Curso

Introductorio Seguridad lógica

de Seguridad
Autor: · Introducción
Ernesto Pérez Estévez
· Mecanismos de seguridad lógica
· Firewall
MODULO 1.
· Sistemas de detección de intrusos
· Redes privadas virtuales
MODULO 2.
· Aunteticación, autorización y auditoría
MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
4.
Ernesto Pérez Estévez
Introducción
MODULO 1.
La seguridad lógica no es más que el conjunto de medidas
MODULO 2. que se toman en los sistemas, en el software, con miras
a proteger la información que se guarda en ellos, permi-
MODULO 3. tiendo que solamente las personas que demuestren estar
autorizadas puedan acceder a los datos de estos siste-
MODULO 4. mas. Quien no esté autorizado no podrá acceder a esta in-
Seguridad lógica
formación. También son las medidas lógicas que se toman
con la finalidad de minimizar el riesgo de que los sistemas
MODULO 5.
sufran abusos ya sea por fallas que puedan ser explotadas
MODULO 6. en ellos o por su exposición indebida a Internet.

MODULO 7. Veamos algunas de estas medidas a continuación.

MODULO 8.
1. Mecanismos de seguridad lógica
MODULO 9.
1.1. Firewall
MODULO 10.
Conocido en español como «cortafuegos», es una medida
MODULO 11. genérica muy importante para las redes.
MODULO 12.
Curso Un firewall permite definir distintas zonas dentro de la red
Introductorio de una organización y controlar que entre ellas se comu-
de Seguridad nique únicamente la información predeterminada y ningu-
na otra. Es importante usarlo, pues un cortafuegos actúa
Autor:
Ernesto Pérez Estévez como punto de paso para todos los paquetes de la red y
puede analizar además si amerita o no que un paquete
pase hacia nuestra red o salga desde ella.
MODULO 1.

MODULO 2.
Zonas de un firewall

MODULO 3. El cortafuegos se puede dividir en zonas. Estas no son

más que grupos de equipos sobre los cuales se necesita
MODULO 4. generar un conjunto de acciones.
Seguridad lógica
Por ejemplo, supongamos que hay una zona llamada LAN
MODULO 5. (Local Area Network). A esta zona se le pueden asociar
MODULO 6. uno o varios equipos o redes de una organización y se
pueden implementar restricciones para quien intente
MODULO 7. acceder a esta zona LAN o para que esta zona no acceda
al exterior.
MODULO 8.
Otra zona de interés pueden ser todos los equipos que
MODULO 9.
están fuera de una red, los que, al no estar en la zona LAN
MODULO 10. estarán en otra zona llamada WAN (Wide Area Network).

MODULO 11. Ahora, al tener dos zonas —los equipos que están en la
LAN, la red local y los que están en Internet, la WAN— po-
MODULO 12.
demos comenzar a poner restricciones para el acceso de
Curso los equipos que estén en la WAN a equipos que estén en la
Introductorio LAN o viceversa.
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.
PC 1

MODULO 4.
Seguridad lógica

MODULO 5.
PC 2

MODULO 6.
Firewall
MODULO 7.

MODULO 8. PC X

MODULO 9.

MODULO 10. Por defecto, un cortafuegos debe ser restrictivo. Esto es:
al iniciar el firewall por primera vez, debe bloquear todo
MODULO 11. tipo de acceso, principalmente de la WAN a la LAN, pero
igual debería bloquear también accesos desde la LAN
MODULO 12.
hacia la WAN.
Curso
Introductorio
de Seguridad Bloquear intentos de ingreso a LAN

Autor:
Ernesto Pérez Estévez PC 1

MODULO 1.

MODULO 2.
PC 2
MODULO 3.
Firewall
MODULO 4.
Seguridad lógica

PC X
MODULO 5.

MODULO 6. Un cortafuegos busca, en principio, bloquear, impedir que

circulen paquetes no autorizados entre las zonas defini-
MODULO 7. das.

MODULO 8. Hay una zona más que es necesario mencionar y es la

zona desmilitarizada, conocida como DMZ (demilitarized
MODULO 9.
zone). Como en las guerras, imaginemos que a la izquier-
MODULO 10. da de las trincheras están los equipos de la LAN y a la
derecha los de la WAN. Ahora, los que más riesgos corren
MODULO 11. son los equipos de la LAN. En esa tierra de nadie entre las
dos trincheras está la zona desmilitarizada, la DMZ. Los
MODULO 12.
equipos que están en la DMZ están expuestos a un gran
Curso riesgo, ya que pueden ser atacados por extraños (por
Introductorio ejemplo, por cualquier equipo que esté en Internet, en
de Seguridad la zona WAN), y es por ello que debe cuidárselos mu-
cho y prestarles mucha atención. Son equipos que, por
Autor:
Ernesto Pérez Estévez estar muy expuestos es mejor que no estén en la LAN.
Son nuestros, pero pueden ser objeto de ataques, así
que lo mejor es mantenerlos en una zona apartada de
MODULO 1. la LAN, por lo que se los posiciona en ese intermedio
MODULO 2.
entre la LAN y la WAN, la DMZ.

MODULO 3.

MODULO 4. Bloquear intentos de ingreso a LAN

Seguridad lógica

MODULO 5.
PC 1

MODULO 6.

MODULO 7.
PC 2
MODULO 8.
Firewall
MODULO 9.

MODULO 10. PC X

MODULO 11.
Servidor Servidor
Maill Web
MODULO 12.
Curso ¿Por qué? Porque si fueran atacados y comprometidos, el
Introductorio atacante solamente podría acceder a los recursos que es-
de Seguridad tán en la zona, en la DMZ y no podría atacar a otros equi-
pos en las otras zonas.
Autor:
Ernesto Pérez Estévez
A continación se presenta un breve resumen de lo expuesto:

MODULO 1. • LAN: es donde van los equipos de la red local: máquinas

MODULO 2.
de escritorio, impresoras, equipos de Wi-Fi, quizás, y te-
léfonos de VOIP (Voice Over IP). Son muchos equipos que
MODULO 3. quizás no se puedan asegurar completamente porque
muchas veces son manejados e instalados por sus propios
MODULO 4. usuarios, que no tienen mucho conocimiento sobre se-
Seguridad lógica guridad. Hay que cuidar mucho estos equipos para evitar
que sean agredidos desde el exterior.
MODULO 5.

MODULO 6. • DMZ: es donde se colocan los equipos que brindan un

servicio al exterior. Estos equipos tienen contacto con
MODULO 7. equipos tanto de la LAN como del exterior, de la WAN. Es-
tán sometidos a un peligro mayor que los de la LAN, ya
MODULO 8. que desde la WAN podrían ser atacados y vulnerados. Por
esto los separamos, los sacamos de la LAN y los ponemos
MODULO 9.
en una zona aparte, para que si fueran vulnerados el ata-
MODULO 10. cante no pudiera extenderse a la zona LAN. Normalmente,
en la DMZ van los servidores que brindan servicios públi-
MODULO 11. cos, servicios que están expuestos a Internet.
MODULO 12.
Curso • WAN: en esta zona está el «resto» de los equipos que
Introductorio hay en Internet. Todo equipo que no esté en la LAN ni en
de Seguridad la DMZ se puede considerar WAN. Son equipos externos.
Pueden estar realizando una actividad válida, pero tam-
Autor:
Ernesto Pérez Estévez bién puede haber equipos haciendo actividades malicio-
sas. No se deben permitir accesos desde la WAN hacia la
LAN y solamente deben permitirse ciertos accesos desde
MODULO 1. la WAN hacia la DMZ: accesos controlados y puntuales.
MODULO 2.
Ejemplos teóricos de un firewall
MODULO 3.
Analicemos algunos ejemplos de cómo se pueden con-
MODULO 4. figurar los cortafuegos. Ninguno es en sí mismo malo o
Seguridad lógica bueno. Todo depende del tamaño de nuestra red y el pro-
pósito que tenga.
MODULO 5.

MODULO 6. Caso de un firewall simple:

MODULO 7. Este tipo de cortafuegos es muy utilizado en redes senci-

llas, donde no hay servidores o estos son muy escasos. Se
MODULO 8. lo usa mucho en las redes domésticas, por ejemplo, o de
pequeñas y medianas empresas.
MODULO 9.

MODULO 10. Como puede verse en la siguiente imagen, es un cortafue-

gos con dos zonas: la zona LAN, donde están los equipos
MODULO 11. de la red y la zona WAN, que es la conexión hacia Internet.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez
PC 1

MODULO 1.

MODULO 2.
PC 2
MODULO 3.
Firewall
MODULO 4.
Seguridad lógica
PC X

MODULO 5.

MODULO 6.

MODULO 7. Firewall con DMZ opción 1

MODULO 8. Esta es una forma muy simple de entender la DMZ y es la

forma en la que se concebían inicialmente los cortafuegos
MODULO 9.
con DMZ.
MODULO 10.
Si se presta atención a la imagen, se notará que en realidad
MODULO 11. hay dos cortafuegos. Uno conecta la DMZ con la WAN y el
otro conecta la LAN con la DMZ. Están encadenados. Nor-
MODULO 12. malmente, toda conexión de izquierda a derecha (desde la
Curso LAN hacia la DMZ y la WAN) está permitida, pero toda cone-
Introductorio xión desde la derecha hacia la izquierda está prohibida por
de Seguridad defecto (no se puede enviar un paquete desde la WAN ha-
cia la DMZ y no se puede enviar tampoco desde la DMZ ha-
Autor:
Ernesto Pérez Estévez cia la LAN). De esta forma se protege la LAN de conexiones
desde la DMZ y la WAN y se protege a la DMZ desde la WAN,
mientras que se perminteque desde la LAN se pueda acce-
MODULO 1. der a a la DMZ y a la WAN.
MODULO 2.
Este tipo de firewall tiene solamente una pequeña desven-
MODULO 3. taja y es que es más caro de implementar, pues se requie-
ren, posiblemente, dos equipos. Sin embargo, consideramos
MODULO 4. que es más fácil de comprender que la siguiente opción.
Seguridad lógica

MODULO 5.

