Física (a)

Medida S. Física (b)
Medida S. Física (c)
Medida S. Lógica (a)
Medida S. Lógica (b)
Medida S. Lógica (c)
Medida S. Lógica (d)
Medida S. Lógica (e)
Medida S. Lógica (f)
Medida S. Lógica (g)
Medida S. Lógica (h)
Medida S. Lógica (i)
Medida S. Lógica (j)
Medida S. Lógica (k)
Medida S. Lógica (l)
Medida S. Lógica (m)
Medida S. Lógica (n)
Medida S. Lógica (o)
Medida S. Lógica (p)
Medida S. Lógica (q)
Medida S. Lógica (r)
Medida S. Lógica (s)
Medida S. Lógica (t)
0% 20% 40% 60% 80% 100%
Acuerdo Desacuerdo
Figura 6.2. Nivel de Aceptación de las Propuestas de Medidas de Protección a

routers y switches respecto a la mitigación de las vulnerabilidades indicadas.
70
Medida S. Física (a)

Medida S. Física (b)
Medida S. Física (c)
Medida S. Lógica (a)
Medida S. Lógica (b)
Medida S. Lógica (c)
Medida S. Lógica (d)
Medida S. Lógica (e)
Medida S. Lógica (f)
Medida S. Lógica (g)
Medida S. Lógica (h)
Medida S. Lógica (i)
Medida S. Lógica (j)
Medida S. Lógica (k)
Medida S. Lógica (l)
Medida S. Lógica (m)
Medida S. Lógica (n)
Medida S. Lógica (o)
Medida S. Lógica (p)
Medida S. Lógica (q)
Medida S. Lógica (r)
Medida S. Lógica (s)
Medida S. Lógica (t)
0% 20% 40% 60% 80% 100%
Acuerdo Desacuerdo
Figura 6.3. Nivel de Aceptación de las Propuestas de Medidas de Protección

respecto a la viabilidad de su implementación en el Corto o Mediano Plazo.
6.4.3 Validación de las vulnerabilidades mediante Nessus 4.4.1
El proceso de validación mediante Nessus 4.4.1, consistió en la aplicación de

procesos de verificación (escaneo) de puertos en uso y de vulnerabilidades en los
switches y routers por medio de las pruebas (policy) definidas para redes internas
(Internal Network Scan) y como preparación para las auditorias PCI DSS (Prepare
for PCI DSS audits).
71
Debido a que esta aplicación efectúa escaneos y pruebas de penetración en los

dispositivos configurados como objetivos (targets), la jefatura del Dpto. de
Mantenimiento de Telemática prohibió explícitamente que fueran realizadas estas
pruebas en los switches y routers que se encuentran actualmente en operación. Sin
embargo, las pruebas fueron realizadas en dispositivos de repuesto (fuera de línea)
de la misma marca, modelos y con sistemas operativos idénticos a los instalados en
la red interna con el objetivo de obtener resultados que sean equivalentes a equipos
de la red en operación.
La aplicación de estas pruebas (Internal Network Scan y Prepare for PCI DSS
audits) en los diferentes modelos de los routers y switches de repuesto presentaron
las siguientes vulnerabilidades.
a) ICMP Timestamp Request Remote Date Disclosuse / Traceroute Information

Las pruebas de Nessus plantean como vulnerabilidad la posibilidad de determinar el
tiempo (hora-fecha) configurado en los routers a través de los timestamp requests
del protocolo ICMP. Adicionalmente, los tests indican que es posible determinar la
ruta desde el host origen hasta el destino a través de traceroute. Las deficiencias
asociadas a ICMP, fueron especialmente contempladas durante el proceso de
análisis de la situación actual.
b) Common Plataform Enumeration (CPE) / OS Identification / Device Type

Nessus plantea que es posible a través de la base de datos CPE localizar
información sobre la versión de IOS utilizada por el dispositivo. Esta vulnerabilidad
es consecuencia directa de la posibilidad de determinar el sistema operativo utilizado
a través del uso de varios protocolos y servicios vulnerables.
En este sentido, las pruebas también indican que es posible determinar el sistema
operativo del dispositivo objetivo a través del uso combinado de varios protocolos
como TCP/IP, SMB, HTTP, NTP, SNMP, entre otros. La posibilidad de ataques de
reconocimiento y servicios vulnerables fueron contempladas durante el proceso de
72
análisis de la situación actual. La inhabilitación de servicios y protocolos no

utilizados, además del uso de protocolos más seguros como SSHv2 reduce la
posibilidad de captura de información sensible sobre los dispositivos.
A partir del conocimiento del sistema operativo utilizado, Nessus plantea que es
posible determinar el tipo de dispositivo en cuestión. De la misma manera, esta
vulnerabilidad es consecuencia directa de la posibilidad de determinar el sistema
operativo utilizado a través del uso de varios protocolos y servicios vulnerables.
c) IP forwarding Enabled
La aplicación Nessus indica que el reenvío de paquetes IP en el host objetivo es una
vulnerabilidad, sin embargo desconoce que el dispositivo en cuestión es un router. El
reenvío o retransmisión de paquetes IP es una función básica de estos dispositivos,
de modo que esta característica no puede ser considerada como una debilidad.
d) Ethernet Card Manufacturer Detection

Nessus plantea como punto vulnerable la posibilidad de deducir el fabricante del
equipo por medio del conocimiento de la dirección MAC de la tarjeta de red. En estas
direcciones los primeros 24 bits permiten la identificación de las organizaciones
(Organizationally Unique Identifier). Estos números son asignados y registrados por
la IEEE. Esta vulnerabilidad es consecuencia directa de la posibilidad de identificar la
dirección MAC de administración del los dispositivos, y por ende de la existencia de
dominios de broadcast amplios que agrupan a los dispositivos de usuario y de red.
Este problema en cuanto a la falta de segmentación de algunas redes de datos fue
contemplado durante el análisis de la situación actual.
e) Host Fully Qualified Domain Name (FQDN) Resolution

Las pruebas notifican de la posibilidad de determinar el nombre del host objetivo y el
dominio de la red. Esta vulnerabilidad fue contemplada y es consecuencia directa de
la existencia del comando ip domain name yourdomain.com además de la falta del
hostname en los archivos de configuración, los cuales son algunos de los
73
parámetros por defecto disponibles en routers y switches Cisco. Sin embargo,

realmente el nombre y el dominio determinados por Nessus no corresponden al
dispositivo objetivo, sino al PC personal que sirvió de escáner durante las pruebas.
f) Nessus Scan Information

El software muestra como debilidad intrínseca la existencia en si misma de los datos
proporcionados por el escaneo y las pruebas de penetración realizadas. La situación
no representa un riesgo relevante para la seguridad según lo indicado por Nessus.
g) Service Detection / Telnet Server Detection / Unencrypted Telnet Server

La aplicación muestra que es posible identificar al servicio Telnet ejecutándose en el
puerto TCP 23 del host objetivo, por lo tanto indica que este servicio se mantiene
abierto y escuchando. Además, las pruebas plantean como una debilidad relevante
el hecho que el tráfico generado por el servicio Telnet se encuentre en texto en claro.
Las vulnerabilidades intrínsecas por el uso de protocolos sin cifrado como Telnet y
SNMPv1 fueron contempladas en el proceso de análisis de la situación actual.
h) Service Detection / HTTP Server Type and Version / Web Server Uses Basic
Authentication Without HTTPS
Nessus plantea como vulnerabilidad la existencia del servicio HTTP en el host
objetivo, el uso de texto en claro para trasmitir la información de autenticación y la
posibilidad de determinar la versión utilizada. La posibilidad de ataques a estos
servicios vulnerables fue contemplada durante el proceso de análisis de la situación
actual. La inhabilitación de estos servicios no utilizados e intrínsecamente inseguros,
reduce la posibilidad de ataques que se aprovechan de sus debilidades.
Al analizar los resultados obtenidos con la aplicación Nessus, puede apreciarse que
las vulnerabilidades fueron originalmente identificadas y contempladas en el Capítulo
IV del presente Trabajo Especial de Grado. En relación a las debilidades menores
que no fueron detectadas en el proceso de análisis de la situación actual, el software
74
asegura que no es viable aplicar medidas para corregirlas y además no representan

un factor riesgo para la seguridad de los equipos de red.
6.4.4 Validación de las vulnerabilidades mediante CVE
Posterior a los escaneos y pruebas de penetración por medio de la aplicación

Nessus, fue realizada una búsqueda de vulnerabilidades dentro de la base de datos
de la CVE. Los parámetros buscados dentro de la base de datos, corresponden a las
versiones globales de IOS instaladas y actualmente operativas en los routers y
switches la red interna de datos.
En total fueron encontradas 149 debilidades mediante los parámetros de búsqueda

mencionados. El detalle sobre todas las vulnerabilidades encontradas mediante las
búsquedas en la CVE está disponible en el anexo B. Sin embargo solo el 10% de las
vulnerabilidades encontradas están asociadas a los modelos de equipos, protocolos,
servicios, procesos y versiones de IOS utilizados en las redes.
A continuación en la tabla 6.1 se presentan el nombre de las publicaciones CVE

asociadas a estas debilidades y los protocolos y/o características inseguras
relacionadas.
Producto de la revisión de los resultados obtenidos con la base de datos CVE, puede
observarse que de manera similar a la experiencia con la aplicación Nessus, más del
90% de las vulnerabilidades fueron identificadas originalmente en los Capítulos IV y
V del presente Trabajo Especial de Grado.
Respecto a la debilidad no contemplada sobre los ataques DoS a SNMP, es de notar

que según el aviso 20040420 de Cisco Systems, es posible mitigarlos a través de la
actualización de las versiones de IOS existentes, la cual es una medida contemplada
dentro del presente Trabajo Especial de Grado.
75
Tabla 6.1. Resumen de las Publicaciones CVE asociadas a los modelos de

equipos, protocolos, servicios, procesos y versiones de IOS
Nᵒ de Publicación Protocolos y/o características Consideraciones en el Trabajo

de la CVE inseguras vinculadas Especial de Grado
CVE-2006-4776
Presencia de VLAN Trunking Protocol (VTP)
CVE-2006-4775 El protocolo VTP fue considerado
habilitado. Posibilidad de ataques de
CVE-2006-4774 como intrínsecamente inseguro.
Negación de Servicio (DoS)
CVE-2005-4826
Presencia de configuración básica por Las configuraciones básicas por

defecto en Líneas VTY de acceso remoto y defecto de las Líneas VTY y de
CVE-2007-4632
Línea de Consola. Posibilidad de acceso no Consola fueron consideradas como
autorizado a la configuración. medidas insuficientes.
Ausencia de mecanismos de control de La ausencia de listas de control de

acceso a las Líneas VTY. Posibilidad de acceso a las Líneas VTY de los
CVE-2004-1464
ataque de Negación de Servicio (DoS) al equipos fue contemplada como una
agotar las Líneas VTY disponibles. vulnerabilidad.
CVE-2009-0471
CVE-2009-0470
Presencia de los Servicios HTTP y HTTPS El Servicio HTTP fue considerado
CVE-2008-3821
para configurar y gestionar los equipos. como intrínsecamente inseguro. El
CVE-2008-3798
Posibilidad de acceso no autorizado, y Servicio HTTPS fue considerado
CVE-2007-2813
ataques de Negación de Servicio (DoS). como un servicio vulnerable.
CVE-2003-0647
CVE-2001-0537
Presencia de CDP habilitado. Posibilidad de El protocolo CDP fue considerado

CVE-2001-1071
ataques de Negación de Servicio (DoS). como intrínsecamente inseguro.
El protocolo SNMPv1 se consideró

como intrínsecamente inseguro, sin
Presencia de SNMPv1, v2 o v3. Posibilidad
CVE-2004-0714 embargo no fue contemplada la
de ataques de Negación de Servicio (DoS).
posibilidad de ataques de DoS al
protocolo SNMPv3.
76
6.4.5 Validación de la metodología utilizada mediante OSSTMM
Finalmente como se mencionó en las primeras páginas de este capítulo, con la

finalidad de validar la metodología utilizada para evaluar la seguridad en switches y
routers, en esta sección se presenta un análisis comparativo tomando como base la
metodología OSSTMM versión 2.1.
La metodología se divide en varias secciones: Seguridad de la Información,

