UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

La Universidad Católica de Loja

TITULACIÓN DE ELECTRÓNICA Y TELECOMUNICACIONES

SEGURIDAD DE REDES
Integrantes:
➢ Karen Arciniega
➢ Thalia Mijas
➢ Christian Jimenéz
➢ Jonh Ortega
➢ Jonathan Maldonado
➢ Jorge Largo

SEGURIDAD PERIMETRAL Y FIREWALLS

La seguridad perimetral es un concepto emergente asume la integración de elementos y sistemas, tanto

electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de
intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles.

La seguridad perimetral de una empresa es primordial. Los ataques por red y pérdidas de información
ocasionan un gran trastorno y no solo la imagen si no también el funcionamiento y progreso de una
empresa se ven afectados.

Una plataforma robusta para el control de accesos y protección de los servicios informáticos garantiza un
correcto aprovechamiento de la infraestructura y garantiza la integridad y confidencialidad de la
información.

1. INTRUSOS:
Es considerado como uno de los mayores peligros que conlleva la seguridad. Considerados como hackers
o crackers, se distinguen tres tipos de intrusos:

• Suplantador. - persona no autorizada, la cual penetra los controles hasta los controles de acceso
de sistema para apoderarse de la cuenta de un usuario legítimo.
• Usuario fraudulento. - Usuario legítimo que accede a datos, programas o recurso para los que el
acceso no está autorizado. O realiza un uso fraudulento de los datos a los que accede.
• Usuario clandestino. - toma control de supervisión del sistema y lo usa para evadir controles de
auditoria y de acceso o para suprimir información de auditoria.

Es probable que el suplantador sea un usuario externo; el usuario fraudulento normalmente es un usuario
interno; el usuario clandestino puede ser algún dé a fuera o dentro.

Cada ataque que se realice puede ser benigno o maligno. El ataque benigno es cuando es la exploración
de la red por medio del intruso con el afán de descubrir las vulnerabilidades. En el extremo maligno es la
lectura de información privada o realizar modificación es no autorizadas de datos o interrupción del
sistema.
 1.1. Técnicas de intrusión

El objetivo que el intruso tiene al momento de ingresar a los sistemas es aumentar el rango de
privilegios que este puede tener. La persona que ingresa puede acceder a información protegida
en su mayoría de casos contraseñas.

Los archivos con contraseña se los puede proteger de dos maneras:

• Cifrado unidireccional

Almacena información cifrada de la contraseña de usuario, al momento del usuario ingresa esta
contraseña es comparada con el valor que se almaceno anteriormente en caso de que la
contraseña no sea igual se niega el acceso.

• Control de acceso

Limita el acceso solamente a una o unas cuentas. Lo hackers emplean métodos como lista de
posibles contraseñas que están en los sitios web de hackers, emplear números de teléfono de los
usuarios o documentos de identificación.

Según ALVA90 presenta las siguientes técnicas para descubrir contraseñas son:

✓ Probar contraseñas predeterminadas que se usan con las cuentas estándar suministradas
con el sistema. Muchos administradores no se molestan en realizar cambios.
✓ Probar de forma exhaustica todas las contraseñas cortas (las de uno a tres caracteres).
✓ Probar las palabras del diccionario en línea del sistema o una lista de posibles contraseñas,
que se pueden encontrar en tablones de asunción de hackers.
✓ Recoger información sobre usuario como, por ejemplo, los nombres completos, el nombre
de su cónyuge e hijos, cuadros en su oficina y libros en las mismas relacionados con aficiones.
✓ Probar los números de teléfono de los usuarios, los números de la seguridad social y los
números de los despachos.
✓ Probar con todas las matrículas de los coches del estado.
✓ Usar un caballo de Troya para evitar restricciones de acceso.
✓ Interceptar la línea entre usuario remoto y sistema host.

2. DETECCIÓN DE INTRUSOS
Es inevitable tener un sistema sin fallas, efectivamente los intrusos lograran encontrar la falla y así
acceder. Las consideraciones que se debe tener son:

• Si se detecta una intrusión con bastante rapidez el intruso puede ser identificado y expulsado del
sistema antes de producir daños o comprometer datos. Incluso si la detección no se realiza con
suficiente brevedad para evitar la intrusión, cuantos antes se detecte, menor será la gravedad de los
daños y rápidamente se podrá lograr la recuperación.
• Un sistema efectivo de detección de la intrusión puede servir como elemento disuasivo, actuando
para prevenir intrusiones.
• La detección de intrusos facilita la recopilación de información sobre técnicas intrusión que se puede
usar para reforzar la prevención de la intrusión.
Se identifica los siguientes enfoques para detección de intrusos:

1. Detección estadística de anomalías: Recopila datos relacionados con el comportamiento de los

usuarios legítimos en un periodo de tiempo. Realizan pruebas estadísticas orientadas a los
comportamientos observados para determinar un alto grado de fiabilidad que ese
comportamiento no es el de un comportamiento de un usuario legítimo.

a) Detección de umbrales: define los umbrales, independientes del usuario, para la frecuencia en
que se producen distintos acontecimientos.
b) Basados en perfiles: Desarrolla un perfil de la actividad de cada usuario y se utiliza para
detectar cambio en el comportamiento de cuentas individuales.

