Documente Academic
Documente Profesional
Documente Cultură
TRABAJO COLABORATIVO 1
INTRODUCCIÓN
Hoy en día la mayoría de las personas se cuanta con conexión a internet y la que más se
utiliza es la conexión inalámbrica o WI-FI, ya que se encuentra disponible en casi todos los
lugares que más se frecuenta, también se ha convertido en una herramienta de trabajo muy
útil porque está en el trabajo, en la casa, y en donde se tenga cobertura, esto gracias a los
diferentes dispositivos que se cuenta en la actualidad, desafortunadamente también se ha
convertido en el objetivo principal de los delincuentes cibernéticos para cometer sus delitos
es por esto que se aconseja tomar las medidas necesarias cuando se vaya a acceder a una
red WI-FI desconocida, pero también se debe tomar medidas en las redes que se conecta
frecuentemente para esto se cuenta con diferentes protocolos con los cuales se puede hacer
una configuración más segura, cambiar periódicamente las contraseñas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
OBJETIVOS
GENERAL
ESPECIFICOS
https://www.goconqr.com/image_dmz?count=3097&key=dc31ff2d95cf423ec49036404687ae8b&node_id=43198831&viewer_id=1663065
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
1. Tabla Resumen
802.1x
Se recomienda que las redes personales se configuren con el protocolo
WPA2 ya que maneja contraseñas largas con más de 20 caracteres y ofrece
mecanismos de cifrado y autenticación.
2. A Nivel Técnico
Hasta hace algunos años, el sistema más extendido para conectar un equipo doméstico o
de oficina a la Internet consistía en aprovechar la instalación telefónica básica (o Red
Telefónica Básica, RTB).
Puesto que la RTB transmite las señales de forma analógica, es necesario un sistema para
demodular las señales recibidas por el ordenador de la RTB (es decir, para convertirlas en
señales digitales), y modular o transformar en señales analógicas las señales digitales que el
ordenador quiere que se transmitan por la red. Estas tareas corren a cargo de un módem que
actúa como dispositivo de enlace entre el ordenador y la red.
La ventaja principal de la conexión por RTB, y que explica su enorme difusión durante
años, es que no requería la instalación de ninguna infraestructura adicional a la propia RTB
de la que casi todos los hogares y centros de trabajo disponían.
y se mantiene durante el tiempo que se precisa. Esto, que podría parecer una ventaja,
deja de serlo debido a que el tiempo de conexión es muy alto (unos 20 segundos).
La Red Digital de Servicios Integrados (RDSI) nació con la vocación de superar los
inconvenientes de la RTB, lo que sin duda logró en parte.
Se trata de una línea telefónica, pero digital (en vez de analógica) de extremo a extremo.
En vez de un módem, este tipo de conexión emplea un adaptador de red que traduce las
tramas generadas por la el ordenador a señales digitales de un tipo que la red está preparada
para transmitir.
A nivel físico, la red requiere un cableado especial (normalmente un cable UTF con
conectores RJ-45 en los extremos), por lo que no puede emplearse la infraestructura
telefónica básica (y esto, naturalmente, encarece su uso).
El hecho de tener diversos canales permite, por ejemplo, utilizar uno de ellos para hablar
por teléfono y otro para transmitir datos, superando así una de las deficiencias de la RTB.
Lo más frecuente es que existan varios canales más de tipo B (de 23 a 30 según las
zonas donde se implemente), y por tanto se pueden prestar multitud de servicios (fax,
llamada a tres, etc.)
Dos canales de alta velocidad, uno para recibir y otro para enviar datos, y
El nombre de “asimétrica” que lleva la ADSL se debe a que el ancho de banda de cada
uno de los canales de datos es diferente, reflejando el hecho de que la mayor parte del
tráfico entre un usuario y la Internet son descargas de la red.
Por último comentar que existen mejoras del ADSL básico, ADSL2 y ADSL2+, que
pueden alcanzar velocidades cercanas a los 24 Mbps / 1,2 Mbps de bajada y subida de
datos, aprovechando más eficientemente el espectro de transmisión del cable de cobre de la
línea telefónica.
La conexión por cable utiliza un cable de fibra óptica para la transmisión de datos entre
nodos. Desde el nodo hasta el domicilio del usuario final se utiliza un cable coaxial, que da
servicio a muchos usuarios (entre 500 y 2000, típicamente), por lo que el ancho de banda
disponible para cada usuario es variable (depende del número de usuarios conectados al
mismo nodo): suele ir desde los 2 Mbps a los 50 Mbps.
