Dispositivos y Arquitecturas de Seguridad

Necesidades en un mundo conectado

Laura Mariana Jiménez Jiménez
Dept. Sistemas de Ingeniería
Pontificia Universidad Javeriana,
PUJ
Bogotá, Colombia
la.jimenez@javeriana.edu.co
Andrés Camilo Giraldo Gil
Dept. Sistemas de Ingeniería
Pontificia Universidad Javeriana,
PUJ
Bogotá, Colombia
a_giraldo@javeriana.edu.co
Johan Ferney García Pachón
Dept. Sistemas de Ingeniería
Pontificia Universidad Javeriana,
PUJ
Bogotá, Colombia
johan-garcia@javeriana.edu.co

Abstract​—This document presents some architectures used
for network security, as well as the devices that make them up,
because today it is not possible to talk about a network without
there being a way to protect the information, it is something
indispensable for a world in a growing technology. Network
security reduces the likelihood that an unknown person will
access personal data and may also use it for malicious
purposes.
Keywords—Redes; Arquitecturas; Seguridad; Dispositivos;
Información; Internet; Networks; Architectures; Security;
Devices; Information.
I. INTRODUCCIÓN
La seguridad en las redes es un problema que ha venido
tomando importancia con el transcurso de los años. En sus
inicios, estas eran de uso exclusivo de los investigadores
universitarios para el envío de correos electrónicos; también
eran utilizadas por empresas o empleados corporativos con
el fin de compartir una impresora con múltiples equipos, por
lo que pensar en mecanismos de seguridad no tenía mayor
valor. Pero el crecimiento exponencial de Internet ha traído
consigo que millones de ciudadanos comunes hagan uso
diario de aplicaciones y servicios basados en las redes, tales
como, intercambio de información, compras en línea,
sincronización de información, localización e incluso
transacciones bancarias, lo que supone un alto riesgo de
seguridad para los usuarios.
La información es un bien que se debe preservar, se debe
garantizar la protección y seguridad necesaria en la red, con
el fin de que los individuos, las empresas y los gobiernos
que hacen uso de ellas estén mínimamente expuestos a
perder ese bien. Es por esta razón que a través del tiempo la
implementación de mecanismos de seguridad en las redes ha
tomado tanta fuerza y hoy en día es una necesidad.
II. HISTORIA
La preocupación que se tiene respecto a la seguridad
informática ha venido creciendo de manera exponencial con
el pasar de los años. En el inicio es decir cuando se creó el
Telégrafo a mediados del siglo XIX, no había otra
preocupación que entender el código morse, no fue hasta la
década de 1950 que empezaron a aparecer las primeras con
la llegada de Internet y los Mainframes era necesario
proteger los datos que se almacenaban en estos.
En la década de 1970 aparecen las arquitecturas SNA y
DNA, la primera creada por IBM para usar en sus
Mainframes que soportaban millones de transacciones, lo
cual era un llamativo para los bancos, mayor razón para
contratar con algo que permitiese proteger dichas
transacciones, la segunda una arquitectura de red digital por
capas muy similar al modelo OSI que mas tarde seria
creado. En esa misma década aparece ARPANET como
medio de comunicación entre varias instituciones
académicas.Ya en el década de 1980 se realiza la
estandarización del modelo OSI para arquitecturas de red,
por otro lado se inventa el microprocesador que impulsa la
creación de nuevas tecnologías. Para la década de 1990 se
crean las tecnologías WEB, esto conllevo a que la
preocupación por la seguridad aumentará rápidamente.
Finalmente para la década de 2010 se crean
Comunicaciones orientadas al servicio, basadas en una
arquitectura con Redes de Acceso, Redes de Agregación y
Redes Troncales. [1]
Gracias a todas las demandas de seguridad que hubieron
en ese proceso evolutivo, la arquitecturas de seguridad y los
dispositivos que estas utilizan se han convertido en
estándares obligatorios en cualquier entidad.
 que está en la red mientras se transmite. En tanto que el
III. SEGURIDAD INFORMÁTICA
primer ataque tiene como fin ser indetectable debido a que
A. Objetivo no altera la información, el segundo, ​Ataque Activo, si
“El arte de la guerra nos enseña a confiar no en la implica la modificación de los datos usados para la
posibilidad de que el enemigo no venga, sino en nuestra repetición de los mismos con el fin de producir efectos no
propia disponibilidad para recibirlo; no en la oportunidad autorizados como los ataques DoS, ataque de denegación de
de que no ataque, si no en el hecho de que hemos logrado servicios, o para la suplantación de identidad. Ambos
que nuestra posición sea inexpugnable” [2] ataques son totalmente opuestos, en el primer caso existen
El arte de la guerra, Sun Tzu arquitecturas y dispositivos que previenen su éxito, en el
segundo es muy difícil prevenir por completo los ataques.[2]
La seguridad informática se resume a todos los
mecanismos, técnicas, arquitecturas y demás herramientas B. Alcance
usadas para proteger la información, es por esto que su
Lo anterior conlleva a la formulación de hasta dónde
objetivo principal es mantener la autenticación, el acceso, la
debe llegar el alcance de la seguridad informática, se deben
confidencialidad y la integridad de los datos. Dado este
tener fundamentos que se pueden encontrar dentro de la
objetivo general se pueden derivar otros dependiendo de los
ISO 27001, pero el uso de esta norma es comúnmente
factores mencionados anteriormente. En el caso de la
recomendado en entidades en las cuales las tecnologías de la
autenticación su objetivo es dar veracidad a las entidades de
información son esenciales para la generación de valor.[4]
las cuales provienen los datos y a las que van dirigidos,
debido a esto se debe tener restricción de quienes pueden
Pensar que lo anterior solo abarca la seguridad física de
tener acceso a la información de tal forma que se mantenga
una red es un error muy común pero fatal y cabe destacar
la confidencialidad de la misma, para que terceros no
que es solo una parte de lo que comprende. El alcance que
comprometan la integridad de los datos es fundamental en la
puede tener va desde aspectos físicos hasta sociales, para los
red, confirmar que los datos que se han recibido son
últimos se puede hacer uso de la ingeniería social para
exactamente los mismos que se enviaron.
entrar a una red, entiéndase por esta ingeniería a toda
obtención de información a través del engaño de los
La idea fundamental que se esconde detrás de lo
propietarios para que estos la faciliten. Estos aspectos
mencionado, es el hecho de estar preparados ante cualquier
sociales son más difíciles de controlar que los físicos.
amenaza presente y que sin importar el tipo de ataque que se
realice la información sea intocable para terceros, es un
proceso continuo en el que no se puede dar el lujo de confiar IV DISPOSITIVOS DE SEGURIDAD
que ninguno puede penetrar las defensas, debido a que en
una era tecnológica como la de ahora, existen amenazas en
todo momento y en todo lugar. C. Criptografía