2. Detección basada en reglas: Intenta definir un conjunto de reglas que se pueden usar para
determinar un comportamiento dado es el de un intruso.

a) Detección de anomalías: Detectan una desviación de los modelos de uso previos.

b) Identificación de la penetración: Basados en sistemas expertos que busca comportamiento
sospechoso.

2.1. Registros de auditoria

Registros negativos del autor

Todos los sistemas operativos multiusuarios incluyen software que recoge información sobre las
actividades de los usuarios. No necesita un software de recopilación adicional. Los informes de
auditoría nativos pueden no contener la información necesaria o no contenerla de una forma
conveniente.

Registro de auditoria específicos para la detección

Implementa una herramienta de recopilación que genere informes de auditoría que contenga solo
la información requerida por el sistema de detección de intruso.

Detección estadística de anomalías

La detección de umbrales implica el conteo de incidencias de un tipo de evento especifico en un

intervalo de tiempo. El análisis de umbrales es un detector ordinario y poco efectivo de ataques
incluso moderadamente sofisticado.

La detección basada en anomalías basada en perfiles se centra en caracterizar el comportamiento

pasado de usuario individuales o grupos relacionados de usuarios y luego desviados
significativamente.

Ejemplos de métricas útiles para la detección de la intrusión basada en perfiles

1. Contador: Numero entero no negativo que puede ser incrementado, pero no disminuido
hasta que sea inicializado por una acción de la administración.
2. Calibre: número entero no negativo que puede ser incrementado o disminuido. Normalmente
un calibre se usa para medir el valor actual de una identidad.
3. Intervalo de tiempo: periodo entre dos acontecimientos relacionados.
4. Utilización de recursos: Recursos consumidos durante un periodo especifico.
Detección de la intrusión basada en reglas

Semejante a la detección estadística de anomalías en lo que respecta al enfoque y sus

posibilidades. Con el enfoque basado en reglas, se analizan los registros de auditoria histórico
para identificar los patrones de uso y generar automáticamente reglas que describan aquellos
modelos.

La identificación de la penetración basada en reglas adopta un enfoque distinto a la detección de

la intrusión basada en la tecnología de sistema expertos.

Detección distribución de la intrusión

La organización más común sin embargo necita defender un conjunto distribuido de host en una
LAN o en redes conectadas entre sí.

Un sistema de distribución de intrusos es el desarrollado en la universidad de California en Davis

[HEBE92, SNAP91]:

• Modulo agente del host: modulo que recopila información de auditoria que opera como un
proceso subordinado en un sistema monitorizado.
• Modulo agente monitor de LAN: recibe los informes del monitor de la LAN y de los agentes
de host y procesa y relaciona estos informes para detectar la intrusión.

Cuando existe o se detecta una actividad sospechosa, se envía una alerta al administrador central.
Este incluye un sistema experto que puede predicar interferencias de los datos recibidos.

EL monitor de la LAN también suministra información al administrador central, audita las

conexiones de host a host, los servicios usados y el volumen de tráfico.

Honeypost

Son sistemas de reclamo diseñados para alejar a un atacante potencial de los sistemas críticos.
Están diseñado para:

• Desviar a un atacante el acceso a sistemas críticos.

• Recoger información sobre la actividad del atacante.
• Favorecer que al atacante permanezca en el sistema el tiempo suficiente para que los
administradores pueden resolver.

El sistema está equipado con monitoreos sensibles y registrados de acontecimientos que detectan
estos accesos y recogen información sobre la actividad del atacante.

Los esfuerzos iniciales involucran a un solo computador honeypost con direcciones IP diseñadas
para atraer hackers.

Formato de intercambio de intrusos

Los formatos de los datos e intercambiar los procedimientos para compartir información de
interés para la detección de la intrusión y sistema de gestión que puede necesitar interactuar con
ellos.

• Un documento de requisitos el cual describe los requisitos funcionales de alto nivel para
comunicación entre sistemas de detección de intrusos y los requisitos para la comunicación
 entre sistemas de detección de intrusos y los sistemas de gestión incluyendo los motivos que
llevaron a esos requisitos.
• Una especificación de lenguaje de intrusión que describe formatos de datos que satisfagan
los requisitos.
• Un documento marco. Que identifica los protocolos existentes mejor usados para la
comunicación entre los sistemas de detección de intrusos, y describe como los formatos de
datos ideados se relacionan con ellos.

3. GESTION DE CONTRASEÑAS
La Gestión de contraseñas son programas de computación que se utilizan para guardar usuarios/claves
en una base de datos, esta información se encuentra cifrada mediante algoritmos de encriptación lo cual
ofrecen funciones dedicadas a elevar el nivel de seguridad.