Seguridad de los Procesos, Seguridad en las tecnologías de Internet, Seguridad en
las Comunicaciones, Seguridad Inalámbrica y Seguridad Física. Según lo expuesto
por el manual, todas estas secciones se superponen entre si y contienen elementos
de todas las otras secciones. Un análisis completo de alguna de las secciones debe
incluir los elementos del resto de las secciones, directa o indirectamente.
En términos generales, según los resultados obtenidos a través del análisis

comparativo, la metodología planteada en el presente documento está alineada con
la metodología OSSTMM sobretodo en las secciones que involucran elementos
directamente relacionados con los routers, switches, enlaces inalámbricos 802.11,
redes internas y lo concerniente a su seguridad física. A continuación se revisan los
elementos definidos en el manual OSSTMM, y seguidamente se comparan con la
metodología utilizada en el presente Trabajo Especial de Grado
6.4.5.1 Seguridad de la Información
Esta sección trata temas referentes a la obtención de información general de la

organización, empleados, políticas de seguridad, área de negocio, entre otras a
través de los medios públicos disponibles. Los módulos se esta sección abarcan la
revisión de la Inteligencia Competitiva, la Privacidad y la Recolección de
Documentos. En este sentido, debido a que la auditoría realizada se efectúa dentro
de la misma organización, es natural que mucha de la información necesaria se
encuentre disponible y al alcance del auditor.
77
En la metodología planteada para el presente Trabajo Especial de Grado, no se

planteo la realización de pruebas a ciegas a través de información pública en
Internet. El levantamiento de la información sobre la organización, empleados,
tecnologías, entre otras se realizo de manera directa. Es importante descartar que la
evaluación de la seguridad en dispositivos como Firewalls, Proxys, Servidores, entre
otros, así como la conexión al ISP, equipos visibles desde Internet o más allá de la
DMZ no fueron contemplados en el alcance.
6.4.5.2 Seguridad de los Procesos
La metodología plantea como objetivo de esta sección la obtención de información

más específica sobre puntos de acceso a la red, características de los equipos,
servicios, sistemas operativos, direcciones IP, personal de confianza de las áreas,
entre otros, por medio de preguntas a empleados accesibles en la organización. Al
igual que en la sección anterior, debido a que la auditoría se realiza dentro de la
misma organización, no fue contemplada realización de pruebas a ciegas para
obtener información sobre la red interna y las personas en el área. La información
necesaria se encuentra disponible y al alcance del auditor.
En efecto, la información en específico sobre los dispositivos de red en cuestión fue

levantada durante el proceso de análisis de la situación actual. Los detalles de la
información levantada no pueden ser presentados, ya que los mismos fueron
excluidos por ser considerados como confidenciales por el Departamento de
Mantenimiento de Telemática.
6.4.5.3 Seguridad en las Tecnologías de Internet
Esta sección incluye temas como la verificación de puertos abiertos, cerrados y

filtrados, dirección IP de los sistemas activos, direccionamiento, lista de protocolos
utilizados y soportados, servicios activos, tipo de sistema operativo, versiones y
parches de seguridad, mapa de la red, entre otros. Además como se mencionó
anteriormente, la metodología OSSTMM también incluye en esta sección otros
78
temas considerados en las secciones anteriores como la información general de la

organización, empleados, políticas de seguridad, áreas de negocio, entre otras.
Respecto al módulo especifico de verificación de los puertos, en el Trabajo Especial

de Grado fue contemplado a través del estudio de los archivos de configuración y
otros elementos habilitados/deshabilitados por defecto en los dispositivos, según lo
indicado por el fabricante de los equipos: Cisco Systems. Adicionalmente como
complemento, durante la fase de validación se realizó un escaneo de puertos a
varios dispositivos de red similares por medio de la aplicación Nessus 4.4.1.
Posteriormente esta sección de la metodología OSSTMM abarca lo relacionado con

la búsqueda y verificación de vulnerabilidades. La finalidad de este módulo no es
otra sino la identificación y comprensión de debilidades, errores de configuración y
vulnerabilidades. En este sentido, durante el alcance inicial del Trabajo Especial de
Grado se contemplo la identificación de vulnerabilidades a través del estudio de los
mecanismos de seguridad implementados y de análisis comparativos a nivel
documental. Sin embargo en la fase de validación, además del uso de la aplicación
Nessus 4.4.1, fue realizada una búsqueda dentro de la base de datos de la CVE.
Luego, la sección de Seguridad en las tecnologías de Internet trata otros módulos

como la Prueba de Aplicaciones de Internet, Enrutamiento, Sistemas Confiados,
Control de Acceso, Sistemas de Detección de Intrusos, Medidas de Contingencia,
Descifrado de Contraseñas, Denegación de Servicios y por último Evaluación de
Políticas de Seguridad. En el marco de la metodología planteada en el Trabajo
Especial de Grado, varios módulos no fueron contemplados debido a que exceden
las funciones del Departamento de Mantenimiento de Telemática y por lo tanto el
alcance definido. Los elementos de la metodología OSSTMM considerados de
acuerdo al ámbito del estudio fueron los siguientes: Enrutamiento, Sistemas
Confiados, Control de Acceso, Sistemas de Detección de Intrusos, Medidas de
Contingencia, Descifrado de Contraseñas, Denegación de Servicios y Evaluación de
Políticas de Seguridad.
79
En referencia al modulo de Sistemas Confiados, en el Trabajo Especial de Grado se

evaluó de manera teórica la posibilidad de ocurrencia de ataques de suplantación
(DHCP, ARP), con la finalidad de determinar si los sistemas o aplicaciones pueden
ser engañados según lo planteado por la OSSTMM. En los términos de las pruebas
de los Sistemas de Detección de Intrusos, fue tomado en cuenta la existencia o no,
de registros en los switches que permitan deducir la presencia de equipos no
autorizados conectados, como por ejemplo las direcciones MAC aprendidas por las
interfaces. Es importante destacar que la Gerencia de Telemática cuenta con
Sistemas de Monitoreo y Detección de Intrusos mucho más avanzados en la red
Corporativa, sin embargo debido a que su operación excede las funciones del
Departamento, los mismos no fueron contemplados.
En referencia a las Medidas de Contingencia ante emergencias, se comprobó la

existencia de los respaldos correspondientes a los sistemas operativos y archivos de
configuración de los equipos. Respecto al módulo de cifrado de contraseñas, el
estudio evaluó las debilidades del uso del algoritmo type 7 de Cisco para proteger
las contraseñas de acceso, a través de herramientas libres disponibles en Internet.
Adicionalmente se contemplo la cantidad de contraseñas, cuentas existentes y, el
uso de las mismas contraseñas de acceso en varios equipos.
Respecto a los Test de Denegación de Servicio, se evaluó la posibilidad de este tipo

de ataques de manera teórica por medio de la información levantada empíricamente
y a través del diagnostico de fallas ocurridas durante las actividades de operación y
mantenimiento normales de los equipos de red.
Es importante destacar que según lo indicado por la OSSTMM, las inundaciones y

ataques de DoS Distribuidos (DDoS) siempre ocasionan problemas y a veces no
solo al objetivo, así que están específicamente prohibidos en el manual. En relación
al módulo Evaluación de Políticas de Seguridad en Informática y Comunicaciones, el
mismo fue contemplado durante la fase de Planificación del Trabajo Especial de
80
Grado, sin embargo debido a la ausencia de una política oficial escrita no fue posible
cumplir con esta etapa.
6.4.5.4 Seguridad en las Comunicaciones
La metodología plantea en esta sección la revisión de los sistemas de comunicación

de Voz, PBX, Fax y Modems. Varios de estos módulos no fueron contemplados
debido a que exceden el alcance, sin embargo se consideraron las características de
los protocolos utilizados para las comunicaciones a través de los enlaces WAN, los
cuales en muchos casos requieren del uso de Modems para ser conectados a los
routers de las redes. Los aspectos de seguridad referentes a estos equipos no
fueron contemplados principalmente porque los mismos no son administrables.
6.4.5.5 Seguridad Inalámbrica
Esta sección incluye temas como la verificación de la seguridad de las emisiones

correspondiente a las radiaciones electromagnéticas emitidas por las tecnologías. En
particular las pruebas de Radiación EMR involucran la evaluación de una serie de
equipamientos que no pertenecen a la red de datos, y por lo tanto exceden el
alcance definido. Sin embargo, fueron consideradas las zonas de cobertura de los
equipos Wireless Broadband y Wi-Fi presentes en la red de datos.
Respecto a la verificación de los módulos vinculados a las Redes Inalámbricas

802.11 y otras Comunicaciones sin Cable de la red de datos, los mismos fueron
contemplados. En este sentido, en el Trabajo Especial de grado fueron evaluados
los equipos, el firmware y sus actualizaciones, así como el control de acceso, la
configuración, autenticación y cifrados de estas redes inalámbricas.
El resto de los módulos (Redes Bluetooth, Dispositivos de Entrada Inalámbricos,

Dispositivos de Mano Inalámbricos, Dispositivos de Vigilancia Inalámbricos,
Dispositivos de Transacción Inalámbricos, RFID y Sistemas Infrarrojos) agrupa una
81
cantidad de elementos no existentes o no conectados la Infraestructura de red de

datos en estudio y por lo tanto no fueron contemplados en el alcance.
6.4.5.6 Seguridad Física
La metodología plantea como objetivo de esta sección la evaluación de la seguridad

física en el marco del objeto de la auditoria de seguridad. Dentro de los módulos
definidos se encuentra la Revisión del Perímetro, Monitoreo, Controles de Acceso,
Respuesta de Alarmas, Ubicación y Entorno.
Dentro de los aspectos contemplados en el Trabajo Especial de Grado, se

encuentran la Revisión del Perímetro, Controles de Acceso, Ubicación y Entorno. En
este sentido fue levantada información respecto al perímetro de seguridad de los
cuartos de comunicaciones y equipos de red en general, áreas de control de acceso,
ubicaciones, visibilidad de las ubicaciones, acceso de terceras partes, empresas y
empleados alrededor de las ubicaciones, además de las condiciones especiales de
las regiones y localidades.
El resto de los módulos no fueron contemplados, ya que las actividades en los

mismos son responsabilidad directa de la Gerencia de Seguridad, de modo que
exceden el alcance definido inicialmente.
82
CAPÍTULO VII
EVALUACIÓN DEL PROCESO DE TRABAJO ESPECIAL DE GRADO
En el capítulo I del presente documento, se señaló la fase de Planificación, es decir

cómo el autor esperaba realizar el Trabajo Especial de Grado. En dicho capítulo se
formularon objetivos, una metodología de trabajo y un cronograma de ejecución. El
presente Capítulo muestra una comparación entre lo formulado inicialmente y lo
realizado, desde el punto de vista del cumplimiento de la metodología, el
cronograma de ejecución y los objetivos, explicando las desviaciones y sus causas.
7.1 Comparación entre lo Planificado y lo Ejecutado
En términos generales, la metodología planteada para la elaboración del Trabajo

Especial de Grado fue cumplida cabalmente en sus 6 etapas: Marco Conceptual
Referencial, Marco Contextual Organizacional, Análisis de la Situación Actual,
Diseño de las propuestas de medidas de protección, Validación de las Propuestas de
Medidas de Protección, Evaluación del Proceso General cumplido.
7.1.1 En cuanto al Marco Conceptual Referencial
Respecto al Marco Conceptual Referencial, según lo planificado se incluyeron los

conceptos básicos en redes de transmisión de datos como LAN, WAN, dispositivos
de red, protocolos TCP/IP, protocolos de enlace de datos y estándares en
comunicaciones de datos.
Acorde con lo planificado se estudiaron los fundamentos de la seguridad en

informática y comunicaciones, algoritmos de cifrado, protocolos de acceso remoto y
ataques comunes a las redes de datos. Además, en concordancia al tema estudiado
83
fueron estudiados específicamente conceptos como servicios de seguridad,

amenazas, vulnerabilidades y ataques.
7.1.2 En cuanto al Marco Contextual Organizacional
Cumpliendo con la planificación se presentó una breve descripción de los objetivos y

funciones de la unidad responsable de la operación y mantenimiento de los equipos
de comunicaciones.
7.1.3 En cuanto al Análisis de la situación actual
En concordancia con lo expuesto en el Capítulo I, la fase de análisis de la situación

actual se basó en el levantamiento de información sobre los routers y switches de la
red de datos interna, y en la revisión de las políticas y normas internas de la
organización respecto a la seguridad en informática y las comunicaciones.
En relación al primer punto, fue necesario filtrar y excluir del documento cierta
información considerada como confidencial, para el Departamento de Mantenimiento
de Telemática, respecto a las localidades, ubicaciones, direcciones IP, cantidades
explicitas y características de los dispositivos e interfaces de red, topologías y
algunas vulnerabilidades en especifico.
En referencia a las policitas y normas internas, se encontró que la empresa no

contaba con políticas ni normas formales escritas, sin embargo se tomaron como
directrices las circulares oficinales sobre el acceso no autorizado a la red.
El Capítulo fue concluido, según lo planificado, con la documentación de las

vulnerabilidades identificadas y el análisis de las amenazas potenciales
considerando las vulnerabilidades y los ataques comunes estudiados.
84
7.1.4 En cuanto al Diseño de las propuestas de medidas de protección
Las medidas de protección fueron diseñadas a partir de las vulnerabilidades y

amenazas a la seguridad de los dispositivos, según lo planificado. Sin embargo
debido a la inexistencia de una política organizacional y procedimientos escritos
respecto a la seguridad en informática y comunicaciones, fue imposible diseñar
medidas de protección para garantizar su cumplimiento, según fue indicado en la
metodología.
Esta situación ameritó que se efectuaran algunas modificaciones en la metodología

de trabajo inicial. Finalmente se diseñó una serie de medidas de protección básicas
con el fin de reforzar la implementación de los servicios de seguridad y reducir en lo
posible las vulnerabilidades y amenazas a la seguridad detectadas en la red, sin
afectar el rendimiento u operación de los equipos, los servicios o las aplicaciones
que hacen uso de la red de datos corporativa, mientras la política de seguridad
oficial es diseñada y difundida en la organización.
Los diseños indicaron los nuevos requerimientos en cuanto a equipos, gabinetes y

actualización de software para su implementación, de acuerdo a lo planificado
inicialmente. De la misma manera, las propuestas respecto a cambios de
configuración en los routers y switches fueron diseñadas en forma de plantillas y
especificaron las líneas de comando que deben modificarse o agregarse en los
archivos de configuración.
Asimismo, los diseños consideraron las limitaciones del Departamento de

