UNIVERSIDAD NACIONAL DE SAN AGUSTÍN

FACULTAD DE INGENIERIA DE PRODUCCIÓN Y SERVICIOS

ESCUELA PROFESIONAL DE INGENIERIA ELECTRÓNICA

CURSO: TELEMATICA II

TEMA:

Preguntas capítulo 30

DOCENTE:

Ing. Ramiro Banda Valdivia

ALUMNOS:

 Cruz Trujillo Ivan Alex CUI: 20110805

 Ticona Quispe Jorge Armando CUI: 20110830

FECHA: 12/12/18

AREQUIPA-PERÚ-2018
30.1 Enumere los principales problemas de seguridad en Internet y describa brevemente
cada uno.

Declaración falsa: Hacer afirmaciones falsas o exageradas sobre bienes o Servicios, o

entrega de productos falsos o inferiores.

Phishing: Enmascarado como un sitio conocido como un banco para obtener la información
personal de un usuario, típicamente un número de cuenta y código de acceso

Estafas: Diversas formas de engaño destinadas a engañar a los ingenuos. Los usuarios
invierten dinero o incitan a un crimen.

Denegación de servicio: Bloqueo intencional de un sitio de Internet en particular para

Prevenir u obstaculizar las actividades comerciales y el comercio.

Pérdida de control: Un intruso obtiene el control de un sistema informático y utiliza el

sistema para perpetrar un delito.

Pérdida de datos: Pérdida de propiedad intelectual u otro valor información comercial

propietaria

30.2 Nombra la técnica utilizada en los ataques de seguridad.

Escuchas telefónicas: Haciendo una copia de los paquetes mientras atraviesan un red para
obtener información.

Repetición: Enviando paquetes capturados de una sesión previa (por ejemplo, un paquete
de contraseña de un inicio de sesión anterior)

Desbordamiento de búfer: Enviando más datos de los que un receptor espera en orden
para almacenar valores en variables más allá del búfer

Spoofing de direcciones: Fingiendo la dirección de origen IP en un paquete para engañar

un receptor en el procesamiento del paquete

Nombre Spoofing: Usando un error ortográfico de un nombre bien conocido o envenenar

un servidor de nombres con un enlace incorrecto DoS y DDoS Inundan un sitio con paquetes
para evitar el sitio de llevar a cabo negocios normales con éxito

Inundación SYN: Enviando un flujo de segmentos TCP SYN aleatorios para agotar el
conjunto de conexiones TCP de un receptor.

Ruptura de teclas: Adivinando automáticamente una clave de descifrado o una Contraseña

para obtener acceso no autorizado a los datos
Escaneo de puertos: Intentando conectarse a cada protocolo posible puerto en un host para
encontrar una vulnerabilidad

Intercepción de paquetes: Eliminando un paquete de Internet que permite Sustitución y

ataques de hombre en medio.

30.3 Suponga que un atacante encuentra una manera de almacenar un enlace arbitrario
en su servidor DNS local. ¿Cómo puede el atacante usar esa debilidad para obtener la
información de su cuenta bancaria?

Estos ataques podrían apuntar a los datos en caché del DNS en los servidores. Esta técnica
también dirige al usuario a un sitio web falso que está bajo el control de un
ciberdelincuente.

Para ejecutar tales acciones, un delincuente engaña al servidor DNS accediendo a su

configuración débil e ingresando información de dirección falsa. Desafortunadamente, este
cambio tampoco es detectable por el navegador.

Una solución puede pasar por agregar un protocolo DNSSEC al nombre de dominio. Esta
adición hará que los navegadores y los servidores ISP autentiquen los datos DNS que recibe,
eliminando así el riesgo de envenenamiento de la memoria caché.

30.4 Los ataques DoS a menudo envían segmentos TCP SYN. ¿Puede un atacante también
crear un ataque DoS por enviando segmentos de datos TCP? Explique.