En el mundo de la seguridad informática comúnmente se

tiende a confundir los conceptos de amenaza y ataque para
referirse a lo mismo. Una amenaza es todo elemento o
acción que puede poner en riesgo la seguridad informática,
un peligro posible que podría explotar una vulnerabilidad,
mientras que un ataque es la acción de aprovechar dicha
vulnerabilidad para generar perjuicios y acceder al sistema
de información de una entidad. Una forma de explicar mejor
esta última definición es una recomendación de X.800 y la
RFC 2828, usando los términos de ataques pasivos y
ataques activos. Figura (1) Funcionamiento de encriptación

Ataque Pasivo ​se dan en forma de observación no

autorizada cuyo objetivo es la obtención de la información
 La criptografía es la encargada de convertir texto plano dos veces el mensaje para darse cuenta si existe un error,
en texto cifrado, a lo largo de la historia los métodos de pero esto sería un poco excesivo, los códigos de hamming o
encriptación de han dividido en dos categorías: Reed-Solomon son formas más eficientes.

1. Sistema de cifrado por sustitución: ​Consiste en

D. Seguridad en la comunicación
mantener el orden del texto plano disfrazando su
contenido, existen diversas variaciones de este sistema,
En este apartado veremos el aspecto de cómo llevar la
en un principio consistía en reemplazar cada letra del
información desde el origen hasta el destino final de manera
texto plano por otra que se encontrara dentro del
segura.
alfabeto a una longitud k previamente establecida.
Luego, este mejoró permitiendo que cada uno de los
1) IPSec: ​Es una conexión encriptada entre dos
símbolos del texto se asocie con alguna otra letra
sistemas, ambos ejecutando IPsec con la misma llave de
aleatoriamente, no obstante, este método era fácil de
autenticación. IPsec es también conocido como SA
romper para un criptoanalista si se contaba con una
(Security Association). Una SA es una conexión simple
cantidad pequeña de texto cifrado, o contando
entre dos puntos con un identificador asociado que les
frecuencias relativas de todas las letras del texto, esto le
permite un tráfico seguro en ambas direcciones. A
permitía reemplazar tentativamente la letra con más
demás de esto, IPSec se puede utilizar en modo de
repeticiones, por la de mayor uso común, así poco a
transporte o en el modo túnel, este último es útil cuando
poco iba descifrando patrones y adivinando palabras
el mensaje no termina en el destino final, como por
hasta obtener la totalidad del texto.
ejemplo en el firewall, o también cuando se agrega un
conjunto de conexiones TCP y se maneja un solo flujo
2. Sistema de cifrado por transposición: A​ l contrario
de cifrado.
del sistema por sustitución, el sistema de transposición
Algunos beneficios que aporta IPSec son :
re ordena las palabras del mensaje, pero no las disfraza,
-Posibilita nuevas aplicaciones como el acceso seguro y
este algoritmo es de clave simétrica, por lo tanto, al
transparente de un nodo IP remoto.
momento de descifrar el mensaje se necesitará la misma
-Facilita el comercio electrónico de negocio a negocio,
clave con la que se cifró .Esta puede ser una clave
al proporcionar una infraestructura segura sobre la que
simple que consiste en tener la misma clave para
realizar transacciones usando cualquier aplicación.
encriptar y desencriptar o una clave pública que se
-Permite construir una red corporativa segura sobre
caracteriza por ser un método criptográfico de dos
redes públicas, eliminando la gestión y el coste de
claves, al momento de enviar un mensaje, un emisor
líneas dedicadas.[4]
cuenta con una clave pública que puede ser enviada a
cualquier persona, la otra es una clave privada de modo
que la persona que quiera descifrar dicho mensaje
deberá contar tanto con la clave pública como la clave
privada..