Desde el punto de vista físico, la red de fibra óptica precisa de una infraestructura
costosa, lo que explica que aún hoy no esté disponible en todos los lugares.
Cada vez más compañías están empleando este sistema de transmisión para distribuir
contenidos de Internet o transferir ficheros entre distintas sucursales. De esta manera, se
puede aliviar la congestión existente en las redes terrestres tradicionales. El sistema de
conexión que generalmente se emplea es un híbrido de satélite y teléfono. Hay que tener
instalada una antena parabólica digital, un acceso telefónico a Internet (utilizando un
módem RTC, RDSI, ADSL o por cable), una tarjeta receptora para PC, un software
específico y una suscripción a un proveedor de satélite. El cibernauta envía sus mensajes de
correo electrónico y la petición de las páginas Web, que consume muy poco ancho de
banda, mediante un módem tradicional, pero la recepción se produce por una parabólica,
ya sean programas informáticos, vídeos o cualquier otro material que ocupe muchos megas.
La velocidad de descarga a través del satélite puede situarse en casos óptimos en torno a
400 Kbps.
Redes inalámbricas
Existe un estándar inalámbrico, WiMAX, cuyo alcance llega a los 50 Km, que puede
alcanzar velocidades de transmisión superiores a los 70 Mbps y que es capaz de conectar a
100 usuarios de forma simultánea. Aunque aún no está comercializado su uso, su
implantación obviamente podría competir con el cable en cuanto a ancho de banda y
número de usuarios atendidos.
LMDS
El LMDS ofrece las mismas posibilidades en cuanto a servicios que el cable o el satélite,
con la diferencia de que el servicio resulta mucho más rentable (no es necesario cableado,
como con la fibra óptica, ni emplear grandes cantidades de energía para enviar las señales,
como con la conexión satélite).
PLC
La tecnología PLC (Power Line Communications) aprovecha las líneas eléctricas para
transmitir datos a alta velocidad. Como las WLAN, se utiliza en la actualidad para
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
implementar redes locales, que se conectarían a la Internet mediante algún otro tipo de
conexión.
El principal obstáculo para el uso de esta tecnología en redes no locales consiste en que
la información codificada en la red eléctrica no puede atravesar los transformadores de alta
tensión, por lo cual requeriría adaptaciones técnicas muy costosas en éstos.
GSM establece conexiones por circuito; es decir, cuando se quiere establecer una
comunicación se reserva la línea (y, por tanto, parte del ancho de banda de que dispone la
operadora para realizar las comunicaciones), y ésta permanece ocupada hasta que la
comunicación se da por finalizada. Una evolución de este sistema consistió en utilizar, en
su lugar, una conexión por paquetes, similar a la que se utiliza en Internet. Este estándar
evolucionado se conoce con el nombre de GPRS (General Packet Radio Service) y está
más orientado (y mejor adaptado) al tráfico de datos que GSM. Por ejemplo, permite la
facturación según la cantidad de datos enviada y recibida, y no según el tiempo de
conexión.
mayores que GSM y GPRS, llegando hasta los 2 Mbps, permitiendo así el uso de
aplicaciones que hasta ahora parecían imposibles en un móvil.
Una mejora del UMTS es el HSDPA (High Speed Downlink Packet Access), que llega a
alcanzar los 14 Mbps de velocidad de transferencia. Existe ya una mejora comercializada
de este sistema, HSDPA+, que permite (teóricamente) llegar a los 80 Mbps de
transferencia, si bien ya es posible conectarse a velocidades superiores a los 21 Mbps en
muchos lugares en España.
Históricamente los ataques DOS se reservaban y solo solían ejecutarlos hackers contra
grupos rivales, websites, servidores... pero la aparición de herramientas públicas (LOIC) y
el gran crecimiento de las botnets y con ellas la evolución de los
ataques DOS a DDoS (Distributed Denial of Service) han hecho como comentábamos que
este tipo de ataques se hayan convertido en muy habituales, causando pérdidas
multimillonarias cada año.