Mantenimiento de Telemática en cuanto a la adquisición de equipos, actualizaciones,
instalación de aplicaciones, reconfiguración de servidores y reasignación de
direcciones IP según lo planificado.
85
7.1.5 En cuanto a la Validación de las propuestas de medidas
Los diseños fueron presentados a los trabajadores de la Sección de Redes de Datos

para su análisis según lo planificado en el capítulo I. Asimismo, se elaboró una
encuesta que permitió recoger la opinión de los trabajadores sobre la viabilidad de
las propuestas de mejoras. Los resultados de la aplicación del instrumento se
encuentran documentados en el capítulo VI.
7.3 Revisión sobre el Cronograma de Ejecución
Respecto al cumplimiento del cronograma de ejecución inicialmente planificado, la

mayor desviación en alguna de las entregas fue de 7 días (una semana) según
puede observarse en la tabla 7.1.
El inicio efectivo de las actividades sufrió un ligero atraso de una semana, debido a
que la aprobación del proyecto fue notificada vía correo electrónico el día
28/03/2011. Sin embargo, durante la primera semana de trabajo se empleó un
esquema acelerado que permitió entregar las primeras versiones del Marco
Conceptual Referencial y el Marco Contextual Organizacional de forma simultánea el
día 04/03/2011.
La primera entrega del Análisis de la Situación actual (Capítulo IV) fue el día
01/05/2011, acorde con lo planificado. Asimismo la entrega de la primera entrega de
la totalidad de los diseños fue el día 01/06/2011. Los diseños fueron entregados en
tres etapas de acuerdo a la estructura definida con el tutor del Trabajo Especial de
Grado: Capitulo V: 01/06/2011.
El resto de las entregas se realizaron en los días establecidos según el cronograma

inicial de trabajo, con desviaciones iguales o menores a 4 días, lo cual se considera
una variación aceptable.
86
Tabla 7.1. Cumplimiento del Cronograma de Ejecución
Fecha Desviación
Actividad Fecha Real
Planificada (días)
Inicio de las Actividades 21/03/2011 28/03/2011 7 días
Elaboración del Marco Conceptual

28/03/2011 04/03/2011 7 días
Referencial.
Elaboración del Marco Contextual

04/04/2011 04/04/2011 -
Organizacional.
Elaboración del análisis de la Situación

02/05/2011 01/05/2011 1 día
actual.
Diseño de las propuestas de medidas de

06/06/2011 01/06/2011 5 días
protección.
Validación de las propuestas de medidas

20/06/2011 20/06/2011 -
de protección.
Evaluación del proceso de Trabajo

27/06/2011 23/06/2011 4 días
Especial de Grado.
Elaboración de conclusiones y
11/07/2011 09/07/2011 2 días
recomendaciones.
Entrega del Informe Final 1ra Versión. 18/07/2011 15/07/2011 3 días
7.2 Logro de los Objetivos Planteados en la Propuesta del Estudio
De acuerdo a lo establecido en el capítulo I, fueron establecidos tres objetivos

específicos, los cuales permitirían el cumplimiento del objetivo general del trabajo
especial de grado: Realizar una auditoría a la seguridad en los switches y routers de
la red interna. En esta sección se analiza el cumplimiento de los objetivos
específicos.
87
7.2.1 Cumplimiento del objetivo especifico 1.2.2.a
Se estableció como objetivo especifico: “Estudiar los mecanismos de seguridad

existentes, evaluando la implementación actual de los servicios de seguridad y el
cumplimiento de las políticas y normas internas, sobre la seguridad en informática y
comunicaciones existentes en la organización”. En este sentido para cumplir con el
objetivo planteado, en los puntos 4.4.1 y 4.4.3 del capítulo IV fueron levantados y
estudiados los mecanismos de seguridad existentes y además se evaluó la
implementación actual de los servicios de seguridad.
En referencia a las políticas y normas internas sobre la seguridad en informática y

comunicaciones existentes en la organización, como se ha comentado en varias
oportunidades, debido la inexistencia de una política organizacional y
procedimientos escritos respecto a la seguridad en informática y comunicaciones en
la organización, es imposible evaluar su cumplimiento.
7.2.2 Cumplimiento del objetivo especifico 1.2.2.b
El segundo objetivo específico establece: “Identificar las vulnerabilidades y analizar

las amenazas potenciales a la seguridad de los switches y routers”. Al respecto, la
identificación de las vulnerabilidades fue documentada en la sección 4.4.4.1 y el
análisis de amenazas en la sección 4.4.4.2 del capítulo IV, lo cual muestra el
cumplimiento del objetivo.
7.2.3 Cumplimiento del objetivo especifico 1.2.2.c
Fue formulado como tercer objetivo específico: “Diseñar propuestas de medidas de

protección que permitan disminuir las vulnerabilidades detectadas en los
dispositivos, considerando las limitaciones del Departamento de Mantenimiento de
Telemática”.
88
En este sentido, el diseño de las medidas de protección propuestas así como la

descripción de sus beneficios en referencia a la reducción de las vulnerabilidades y
amenazas detectadas, se encuentra documentado en cada una de las secciones del
capítulo V. Asimismo, los diseños contemplaron las limitaciones funcionales del
Departamento de Mantenimiento de Telemática según lo establecido para el
cumplimiento del objetivo planteado.
7.2.4 Cumplimiento del objetivo especifico 1.2.2.d
El cuarto objetivo fue formulado como: “Validar las propuestas de medidas de

protección con los trabajadores de la Sección de Redes de Datos, con la finalidad de
determinar su validez y viabilidad”.
En referencia a este punto, los diseños fueron presentados a los trabajadores de la

Sección de Redes de Datos para su análisis. Además, se elaboró una encuesta que
permitió recoger la opinión de los trabajadores tanto sobre la viabilidad como la
pertinencia de las propuestas. Los resultados de la aplicación del instrumento se
están documentados en el Capítulo VI.
Una vez verificado el cumplimiento de todos y cada uno de los objetivos inicialmente
planteados, resta solamente presentar las conclusiones que se han podido obtener
durante el desarrollo de este Trabajo Especial de Grado.
89
CAPÍTULO VIII
CONCLUSIONES Y RECOMENDACIONES
Como cierre del presente Trabajo Especial de Grado, en los siguientes párrafos se
presentan las conclusiones y recomendaciones.
8.1 Conclusiones
• La seguridad de los dispositivos de red, en especial los switches, comienza con

la protección de ellos mismos y sus interfaces contra el acceso no autorizado a
nivel físico y lógico.
• La existencia de hubs, mini switches y switches administrables físicamente
expuestos, interfaces Ethernet configuradas con parámetros por defecto y la no
aplicación de medidas o procedimientos para controlar el uso de las mismas, son
el punto de partida para el acceso no autorizado en las redes internas.
• La tabla CAM de los switches es y siempre será finita, ya que la cantidad de
memoria RAM es limitada, por lo tanto, una red basada en switches es propensa
a las mismas vulnerabilidades que una red basada en hubs, si no se aplican
mecanismos para controlar el número de MAC que pueden ser aprendidas por
una interfaz.
• El riesgo de clonación de las direcciones MAC, hace que el mecanismo de
seguridad de puerto basado en estas direcciones no sea suficiente para
autenticar a los dispositivos de usuario, por lo tanto es necesario implementar
medidas complementarias contra ataques de suplantación.
• Los problemas de seguridad intrínsecos de protocolos típicos de la pila TCP/IP
como DHCP y ARP, ameritan de la implementación de medidas de seguridad
que regulen desde cuales interfaces y de qué modo es posible recibir este tipo
de respuestas.
90
• El uso de protocolos sin encriptación para el acceso remoto y configuración de

los dispositivos de red, es un problema que no puede ser resuelto sin la
adquisición de las versiones de IOS indicadas.
• Una inadecuada gestión de las contraseñas de acceso y cadenas comunitarias
SNMP, puede crear importantes debilidades ante el acceso no autorizado a los
equipos de red, por lo tanto se debe implementar el uso de cuentas de usuario y
contraseñas individuales, así como de políticas respecto a la longitud de las
contraseñas y su actualización periódica.
• La creación de bucles físicos y la amenaza de ataques STP, son problemas de
seguridad en la red que pueden mitigarse a través de la aplicación de controles
adicionales en las interfaces Ethernet y en la eliminación de hubs y/o mini
switches expuestos.
• Los dominios broadcast amplios en las redes requieren ser segmentados para
evitar la propagación de las tormentas y de ataques DoS en general hasta los
dispositivos de red y usuarios finales.
• La adecuada gestión de los servicios que pueden ser ofrecidos por los routers y
switches, permite cerrar agujeros de seguridad y puertas traseras para atacar a
los dispositivos de red.
• La implementación de una política de seguridad efectiva sobre la informática y
las comunicaciones es el paso más importante que debe dar una organización
para proteger su red de datos.
• Las políticas y procedimientos internos no escritos sobre la seguridad en
informática y las comunicaciones son más difíciles de implementar en una
organización.
• La inexistencia de una política organizacional y procedimientos escritos respecto
a la seguridad en informática y las comunicaciones, hace más difícil implementar
medidas de protección que potencialmente puedan afectar la calidad de servicio
que perciben los usuarios de la red (como por ejemplo ip tcp intercept y crypto
ipsec) y la funcionalidad de aplicaciones y servicios utilizados (como por ejemplo
el bloqueo de puertos TCP y UDP potencialmente utilizados para ataques DDoS,
y de protocolos utilizados para realizar pruebas de conectividad como ICMP y
91
sus mensajes).
8.2 Recomendaciones
• Culminar, aprobar e implementar la política de seguridad interna sobre la

informática y las comunicaciones, con la finalidad de definir objetivos y
consideraciones a nivel de seguridad física, configuración y tráfico, servicios y
protocolos no permitidos, así como los roles del personal técnico involucrado.
• Implementar progresivamente las medidas de seguridad indicadas en el Capitulo
V, mientras la política de seguridad interna sobre informática es aprobada, con la
finalidad de mejorar la seguridad de los equipos de red.
• Notificar a la Coordinación de Gestión de Redes, la necesidad de culminar el
proceso de segmentación de las redes, debido a las ineficiencias y problemas de
seguridad que genera la existencia de dominios de broadcast amplios.
• Plantear a la Coordinación de Centros de Cómputo, la necesidad de habilitar una
serie de servidores, con la finalidad de facilitar la administración de los usuarios
y contraseñas de acceso a los dispositivos de red.
• Redefinir y rediseñar las medidas de protección propuestas en el presente
Trabajo Especial de Grado, una vez que la política de seguridad interna sobre la
informática y las comunicaciones sea aprobada e implementada.
92
REFERENCIAS
• Amoroso E. (1994). Fundamentals of Computer Security Technology. New

Jersey: Prentice Hall - AT&T.
• Arellano, G. (2005). Seguridad en Capa 2. En www.gabriel-arellano.com.ar/file

_download/13 (consultado el 03/12/2010).
• Bates, R. (2003). Comunicaciones Inalámbricas de Banda Ancha. España:

McGraw-Hill.
• Beasley, J. (2009). Networking. Boston: Pearson Educación.
• Cisco Systems. (2003). Networking Academy Program Cisco Certified Network

Associate v3.1. Cisco Systems: Documento Electrónico.
• Cisco Systems. (2009). Networking Academy Program Cisco Certified Network

Associate Exploration v4.0. Cisco Systems: Documento Electrónico.
• Cole, E. (2005) Network Security Bible. Indianapolis: Wiley Publishing.
• Edwards, J. (2009). Networking Self-Teaching Guide. Indianapolis: Wiley

Publishing.
• Haykin, S. (2006). Sistemas de Comunicación. México: Limusa Wiley.
• Herzog (2003). Open Source Security Testing Methodology Manual. En http://

www.isecom.org/osstmm (consultado el 23/09/2011).
• Kizza, J. (2009). Guide to Computer Network Security. Nueva York: Springer.

93
• Konheim, A. (2007). Computer Security and Cryptography. Estados Unidos de

América: Wiley-InterScience.
• National Security Agency (2004). Cisco IOS Switch Security Configuration Guide.
Fort Meade: Documento Electrónico.
• National Security Agency (2005). Router Security Configuration Guide. Fort

Meade: Documento Electrónico.
• Stallings, W. (2004). Comunicaciones y Redes de Computadores. Pearson

Educación.
• Stallings, W. (2005). Cryptography and Network Security Principles and

Practices. Estados Unidos de América: Pearson Educación.
• Tanenbaum A. (2003), Redes de Computadores. Pearson Educacion.
• Unión Internacional de Comunicaciones (1991). Recomendación X.800:

Arquitectura de Seguridad de la Interconexión de Sistemas Abiertos para
Aplicaciones del CITT. Ginebra: Documento Electrónico.
• Unión Internacional de Comunicaciones (1996). Recomendación X.813: Marcos

de Seguridad en Sistemas Abiertos. Marco de No Rechazo. Ginebra: Documento
Electrónico.
94
ANEXOS
Índice
Pág.
Anexo A EEEEEEEEEEEEEEEEEEEE........................................ 95
Anexo B EEEEEEEEEEEEEEEEEEEEEEEEEE.................. 116
95
ANEXO A
INSTRUMENTO DE MEDICIÓN Y RESULTADOS DE LA EVALUACIÓN

DE LAS PROPUESTAS DE MEDIDAS DE PROTECCIÓN
96
Para:
Fecha:
Asunto: Solicitud de Información
PROYECTO: Auditoría de Seguridad a los Switches y Routers de la Red