La gestión de contraseñas ofrece tareas como; la opción de generar una contraseña automáticamente, es
decir diseñado para crear contraseñas seguras de modo aleatorio que son difíciles de crackear o adivinar,
además permite restablecer la contraseña en caso de haberla olvidado en su defecto cambiar contraseñas
de cuentas de usuarios.

3.1. Características de un Buen Gestor de Contraseñas

Acceso online y offline: Aunque no todos los gestores de contraseñas soportan sincronización en la
nube, posiblemente esa sea una característica que haga desconfiar de su privacidad, sin embargo, es
extraño ver un servicio que la utilice sin cifrado. Por su parte, los gestores offline gestionan las
contraseñas localmente en el disco o en un dispositivo USB.

Autenticación en dos pasos: La autenticación en dos pasos es muy importante en la actualidad y sería
muy recomendable activarla al menos para las principales cuentas que utiliza el usuario.

Integración con los navegadores: Ayuda a minimizar la interacción con las contraseñas y automatizar
el proceso de acceso.

Captura automática de la contraseña: Esta característica hace referencia a que el gestor detecta
cuando una nueva contraseña es introducida para preguntarle al usuario si quiere guardarla.

Alertas automáticas de seguridad: Que permitan informar al usuario cuando uno de los servicios que
utiliza o uno de los sitios web en los que está registrado ha recibido un ataque que ha podido
comprometer las contraseñas.

Que sea portable y con soporte para móviles: Que soporte plataformas móviles es otra característica
recomendable para gestionar las contraseñas desde cualquier lugar.

Auditoría de seguridad: Algunos gestores permiten realizar auditorías de seguridad sobre la propia
base de datos de contraseñas, detectando las que sean débiles o repetidas, entre otros problemas.

Contraseñas de un solo uso: Permite designar contraseñas para que sean de un solo uso. Es decir, usar
el gestor sobre un sistema para que la contraseña de acceso solo pueda usarse una vez.

Compartir contraseñas: Algunos gestores permiten compartirlas de forma segura. Esta función puede
servir con un amigo o bien en entornos laborales.
 3.2. Ventajas de un Gestor de Contraseñas

La gestión de contraseñas ayuda a manejar de forma segura y ordenada, lo cual minimiza la

posibilidad de ingreso no autorizado de intrusos en los sistemas o aplicaciones. En este sentido
podemos darnos cuenta que un gestor de contraseñas ofrece ventajas entre las principales
tenemos:

✓ Evitan hackeo de cuentas, correos electrónicos, plataformas y aplicaciones

✓ Ayuda darles más seguridad a todas nuestras contraseñas (manejar contraseñas fuertes)
✓ Son muy útiles como medida de defensa contra el phishing (conocido como suplantación de
identidad)
✓ Proporcionan alertas automáticas de seguridad
✓ Permite el control de acceso basado en roles y responsabilidades.

3.3. Recomendaciones para Gestionar Contraseñas

Existen varias formas de crear contraseñas, pero no tomamos las debidas precauciones para
asegurarnos que sean difícil de descifrarlas, para ellos hemos resumido algunas pautas para crear
contraseñas fuertes:

✓ La longitud de las contraseñas no debería ser inferior a ocho caracteres.

✓ Colocar contraseñas con una mezcla de caracteres combinando mayúsculas y las minúsculas),
números y caracteres especiales por ejemplo (@, ¡, +, &).
✓ Tratar de usar contraseñas diferentes en función del uso (por ejemplo, no usar la misma para
una cuenta de correo que la usada para acceso a otras aplicaciones.
✓ Se deben cambiar las contraseñas regularmente. (Dependiendo de la criticidad de los datos).

4. VIRUS Y OTRAS AMENAZAS

4.1. Programas Dañinos

Figura 1. Diagrama de programas dañinos

 a) Trampas: Es una entrada secreta a un programa que permite que alguien que es consciente de la
trampa acceda sin pasar por los procedimientos de acceso de seguridad habitual.
b) Bombas Lógicas: La bomba lógica es un código introducido en algún programa legítimo que está
preparado para explotar cuando convergen ciertas condiciones.
c) Caballos de Troya: Es un programa o procedimiento de comandos útil que contiene código oculto
que al invocarse lleva a cabo funciones no deseadas o perjudiciales.
d) Zombi: Es un programa que sin ser percibido toma el control de otro computador conectado a
internet.
e) Virus: Es un programa que puede infectar otros programas modificándolos; el cual incluye una
copia del programa del virus, que puede infectar a otros programas.
f) En un entorno de red, la habilidad para acceder a las aplicaciones y a los servicios del sistema de
otros computadores proporciona un marco perfecto para la propagación de virus. Un virus puede
hacer cualquier cosa que realicen otros programas; la única diferencia es que se adjunta a otro
programa y se ejecuta secretamente a la vez que lo hace dicho programa.
g) Un virus pasa por las siguientes fases:
h) Fase inactiva: el virus está inactivo, pero acabará siendo activado por algún acontecimiento como
fecha o presencia de algún programa o archivo; no todos los virus tienen esta fase.
i) Fase de propagación: el virus coloca una copia idéntica en otro programa o el algún lugar del disco;
el mismo que entrará a su vez en una fase de propagación.
j) Fase de activación: la fase puede ser producida por una variedad de acontecimientos en el sistema
incluyendo el número de veces que el virus hizo copia de sí mismo.
k) Fase de ejecución: Esta puede ser inofensiva como un mensaje en la pantalla o perjudicial como la
destrucción de programas y archivos.
l) Los virus se diseñan para beneficiarse de los detalles y puntos débiles de sistemas concretos. La
mayoría de las infecciones de virus inician con un disco del cual se copió programas en un
computador.