MODULO 6.

MODULO 7.
PC 1
MODULO 8.

MODULO 9.

MODULO 10. PC 2
Firewall Firewall
Interno Externo
MODULO 11.
Servidor Servidor
Web Mail
MODULO 12. PC X
Curso Firewall con DMZ, estructura actual
Introductorio
de Seguridad Actualmente se opta por tener un solo equipo cortafuegos
que cumple la misma función del firewall simple que se
Autor:
Ernesto Pérez Estévez mencionó con anterioridad: permite navegar desde la LAN
hacia la WAN, pero nada puede entrar a la LAN.

MODULO 1.

MODULO 2.
Bloquear intentos de ingreso a LAN
MODULO 3.

MODULO 4.
PC 1
Seguridad lógica

MODULO 5.

MODULO 6.
PC 2
MODULO 7.
Firewall
MODULO 8.

MODULO 9.
PC X
MODULO 10.

MODULO 11.
Servidor Servidor
MODULO 12. Mail Web
Curso A esto se añade una nueva interfaz, llamada la zona DMZ. Y
el único firewall se configura para que desde la LAN se pue-
Introductorio da acceder a la WAN (navegar en Internet, por ejemplo) y a
de Seguridad equipos de la DMZ, a la vez que se impide que desde la DMZ
Autor: y la WAN se acceda a la LAN y se configuran pocas conexio-
Ernesto Pérez Estévez nes desde la WAN hacia la DMZ según nos necesario.

MODULO 1. Funciones de un firewall

MODULO 2. Ya se dijo que, por defecto, un cortafuegos debe bloquear

todo intento de acceso entre zonas: de la WAN a la LAN, de
MODULO 3.
la LAN a la WAN, de la WAN a la DMZ y de la LAN a la DMZ.
MODULO 4.
Pero si no permitimos accesos entre las zonas, ¿para qué
Seguridad lógica tenemos Internet?

MODULO 5. Si no hay accesos nadie podrá navegar ni podrá, por con-

siguiente, acceder a nuestros recursos. No podremos ac-
MODULO 6. ceder a datos en el exterior. Una de las máximas de la se-
guridad es comenzar desde una configuración que deje
MODULO 7.
todo cerrado e ir abriendo los puertos o servicios que vayan
MODULO 8. siendo necesarios. Esta opción es la mejor, pues al menos
brinda la seguridad de que si algo está abierto es porque en
MODULO 9. algún momento se lo abrió.
MODULO 10.
Los cortafuegos tienen diversas funciones que se mencio-
MODULO 11. nan y describen a continuación:

MODULO 12.
Curso Filtrado de paquetes por puerto
Introductorio
de Seguridad El firewall debe tener la capacidad de detectar cuando un
paquete está llegando a un puerto en específico y blo-
Autor:
Ernesto Pérez Estévez quear, o permitir, la entrada a este puerto para evitar que
se acceda al servicio que está escuchando en este puerto.

MODULO 1. Por ejemplo: un servidor web está funcionando en el puer-

MODULO 2.
to 80/TCP de un equipo situado en la DMZ y está previsto
que solamente dé servicio a la red local (LAN). Se le puede
MODULO 3. indicar al firewall que:

MODULO 4. 1. PERMITA toda conexión desde la LAN hacia el puerto

Seguridad lógica 80/TCP de este equipo.
MODULO 5. 2. PROHIBA todo otro intento de conexión hacia este
MODULO 6. equipo.

MODULO 7. De esta forma se logra que solamente los equipos de la red

LAN puedan acceder a este servicio web. Esta última regla
MODULO 8. es la regla por defecto de un firewall: prohibir toda conexión.
MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.
PC 1
MODULO 2.

MODULO 3.

MODULO 4.
Seguridad lógica PC 2

MODULO 5. Firewall

MODULO 6.

MODULO 7. PC X

MODULO 8. 80/TCP

MODULO 9.
Servidor Servidor
MODULO 10. Mail Web

MODULO 11.

MODULO 12.
Curso • Filtrado de paquetes por IP
Introductorio
de Seguridad La idea aquí es similar al caso anterior: el cortafuegos
debe tener la capacidad de detectar cuando un paquete
Autor:
Ernesto Pérez Estévez está llegando a un equipo nuestro desde una IP específica
(IP de origen del paquete) y bloquear, o permitir, el acceso
a este equipo desde esa IP específica.
MODULO 1.

MODULO 2.
También puede darse el caso contrario: el firewall debe
poder determinar cuando un paquete va dirigido (destina-
MODULO 3. do) a una IP específica en nuestra red y bloquear, o permi-
tir, el acceso a esta IP.
MODULO 4.
Seguridad lógica Por ejemplo: tenemos un servidor web y queremos que
puedan acceder a él los equipos de nuestra red LAN ade-
MODULO 5. más de los de la IP de nuestra sucursal en México. La IP de
MODULO 6. nuestra sucursal en México es la 1.2.3.4, para lo que debe-
mos indicarle al cortafuegos que:
MODULO 7.
1. PERMITA toda conexión desde la LAN hacia el puerto
MODULO 8. 80/TCP de este equipo
2. PERMITA toda conexión desde la IP 1.2.3.4 hacia el
MODULO 9.
puerto 80/TCP de este equipo
MODULO 10. 3. PROHIBA todo otro intento de conexión hacia este
equipo.
MODULO 11.
Como se puede ver, respecto al caso anterior, solamente
MODULO 12.
se agregó una regla después de la primera, que permitiera
Curso conexiones desde la IP 1.2.3.4. Para mayor seguridad, se
Introductorio permitieron conexiones desde la 1.2.3.4 exclusivamente al
de Seguridad puerto 80/TCP del equipo y a ningún otro puerto.
Autor:
Ernesto Pérez Estévez El resto de intentos de conexión se captura en la última
regla, la 3, que prohíbe toda conexión desde la WAN hacia
este equipo.
MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.
Seguridad lógica PC 1 IP. 1.2.3.4

MODULO 5.

MODULO 6.
PC 2
MODULO 7.
Firewall
MODULO 8.

MODULO 9. PC X

MODULO 10.
80/TCP

MODULO 11.
Servidor Servidor
Mail Web
MODULO 12.
Curso
Introductorio • Filtrado de paquetes por cantidad
de Seguridad
Es preferible llamarlo throttling, ya que es similar a un
Autor:
Ernesto Pérez Estévez cuello de botella. No implica más que la capacidad de de-
finir cuántos paquetes que cumplan una condición pue-
den llegar a un servidor y definir un límite de conexiones
MODULO 1. en un período de tiempo (segundos o minutos son los
MODULO 2.
valores típicos).

MODULO 3. Por ejemplo: tenemos un servidor de correo (25/TCP) en

nuestra DMZ. Por cada conexión hacia nuestro servidor,
MODULO 4. este reserva una pequeña porción de memoria RAM (tam-
Seguridad lógica bién otros recursos, pero pensemos ahora únicamente
en la RAM). Si un atacante quiere que nuestro servidor
MODULO 5. deje de responder, puede optar —y esto sí ocurre en la
MODULO 6. vida real— por comenzar a abrir sesiones —una conexión
detrás de la otra— lo más rápido posible antes de que el
MODULO 7. servidor cierre las sesiones porque se les agote el tiempo.
Así, puede comenzar a abrir cien sesiones por segundo:
MODULO 8. en un minuto tendrá seis mil sesiones abiertas y en diez
minutos tendrá sesenta mil. Eventualmente nuestro equi-
MODULO 9.
po dejará de responder, mucho antes de lo que pensa-
MODULO 10. mos, posiblemente en tres o cuatro minutos, porque tan-
tas sesiones abiertas agotarán su memoria RAM y otros
MODULO 11. recursos, como el número de procesos que puede abrir
nuestro sistema operativo.
MODULO 12.
Curso ¿Cómo se puede evitar esto o al menos mitigarlo? Se pue-
Introductorio de poner una restricción que:
de Seguridad
1. PERMITA paquetes que inician nuevas conexiones (se
Autor:
Ernesto Pérez Estévez conocen como paquetes SYN) con destino al puerto 25/
TCP siempre y cuando no superen los cinco nuevos pa-
quetes por segundo.
MODULO 1.

MODULO 2.
2. PROHIBA cualquier paquete SYN con destino al puerto
25/TCP que esté por encima de los cinco nuevos paque-
MODULO 3. tes por segundo.

MODULO 4. 3. PERMITA cualquier paquete con destino al puerto 25/

Seguridad lógica TCP que provenga de conexiones previamente estableci-
das (ESTABLISHED).
MODULO 5.