Interna
FASE: Evaluación
OBJETO: Evaluación de las propuestas de medidas de protección
propuestas
CUESTIONARIO
Por Favor lea cuidadosamente las preguntas. Indique su respuesta marcando con una “x” la
casilla correspondiente a la opción de su preferencia. Por Favor marque una sola casilla por
cada pregunta.
1.- EVALUACIÓN ANÁLISIS SOBRE LA SITUACIÓN ACTUAL DE LA SEGURIDAD
¿Considera usted que la presencia de hubs, mini switches y cableado al alcance de los usuarios de la
red, en sus estaciones de trabajo, posibilita el acceso no autorizado y conexiones irregulares a la red?
Si No Prefiero no responder
¿Considera usted que los protocolos SNMPv1 y Telnet brindan las medidas de seguridad necesarias
para garantizar la Confidencialidad e Integridad de la información que es intercambiada con los routers
y switches?
¿Considera usted que las interfaces Ethernet de los switches configuradas con los parámetros por
defecto restringen el acceso no autorizado a la red?
¿Considera usted que actualmente podrían existir equipos personales o pertenecientes a otras
empresas conectados en estas interfaces Ethernet configuradas con parámetros por defecto?
¿Considera usted que la existencia de estos dispositivos no autorizados en la red representan una
fuente de violación a la Confidencialidad e Integridad de los datos que transitan por la red corporativa?
¿Considera usted que el uso actual de los protocolos HDLC y PPP en las interfaces WAN de los
routers ofrece el servicio de autenticación de la entidad par?
¿Considera usted que el uso actual de los protocolos Telnet y SNMPv1, así como la configuración de
97
las contraseñas en los routers y switches ofrecen un deficiente servicio de autenticación de las
entidades?
¿Considera usted que los hubs y mini switches al alcance de los usuarios de la red, ofrecen un
adecuado servicio de control de acceso?
¿Considera usted que actualmente los protocolos utilizados y las listas de acceso en los routers y
switches, garantizan que solo los administradores de red tengan acceso remoto a los mismos?
¿Considera usted que el uso de la misma contraseña para los modos de usuario y administrador en
routers y switches representa una mala práctica de control de acceso?
¿Considera usted que actualmente es posible determinar cual técnico, desde que equipo y a qué hora
fue realizada una modificación en la configuración en los routers y switches?
98
Por Favor lea cuidadosamente las preguntas. Indique su respuesta marcando con una “x” las
casillas correspondientes en concordancia con su preferencia.
2.- EVALUACIÓN DE LAS PROPUESTAS DE MEDIDAS DE PROTECCIÓN
¿Considera usted que la implementación de las medidas de seguridad física propuestas en el capítulo
V, ayudan a mitigar las vulnerabilidades indicadas? Especifique cuales medidas de seguridad física.
a. b. c.
¿Considera usted que es viable la implementación de estas medidas de seguridad física en el corto o
mediano plazo? Especifique cuales medidas de seguridad física.
a. b. c.
¿Considera usted que la implementación de las medidas de seguridad lógica propuestas en el capítulo
V, ayudan a mitigar las vulnerabilidades indicadas? Especifique cuales medidas de seguridad lógica.
a. b. c. d. e.
f. g. h. i. j.
k. l. m. n. o.
p. q. r. s. t
¿Considera usted que es viable la implementación de estas medidas de seguridad lógica en el corto o
mediano plazo? Especifique cuales medidas de seguridad lógicas.
a. b. c. d. e.
f. g. h. i. j.
k. l. m. n. o.
p. q. r. s. t
99
RESUMEN MEDIDAS PARA LA SEGURIDAD FÍSICA (CAPÍTULO V)
a. Adquisición e instalación progresiva de gabinetes de pared de 13UR con racks de 19’’. Con la
finalidad de mejorar la seguridad y el control de acceso a los switches de acceso que están
actualmente, y estarán en un futuro, ubicados dentro de las áreas de trabajo de los usuarios
finales.
b. Adquisición e instalación progresiva de UPS de 25 minutos de autonomía. Para mejorar la

disponibilidad de los equipos de red ante cortes eléctricos por fallas en los circuitos que
prestan este servicio.
c. Adquisición e instalación progresiva de switches administrables para sustituir los hubs y/o mini
switches. De forma de contar con equipos gestionables que permitan la implementación de las
medidas de seguridad lógica propuestas.
RESUMEN MEDIDAS PARA LA SEGURIDAD LÓGICA (CAPÍTULO V)
a. Implementación de seguridad de puerto por direcciones MAC en todos los puertos de switches
de acceso donde se encuentren conectados usuarios finales, hubs y/o mini switches mientras son
eliminados progresivamente.
b. Inhabilitación de todas las interfaces Ethernet donde no se encuentre conectado al menos un

usuario.
c. Actualización del firmware y/o reemplazo de los puentes inalámbricos que usan WEP. Se
recomienda el uso de puentes inalámbricos con esquemas punto a punto, cifrado WPA2 con AES y
SSID broadcasting deshabilitado.
d. Implementación de DHCP snooping en todos los switches. Se configurarán como puertos

confiables las interfaces que interconectan a los switches entre sí, switches hacia el router y la interfaz
para el servidor DHCP.
e. Implementación del comando no ip gratuitous-arps y de PVLANs en los switches. Se

configurarán como puertos no protegidos las interfaces que conectan a los switches entre sí, router,
servidores e impresoras de red.
f. Adquisición e instalación de la versión ADVSECURITYK9 en todos los routers, así como la

implementación de SNMPv3 y SSHv2, con la finalidad de eliminar el uso de SNMPv1 y Telnet para la
gestión de los equipos, además de reemplazar los IOS por versiones más seguras y actualizadas.
g. Descarga e instalación de las versiones IPBASEK9 e IPSERVICESK9 en los switches, así

como la implementación de SNMPv3 SSHv2, con la finalidad de eliminar el uso de SNMPv1 y Telnet
para la gestión, y actualizar los IOS de los switches a una versión más segura.
h. Implementación del protocolo PPP con autenticación CHAP en todos los enlaces seriales de la
red interna.
i. Inhabilitación de la autonegociación del modo trunk, utilización de VLANs nativas diferentes a

la VLAN por defecto en puertos troncales y deshabilitación del protocolo VTP.
j. Implementación de bpduguard enable para los puertos conectados a hubs o directamente a

usuarios, y de root guard para los puertos conectados a hubs y/o mini switches mientras son
eliminados progresivamente.
k. Implementación de un esquema de VLANs para segmentar las redes LAN.

100
l. Implementación de filtros para bloquear paquetes destinados a las direcciones de red y de

broadcast, para prevenir ataques smurf.
m. Implementación de límites ICMP en las interfaces Ethernet de los routers según los
parámetros recomendados por la NSA.
n. Implementación de CEF y la característica RPF en todas las interfaces de los routers.
o. Inhabilitación de los servicios vulnerables no utilizados en la red interna.
p. Implementación de arquitectura AAA localmente en cada dispositivo y de perfiles individuales

para cada técnico.
q. Utilización de contraseñas cifradas con MD5 (enable secret) en lugar de contraseñas cifradas
con “type 7” (enable password).
r. Implementación de ACLs que limiten el acceso remoto a los equipos de red. Las subredes del
Departamento de Mantenimiento de Telemática y de gestión propia de los dispositivos, tendrán acceso
exclusivo a través de SSH o Telnet mientras se actualiza el IOS de los equipos.
s. Implementación del nivel de acceso básico para el perfil de los técnicos y de un nivel adicional
de acceso avanzado protegido con contraseña.
t. Implementación de búferes locales de 64KB para logs de seguridad y sincronización fecha-

hora a través del servidor NTP de la red Corporativa para los equipos con memoria RAM superior a
16MB. En los equipos con memoria RAM igual o inferior a 16MB, implementar búferes locales de
16KB.
101
Para: Encuestado A
Fecha: 01-06-2011
PROYECTO: Auditoría de Seguridad en los Switches y Routers de la Red

Interna
FASE: Evaluación
propuestas
CUESTIONARIO
cada pregunta.
x Si No Prefiero no responder
y switches?
Si x No Prefiero no responder
Si No x Prefiero no responder
102
entidades?
switches, garantizan que solamente los administradores de red tengan acceso remoto a los mismos?
103
x a. x b. x c.
x a. x b. x c.
x a. x b. x c. x d. x e.
x f. x g. x h. x i. x j.
x k. x l. x m. x n. x o.
x p. x q. x r. x s. x t
f. x g. x h. x i. x j.
104
Para: Encuestado B
Fecha: 01-06-2011

Interna
FASE: Evaluación
propuestas
CUESTIONARIO
cada pregunta.
y switches?
entidades?
105
switches, garantizan que solamente los administradores de red tengan acceso remoto a los mismos?
106
x a. x b. x c.
a. b. c.
x a. x b. c. x d. x e.
f. x g. x h. x i. x j.
x k. l. x m. x n. x o.
107
Para: Encuestado C
Fecha: 01-06-2011

Interna
FASE: Evaluación
propuestas
CUESTIONARIO
cada pregunta.
y switches?
108
entidades?
109
x a. b. x c.
a. x b. x c.
f. x g. x h. x i. j.
k. l l. m m. n. o.
110
Para: Encuestado D
Fecha: 15-06-2011

Interna
FASE: Evaluación
propuestas
CUESTIONARIO
cada pregunta.
y switches?
111
entidades?
112
x a. x b. x c.
x a. x b. x c.
k. l l. m m. n. o.
113
Para: Encuestado E
Fecha: 01-06-2011

Interna
FASE: Evaluación
propuestas
CUESTIONARIO
cada pregunta.
y switches?
114
entidades?
115
x a. x b. x c.
a. x b. x c.
x a. x b. x c. x d. e.
k. x l. x m. x n. o.
116
ANEXO B
BUSQUEDA DE VULNERABILIDADES A TRAVÉS DE LA BASE DE

DATOS DE LA CVE
Luego de los escaneos y pruebas de penetración por medio de la aplicación Nessus,

como se comento en el Capítulo VI se realizó una búsqueda de vulnerabilidades
dentro de la base de datos de la CVE. Los parámetros buscados dentro de la base
de datos, corresponden a las versiones globales de IOS actualmente existentes en
la red interna. A continuación se presentan todas las vulnerabilidades encontradas
durante las búsquedas:
1. CVE-2010-2833
Summary: Unspecified vulnerability in the NAT for H.225.0 implementation in

Cisco IOS 12.1 through 12.4 and 15.0 through 15.1 allows remote attackers to
cause a denial of service (device reload) via transit traffic, aka Bug ID
CSCtd86472.
Published: 09/23/2010
CVSS Severity: 7.8 (HIGH)
2. CVE-2010-2832
Summary: Unspecified vulnerability in the NAT for H.323 implementation in

Cisco IOS 12.1 through 12.4 and 15.0 through 15.1 allows remote attackers to
cause a denial of service (device reload) via transit traffic, aka Bug ID
CSCtf91428.
3. CVE-2010-2831
Summary: Unspecified vulnerability in the NAT for SIP implementation in Cisco

IOS 12.1 through 12.4 and 15.0 through 15.1 allows remote attackers to cause
117
a denial of service (device reload) via transit traffic on UDP port 5060, aka Bug
ID CSCtf17624.
Análisis vulnerabilidades CVE-2010-2831 a 2833:

Estas vulnerabilidades no afectan a los equipos.
4. CVE-2010-2829
Summary: Unspecified vulnerability in the H.323 implementation in Cisco IOS

12.1 through 12.4 and 15.0 through 15.1, and IOS XE 2.5.x before 2.5.2 and
2.6.x before 2.6.1, allows remote attackers to cause a denial of service
(traceback and device reload) via crafted H.323 packets, aka Bug ID
CSCtd33567.
5. CVE-2010-2828
Summary: Unspecified vulnerability in the H.323 implementation in Cisco IOS

12.1 through 12.4 and 15.0 through 15.1, and IOS XE 2.5.x before 2.5.2 and
2.6.x before 2.6.1, allows remote attackers to cause a denial of service (device
reload) via crafted H.323 packets, aka Bug ID CSCtc73759.
Análisis vulnerabilidades CVE-2010-2828 y 2829:

6. CVE-2010-0586
Summary: Cisco IOS 12.1 through 12.4, when Cisco Unified Communications
Manager Express (CME) or Cisco Unified Survivable Remote Site Telephony
(SRST) is enabled, allows remote attackers to cause a denial of service
(device reload) via a malformed Skinny Client Control Protocol (SCCP)
message, aka Bug ID CSCsz49741, the "SCCP Request Handling Denial of
Service Vulnerability."
118
7. CVE-2010-0585
Summary: Cisco IOS 12.1 through 12.4, when Cisco Unified Communications
Manager Express (CME) or Cisco Unified Survivable Remote Site Telephony
(SRST) is enabled, allows remote attackers to cause a denial of service
(device reload) via a malformed Skinny Client Control Protocol (SCCP)
message, aka Bug ID CSCsz48614, the "SCCP Packet Processing Denial of

8. CVE-2010-0583
Summary: Memory leak in the H.323 implementation in Cisco IOS 12.1 through
12.4, and 15.0M before 15.0(1)M1, allows remote attackers to cause a denial
of service (memory consumption and device reload) via malformed H.323
packets, aka Bug ID CSCtb93855.
9. CVE-2010-0582
Summary: Cisco IOS 12.1 through 12.4, and 15.0M before 15.0(1)M1, allows
remote attackers to cause a denial of service (interface queue wedge) via
malformed H.323 packets, aka Bug ID CSCta19962.

10. CVE-2008-1153
• TA08-087B
• VU#936177
Summary: Cisco IOS 12.1, 12.2, 12.3, and 12.4, with IPv4 UDP services and
119
the IPv6 protocol enabled, allows remote attackers to cause a denial of service
(device crash and possible blocked interface) via a crafted IPv6 packet to the
device.
Análisis vulnerabilidad CVE-2008-1153:

11. CVE-2007-5651
Summary: Unspecified vulnerability in the Extensible Authentication Protocol

(EAP) implementation in Cisco IOS 12.3 and 12.4 on Cisco Access Points and
1310 Wireless Bridges (Wireless EAP devices), IOS 12.1 and 12.2 on Cisco
switches (Wired EAP devices), and CatOS 6.x through 8.x on Cisco switches
allows remote attackers to cause a denial of service (device reload) via a
crafted EAP Response Identity packet.