4.2. Tipos de Virus

a) Virus Parásitos: Es aquel que se adjunta por sí mismo a los archivos ejecutables y se replica, cuando
el programa infectado se ejecuta, encontrando otros archivos ejecutables que infectar.
b) Virus residente en la memoria: Se aloja en la memoria principal; el virus infecta a cada programa
que se ejecuta.
c) Virus del sector de arranque: Infecta un registro de arranque principal o cualquier registro de
arranque.
d) Virus furtivo: Virus diseñado explícitamente para evitar la detección por parte de un antivirus.
e) Virus Polimórfico: Modifica su estructura para evitar ser detectado; haciendo imposible la
detección. Una parte del virus generalmente llamada generadora de mutaciones; crea una clave de
cifrado aleatorio para cifrar el resto del virus. La clave se almacena con el virus y el propio generador
de mutaciones se ve alterado.

Cuando se activa un programa infectado, el virus utiliza la clave aleatoria almacenada para descifrarlo;
cuando el virus se replica, se selecciona una clave aleatoria distinta.

Los virus macro son especialmente amenazadores por una serie de razones:

1. Es una plataforma independiente, infectan a los documentos Microsoft Word.

2. Los virus macro infectan documentos, no partes de código ejecutables.
3. Se propagan fácilmente, un método muy común es a través de correo electrónico.
Un gusano en la red presenta las mismas características que un virus informático.

Fases: Inactiva, propagación, Activación y ejecución.

La fase de activación desempeña las siguientes funciones:

• Busca otros sistemas para infectarlos.

• Establece una conexión con un sistema remoto.
• Copiarse en el sistema remoto y hacer que la copia se active.

El gusano antes de copiarse en el sistema puede también intentar determinar si un sistema ha sido
infectado previamente. En un sistema de multiprogramación puede también disfrazar su presencia
denominándose a sí mismo como un proceso del sistema o usando algún otro nombre que no pueda ser
percibido por el operador del sistema.

5. CONTRAMEDIDAS A LOS VIRUS

5.1. Enfoques de Antivirus

La solución ideal para la amenaza de los virus es la prevención, es decir, no permitir que un virus entre
en el sistema. Este objetivo es, en general, imposible de alcanzar, aunque la prevención puede reducir el
número de ataques con éxito. El segundo mejor enfoque consiste en hacer lo siguiente:

• Detección: una vez que se ha producido la infección, determinar qué ha ocurrido y localizar el virus.
• Identificación: una vez que la detección se ha realizado, identificar el virus específico que ha
infectado un programa.
• Eliminación: una vez que el virus específico ha sido identificado, eliminar cualquier rastro del virus
del programa infectado y restaurarlo a su estado original. Eliminar el virus de todos los sistemas
infectados para que no pueda continuar extendiéndose

Si se logra la detección, pero no es posible ni la identificación ni la eliminación, entonces la alternativa es

ignorar el programa infectado y volver a cargar la versión limpia de la copia de seguridad.

Los avances en la tecnología de virus y antivirus van de la mano. Los primeros virus eran fragmentos de
código relativamente simples y podían ser identificados y purgados con paquetes de software antivirus
relativamente sencillos. A medida que los virus han evolucionado, tanto los virus como, necesariamente,
los antivirus se han hecho más complejos y sofisticados.
Se identifica cuatro generaciones de software antivirus:

✓ Primera generación: exploradores simples

✓ Segunda generación: exploradores heurísticos
✓ Tercera generación: detección de actividad
✓ Cuarta generación: protección integral

Un explorador de primera generación requiere una firma del virus para poder identificarlo. El virus puede
contener patrones de búsqueda (wildcards) pero tiene básicamente la misma estructura y patrón de bits
en todas las copias. Estos exploradores de firmas están limitados a la detección de virus conocidos. Otro
tipo de exploradores de primera generación tiene un registro con la longitud de los programas y busca
cambios en la extensión.
Un explorador de segunda generación no se basa de una firma concreta. En lugar de ello, usa reglas
heurísticas para buscar posibles infecciones de virus. Algunos de estos exploradores buscan fragmentos
de código que, con frecuencia, se asocian con los virus. Por ejemplo, un explorador puede buscar el
comienzo de un bucle de cifrado usado en un virus polimórfico y descubrir la clave de cifrado. Una vez
que la clave ha sido descubierta, el explorador puede descifrar el virus para identificarlo, luego eliminar
la infección y volver a poner en servicio el programa.