1. Principios fundamentales de la criptografía

En términos generales, todo mensaje a encriptar debe
contener redundancia, es decir, información no necesaria
para entender el mensaje, esta redundancia es necesaria para
Figura (2) Funcionamiento de IPsec
evitar que intrusos activos envíen basura y engañen al
receptor, además que es necesario para verificar si el
2) Firewalls: ​El firewall actúa como un filtro de
mensaje llegó en buenas condiciones o se encuentra dañado,
paquetes a partir de unos criterios establecidos por el
cabe aclarar que la redundancia del mensaje no debe estar
administrador de la red, se encarga de decidir qué
en forma de n ceros al principio o al final del mensaje
paquetes entran y cuales simplemente son desechados,
debido a que le facilitaría el trabajo al criptoanalista. Es más
además de evitar que salga información valiosa. De esta
recomendable un polinomio CRC o un hash criptográfico
forma proporciona seguridad a la red bloqueando los
que una serie de ceros. Otra forma un poco tosca es repetir
 paquetes provenientes de algunas direcciones IP. Cabe
aclarar que existen unos puertos difíciles de bloquear ya
que hacerlo significaría cortar la conexión con el
mundo exterior. A pesar de que el firewall esté
configurado para permitir acceso a paquetes de redes
específicas, un intruso de fuera de la red puede
introducir falsas direcciones para saltarse esta
seguridad, ante tal razón es recomendable que cada
computadora ejecute su propio firewall, pero aun así,
hay ataques que este no puede manejar como lo son los
ataques DoS o un DDos por sus siglas en inglés.
Figura (3) Firewall
Dentro de las marcas que se dedican a vender firewalls
se encuentran: Cisco siendo esta una de las más grandes
cuyos precios van desde los $100 dólares hasta los $6,000,
D-Link cuyos precios van desde los $100 dólares hasta los
$2,000, Netgear cuyos precios van desde los $20 dólares y
los 500.
3) ​Redes privadas virtuales (VPN):​ Son redes
superpuestas sobre las redes públicas, pero con muchas
propiedades de una red privada. Los servidores de
VPN se encarga de autenticar y autorizar a los clientes
inalámbricos, y de cifrar todo el tráfico desde y
hacia dichos clientes. Unas de las ventajas de una VPN
es que puede ser completamente transparente para todo
el software además de que puedes elegir la ubicación
del servidor desde el que te conectas. Te proporciona
seguridad al navegar permitiéndole acceder a contenido
bloqueado en tu ubicación actual y manteniéndote en el
anonimato.
E. Seguridad inalámbrica
Las redes inalámbricas de área local (WLAN) tienen un
papel cada vez más importante en las comunicación hoy en
día. Debido a su facilidad de instalación y conexión se han
convertido en una excelente alternativa para ofrecer
conectividad en lugares donde resulta imposible brindar
servicio con una red alambrada, pero al haber acceso sin
necesidad de cables, han surgido una serie de problemas en
cuanto a seguridad se refiere. Cualquier equipo que se
encuentre a 100 metros o menos de un punto de acceso,
podría tener ingreso a la red inalámbrica. Por ejemplo,
si varias empresas tienen sede en un mismo edificio, y
todas ellas poseen red inalámbrica, el equipo de un
empleado podría conectarse a la red de una compañía que
no es la suya. Aún peor, cualquier persona que posea un
equipo móvil y entre en el área de influencia de la red,
podría conectarse a la red de la empresa como lo ilustra la
figura (4).
Figura (4) Red WLAN
Para poder considerar una red inalámbrica como
segura, debería cumplir con los siguientes requisitos:
• Las ondas de radio deben confinarse tanto como
sea posible. Esto es difícil de lograr totalmente, pero se
puede hacer un buen trabajo empleando antenas
direccionales y configurando adecuadamente la potencia
de transmisión de los puntos de acceso.
• Debe existir algún mecanismo de autenticación en
doble vía, que permita al cliente verificar que se está
conectando a la red correcta, y a la red constatar que el
cliente está autorizado para acceder a ella.
• Los datos deben viajar cifrados por el aire, para
evitar que equipos ajenos a la red puedan capturar datos
mediante escucha pasiva.[6]
F. Seguridad web
Los recursos compartidos a través de la web han facilitado
en gran medida el intercambio de información, pero con
esto ha surgido una serie de problemas como lo son la
Inyección SQL y el ataque de denegación de servicio entre