Ataque de inundación de SYN (SYN Flood): Cuando se inicia una conexión TCP
entre un cliente y el servidor se ejecuta el llamado saludo a tres bandas, durante este saludo
normalmente el cliente envía un mensaje SYN (synchronize) al servidor, este le responde
con un mensaje SYN-ACK (synchronize aknowledge) y finalmente el cliente envía
un ACK (aknowledge) con lo que la conexión queda establecida. Durante este proceso de
saludo a tres bandas, el servidor espera durante un tiempo determinado a recibir el ACK
final por parte del cliente, ya que por ejemplo una congestión de tráfico puede hacer que
este ACK no llegue al instante. El ataque de inundación de SYN consiste en que el atacante
envía una gran cantidad de SYN, sin llegar a completar el saludo a tres bandas con el ACK
final, con lo que el servidor permanece con un gran número de peticiones a medio
completar con lo que no es capaz de atender las peticiones legítimas.
Ataque de inundación ICMP: En este caso el atacante envía una gran cantidad de
peticiones ICMP echo request (ping), a las que el servidor responde con un ICMP echo
reply (pong) lo cual sobrecarga tanto el sistema como la red de la víctima, llegando al punto
de que el objetivo no puede responder a otras peticiones.
Ataque Smurf: Este es similar al ataque anterior, en este caso el atacante envía
paquetes ICMP echo request (ping) a una IP de broadcast usando como dirección origen la
dirección de la víctima, el resto de equipos conectados a la red enviarán un ICMP echo
reply a la víctima, si imaginamos que estamos en una red de 100 máquinas, por cada ICMP
echo request (ping) que enviemos simulando ser la víctima (spoofing), la víctima recibirá
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
100 paquetes ICMP echo reply (pong) es decir una inundación de ICMP multiplicada por el
total de equipos en la red.
Contramedidas.
No existe una solución perfecta contra ataques DOS, ya que se basan en peticiones
legítimas que obviamente no podemos bloquear completamente en nuestros servidores en
cambio podemos configurar algunos elementos de nuestra red, como Firewalls o
sistemas IPS y IDS para minimizar sus efectos.
El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar a WEP,
que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido a la tardanza
(WEP es de 1999 y las principales vulnerabilidades de seguridad se encontraron en 2001),
Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas partes del futuro estándar que
ya estaba suficientemente maduro y publicar así WPA. WPA es, por tanto, un subconjunto
de lo que será IEEE 802.11i. WPA (2003) se está ofreciendo en los dispositivos actuales.
Características de WPA
IEEE 802.1X. Estándar del IEEE de 2001 para proporcionar un control de acceso en
redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
un switch, también se puede aplicar a las distintas conexiones de un punto de acceso con las
estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso.
El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se autentifique. Con
este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization
Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la
autorización es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS
puede contener políticas para ese usuario concreto que podría aplicar el punto de acceso
(como priorizar ciertos tráficos o descartar otros). EAP. EAP, definido en la RFC 2284, es
el protocolo de autentificación extensible para llevar a cabo las tareas de autentificación,
autorización y contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-
to-Point Protocol), aunque WPA lo utiliza entre la estación y el servidor RADIUS. Esta
forma de encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de
EAPOL (EAP over LAN). TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es
el protocolo encargado de la generación de la clave para cada trama. MIC (Message
Integrity Code) o Michael. Código que verifica la integridad de los datos de las tramas.
WPA-PSK
Es el sistema más simple de control de acceso tras WEP, a efectos prácticos tiene la
misma dificultad de configuración que WEP, una clave común compartida, sin embargo, la
gestión dinámica de claves aumenta notoriamente su nivel de seguridad. PSK se
corresponde con las iniciales de PreShared Key y viene a significar clave compartida
previamente, es decir, a efectos del cliente basa su seguridad en una contraseña compartida.
WPA-PSK usa una clave de acceso de una longitud entre 8 y 63 caracteres, que es la clave
compartida. Al igual que ocurría con WEP, esta clave hay que introducirla en cada una de
las estaciones y puntos de acceso de la red inalámbrica. Cualquier estación que se
identifique con esta contraseña, tiene acceso a la red. Las características de WPA-PSK lo
definen como el sistema, actualmente, más adecuado para redes de pequeñas oficinas o
domésticas, la configuración es muy simple, la seguridad es aceptable y no necesita ningún
componente adicional.