MODULO 6. Como se puede ver, en este caso se pone un límite a los

intentos de abrir nuevas conexiones (paquetes tipo SYN),
MODULO 7. por ejemplo, de cinco paquetes SYN por segundo. Si se
superan las cinco nuevas conexiones al puerto 25/TCP
MODULO 8. el sistema las prohibirá (punto 2). Ahora, si se trata de un
paquete que proviene de una conexión previamente es-
MODULO 9.
tablecida, la dejamos pasar, porque esos paquetes son los
MODULO 10. que contienen, por ejemplo, porciones de un correo elec-
trónico que está entrando.
MODULO 11.
Un segundo ejemplo puede ser el de un atacante que en-
MODULO 12.
vía cien conexiones en un segundo. Las primeras cinco
Curso son aceptadas por el punto 1, pero las siguientes 95 son
Introductorio prohibidas por el punto 2. De esta forma, al pasar diez mi-
de Seguridad nutos, habrá un número muy aceptable de conexiones,
que permitirá al servidor manejar sus recursos adecuada-
Autor:
Ernesto Pérez Estévez mente: 5 conexiones/segundo × 60 segundos = 300 co-
nexiones/segundo. En diez minutos serán a lo sumo tres
mil y no las sesenta mil del primer ejemplo.
MODULO 1.

MODULO 2.
Lógicamente, imponer restricciones tiene sus costos. Por
ejemplo, en medio de un ataque un servidor legítimo que
MODULO 3. quiere enviar un correo envía su paquete SYN para abrir
su conexión con el servidor, y lo más probable es que el
MODULO 4. servidor rechace el intento, porque lo hemos configurado
Seguridad lógica para que acepte solamente cinco conexiones SYN por se-
gundo y le están llegando 101 (cien del atacante más una
MODULO 5. del servidor que legítimamente quiere enviar un correo).
MODULO 6. En este caso, el servidor legítimo tendrá que reintentar
varias veces hasta lograrlo.
MODULO 7.
¿Cómo se puede evitar en parte este problema? Quizás
MODULO 8. elevando el valor en dependencia de cuán poderoso sea el
equipo: si tiene mucha RAM, quizás cinco conexiones SYN
MODULO 9.
por segundo sea poco y amerite subirlo a diez o veinte.
MODULO 10. Son aspectos que deben valorarse en relación con nues-
tra red. Para finalizar este apartado, resta comentar que
MODULO 11. normalmente de tres a cinco conexiones nuevas (SYN) por
segundo son muy apropiadas para una organización de
MODULO 12.
tamaño pequeño a medio.
Curso
Introductorio
de Seguridad
Autor: PC 1
Ernesto Pérez Estévez

MODULO 1.
PC 2
MODULO 2.

MODULO 3.

MODULO 4. Servidor
PC 3
Seguridad lógica Mail

MODULO 5.
PC 4
MODULO 6.
Firewall Límite
SMTP: 5/s
MODULO 7.

MODULO 8. PC 5

MODULO 9.

MODULO 10.
PC 6
MODULO 11.

MODULO 12.
Curso • NAT en origen (Network Address Translation)
1
http://businessresearcher.
sagepub.com/sbr-1863-
Introductorio 102197-2772812/20170306/
de Seguridad Significa ‘traducción de direcciones de red’ y es una forma more-than-28-billion-devices-
connect-via-internet-of-things
de que un equipo, el cortafuegos, reciba paquetes de una
Autor:
Ernesto Pérez Estévez red privada y los envíe en su nombre hacia una red pública.

Recordemos que, en IPv4 tenemos 2^32 potenciales di-

MODULO 1. recciones IP, menos de cuatro mil millones de direcciones
MODULO 2.
IP que podemos usar en Internet. Tengamos en cuenta
que ya en 2017 había unos 28 mil millones de equipos co-
MODULO 3. nectados a Internet 1. ¿Cómo es posible que 28 mil millo-
nes de equipos naveguen con solamente cuatro mil millo-
MODULO 4. nes de direcciones IP disponibles?
Seguridad lógica
Hace muchos años se creó el concepto de proxy (o su
MODULO 5. plural proxies), que no es más que un equipo que puede
MODULO 6. intermediar entre las decenas o cientos de equipos de
nuestra LAN y la Internet. En otras palabras, es un equipo
MODULO 7. que habla con el resto de Internet «en nombre de» todos
los equipos de nuestra red.
MODULO 8.
El proxy tiene dos interfaces: una que se conecta con una
MODULO 9.
IP privada a la LAN y otra que se conecta con una IP públi-
MODULO 10. ca hacia la WAN.

MODULO 11. ¿Qué hace el NAT? Se puede entender al NAT como un tipo
de proxy. Cuando un equipo de una red LAN que tiene una
MODULO 12.
Curso IP privada quiere enviar un paquete a un sitio de Internet
Introductorio que tiene una IP pública, envía este paquete al firewall,
de Seguridad pero hay un problema: el paquete proviene (tiene su ori-
gen) de una IP privada. Las IP privadas no deben circular
Autor:
Ernesto Pérez Estévez por Internet, por lo que nuestro cortafuegos cambia el
encabezado del paquete y pone como origen la IP pública
del firewall: lo «traduce» de la IP privada a su IP pública.
MODULO 1. Entonces lo envía a su destino en Internet.
MODULO 2.

MODULO 3.

MODULO 4. IP Privada: 192.168.1.1 IP Pública: 1.2.3.4

Seguridad lógica
Paquete Paquete
MODULO 5. IP Origen: IP Origen:
PC 1 Servidor Web
192.168.1.3:3456 1.2.3.4:8897
IP Privada: IP Pública:
IP Destino: IP Destino:
MODULO 6. 192.168.1.3 20.30.40.50
20.30.40.50.80 SNAT 20.30.40.50.80

MODULO 7.

MODULO 8.
Tabla NAT:
MODULO 9. IP Origen: IP Destino: IP Pública Origen:
Puerto Origen Puerto Destino Puerto Público Origen
192.168.1.3:3456 20.30.40.50.80 1.2.3.4:8897
MODULO 10.

MODULO 11.

MODULO 12.
Curso El servidor de destino piensa que quien le ha enviado el
Introductorio paquete es el cortafuegos, que tiene la IP pública, y le res-
de Seguridad ponde a esta IP pública.
Autor:
Ernesto Pérez Estévez El firewall tiene anotado en una tabla en la RAM (ver Ta-
bla NAT en la imagen anterior) una lista de paquetes que
ha «traducido», así que cuando le llega la respuesta del
MODULO 1. servidor de Internet, el cortafuegos revisa en su tabla y
MODULO 2.
encuentra cuál fue el equipo que originó la petición. En-
tonces, «traduce» el encabezado del paquete, le quita
MODULO 3. al encabezado su IP pública, que era el destino final, y le
pone la IP privada del equipo de la red LAN que originó el
MODULO 4. paquete, para enviar entonces este paquete al equipo de
Seguridad lógica la red LAN.
MODULO 5. A continuación se describe el proceso de la imagen
MODULO 6. anterior:

MODULO 7. 1. PC1 con la IP 192.168.1.3 envía un paquete al servidor

que tiene una IP pública 20.30.40.50. Todo paquete debe
MODULO 8. llevar un puerto de origen (3456) y uno de destino (80)
para poder diferenciar diversas conexiones con destino a
MODULO 9.
un mismo equipo.
MODULO 10.
2. El firewall recibe este paquete y sustituye su IP de ori-
MODULO 11. gen: en vez de 192.168.1.3 por el puerto 3456 ahora el pa-
quete se «originará» desde su IP pública y será 1.2.3.4 en
MODULO 12.
el puerto 8897 de su IP pública.
Curso 3. Todo esto lo guarda en una tabla pues el NAT no sola-
Introductorio mente traduce una conexión, sino decenas, cientos o va-
de Seguridad rios miles, concurrentemente. La tabla permite descubrir
a quién enviarle las respuestas cuando lleguen (ver Tabla
Autor:
Ernesto Pérez Estévez NAT en la imagen anterior).

4. Al regresar la respuesta el servidor público

MODULO 1. (20.30.40.50) le envía un paquete a nuestra IP pública
MODULO 2.
(1.2.3.4 en el puerto 8897, que fue el que se usó para en-
viar el paquete).
MODULO 3.
5. El cortafuegos, que es quien tiene la IP pública, revisa la
MODULO 4. tabla de NAT y encuentra una entrada que dice que lo en-
Seguridad lógica viado a IPPublicaOrigen 1.2.3.4, puerto 8897 debe enviar-
se a IPOrigen 192.168.1.3 puerto 3456.
MODULO 5.

MODULO 6. 6. Así, cambia la IP de destino, que es la 1.2.3.4, y pone

192.168.1.3 en el puerto 3456, y procede a enviar el paque-
MODULO 7. te a 192.168.1.3.

MODULO 8. Parece complejo pero no lo es. Es lo que conocemos como

NAT en el origen o SNAT (la S viene de source). Porque el
MODULO 9.
NAT se hizo inmediatamente después de que el paquete
MODULO 10. fuera entregado al firewall por el equipo que lo originó.

MODULO 11. El SNAT es una solución bastante popular para evitar que
se agoten las pocas IPv4 públicas del mundo, pues a un
MODULO 12.
cortafuegos se le pone una IPv4 pública en la WAN, y en la
Curso LAN conectada al firewall hay decenas o cientos de equi-
Introductorio pos con IPv4 privadas. Una red contiene decenas o cien-
de Seguridad tos de equipos pero hace uso de una sola IPv4 pública.
Autor:
Ernesto Pérez Estévez Esto contribuyó mucho a disminuir el ritmo al que se con-
sumían las IPv4 en el planeta. De todas formas, el cre-
cimiento explosivo de Internet ha ido agotando las IPv4
MODULO 1. disponibles y es por ello que desde hace varios años se ha
MODULO 2.
comenzado a implementar con mucha fuerza una nueva
versión de IP: IPv6 con la finalidad de salir de estos pro-
MODULO 3. blemas que provoca el agotamiento de las IPv4.