12. CVE-2006-4774
• VU#821420
Summary: The VLAN Trunking Protocol (VTP) feature in Cisco IOS 12.1(19)
allows remote attackers to cause a denial of service by sending a VTP version
1 summary frame with a VTP version field value of 2.
13. CVE-2006-4775
• VU#175148
Summary: The VLAN Trunking Protocol (VTP) feature in Cisco IOS 12.1(19)
and CatOS allows remote attackers to cause a denial of service by sending a
VTP update with a revision value of 0x7FFFFFFF, which is incremented to
0x80000000 and is interpreted as a negative number in a signed context.
120
14. CVE-2006-4776
• VU#542108
Summary: Heap-based buffer overflow in the VLAN Trunking Protocol (VTP)

feature in Cisco IOS 12.1(19) allows remote attackers to execute arbitrary code
via a long VLAN name in a VTP type 2 summary advertisement.

La base de datos CVE indica que algunas versiones de IOS son vulnerables a
ataques por medio VTP. Las debilidades en el uso del protocolo VTP fueron
contemplados durante el análisis de la situación actual. De hecho, en el capítulo
correspondiente al diseño de las propuestas se plantea la inhabilitación total de este
protocolo, ya que el mismo es intrínsecamente inseguro y no es utilizado en las
redes de la Empresa.
15. CVE-2006-4650
Summary: Cisco IOS 12.0, 12.1, and 12.2, when GRE IP tunneling is used and
the RFC2784 compliance fixes are missing, does not verify the offset field of a
GRE packet during decapsulation, which leads to an integer overflow that
references data from incorrect memory locations, which allows remote
attackers to inject crafted packets into the routing queue, possibly bypassing
intended router ACLs.
CVSS Severity: 2.6 (LOW)

16. CVE-2005-4826
Summary: Unspecified vulnerability in the VLAN Trunking Protocol (VTP)

feature in Cisco IOS 12.1(22)EA3 on Catalyst 2950T switches allows remote
attackers to cause a denial of service (device reboot) via a crafted Subset-
121
Advert message packet, a different issue than CVE-2006-4774, CVE-2006-

4775, and CVE-2006-4776.
CVSS Severity: 6.1 (MEDIUM)

Las debilidades en el uso del protocolo VTP fueron contemplados durante el análisis
de la situación actual. En el capítulo correspondiente al diseño de las propuestas se
plantea la inhabilitación total de este protocolo, ya que el mismo es intrínsecamente
inseguro y no es utilizado en las redes.
17. CVE-2005-0197
• TA05-026A
• VU#583638
Summary: Cisco IOS 12.1T, 12.2, 12.2T, 12.3 and 12.3T, with Multi Protocol
Label Switching (MPLS) installed but disabled, allows remote attackers to
cause a denial of service (device reload) via a crafted packet sent to the
disabled interface.

18. CVE-2005-0186
Summary: Cisco IOS 12.1YD, 12.2T, 12.3 and 12.3T, when configured for the
IOS Telephony Service (ITS), CallManager Express (CME) or Survivable
Remote Site Telephony (SRST), allows remote attackers to cause a denial of
service (device reboot) via a malformed packet to the SCCP port.

122
19. CVE-2004-1775
• VU#645400
Summary: Cisco VACM (View-based Access Control MIB) for Catalyst

Operating Software (CatOS) 5.5 and 6.1 and IOS 12.0 and 12.1 allows remote
attackers to read and modify device configuration via the read-write community
string.

20. CVE-2002-2052
Summary: Cisco 2611 router running IOS 12.1(6.5), possibly an interim

release, allows remote attackers to cause a denial of service via port scans
such as (1) scanning all ports on a single host and (2) scanning a network of
hosts for a single open port through the router. NOTE: the vendor could not
reproduce this issue, saying that the original reporter was using an interim
release of the software.

21. CVE-2011-1625
Summary: Cisco IOS 12.2, 12.3, 12.4, 15.0, and 15.1, when the data-link
switching (DLSw) feature is configured, allows remote attackers to cause a
denial of service (device crash) by sending a sequence of malformed packets
and leveraging a "narrow timing window," aka Bug ID CSCtf74999, a different
vulnerability than CVE-2007-0199, CVE-2008-1152, and CVE-2009-0629.
123

22. CVE-2011-1624
Summary: Cisco IOS 12.2(58)SE, when a login banner is configured, allows

remote attackers to cause a denial of service (device reload) by establishing
two SSH2 sessions, aka Bug ID CSCto62631.

23. CVE-2010-2835
Summary: Cisco IOS 12.2 through 12.4 and 15.0 through 15.1, Cisco IOS XE
2.5.x and 2.6.x before 2.6.1, and Cisco Unified Communications Manager (aka
CUCM, formerly CallManager) 6.x before 6.1(5), 7.0 before 7.0(2a)su3, 7.1su
before 7.1(3b)su2, 7.1 before 7.1(5), and 8.0 before 8.0(1) allow remote
attackers to cause a denial of service (device reload or voice-services outage)
via a SIP REFER request with an invalid Refer-To header, aka Bug IDs
CSCta20040 and CSCta31358.
24. CVE-2010-2834
CUCM, formerly CallManager) 6.x before 6.1(5)SU1, 7.x before 7.1(5), and 8.0
before 8.0(2) allow remote attackers to cause a denial of service (device reload
or voice-services outage) via crafted SIP registration traffic over UDP, aka Bug
IDs CSCtf72678 and CSCtf14987.

25. CVE-2010-2830
124
Summary: The IGMPv3 implementation in Cisco IOS 12.2, 12.3, 12.4, and 15.0
and IOS XE 2.5.x before 2.5.2, when PIM is enabled, allows remote attackers
to cause a denial of service (device reload) via a malformed IGMP packet, aka
Bug ID CSCte14603.

26. CVE-2010-1574
• VU#732671
Summary: IOS 12.2(52)SE and 12.2(52)SE1 on Cisco Industrial Ethernet (IE)

3000 series switches has (1) a community name of public for RO access and
(2) a community name of private for RW access, which makes it easier for
remote attackers to modify the configuration or obtain potentially sensitive
information via SNMP requests, aka Bug ID CSCtf25589.

27. CVE-2010-0578
Summary: The IKE implementation in Cisco IOS 12.2 through 12.4 on Cisco
7200 and 7301 routers with VAM2+ allows remote attackers to cause a denial
of service (device reload) via a malformed IKE packet, aka Bug ID
CSCtb13491.

28. CVE-2010-0577
Summary: Cisco IOS 12.2 through 12.4, when certain PMTUD, SNAT, or
window-size configurations are used, allows remote attackers to cause a denial
125
of service (infinite loop, and device reload or hang) via a TCP segment with
crafted options, aka Bug ID CSCsz75186.

29. CVE-2009-2871
Summary: Unspecified vulnerability in Cisco IOS 12.2 and 12.4, when SSLVPN
sessions, SSH sessions, or IKE encrypted nonces are enabled, allows remote
attackers to cause a denial of service (device reload) via a crafted encrypted
packet, aka Bug ID CSCsq24002.

30. CVE-2009-2870
Summary: Unspecified vulnerability in Cisco IOS 12.2 through 12.4, when the
Cisco Unified Border Element feature is enabled, allows remote attackers to
cause a denial of service (device reload) via crafted SIP messages, aka Bug ID
CSCsx25880.

31. CVE-2009-2869
Summary: Unspecified vulnerability in Cisco IOS 12.2XNA, 12.2XNB,

12.2XNC, 12.2XND, 12.4MD, 12.4T, 12.4XZ, and 12.4YA allows remote
attackers to cause a denial of service (device reload) via a crafted NTPv4
packet, aka Bug IDs CSCsu24505 and CSCsv75948.
126

32. CVE-2009-2868
Summary: Unspecified vulnerability in Cisco IOS 12.2 through 12.4, when

certificate-based authentication is enabled for IKE, allows remote attackers to
cause a denial of service (Phase 1 SA exhaustion) via crafted requests, aka
Bug IDs CSCsy07555 and CSCee72997.

33. CVE-2009-2867
Summary: Unspecified vulnerability in Cisco IOS 12.2XNA, 12.2XNB,

12.2XNC, 12.2XND, 12.4T, 12.4XZ, and 12.4YA, when Zone-Based Policy
Firewall SIP Inspection is enabled, allows remote attackers to cause a denial of
service (device reload) via a crafted SIP transit packet, aka Bug ID
CSCsr18691.

34. CVE-2009-2866
Summary: Unspecified vulnerability in Cisco IOS 12.2 through 12.4 allows

remote attackers to cause a denial of service (device reload) via a crafted
H.323 packet, aka Bug ID CSCsz38104.

127
35. CVE-2009-2862
Summary: The Object Groups for Access Control Lists (ACLs) feature in Cisco
IOS 12.2XNB, 12.2XNC, 12.2XND, 12.4MD, 12.4T, 12.4XZ, and 12.4YA allows
remote attackers to bypass intended access restrictions via crafted requests,
aka Bug IDs CSCsx07114, CSCsu70214, CSCsw47076, CSCsv48603,
CSCsy54122, and CSCsu50252.

36. CVE-2009-2051
CUCM, formerly CallManager) 4.x, 5.x before 5.1(3g), 6.x before 6.1(4), and
7.x before 7.1(2) allow remote attackers to cause a denial of service (device
reload or voice-services outage) via a malformed SIP INVITE message that
triggers an improper call to the sipSafeStrlen function, aka Bug IDs
CSCsz40392 and CSCsz43987.

37. CVE-2009-2049
Summary: Cisco IOS 12.0(32)S12 through 12.0(32)S13 and 12.0(33)S3

through 12.0(33)S4, 12.0(32)SY8 through 12.0(32)SY9, 12.2(33)SXI1 through
12.2(33)SXI2, 12.2XNC before 12.2(33)XNC2, 12.2XND before 12.2(33)XND1,
and 12.4(24)T1; and IOS XE 2.3 through 2.3.1t and 2.4 through 2.4.0; when
RFC4893 BGP routing is enabled, allows remote attackers to cause a denial of
service (device reload) by using an RFC4271 peer to send a malformed
update, aka Bug ID CSCta33973.
128
38. CVE-2009-1168
Summary: Cisco IOS 12.0(32)S12 through 12.0(32)S13 and 12.0(33)S3

through 12.0(33)S4, 12.0(32)SY8 through 12.0(32)SY9, 12.2(33)SXI1,
12.2XNC before 12.2(33)XNC2, 12.2XND before 12.2(33)XND1, and
12.4(24)T1; and IOS XE 2.3 through 2.3.1t and 2.4 through 2.4.0; when
RFC4893 BGP routing is enabled, allows remote attackers to cause a denial of
service (memory corruption and device reload) by using an RFC4271 peer to
send an update with a long series of AS numbers, aka Bug ID CSCsy86021.

39. CVE-2009-0637
Summary: The SCP server in Cisco IOS 12.2 through 12.4, when Role-Based
CLI Access is enabled, does not enforce the CLI view configuration for file
transfers, which allows remote authenticated users with an attached CLI view
to (1) read or (2) overwrite arbitrary files via an SCP command.

40. CVE-2009-0629
Summary: The (1) Airline Product Set (aka ALPS), (2) Serial Tunnel Code (aka
STUN), (3) Block Serial Tunnel Code (aka BSTUN), (4) Native Client Interface
Architecture (NCIA) support, (5) Data-link switching (aka DLSw), (6) Remote
Source-Route Bridging (RSRB), (7) Point to Point Tunneling Protocol (PPTP),
(8) X.25 for Record Boundary Preservation (RBP), (9) X.25 over TCP (XOT),
and (10) X.25 Routing features in Cisco IOS 12.2 and 12.4 allows remote
attackers to cause a denial of service (device reload) via a series of crafted
TCP packets.

129
41. CVE-2008-3813
Summary: Unspecified vulnerability in Cisco IOS 12.2 and 12.4, when the
L2TP mgmt daemon process is enabled, allows remote attackers to cause a
denial of service (device reload) via a crafted L2TP packet.

42. CVE-2008-3811
Summary: Cisco IOS 12.2 and 12.4, when NAT Skinny Call Control Protocol
(SCCP) Fragmentation Support is enabled, allows remote attackers to cause a
denial of service (device reload) via segmented SCCP messages, aka Cisco
Bug ID CSCsi17020, a different vulnerability than CVE-2008-3810.
43. CVE-2008-3810
Summary: Cisco IOS 12.2 and 12.4, when NAT Skinny Call Control Protocol
(SCCP) Fragmentation Support is enabled, allows remote attackers to cause a
denial of service (device reload) via segmented SCCP messages, aka
CSCsg22426, a different vulnerability than CVE-2008-3811.

44. CVE-2008-3807
Summary: Cisco IOS 12.2 and 12.3 on Cisco uBR10012 series devices, when
linecard redundancy is configured, enables a read/write SNMP service with
"private" as the community, which allows remote attackers to obtain
administrative access by guessing this community and sending SNMP
requests.
130

45. CVE-2008-3804
Summary: Unspecified vulnerability in the Multi Protocol Label Switching

(MPLS) Forwarding Infrastructure (MFI) in Cisco IOS 12.2 and 12.4 allows
remote attackers to cause a denial of service (memory corruption) via crafted
packets for which the software path is used.

