Apuntes Seguridad

Seguridad en las Comunicaciones y en la
Información
Escuela Técnica Superior de

Ingeniería Informática
UNED
Curso 2019-2020
1. DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN
LAS COMUNICACONES. TIPOS DE ATAQUES
1.1 INTRODUCCIÓN
 Nuestro mundo está repleto de sistemas, compuestos por máquinas y por programas.
 Muchos de estos sistemas forman parte de redes, privadas o corporativas, públicas, grandes o pequeñas,
interconectadas unas con otras y comunicándose entre sí mediante otro gran sistema hardware, gestionado,
a su vez, por un conjunto de aplicaciones con distintos objetivos, a los que se denominan protocolos.
 Los sistemas son complejos y capaces de interactuar.
 Otra propiedad curiosa y desagradable de los sistemas es que muchos de ellos hacen cosas no pensadas, ni
diseñadas por sus creadores y usuarios. Se puede decir que los sistemas tienen propiedades no buscadas.
 Los sistemas, especialmente los ordenadores de todas las clases y con cualquier tipo de software, tienen
estas propiedades no buscadas (bugs).
 Un bug es una clase de fallo del sistema muy típico de la informática; es simplemente, una propiedad no
deseada de un sistema, que no se debe confundir con que el sistema no funcione correctamente.
 Ayudará bastante pensar, desde el principio que, todos sus componentes hardware, software, etc., la
seguridad es un sistema dentro de sistemas mayores, que más que un producto o conjunto de ellos, más
que una o varias tecnologías, la seguridad es un proceso, que hace intervenir todas las tecnologías, todos los
productos y especialmente, el sentido común de los seres humanos que la gestionan, ese mismo sentido
común que es el menos común de los sentidos.
 Debe tener en cuenta la prevención, la detección y la respuesta al problema concreto.
 Con todo esto en mente, se tratará de identificar cuáles son las preguntas que uno debe hacerse para definir
mejor el sistema que uno quiere asegurar, explorando alguna solución aparentemente perfecta y llegando a
una solución imperfecta pero realista, basada en lo que se llamará política de seguridad del sistema,
herramienta básica para la seguridad.
1.2 LAS PREGUNTAS QUE DEBEN HACERSE PARA DEFINIR EL PROBLEMA

A. ¿Qué es lo que se quiere tener protegido? O ¿qué se puede perder?
 Esta pregunta debe llevar a realizar un inventario de los activos, entendiendo como tales los sistemas,
redes, aplicaciones, elementos de red, bases de datos y en general cualquier tipo de activo, físico o no,
que se quiera tener asegurado.
 No todos los activos tendrán el mimo valor y esté será un criterio muy importante a la hora de
establecer una estrategia de cara a la seguridad.
B. ¿Contra quién se quiere proteger? O ¿en quién se puede confiar y en quién no?, ¿Quiénes son los posibles
atacantes?
 En otros libros, refiriéndose a esta idea, se desarrolla lo que se llama el modelo de confianza.
 Con este análisis se debe decidir que empleados tienen acceso a que activos y por qué, que tipo de
acceso se va a dar a cada persona de cada organización que colabore con la empresa, que tipo de acceso
a ordenadores, redes y datos. Asimismo, se deberá pensar en qué tipo de acceso van a tener los posibles
clientes de la organización.
 Además, se debe meditar lo más posible sobre quién y por qué querría atacar a la organización.
 Los tipos de atacantes más habituales son:
1 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

