FUNDAMENTOS DE REDES Y SEGURIDAD

SEMANA 7

Modelamiento de seguridad en
diferentes tipos de redes

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No est
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposicin del pblico ni
ESTE
DOCUMENTO
LA de
SEMANA
7
utilizar
los contenidos paraCONTIENE
fines comerciales
ninguna clase.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

NDICE
OBJETIVOS ESPECFICOS ...................................................................................................................... 4
INTRODUCCIN ................................................................................................................................... 4
1.

2.

3.

TIPOS DE ATAQUES Y AMENAZAS ............................................................................................... 5

1.1.

PACKET SNIFFERS (RASTREADORES DE PAQUETES) ............................................................ 5

1.2.

ARP POISONING (ARP SPOOFING) ....................................................................................... 5

1.3.

MAN IN THE MIDDLE (MITM) .............................................................................................. 6

1.4.

DOS (NEGACIN DE SERVICIOS) .......................................................................................... 7

1.5.

REDIRECCIONAMIENTO DE PUERTOS ................................................................................. 8

1.6.

CONTRASEAS..................................................................................................................... 8

1.7.

ACCESOS NO AUTORIZADOS ............................................................................................... 9

1.8.

VIRUS Y TROYANOS ........................................................................................................... 10

DISPOSITIVOS DE SEGURIDAD ................................................................................................... 10

2.1.

ROUTER ............................................................................................................................. 10

2.2.

SWITCHES .......................................................................................................................... 11

MECANISMOS LGICOS DE SEGURIDAD ................................................................................... 11

3.1.

HOSTS ................................................................................................................................ 11

3.2.

APLICACIONES ................................................................................................................... 12

COMENTARIO FINAL.......................................................................................................................... 13
REFERENCIAS........................................................................................................................................ 14

ESTE DOCUMENTO CONTIENE LA SEMANA 7

MODELAMIENTO DE SEGURIDAD EN DIFERENTES TIPOS DE

REDES

OBJETIVOS ESPECFICOS

Discriminar el tipo de ataque y amenaza que puede vulnerar una red.

Disear un plan de trabajo de seguridad que permita resguardar la integridad de la

informacin, dependiendo del tipo de red.

Combinar de manera correcta los distintos dispositivos y mecanismos de aseguramiento

de la informacin, tanto fsico como lgico, a partir de un contexto de red especfico.

INTRODUCCIN
El principal objetivo al modelar una red segura es ofrecer informacin sobre las mejores prcticas
a las empresas en el diseo e implementacin de una red segura que, por sobre todo, pueda
proteger su informacin clave y confidencial.
Al modelar una red, es importante adoptar un enfoque de defensa para el diseo de la seguridad
de ella, este tipo de diseo debe estar centrado en las amenazas a las que la red pueda estar
expuesta y tener preparados los medios para combatirlas.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

1. TIPOS DE ATAQUES Y AMENAZAS

1.1. PACKET SNIFFERS (RASTREADORES DE PAQUETES)

Los packet sniffers son sistemas que capturan las tramas de una red. Para esto el rastreador
cambia el estado de la tarjeta de red a modo promiscuo para que en la capa de enlace no sean
descartadas las tramas no destinadas a la MAC de la tarjeta y as capturar el trfico de la red.
Para evitar estos rastreadores se puede implementar una infraestructura conmutada que limita la
efectividad del rastreo.
Intercepcin de paquetes en una red

Fuente: Katz, (2013, p. 255).

1.2. ARP POISONING (ARP SPOOFING)

El protocolo ARP se encarga de traducir direcciones MAC a direcciones IP. Gracias a este protocolo
los equipos de una red pueden identificarse entre ellos. El mtodo de ARP broadcasting le permite
a un equipo identificarse en la red, informando masivamente a toda la red de sus direcciones IP y
MAC. Esto es posible mediante el envo de un paquete de broadcast que contenga dichas
direcciones.
Este paquete, al ser recibido por todos los equipos en el segmento, es ledo por el protocolo ARP
de cada equipo, luego el protocolo ARP actualiza su tabla de asignaciones dinmicamente.
Despus, esta lista ser utilizada por el sistema operativo para obtener la informacin necesaria
para generar los paquetes que sern introducidos en la red.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