Los programas de tercera generación son programas residentes en la memoria que identifican un virus
por su acción más que por su estructura en un programa infectado. Tales programas tienen la ventaja de
que no es necesario desarrollar firmas ni heurística para una amplia gama de virus. Al contrario, sólo es
necesario identificar el pequeño grupo de acciones que indican que se está intentando producir una
infección y, luego, intervenir.

Los productos de cuarta generación son paquetes compuestos por una variedad de técnicas antivirus
usadas conjuntamente. Éstas incluyen componentes de exploración y de detección de acciones. Además,
este paquete incluye capacidad de control de acceso, que limita la habilidad de los virus para penetrar en
un sistema y luego limita la habilidad de un virus para actualizar archivos con el fin de dejar pasar la
infección.

5.2. Técnicas avanzadas de antivirus

Continúan apareciendo enfoques y productos antivirus más sofisticados. En este subapartado, se

destacan dos de los más importantes.

Descifrado genérico
El descifrado genérico (GD, Generíc Decryption) permite al programa antivirus detectar fácilmente incluso
los virus polimórficos más complejos, a la vez que mantiene velocidades de rastreo importantes.
Recordemos que cuando se ejecuta un archivo que contiene un virus polimórfico, el virus puede
descifrarse para activarse. Para detectar dicha estructura, se ejecutan archivos a través de un explorador
GD, que contiene los siguientes elementos:

• Emulador de CPU: un computador virtual basado en software. Las instrucciones de un archivo

ejecutable, en vez de ser ejecutadas en el procesador subyacente, son interpretadas por un
emulador. El emulador incluye versiones de software de todos los registros y otros elementos
hardware del procesador, para que el procesador subyacente no se vea afectado por los programas
interpretados en el emulador.
• Explorador de firma de virus: un módulo que explora el código objetivo buscando firmas de virus
conocidas.
• Módulo de control de emulación: controla la ejecución del código objetivo.

Sistema de inmunidad digital

Cuando un nuevo virus entra en una organización, el sistema de inmunidad lo captura automáticamente,
lo analiza, añade los procedimientos de detección y de protección, lo elimina, y pasa la información sobre
ese virus a sistemas que ejecutan antivirus de IBM para que pueda ser detectado antes de que pueda
ejecutarse en algún otro lugar.
1. Un programa de supervisión en cada PC usa heurística basada en el comportamiento del sistema, en
cambios sospechosos en los programas o en la firma específica para inferir que un virus puede estar
presente. El programa de supervisión reenvía una copia de cualquier programa que se suponga
infectado a una máquina administrativa dentro de la organización.
2. La máquina administrativa cifra la muestra y la envía a la máquina central de análisis de virus.
3. Esta máquina crea un entorno en el que el programa infectado puede ser ejecutado sin peligro para su
análisis. Las técnicas empleadas con este propósito incluyen la emulación o la creación de un entorno
protegido dentro del cual el programa sospechoso pueda ser ejecutado y supervisado. La máquina de
análisis de virus produce entonces una prescripción para identificar y eliminar el virus.
4. La prescripción resultante se envía de vuelta a la máquina administrativa.
5. La máquina administrativa envía la prescripción al cliente infectado.
6. La prescripción también se reenvía a otros clientes de la organización.
7. Los suscriptores de todo el mundo reciben actualizaciones del antivirus de forma regular que les
protegen de los nuevos virus.

Figura 2. Sistema de inmunidad digital

El éxito del sistema de inmunidad digital depende de la habilidad de la máquina de análisis de virus para
detectar nuevas tendencias de virus. Analizando y supervisando constantemente los virus catalogados
como más extendidos, debería ser posible actualizar continuamente el software de inmunidad digital para
afrontar las amenazas.

5.3. Software de Bloqueo de Acciones

A diferencia de los exploradores heurísticos o basados en huellas digitales, el software de bloqueo de

acciones se integra con el sistema operativo de un computador y controla el funcionamiento del programa
en tiempo real en busca de acciones dañinas. Así, el software bloquea las posibles acciones perjudiciales
antes de que tengan la oportunidad de afectar al sistema. Los comportamientos que se controlan pueden
incluir:

• Intentos de abrir, visualizar, borrar, y/o modificar archivos

• Intentos de formatear unidades de disco y otras operaciones del disco no recuperables
 • Modificaciones en la lógica de archivos ejecutables, Scripts de macros
• Modificaciones de configuraciones críticas del sistema, como configuraciones de arranque
• Creación de scripts de correo electrónico y clientes de mensajería instantánea para enviar
contenido ejecutable
• Iniciación de las comunicaciones en la red