MODULO 4. • NAT en el destino

Seguridad lógica
o DNAT (Destination NAT) es parecido al caso anterior,
MODULO 5. pero refiere a tener que hacer NAT cuando una red tiene
MODULO 6. uno o varios servidores y solamente hay una IPv4 pública.

MODULO 7. Por ejemplo: en una DMZ hay dos servidores. Uno de ellos
es un servidor de correos que recibe los mails por el puer-
MODULO 8. to 25/TCP y el otro es un servidor web que atiende en el
puerto 80/TCP. Pero hay una sola IPv4 pública, ya que el
MODULO 9.
proveedor no puede facilitar más que una. ¿A quién se le
MODULO 10. asignaría? ¿Al servidor web? Si fuera así, no se recibirían
correos. ¿Al servidor de correos? Entonces no se vería el
MODULO 11. sitio web.
MODULO 12.
Curso Lo mejor sería asignarle la única IPv4 pública a la interfaz
Introductorio WAN del cortafuegos y crear dos reglas en él que dirían que:
de Seguridad
1. A TODO paquete con destino al puerto 25/TCP de la úni-
Autor:
Ernesto Pérez Estévez ca IP pública le cambie la IP de destino y le ponga de IP de
destino la IP privada del servidor de correos, para enviarlo
entonces hacia el servidor de correos.
MODULO 1.

MODULO 2.
2. A TODO paquete con destino al puerto 80/TCP de la
única IP pública le cambie la IP de destino y le ponga de
MODULO 3. IP de destino la IP privada del servidor web, para enviarlo
entonces hacia el servidor web.
MODULO 4.
Seguridad lógica

MODULO 5.

MODULO 6. IP Pública: Puerto

Servidor Web
IP Privada: 192.168.1.3 1.2.3.4:80 PC 1
MODULO 7. Puerto 80/TCP

MODULO 8. IP Pública: Puerto

1.2.3.4:25

MODULO 9.
Servidor Mail Server de Correo
MODULO 10. IP Privada: 192.168.1.3.5 DNAT Remoto
Puerto 25/TCP
Tabla DNAT:
MODULO 11. IP Pública Origen: IP Privada:
Puerto Público Puerto Privado
MODULO 12. 1.2.3.4:25 192.168.1.5:25
1.2.3.4:80 192.168.1.3:80
Curso Como se puede observar, se ha logrado reenviar los pa-
Introductorio quetes que van con destino (por eso la D de DNAT) al
de Seguridad puerto 80/TCP de la IP pública hacia el servidor de co-
rreos, y los que van con destino a la 25/TCP de la IP públi-
Autor:
Ernesto Pérez Estévez ca hacia el servidor web. Así, con una sola IP se han podi-
do brindar servicios situados en dos servidores diferentes.
MODULO 1.
• Redireccionamiento
MODULO 2.
es un caso muy similar a los anteriores. Como se puede
MODULO 3. ver, en los otros ejemplos se modificaban las IP de origen
y de destino de los paquetes. Ahora, nada impide que se
MODULO 4. pueda modificar también el puerto de destino de los pa-
Seguridad lógica quetes si fuera necesario.
MODULO 5.
Por ejemplo: hay dos servidores web (WEB1 y WEB2), cada
MODULO 6. uno con su IP privada y se quiere hacerlos accesibles des-
de Internet. No se puede aplicar un simple DNAT como en
MODULO 7. el caso anterior, pues el puerto 80/TCP es solo uno y hay
dos servidores web. No es posible que el único puerto 80/
MODULO 8. TCP de una IP pública haga DNAT hacia dos destinos dife-
MODULO 9. rentes: solamente puede hacerlo hacia uno.

MODULO 10. Por lo tanto, lo que se puede hacer es usar otros puertos,
de modo que:
MODULO 11.
1. A TODO paquete con destino al puerto 8001/TCP de una
MODULO 12.
única IP pública, se le cambie la IP de destino y se le ponga
Curso de IP de destino la IP privada del servidor WEB1 y también
Introductorio se le cambie el puerto de destino, del 8001/TCP al 80/TCP,
de Seguridad y entonces se lo envíe hacia el servidor WEB1.
Autor:
Ernesto Pérez Estévez 2. A TODO paquete con destino al puerto 8002/TCP de
una única IP pública, se le cambie la IP de destino y se le
ponga de IP de destino la IP privada del servidor WEB2 y
MODULO 1. también se le cambie el puerto de destino, del 8002/TCP
MODULO 2.
al 80/TCP, entonces se lo envíe hacia el servidor WEB2.

MODULO 3.

MODULO 4.
Seguridad lógica

IP Pública: Puerto
MODULO 5. Servidor Web
1.2.3.4:8002
IP Privada: 192.168.1.3 PC 1
Puerto 80/TCP
MODULO 6.

MODULO 7. IP Pública: Puerto

1.2.3.4:8001
MODULO 8.

MODULO 9.
Servidor Web DNAT
PC 2
IP Privada: 192.168.1.5
MODULO 10. Puerto 80/TCP
Tabla DNAT:
MODULO 11. IP Pública: Puerto Público IP Privada: Puerto Privado
1.2.3.4:8001 192.168.1.5:80
MODULO 12. 1.2.3.4:8002 192.168.1.3:80
Curso Es decir, si alguien accede a la IP pública por el puerto
Introductorio 8001/TCP se lo enviará al puerto 80/TCP de la IP privada
de Seguridad del servidor WEB1. Y si alguien accede a la IP pública por el
puerto 8002/TCP se lo enviará al puerto 80/TCP de la IP
Autor:
Ernesto Pérez Estévez privada del servidor WEB2.

Es una forma bastante usual de lograr que, teniendo una

MODULO 1. sola IP pública, se puedan exponer dos servidores diferen-
MODULO 2.
tes a Internet: se redirecciona el puerto 8001/TCP hacia el
80/TCP de WEB1 y el 8002/TCP hacia el 80/TCP de WEB2.
MODULO 3.
Inspección profunda de paquetes
MODULO 4. (Deep Packet Inspection)
Seguridad lógica
En los ejemplos anteriores se analizaron los encabezados
MODULO 5. de los paquetes y se tomaron acciones en relación con
MODULO 6. ellos.

MODULO 7. En el encabezado están la IP de origen, la IP de destino,

el puerto de origen, el puerto de destino, etc. Si se repa-
MODULO 8. sa este capítulo se notará que todo está relacionado con
estos elementos.
MODULO 9.

MODULO 10. Ahora, existen formas más complejas de analizar un pa-

quete: se puede intervenir no solo en estos simples campos
MODULO 11. del encabezado, sino también en otros campos del encabe-
zado e incluso con la carga del paquete (el payload).
MODULO 12.
Curso Lógicamente, al hacer DPI necesitamos firewalls con ma-
Introductorio yores capacidades a las anteriormente descritas, pero
de Seguridad vale la pena conocer qué se puede hacer con DPI, para lo
que se pondrán algunos ejemplos:
Autor:
Ernesto Pérez Estévez
· Se puede verificar si por un determinado puerto está pa-
sando el protocolo esperado. Por ejemplo, se puede obli-
MODULO 1. gar a que por el puerto 80/TCP pasen únicamente paque-
MODULO 2.
tes que contengan el protocolo HTTP. De esta forma se
puede evitar, siguiendo con el ejemplo, que alguien inten-
MODULO 3. te pasar una conexión encriptada (HTTPS).

MODULO 4. · Se pueden analizar los contenidos del paquete contra

Seguridad lógica virus, spam, spyware o cualquier otro malware.
MODULO 5. · Se puede determinar si los contenidos del paquete son po-
MODULO 6. tencialmente dañinos y reportarlos al administrador del cor-
tafuegos o bloquearlos. Estas técnicas son conocidas como
MODULO 7. Intrusion Detection System e Intrusion Prevention System.

