Jorge Garca Delgado

1.- Elementos Bsicos de la Seguridad

Perimetral:
1.1.- Concepto de seguridad perimetral.
1.2.- Objetivos de la seguridad perimetral.
1.3.- Permetro de la red:
o 1.3.1.- Routers frontera.
o 1.3.2.- Cortafuegos (firewalls).
o 1.3.3.- Sistemas de Deteccin de
Intrusos.
o 1.3.4.- Redes Privadas Virtuales.
o 1.3.5.- Software y servicios. Host Bastion.
o 1.3.6.- Zonas desmilitarizadas (DMZ) y
subredes controladas.

2.- Arquitecturas de Cortafuegos:
2.1.1.- Cortafuego de filtrado de paquetes.
2.1.2.- Cortafuego Dual-Homed Host.
2.1.3.- Screened Host.
2.1.4.- Screened Subnet (DMZ).
2.1.5.- Otras arquitecturas.

3.- Polticas de Defensa en Profundidad:
3.1.- Defensa perimetral.
o 3.1.1.- Interaccin entre zona perimetral
(DMZ) y zona externa.
o 3.1.2.- Monitorizacin del permetro:
deteccin y prevencin de intrusos

3.2.- Defensa interna.
o 3.2.1.- Interaccin entre zona perimetral
(DMZ) y zonas de seguridad interna).
o 3.2.2.- Routers y cortafuegos internos.
o 3.2.3.- Monitorizacin interna.
o 3.2.4.- Conectividad externa (Enlaces
dedicados y redes VPN).
o 3.3.5.- Cifrados a nivel host.

3.3.- Factor Humano.
4.- Redes Privadas Virtuales. VPN:
4.1.- Beneficios y desventajas con respecto a las
lneas dedicadas.

4.2.- Tipos de conexin VPN:
o VPN de acceso remoto.
o VPN sitio a sitio (tunneling).
o VPN sobre LAN.

4.3.- Protocolos que generan una VPN: PPTP,
L2F, L2TP.

5.- Tcnicas de cifrado. Clave Pblica y Clave Privada:
5.1.- Pretty Good Privacy (PGP). GNU Privacy
Good (GPG).

5.2.- Seguridad a nivel de aplicacin: SSH
(Secure Shell).

5.3.- Seguridad en IP (IPSEC).

5.4.- Seguridad en Web :
o 5.4.1.- SSL ("Secure Socket Layer).
o 5.4.2.- TLS ("Transport Layer Security).

6.- Servidores de Acceso Remoto:
6.1.- Protocolos de autenticacin.
o - Protocolos PPP, PPoE, PPPoA
o - Autenticacin de contrasea: PAP
o - Autenticacin por desafo mutuo:
CHAP
o - Autenticacin extensible: EAP.
Mtodos.
o - PEAP.
o - Kerberos.
o - Protocolos AAA: Radius y TACACS+.

6.2.- Configuracin de parmetros de acceso.

6.3.- Servidores de autenticacin.



Jorge Garca Delgado

1.1.- Concepto de seguridad perimetral.
La seguridad perimetral es un mtodo de defensa de red, que se basa en el establecimiento de recursos de seguridad
en el permetro de la red y a diferentes niveles, permitiendo definir niveles de confianza, el acceso de usuarios
internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.

Los sistemas de seguridad perimetral pueden clasificarse segn la geometra de su cobertura (volumtricos,
superficiales, lineales, etc.), segn el principio fsico de actuacin (cable de fibra ptica, cable de radiofrecuencia,
cable de presin, cable microfnico, etc.) o bien por el sistema de suportacin (autosoportados, soportados,
enterrados, deteccin visual, etc.).

Tambin cabe destacar la clasificacin dependiendo del medio de deteccin. En esta se clasificaran en:

Sistemas Perimetrales Abiertos: Los que dependen de las condiciones ambientales para detectar.
Como ejemplo de estos son la video vigilancia, las barreras infrarrojas, las barreras de microondas. Esta
caracterstica provoca falsas alarmas o falta de sensibilidad en condiciones ambientales adversas.

Sistemas Perimetrales Cerrados: Los que no dependen del medio ambiente y controlan exclusivamente el
parmetro de control. Como ejemplo de estos son los antiguos cables microfnicos, la fibra ptica y los
pieza-sensores. Este tipo de sensores suelen ser de un coste ms elevado.

Su aplicacin destaca principalmente en Seguridad Nacional (instalaciones militares y gubernamentales, fronteras,
aeropuertos, etc.) e instalaciones privadas de alto riesgo (centrales nucleares, sedes corporativas, residencias VIP,
etc.).


1.2.- Objetivos de la seguridad perimetral.

Rechazar conexiones a servicios comprometidos.
Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos.
Proporcionar un nico punto de interconexin con el exterior.
Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet.
Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet.
Auditar el trfico entre el exterior y el interior.
Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red, cuentas de
usuarios internos.


1.3.- Permetro de la red.
Se conoce como permetro de la red a la frontera entre el exterior y las computadoras y servidores
internas. Este se forma por los equipos que brindan conexin a Internet a las computadoras de la red, as como
aquellos que las protegen de accesos externos. Equipos como los gateways, proxys y firewalls forman parte de este
permetro.

Contar con proteccin antivirus a este nivel es importante dado que brinda una capa adicional de proteccin a las
que nombramos en series anteriores, protegiendo a nivel de servidores varias de las entradas ms comunes de los
virus informticos, antes de que puedan ingresar en la red interna.

Un antivirus en el permetro de la red debe ser capaz de revisar por la existencia de virus los protocolos ms
utilizados (HTTP, FTP, POP3, SMTP, IMAP, entre otros).
Jorge Garca Delgado



1.3.1.- Routers frontera.
Es un dispositivo situado entre la red interna y las redes de otros proveedores que se encarga de dirigir el trfico de
datos de un lado a otro. El ltimo router frontera es la primera y ltima lnea de defensa de red y de filtrado inicial y
final.


1.3.2.- Cortafuegos (firewalls).
Un cortafuegos (firewall) es una parte de un sistema o una red que est diseada para bloquear el acceso no
autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico
entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos
se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs
del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad
especificados.

Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se
ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe
considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.


Las funciones principales de un firewall son:

1.- Control de acceso
2.- Traslacin de direcciones
3.- Autenticacin
4.- Balanceo de carga
5.- Seguridad de Contenido
6.- Encriptacin (para permitir establecer VPNs en el Internet)

Un firewall permite proteger una red privada contra cualquier accin hostil, al limitar su exposicin a una red no
confiable aplicando mecanismos de control para restringir el acceso desde y hacia ella al nivel definido en la poltica
de seguridad. Generalmente un firewall es utilizado para hacer de intermediario entre una red de una organizacin e
Internet u otra red no confiable.