o El hacker: Personas muy expertas en un sistema operativo, protocolos, etc., que, en el caso de
encontrarse fallos de seguridad de un sistema, lo notificaban al fabricante, incluso, a veces,
facilitando, además una posible solución.
o El amateur que juega (wannabes): El perfil suele ser el de una persona joven, sin experiencia de
sistemas ni de redes, que usan herramientas automáticas contra sistemas por Internet, para ver
qué pasa.
o El profesional: El menos numeroso, pero el más peligroso. Se conoce como tal al individuo que
presta sus conocimientos y experiencia para atacar con un objetivo concreto, que puede ser el
robo, la alteración de información con fines delictivos o el sabotaje.
C. ¿Cómo se quiere proteger? O ¿qué tecnologías, mecanismos, sistemas concretos, procesos se van a utilizar
para protegerlo?
 Para contestar bien a esta pregunta se tiene que conocer dos temas complejos:
1. Los distintos tipos de ataques posibles:
 Ataques para obtener información.
 Ataques de acceso no autorizado.
 Ataques con revelación de información.
 Ataques de denegación de servicio.
2. Las distintas defensas posibles:
 Esquemas de seguridad de sistemas operativos.
 Sistemas de identificación o autenticación seguros.
 Sistemas de cortafuegos (o firewalls).
 Sistemas criptográficos.
 Sistemas antivirus.
 Sistemas de análisis de vulnerabilidades.
 Sistemas de detección de intrusiones.
D. ¿Cuánto dinero se puede emplear en implantar y mantener el sistema de seguridad?

 Se debe tener en cuenta el dinero o recursos de todo tipo que van a ser empleados en cada una de las
siguiente tareas:
1. Adquisición de herramienta hardware y software, que implementen alguna de las defensas
citadas.
2. El tiempo empleado en configurarlas y educar a los usuarios en su uso.
3. El tiempo empleado en la administración, mantenimiento y reconfiguración para permitir nuevos
servicios, auditar las herramientas, etc.
4. El tiempo empleado, en volver a una situación estable, después de la inconveniencia para los
usuarios de algunos de los nuevos sistemas.
 Finalmente, se debería tratar de condensar todo este conocimiento en un análisis de riesgo que tendría
4 puntos clave:
1. Valorar los activos.
2. Entender todas las posibles amenazas.
3. Monitorizar y conocer todas las debilidades y vulnerabilidades del sistema.
4. Tratar de poner en marcha todas las medidas posibles para disminuir la probabilidad de tener
pérdidas.

1.3 SOLUCIONES APARENTEMENTE PERFECTAS Y SOLUCIONES RAZONABLES
 Contra problemas tan complejos como los comentados, se puede hacer una aproximación completa, en el
sentido de tratarlos como problemas científicos, estudiarlos de manera analítica, teniendo como objetivo
que, en el sistema concreto, la probabilidad de sufrir un ataque sea lo más cercana a cero.
 A esta aproximación se le da el nombre de aproximación militar y pasa por cumplir una serie de requisitos
sobre todas las partes de la organización que va a ser asegurada y lleva a tomar una serie de decisiones de
mucho peso, como por ejemplo:
o No aceptación de ningún código de aplicación no desarrollado siguiendo las propias normas de
seguridad.
o No aceptación de ningún sistema operativo o actualización de este que no esté suficientemente
comprobado.
o No conectarse a Internet o, si ya estuviese conectado, desconectarse de ella y constituir una red
propia.
 En este sentido es en el que se habla de una aproximación realista, en la cual se tienen en cuenta todos los
factores citados en el apartado anterior, pero también el de no gastarse todo el presupuesto de la
organización y sus recursos.
 En el marco de esta aproximación se define lo que se denomina política de seguridad:
o Una serie de sentencias formales (normas) que deben cumplir todas las personas que tengan acceso
a cualquier información y/o tecnología de una organización.
 Una buena política de seguridad debe cumplir una serie de normas generales, una vez más, de sentido
común:
1. Debe poderse implantar.
2. Debe entenderse.
3. Debe cumplirse.
4. Debe definir responsabilidades.
5. Debe permitir que se siga realizándose el trabajo normal.
6. Debe ser exhaustiva.
7. Debe incluir mecanismos de respuesta.
8. Debe tener mecanismos de actualización.