Los ataques de denegación de servicios distribuidos (DDoS) se ejecutan mediante el acceso

al servidor DNS de un usuario o proveedor de Internet. Aquí lanzan un montón de tráfico
malicioso y con el objetivo de obstaculizar las solicitudes legítimas. Sin embargo, esta
técnica de ataque no está particularizada para el DNS y su seguridad, pero el servidor DNS
podría tener graves problemas.

No importa si el sitio web es famoso o no, si la infraestructura DNS no funciona significa que
no puede monitorear el número de solicitudes entrantes, entonces la página puede sufrir
interrupciones.

Para evitar un ataque DDoS en el servidor DNS, podemos usar un proveedor de DNS efectivo
que incorpore una amplia cobertura de servidores Anycast (Como por ejemplo ovh que
tiene Anycast) para que haya un manejo apropiado del tráfico.
30.5 Si una contraseña contiene ocho letras y dígitos en mayúsculas y minúsculas,
¿cuántas contraseñas posibles podría necesitar un atacante para obtener acceso?

Seria 26 mayúsculas + 26 minúsculas + 9 dígitos y tendríamos una cantidad de 61 elevada a

la 9 combinaciones que daría 1.1694146e+16.

30.6 ¿Por qué es difícil derivar una política de seguridad?

Porque al elaborar una política precisan definir bien los aspectos de la misma sin descuidar
ninguno.

Porque esta contiene elementos y caracteres muy difíciles de coincidir. Mientras más larga
es la contraseña más difícil es de descifrar.

30.7 Suponga que una compañía diseña una política de seguridad que específica que solo
el personal de Recursos Humanos está Autorizado para ver archivos de nómina. ¿Qué tipo
de mecanismo se necesita para implementar la política? Explique.

Un sistema de clave privada porque cada par de entidades en comunicación comparte una
única clave que sirve como tanto una clave de cifrado como una clave de descifrado. El
nombre surge porque la clave debe mantenerse secreta: si un tercero obtiene una copia de
la clave, podrá descifrar los mensajes que pasan entre el par. Los sistemas de clave privada
son simétricos en el sentido de que cada parte puede enviar o recibir mensajes. Para enviar
un mensaje, la clave se utiliza para producir cyphertext, que luego se envía a través de una
red. Cuando llega un mensaje, el lado receptor utiliza la clave secreta para decodificar el
texto cifrado y extraer el mensaje original (texto sin formato). Por lo tanto, en un sistema
de clave privada, un remitente y un receptor utilizan la misma clave.

30.8 Listar y describir las ocho técnicas básicas de seguridad.

Hash: es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en

una nueva serie de caracteres con una longitud fija. Independientemente de la longitud de
los datos de entrada, el valor hash de salida tendrá siempre la misma longitud.

Encriptación: es el proceso para volver ilegible información considera importante. La

información una vez encriptada sólo puede leerse aplicándole una clave.

Firmas digitales: La firma digital es el tipo de firma electrónica más avanzado y seguro,
que te permite cumplir con los requisitos legales y normativos más exigentes al ofrecerte
los más altos niveles de seguridad sobre la identidad de cada firmante y la autenticidad de
los documentos que firman.
Las firmas digitales utilizan un ID digital basado en certificado que emite una autoridad de
certificación (CA) acreditada o un proveedor de servicios de confianza (TSP). De este
modo, cuando firmas un documento de forma digital, tu identidad acaba vinculada a ti de
forma exclusiva, la firma se asocia al documento mediante cifrado y todo puede
verificarse con la tecnología subyacente que conocemos como “infraestructura de clave
pública” (PKI).