Estos mecanismos de control actan sobre los medios de comunicacin entre las dos redes, en particular, sobre la
familia de protocolos utilizada para la comunicacin de sistemas remotos. La ms comnmente usada es TCP/IP ya
que dispone de amplios desarrollos de mecanismos estndares para su uso en varios aspectos, incluyendo en
seguridad








Jorge Garca Delgado



Tipos de cortafuegos personales:
Aunque existen sistemas o mquinas especficamente diseadas para hacer de cortafuegos, nos centramos en este
caso en los cortafuegos personales, habitualmente integrados en los sistemas operativos.

Entrante: El cortafuegos de tipo entrante es el que controla las conexiones que "entran" en el sistema. Esto
quiere decir que est pensado en mayor medida para servidores, para comprobar desde qu direcciones IP
se quieren establecer conexiones a sus servicios.

Saliente: El cortafuegos de tipo saliente controla las conexiones que "salen" del sistema, esto es, las que
acuden a un servidor. Est pensado en mayor medida para clientes, para comprobar hacia qu direcciones IP
o qu puertos se conecta nuestro ordenador. Este tipo de cortafuegos es mucho menos usado que el
entrante, aunque es ms seguro, puesto que nos permite tener control total de hacia dnde intentan
conectarse los programas y, por tanto, nuestros datos.


Otros tipos de cortafuegos:
Hasta ahora se han visto las funciones bsicas de los firewalls y el concepto original para el que fueron creados. Sin
embargo, los cortafuegos personales y de servidores han evolucionado para ofrecer funcionalidades avanzadas que
han ayudado a proteger an ms los servidores. Veamos algunos ejemplos:

Controlar el tipo de conexin: Las conexiones y flujos de datos entre puertos y direcciones IP pueden
establecerse de forma errnea o malintencionada. Existen programas destinados a manipular este tipo de
conexiones e intentar confundir al servidor para violar su seguridad o hacer que deje de responder. As,
pueden intentar establecer conexiones incompletas, confusas, sin sentido, etc. Dependiendo del programa
destino, el sistema actuar de una manera u otra. La mayora de los cortafuegos ya estn preparados para
manejar este tipo de conexiones extraas y no dejarlas pasar para que no causen problemas. Muchos estn
cargados por defecto con reglas de ataques conocidos que impiden que cualquier establecimiento de
conexin que no sea conforme a los estndares, sea descartado.

Controlar la denegacin de servicio: La denegacin de servicio es un efecto bloqueo que ocurre cuando
muchos sistemas intentan acceder a un mismo puerto de un servidor, saturndolo. El programa que escucha
en el puerto puede manejar un nmero limitado de conexiones al mismo tiempo, y si ese nmero se
supera, no permitir que nuevas conexiones se establezcan. As, si alguien consigue saturar al servidor e
impedir que otras conexiones se establezcan, a travs de conexiones que genere l mismo u otros sistemas,
estaremos ante una denegacin de servicio. Los cortafuegos permiten controlar tambin el nmero de
conexiones que se estn produciendo, y en cuanto detectan que se establecen ms de las normales desde un
mismo punto (o que estas se establecen con demasiada velocidad) pueden aadir reglas automticamente
para bloquearlas y mantener el servicio a salvo.

Controlar las aplicaciones que acceden a Internet: Otros cortafuegos permiten controlar, adems de qu
direcciones IP se conectan a qu puertos, cules son las aplicaciones que lo estn haciendo. As, es posible
indicar que un programa deje de conectarse a un puerto o una IP en concreto. Si se realiza una lista blanca
de programas que pueden conectarse a ciertos puertos, basados en el uso habitual del sistema, es posible
conseguir un nivel de seguridad muy alto. Con esta tcnica, se impedir que programas a los que no hemos
permitido explcitamente acceso a Internet, puedan enviar informacin interna al exterior.

Controlar las aplicaciones que acceden a un puerto: Un cortafuegos en el sistema puede tambin detectar
cundo una aplicacin desea hacer uso de un puerto no para establecer una conexin, sino para ponerse a
or en l y esperar conexiones. Los cortafuegos tambin advierten al usuario cuando una aplicacin quiere
utilizar un puerto para esperar conexiones entrantes, puesto que puede suponer un riesgo de seguridad.
Jorge Garca Delgado



1.3.3.- Sistemas de Deteccin de Intrusos.
Es un sistema para monitorizar los eventos que ocurren en un sistema informtico, o escucha el trfico en la red para
detectar actividades sospechosas, y accesos no autorizados a un sistema u ordenador de una red; y de este modo,
reducir el riesgo de intrusin. Existen dos tipos de sistemas de deteccin de intrusos:

N-IDSes (basados en red): Un IDS basado en red monitoriza los paquetes que circulan por nuestra red en
busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede
situarse en cualquiera de los hosts o en un elemento que analice todo el trfico (como un HUB o un
enrutador). Est donde est, monitorizar diversas mquinas y no una sola: esta es la principal diferencia con
los sistemas de deteccin de intrusos basados en host.

H-IDSes (basados en host): Mientras que los sistemas de deteccin de intrusos basados en red operan bajo
todo un dominio de colisin, los basados en mquina realizan su funcin protegiendo un nico sistema; de
una forma similar - guardando las distancias, por supuesto - a cmo acta un escudo antivirus residente en
MS-DOS, el IDS es un proceso que trabaja en background (o que despierta peridicamente) buscando
patrones que puedan denotar un intento de intrusin y alertando o tomando las medidas oportunas en caso
de que uno de estos intentos sea detectado.



Las funciones de un IDS se pueden resumir de la siguiente forma:

Deteccin de ataques en el momento que estn ocurriendo o poco despus.

Automatizacin de la bsqueda de nuevos patrones de ataque, gracias a herramientas estadsticas
de bsqueda, y al anlisis de trfico anmalo.

Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer los
servicios que usan los usuarios, y estudiar el contenido del trfico, en busca de elementos anmalos.

Auditora de configuraciones y vulnerabilidades de determinados sistemas.

Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del
trfico y de los logs.

Anlisis de comportamiento anormal. Si se detecta una conexin fuera de hora, reintentos de
conexin fallidos y otros, existe la posibilidad de que se est en presencia de una intrusin. Un anlisis
detallado del trfico y los logs puede revelar una mquina comprometida o un usuario con su contrasea
al descubierto.

Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la configuracin de
cortafuegos y otros.








Jorge Garca Delgado



1.3.4.- Redes Privadas Virtuales
Es una red privada construida dentro de una infraestructura de red pblica, que se utilizan para conectar de forma
segura a un recurso de la red privada a los usuarios remotos a travs de accesos a Internet proporcionados por ISP,
en lugar de lneas dedicadas.

Por lo tanto, el sistema VPN brinda una conexin segura a un bajo costo, ya que todo lo que se necesita es el
hardware de ambos lados de las redes conectadas. Sin embargo, no garantiza una calidad de servicio comparable
con una lnea dedicada, ya que la red fsica es pblica y por lo tanto no est garantizada.


1.3.5.- Software y servicios. Host Bastion.
Es una aplicacin que se instala en un servidor para ofrecer seguridad a la red interna, ya que est configurado
especialmente para la recepcin de ataques. Normalmente un servidor con Host Bastion provee un solo servicio.

A diferencia del filtro realizado a travs de un router, que permite o no el flujo directo de paquetes desde el
interior al exterior de una red, los bastin host (tambin llamados en ingls application-levelgateways) permiten
un flujo de informacin pero no un flujo de paquetes, lo que permite una mayor seguridad de las aplicaciones del
host. El diseo del bastin consiste en decidir qu servicios ste incluir. Se podra tener un servicio diferente por
host, pero esto involucrara un costo muy elevado, pero en caso de que se pueda abordar, se podran llegar a tener
mltiples bastin host para mantener seguros mltiples puntos de ataque.

Definida la cantidad de bastin hosts, se debe ahora analizar que se instalar en cada uno de ellos, para esto se
proponen distintas estrategias:

Que la plataforma de hardware del bastin host ejecute una versin segura de su sistema operativo,
diseado especficamente para proteger al sistema operativo de sus vulnerabilidades y asegurar la integridad
del firewall

Instalar slo los servicios que se consideren esenciales. La razn de esto es que si el servicio no est
instalado, ste no puede ser atacado. En general, una limitada cantidad de aplicaciones proxy son instaladas
en un bastin host.

El bastin host podra requerir autentificacin adicional antes de que un usuario ingrese a sus servicios.

En caso de alojar un proxy, este puede tener variadas configuraciones que ayuden a la seguridad del bastion host,
tales como: configurados para soportar slo un subconjunto de aplicaciones, permitiendo el acceso a
determinados hosts y/o proveyendo toda la informacin de los clientes que se conecten.














Jorge Garca Delgado



8.- Zonas desmilitarizadas (DMZ) y subredes controladas.
Una zona desmilitarizada (DMZ) es una red local que se ubica entre una red interna (intranet) y una red externa,
generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ
estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir los equipos
(hosts) en la DMZ no pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red
interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona
desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona
desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es
necesario que sean accedidos desde fuera, como servidores de correo electrnico, Web y DNS. Las conexiones que
se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).

Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta a
un puerto distinto de ste. Esta configuracin se llama cortafuegos en tipo (three-legged firewall). Un planteamiento
ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno
conectado a la red interna y el otro a la red externa.



Jorge Garca Delgado

2.1.1.- Cortafuego de filtrado de paquetes.
Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router puedo bloquear o
permitir la comunicacin mediante las listas de control de acceso (ACL) en funcin de las caractersticas de la
tramas de los paquetes. Para determinar el filtrado se miran las direcciones origen y destino, el protocolo, los
puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de
entrada y salida de la trama en el router. La desventaja de este cortafuegos es que no dispone de un sistema de
monitorizacin sofisticado y el administrador no distingue entre si el router est siendo atacado o si su
seguridad se ha visto comprometida.


2.1.2.- Cortafuego Dual-Homed Host.
Es un cortafuegos que se instala en un host con dos tarjetas de red que acta como router entre dos redes.
Tiene la funcin de permitir directamente la comunicacin de una red a (red privada por ejemplo) a otra red B
(red pblica por ejemplo); pero la comunicacin de la red B a la red A no se permite directamente. El sistema
interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall tambin pueden
comunicarse con l, pero los sistemas no pueden comunicarse directamente entre ellos. En la estructura se
implementa entre la red interna y la externa junto a un host bastion.




2.1.3.- Screened Host.
Cortafuegos que se combina con un host bastion, situado entre la red externa y el host bastion situado en la red
interna. El cortafuegos filtra los paquetes de modo que el host bastion es el nico sistema accesible desde la red
externa, y se permite a los host de la red interna establecer conexiones con la red externa de acuerdo con unas
polticas de seguridad.


Jorge Garca Delgado



2.1.4.- Screened Subnet (DMZ).
Este cortafuegos se realiza en una estructura DMZ donde se emplean dos routers exterior e interior, entre los
router se incluye el host bastin. El router exterior bloquea el trfico no deseado en ambos sentidos, por otro
lado el router interior bloquea el trfico no deseado tanto hacia la red DMZ como hacia la red interna. De este
modo, para atacar la red protegida se tendra que romper la seguridad de ambos routers.




2.1.5.- Otras arquitecturas.
Una manera de incrementar en gran medida el nivel de seguridad de la red interna y al mismo tiempo facilitar la
administracin de los cortafuegos consiste en emplear un host bastin distinto para cada protocolo o servicio en
lugar de un nico host bastin. Muchas organizaciones no pueden adoptar esta arquitectura porque presenta el
inconveniente de la cantidad de mquinas necesarias para implementar el cortafuegos. Una alternativa la
constituye el hecho de utilizar un nico bastin pero distintos servidores proxy para cada uno de los servicios
ofrecidos.

Otra posible arquitectura se da en el caso en que se divide la red interna en diferentes subredes, lo cual es
especialmente aplicable en organizaciones que disponen de distintas entidades separadas. En esta situacin es
recomendable incrementar los niveles de seguridad de las zonas ms comprometidas situando cortafuegos
internos entre dichas zonas y la red exterior. Aparte de incrementar la seguridad, los firewalls internos son
especialmente recomendables en zonas de la red desde la que no se permite a priori la conexin con Internet.

Mostramos un ejemplo de arquitectura hibrida:





Jorge Garca Delgado
3.- Polticas de defensa en profundidad.
La seguridad de la organizacin es el resultado de operaciones realizadas por personas y soportadas
por la tecnologa, para ello se realizan polticas de defensa.