6. PRINCIPIOS DE DISEÑO DE CORTAFUEGOS (FIREWALL)

El cortafuegos(Firewall) se inserta entre la red corporativa e internet para establecer un enlace controlado
y establecer un único punto de enlace controlado y levantar un muro de seguridad exterior. El objetivo es
proteger la red corporativa de ataques procedentes de Internet teniendo un único punto de resistencia
donde implantar seguridad y auditoria

6.1. Características para el diseño

➢ Todo el tráfico de la red debe pasar por el cortafuegos (desde el interior hacia el exterior y
viceversa)
➢ Permite pasar solo el tráfico autorizado definido por la política de seguridad
➢ El propio cortafuegos es inmune a penetraciones

6.2. Técnicas generales para Control Accesos:

➢ Control de Servicios: determina tipo servicios de Internet que pueden ser accedidos.
➢ Control de Dirección: determina la dirección en que se permiten fluir requerimientos de
servicios particulares.
➢ Control de Usuarios: controla acceso a servicio acorde a permisos de usuarios
➢ Control de Comportamiento: controla cómo se usan servicios particulares (Ejplo: filtros de
email).

6.3. Tipos de Firewalls

1) Router con Filtrado de Paquetes

2) Gateway a Nivel de Aplicación
3) Gateway a Nivel de Circuitos

Router con Filtrado Paquetes

• Aplica un set de reglas para cada paquete entrante y luego lo reenvía ó descarta.
• Filtra paquetes en ambas direcciones.
• El filtrado de paquetes se setea típicamente como una lista de reglas (ACL: Access Control List)
basadas en “matches” de campos de cabeceras IP ó TCP/UDP.
 • Dos políticas por default: discard/deny ó forward/allow
• Mejor habilitar explícitamente (default= deny)
• Se implementa con notación específica de cada router. Ventajas: ÿ Simplicidad ÿ Transparencia
hacia usuarios ÿ Alta velocidad Desventajas: ÿ Dificultad en el seteo de reglas de filtrado ÿ Falta
de Autenticación

1) Router con Filtrado Paquetes

➢ Posibles ataques y Contramedidas apropiadas:

o IP Address Spoofing (mentir dirección IP)
o Descartar paquetes con dir IP interna que arribe del exterior.
➢ Ataques Source Routing (paquete IP con opción ruteo fuente)
o Descartar todos los paquetes que usen esta opción.
➢ Ataques por Tiny Fragments (fragmentos muy pequeños)
o Descartar todos paquetes donde tipo protocolo sea TCP y Offset de Fragmento=1 en
Header_IP

2) Sistema de FW con GW a Nivel Aplicación

➢ Gateway a Nivel Aplicación (ó Proxy Server)

• Son hosts corriendo Proxy servers, que evitan tráfico directo entre redes.
• Actúa como un relay (conmutador) de tráfico a nivel de aplicación.
• Más eficiente y posible control de contenidos.
• Puede ponerse un AV en el gateway. 6 JIG © 11 1.2.2. Sistema de FW con GW a Nivel

Aplicación Proxy de Aplicación: programa que representa a toda la red interna, ocultando la LAN de la
red pública. Toma decisiones de forwarding en los 2 sentidos.

• Hará el forward de clientes autorizados a servers del exterior y traerá las respuestas a dichos
clientes.
• Proxy HTTP puede mantener páginas web en caché.

➢ Ventajas: Más seguros que filtros de paquetes.

o Sólo necesita discriminar unas pocas aplicaciones permitidas (Telnet, HTTP, etc), no a
nivel de IP ó TCP.
o Fácil control de log y auditar todo el tráfico entrante
 ➢ Desventajas:
o Overhead de procesamiento adicional en cada conexión, ya que hay dos conexiones
divididas y el Gateway que actúa como splice, debe examinar y reenviar todo el tráfico.

3) Sistema de FW con GW a Nivel Circuitos

Gateway a Nivel de Circuitos:

➢ Puede ser un sistema stand-alone ó una función especializada realizada por un GW de nivel
aplicación.
➢ No permite conexiones TCP end-to-end, sino que GW setea 2 conexiones TCP entre usuarios TCP
externo e interno con él.
➢ GW hace conmutación de segmentos TCP de una conexión a otra sin examinar contenido.
➢ La función de seguridad consiste en determinar qué conexiones serán permitidas.
➢ Usado típicamente en situaciones donde el administrador del sistema confía en los usuarios
internos.
➢ Un ejemplo de implementación es el paquete SOCKS (v.5 en RFC 1928)
o Capa entre niveles de Transporte y Aplicación.
o No provee servicios de GW a capa de red, como el forwarding de mensajes ICMP.
o Consiste en Server Socks, Librerías de clientes socks y Programas clientes sock-ificados
de las aplicaciones estándares.