46. CVE-2008-3802
Summary: Unspecified vulnerability in the Session Initiation Protocol (SIP)

implementation in Cisco IOS 12.2 through 12.4, when VoIP is configured,
allows remote attackers to cause a denial of service (device reload) via
unspecified valid SIP messages, aka Cisco bug ID CSCsk42759, a different
vulnerability than CVE-2008-3800 and CVE-2008-3801.
47. CVE-2008-3801

implementation in Cisco IOS 12.2 through 12.4 and Unified Communications
Manager 4.1 through 6.1, when VoIP is configured, allows remote attackers to
cause a denial of service (device or process reload) via unspecified valid SIP
messages, aka Cisco Bug ID CSCsm46064, a different vulnerability than CVE-
2008-3800 and CVE-2008-3802.
48. CVE-2008-3800

131
implementation in Cisco IOS 12.2 through 12.4 and Unified Communications

Manager 4.1 through 6.1, when VoIP is configured, allows remote attackers to
cause a denial of service (device or process reload) via unspecified valid SIP
messages, aka Cisco Bug ID CSCsu38644, a different vulnerability than CVE-
2008-3801 and CVE-2008-3802.
49. CVE-2008-3799
Summary: Memory leak in the Session Initiation Protocol (SIP) implementation

in Cisco IOS 12.2 through 12.4, when VoIP is configured, allows remote
attackers to cause a denial of service (memory consumption and voice-service
outage) via unspecified valid SIP messages.

50. CVE-2008-1156
• TA08-087B
Summary: Unspecified vulnerability in the Multicast Virtual Private Network

(MVPN) implementation in Cisco IOS 12.0, 12.2, 12.3, and 12.4 allows remote
attackers to create "extra multicast states on the core routers" via a crafted
Multicast Distribution Tree (MDT) Data Join message.

51. CVE-2007-5381
132
• VU#230505
Summary: Stack-based buffer overflow in the Line Printer Daemon (LPD) in

Cisco IOS before 12.2(18)SXF11, 12.4(16a), and 12.4(2)T6 allow remote
attackers to execute arbitrary code by setting a long hostname on the target
system, then causing an error message to be printed, as demonstrated by a
telnet session to the LPD from a source port other than 515.

52. CVE-2007-4632
Summary: Cisco IOS 12.2E, 12.2F, and 12.2S places a "no login" line into the
VTY configuration when an administrator makes certain changes to a (1)
VTY/AUX or (2) CONSOLE setting on a device without AAA enabled, which
allows remote attackers to bypass authentication and obtain a terminal
session, a different vulnerability than CVE-1999-0293 and CVE-2005-2105.

La base de datos CVE indica que los IOS son vulnerables a acceso no autorizado a
través de las líneas vty, si las mismas se encuentran configuradas con parámetros
por defecto o sin el uso de AAA. Los problemas debido al uso de configuraciones por
defecto y autenticación básica en las líneas de acceso remoto vty, fueron
contemplados en el proceso de análisis de la situación. La medida correspondiente
al uso de la arquitectura AAA en los equipos, incluida en el proceso de diseño
permite mitigar esta debilidad.
53. CVE-2007-4263
Summary: Unspecified vulnerability in the server side of the Secure Copy

(SCP) implementation in Cisco 12.2-based IOS allows remote authenticated
users to read, write or overwrite any file on the device's filesystem via unknown
vectors.
133

54. CVE-2007-1258
Summary: Unspecified vulnerability in Cisco IOS 12.2SXA, SXB, SXD, and

SXF; and the MSFC2, MSFC2a and MSFC3 running in Hybrid Mode on Cisco
Catalyst 6000, 6500 and Cisco 7600 series systems; allows remote attackers
on a local network segment to cause a denial of service (software reload) via a
certain MPLS packet.

55. CVE-2006-4950
• VU#123140
Summary: Cisco IOS 12.2 through 12.4 before 20060920, as used by Cisco
IAD2430, IAD2431, and IAD2432 Integrated Access Devices, the VG224
Analog Phone Gateway, and the MWR 1900 and 1941 Mobile Wireless Edge
Routers, is incorrectly identified as supporting DOCSIS, which allows remote
attackers to gain read-write access via a hard-coded cable-docsis community
string and read or modify arbitrary SNMP variables.

56. CVE-2006-0485
Summary: The TCL shell in Cisco IOS 12.2(14)S before 12.2(14)S16,

12.2(18)S before 12.2(18)S11, and certain other releases before 25 January
2006 does not perform Authentication, Authorization, and Accounting (AAA)
command authorization checks, which may allow local users to execute IOS
EXEC commands that were prohibited via the AAA configuration, aka Bug ID
CSCeh73049.
134
57. CVE-2006-0486
Summary: Certain Cisco IOS releases in 12.2S based trains with maintenance
release number 25 and later, 12.3T based trains, and 12.4 based trains reuse
a Tcl Shell process across login sessions of different local users on the same
terminal if the first user does not use tclquit before exiting, which may cause
subsequent local users to execute unintended commands or bypass AAA
command authorization checks, aka Bug ID CSCef77770.

58. CVE-2005-2841
• VU#236045
Summary: Buffer overflow in Firewall Authentication Proxy for FTP and/or

Telnet Sessions for Cisco IOS 12.2ZH and 12.2ZL, 12.3 and 12.3T, and 12.4
and 12.4T allows remote attackers to cause a denial of service and possibly
execute arbitrary code via crafted user authentication credentials.

59. CVE-2005-2105
Summary: Cisco IOS 12.2T through 12.4 allows remote attackers to bypass
Authentication, Authorization, and Accounting (AAA) RADIUS authentication, if
the fallback method is set to none, via a long username.

135
60. CVE-2005-1057
Summary: Cisco IOS 12.2T, 12.3 and 12.3T, when using Easy VPN Server
XAUTH version 6 authentication, allows remote attackers to bypass
authentication via a "malformed packet."
61. CVE-2005-1058
Summary: Cisco IOS 12.2T, 12.3 and 12.3T, when processing an ISAKMP
profile that specifies XAUTH authentication after Phase 1 negotiation, may not
process certain attributes in the ISAKMP profile that specifies XAUTH, which
allows remote attackers to bypass XAUTH and move to Phase 2 negotiations.

62. CVE-2004-1111
• VU#630104
• TA04-316A
Summary: Cisco IOS 12.2(18)EW, 12.2(18)EWA, 12.2(14)SZ, 12.2(18)S,

12.2(18)SE, 12.2(18)SV, 12.2(18)SW, and other versions without the "no
service dhcp" command, keep undeliverable DHCP packets in the queue
instead of dropping them, which allows remote attackers to cause a denial of
service (dropped traffic) via multiple undeliverable DHCP packets that exceed
the input queue size.

63. CVE-2004-1454
• VU#989406
136
Summary: Cisco IOS 12.0S, 12.2, and 12.3, with Open Shortest Path First
(OSPF) enabled, allows remote attackers to cause a denial of service (device
reload) via a malformed OSPF packet.
Análisis vulnerabilidades CVE-2004-1454:

64. CVE-2004-1464
• VU#384230
Summary: Cisco IOS 12.2(15) and earlier allows remote attackers to cause a
denial of service (refused VTY (virtual terminal) connections), via a crafted TCP
connection to the Telnet or reverse Telnet port.

La base de datos CVE indica que varios IOS son vulnerables a ataques DoS a través
de conexiones Telnet o Reverse Telnet hasta ocupar todas las líneas vty disponibles.
En efecto, las vulnerabilidades asociadas a la no existencia de medidas de control
de acceso lógico a las líneas vty de configuración fueron contempladas en el
proceso de análisis de la situación actual. En ese sentido, las medidas de protección
correspondientes a las listas de control de acceso (ACL) para las líneas de
configuración de los equipos, el uso de SSH y las actualizaciones de los IOS ayudan
a prevenir esta vulnerabilidad.
65. CVE-2004-0589
• VU#784540
Summary: Cisco IOS 11.1(x) through 11.3(x) and 12.0(x) through 12.2(x), when
configured for BGP routing, allows remote attackers to cause a denial of
service (device reload) via malformed BGP (1) OPEN or (2) UPDATE
messages.
137

66. CVE-2004-0710
• VU#904310
Summary: IP Security VPN Services Module (VPNSM) in Cisco Catalyst 6500

Series Switch and the Cisco 7600 Series Internet Routers running IOS before
12.2(17b)SXA, before 12.2(17d)SXB, or before 12.2(14)SY03 could allow
remote attackers to cause a denial of service (device crash and reload) via a
malformed Internet Key Exchange (IKE) packet.

67. CVE-2004-0054
• VU#749342
• CA-2004-01
Summary: Multiple vulnerabilities in the H.323 protocol implementation for

Cisco IOS 11.3T through 12.2T allow remote attackers to cause a denial of
service and possibly execute arbitrary code, as demonstrated by the
NISCC/OUSPG PROTOS test suite for the H.225 protocol.

68. CVE-2003-1109
• VU#528719
• CA-2003-06
Summary: The Session Initiation Protocol (SIP) implementation in multiple

Cisco products including IP Phone models 7940 and 7960, IOS versions in the
138
12.2 train, and Secure PIX 5.2.9 to 6.2.2 allows remote attackers to cause a
denial of service and possibly execute arbitrary code via crafted INVITE
messages, as demonstrated by the OUSPG PROTOS c07-sip test suite.

69. CVE-2003-1398
Summary: Cisco IOS 12.0 through 12.2, when IP routing is disabled, accepts
false ICMP redirect messages, which allows remote attackers to cause a
denial of service (network routing modification).

70. CVE-2003-0511
Summary: The web server for Cisco Aironet AP1x00 Series Wireless devices
running certain versions of IOS 12.2 allow remote attackers to cause a denial
of service (reload) via a malformed URL.
71. CVE-2003-0512
• VU#886796
Summary: Cisco IOS 12.2 and earlier generates a "% Login invalid" message
instead of prompting for a password when an invalid username is provided,
which allows remote attackers to identify valid usernames on the system and
conduct brute force password guessing, as reported for the Aironet Bridge.

139
72. CVE-2003-0647
• VU#579324
Summary: Buffer overflow in the HTTP server for Cisco IOS 12.2 and earlier
allows remote attackers to execute arbitrary code via an extremely long (2GB)
HTTP GET request.

La base de datos CVE indica que varios IOS son vulnerables a ataques a través del
servicio HTTP presente por defecto en algunos equipos. En efecto, las debilidades
asociadas al uso de este protocolo intrínsecamente inseguro para configurar los
equipos de red, fueron contempladas en el proceso de análisis de la situación actual.
En ese sentido, las medidas de protección vinculadas a la inhabilitación de los
servicios inseguros como HTTP ayudan a prevenir esta vulnerabilidad.
73. CVE-2003-0567
• CA-2003-17
• CA-2003-15
• VU#411332
Summary: Cisco IOS 11.x and 12.0 through 12.2 allows remote attackers to
cause a denial of service (traffic block) by sending a particular sequence of
IPv4 packets to an interface on the device, causing the input queue on that
interface to be marked as full.

74. CVE-2003-0305
Summary: The Service Assurance Agent (SAA) in Cisco IOS 12.0 through
12.2, aka Response Time Reporter (RTR), allows remote attackers to cause a
140
denial of service (crash) via malformed RTR packets to port 1967.

75. CVE-2002-1706
Summary: Cisco IOS software 11.3 through 12.2 running on Cisco uBR7200
and uBR7100 series Universal Broadband Routers allows remote attackers to
modify Data Over Cable Service Interface Specification (DOCSIS) settings via
a DOCSIS file without a Message Integrity Check (MIC) signature, which is
approved by the router.

76. CVE-2002-1768
Summary: Cisco IOS 11.1 through 12.2, when HSRP support is not enabled,
allows remote attackers to cause a denial of service (CPU consumption) via
randomly sized UDP packets to the Hot Standby Routing Protocol (HSRP) port
1985.

77. CVE-2002-2208
Summary: Extended Interior Gateway Routing Protocol (EIGRP), as

implemented in Cisco IOS 11.3 through 12.2 and other products, allows remote
attackers to cause a denial of service (flood) by sending a large number of
spoofed EIGRP neighbor announcements, which results in an ARP storm on
the local network.
141

78. CVE-2002-2379
Summary: ** DISPUTED ** Cisco AS5350 IOS 12.2(11)T with access control

lists (ACLs) applied and possibly with ssh running allows remote attackers to
cause a denial of service (crash) via a port scan, possibly due to an ssh bug.
NOTE: this issue could not be reproduced by the vendor.

79. CVE-2002-1024
• VU#290140
Summary: Cisco IOS 12.0 through 12.2, when supporting SSH, allows remote
attackers to cause a denial of service (CPU consumption) via a large packet
that was designed to exploit the SSH CRC32 attack detection overflow (CVE-
2001-0144).

80. CVE-2002-0339
• VU#310387
Summary: Cisco IOS 11.1CC through 12.2 with Cisco Express Forwarding
142
(CEF) enabled includes portions of previous packets in the padding of a MAC

level packet when the MAC packet's length is less than the IP level packet
length.

81. CVE-2001-0929
• VU#362483
Summary: Cisco IOS Firewall Feature set, aka Context Based Access Control
(CBAC) or Cisco Secure Integrated Software, for IOS 11.2P through 12.2T
does not properly check the IP protocol type, which could allow remote
attackers to bypass access control lists.

82. CVE-2001-1071
• VU#139491
Summary: Cisco IOS 12.2 and earlier running Cisco Discovery Protocol (CDP)
allows remote attackers to cause a denial of service (memory consumption) via
a flood of CDP neighbor announcements.

protocolo CDP, el cual está presente por defecto en algunos equipos. En efecto, las
debilidades asociadas al uso de este protocolo intrínsecamente inseguro, fueron
contempladas en el proceso de análisis de la situación actual. En ese sentido, las
143
medidas de protección vinculadas a la inhabilitación de los servicios inseguros como

CDP ayudan a prevenir esta vulnerabilidad.
83. CVE-2001-1097
Summary: Cisco routers and switches running IOS 12.0 through 12.2.1 allows
a remote attacker to cause a denial of service via a flood of UDP packets.

84. CVE-2001-0537
• CA-2001-14
Summary: HTTP server for Cisco IOS 11.3 to 12.2 allows attackers to bypass
authentication and execute arbitrary commands, when local authorization is
being used, by specifying a high access level in the URL.