otros. A continuación veremos algunos mecanismos que nos
brindaran mayor seguridad al momento de navegar en la
red.
1) DNS: proporciona un mecanismo que permite
la administración y el balanceo de carga para la
traducción de los nombres de dispositivos conectados a
 una red, principalmente a Internet, hacia sus respectivas
direcciones IP y viceversa. Los servidores DNS pueden
asumir el rol de esclavo o maestro. Un servidor de
nombres maestro obtiene los datos de sus archivos de
zonas locales y sobre las cuales tiene autoridad. Los
cambios en una zona, como la adición de dominios o
hosts, se realizan en éste mientras que un servidor
maestro puede indicar cambios en los archivos de
zonas, usando mensajes de notificación, hacia los
servidores esclavos. Este mecanismo asegura que tales
cambios serán rápidamente propagados hacia los
servidores esclavos en lugar de estar esperando a que
éstos últimos consulten por cambios en cada intervalo
de actualización. Los DNS se cobran generalmente por
mes o por año dependiendo del proveedor los precios
varían, como ejemplo los precios que tiene Microsoft
Azure, van desde los $0,422 Euros a los $0,085 si es
por zonas, desde $0,338 Euros a los $0,169 si es por
cantidad de consultas.
Figura (5) Esquema de DNS
2) DNSSEC: En términos generales DNSSEC
proveen autenticación del origen e integridad de los
datos intercambiados a través del protocolo DNS. Las
mejoras que ofrece DNSSEC radican principalmente en
el uso de una jerarquía de “firmas criptográficas” que
permite proteger el flujo de información intercambiado
entre Servidores Autoritativos, Servidores DNS
Recursivos y Clientes DNS. Para poder proveer los
aspectos de seguridad, DNSSEC hace uso de nuevos
Registros de Recursos y una particular infraestructura
de clave pública, basada en la construcción de una
“cadena de confianza”, necesaria para la validación de
los datos en el proceso de consulta/respuesta DNS.
E. Router y Switch
Un switch o conmutador es un dispositivo de
interconexión a través de la misma red dentro de un edificio
u oficina. Este opera en la capa de enlace como un
controlador, permitiendo que diferentes dispositivos
compartan información y puedan comunicarse entre sí.
Existen dos tipos básicos de switches: Administrados y no
administrados. Los administrados permiten realizar cambios
proporcionando así gran flexibilidad de supervisión para
controlar el desplazamiento de tráfico en la red y quién
puede acceder a esta, por otro lado, los no administrados
funcionan de manera automática y poco flexible los cuales
suelen ser utilizados en redes no domésticas. Las marcas
que actualmente dominan el mercado, son: Ciso
encabezando cuyos precios van desde los $300 dólares hasta
los $3,000, HP Enterprise, TP-Link y Dell. [7]
Un router, enrutador o encaminador es un dispositivo que
actúa en la capa de red del modelo OSI. Es el encargado de
enviar o enrutar paquetes de datos de una red a otra por el
camino más adecuado, en otras palabras, interconectar
subredes. La enrutada más sencilla (​Router de perímetro
independiente​) consiste en una red de área local -LAN-
conectada a internet a través de un único router el cual es la
única línea de defensa en gran parte de las redes. Permite
autenticar usuarios de internet, protege la red contra
cualquier actividad maliciosa procedente de redes no
confiables, de internet e incluso de ataque procedentes del
interior, esta es una instalación típica para pequeñas
empresas. La marca que domina el mercado es Cisco cuyos
precios van desde los $300 dólares hasta los $15,000. [7]
La instalación correcta de los routers y de los switches es
de gran importancia cuando se habla del cuidado que debe
tener una red puesto que las medidas de seguridad basadas
solamente en software no son suficientes [8]. Los virus,
spyware, ataques de internet, asaltos al correo electrónico
entre otras amenazas de seguridad son peligrosas, para esto
una arquitectura de red correctamente instalada que haga
uso de routers y switches podría proteger la información
importante de la entidad que haga uso de dicha red, sin
embargo, se necesita también de un firewall integrado al
router, un sistema de prevención de intrusos (IPS) y un
software especializado que examina los datos entrantes y
ofrece protección contra ataques [7], en pocas palabras, para
obtener un buen sistema de seguridad en una red debe
existir un trabajo en equipo entre el software y el hardware.
V. ARQUITECTURAS DE SEGURIDAD