Bastion Host

➢ Es un sistema identificado por el administrador del firewall como un punto crítico en la

seguridad de la red.
➢ Host bastión sirve como una plataforma para un gateway a nivel de aplicación ó de circuito.
➢ Su plataforma de hardware corre versión segura de S.O. Sistema Confiable.
➢ Administrador de red instala sólo servicios esenciales en él, como aplicaciones proxies como
Telnet, DNS, FTP, SMTP y Autenticación usuarios.
o Cada proxy se configura para requerir autenticación adicional, antes de permitir a usuario
acceder a servicios. C/u mantiene info auditoría por logging de todo el tráfico de
c/conexión.
o Cada módulo proxy es un pequeño paquete SW diseñado para seguridad en red, e
independiente de los otros proxies.
o Proxy gralmente no realiza accesos a disco, salvo leer configuración inicial, tal de dificultar
instalación de troyanos ó sniffers.
6.4. Configuraciones de Firewalls

➢ Además del uso de configuraciones simples de un sistema único , como router con filtrado de
paquetes ó gateway único, son posibles configuraciones más complejas, siendo las tres más
comunes:

➢ Sistema FW con screened host (single-homed bastion host) (FW con host apantallado y
conectado a una sola red)
➢ Sistema FW con screened host (dual-homed bastion host) (FW con host apantallado y conectado
con 2 placas red)
➢ Sistema FW con screened subnet (con DMZ) (FW con subred apantallada ó De-Militarized Zone)

7. SISTEMAS DE CONFIANZA

7.1. Control de Acceso de los Datos

Después de un inicio de sesión satisfactorio, al usuario se le concede acceso a uno o a un conjunto de

computadores y de aplicaciones. Esto, generalmente, no es suficiente para un sistema que mantiene datos
confidenciales en sus bases de datos.
A través del control de acceso de usuarios el sistema puede identificarlos. Se puede crear un perfil
asociado con cada usuario que especifique las operaciones y accesos de ficheros permitidos. El sistema
operático puede entonces imponer las reglas en función del perfil del usuario. De todas formas, el sistema
de gestión de bases de datos debe controlar el acceso a registros específicos o incluso a partes de los
registros.

Figura 3. Estructura del control de acceso

 ✓ Matriz de acceso: Un eje de la matriz contiene los sujetos identificados que pueden intentar el
acceso a los datos. Normalmente está lista estará formada por usuarios individuales o grupos de
usuarios. El otro eje enumera los objetos a los que se podría acceder al máximo nivel de detalle,
los objetos podrían ser campos de datos individuales. También podrían ser objetos de la matriz
agrupamientos más amplios como registros, ficheros e incluso la base de datos completa. Cada
entrada en la matriz indica los derechos de acceso de un sujeto para un objeto.
✓ Lista de control de acceso: Para cada objeto una lista de control de acceso enumera usuarios y
sus derechos de acceso permitidos, además, puede contener una entrada por defecto o pública.
Esto permite que los usuarios no estén explícitamente incluidos como poseedores de unos
derechos especiales, sino que tengan un conjunto de derechos por defecto. Los elementos de la
lista pueden incluir usuarios individuales, así como grupos de usuarios.
✓ Lista de capacidad: Un ticket de capacidad específica los objetos y operaciones autorizados para
un usuario. Cada usuario tiene una serie de tickets y podría estar autorizado para presentarlos o
darlos a otros usuarios. Debido a que los tickets pueden dispersarse por todo el sistema
presentan un problema de seguridad mayor que las listas de control de acceso. En particular los
tickets no deben poder ser falsificados. Una manera de lograrlo es que el sistema operativo
mantenga todos los tickets en nombre de los usuarios. Esos tickets tendrían que mantenerse en
una región de memoria inaccesible a los usuarios.

7.2. Concepto de Sistemas de Confianza

Un requisito ligeramente diferente pero muy aplicable es proteger datos o recursos en función de niveles
de seguridad. Este concepto se aplica en áreas donde la información puede organizarse en grandes
categorías y se les puede conceder a los usuarios autorización para acceder a ciertas categorías de datos.
Cuando se define en múltiples categorías o niveles de datos, el requisito se conoce como seguridad
multinivel. La regla general del requisito de seguridad multinivel consiste en que un sujeto de un alto nivel
no puede transmitir información a un sujeto de un nivel inferior a menos que ese flujo refleje con precisión
la voluntad de un usuario autorizado. Un sistema multinivel seguro debe imponer:
✓ No leer hacia arriba: un sujeto solamente puede leer un objeto de un nivel de seguridad igual o
inferior.
✓ No escribir hacia abajo: un sujeto solamente puede escribir en un objeto de un nivel de seguridad
igual o superior.