Certificados digitales: o certificado electrónico es un documento que contiene

fundamentalmente información sobre una persona o entidad, guarda su nombre, su
dirección, email. .. ,y una clave pública y una firma digital de un arganismo de confianza
(autoridad certificadora) que rubrica que la clave pública que contiene el certificado
pertenece al propietario del mismo. Esta última firma es la más impartante del certificado,
porque es la que ha generado un organismo de confianza. En España, los certificados
electrónicos emitidos por entidades públicas son el DNIe o DNI electrónico y el de la Fábrica
Nacional de Moneda y Timbre (FNMT). Además, para realizar numerosos trámites con las
administraciones públicas por Internet nos exigen el uso de un certificado digital que
asegure nuestra identidad. Dicho certificado es emitido por la Fábrica de la Moneda y
Timbre, autoridad de certificación, que haciendo uso de numerosas oficinas de la
administración pública (tesorerías de la Seguridad Social, oficinas de la Agencia Tributaria)
como autoridades de registro verifican que la persona que solicita el certificado es quien
dice ser al presentar el documento nacional de identidad en dichas oficinas.

Los cortafuegos: es una parte de un sistema o una red que está diseñada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar,
cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de
normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o en una
combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los
usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet,
especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a
través de los cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen
los criterios de seguridad especificados. También es frecuente conectar el cortafuegos a
una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de
la organización que deben permanecer accesibles desde la red exterior.
Un cortafuego correctamente configurado añade una protección necesaria a la red, pero
que en ningún caso debe considerarse suficiente. La seguridad informática abarca más
ámbitos y más niveles de trabajo y protección.
Sistema de detección de intrusos: (o IDS de sus siglas en inglés Intrusion Detection
System) es un programa de detección de accesos no autorizados a un computador o a una
red.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo
del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS
detecta, gracias a dichos sensores, las anomalías que pueden ser indicio de la presencia de
ataques y falsas alarmas.

Inspección profunda de paquetes y la integridad de barrido contenido del sitio: es el acto

de inspección realizado por cualquier equipo de red de paquetes que no sea punto final
de comunicación, utilizando con algún propósito el contenido (normalmente la parte útil)
que no sea el encabezamiento del paquete. Esto se efectúa en el momento en que el
paquete pasa un punto de inspección en la búsqueda de incumplimientos del protocolo,
virus, spam, intrusiones o criterios predefinidos para decidir qué medidas tomar sobre el
paquete, incluyendo la obtención de información estadística. Esto contrasta con la
inspección superficial de paquetes (usualmente llamada Stateful Packet Inspection) que
solo inspecciona el encabezamiento de los paquetes.
Como muchas tecnologías de red, el DPI (y el filtrado) permiten funciones avanzadas de
seguridad así como minería de datos, escuchas ocultas y censura. Pese a que la tecnología
DPI ha sido utilizada para administrar Internet durante muchos años, algunos defensores
de la neutralidad de la red temen que la tecnología DPI pueda ser utilizada como
competencia deshonesta o para restringir la apertura de Internet.

Redes privadas virtuales (VPN): es una tecnología de red de computadoras que permite
una extensión segura de la red de área local(LAN) sobre una red pública o no controlada
como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes
compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad
y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión
virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación
de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa
utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la
conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su
equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando
la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area
network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado—
de allí la designación "virtual private network".
30.9 ¿Qué es una lista de control de acceso (ACL) y cómo se utiliza una ACL?

Un ACL son programas de aplicación pueden acceder a los datos para cada objeto que
especifica quién está autorizado a acceder al objeto. En otros sistemas, se asigna a cada
usuario una contraseña para cada objeto que especifica quién está autorizado a acceder al
objeto. En otros sistemas, se asigna a cada usuario una contraseña para cada recurso
protegido. Cuando un usuario necesita acceder a un recurso protegido, se le pide al usuario
que introduzca la contraseña.

Un ACL es una lista que especifica los permisos de los usuarios sobre un archivo, carpeta u
otro objeto. Un ACL define cuales usuarios y cuales grupos pueden accesar y que tipo de
operaciones pueden realizar una vez dentro. Estas operaciones usualmente incluyen
lectura, escritura y ejecución y se usan para:

- Limitar el tráfico de red para mejorar el rendimiento de ésta.