Figura (6) Arquitectura y diseño de soluciones son
multidimensionales
La arquitectura de seguridad en una red consiste en los
mecanismos utilizados para componerla, se conectan entre
sí, además cada uno de ellos es orientado a zonas específicas
de una red. A menudo estos mecanismos se implementan en
ciertas zonas denominadas ​zonas de seguridad q​ ue pueden
estar unidas, superpuestas o completamente separadas
dependendiendo de los objetivos y requisitos de la
seguridad. Esta arquitectura es importante porque determina
el grado de protección, donde se encuentran las áreas
críticas que la necesitan y cómo estas interactúan con otros
dispositivos. Se hace uso de los dispositivos de seguridad ya
mencionados, para un correcto funcionamiento del sistema.
Una de las marcas más reconocidas a nivel mundial que
se dedican a la venta de estos dispositivos es cisco. Un
router tiene un precio promedio de entre 680.000 y
1.000.000 pesos colombianos. Un switch por su parte tiene
un costo promedio de 700.000 pesos colombianos [11]
A. IDS
Un IDS (​Intrusion Detection System ​ ) ​o sistema para
detección de intrusos es una herramienta que monitorea el
tráfico de una red y los eventos que ocurren en un sistema
informático para detectar el uso indebido de los recursos y
del ordenador, este responde ante estos ​eventos sospechosos
que puedan entrar o salir de la red escuchando y analizando
toda la información que circula por la red de datos para
identificar posibles asaltos. Cuando hay un ataque que el
IDS reconoce, el sistema reaccionará informando al
administrador y cerrará las puertas al posible intruso
reconfigurado elementos de la red como el firewall y el
router, para ser concretos, el IDS ayuda a entender el ataque,
estima los daños causados y trata de prevenir ataques
similares [8].
Los IDS permiten no solo detectar ataque de seguridad,
sino también, detectar intrusiones que pasan desapercibidas
a otros componentes, por lo que se le pueden atribuir dos
tareas: La prevención y la reacción. La prevención se realiza
a través de herramientas que escuchan el tráfico en la red
aplicando reconocimiento de patrones o técnicas inteligentes
para así informar de los intentos de ataque o de actividades
sospechosas de manera inmediata. La reacción se trata de la
posibilidad de formar respuestas defensivas antes de que
ocurra el ataque utilizando programas que realizan análisis
de los archivos de registro [8].
Figura (7) Ubicación de un IDS en una red
Dado que el IDS debe ser inteligente debe tomar
decisiones que no siempre son correctas por lo tanto se dan
cuatro posibles resultados: ​Falso positivo (FP): Falsa
alarma que se da cuando un tráfico de datos inofensivo es
considerado erróneamente como ataque, ​falso negativo
(FN): ​Ataque que no es detectado, ​verdadero positivo
(VP): ​Evento inofensivo que detecta como tráfico normal y
verdadero negativo (VN): ​Ataque detectado correctamente
[9].
Un sistema para detección de intrusos puede clasificarse
en dos grandes grupos: IDS basado en uso indebido el cual
analiza el tráfico de red y lo compara con otras reglas
previamente definidas (conocidas como firmas) que están
compuestas por diferentes elementos que permiten
identificar el tráfico de datos y los IDS basados en
anomalías que se centra en buscar actividades sospechosas
en el sistema [8]. Otra manera de clasificar el IDS es según
su funcionalidad:
G. NIDS ​(Sistema de detección de intrusos de red):
Monitoriza los enlaces de red y conexiones centrales
buscando firmas atacantes.