3.1.- Defensa perimetral.
La seguridad perimetral es uno de los mtodos posibles de defensa de una red, basado en el
establecimiento de recursos de seguridad en el permetro externo de la red y a diferentes niveles.


3.1.1.- Interaccin entre zona perimetral (DMZ) y zona externa.
Una DMZ se define como una red local que se ubica entre la red interna de una organizacin y una
red externa como Internet.

Su objetivo es el de permitir conexiones desde la red interna hacia la red externa, pero limitar las
conexiones desde el exterior hacia el interior.

Los equipos de la DMZ no pueden conectar con la red interna, por lo tanto para cualquier intruso
de una red exterior que se tope con una DMZ, lo que consigue es acceder a un callejn sin salida.

Por lo general la DMZ se utiliza para ofrecer servicios que necesitan ser accedidos desde el exterior,
como ser servidores de email, servidores web, FTP o DNS.


3.1.2.- Monitorizacin del permetro: deteccin y prevencin de intrusos.
Implementar sistema de monitorizacin para la prevencin de incidencias y detectar los sistemas
crticos (tanto mquinas como servicios) para el buen funcionamiento del sistema. Los objetivos
principales de la monitorizacin son: mantener las medidas de seguridad existentes, minimizar el
impacto en el propio sistema a estudiar, y minimizar el nmero de sistemas intermedios entre el
sistema de monitorizacin y los sistemas crticos.


3.2.- Defensa interna.
La seguridad tambin es muy importante, implementando diferentes recursos de seguridad en toda
la red interna y a diferentes niveles.


3.2.1.- Interaccin entre zona perimetral (DMZ) y zonas de seguridad interna).
El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn
permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, los
equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos
(hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el
caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona
desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red
interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente
para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-
mail, Web y DNS.




Jorge Garca Delgado



3.2.2.- Routers y cortafuegos internos.
Activar el firewall del router, para permitir o no aplicaciones y coneciones, adems de las
implementaciones contra ataque que tenga el firewall del router, como es el escaneo de la red
interna o ping desde equipos de internet. Activar tambin un/unos firewall internos determinados
con unas polticas de acceso. Activar logs de acceso y registro de sucesos.


3.2.3.- Monitorizacin interna.
Implementar sistema de monitorizacin para la prevencin de incidencias y detectar los sistemas
crticos (tanto mquinas como servicios) para el buen funcionamiento del sistema. Los objetivos
principales de la monitorizacin son: mantener las medidas de seguridad existentes, minimizar el
impacto en el propio sistema a estudiar, y minimizar el nmero de sistemas intermedios entre el
sistema de monitorizacin y los sistemas crticos.


3.2.4.- Conectividad externa (Enlaces dedicados y redes VPN).
Implementacin de conexiones privadas virtuales para permitir conexiones seguras a la red interna
desde un equipo en internet.


3.3.5.- Cifrados a nivel host.
Implementar medidas de cifrado de extremo a extremo, en cual el host o terminal fuente cifra los
datos antes de transmitirlos hacia el destino. Esto evita la optencin de informacin no cifrada si se
escucha la red


3.3.- Factor Humano.
Implementar un conjunto de polticas y directrices individuales a los usuarios y sistemas fsicos en la
red que permiten la seguridad y el uso adecuado de tecnologa y sistema.




Jorge Garca Delgado
VPN o red privada virtual: Es una tecnologa de red que permite una extensin de la red local sobre
una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad
de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los
miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un
usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel.
Todo ello utilizando la infraestructura de Internet.


4.1.- Beneficios y desventajas con respecto a las lneas dedicadas.

Beneficios:
Ahorro econmico: Permite conectar redes fsicamente separadas sin necesidad de usar
una red dedicada, sino a travs de internet
Transparencia: interconectar distintas sedes en transparente para el usuario final, ya que la
configuracin se puede hacer solo a nivel de pasarela.
Seguridad: se pueden asegurar mltiples servicios a travs de un nico mecanismo.
Movilidad: nos permite asegurar la conexin entre usuarios mviles y nuestra red fija.
Simplicidad: este tipo de soluciones permite simplificar la administracin de la conexin de
servidores y aplicaciones entre diferentes dominios.

Desventajas:
Fiabilidad: Pues que depende del ISP no es 100% fiable, y fallos en la red pueden dejar
incomunicados recursos de nuestra VPN.
Confianza entre sedes: si la seguridad de un nodo o subred involucrada en una VPN se
viese comprometida, eso afectara a la seguridad de todos los componentes de la VPN.
Interoperabilidad: Al implementar una VPN, podemos encontrar incompatibilidades entre
las usadas en los distintos nodos de la VPN.


4.2.- Tipos de conexin VPN:

- VPN de acceso remoto: Consiste en usuarios o proveedores que se conectan con la
empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones
preparados, etctera) utilizando Internet como vnculo de acceso. Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas
empresas han reemplazado con esta tecnologa su infraestructura dial-up (mdems y lneas
telefnicas).

- VPN sitio a sitio (tunneling): Se utiliza para conectar oficinas remotas con la sede central
de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las
conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores
de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de
Internet, tpicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vnculos punto a puntos tradicionales (realizados comnmente mediante
conexiones de cable fsicas entre los nodos), sobre todo en las comunicaciones
internacionales.




Jorge Garca Delgado



Tunneling: Consiste en encapsular un protocolo de red sobre otro creando un tnel dentro
de una red de computadoras. El establecimiento de dicho tnel se implementa incluyendo
un PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo
al otro del tnel sin que sea necesaria una interpretacin intermedia de la PDU
encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios
que son incapaces de ver en claro el contenido de dichos paquetes. El tnel queda definido
por los puntos extremos y el protocolo de comunicacin empleado, que entre otros, podra
ser SSH.

- VPN sobre LAN: Es una variante del tipo "acceso remoto" pero, en lugar de utilizar Internet
como medio de conexin, emplea la misma red de rea local (LAN) de la empresa. Sirve
para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para
mejorar las prestaciones de seguridad de las redes inalmbricas (WIFI).


4.3.- Protocolos que generan una VPN: PPTP, L2F, L2TP.

- Protocolo PPTP: El principio del PPTP (Protocolo de tnel punto a punto) consiste en crear
tramas con el protocolo PPP y encapsularlas mediante un datagrama de IP. Por lo tanto,
con este tipo de conexin, los equipos remotos en dos redes de rea local se conectan con
una conexin de igual a igual (con un sistema de autenticacin/cifrado) y el paquete se
enva dentro de un datagrama de IP. De esta manera, los datos de la red de rea local (as
como las direcciones de los equipos que se encuentran en el encabezado del mensaje) se
encapsulan dentro de un mensaje PPP, que a su vez est encapsulado dentro de un
mensaje IP.