MODULO 8. Implementaciones de firewall en la actualidad

MODULO 9.
Debe partirse de la base de que un cortafuegos no es más
MODULO 10. que un código en nuestro sistema, que analiza los paque-
tes para impedir, o permitir, que estos paquetes circulen a
MODULO 11. través de él.
MODULO 12.
Curso Este código puede ser más o menos eficiente según el
Introductorio tipo de fabricante. Se han implementado diversas formas
de Seguridad de crear firewalls, que se mencionan a continuación.
Autor:
Ernesto Pérez Estévez En equipos Linux se utiliza actualmente una versión lla-
mada netfilter, aunque se la conoce generalmente por la
herramienta que permite definir las reglas: iptables. Es
MODULO 1. bastante eficiente y permite realizar una gran cantidad de
MODULO 2.
acciones sobre los paquetes pues también se le pueden
incorporar módulos que incrementan la funcionalidad del
MODULO 3. iptables. A mayor cantidad de reglas, lógicamente mayor
será el consumo de procesador y, por lo tanto, se puede
MODULO 4. ralentizar el sistema. Seguramente, todo equipo basado
Seguridad lógica en Linux esté usando netfilter en la actualidad.
MODULO 5. En el caso de openbsd y freebsd se utiliza un software
MODULO 6. creado para estos sistemas operativos, llamado Packet
Filtering (PF). Sus usuarios argumentan que es mucho
MODULO 7. más fácil de entender que el netfilter de Linux y que es
mucho más rápido también.
MODULO 8.
Otros sistemas operativos privativos —sistemas que no
MODULO 9.
permiten ver el código— tienen sus propios firewalls que
MODULO 10. tienen en mayor o menor grado las mismas funciones que
hacen PF o netfilter (ver en este mismo capítulo «Funcio-
MODULO 11. nes de un firewall»).
MODULO 12.
Curso Para manejar los diversos cortafuegos existen herramien-
2
Puede consultarse en:
http://fwbuilder.sourceforge.
Introductorio tas o paneles que facilitan el trabajo con ellos. Una herra- net/
de Seguridad mienta que permite manejar diversos tipos de firewalls se
llama Firewall Builder 2. Es realmente útil para una admi-
Autor:
Ernesto Pérez Estévez nistración más cómoda de los cortafuegos. Una de sus
mayores ventajas es que maneja no solamente firewalls
en Linux o BSD, sino en una diversidad de equipos de cor-
MODULO 1. tafuegos en el mercado.
MODULO 2.
También hay distribuciones de Linux o de BSD que permi-
MODULO 3. ten manejar firewalls a través de paneles de control web.
Son sistemas ya preinstalados, como por ejemplo:
MODULO 4.
Seguridad lógica • ClearOS: realmente es una distribución que abarca mu-
cho más que la seguridad. Tiene un panel de control que
MODULO 5. permite configurar el firewall netfilter con bastante facili-
MODULO 6. dad. Esta distribución tiene una variante comunitaria (sin
costo): https://www.clearos.com/
MODULO 7.
• IPCop: es una pequeñísima distribución de Linux, orientada
MODULO 8. a firewall, para redes pequeñas o medianas, aunque funciona
también en redes con gran tráfico: http://www.ipcop.org/
MODULO 9.

MODULO 10. • OPNsense: se basó mucho en m0n0wall y pfSense. Está

basada en BSD, usa PF y tiene una gran cantidad de apli-
MODULO 11. caciones además de cortafuegos: https://opnsense.org/
MODULO 12.
Curso • IPFire: al igual que las anteriores, es muy fácil de manejar.
Introductorio Se basa en Linux y permite también el manejo de VPN, so-
de Seguridad bre lo cual se hablará más adelante: https://www.ipfire.org/
Autor:
Ernesto Pérez Estévez Hay mas distribuciones dedicadas a cortafuegos, pero esta
breve muestra les permitirá analizar y buscar alternativas.

MODULO 1. En suma, muchas personas piensan que al implementar

MODULO 2.
un firewall ya tienen garantizada la seguridad de su orga-
nización. Sin embargo, debe mencionarse que las diversas
MODULO 3. medidas de seguridad física, que se abordaron anterior-
mente, así como las de seguridad lógica, que se analizarán
MODULO 4. en este capítulo, dan cuenta de que un firewall, a pesar
Seguridad lógica de ser extremadamente importante, no es todo en lo que
refiere a la seguridad de las redes.
MODULO 5.

MODULO 6. Sistemas de detección de intrusos

MODULO 7. Su nombre en inglés es Intrusion Detection Systems (IDS).

Fueron concebidos para detectar actividad inusual en el
MODULO 8. funcionamiento de equipos y redes.
MODULO 9.
Los IDS contienen una base de datos que almacena dece-
MODULO 10. nas o miles de «firmas» o cadenas que permiten comparar
paquetes de red o archivos del sistema con la finalidad de
MODULO 11. determinar si ese archivo o paquete activa una de estas fir-
mas. Si lo hace, se estará ante una potencial amenaza para
MODULO 12.
equipos o redes y se deberán tomar acciones al respecto.
Curso Se puede tomar, por ejemplo, un antivirus como una forma
Introductorio de IDS orientada únicamente a detectar programas que
de Seguridad pretendan infectar archivos ejecutables. Los antivirus, de
la misma forma, tienen firmas cuya base de datos se ac-
Autor:
Ernesto Pérez Estévez tualiza frecuentemente con el objetivo de poder mejorar la
detección de nuevas amenazas.

MODULO 1. Los IDS no solamente buscan «firmas» en nuestros archi-

MODULO 2.
vos o paquetes de red, sino que además pueden estar pre-
programados para buscar comportamientos anómalos en
MODULO 3. los equipos o en la red, como por ejemplo intentos de escri-
bir en lugares no autorizados o fuera de lo común, o tráficos
MODULO 4. de red que superen el valor medio usual de los equipos.
Seguridad lógica
Existen IDS para monitorear diversos aspectos de nues-
MODULO 5. tros sistemas, mencionemos varios:
MODULO 6.
Host Intrusion Detection System (HIDS): es un IDS con-
MODULO 7. cebido para monitorear el buen comportamiento de un
equipo. Un HIDS trata de detectar cambios inusuales en un
MODULO 8. sistema, a través del monitoreo (y de informes al adminis-
trador) de comportamientos anómalos en él. Por ejemplo:
MODULO 9.

MODULO 10. · Se monitorean modificaciones ocurridas en el sistema

de archivo: que un archivo o grupo de archivos cambien
MODULO 11. de un día para otro y no lo habían hecho antes puede ser
sospechoso y monitorearlos permitiría analizar el porqué
MODULO 12.
de estos cambios.
Curso · Se monitorea el tráfico de red del equipo: si existe un
3
Ver en: https://ossec.net/

Introductorio comportamiento anómalo, como que repentinamente un

de Seguridad equipo comience a enviar grandes lotes de información
a Internet, el monitoreo permitirá actuar para conocer el
Autor:
Ernesto Pérez Estévez porqué de este comportamiento.

· Se monitorean los logs del sistema en busca de notifica-

MODULO 1. ciones fuera de lo común que permitan determinar si hay
MODULO 2.
intentos de ingresar al sistema.

MODULO 3. · Se monitorean los módulos que el kernel del sistema ope-

rativo corre en busca de señales de compromiso que pue-
MODULO 4. dan indicar que se han insertado módulos inusuales en él.
Seguridad lógica
Hay variedad de IDS que pueden tener las redes, entre los
MODULO 5. cuales uno de los más populares es el OSSEC (Open Source
MODULO 6. HIDS Security) 3. Sin embargo, uno muy sencillo de utilizar
en sistemas Linux es el AIDE, que, aunque no tenga todas
MODULO 7. las características de un HIDS, es útil para monitorear mo-
dificaciones en el sistema de archivos.
MODULO 8.
Network Intrusion Detection Systems (NIDS): son los
MODULO 9.
más conocidos de los IDS. De hecho, en la actualidad,
MODULO 10. cuando se habla de IDS, normalmente se está haciendo
referencia a los NIDS.
MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor: Usuario normal
Ernesto Pérez Estévez

MODULO 1.

MODULO 2. NIDS Servidor Web

MODULO 3.

MODULO 4.
Seguridad lógica Intruso
BD de Amenazas
MODULO 5.

MODULO 6.

MODULO 7. El objetivo de un NIDS es encontrar comportamientos

anómalos en el tráfico de una red e informar de este tipo
MODULO 8. de comportamientos al administrador.
MODULO 9.
Si se fuera a instalar un IDS en una red, el lugar más ade-
MODULO 10. cuado sería aquel por el que se vieran obligados a pasar
todos los paquetes de la red. Debe tenerse en cuenta que
MODULO 11. en ese lugar normalmente hay un cortafuegos, por lo que
muchas veces se observa que los sistemas de firewall ya
MODULO 12.
incluyen un IDS.
Curso Existe un par de NIDS muy conocidos en la actualidad: el
4
https://www.snort.org

Introductorio SNORT y el Suricata. Este último parece ser una varian-

de Seguridad te mejorada y libre del SNORT, pero ambos desarrollan
prácticamente las mismas acciones con algunas diferen-
Autor:
Ernesto Pérez Estévez cias técnicas.

El SNORT puede obtenerse desde su sitio web 4, al igual

MODULO 1. que la base de datos. Ambos mantienen y cobran una sus-
MODULO 2.
cripción para poder acceder a su base de datos de firmas
de detección, que es muy completa y robusta.
MODULO 3.
Características de un IDS
MODULO 4.
Seguridad lógica Un IDS debe poseer ciertas características para ser de
ayuda en una red:
MODULO 5.

MODULO 6. • Debe operar sin necesidad de que el usuario o el admi-

nistrador interactúen con él. Esto es: debe ser un sistema
MODULO 7. que trabaje autónomamente en un equipo y salir a la luz
solo cuando encuentre problemas de seguridad que el
MODULO 8. usuario deba conocer.
MODULO 9.
• No debe consumir alta cantidad de recursos del sistema,
MODULO 10. porque, de lo contrario, el usuario buscará formas de apa-
garlo para mejorar el funcionamiento de su sistema.
MODULO 11.
• Debe mantener su funcionamiento y su base de datos
MODULO 12.
consistente luego de un reinicio del equipo.
Curso • El sistema debe monitorear continuamente su base de
Introductorio datos y detectar si ha sido alterada.
de Seguridad
• Debe poder incorporar cambios normales ocurridos en
Autor:
Ernesto Pérez Estévez un sistema: si un nuevo sistema se instala o si un nuevo
tipo de tráfico comienza a circular por la red, los IDS deben
definir que son sistemas o tráfico normal y debe poder ce-
MODULO 1. sar el envío de alertas de seguridad tan pronto se le indi-
MODULO 2.
que que se trata de algo usual o normal en el sistema.