85. CVE-2001-1183
• VU#656315
Summary: PPTP implementation in Cisco IOS 12.1 and 12.2 allows remote
attackers to cause a denial of service (crash) via a malformed packet.
144

86. CVE-1999-0293
AAA authentication on Cisco systems allows attackers to execute commands

without authorization.

87. CVE-2010-0581
Summary: Unspecified vulnerability in the SIP implementation in Cisco IOS

12.3 and 12.4 allows remote attackers to execute arbitrary code via a
malformed SIP message, aka Bug ID CSCsz89904, the "SIP Packet Parsing
Arbitrary Code Execution Vulnerability."
88. CVE-2010-0580
Summary: Unspecified vulnerability in the SIP implementation in Cisco IOS

12.3 and 12.4 allows remote attackers to execute arbitrary code via a
malformed SIP message, aka Bug ID CSCsz48680, the "SIP Message
Processing Arbitrary Code Execution Vulnerability."
89. CVE-2010-0579
Summary: The SIP implementation in Cisco IOS 12.3 and 12.4 allows remote
attackers to cause a denial of service (device reload) via a malformed SIP
message, aka Bug ID CSCtb93416, the "SIP Message Handling Denial of
145
Análisis vulnerabilidad CVE-2010-0579 a 0581:

90. CVE-2009-0634
Summary: Multiple unspecified vulnerabilities in the home agent (HA)

implementation in the (1) Mobile IP NAT Traversal feature and (2) Mobile IPv6
subsystem in Cisco IOS 12.3 through 12.4 allow remote attackers to cause a
denial of service (input queue wedge and interface outage) via an ICMP
packet, aka Bug ID CSCso05337.
91. CVE-2009-0633
Summary: Multiple unspecified vulnerabilities in the (1) Mobile IP NAT

Traversal feature and (2) Mobile IPv6 subsystem in Cisco IOS 12.3 through
12.4 allow remote attackers to cause a denial of service (input queue wedge
and interface outage) via MIPv6 packets, aka Bug ID CSCsm97220.

92. CVE-2009-0628
Summary: Memory leak in the SSLVPN feature in Cisco IOS 12.3 through 12.4
allows remote attackers to cause a denial of service (memory consumption and
device crash) by disconnecting an SSL session in an abnormal manner,
leading to a Transmission Control Block (TCB) leak.
93. CVE-2009-0626
Summary: The SSLVPN feature in Cisco IOS 12.3 through 12.4 allows remote
attackers to cause a denial of service (device reload or hang) via a crafted
HTTPS packet.
146

94. CVE-2008-2739
Summary: The SERVICE.DNS signature engine in the Intrusion Prevention

System (IPS) in Cisco IOS 12.3 and 12.4 allows remote attackers to cause a
denial of service (device crash or hang) via network traffic that triggers
unspecified IPS signatures, a different vulnerability than CVE-2008-1447.

95. CVE-2008-1150
• TA08-087B
Summary: The virtual private dial-up network (VPDN) component in Cisco IOS
before 12.3 allows remote attackers to cause a denial of service (resource
exhaustion) via a series of PPTP sessions, related to the persistence of
interface descriptor block (IDB) data structures after process termination, aka
bug ID CSCdv59309.
96. CVE-2008-1151
• TA08-087B
Summary: Memory leak in the virtual private dial-up network (VPDN)

component in Cisco IOS before 12.3 allows remote attackers to cause a denial
of service (memory consumption) via a series of PPTP sessions, related to
"dead memory" that remains allocated after process termination, aka bug ID
CSCsj58566.
147

97. CVE-2007-4285
Summary: Unspecified vulnerability in Cisco IOS and Cisco IOS XR 12.x up to

12.3, including some versions before 12.3(15) and 12.3(14)T, allows remote
attackers to obtain sensitive information (partial packet contents) or cause a
denial of service (router or component crash) via crafted IPv6 packets with a
Type 0 routing header.

98. CVE-2007-0917
Summary: The Intrusion Prevention System (IPS) feature for Cisco IOS
12.4XE to 12.3T allows remote attackers to bypass IPS signatures that use
regular expressions via fragmented packets.
99. CVE-2007-0918
Summary: The ATOMIC.TCP signature engine in the Intrusion Prevention

System (IPS) feature for Cisco IOS 12.4XA, 12.3YA, 12.3T, and other trains
allows remote attackers to cause a denial of service (IPS crash and traffic loss)
via unspecified manipulations that are not properly handled by the regular
expression feature, as demonstrated using the 3123.0 (Netbus Pro Traffic)
signature.

148
100. CVE-2007-0648
• VU#438176
Summary: Cisco IOS after 12.3(14)T, 12.3(8)YC1, 12.3(8)YG, and 12.4, with
voice support and without Session Initiated Protocol (SIP) configured, allows
remote attackers to cause a denial of service (crash) by sending a crafted
packet to port 5060/UDP.

101. CVE-2006-3291
• VU#544484
Summary: The web interface on Cisco IOS 12.3(8)JA and 12.3(8)JA1, as used
on the Cisco Wireless Access Point and Wireless Bridge, reconfigures itself
when it is changed to use the "Local User List Only (Individual Passwords)"
setting, which removes all security and password configurations and allows
remote attackers to access the system.
102. CVE-2006-0354
Summary: Cisco IOS before 12.3-7-JA2 on Aironet Wireless Access Points

(WAP) allows remote authenticated users to cause a denial of service
(termination of packet passing or termination of client connections) by sending
the management interface a large number of spoofed ARP packets, which
creates a large ARP table that exhausts memory, aka Bug ID CSCsc16644.

103. CVE-2005-4436
149
Summary: Extended Interior Gateway Routing Protocol (EIGRP) 1.2, as

implemented in Cisco IOS after 12.3(2), 12.3(3)B, and 12.3(2)T and other
products, allows remote attackers to cause a denial of service by sending a
"spoofed neighbor announcement" with (1) mismatched k values or (2)
"goodbye message" Type-Length-Value (TLV).

104. CVE-2005-0195
• TA05-026A
• VU#472582
Summary: Cisco IOS 12.0S through 12.3YH allows remote attackers to cause
a denial of service (device restart) via a crafted IPv6 packet.

105. CVE-2005-0196
• TA05-026A
• VU#689326
Summary: Cisco IOS 12.0 through 12.3YL, with BGP enabled and running the
bgp log-neighbor-changes command, allows remote attackers to cause a
denial of service (device reload) via a malformed BGP packet.

150
106. CVE-2005-1020
Summary: Secure Shell (SSH) 2 in Cisco IOS 12.0 through 12.3 allows remote
attackers to cause a denial of service (device reload) (1) via a username that
contains a domain name when using a TACACS+ server to authenticate, (2)
when a new SSH session is in the login phase and a currently logged in user
issues a send command, or (3) when IOS is logging messages and an SSH
session is terminated while the server is sending data.
107. CVE-2005-1021
Summary: Memory leak in Secure Shell (SSH) in Cisco IOS 12.0 through 12.3,
when authenticating against a TACACS+ server, allows remote attackers to
cause a denial of service (memory consumption) via an incorrect username or
password.

108. CVE-2004-0714
• VU#162451
• TA04-111B
Summary: Cisco Internetwork Operating System (IOS) 12.0S through 12.3T

attempts to process SNMP solicited operations on improper ports (UDP 162
and a randomly chosen UDP port), which allows remote attackers to cause a
denial of service (device reload and memory corruption).

La base de datos CVE indica que algunos IOS de Cisco son vulnerables a ataques
DoS por medio de SNMP, en cualquiera de sus versiones 1, 2 o 3. Esta debilidad no
fue contemplada durante la fase de análisis de la situación actual y algunos de los
IOS presentes se encuentran expuestos, sin embargo las medidas asociadas a la
151
actualización de las versiones de IOS planteadas en el Trabajo Especial de Grado

son capaces de mitigar esta vulnerabilidad en los dispositivos en cuestión. Es
importante tener en cuenta el listado de las versiones de IOS no vulnerables
indicadas en el aviso 20040420 de Cisco Systems.
109. CVE-2011-2064
Summary: Cisco IOS 12.4MDA before 12.4(24)MDA5 on the Cisco Content

Services Gateway - Second Generation (CSG2) allows remote attackers to
cause a denial of service (device reload) via crafted ICMP packets, aka Bug ID
CSCtl79577.
110. CVE-2011-0350
Summary: Unspecified vulnerability in Cisco IOS 12.4(24)MD before

12.4(24)MD2 on the Cisco Content Services Gateway Second Generation (aka
CSG2) allows remote attackers to cause a denial of service (device hang or
reload) via crafted TCP packets, aka Bug ID CSCth41891, a different
vulnerability than CVE-2011-0349.
111. CVE-2011-0349
Summary: Unspecified vulnerability in Cisco IOS 12.4(24)MD before

12.4(24)MD2 on the Cisco Content Services Gateway Second Generation (aka
CSG2) allows remote attackers to cause a denial of service (device hang or
reload) via crafted TCP packets, aka Bug ID CSCth17178, a different
vulnerability than CVE-2011-0350.
112. CVE-2011-0348
Summary: Cisco IOS 12.4(11)MD, 12.4(15)MD, 12.4(22)MD, 12.4(24)MD

before 12.4(24)MD3, 12.4(22)MDA before 12.4(22)MDA5, and 12.4(24)MDA
before 12.4(24)MDA3 on the Cisco Content Services Gateway Second
Generation (aka CSG2) allows remote attackers to bypass intended access
restrictions and intended billing restrictions by sending HTTP traffic to a
restricted destination after sending HTTP traffic to an unrestricted destination,
152
aka Bug ID CSCtk35917.
Análisis vulnerabilidades CVE-2011-0348, 0349, 0350 y 2064:

113. CVE-2010-2836
Summary: Memory leak in the SSL VPN feature in Cisco IOS 12.4, 15.0, and
15.1, when HTTP port redirection is enabled, allows remote attackers to cause
a denial of service (memory consumption) by improperly disconnecting SSL
sessions, leading to connections that remain in the CLOSE-WAIT state, aka
Bug ID CSCtg21685.

114. CVE-2010-0584
Summary: Unspecified vulnerability in Cisco IOS 12.4, when NAT SCCP

fragmentation support is enabled, allows remote attackers to cause a denial of
service (device reload) via crafted Skinny Client Control Protocol (SCCP)
packets, aka Bug ID CSCsy09250.

115. CVE-2010-0576
Summary: Unspecified vulnerability in Cisco IOS 12.0 through 12.4, IOS XE

2.1.x through 2.3.x before 2.3.2, and IOS XR 3.2.x through 3.4.3, when
Multiprotocol Label Switching (MPLS) and Label Distribution Protocol (LDP)
are enabled, allows remote attackers to cause a denial of service (device
reload or process restart) via a crafted LDP packet, aka Bug IDs CSCsz45567
and CSCsj25893.
153

116. CVE-2009-2873
Summary: Cisco IOS 12.0 through 12.4, when IP-based tunnels and the Cisco
Express Forwarding feature are enabled, allows remote attackers to cause a
denial of service (device reload) via malformed packets, aka Bug ID
CSCsx70889.
117. CVE-2009-2872
Summary: Cisco IOS 12.0 through 12.4, when IP-based tunnels and the Cisco
Express Forwarding feature are enabled, allows remote attackers to cause a
denial of service (device reload) via a malformed packet that is not properly
handled during switching from one tunnel to a second tunnel, aka Bug IDs
CSCsh97579 and CSCsq31776.

118. CVE-2009-2865
Summary: Buffer overflow in the login implementation in the Extension Mobility

feature in the Unified Communications Manager Express (CME) component in
Cisco IOS 12.4XW, 12.4XY, 12.4XZ, and 12.4YA allows remote attackers to
execute arbitrary code or cause a denial of service via crafted HTTP requests,
aka Bug ID CSCsq58779.

154
119. CVE-2009-2863
Summary: Race condition in the Firewall Authentication Proxy feature in Cisco

IOS 12.0 through 12.4 allows remote attackers to bypass authentication, or
bypass the consent web page, via a crafted request, aka Bug ID CSCsy15227.

120. CVE-2009-0636
Summary: Unspecified vulnerability in Cisco IOS 12.0 through 12.4, when SIP
voice services are enabled, allows remote attackers to cause a denial of
service (device crash) via a valid SIP message.

121. CVE-2009-0635
Summary: Memory leak in the Cisco Tunneling Control Protocol (cTCP)

encapsulation feature in Cisco IOS 12.4, when an Easy VPN (aka EZVPN)
server is enabled, allows remote attackers to cause a denial of service
(memory consumption and device crash) via a sequence of TCP packets.

122. CVE-2009-0630
Summary: The (1) Cisco Unified Communications Manager Express; (2) SIP
Gateway Signaling Support Over Transport Layer Security (TLS) Transport; (3)
155
Secure Signaling and Media Encryption; (4) Blocks Extensible Exchange

Protocol (BEEP); (5) Network Admission Control HTTP Authentication Proxy;
(6) Per-user URL Redirect for EAPoUDP, Dot1x, and MAC Authentication
Bypass; (7) Distributed Director with HTTP Redirects; and (8) TCP DNS
features in Cisco IOS 12.0 through 12.4 do not properly handle IP sockets,
which allows remote attackers to cause a denial of service (outage or resource
consumption) via a series of crafted TCP packets.

123. CVE-2009-0631
Summary: Unspecified vulnerability in Cisco IOS 12.0 through 12.4, when

configured with (1) IP Service Level Agreements (SLAs) Responder, (2)
Session Initiation Protocol (SIP), (3) H.323 Annex E Call Signaling Transport,
or (4) Media Gateway Control Protocol (MGCP) allows remote attackers to
cause a denial of service (blocked input queue on the inbound interface) via a
crafted UDP packet.