El ataque de ARP poisoning (envenenamiento ARP o ARP spoofing) consta de la generacin

arbitraria de paquetes de ARP broadcasting falsos por parte del atacante, que relacionan la
direccin MAC de su equipo con la direccin IP de quien ser el equipo vctima.
Adicionalmente, existe otro punto negativo de este ataque y es que el paquete que fue redirigido
y enviado al atacante jams fue recibido por la vctima. Esto presenta una dificultad, ya que tanto
el emisor como el receptor pueden asumir que existe algn problema en la red, lo cual puede
continuar con una revisin de la red y el posterior descubrimiento del ataque.
La amenaza de la falsificacin de IP puede reducirse, pero no eliminarse, algunas de las medidas
que se pueden tomar son las siguientes:
Control de acceso: el mtodo que comnmente es utilizado para controlar la falsificacin de IP
es una configuracin para control de acceso estricta. Esto quiere decir que se debe configurar
el control de acceso para que rechace todo el trfico de las redes externas que contengan una
direccin IP de origen, que debiera estar en la red interna.
Una falsificacin de IP solo es posible cuando los dispositivos conectados a la red utilizan
autenticacin basada en direcciones IP. Por eso, es importante utilizar otros mtodos de
autenticacin para eliminar el riesgo de los ataques de falsificacin de IP. Por ejemplo, la
autenticacin criptogrfica es una forma muy eficaz de autenticacin alternativa.
Ejemplo de estructura de red

Fuente: Katz (2013, p. 259).

1.3. MAN IN THE MIDDLE (MITM)

El ataque MITM es una tcnica que complementa el ARP poisoning, ampliando el nivel del ataque,
y agregando un paso ms: la duplicacin y reenvo a la vctima de la informacin obtenida.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

Cronolgicamente, un ataque MITM se sita entre el momento en que el mensaje fue enviado, la
vctima no recibi el paquete y el emisor permanece esperando una respuesta. Este proceso
tambin puede suceder en las sesiones iniciadas por la vctima como, por ejemplo: una conexin a
un servidor web, FTP, SMTP.
Los ataques del tipo man in the middle solo se pueden combatir eficazmente mediante el uso de la
criptografa. Si alguien se apropia de los datos del centro de una sesin privada criptogrfica, lo
nico que ver el hacker es un texto cifrado, no el mensaje original. Se debe tener en cuenta que si
un hacker puede obtener informacin sobre la sesin criptogrfica puede realizar este tipo de
ataques.
Redireccin del paquete hacia el atacante

Fuente: Katz, (2013, p. 262).

1.4. DOS (NEGACIN DE SERVICIOS)

Los ataques de DoS (negacin de servicios) son aquellos que inhabilitan el servicio de un recurso
de la red a los usuarios legtimos de ella. Normalmente estn enfocados a los servidores de correo
y servidores web, pero de todas formas afectan a toda la red. Los ataques DoS, en general, se
presentan en dos formas:
1) Pueden negar el servicio inundando la red con trfico basura.
2) Pueden aprovecharse de los errores en el software de la red para acceder a los servidores.
Los ataques DoS contra un servidor de correos normalmente saturan de correos hasta denegar el
servicio a los usuarios legtimos o se satura debido a la intensa carga de informacin.
Anthony Velte y Toby Velte (2011) recomiendan para prevenir los ataques DoS los siguientes
mtodos:

ESTE DOCUMENTO CONTIENE LA SEMANA 7

Caractersticas antifalsificacin: bsicamente la correcta configuracin de las

caractersticas antifalsificacin de los routers y firewalls reducen el riesgo, porque si un
hacker no logra enmascarar su identidad, no pueden atacar, ya que quedara al
descubierto.

Caractersticas anti-DoS: al igual que la medida anterior, la configuracin correcta de las

caractersticas anti-DoS del router y firewall ayuda a limitar la eficacia de un ataque. Estas
configuraciones implican poner un lmite de conexiones abiertas, que soporte un sistema
en un momento dado.

Limitacin de la velocidad del trfico: este filtro se encarga de limitar la cantidad de

trfico que atraviesa los segmentos de la red a una velocidad determinada. Un ejemplo
comn es limitar la cantidad de trfico ICMP que se permite entrar en la red, ya que solo
se emplea para realizar diagnsticos. Los ataques de DoS basados en ICMP son frecuentes.

1.5. REDIRECCIONAMIENTO DE PUERTOS

El ataque de redireccionamiento de puertos es un tipo de ataque que utiliza un host para pasar
trfico que en una configuracin normal sera rechazado por el firewall. Por ejemplo, un firewall
con tres interfaces y un host en cada interfaz. El host del exterior puede acceder al host del
segmento de servicios pblicos (normalmente denominado DMZ), pero no al host interno. El host
del segmento de servicios pblicos puede acceder tanto al host externo como al interno. Si los
hackers fueran capaces de poner en peligro al host del segmento de servicios pblicos, podran
instalar un software que redireccionar el trfico del host externo directamente al interno.
Aunque ninguna comunicacin viola las reglas implementadas en el firewall, el host externo ya ha
conseguido conectividad con el interno a travs del proceso de redireccionamiento en el host de
servicios pblicos.
Es posible evitar el redireccionamiento, utilizando los modelos de confianza apropiados, es decir,
si un sistema sufre un ataque, el IDS basado en host ayudar a detectar al hacker y evitar que
instale utilidades extraas en el host.