- Brindar control de flujo de tráfico.
- Proporcionar un nivel básico de seguridad para el acceso a la red.

- Controlar las áreas de la red a las que puede acceder un cliente.

30.10 ¿A qué se refiere la criptografía?

Criptografía es una herramienta fundamental en la seguridad ya que el cifrado puede

garantizar la Criptografía es una herramienta fundamental en la seguridad ya que el cifrado
puede garantizar la confidencialidad de datos (a veces llamado intimidad), mensaje de
autenticidad, integridad de datos, y puede confidencialidad de datos (a veces llamado
intimidad), mensaje de autenticidad, integridad de datos, y puede confidencialidad de datos
(a veces llamado intimidad), mensaje de autenticidad, integridad de datos, y puede prevenir
los ataques de repetición. En esencia, un remitente aplica el cifrado para codificar los bits
del mensaje de tal manera que sólo el destinatario puede descifrar ellos. Alguien que
intercepta una copia de un mensaje cifrado no será capaz de extraer información. Además,
un mensaje cifrado puede incluir información tal como la longitud del mensaje; un atacante
no puede truncar el mensaje sin ser descubiertos.

La criptografía se basa en la aritmética. En el caso de un texto, consiste en transformar las

letras que conforman el mensaje en una serie de números (en forma de bits ya que los
equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números
para modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje
cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple.
Por otro lado, es preciso garantizar que el receptor del mensaje pueda descifrarlo cuando
lo reciba.

30.11 Lea sobre el Estándar de cifrado de datos (DES). ¿Qué clave de tamaño se debe
utilizar para los datos eso es extremadamente importante?

El Estándar de cifrado de datos (DES, del inglés Data Encryption Standard) es un algoritmo
criptográfico diseñado para cifrar y descifrar datos utilizando bloques de 8 bytes y una clave
de 64 bits y si es importante porque El cifrado y la modalidad se utilizan y se seleccionan
aleatoriamente entre los cifrados comunes entre los dos servidores.

30.12 Suponga que su amigo tiene una clave pública y privada para usar con el cifrado de
clave pública. ¿Puede su amigo enviarle un mensaje confidencial (es decir, un mensaje
que solo usted puede enviar)?leer)? ¿Por qué si o por qué no?

Si, Cualquier usuario puede cifrar un mensaje utilizando su clave pública, pero sólo su amigo
puede leerlo. Cuando recibe el mensaje, lo descifra utilizando la clave privada.

30.13 Si usted y un amigo tienen un par de claves públicas y privadas para un cifrado de
clave pública sistema, ¿cómo pueden usted y su amigo llevar a cabo la comunicación
diaria sin estar Engañado por un ataque de repetición?

La transmisión orientada a la conexión requiere una fase de configuración en cada nodo

involucrado antes de que se transfiera cualquier paquete para establecer los parámetros de
comunicación. Los paquetes incluyen un identificador de conexión en lugar de información
de dirección y se negocian entre puntos finales para que se entreguen en orden y con
verificación de errores. Se pueden negociar valores aceptables para los parámetros del
servicio. Enrutar un paquete requiere que el nodo busque el ID de conexión en una tabla.

El encabezado del paquete puede ser pequeño, ya que solo necesita contener este código
y cualquier información, como la longitud, la marca de tiempo o el número de secuencia,
que es diferente para los diferentes paquetes.

 El protocolo utilizado para transporte es TCP

 TCP garantiza que todos los datos lleguen correctamente y en orden.

30.14 ¿Cómo pueden dos partes usar el cifrado de clave pública para firmar un contrato
que luego se envía a un¿tercero?
Si una persona que emite un mensaje a un destinatario, usa la llave pública de este último
para cifrarlo; una vez cifrado, sólo la clave privada del destinatario podrá descifrar el
mensaje, ya que es el único que debería conocerla. Por tanto se logra la confidencialidad del
envío del mensaje, nadie salvo el destinatario puede descifrarlo. Cualquiera, usando la llave
pública del destinatario, puede cifrarle mensajes; los que solo serán descifrados por el
destinatario usando su clave privada.