- Protocolo de tnel punto a punto: Consiste en crear tramas con el protocolo PPP y
encapsularlas mediante un datagrama de IP. Por lo tanto, con este tipo de conexin, los
equipos remotos en dos redes de rea local se conectan con una conexin de igual a igual
(con un sistema de autenticacin/cifrado) y el paquete se enva dentro de un datagrama de
IP. De esta manera, los datos de la red de rea local (as como las direcciones de los
equipos que se encuentran en el encabezado del mensaje) se encapsulan dentro de un
mensaje PPP, que a su vez est encapsulado dentro de un mensaje IP.

- Protocolo L2F Layer 2 Forwarding: La principal diferencia entre PPTP y L2F es que el
establecimiento de tneles de L2F no depende del protocolo IP, es capaz de trabajar
directamente con otros medios, como Frame Relay o ATM. Al igual que PPTP, L2F utiliza el
protocolo PPP para la autenticacin del usuario remoto, pero tambin implementa otros
sistemas de autenticacin como TACACS+ y RADIUS. L2F permite que los tneles contengan
ms de una conexin. Hay dos niveles de autenticacin del usuario, primero por parte del
ISP (proveedor de servicio de red), anterior al establecimiento del tnel, y posteriormente,
cuando se ha establecido la conexin con la pasarela corporativa.
Como L2F es un protocolo de Nivel de enlace de datos segn el Modelo de Referencia OSI,
ofrece a los usuarios la misma flexibilidad que PPTP para manejar protocolos distintos a IP,
como IPX o NetBEUI.

- Protocolo L2TP: L2TP es un protocolo de tnel estndar muy similar al PPTP. L2TP
encapsula tramas PPP, que a su vez encapsulan otros protocolos (como IP, IPX o NetBIOS).





Jorge Garca Delgado
5.1.- Pretty Good Privacy (PGP). GNU Privacy Good (GPG).

PGP es una herramienta de cifrado de texto plano a comprimido. La compresin de los
datos ahorra espacio en disco, tiempos de transmisin y, ms importante an, fortalece la
seguridad criptogrfica. Despus de comprimir el texto, PGP crea una clave de sesin
secreta que solo se emplear una vez. Esta clave es un nmero aleatorio generado a partir
de los movimientos del ratn y las teclas que se pulsen durante unos segundos con el
propsito especfico de generar esta clave.

GPG es una herramienta de cifrado y firmas digitales, que viene a ser un reemplazo del PGP
(Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo
la GPL. GPG utiliza el estndar del IETF denominado OpenPGP.


5.2.- Seguridad a nivel de aplicacin: SSH (Secure Shell).
SSH es un protocolo que permite a los equipos establecer una conexin segura que hace posible
que un cliente (un usuario o incluso un equipo) abra una sesin interactiva en una mquina remota
(servidor) para enviar comandos o archivos a travs de un canal seguro.

Los datos que circulan entre el cliente y el servidor estn cifrados y esto garantiza su
confidencialidad (nadie ms que el servidor y el cliente pueden leer la informacin que se
enva a travs de la red).
El cliente y el servidor se autentifican uno a otro para asegurarse que las dos mquinas que
se comunican son, de hecho, aquellas que las partes creen que son. El hacker ya no puede
adoptar la identidad del cliente o de su servidor (falsificacin).

Una conexin SSH se establece en varias fases:
Primero, se determina la identidad entre el servidor y el cliente para establecer un canal
seguro (capa segura de transporte).
Segundo, el cliente inicia sesin en el servidor.


5.3.- Seguridad en IP (IPSEC).
IPSEC es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo
de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin
incluye protocolos para el establecimiento de claves de cifrado.

Para decidir qu proteccin se va a proporcionar a un paquete saliente, IPsec utiliza el ndice de
parmetro de seguridad (SPI), un ndice a la base de datos de asociaciones de seguridad (SADB),
junto con la direccin de destino de la cabecera del paquete, que juntos identifican de forma nica
una asociacin de seguridad para dicho paquete. Para un paquete entrante se realiza un
procedimiento similar; en este caso IPsec toma las claves de verificacin y descifrado de la base de
datos de asociaciones de seguridad.







Jorge Garca Delgado



5.4.- Seguridad en Web:
SSL ("Secure Socket Layer) y TLS ("Transport Layer Security) son protocolos criptogrficos que
proporcionan comunicaciones de seguridad en el Internet. TLS y SSL cifra los segmentos de
conexiones de red por encima de la capa de transporte, utilizando criptografa asimtrica de clave
cambio, el cifrado simtrico de la vida privada, y los cdigos de autenticacin de mensajes para la
integridad del mensaje.


5.4.1.- SSL ("Secure Socket Layer).
SSL proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet
mediante el uso de criptografa. Habitualmente, slo el servidor es autenticado (es decir, se
garantiza su identidad) mientras que el cliente se mantiene sin autenticar.

Funcionamiento:

Durante la primera fase, el cliente y el servidor negocian qu algoritmos criptogrficos se
van a usar.
El cliente enva y recibe varias estructuras handshake:
Enva un mensaje ClientHello especificando una lista de conjunto de cifrados, mtodos de
compresin y la versin del protocolo SSL ms alta permitida. ste tambin enva bytes
aleatorios que sern usados ms tarde (llamados Challenge de Cliente o Reto). Adems
puede incluir el identificador de la sesin.
Despus, recibe un registro ServerHello, en el que el servidor elige los parmetros de
conexin a partir de las opciones ofertadas con anterioridad por el cliente.
Cuando los parmetros de la conexin son conocidos, cliente y servidor intercambian
certificados (dependiendo de las claves pblicas de cifrado seleccionadas). Estos
certificados son actualmente X.509, pero hay tambin un borrador especificando el uso de
certificados basados en OpenPGP.
El servidor puede requerir un certificado al cliente, para que la conexin sea mutuamente
autenticada.
Cliente y servidor negocian una clave secreta (simtrica) comn llamada master secret,
posiblemente usando el resultado de un intercambio Diffie-Hellman, o simplemente
cifrando una clave secreta con una clave pblica que es descifrada con la clave privada de
cada uno. Todos los datos de claves restantes son derivados a partir de este master secret
(y los valores aleatorios generados en el cliente y el servidor), que son pasados a travs una
funcin pseudoaleatoria cuidadosamente elegida.