H. DIDS ​(Sistema de detección de intrusos distribuidos):
Funciona como un grupo de sensores remotos y
reportan a una estación central.
I. HIDS ​(Sistema de detección de intrusos de host): Intenta
detectar modificaciones en el equipo afectado.
B. DMZ
Zona Desmilitarizada: Es la parte de la red de la
empresa que se encuentra fuera del perímetro de seguridad,
actuando como intermediaria entre la red interna y la red
externa, de este modo puede haber una conexión entre
ambas sin comprometer la seguridad interna de la empresa.
Figura(8) ejemplo DMZ con dos direcciones IP pública
C. PGP
“Si la privacidad se prohíbe, solamente los delincuentes
tendrán privacidad”​ Phil Zimmermann, creador de PGP.
PGP (Privacidad Bastante Buena, del inglés ​Pretty Good
Privacity​) es un paquete de seguridad de correo electrónico
y aplicaciones de almacenamiento de ficheros que
proporciona un servicio de confidencialidad y
autentificación a partir de la selección de los mejores
algoritmos criptográficos existentes debido a que se
consideran sumamente seguros (concretamente el paquete
incluye RSA, DSS y Diffie-Hellman para cifrado de clave
pública, CAST-128, IDEA y 3DES para cifrado simétrico y
SHA-1 para codificación hash) con el fin de integrarlos en
una aplicación de propósito general independiente, todo en
una forma muy fácil de utilizar[3].
El paquete (su documentación y su código fuente) es
ofrecido de manera gratuita a través de internet, tablones de
anuncio y redes comerciales como la ALO (America on
Line). Debido a su cualidad, precio (cero) y fácil
disponibilidad y compatibilidad en las plataformas UNIX,
Linux, Windows y Mac OS, PGP ha crecido rápidamente y
se utiliza ampliamente hoy en día. En la actualidad está
propuesto como estándar de internet (RFC 3156) [3].
La operación real de PGP consiste en cinco servicios
específicos: Autentificación, confidencialidad, compresión,
compatibilidad con correo electrónico y segmentación.
D. ​PKI
PKI (Infraestructura de Clave Pública) es una
combinación de usuarios, autoridades de certificación (CA),
certificados y directorios ​que permiten la ejecución con
garantías de operaciones criptográficas, como el cifrado, la
firma digital, y el no repudio de transacciones electrónicas,
además proporcionan una forma de estructurar estos
componentes y definen estándares para los diversos
documentos y protocolos. [8]
Existen diferentes tipos de certificado digitales, como lo
son:
→ ​Certificado personal,​ que acredita la identidad del
titular.
→C ​ ertificado de pertenencia a empresa,​ que además
de la identidad del titular acredita su vinculación con la
entidad para la que trabaja.
→ C ​ ertificado de representante​, que además de la
pertenencia a empresa acredita también los poderes de
representación que el titular tiene sobre la misma.
→ C ​ ertificado de persona jurídica,​ que identifica una
empresa o sociedad como tal a la hora de realizar trámites
ante las administraciones o instituciones.
→ C ​ ertificado de atributo,​ el cual permite identificar
una cualidad, estado o situación. Este tipo de certificado va
asociado al certificado personal. (p.ej. Médico, Director,
Casado, Apoderado de..., etc.).
Además existen otros dos tipos adicionales de
certificados digitales utilizados en entornos más técnicos
como lo son:
→ C ​ ertificado de servidor seguro​, utilizado en los
servidores web que quieren proteger ante terceros el
intercambio de información con los usuarios.
→ C ​ ertificado de firma de código,​ para garantizar la
autoría y la no modificación del código de aplicaciones
informáticas.[3]