MODULO 3. Los IDS normalmente detectan actividad inusual. La D de

IDS viene de detection, a pesar de lo cual existen IDS que
MODULO 4. no solamente detectan sino que bloquean la actividad
Seguridad lógica maliciosa. Por ejemplo, en los sistemas Microsoft Windows
hay aplicaciones antivirus o antimalware que, al inten-
MODULO 5. tar instalar un programa, abren una ventana que advierte
MODULO 6. que hay un intento de acceder a un determinado puerto
en la red o de instalar una potencial aplicación y que, si el
MODULO 7. usuario lo considera normal puede permitirlo y, si no, pue-
de bloquear el intento. En suma, este mecanismo es, fun-
MODULO 8. damentalmente, un IDS que previene, que bloquea, estos
intentos, y que se conoce como Intrusion Prevention Sys-
MODULO 9.
tems (IPS). SNORT y Suricata, por ejemplo, pueden actuar
MODULO 10. tanto en modo IDS como IPS.

MODULO 11.

MODULO 12.
Curso Redes privadas virtuales
Introductorio
de Seguridad Se las conoce en inglés como Virtual Private Networks (VPN).
Son al momento una excelente forma de garantizar la con-
Autor:
Ernesto Pérez Estévez fidencialidad de la información que viaja a través de un am-
biente que no se controla y que puede no ser confiable.

MODULO 1. A través de las VPN se busca establecer un canal de co-

MODULO 2.
municación seguro, cifrado, entre dos puntos. Las VPN
tienen las siguientes características:
MODULO 3.
• Usan criptografía (cifrado) para transferir la información
MODULO 4. a través de ella. De esta forma se intenta garantizar la C de
Seguridad lógica la tríada CIA: confidencialidad. La criptografía es uno de los
elementos principales de una VPN: poder comunicar dos
MODULO 5. puntos y que la información viaje de forma confidencial.
MODULO 6.
• Su implantación no debe disminuir el desempeño de un
MODULO 7. equipo ni de una red. Si así fuera, los usuarios se negarían a
usar VPN y no serían ya una ventaja.
MODULO 8.
• Tendrán tanto ancho de banda como ancho de banda ten-
MODULO 9.
ga el canal entre ambos puntos. No debe esperarse que
MODULO 10. porque se pueda acceder a información de forma remota se
vaya a mejorar la velocidad del acceso. Simplemente, la VPN
MODULO 11. será tan rápida como rápidos sean los canales que comuni-
can ambos puntos.
MODULO 12.
Curso Tipos de VPN
Introductorio
de Seguridad Normalmente se clasifica a las VPN en dos tipos, uno de
los cuales tiene un caso especial y es por ello que algunas
Autor:
Ernesto Pérez Estévez personas entienden que hay tres tipos de VPN. Estos tipos
se describen a continuación.

MODULO 1. VPN de punto a punto

MODULO 2.
También conocidas como VPN de host a host, o de PC a
MODULO 3. PC, estas VPN son las más sencillas de entender, pues se
componen de dos equipos.
MODULO 4.
Seguridad lógica Supongamos que hay dos equipos —A y B—, cada uno con
sus direcciones IP como se ve en la siguiente imagen:
MODULO 5.

MODULO 6.

MODULO 7.

MODULO 8.
A B
MODULO 9. 20.30.40.50 50.60.70.80

MODULO 10.

MODULO 11.

MODULO 12.
Curso Cualquier comunicación que envíe A desde su IP
Introductorio 20.30.40.50 hacia la IP 50.60.70.80 de B viajará por Inter-
de Seguridad net como cualquier paquete IP: en texto, claro. La IP no
encripta la información. Las comunicaciones encriptadas
Autor:
Ernesto Pérez Estévez pueden ocurrir encima del protocolo IP, en las capas su-
periores del modelo OSI. Por ejemplo si usan HTTPS, es el
servidor web en la capa de presentación o aplicación del
MODULO 1. modelo OSI que encriptarán, pero eso es porque se usó
MODULO 2.
HTTPS. Si no se usa HTTPS sino cualquier otro protocolo,
la información puede haber viajado sin ser encriptada.
MODULO 3.
Si hubiera, por ejemplo, un intruso en medio de la comu-
MODULO 4. nicación, interfiriendo en la conversación, como en la si-
Seguridad lógica guiente imagen, este intruso podrá observar, o escuchar,
todo lo que circula a través de la red y podrá obtener infor-
MODULO 5. mación que seguramente no es deseable que sea pública.
MODULO 6.

MODULO 7.

MODULO 8.

MODULO 9.
A B
MODULO 10. 20.30.40.50 50.60.70.80

MODULO 11.

MODULO 12.
Intruso
Curso En este caso, una VPN establece una especie de canal vir-
Introductorio tual (la línea roja discontinua de la siguiente imagen). Este
canal no es real, sino que es virtual (por ello la V de VPN).
de Seguridad No hay que pagar por un enlace adicional, sino que este
Autor: canal implica que antes de enviar la información a través
Ernesto Pérez Estévez del canal de Internet, la información se encripta y se envía
por el mismo canal:
MODULO 1.
10.8.0.1 10.8.0.2
MODULO 2.

MODULO 3.

MODULO 4.
A B
Seguridad lógica 20.30.40.50 50.60.70.80

MODULO 5.

MODULO 6.
Intruso
MODULO 7.

MODULO 8.
Para ello se usa un grupo de IP dedicadas solamente a la
MODULO 9. VPN, indicadas en rojo sobre cada equipo en la imagen.
MODULO 10.
Ahora, si A envía un paquete a la IP 10.8.0.2 de B, antes
MODULO 11. de salir de A este paquete es encriptado y luego se envía
a B. Al llegar a B, este lo descifrará y hará un uso normal
MODULO 12. del paquete cifrado.
 Si hubiera un intruso escuchando (como en la imagen),
Curso al no tener las claves para cifrar/descifrar la información
Introductorio encriptada, no podrá conocer los contenidos del paquete
de Seguridad y se mantendría así la confidencialidad.
Autor:
Ernesto Pérez Estévez Un detalle que es necesario acotar es que si A envía un
paquete a la IP 50.60.70.80 de B, este paquete no será
cifrado. Solamente se cifran/descifran los paquetes que
MODULO 1.
viajen a través de la red de la VPN (10.8.0.1 y 10.8.0.2 en
MODULO 2. este caso). En las VPN de host a host como en este ejem-
plo se debe tener mucho cuidado sobre a qué IP se envía
MODULO 3. el paquete, pues si es a la IP asignada a la red del equipo,
no se encripta la información.
MODULO 4.
Seguridad lógica
VPN de host a red
MODULO 5.
Conocida también como RoadWarrior (guerrero de la ca-
MODULO 6. rretera), es una de las VPN más usadas y permite conec-
tar a un equipo de forma remota a una red.
MODULO 7.
Imaginemos que necesitamos salir a trabajar fuera de la red
MODULO 8.
organizacional: en otra ciudad, en otro país, o en nuestra
MODULO 9. casa. ¿Hay una forma de que nuestro equipo remoto pueda
conectarse desde otro país a los recursos de la red? ¿Es po-
MODULO 10. sible acceder a la base de datos interna de la empresa, a sus
impresoras o a la red de telefonía interna de la empresa? Con
MODULO 11.
una VPN RoadWarrior se puede, ya que está concebida para
MODULO 12. que un equipo que esté fuera (el guerrero de la carretera)
pueda acceder de forma segura a recursos de una red local.
 Nuestra red LAN
Curso 192.168.1.0/24

Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez
Impresora
192.168.1.5
MODULO 1. Intranet
192.168.1.3
MODULO 2.

MODULO 3.
RoadWarrior: Servidor de VPN
MODULO 4. Laptop nuestra en nuestra organización
Seguridad lógica en un aeropuerto 50.60.70.80
en otro país
20.30.40.50
MODULO 5.
BD
MODULO 6. 192.168.1.4

MODULO 7.

MODULO 8. Si alguien de una organización viaja y está en un aero-

MODULO 9. puerto haciendo escala en otro país, por ejemplo, pue-
de necesitar acceder a la Intranet de su organización
MODULO 10. (192.168.1.3). De acuerdo a un esquema clásico de red esto
no se podría hacer con facilidad, o implicaría que el firewall
MODULO 11. hiciera DNAT y expusiera al servidor de la Intranet a Inter-
net. ¿Tendrá este servidor de Intranet todas las seguri-
MODULO 12.
dades necesarias para que se exponga su información a
Curso Internet? Lo más seguro es que no las tenga. Entonces, se
Introductorio puede configurar una VPN y asignarle al RoadWarrior una
de Seguridad IP de la VPN, la 10.8.0.5 y al servidor la 10.8.0.4 como en la
siguiente imagen:
Autor:
Ernesto Pérez Estévez Nuestra red LAN
192.168.1.0/24

MODULO 1.

MODULO 2.

MODULO 3. Impresora
192.168.1.5
MODULO 4. 10.8.0.5 10.8.0.4
Intranet
Seguridad lógica 192.168.1.3

MODULO 5.

MODULO 6. RoadWarrior: Servidor de VPN

Laptop nuestra en nuestra organización
MODULO 7. en un aeropuerto 50.60.70.80
en otro país
20.30.40.50
MODULO 8.

MODULO 9. BD
192.168.1.4

MODULO 10.