1.6. CONTRASEAS
Existen diversos tipos de ataques relacionados con las contraseas, los ms comunes son los
ataques por fuerza bruta, troyanos, falsificacin de IP y rastreadores de paquetes. A pesar de que
con los dos ltimos mencionados, lo que se obtiene son cuentas de usuarios y contraseas. Los
ataques a contraseas estn basados en intentos repetidos para lograr captar cuentas de usuario
y/o contraseas, a este mtodo de ofensiva se le llama ataques por fuerza bruta.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

Comnmente los ataques por fuerza bruta se ejecutan a travs de un programa que funciona a
travs de la red que se conecta a un recurso compartido como, por ejemplo un servidor. Cuando el
atacante consigue obtener acceso a los recursos, tiene los mismos derechos que los usuarios cuyas
cuentas han estado en peligro para obtener acceso a dichos recursos. Si las cuentas en peligro
tienen suficientes privilegios, los hackers crean puertas traseras para poder acceder ms adelante,
sin preocuparse de los cambios de estado o de contrasea en las cuentas de usuario en peligro.
Existe otro problema, que tiene que ver con los usuarios que tienen la misma contrasena en todos
los sistemas a los que se conectan a menudo, por ejemplo, correo electrnico, redes sociales,
sistemas corporativos, etc. Dado que la seguridad de las contraseas, depende del host que la
contiene, si dicho host est en peligro, los hackers tienen una amplia gama de hosts en los que
pueden probar la misma contrasea.
Para evitar los ataques a las contraseas, se puede utilizar la autenticacin criptogrfica, lo que
elimina virtualmente esta amenaza, pero lamentablemente no todas las aplicaciones, hosts y
dispositivos que existen reconocen estos mtodos de autenticacin.
Otro punto bsico es la creacin de las contraseas, es importante elegir una que sea difcil de
detectar o deducir, por ejemplo, que estas tengan un mnimo de ocho caracteres y, adems,
contengan maysculas, minsculas, nmeros y caracteres especiales. Las contraseas ms seguras
son las que se generan aleatoriamente, pero son muy difciles de recordar lo que conduce a los
usuarios a apuntar sus contraseas para no olvidarlas.

1.7. ACCESOS NO AUTORIZADOS

Segn Velte y Velte (2011) los accesos no autorizados, aunque no son un tipo de ataque
especfico, estos hacen referencia a la mayora de los ataques que se realizan actualmente a las
redes.
Por ejemplo, para que alguien realice un ataque por fuerza bruta a una conexin por telnet, debe
lograr el indicativo de telnet en un sistema mediante conexin al puerto de telnet, el mensaje
puede indicar: authorization required to use this resource. Si el usuario no reconocido contina
intentando acceder, sus acciones pasan a ser no autorizadas. Estos tipos de ataques pueden
iniciarse tanto en el exterior como en el interior de una red.
Las tcnicas para combatir los ataques de accesos no autorizados son muy sencillas, ya que
bsicamente la idea es reducir o eliminar la posibilidad de obtener acceso a un sistema utilizando
un protocolo no autorizado, por ejemplo, deshabilitar el acceso al puerto de telnet de un servidor
que necesite proporcionar servicios de web al exterior. Si los hackers no pueden acceder a dicho
puerto, es muy difcil que lo ataquen. La funcin principal de los firewalls de las redes es evitar
ataques de acceso no autorizado.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

1.8. VIRUS Y TROYANOS

Virus: es un programa que se dispersa infectando a otros archivos con una copia de ellos
mismos. Entre los archivos que pueden infectarse por virus son los del sistema (.com, .exe
y .dll), los de aplicaciones que soportan macrolenguajes y los de uso comn (.doc, .xls,
.ppt, .jpg, .png, etc.).

Gusanos: es un programa que se propaga enviando copias de s mismo a otros

computadores que, a su vez, envan copias a otros computadores. Los gusanos se han
difundido a travs de sistemas de correo electrnico junto con un mensaje que invita al
receptor a abrir los archivos adjuntos que contienen el gusano, el cual enva copias de s
mismo a los contactos de la libreta de direcciones.

Caballo de Troya: es un programa que tiene como objetivo hacer algo interesante o til y
que despus lleva a cabo acciones maliciosas tras bambalinas, mientras que el usuario
est interactuando con el programa principal.

Bombas lgicas: son porciones maliciosas de cdigo de programacin insertadas en un

programa normal. Habitualmente, el autor del programa las inserta. Las bombas lgicas
pueden programarse para ser ejecutadas en un tiempo especfico borrando archivos u
otras acciones.