Figura 4. Concepto de monitor de referencia

El Monitor de referencia regula el acceso de sujetos a objetos en función de parámetros de seguridad del
sujeto y del objeto. Este tiene acceso a un fichero conocido como base de datos fundamental de seguridad
que enumera los privilegios de acceso de cada sujeto y los atributos de protección de cada objeto. El
Monitor de seguridad impone las reglas de seguridad y tiene las siguientes propiedades:
✓ Mediación completa: las reglas de seguridad se aplican en cada acceso, no solamente cuando se
abre un fichero.
✓ Aislamiento: el monitor de referencia y la base de datos están protegidos de modificaciones no
autorizadas.
✓ Verificabilidad: el correcto funcionamiento del monitor de referencia debe ser demostrable. Es
decir, debe ser posible demostrar matemáticamente que el monitor de referencia impone reglas
de seguridad y proporciona mediación completa y aislamiento.
Finalmente, el fichero de auditoría almacena los acontecimientos importantes de seguridad como son las
violaciones de seguridad detectadas y los cambios autorizados de la base de datos fundamental de
seguridad.

7.3. Defensa frente a caballos de Troya

Una forma de protegerse de ataques de caballos de Troya es utilizar un sistema operativo seguro y de
confianza. En este caso se utiliza un caballo de Troya para evitar el mecanismo de seguridad estándar
que emplea la mayor parte de los gestores de ficheros y sistemas operativos la lista de control de
accesos.

Figura 5. Caballo de Troya y sistema operativo seguro

✓ En este ejemplo un usuario llamado Benito interactúa a través de un programa con un fichero de
datos que contiene una serie de caracteres de una confidencialidad crítica. El usuario Benito ha
creado el fichero proporcionando permisos de lectura y escritura solamente a los programas que
 se ejecutan en su propio nombre, es decir, solamente los procesos que son propiedad de Benito
pueden acceder al fichero. El ataque del Caballo de Troya comienza cuando un usuario hostil,
llamado Alicia, obtiene acceso legítimo al sistema e instala un Caballo de Troya y un fichero privado
para utilizarlo en el ataque para almacenar información robada. Alicia se da a sí misma permiso de
lectura y escritura para este fichero, mientras que a Benito le da permiso de sólo escritura para el
mismo fichero. Alicia ahora induce a Benito para que invoque el programa Caballo de Troya, quizás
anunciándolo como una herramienta muy útil. Cuando el programa detecta que está siendo
ejecutado por Benito lee la serie de caracteres confidencial del fichero de Benito y la copia en el
fichero de recopilación de Alicia. Ambas operaciones de lectura y escritura satisfacen las
restricciones impuestas por las listas de control de acceso. Más tarde Alicia solamente tiene que
acceder al fichero de Benito almacenado en el archivo de recopilación para conocer el valor de la
serie.

✓ Ahora considere el uso de un sistema operativo seguro en este escenario. Los niveles de seguridad
se asignan a los sujetos en el momento de iniciar la sesión en función de criterios como desde qué
terminal se accede al computador y que usuario está implicado identificado mediante identificador
y contraseña. En este ejemplo hay dos niveles de seguridad: confidencial y público, clasificados de
manera que confidencial es de mayor nivel que público. A los procesos y ficheros de datos
propiedad de Benito se les asigna el nivel de seguridad confidencial. Los ficheros y procesos de Alicia
están restringidos al nivel de seguridad público. Si Benito invoca el programa Caballo de Troya, el
programa adquiere el nivel de seguridad de Benito. Por tanto, es capaz de observar la serie de
caracteres confidencial. Cuando el programa intente almacenar la serie en el fichero de nivel
público entonces se viola la propiedad de seguridad simple y el intento es rechazado por el monitor
de referencia. Así, el intento de escribir en el fichero de recopilación es denegado, incluso aunque
la lista de control de acceso lo permita. La política de seguridad tiene prioridad sobre el mecanismo
de la lista de control de acceso.

8. REFERENCIAS

[1] Stallings, W., González Rodríguez, M. and Joyanes Aguilar, L. (2010). Fundamentos de seguridad en redes. Madrid:
Pearson Prentice Hall.
[2] Informática, S., Perimetral, S., infracciones, Firewall, T., Security, S., (2018). Seguridad perimetral-Sonicwall
(Firewall, IDS/IPS) | Multicomp. [En línea] Multicomp. Disponible en: http://multicomp.com.mx/seguridad-
informatica/seguridad-perimetral/
[3] Criptored.upm.es. (2018). [En línea] Disponible en:
http://www.criptored.upm.es/intypedia/docs/es/video5/DiapositivasIntypedia005.pdf
[4] Comunicacion, I. N. (s.f.). Cuaderno de notas de observatorio. Obtenido de Gestion de contraseñas-
Observatorio de la Seguridad de la Información :
http://www.egov.ufsc.br/portal/sites/default/files/gestion_de_contrasenas.pdf
[5] Imperva. (2010). The Imperva Application Defense Center. Obtenido de Consumer Password Worst Practices:
https://www.imperva.com/docs/gated/WP_Consumer_Password_Worst_Practices.pdf