5.4.2.- TLS ("Transport Layer Security).
TLS (Transport Layer Security) es una evolucin del protocolo SSL (Secure Sockets Layer), es un
protocolo mediante el cual se establece una conexin segura por medio de un canal cifrado entre el
cliente y servidor. As el intercambio de informacin se realiza en un entorno seguro y libre de
ataques. Normalmente el servidor es el nico que es autenticado, garantizando as su identidad,
pero el cliente se mantiene sin autenticar, ya que para la autenticacin mutua se necesita una
infraestructura de claves pblicas (o PKI) para los clientes. Estos protocolos permiten prevenir
escuchas (eavesdropping), evitar la falsificacin de la identidad del remitente y mantener la
integridad del mensaje en una aplicacin cliente-servidor.



Jorge Garca Delgado
Coincidiendo con la aparicin del concepto del teletrabajo, y de la necesidad de interconectar tanto
redes locales, por ejemplo de diversas delegaciones de una misma empresa, como puestos de
trabajo autnomos o mviles con la oficina o de buscar mecanismos de acceso a bases de datos y
otras redes de informacin (Internet e Infova), se determina la aparicin de un nuevo tipo de
dispositivo de "internetworking": los servidores de comunicaciones, tambin denominados
servidores de acceso remoto. Un servidor de acceso remoto es una combinacin de hardware y
software que permite el acceso remoto a herramientas o informacin que residen en una red de
dispositivos. En otras palabras, un servidor remoto es un equipo que permite a otros conectarse a
ste (puede ser a travs de una lnea telefnica por mdem, por ejemplo). Los servidores de acceso
remoto tambin son llamados servidores de comunicaciones o, en ingls, Remote Access
Server/Service, abreviado RAS.


6.1.- Protocolos de autenticacin.
Un protocolo de autentificacin (o autenticacin) es un tipo de protocolo criptogrfico que tiene el
propsito de autentificar entidades que desean comunicarse de forma segura. Los protocolos de
autenticacin se negocian inmediatamente despus de determinar la calidad del vnculo y antes de
negociar el nivel de red.

- Protocolos PPP, PPoE, PPPoA.
PPP: Point-to-Point Protocol: Es un protocolo de nivel de enlace, permite establecer una
conexin entre dos computadoras. Se utiliza para establecer la conexin a Internet de un
particular con su proveedor de acceso a travs de un mdem telefnico. Adems del simple
transporte de datos, PPP facilita dos funciones importantes:

PPOE: Protocolo Punto a Punto sobre Ethernet: Es un protocolo de red para la
encapsulacin PPP sobre una capa de Ethernet, que permite implementar una capa IP
sobre una conexin entre dos puertos Ethernet, lo que es utilizado para virtualmente
"marcar" a otra mquina dentro de la red Ethernet, logrando una conexin "serial" con ella,
con la que se pueden transferir paquetes IP, basado en las caractersticas del protocolo
PPP.

PPPOA: Protocolo de Punto a Punto (PPP) sobre ATM: Es un protocolo de red para la
encapsulacin PPP en capas ATM AAL5, que se utiliza principalmente en conexiones de
banda ancha sixto. Este ofrece las principales funciones PPP como autenticacin, cifrado y
compresin de datos. Actualmente tiene alguna ventaja sobre PPPoE debido a que reduce
la prdida de calidad en las transmisiones. Al igual que PPPoE, PPPoA puede usarse en los
modos VC-MUX y LLC.


- Autenticacin de contrasea: PAP
PAP es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea se
envan al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP,
ya que las contraseas pueden leerse fcilmente en los paquetes del PPP intercambiados durante
el proceso de autenticacin. PAP suele utilizarse nicamente al conectar a servidores de acceso
remoto antiguos basados en UNIX que no admiten mtodos de autenticacin ms seguros.





Jorge Garca Delgado



- Autenticacin por desafo mutuo: CHAP
Es un mtodo de autenticacin muy utilizado en el que se enva una representacin de la
contrasea del usuario, no la propia contrasea. Con CHAP, el servidor de acceso remoto enva un
desafo al cliente de acceso remoto. El cliente de acceso remoto utiliza un algoritmo hash (tambin
denominado funcin hash) para calcular un resultado hash de MD5 basado en el desafo y un
resultado hash calculado con la contrasea del usuario.

El cliente de acceso remoto enva el resultado hash MD5 al servidor de acceso remoto. El servidor
de acceso remoto, que tambin tiene acceso al resultado hash de la contrasea del usuario, realiza
el mismo clculo con el algoritmo hash y compara el resultado con el que envi el cliente.

Si los resultados coinciden, las credenciales del cliente de acceso remoto se consideran autnticas.
El algoritmo hash proporciona cifrado unidireccional, lo que significa que es sencillo calcular el
resultado hash para un bloque de datos, pero resulta matemticamente imposible determinar el
bloque de datos original a partir del resultado hash.


- Autenticacin extensible: EAP. Mtodos.
(EAP) es una autenticacin framework usada habitualmente en redes WLAN Point-to-Point
Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede ser usado para
autenticacin en redes cableadas. Recientemente los estndares WPA y WPA2 han adoptado cinco
tipos de EAP como sus mecanismos oficiales de autenticacin. Estos mecanismos son llamados
mtodos EAP, de los cuales se conocen actualmente unos 40. Adems de algunos especficos de
proveedores comerciales, los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC,
EAP-TLS, EAP-IKEv2, EAP-SIM, y EAP-AKA.

Los mtodos modernos capaces de operar en ambientes inalmbricos incluyen EAP-TLS, EAP-SIM,
EAP-AKA, PEAP, LEAP y EAP-TTLS.

Cuando EAP es invocada por un dispositivo NAS (Network Access Server) capacitado para 802.1X,
como por ejemplo un punto de acceso 802.11 a/b/g, los mtodos modernos de EAP proveen un
mecanismo seguro de autenticacin y negocian un PMK (Pair-wise Master Key) entre el dispositivo
cliente y el NAS. En esas circunstancias, la PMK puede ser usada para abrir una sesin inalmbrica
cifrada que usa cifrado TKIP o AES.

Proceso de Intercambio de Autenticacin EAP
1.- El Servidor de Autenticacin enva un Request (Solicitud) de Autenticacin al cliente, el mensaje
de Request tiene un campo de Tipo, en el cual el cliente debe responder que es lo que est
solicitando, los tipos existentes son: Identidad, Notificacin, Nak, MD5-Challenge, One-Time
Password (OTP), GenericToken-Card (GTC), Tipos Expandidos y Experimental.