Para proteger una red de los ataques de virus, es necesario implementar algn software antivirus
que busca virus conocidos o alguna actividad similar a estos. De esta manera, el software elimina
el virus dejando el archivo original intacto o en cuarentena para ser validado posteriormente por
el administrador del sistema.

2. DISPOSITIVOS DE SEGURIDAD

2.1. ROUTER
Los routers controlan todos los accesos entre las redes, estn a cargo de filtrar el acceso a ellas y
son potencialmente vulnerables a los hackers. Los routers son un dispositivo crtico de seguridad
dentro de una red, ya que son los encargados de proporcionar acceso y, por lo tanto, es
importante asegurarlos para evitar accesos indebidos a la red.
Algunas configuraciones importantes de aplicar son las siguientes:

Bloqueo del acceso por telnet a un router.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

10

Bloqueo del acceso por el protocolo SNMP a un router.

Desactivar los servicios que no se encuentren en uso.
Autenticacin de las actualizaciones del enrutamiento.

2.2. SWITCHES
Los switches tienen su propio conjunto de consideraciones de seguridad al igual que los routers,
pero a diferencia de estos, no existe gran informacin publicada con respecto a sus riesgos de
seguridad y de cmo combatir dichos riesgos.
Al implementar un switch es importante tomar las siguientes precauciones:
Desactivar los puertos que no necesiten enlaces troncales y no dejar la configuracin en
automtico. Esto evita que un host se convierta en un puerto troncal y que reciba el trfico
enviado a dicho puerto.
Los puertos troncales deben usar un nmero de VLAN (LAN virtual) que no es utilizado en
ninguna otra parte del switch. Esto evita que los paquetes con la misma VLAN que el puerto
troncal, lleguen a otra VLAN, sin cruzar ningn dispositivo de capa de red.
Asignar todos los puertos no utilizados de un switch a una VLAN que no tenga conectividad de
capa de red o bien desactivar todos los puertos que no se utilizarn. Esto es para evitar que los
hackers se conecten a los puertos no utilizados y se comuniquen con el resto de la red.

3. MECANISMOS LGICOS DE SEGURIDAD

3.1. HOSTS
Los hosts son los principales blancos de ataques, desde el punto de vista de la seguridad, son los
ms difciles de asegurar. Dado que los hosts proporcionan los servicios de aplicaciones a los
restantes hosts que los soliciten, son visibles en la red.
Para asegurar los hosts, es necesario tener bien configurados todos los componentes de los
sistemas. Adems, es importante mantener los sistemas actualizados con los parches y
actualizaciones ms recientes, teniendo en cuenta antes de instalar estas actualizaciones y/o
parches no afecten de forma negativa al resto de los componentes. Lo mejor es tener un sistema

ESTE DOCUMENTO CONTIENE LA SEMANA 7

11

de pruebas, donde poder ejecutar previamente dichas actualizaciones y asegurarse de su buen

funcionamiento.

3.2. APLICACIONES
Las aplicaciones son codificadas por seres humanos y, por lo tanto, pueden incluir una serie de
errores, que pueden ser benignos, por ejemplo, un documento que se imprime sin formato o
tambin podran ser malignos como en el caso de dejar abierto el acceso a travs FTP annimo a
los datos de los clientes de la base de datos.
Para estos problemas es importante tener un IDS (sistema de deteccin de intrusos), que acta
como un sistema de alertas que se activa cada vez que detecta algo que considera un ataque.
Adems, tiene la facultad de aplicar medidas correctivas o enviar un aviso para el administrador de
la red.
Una vez instalado el IDS, es necesario ajustar su configuracin para evitar falsas alarmas y
aumentar su eficacia. Los falsos positivos consisten en alarmas que son detonadas por trfico
legtimo de la red, los falsos negativos son ataques que el IDS considera como accesos legtimos.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

12

COMENTARIO FINAL
El tema de la seguridad en las redes es sumamente extenso y todos los das aparecen nuevos
ataques y herramientas para evitarlos volviendo obsoletos los ataques que a su vez dan camino a
nuevos. Es un trabajo que nunca termina y del que nunca se conoce lo suficiente.
Por eso es tan importante conocer los ataques y por sobre todo cmo funcionan, para lograr
evitarlos de la mejor forma y estar prevenido para sus futuras variantes.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

13

REFERENCIAS
Hallberg, B. (2006). Fundamentos de redes. McGraw-Hill Interamericana.
Katz, M. (2013). Redes y seguridad. Mxico: Alfaomega Grupo Editor.
Velte, A. y Velte, T. (2011). Manual de Cisco. 4 edicin. Mxico: McGraw-Hill Interamericana.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2014). Modelamiento de seguridad en diferentes tipos de redes. Fundamentos de Redes y
Seguridad. Semana 7.

ESTE DOCUMENTO CONTIENE LA SEMANA 7

14

ESTE DOCUMENTO CONTIENE LA SEMANA 7

15