WPA empresarial
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
Debido a las carencias de 802.11 ha sido necesario establecer una nueva normativa
estándar que permita tanto la autenticación como el intercambio dinámico de contraseñas,
de forma fácil y segura. El estándar IEEE 802.1X proporciona un sistema de control de
dispositivos de red, de admisión, de tráfico y gestión de claves para dispositivos tos en una
red inalámbrica. 802.1X se basa en puertos, para cada cliente dispone de un puerto que
utiliza para establecer una conexión punto a punto. Mientras el cliente no se ha validado
este puerto permanece cerrado. Cada una de estas funcionalidades se puede utilizar por
separado, permitiendo a WPA, por ejemplo, utilizar 802.1X para aceptar a una estación
cliente. Para el control de admisión 802.1X utiliza un protocolo de autenticación
denominado EAP y para el cifrado de datos CCMP y esto es lo que se conoce como RSN
(Robust Secure Network) o también WPA2. No todo el hardware admite CCMP. EAP
Hemos visto que 802.1X utiliza un protocolo de autenticación llamado EAP (Extensible
Authentication Protocol) que admite distintos métodos de autenticación como certificados,
tarjetas inteligentes, ntlm, Kerberos, ldap, etc. En realidad EAP actúa como intermediario
entre un solicitante y un motor de validación permitiendo la comunicación entre ambos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
El proceso de validación está conformado por tres elementos, un solicitante que quiere
ser validado mediante unas credenciales, un punto de acceso y un sistema de validación
situado en la parte cableada de la red. Para conectarse a la red, el solicitante se identifica
mediante unas credenciales que pueden ser un certificado digital, una pareja
nombre/usuario u otros datos. Junto con las credenciales, el cliente solicitante tiene que
añadir también qué sistema de validación tiene que utilizar. Evidentemente no podemos
pretender que el punto de acceso disponga del sistema de validación. Por ejemplo, si
queremos utilizar como credenciales los usuarios de un sistema, será el punto de acceso el
que tendrá que preguntar al sistema si las credenciales son correctas. En general EAP actúa
de esta forma, recibe una solicitud de validación y la remite a otro sistema que sepa cómo
resolverla y que formará parte de la red cableada. De esta forma vemos como el sistema
EAP permite un cierto tráfico de datos con la red local para permitir la validación de un
solicitante. El punto de acceso rechaza todas las tramas que no estén validadas, que
provengan de un cliente que no se he identificado, salvo aquéllas que sean una solicitud de
validación. Estos paquetes EAP que circulan por la red local se denominan EAPOL (EAP
over LAN). Una vez validado, el punto de acceso admite todo el tráfico del cliente.
802.1X: El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio
de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea
por cable o inalámbrica). Esto se hace a través del uso de un servidor de autenticación.
EAP
A continuación encontrará un resumen sobre cómo funciona una red segura que usa el
estándar 802.1x:
Además de autenticar usuarios, el estándar 802.1x les proporciona una manera segura de
intercambiar claves de cifrado para mejorar la seguridad en general.
• Está compuesta por caracteres de cada una de las siguientes cuatro categorías:
Letras mayúsculas A, B, C
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
Letras minúsculas a, b, c
Números 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Una contraseña puede reunir todos los criterios anteriores y aun así ser insegura. Por
ejemplo, Hello2U! cumple con todos los criterios mencionados para una contraseña segura,
pero es insegura porque contiene una palabra completa. H3ll0 2 U! es una alternativa más
segura porque reemplaza algunas de las letras en la palabra completa con números e incluye
espacios.
Puede aplicar las siguientes recomendaciones para recordar una contraseña segura:
• Cree una sigla con una información que sea fácil de recordar. Por ejemplo, elija una
frase que tenga significado para usted, como Mi hijo nació el 12 de diciembre de
2004. Con esa frase como guía, puede usar Mhne12/Dic,4 como contraseña.
Si considera que debe anotar la contraseña para poder recordarla, recuerde que no debe
dejar escrito que es su contraseña y debe mantenerla en un lugar seguro.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
En algunos casos los routers que son entregados por las compañías proveedoras de
Internet no tienen activada la seguridad de forma predeterminada y cualquier usuario puede
conectarse a la red sin necesidad de ingresar una contraseña. Por lo tanto, es necesario
cambiar la configuración del router de tal modo que la red cifre la información, logrando
así que los datos que se transmiten sean inentendibles para aquellos que no conocen la
contraseña.