MODULO 11. Lo marcado en rojo se parece al caso anterior de host a

host. El RoadWarrior tendrá una IP para su VPN: 10.8.0.5 y
MODULO 12. el servidor tendrá en su lado una IP de la VPN, igualmente,
Curso la 10.8.0.4. Esto permitirá inicialmente que si el RoadWarrior
Introductorio envía un paquete a 10.8.0.4 del servidor, este paquete viaje
de Seguridad encriptado a través de Internet.
Autor:
Ernesto Pérez Estévez Pero el usuario no quiere acceder al servidor (10.8.0.4)
sino al equipo de Intranet (192.168.1.3). Para ello el Road-
warrior hará lo siguiente:
MODULO 1.

MODULO 2.
Nuestra red LAN
192.168.1.0/24
MODULO 3.

MODULO 4.
Seguridad lógica

MODULO 5. Ruta Estática en RoadWarrior Impresora

192.168.1.0/24 vía 10.8.0.4 192.168.1.5
MODULO 6. 10.8.0.5 10.8.0.4
Intranet
192.168.1.3
MODULO 7.

MODULO 8.
RoadWarrior: Servidor de VPN
MODULO 9. Laptop nuestra en nuestra organización
en un aeropuerto 50.60.70.80
MODULO 10. en otro país
20.30.40.50
MODULO 11.
BD
MODULO 12. 192.168.1.4
Curso Se le agrega así al equipo RoadWarrior una ruta estática.
La ruta estática le indica al RoadWarrior que, para llegar
Introductorio a la red LAN de la empresa (la 192.168.1.0/24), debe en-
de Seguridad viar los paquetes a la IP de la VPN del servidor: 10.8.0.4.
Autor: Como todos esos paquetes se enviarán a la red de la VPN
Ernesto Pérez Estévez (10.8.0.4), viajarán encriptados hasta el servidor. El servi-
dor los desencriptará y entregará a su destino, que en el
MODULO 1. ejemplo es 192.168.1.3: el servidor de Intranet.

MODULO 2. Es muy cómodo poder conectarse desde cualquier lugar

externo a nuestra red, de forma confidencial, a equipos
MODULO 3.
dentro de una red LAN.
MODULO 4.
Seguridad lógica Caso especial: red a red

MODULO 5. Este es un caso especial que se desprende del anterior.

Anteriormente teníamos un solo equipo fuera de la red,
MODULO 6. pero en este caso la matriz de la organización está en un
lugar de la ciudad —o del país o del mundo— y su sucursal
MODULO 7.
en otro. ¿Cómo se puede hacer para que las redes de la
MODULO 8. casa matriz y la sucursal puedan verse entre sí?

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
Nuestra red LAN
de Seguridad 192.168.1.0/24

Autor:
Ernesto Pérez Estévez Nuestra red LAN
192.168.2.0/24

MODULO 1.
Impresora
MODULO 2. 192.168.1.5

Intranet
MODULO 3. BD 192.168.1.3
192.168.2.9
MODULO 4. Impresora
Seguridad lógica 192.168.2.7

MODULO 5.

MODULO 6. RoadWarrior: Servidor de VPN

Laptop nuestra en nuestra organización
en un aeropuerto 50.60.70.80
MODULO 7. en otro país
20.30.40.50
MODULO 8.
Intranet
MODULO 9.
192.168.2.4
BD
MODULO 10. 192.168.1.4

MODULO 11.

MODULO 12.
Curso Como se puede ver en la imagen, la red LAN de la matriz
Introductorio es la 192.168.1.0/24 y todos sus equipos comienzan con
de Seguridad esa IP. La red LAN de la sucursal es la 192.168.2.0/24 y to-
dos sus equipos tienen esa red. Es importante notar que la
Autor:
Ernesto Pérez Estévez numeración de ambas redes debe ser diferente: en la ma-
triz 192.168.1.0/24 y en la sucursal 192.168.2.0/24

MODULO 1. Lo que se quiere lograr es que el servidor de Intranet de

MODULO 2.
la sucursal (192.168.2.4) pueda conectarse a la base de
datos de la casa matriz (192.168.1.4), pero están en redes
MODULO 3. diferentes, no se pueden conectar directamente, sino que
tienen que atravesar Internet para llegar de un lugar a
MODULO 4. otro. Si la comunicación no está encriptada, los datos que
Seguridad lógica se transmitan podrían ser escuchados.
MODULO 5. En la VPN red a red se hace muy similar a la RoadWarrior.
MODULO 6. Lo primero que se hace es asignar una IP de la VPN a am-
bos —al servidor de la sucursal y al servidor de la matriz—,
MODULO 7. como se ve en la imagen:

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso Nuestra red LAN Nuestra red LAN
Introductorio 192.168.2.0/24 192.168.1.0/24

de Seguridad
Autor:
Ernesto Pérez Estévez
Impresora
BD 192.168.1.5
MODULO 1. 192.168.2.9
Intranet
MODULO 2. Impresora
10.8.0.5 10.8.0.4
192.168.1.3
192.168.2.7
MODULO 3.

MODULO 4.
Seguridad lógica RoadWarrior: Servidor de VPN
Laptop nuestra en nuestra organización
en un aeropuerto 50.60.70.80
MODULO 5. en otro país
20.30.40.50
MODULO 6. Intranet BD
192.168.2.4 192.168.1.4
MODULO 7.

MODULO 8.

MODULO 9. Como este es un caso especial de RoadWarrior, lo que se

haga será muy similar a este. Así planteado, como en la
MODULO 10. imagen, todo lo que circule entre 10.8.0.5 y 10.8.0.4 viaja-
rá cifrado.
MODULO 11.
¿Cómo se puede hacer para que desde la casa matriz
MODULO 12.
se pueda acceder a la red 192.168.2.0/24 de la sucursal
Curso y para que desde la sucursal se pueda acceder a la red
5
https://www.stunnel.org/
index.html
Introductorio 192.168.1.0/24 de la matriz?
de Seguridad 6
La solución es similar a la del RoadWarrior, pero ahora en https://openvpn.net
Autor:
Ernesto Pérez Estévez ambos servidores de VPN se agregarán rutas estáticas,
como se puede ver en la siguiente imagen:

MODULO 1. Como se puede observar, se agregó al servidor de la sucursal

MODULO 2.
una ruta estática para que pueda llegar a la red de la matriz,
y la novedad con respecto al caso anterior es que se agrega
MODULO 3. una ruta estática en el servidor de la casa matriz para que
sepa que para llegar a la red de la sucursal (192.168.2.0/24)
MODULO 4. debe hacerlo a través de la IP de la VPN 10.8.0.5. Así, la co-
Seguridad lógica municación de una red a la otra irá encriptada.
MODULO 5. Esta última forma es muy útil para hacer uso del canal
MODULO 6. público de Internet y al mismo tiempo enviar información
confidencial entre dos redes de una organización.
MODULO 7.
Herramientas que proveen VPN
MODULO 8.
¿Con qué herramientas se pueden construir VPN en una
MODULO 9.
organización? Existen muchas variantes de las cuales se
MODULO 10. describen algunas a continuación.

MODULO 11. Son muy populares herramientas de VPN como IPSec,

stunnel 5 y, sobre ellas, OpenVPN 6.
MODULO 12.
Curso IPSec es un protocolo que se creó inicialmente para IPv6,
Introductorio pero que desde hace muchos años funciona perfecta-
de Seguridad mente en redes IPv4. Es muy seguro y corre sobre mu-
chas plataformas.
Autor:
Ernesto Pérez Estévez
Stunnel es una VPN que hace uso de los mismos protoco-
los y sistemas que se usan para conexiones con HTTPS.
MODULO 1. De hecho, establece la comunicación como si fuera una
MODULO 2.
conexión de HTTPS de un navegador.

MODULO 3. OpenVPN es al momento un buen sistema para realizar

VPN en redes. Sus ventajas son que es multiplataforma:
MODULO 4. corre sobre cualquier plataforma conocida, y que se pue-
Seguridad lógica de basar en protocolos y puertos ya conocidos para es-
tablecer conexiones. Es decir: es muy difícil de bloquear
MODULO 5. porque no tiene un puerto específico y único para trabajar.
MODULO 6. Puede funcionar tanto detrás de un proxy como usando
TCP o UDP. Puede instalarse en el puerto sugerido 1194/
MODULO 7. UDP o correr en cualquier otro puerto que no esté blo-
queado, como el 443/TCP o el 80/TCP, etcétera.
MODULO 8.
Autenticación, autorización y auditoría
MODULO 9.

MODULO 10. Se vieron hasta aquí diversas herramientas que se pueden

tener en una red o en los equipos para evitar invasiones no
MODULO 11. autorizadas. Ahora nos centraremos en lo que pueden ha-
cer las aplicaciones expuestas a la red para permitir o no
MODULO 12.
que se visualicen los datos contenidos en sus sistemas.
Curso No podemos permitir que toda la responsabilidad por la
Introductorio seguridad de un sistema recaiga en las medidas que se
de Seguridad han estudiado hasta ahora en este capítulo, ya que se tra-
ta de medidas generales de red que buscan filtrar qué IP
Autor:
Ernesto Pérez Estévez pueden acceder a qué puertos de la red. Permiten detec-
tar intentos de actividad maliciosa conocida con anteriori-
dad (las firmas de los IDS, por ejemplo) o conectar de for-
MODULO 1. ma confidencial un equipo fuera de una red con equipos
MODULO 2.
de la Intranet (como la VPN RoadWarrior).