2.- El Cliente enva un paquete Response (Respuesta) al Servidor. Al igual que en el paquete
Request, el paquete Response contiene un campo de Tipo, el cual corresponde al campo de Tipo en
el paquete de Request.

3.- El Servidor de autenticacin enva un paquete Request adicional, al cual el cliente enva un
Response. La secuencia de Request y Response continua segn sea necesario. Como se mencion,
EAP es un protocolo lock-step, por lo que no se puede enviar el siguiente paquete sin haber
recibido uno vlido antes. El servidor es responsable de transmitir las solicitudes de retrasmisin,
dichos mtodos se describen en el RFC de EAP. Despus de un nmero de retransmisiones, el
Servidor PUEDE terminar la conversacin EAP.
Jorge Garca Delgado



El Servidor NO PUEDE enviar un paquete de Success o Failure cuando se retransmite o cuando falla
en recibir una respuesta a dichos paquetes por parte del cliente.

4.-La conversacin contina hasta que el Servidor no puede autenticar al cliente, y en dicho caso el
Servidor DEBE trasmitir un mensaje de Failure. Como alternativa, la conversacin de autenticacin
puede continuar hasta que el Servidor determina que se ha cumplido con una autenticacin
satisfactoriamente, para dicho caso, el Servidor DEBE enviar un paquete de Success.


- PEAP.
PEAP El Protocolo de autenticacin extensible protegido, que utiliza seguridad a nivel de
transporte (TLS) para crear un canal cifrado entre un cliente de autenticacin PEAP, como un
equipo inalmbrico, y un autenticador PEAP, como un Servicio de autenticacin de Internet (IAS) o
un servidor del Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS). PEAP no
especifica un mtodo de autenticacin, sino que proporciona seguridad adicional para otros
protocolos de autenticacin de EAP, como EAP-MSCHAPv2, que pueden operar a travs del canal
cifrado de TLS que proporciona PEAP. PEAP se utiliza como mtodo de autenticacin para los
equipos cliente inalmbricos 802.11, pero no se admite en clientes de red privada virtual (VPN) u
otros clientes de acceso remoto.

Proceso de autenticacin PEAP
El proceso de autenticacin PEAP entre el cliente y el autenticador PEAP tiene lugar en dos etapas.
En la primera etapa se configura un canal seguro entre el cliente PEAP y el servidor de
autenticacin. En la segunda se proporciona la autenticacin EAP entre el cliente y el autenticador
EAP.


- Kerberos.
Kerberos es un protocolo de autenticacin de redes de ordenador que permite a dos computadores
en una red insegura demostrar su identidad mutuamente de manera segura. Los mensajes de
autenticacin estn protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en
criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen extensiones del
protocolo para poder utilizar criptografa de clave asimtrica.

1. Un usuario ingresa su nombre de usuario y password en el cliente
2. El cliente genera una clave hash a partir del password y la usar como la clave secreta del cliente.

3. El cliente enva un mensaje en texto plano al AS solicitando servicio en nombre del usuario. Nota:
ni la clave secreta ni el password son enviados, solo la peticin del servicio.

4. El AS comprueba si el cliente est en su base de datos. Si es as, el AS genera la clave secreta
utilizando la funcin hash con la password del cliente encontrada en su base de datos. Entonces
enva dos mensajes al cliente:

1. Mensaje A: Client/TGS sessionkey cifrada usando la clave secreta del usuario
2. Mensaje B: Ticket-Granting Ticket (que incluye el ID de cliente, la direccin de red del
cliente, el perodo de validez y el Client/TGS sessionkey) cifrado usando la clave secreta del
TGS.


Jorge Garca Delgado



5. Una vez que el cliente ha recibido los mensajes, descifra el mensaje A para obtener el client/TGS
sessionkey. Esta sessionkey se usa para las posteriores comunicaciones con el TGS. (El cliente no
puede descifrar el mensaje B pues para cifrar ste se ha usado la clave del TGS). En este momento
el cliente ya se puede autenticar contra el TGS.

6. Entonces el cliente enva los siguientes mensajes al TGS:

1. Mensaje C: Compuesto del Ticket-Granting Ticket del mensaje B y el ID del servicio
solicitado.
2. Mensaje D: Autenticador (compuesto por el ID de cliente y una marca de tiempo),
cifrado usando el client/TGS sessionkey.

7. Cuando recibe los mensajes anteriores, el TGS descifra el mensaje D (autenticador) usando el
client/TGS sessionkey y enva los siguientes mensajes al cliente:

1. Mensaje E: Client-to-server ticket (que incluye el ID de cliente, la direccin de red del
cliente, el perodo de validez y una Client/Server sessionkey) cifrado usando la clave secreta
del servicio.
2. Mensaje F: Client/server session key cifrada usando el client/TGS session key.

8. Cuando el cliente recibe los mensajes E y F, ya tiene suficiente informacin para autenticarse
contra el SS. El cliente se conecta al SS y enva los siguientes mensajes:

1. Mensaje E del paso anterior.
2. Mensaje G: un nuevo Autenticador que incluye el ID de cliente, una marca de tiempo y
que est cifrado usando el client/server sessionkey.

9. El SS descifra el ticket usando su propia clave secreta y enva el siguiente mensaje al cliente para
confirmar su identidad:
1. Mensaje H: la marca de tiempo encontrada en el ltimo Autenticador recibido del cliente ms
uno, cifrado el client/server sessionkey.

10. El cliente descifra la confirmacin usando el client/server sessionkey y chequea si la marca de
tiempo est correctamente actualizada. Si esto es as, el cliente confiar en el servidor y podr
comenzar a usar el servicio que este ofrece.

11. El servidor provee del servicio al cliente.


- Protocolos AAA:

Serie de protocolos combinados que realizan tres funciones: Autenticacin, Autorizacin y
Contabilizacin.

Autenticacin La Autenticacin es el proceso por el que una entidad prueba su identidad ante otra.
Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor
(ordenador). La Autenticacin se consigue mediante la presentacin de una propuesta de identidad
(vg. un nombre de usuario) y la demostracin de estar en posesin de las credenciales que
permiten comprobarla.

Jorge Garca Delgado



Autorizacin Autorizacin se refiere a la concesin de privilegios especficos (incluyendo "ninguno")
a una entidad o usuario basndose en su identidad (autenticada), los privilegios que solicita, y el
estado actual del sistema. Las autorizaciones pueden tambin estar basadas en restricciones, tales
como restricciones horarias, sobre la localizacin de la entidad solicitante, la prohibicin de realizar
logins mltiples simultneos del mismo usuario, etc. La mayor parte de las veces el privilegio
concedido consiste en el uso de un determinado tipo de servicio.