124. CVE-2009-0471
Summary: Cross-site request forgery (CSRF) vulnerability in the HTTP server

in Cisco IOS 12.4(23) allows remote attackers to execute arbitrary commands,
as demonstrated by executing the hostname command with a
level/15/configure/-/hostname request.
125. CVE-2009-0470
Summary: Multiple cross-site scripting (XSS) vulnerabilities in the HTTP server

in Cisco IOS 12.4(23) allow remote attackers to inject arbitrary web script or
HTML via the PATH_INFO to the default URI under (1) level/15/exec/-/ or (2)
exec/, a different vulnerability than CVE-2008-3821.
156
126. CVE-2008-3821
Summary: Multiple cross-site scripting (XSS) vulnerabilities in the HTTP server

in Cisco IOS 11.0 through 12.4 allow remote attackers to inject arbitrary web
script or HTML via (1) the query string to the ping program or (2) unspecified
other aspects of the URI.
Análisis vulnerabilidades CVE-2008-3821, 2009-0470 y 0471:

127. CVE-2008-3812
Summary: Cisco IOS 12.4, when IOS firewall Application Inspection Control
(AIC) with HTTP Deep Packet Inspection is enabled, allows remote attackers
to cause a denial of service (device reload) via a malformed HTTP transit
packet.

128. CVE-2008-3809
Summary: Cisco IOS 12.0 through 12.4 on Gigabit Switch Router (GSR)
devices (aka 12000 Series routers) allows remote attackers to cause a denial
of service (device crash) via a malformed Protocol Independent Multicast (PIM)
packet.
157

129. CVE-2008-3808

remote attackers to cause a denial of service (device reload) via a crafted
Protocol Independent Multicast (PIM) packet.

130. CVE-2008-3806
Summary: Cisco IOS 12.0 through 12.4 on Cisco 10000, uBR10012 and
uBR7200 series devices handles external UDP packets that are sent to
127.0.0.0/8 addresses intended for IPC communication within the device,
which allows remote attackers to cause a denial of service (device or linecard
reload) via crafted UDP packets, a different vulnerability than CVE-2008-3805.
131. CVE-2008-3805
Summary: Cisco IOS 12.0 through 12.4 on Cisco 10000, uBR10012 and
uBR7200 series devices handles external UDP packets that are sent to
127.0.0.0/8 addresses intended for IPC communication within the device,
which allows remote attackers to cause a denial of service (device or linecard
reload) via crafted UDP packets, a different vulnerability than CVE-2008-3806.

158
132. CVE-2008-3803
Summary: A "logic error" in Cisco IOS 12.0 through 12.4, when a Multiprotocol
Label Switching (MPLS) VPN with extended communities is configured,
sometimes causes a corrupted route target (RT) to be used, which allows
remote attackers to read traffic from other VPNs in opportunistic
circumstances.

133. CVE-2008-3798
Summary: Cisco IOS 12.4 allows remote attackers to cause a denial of service
(device crash) via a normal, properly formed SSL packet that occurs during
termination of an SSL session.

La base de datos CVE indica que varios IOS son vulnerables a ataques a través de
sesiones SSL, como por ejemplo, en el servicio HTTPS (Hyper Text Transfer
Protocol over SSL) presente por defecto en algunos equipos. En efecto, el uso de
este servicio fue contemplado en el proceso de análisis de la situación actual. En
ese sentido, las medidas de protección vinculadas a la inhabilitación de los servicios
como HTTP y HTTPS ayudan a prevenir este tipo de vulnerabilidad.
134. CVE-2008-4128
Summary: Multiple cross-site request forgery (CSRF) vulnerabilities in the

HTTP Administration component in Cisco IOS 12.4 on the 871 Integrated
Services Router allow remote attackers to execute arbitrary commands via (1)
a certain "show privilege" command to the /level/15/exec/- URI, and (2) a
certain "alias exec" command to the /level/15/exec/-/configure/http URI. NOTE:
some of these details are obtained from third party information.
159

135. CVE-2008-1159
Summary: Multiple unspecified vulnerabilities in the SSH server in Cisco IOS

12.4 allow remote attackers to cause a denial of service (device restart) via
unknown vectors, aka Bug ID (1) CSCsk42419, (2) CSCsk60020, and (3)
CSCsh51293.

136. CVE-2008-1152
• TA08-087B
Summary: The data-link switching (DLSw) component in Cisco IOS 12.0

through 12.4 allows remote attackers to cause a denial of service (device
restart or memory consumption) via crafted (1) UDP port 2067 or (2) IP
protocol 91 packets.

137. CVE-2007-4430

context-dependent attackers to cause a denial of service (device restart and
BGP routing table rebuild) via certain regular expressions in a "show ip bgp
regexp" command. NOTE: unauthenticated remote attacks are possible in
environments with anonymous telnet and Looking Glass access.

160
138. CVE-2007-4286
• VU#201984
Summary: Buffer overflow in the Next Hop Resolution Protocol (NHRP)

functionality in Cisco IOS 12.0 through 12.4 allows remote attackers to cause a
denial of service (restart) and execute arbitrary code via a crafted NHRP
packet.

139. CVE-2007-4291
Summary: Cisco IOS 12.0 through 12.4 allows remote attackers to cause a
denial of service via (1) a malformed MGCP packet, which causes a device
hang, aka CSCsf08998; a malformed H.323 packet, which causes a device
crash, as identified by (2) CSCsi60004 with Proxy Unregistration and (3)
CSCsg70474; and a malformed Real-time Transport Protocol (RTP) packet,
which causes a device crash, as identified by (4) CSCse68138, related to
VOIP RTP Lib, and (5) CSCse05642, related to I/O memory corruption.

140. CVE-2007-4292
Summary: Multiple memory leaks in Cisco IOS 12.0 through 12.4 allow remote
attackers to cause a denial of service (device crash) via a malformed SIP
packet, aka (1) CSCsf11855, (2) CSCeb21064, (3) CSCse40276, (4)
CSCse68355, (5) CSCsf30058, (6) CSCsb24007, and (7) CSCsc60249.
Análisis vulnerabilidades CVE-2007-4292:

161
141. CVE-2007-4293
Summary: Cisco IOS 12.0 through 12.4 allows remote attackers to cause a
denial of service (device crash) via (1) "abnormal" MGCP messages, aka
CSCsd81407; and (2) a large facsimile packet, aka CSCej20505.

142. CVE-2007-4294
Summary: Unspecified vulnerability in Cisco Unified Communications Manager

(CUCM) 5.0, 5.1, and 6.0, and IOS 12.0 through 12.4, allows remote attackers
to execute arbitrary code via a malformed SIP packet, aka CSCsi80102.

143. CVE-2007-4295

remote attackers to execute arbitrary code via a malformed SIP packet, aka
CSCsi80749.

144. CVE-2007-2813
Summary: Cisco IOS 12.4 and earlier, when using the crypto packages and
SSL support is enabled, allows remote attackers to cause a denial of service
via a malformed (1) ClientHello, (2) ChangeCipherSpec, or (3) Finished
162
message during an SSL session.

La base de datos CVE indica que varios IOS son vulnerables a ataques a través de
sesiones SSL, como por ejemplo, en el servicio HTTPS (Hyper Text Transfer
Protocol over SSL) presente por defecto en algunos equipos. En efecto, el uso de
este servicio fue contemplado en el proceso de análisis de la situación actual. En
ese sentido, las medidas de protección vinculadas a la inhabilitación de los servicios
como HTTP y HTTPS ayudan a prevenir este tipo de vulnerabilidad.
145. CVE-2007-2586
Summary: The IOS FTP Server in Cisco IOS 11.3 through 12.4 does not
properly check user authorization, which allows remote authenticated users to
execute arbitrary code and read and write arbitrary files, as demonstrated by
reading startup-config, aka bug ID CSCek55259.
146. CVE-2007-2587
Summary: The IOS FTP Server in Cisco IOS 11.3 through 12.4 allows remote
authenticated users to cause a denial of service (IOS reload) via unspecified
vectors involving transferring files (aka bug ID CSCse29244).
Análisis vulnerabilidad CVE-2007-2586 y 2587:

147. CVE-2007-0199
Summary: The Data-link Switching (DLSw) feature in Cisco IOS 11.0 through
12.4 allows remote attackers to cause a denial of service (device reload) via
"an invalid value in a DLSw message... during the capabilities exchange."
163

148. CVE-2006-0340
Summary: Unspecified vulnerability in Stack Group Bidding Protocol (SGBP)

support in Cisco IOS 12.0 through 12.4 running on various Cisco products,
when SGBP is enabled, allows remote attackers on the local network to cause
a denial of service (device hang and network traffic loss) via a crafted UDP
packet to port 9900.

149. CVE-2005-2451
• TA05-210A
• VU#930892
Summary: Cisco IOS 12.0 through 12.4 and IOS XR before 3.2, with IPv6
enabled, allows remote attackers on a local network segment to cause a denial
of service (device reload) and possibly execute arbitrary code via a crafted
IPv6 packet.
CVSS Severity: 2.1 (LOW)


Auditoría de seguridad en switches y routers

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoría de seguridad en switches y routers

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSIDAD SIMON BOLIVAR

DECANATO DE ESTUDIOS DE POSTGRADO

TRABAJO ESPECIAL DE GRADO

AUDITORIA DE SEGURIDAD A LOS SWITCHES Y ROUTERS DE

Arnoldo Nicolás Rodríguez Rangel

AUDITORIA DE SEGURIDAD A LOS SWITCHES Y ROUTERS DE LA RED

Trabajo Especial de Grado presentado a la Universidad Simón Bolívar por

Arnoldo Nicolás Rodríguez Rangel

Como requisito parcial para optar al grado académico de

Con la asesoría del Profesor

UNIVERSIDAD SIMON BOLIVAR

AUDITORIA DE SEGURIDAD A LOS SWITCHES Y ROUTERS DE LA RED

Por: Rodríguez Rangel, Arnoldo Nicolás

Este Trabajo Especial de Grado ha sido aprobado en nombre de

Prof. Wilmer Pereira

Prof. Vincenzo Mendillo

Prof. Ricardo González

Agradezco especialmente al Profesor Ricardo González, por todo su apoyo

UNIVERSIDAD SIMON BOLIVAR

AUDITORIA DE SEGURIDAD A LOS SWITCHES Y ROUTERS DE LA RED

Por: Rodríguez Rangel, Arnoldo Nicolás

El presente trabajo tuvo como finalidad apoyar al Departamento de Mantenimiento

En primer lugar, se realizó un estudio sobre los mecanismos de seguridad aplicados

A partir de la identificación de las vulnerabilidades y el análisis de las amenazas, se

Palabras claves: Seguridad, Red Interna, Cifrado, Routers y Switches.

2.1.1. Redes de Transmisión de Datos ...................................................... 9

2.2.6.2. Función de Dispersión Segura SHA-1 ............................... 20

4.4.1.4. Contraseñas de acceso y métodos de autenticación ......... 34

5.2.2.2. Medidas para mejorar la Integridad ................................... 54

AAA: En inglés Authentication, Authorization and Accounting, y corresponde a una

ACL: En inglés Access Control List, es un concepto de seguridad de la informática

ARP: En inglés Address Resolution Protocol, es un protocolo de Capa 2 del Modelo

BOOTP: En inglés se refiera a Bootstrap Protocol. Es un antiguo protocolo de red

CAM: En inglés Content Addressable Memory, es una tabla que almacena

CEF: En inglés Cisco's Express Forwarding, es una tecnología avanzada de Capa 3

CHAP: En inglés Challenge Handshake Authentication Protocol, es un protocolo de

utilizados para autentificar a un usuario ante un ISP.

DHCP: En inglés Dynamic Host Configuration Protocol, es un protocolo de red que

DNS: En inglés Domain Name System, es un sistema de nombres jerárquico para

DoS: En inglés Denial of Service Attack, es un ataque contra un sistema de

DTP: En inglés Dynamic Trunking Protocol, es un protocolo propietario de Cisco

archivos entre sistemas.

HTTP: En inglés Hypertext Transfer Protocol, es el protocolo utilizado en cada

ICMP: En inglés Internet Control Message Protocol, es el sub protocolo de control y

IEEE: En inglés Institute of Electrical and Electronics Engineers, es una asociación

IOS: En inglés Internetwork Operating System, es un sistema operativo creado por

IP: En inglés Internet Protocol, es un protocolo no orientado a conexión, usado por

LAN: En inglés Local Area Network, se refiere a la interconexión de varias

MAC: En inglés Media Access Control, es un identificador de 48 bits que

NTP: En inglés Network Time Protocol, es un protocolo de Internet utilizado para

PAP: En inglés Password Authentication Protocol, es un protocolo sencillo de

RADIUS: En inglés Remote Authentication Dial-In User Server, es un protocolo de

RAM: En inglés Random Access Memory, es la memoria desde donde el procesador

RPF: En inglés Reverse Path Forward, es un mecanismo que puede implementarse

SNMP: En inglés Simple Network Management Protocol, es un protocolo de la capa

STP: En inglés Spanning Tree Protocol, es un protocolo de red de la Capa 2 del

TACACS: En inglés Terminal Access Controller Access Control System, es un

TCP: En inglés Transmission Control Protocol, es uno de los protocolos de

TFTP: En inglés Trivial File Transfer Protocol, es un protocolo de transferencia

UDP: En inglés User Datagram Protocol, es un protocolo del nivel de transporte

VLAN: En inglés Virtual LAN, es un método que permite la creación de redes

VTP: En inglés VLAN Trunking Protocol, es un protocolo usado para configurar y

WAN: En inglés Wide Area Network, se refiere a la interconexión de varios