MODULO 3. Si bien estas medidas son correctas, nunca se debe re-

caer únicamente en ellas. Recordemos que la seguridad
MODULO 4. se despliega en capas, y que mientras más capas haya,
Seguridad lógica más desanimado se sentirá un atacante.
MODULO 5. Toda aplicación que brinde datos a usuarios debe validar
MODULO 6. al usuario que pretenda acceder a ella (autenticación),
debe mostrarles solamente la información que estén au-
MODULO 7. torizados a ver dentro de una aplicación (autorización) y
debe mantener trazas, registros, que permitan conocer lo
MODULO 8. que hayan hecho estos usuarios en el pasado (auditoría).
MODULO 9.
Autenticación
MODULO 10.
La autenticación es la forma que tienen los sistemas de
MODULO 11. validar que quien quiera acceder a un sistema sea quien
dice ser. No es posible una autenticación a partir de un
MODULO 12.
solo dato, como escribir el nombre de usuario en el campo
Curso asignado para acceder al sistema, por ejemplo: «gerente»,
Introductorio y que el sistema lo deje entrar inmediatamente.
de Seguridad
Cualquiera puede escribir «gerente» en su nombre de
Autor:
Ernesto Pérez Estévez usuario y por ello esa autenticación no basta. Desde hace
muchos años, además de escribir el nombre de usuario, se
requiere validar que se conoce algo propio de este usuario.
MODULO 1.

MODULO 2.
Lo mismo ocurre con una tarjeta bancaria: si tenemos una
tarjeta de débito de un banco, no podemos llegar y sim-
MODULO 3. plemente introducir la tarjeta y sacar dinero. De ser así,
nos podrían robar la tarjeta, introducirla en un cajero y
MODULO 4. retirar todo nuestro dinero. Y lo mismo ocurre con las tar-
Seguridad lógica jetas de crédito.
MODULO 5. ¿Cómo puede probar un usuario que es quien dice ser?
MODULO 6. Existen tres métodos de prueba para ello:

MODULO 7. 1. Lo que el usuario sabe: se puede demostrar que se co-

noce algo de un usuario, como la contraseña de acceso a
MODULO 8. una cuenta de Internet, o el PIN que se ingresa para usar
una tarjeta. Incluso, aunque es una solución muy poco
MODULO 9.
recomendada, se pueden formular preguntas de com-
MODULO 10. probación como: ¿En qué escuela estudió la Primaria? Se
consideran poco recomendables porque normalmente es
MODULO 11. información que alguien cercano puede conocer.
MODULO 12.
Curso 2. Lo que el usuario posee: se puede demostrar que se
Introductorio posee algo, lo que permitirá a un sistema tener cierta
de Seguridad certeza de que el usuario es quien dice ser. Por ejemplo,
una llave, una típica llave. Es posesión del usuario, que
Autor:
Ernesto Pérez Estévez puede demostrar con ella que tiene acceso a un lugar. En
el mundo digital podría sustituirse la llave por un token,
una llave electrónica, que se inserte en una computadora
MODULO 1. y demuestre la identidad del usuario. Se podría también
MODULO 2.
comprobar la identidad del usuario enviándole un código a
su celular: si se trata de quien dice ser, debería poder es-
MODULO 3. cribir ese código en el sistema de acceso. Facebook, Goo-
gle y muchos otros utilizan este medio para cerciorarse de
MODULO 4. la identidad de quienes piden acceso a sus aplicaciones.
Seguridad lógica
Existen varios proveedores de tokens U2F para esto. Entre
MODULO 5. ellos, https://www.yubico.com/products/yubikey-hardware/
MODULO 6.
3. Lo que el usuario es: implica usar características físicas
MODULO 7. del ususario para permitirle el acceso. Actualmente, se
usan los lectores de huella: si la huella del usuario coinci-
MODULO 8. de con la que está almacenada en el sistema, se le otor-
gará acceso. Esta no es la única forma, ya que hay otros
MODULO 9.
tipos de lecturas biométricas, como los rasgos faciales, el
MODULO 10. iris, o incluso análisis de sangre, para validar característi-
cas propias de un usuario. En diversos bancos y sistemas
MODULO 11. se está comenzando a utilizar la lectura de la forma del
rostro de las personas para autorizar accesos.
MODULO 12.
Curso Sin embargo, los métodos descriptos pueden ser vulnera-
Introductorio dos con facilidad, por ejemplo:
de Seguridad
• Clave: alguien puede ver cuando un usuario digita su cla-
Autor:
Ernesto Pérez Estévez ve o su PIN, o incluso se puede descubrir.

• Mensaje por celular: se puede clonar el chip de un celular

MODULO 1. y obtener la clave que se envía para la autenticación.
MODULO 2.
• Características físicas: se puede usar una fotografía
MODULO 3. del usuario y presentarla frente al sistema de detección
biométrica.
MODULO 4.
Seguridad lógica En consecuencia, lo que se sugiere actualmente se llama
autenticación en varias etapas y consiste en utilizar no
MODULO 5. solo una de las tres formas antes descritas, sino una com-
MODULO 6. binación de al menos dos de ellas. Si se entra, por ejemplo,
a Facebook o a Google (incluso varios bancos solicitan que
MODULO 7. uno autentique en dos etapas), estas aplicaciones soli-
citan que el usuario demuestre que conoce y que posee
MODULO 8. algo, o que conoce y es algo, con la finalidad de permitirle
el acceso.
MODULO 9.

MODULO 10. Por ejemplo:

MODULO 11. • Facebook, Google (y muchos otros sitios, como los de los
bancos): luego de escribir el nombre de usuario se coloca
MODULO 12.
la contraseña (esto es lo que el usuario conoce). Estos si-
tios pueden solicitar entonces que el usuarion escriba un
Curso código de varias cifras que le haya sido previamente en-
Introductorio viado al celular o al correo electrónico registrado (esto es
de Seguridad lo que el usuarion posee).
Autor:
Ernesto Pérez Estévez • Algunos bancos: luego de escribir el nombre de usuario
se coloca la contraseña (esto es lo que el usuario cono-
ce). Estos sitios piden luego acercar el rostro a la cámara
MODULO 1. del teléfono o de la computadora para determinar que los
MODULO 2.
rasgos del usuario coinciden con los que registró en el
pasado. Para evitar que se utilice una foto y que no sea el
MODULO 3. propio usuario quien se acerca, se solicita también que la
persona pestañee.
MODULO 4.
Seguridad lógica Se sugiere que siempre que sea posible se activen los
métodos de autenticación en dos etapas, pues dificultan
MODULO 5. al atacante acceder a los sistemas, ya que no solamente
MODULO 6. debe conocer o romper contraseñas, sino que además de-
berá validar mediante un segundo método su identidad.
MODULO 7.
Autorización
MODULO 8.
La autenticación por parte de un usuario no significa que
MODULO 9.
tenga acceso a todos los datos de un sistema, ya que nor-
MODULO 10. malmente los sistemas dividen a los usuarios en grupos.
Siempre deben existir al menos dos grupos:
MODULO 11.
· Los usuarios administradores: tienen derecho a crear nue-
MODULO 12.
vos usuarios, a modificar sus datos, a eliminarlos y a cambiar
Curso sus permisos sobre las acciones que pueden desarrollar con
Introductorio el sistema y sobre a qué partes del sistema pueden acceder.
de Seguridad
· El resto de los usuarios: estos no son administradores,
Autor:
Ernesto Pérez Estévez pero pueden realizar un conjunto de acciones predefini-
das por los administradores.

MODULO 1. Lógicamente, mientras más grande sea el sistema puede

MODULO 2.
existir una mayor cantidad de grupos de usuarios. Además
del grupo del «resto de usuarios» se pueden determinar
MODULO 3. grupos para secciones de una compañía, como: Ventas,
Gerencia, Marketing, Comunicación, Departamento Técni-
MODULO 4. co, Transporte, etcétera.
Seguridad lógica
Como se puede ver, a través de autorizaciones se logra
MODULO 5. definir, limitar, de forma mucho más clara lo que un usua-
MODULO 6. rio puede hacer en un sistema. Es importante que siempre
se dividan los usuarios con diversos niveles de acceso, de
MODULO 7. autorización, para que en caso de que un atacante logre
aprovechar e ingresar como usuario a un sistema, no pue-
MODULO 8. da hacerse del control total de este.
MODULO 9.
Auditoría
MODULO 10.
Una herramienta poco explotada pero muy necesaria es la
MODULO 11. capacidad que tiene que tener un sistema para permitir se
le realicen auditorías. Todo sistema informático debe te-
MODULO 12.
ner trazabilidad, o sea, capacidad de que se audite lo que
Curso ocurrió en él, cuándo ocurrió, desde dónde ocurrió y quién
Introductorio hizo que ocurriera.
de Seguridad
Una forma clave de conocimiento acerca de los sistemas
Autor:
Ernesto Pérez Estévez es que cuando ocurra un problema se pueda acceder a los
logs y revisarlos.

MODULO 1. Lamentablemente, el personal de sistema opta, gene-

MODULO 2.
ralmente, ante un problema, por reinstalar el sistema sin
revisar los logs para determinar por qué ocurrió algo. Por
MODULO 3. último, debe tenerse presente que si no se encuentra la
causa de un problema, no importa que se reinstale el sis-
MODULO 4. tema, que se apague o encienda un equipo: si la causa no
Seguridad lógica se encontró, lo más posible es que el problema se repita.
MODULO 5.

MODULO 6.

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.