VI. PROTOCOLOS DE SEGURIDAD
“La validación es el paso previo al establecimiento de una
conexión entre dos entidades para pactar una clave de
sesión”[8]
La verificación de la identidad de un proceso remoto con un
intruso activo malicioso, es sorprendentemente difícil y
requiere protocolos de validación complejos basados en
criptografía , en el siguiente apartado pretendemos exponer
algunos de estos protocolos.
1) Clave secreta compartida
Este protocolo se basa en reto-respuesta. Una parte
envía un número aleatorio a la otra, l a otra parte
“lo transforma” de una manera especial y devuelve
el resultado a la parte primera
A menudo, las siguientes cuatro reglas son
necesarias para evitar la infiltración de un intruso
en este protocolo:
-Haga que el iniciador demuestre que es quien dice
ser antes de que el destinatario tenga que hacerlo
-Haga que tanto el iniciador como el destinatario
utilicen claves diferentes para probar.
-Haga que el iniciador y el destinatario utilicen
conjuntos diferentes para elaborar sus desafíos
-Haga que el protocolo resista a los ataques que
involucren una segunda sesión paralela, en la que
la información obtenida en una sesión se utilice en
otra diferente [8]
2) Diffie-Hellman
Este algoritmo se puede considerar también como
de clave pública, pero no permite autenticación ya
que es un protocolo de establecimiento de claves
entre partes que no han tenido contacto previo,
utilizando un canal inseguro y de manera anónima.
Su seguridad radica en la extrema dificultad de
calcular logaritmos discretos en un cuerpo finito
3) Uso de Kerberos:
Kerberos es un KDC diseñado por el MIT para
autentificar la identidad de los usuarios de una red
digital insegura, así como para distribuir las claves
secretas de sesión a los usuarios de la red para
establecer comunicaciones seguras.Está basado en
una variación de Needham-Schroeder, con la
condición que requiere relojes bien sincronizados.
El Protocolo Kerberos se caracteriza por actuar
como un árbitro en quien los usuarios, utiliza con
cada usuario una clave secreta diferente. La
autenticación se produce entre cliente-servidor y
servidor-cliente, ante tal hecho Kerberos conoce las
claves secretas de todos los usuarios, esto le
permite demostrar a cualquiera de ellos la
autenticidad de la identidad de otro. [9]
REFERENCIAS
[1] RENTERIA, FERNANDO. ​“INICIO Y EVOLUCIÓN DE LA SEGURIDAD INFORMÁTICA EN
EL MUNDO”. ​UNIVERSIDAD PILOTO DE COLOMBIA.
[2] BÁRCENAS​, Alejandro (2014). “​El Arte de la Guerra”.​ Traducción
directa del chino antiguo. Lexington: Anamnesis Editorial. ​ISBN
978-1495385384​.
[3] Stallings, William (2004). “​Fundamentos de seguridad en redes.
Aplicaciones y Estándares”, S ​ egunda Edición, Madrid, Pearson
Educación, S.A.
[4] ISO, “ISO 27001”, tomado el 01/03/2019 de:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en
[5] Peres, Santiago (2001). Análisis del protocolo IPSec: el estándar de
seguridad en IP.[Online]. Available:
http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ip
sec.pdf
[6] Madrid, Juan (2004). Seguridad en redes inalámbricas 802.11.
[Online]. Available:
https://200.3.192.46/revistas/index.php/sistemas_telematica/article/vi
ew/934/959
[7] Tanenbaum Wetherall (2012) “Redes de Computadores” Quinta
Edición, estado de México, Person.
[8] Kurose, James. Ross, Keith (2008). “​Computer networking”​. Sexta
Edición Pearson
[9] Díaz, José Manuel Tr. S.F ​”Academia de Networking de Cisco
systems fundamentos de seguridad de redes : especialista en
Firewall” ​Cisco
[10] John Y. Hsu. (1996) ​“Computer Networks: architectures, protocols
and software”​ Boston Artech House.
[11] DS3 comunicaciones, tomado el 26/04/2019 de:
​http://www.ds3comunicaciones.com/cisco/precios_cisco.html