Si el propietario del par de claves usa su clave privada para cifrar un mensaje, cualquiera
puede descifrarlo utilizando la clave pública del primero. En este caso se consigue
la identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él
quien empleó su clave privada (salvo que un tercero la haya obtenido). Esta idea es el
fundamento de la firma electrónica donde jurídicamente existe la presunción de que el
firmante es efectivamente el dueño de la clave privada.

30.15 ¿Qué es un certificado digital?

El Certificado Digital es el único medio que permite garantizar técnica y legalmente la

identidad de una persona en Internet. Se trata de un requisito indispensable para que las
instituciones puedan ofrecer servicios seguros a través de Internet. Además:

El certificado digital permite la firma electrónica de documentos El receptor de un

documento firmado puede tener la seguridad de que éste es el original y no ha sido
manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.

30.16 ¿Qué es un firewall y dónde está instalado un firewall?

Un firewall es un programa informático que controla el acceso de una computadora a la red

y de elementos de la red a la computadora, por motivos de seguridad.

Se necesita una segunda tecnología. Conocida como un firewall de Internet †, la tecnología

ayuda a proteger las computadoras y redes de una organización contra el tráfico de Internet
no deseado. Al igual que un firewall convencional, un firewall de Internet está diseñado
para evitar que los problemas en Internet se propaguen a las computadoras de una
organización. Un firewall se coloca entre una organización y el resto de Internet, y todos los
paquetes que entran o salen de la organización pasan a través del firewall.

30.17 Muchos productos de cortafuegos comerciales permiten que un administrador

también especifique paquetes para denegar como paquetes para aceptar. ¿Cuál es la
desventaja de una configuración que permite la negación?
a. No protege de ataques que no pasen a través del firewall.
b. No protege amenazas y ataques de usuarios negligentes.
c. No protege de la copia de datos importantes si se ha obtenido acceso a ellos.
d. No protege de ataques de ingeniería social (ataques mediante medios legítimos. Por
ejemplo el atacante contacta a la víctima haciéndose pasar por empleado de algún banco,
y solicita información confidencial, por ejemplo, datos de la tarjeta de crédito, con el
pretexto de la renovación de dicha tarjeta).

30.18 Reescriba la configuración del firewall en la Figura 30.9 para permitir que un extraño
haga ping a cada uno de los tres servidores
30.19 Reescriba la configuración del firewall en la Figura 30.9 para mover el servidor de
correo electrónico a la computadora ejecutando el servidor web.

Para abrir el puerto 80

1. En el menú Inicio , haga clic en Panel de control, en Sistema y seguridady, a

continuación, en Firewall de Windows. El Panel de control no está configurado para
la vista 'Categoría', solo necesita seleccionar Firewall de Windows.
2. Haga clic en Configuración avanzada.
3. Haga clic en Reglas de entrada
4. Haga clic en Nueva regla en la ventana Acciones****.
5. Haga clic en Puerto en la sección Regla de entrada.
6. Haga clic en Siguiente.
7. En la página Protocolos y puertos , haga clic en TCP.
8. Seleccione Puertos locales específicos y escriba un valor de 80.
9. Haga clic en Siguiente.
10. En la página Acción , haga clic en Permitir la conexión.
11. Haga clic en Siguiente.
12. En la página Perfil , haga clic en las opciones adecuadas para su entorno.
13. Haga clic en Siguiente.
14. En la página Nombre , escriba un nombre deReportServer (TCP en el puerto 80).
15. Haga clic en Finalizar.
16. Reinicie el equipo.

30.20 Lea sobre los sistemas IDS comerciales y haga una lista de los ataques que los
sistemas pueden detectar.

HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los

intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando
intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS
intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus
conclusiones.

NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red.
Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

30.21 Considere un sistema DPI que busque una cadena de K bytes en cada paquete. Si
un paquete contiene 1486 bytes de carga útil, ¿cuál es el número de comparaciones en el
peor de los casos que debe ¿Se debe hacer para examinar el paquete asumiendo un
algoritmo de coincidencia directa?

Se tiene que comprar uno por uno lo que haría en total de 2 elevada a la 1486

30.22 ¿Por qué no se utiliza la inspección profunda de paquetes en las redes de mayor
velocidad?

Porque El DPI combina las funciones de un sistema de detección de Intrusiones (IDS) y de

un sistema de prevención de intrusiones (IPS) con un tradicional cortafuegos de estado Esta
combinación permite detectar ciertos ataques que ni los sistemas de detección de
intrusiones ni los sistemas de prevención de intrusiones ni los cortafuegos de estado
pueden detectar por sí solos. Los cortafuegos de estado, que son capaces de ver el comienzo
y el fin del flujo de paquetes no pueden por su cuenta descubrir eventos que estarían fuera
de los límites de una determinada aplicación. Mientras que los IDS son capaces de detectar
intrusiones, tienen muy poca capacidad de bloquear dicho ataque. Los DPI son utilizados
para prevenir ataques de virus y gusanos a velocidades de conducción. Más
específicamente, DPI pueden ser efectivos contra ataques de sobresaturación de búferes,
ataques de negación de servicio, intrusiones sofisticadas y un pequeño porcentaje de
gusanos que caben en un solo paquete.

30.23 ¿Cuáles son los dos objetivos de un sistema VPN?

Una de las tecnologías de seguridad más importantes y ampliamente utilizadas utiliza el

cifrado para proporcionar acceso seguro a la intranet de una organización desde sitios
remotos. Conocida como una red privada virtual (VPN), la tecnología se diseñó
originalmente para proporcionar una interconexión de bajo costo entre múltiples sitios
geográficos de una organización

30.24 ¿Cuáles son las tres formas en que una VPN puede transferir datos a través de
Internet?

Cifrado de carga util

tunel de IP en IP.

Túnel de IP en TCP
30.25 Cuando una VPN usa un túnel IP en IP, lo que impide que un atacante lea el
encabezado del datagrama original?

Cuando algunas VPN utilizan un enfoque de túnel de IP en IP que mantiene la información

del encabezado oculta cuando los datagramas pasan a través de Internet de un sitio a otro.
Cuando encuentra un datagrama saliente, el software de VPN de envío cifra el datagrama
completo, incluido el encabezado, y coloca el resultado dentro de otro datagrama para su
transmisión

30.26 En algunos sistemas VPN, un remitente agrega un número aleatorio de cero bits a
un datagrama antes cifrado, y el receptor descarta los bits adicionales después de que el
datagrama ha sido descifrado. Por lo tanto, el único efecto del relleno aleatorio es hacer
que la longitud del cifrado datagrama independiente de la longitud de la versión sin cifrar.
¿Por qué es importante la longitud?

La longitud de la clave es un parámetro importante del método de cifrado simétrico o

asimétrico. Proporciona información acerca de la cantidad de valores diferentes que puede
tomar una clave para un proceso en particular. En general, la longitud de la clave se
administra como una medida logarítmica en forma de bits. Por ejemplo, la longitud
correspondiente a una clave de 3 bits (2 x 2 x 2 = 8) es de ocho teclas diferentes. Cuanto
mayor sea la longitud de la clave, más seguros serán considerados los datos cifrados. La
longitud de la clave es una medida de la intensidad de cifrado y depende tanto del método
utilizado como del algoritmo.

30.27 Enumere ocho tecnologías de seguridad utilizadas en Internet y describa el

propósito de cada una.