Contabilizacin La Contabilizacin se refiere al seguimiento del consumo de los recursos de red por
los usuarios. Esta informacin puede usarse posteriormente para la administracin, planificacin,
facturacin, u otros propsitos. La contabilizacin en tiempo real es aquella en la que los datos
generados se entregan al mismo tiempo que se produce el consumo de los recursos. En
contraposicin la contabilizacin por lotes (en ingls "batch accounting") consiste en la grabacin
de los datos de consumo para su entrega en algn momento posterior. La informacin tpica que
un proceso de contabilizacin registra es la identidad del usuario, el tipo de servicio que se le
proporciona, cuando comenz a usarlo, y cuando termin.


-RADIUS:
Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP.
Utiliza el puerto 1812UDP para establecer sus conexiones. Cuando se realiza la conexin con un ISP
mediante mdem, DSL, cable, mdem, Ethernet o Wi-Fi, se enva una informacin que
generalmente es un nombre de usuario y una contrasea.

Esta informacin se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP,
quien redirige la peticin a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS
comprueba que la informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP
o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de
red como una direccin IP, y otros parmetros como L2TP, etc.

Actualmente existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto. Las
prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de texto,
servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear
remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracin
centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer
conversiones entre dialectos de diferentes fabricantes).... RADIUS es extensible; la mayora de
fabricantes de software y hardware RADIUS implementan sus propios dialectos.


-TACACS+:
TACACS+ (acrnimo de Terminal Access Controller Access Control System, en ingls sistema de
control de acceso del controlador de acceso a terminales) es un protocolo de autenticacin remota
que se usa para gestionar el acceso (proporciona servicios separados de autenticacin, autorizacin
y registro) a servidores y dispositivos de comunicaciones.

TACACS+ est basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente
nuevo e incompatible con las versiones anteriores de TACACS.





Jorge Garca Delgado



6.2.- Configuracin de parmetros de acceso.

-Limitar el acceso determinadas mquinas: Para especificar un equipo podemos hacer uso:
de la direccin IP del equipo,
de la red de equipos
del nombre del dominio del equipo
del nombre de dominio que engloba a todos los equipos que le pertenecen.

-Controlar el nmero mximo de conexiones: Es importante para prevenir ataques de DoS:
Limitar el nmero de conexiones al servicio.
Limitar el nmero de conexiones al servicio haciendo distincin entre mquinas y/o
usuarios.

-Controlar el tiempo de conexin
Controlar el tiempo mximo de inactividad
Controlar el tiempo mximo de conexin activa en caso de atascos o bloqueos
Controlar el tiempo mximo que se puede estar sin transferencias de informacin:

-Auditora: Nos permite llevar el control de las acciones sobre el servidor FTP. Se puede auditar:
Qu usuarios establecieron conexin, en qu momento se estableci la conexin
Qu operaciones se llevaron a cabo

-Combinacin de sitio annimo y no annimo
Es posible tener sitios mixtos, para ello se mantiene el bloque descriptivo de los usuarios
annimos y se elimina la directiva que evita todo acceso al servicio por parte de los
usuarios del sistema.


6.3.- Servidores de autenticacin.
Son servidores que controlan quin puede acceder, o no, a una red informtica. Los objetivos son la
autorizacin de autenticacin, la privacidad y no repudio. La autorizacin determina qu objetos o
datos de un usuario puede tener acceso a la red, si los hubiere. Privacidad mantiene la informacin
se divulgue a personas no autorizadas. No repudio es a menudo un requisito legal y se refiere al
hecho de que el servidor de autenticacin puede registrar todos los accesos a la red junto con los
datos de identificacin, de manera que un usuario no puede repudiar o negar el hecho de que l o
ella ha tenido o modificado el datos en cuestin.

Servidores de autenticacin vienen en muchas formas diferentes. El software de control de la
autenticacin puede residir en un servidor de acceso a la red informtica, una pieza de router o de
otro tipo de hardware para controlar el acceso a la red, o algn otro punto de acceso de red.
Independientemente del tipo de mquina que aloja el software de autenticacin, el trmino
servidor de autenticacin sigue siendo generalmente utilizado para referirse a la combinacin de
hardware y software que cumple la funcin de autenticacin.

Adems de las variaciones en el hardware, hay un nmero de diferentes tipos de algoritmos lgicos
que pueden ser utilizados por un servidor de autenticacin. El ms simple de estos algoritmos de
autenticacin es generalmente considerado como el uso de contraseas. En una aplicacin sencilla,
el servidor de autenticacin slo puede almacenar una lista de nombres de usuario vlido y la
contrasea correspondiente, y autenticar todos los usuarios que intentan conectarse a la red de
acuerdo a esta lista.
Jorge Garca Delgado



Algunos servidores de autenticacin son:

OpenLDAP: Es una implementacin libre y de cdigo abierto del protocolo Lightweight
Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP. LDAP es un
protocolo de comunicacin independiente de la plataforma. LDAP es un protocolo a nivel
de aplicacin el cual permite el acceso a un servicio de directorio ordenado y distribuido
para buscar diversa informacin en un entorno de red. LDAP tambin es considerado una
base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que
pueden realizarse consultas.

Active Directory: Es el nombre utilizado por Microsoft como almacn centralizado de
informacin de uno de sus dominios de administracin.

Novell Directory Services: Tambin conocido como eDirectory es la implementacin de
Novell utilizada para manejar el acceso a recursos en diferentes servidores y computadoras
de una red.

iPlanet - Sun ONE Directory Server: Basado en la antigua implementacin de Netscape.

OpenLDAP: Se trata de una implementacin libre del protocolo que soporta mltiples
esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP. Tiene su
propia licencia, la OpenLDAP Public License.

Red Hat Directory Server: Directory Server es un servidor basado en LDAP que centraliza
configuracin de aplicaciones, perfiles de usuarios, informacin de grupos, polticas as
como informacin de control de acceso dentro de un sistema operativo independiente de
la plataforma.

Apache Directory Server : Apache Directory Server (ApacheDS).

Open DS: Basado en los estndares LDAPv3 y DSMLv2, OpenDS surgi como un proyecto
interno de SUN, aunque posteriormente se puso a disposicin de la comunidad.

KERBEROS: servidor que se conoce como KDC (Key Distribution Center), que utiliza un
sistema de criptografa simtrica (por defecto, Kerberos emplea el algoritmo de cifrado
DES).