Si bien existen diversas alternativas para el cifrado en una red Wi-Fi, es recomendable
elegir WPA2(o WPA) siempre que esté disponible. WEP es otra técnica de cifrado no
recomendada, dado que es algo antigua y puede ser vencida con herramientas como
aircrack-ng. Además, dado que WPA puede ser atacado para tratar de descifrar la
contraseña, resulta fundamental elegir una contraseña fuerte que frustre los ataques por
diccionario o fuerza bruta.
De la misma forma que los routers vienen configurados sin cifrado, suelen tener
nombres para las redes que no son adecuados. Si el nombre de la red se corresponde con el
fabricante o el modelo, el atacante podría disponer de suficiente información para explotar
alguna vulnerabilidad conocida en dicho dispositivo.
Algunos routers soportan el uso de WPS, el cual puede otorgar un manejo más sencillo
de la seguridad, pero es vulnerable y debe ser evitado siempre que sea posible. Para ser más
específicos, esta técnica asigna un PIN de 8 números al router que puede ser descifrado por
ataques de fuerza bruta en cuestión de horas.
Así, por más que la red tenga cifrado WPA2 con una contraseña muy fuerte, si tiene
activado WPS la clave puede ser obtenida en horas.
Todos los dispositivos poseen una placa de red para poder conectarse. Cada una de
estas placas tiene una dirección asociada que, al igual que una huella dactilar en una
persona, la identifica de manera única.
Los routers permiten especificar un listado de direcciones MAC de tal modo que
solamente dichos dispositivos puedan conectarse a la red, negando el acceso a todo aquel
que no se encuentre en la lista. Eso sí, cada vez que se desee permitir acceso a alguien,
debe agregarse la dirección a la lista.
Si la red está escondida es mucho más difícil que sea atacada. Por ello, es una buena
idea evitar el anuncio de la red. La única desventaja de este enfoque es que, para cada
nuevo dispositivo que se quiera permitir en la red, se deberá ingresar el nombre en forma
manual.
Actualizar el firmware
Todos recibimos unas ventanas emergentes que nos notifican que hay actualizaciones de
software disponibles para el equipo. Lo más probable es que siempre sentimos que
aparecen justo cuando estamos haciendo algo importante, por lo que nos resulta lógico
hacer clic en el botón “Recordarme más tarde”. Pasa el tiempo y esta ventana emergente
molesta aparece nuevamente para pedirnos que instalemos las actualizaciones y reiniciemos
el equipo. Y, al igual que la primera vez, estamos haciendo otra cosa, así que volvemos a
postergar la instalación, y así sucesivamente. Sin embargo, esa notificación no aparece solo
para molestarnos. Actualizar nuestro software es sumamente importante.
Una vez que infecta el equipo, este software malicioso puede robar datos, permitir que
el atacante tome control del equipo e incluso utilizar software con otros fines a los
originales. Un ejemplo reciente de un ataque mediante vulnerabilidades de software son los
ataques “Shellshock” en Mac OSX y Linux.
Experiencias Personales
Cada vez que el sistema me notifica que existe una actualización no dudo en realizar el
proceso, porque soy consciente de que son más las ventajas e incluso existe la posibilidad
de que pierda menos tiempo haciendo una actualización que el hecho de intentar eliminar
algún tipo de virus y/o de restablecer o reintentar todo el sistema con sus respectivas
aplicaciones.
Con las contraseñas utilizo “juego” de combinaciones de fácil recordación pero utilizo
combinaciones de letras, números, caracteres especiales y con una extensión mínimo de 10
caracteres.
Con la empresa que me presta el servicio de internet en la casa se hizo la gestión para
que me cambiara el sistema de codificación y autenticación a WPA2.
En la oficina se tiene habilitada una conexión wi-fi para visitantes pero tiene
restricciones a ciertas URL, no está abierta para todas las personas que quieran acceder a
ella, está protegida con contraseña de acceso y el nombre de la red no tiene ninguna
relación con el nombre de la Empresa, todos los equipos de cómputo se conectan a la red
por medio físico (cable).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Seguridad en Redes
CONCLUSIONES
BIBLIOGRAFIA
• Porolli Matias, Octubre de 2013, “¿Te roban internet? 7 consejos para proteger tu
red wi-fi”, Welivesecurity, disponible en el enlace
http://www.welivesecurity.com/la-es/2013/10/09/te-roban-internet-siete-consejos-
proteger-tu-red-inalambrica/