PGP (Pretty Good Privacy). Un sistema criptográfico que las aplicaciones pueden usar para
cifrar datos antes de la transmisión. PGP fue desarrollado en MIT, y es especialmente
popular entre los científicos informáticos.

SSH (Secure Shell). Un protocolo de nivel de aplicación para el inicio de sesión remoto que
garantiza la confidencialidad cifrando los datos antes de la transmisión a través de Internet.

SSL (Secure Socket Layer). Una tecnología originalmente diseñada por Netscape
Communications que usa encriptación para proporcionar autenticación y confidencialidad.
El software SSL se ajusta entre una aplicación y la API de socket, y encripta los datos antes
de transmitirlos a través de Internet. SSL se usa en una conexión web para permitir a los
usuarios realizar transacciones financieras de forma segura (por ejemplo, enviar un número
de tarjeta de crédito a un servidor web).

TLS (Seguridad de la capa de transporte). Diseñado por el IETF a fines de la década de 1990
como un sucesor de SSL, TLS se basa en la versión 3 de SSL. Tanto SSL como TLS están
disponibles para su uso con HTTPS.

HTTPS (Seguridad HTTP). No es realmente una tecnología independiente, HTTPS combina

HTTP con SSL o TLS y un mecanismo de certificado para proporcionar a los usuarios una
comunicación autenticada y confidencial a través de la Web. HTTPS usa el puerto TCP 443
en lugar del puerto 80.

IPsec (seguridad IP). Un estándar de seguridad utilizado con datagramas IP. IPsec utiliza
técnicas criptográficas y permite al remitente elegir la autenticación (es decir, validar el
remitente y el destinatario del datagrama) o la confidencialidad (es decir, cifrar la carga útil
del datagrama).

RADIUS (Servicio de usuario de acceso telefónico de autenticación remota). Un protocolo

utilizado para proporcionar autenticación, autorización y contabilidad centralizadas.
RADIUS es popular entre los ISP que tienen usuarios de acceso telefónico y con los sistemas
VPN que proporcionan acceso a usuarios remotos.

WEP (privacidad equivalente por cable). Originalmente, era parte del estándar de LAN
inalámbrica Wi-Fi † utilizado para mantener las transmisiones confidenciales.
Investigadores en la U.C. Berkeley ha demostrado que WEP tiene varias debilidades. Por lo
tanto, se ha desarrollado un reemplazo llamado WPA (acceso protegido a Wi-Fi).

30.28 Lea sobre las vulnerabilidades en el protocolo WEP. ¿Cómo evita el protocolo WPA
los problemas?

El principal problema radica en que no implementa adecuadamente el vector de iniciación

del algoritmo RC4 ya que utiliza un enfoque directo y predecible para incrementar el vector
de un paquete a otro. Además existe un problema con el tamaño de los vectores de
iniciación. A pesar de que se pueden generar muchos vectores, la cantidad de tramas que
pasan a través de un punto de acceso es muy grande, lo que hace que rápidamente se
encuentren dos mensajes con el mismo vector de iniciación. Conociendo los IV utilizados
repetidamente y aplicando técnicas relativamente simples de descifrado puede finalmente
vulnerarse la seguridad implementada. Aumentar los tamaños de las claves de cifrado
aumenta el tiempo necesario para romperlo, pero no resulta imposible el descifrado.
Los fabricantes comenzaron a producir la nueva generación de puntos de accesos apoyados
en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption
Standard). Con este algoritmo será posible cumplir con los requerimientos de seguridad del
gobierno de USA - FIPS140-2. "WPA2 está idealmente pensado para empresas tanto del
sector privado cómo del público. Los productos que son certificados para WPA2 le dan a los
gestores de TI la seguridad que la tecnología cumple con estándares de interoperatividad"
declaró Frank Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las
organizaciones estaban aguardando esta nueva generación de productos basados en AES
es importante resaltar que los productos certificados para WPA siguen siendo seguros de
acuerdo a lo establecido en el estándar 802.11i.