2. LA SEGURIDAD DE LOS ELEMENTOS FÍSISCOS
EXISTENTES EN UNA RED
2.1 INTRODUCCIÓN
 Todas las redes están compuestas por una serie de dispositivos físicos, máquinas, que tienen una mayor o
menor capacidad de control mediante programación software.
 Es radicalmente importante considerar sus posibles inseguridades.
 Estas máquinas además, se comunican entre sí utilizando uno o varios medios de transmisión,
habitualmente cables de una tecnología determinada, unos más susceptibles que otros a determinados
problemas de seguridad.
 Además, cada vez son más las redes que, enteramente o en parte, se comunican mediante sistemas
inalámbricos, que exhiben sus problemas particulares desde el punto de vista de la seguridad.
 Tanto los medios de transmisión como las distintas máquinas son susceptibles de ataques contra su
seguridad, desde dos puntos de vista:
o Ataques físicos:
 Los ataques físicos son relativamente fáciles de evitar, disponiendo de una buena política de
seguridad física, que evite el acceso físico a tales sistemas por parte de personal no
autorizado.
o Ataques lógicos:
 Los ataque lógicos, hay que entender cada una de las responsabilidades de los elementos
hardwares típicos de una red y cada una de sus posibles inseguridades, para considerarlas de
cara a la política de seguridad.
 Así pues primero hay que identificar los elementos que se tienen que considerar:
o Canales de comunicación y cableados típicos.
o Repetidores.
o Hubs o concentradores.
o Conmutadores.
o Encaminadores.
o Máquinas de usuarios (especialmente servidores).
2.2 Los sistemas de cableado inalámbrico

 Cuando se considera un circuito eléctrico, como por ejemplo una red Ethernet que usa cables de par
trenzado, el estado del voltaje está constantemente cambiando para transmitir información, lo que
introduce la primera inseguridad: la interferencia electromagnética.
 Esta interferencia es producido por circuitos de corriente alterna, los que existen en las comunicaciones
analógicas y digitales.
 Si se incrementa la potencia, se empieza a irradiar energía con un ángulo de 90º al flujo de la corriente. Lo
verdaderamente importante de esta radiación es que está en relación directa con la señal del cable.
 Esta radiación electromagnética puede medirse y obtener, a partir de ella, la señal que está viajando por el
cable.
 Una forma alternativa de medir el peligro al que se está expuesto son este tipo de problemas es mirar la
gran cantidad de dinero que gastan los ejércitos en disponer de lo que su jerga, se denomina productos
TEMPEST, que empiezan por cables apantallados y que pueden llegar a edificios enteros, apantallados.
 Algunas soluciones pueden ser usar cables apantallados o fibra óptica.

 Otro aspecto importante a tener en cuenta es que los segmentos de red en que no existan conmutadores, se
corre el riesgo de que alguien esté usando un analizador de protocolos (sniffer).
 Se puede también usar transmisión sin cable, mediante lasers. El principal inconveniente es la facilidad de
cortar el servicio, interrumpiendo la señal.
 Finalmente hay que hablar de lo que se denomina comunicaciones inalámbricas (wireless).
 Se puede definir una red inalámbrica (WLAN) como un sistema flexible de comunicación de datos, que suele
implementarse como extensión, o alternativa a una red área local (LAN) tradicional, dentro de un edificio o
entre varios de ellos.
 Las WLANs usan señales electromagnéticas (de radio o infrarrojo) para comunicar información de un punto a
otro sin necesidad de ningún cable.
 Las ondas de radio son conocidas, en este marco, como portadoras de radio, ya que su única función es levar
energía al receptor remoto.
 Los problemas de seguridad están divididos, para las WLAN, en los dispositivos físicos y en las señales de
radio.
 Es evidente que con una correcta elección del receptor de radio, se pueda obtener cualquier transmisión de
este tipo de tecnología.
 En este caso la seguridad se apoya, especialmente, en las técnicas de acceso a los puntos de acceso, en la
criptografía utilizada en emisores y receptores y en su posible configuración y uso.
2.3 REPETIDORES, HUBS Y CONMUTADORES (O SWITCHES)

 Un repetidor:
o No es más que un amplificador de la señal, con dos puertos. Solo implementa funciones de nivel 1 de
OSI.
o Se usan simplemente para extender la distancia máxima para la que un cable funciona
correctamente.
o Se puede pensar en romperlo, pero es difícilmente atacable, por no tener nada configurable.
 Los Hubs (o concentradores):

o Son en esencia repetidores multipuerto, que soportan cables de par trenzado en una topología de
estrella. Cada nodo se comunica con el hub, que a su vez, amplifica la señal y la transmite por cada
uno de los puertos.
o Los hubs operan en el nivel 1 de OSI.
 Los conmutadores :
o Comparados con los anteriores son muy inteligentes.
o Implementan hasta el nivel 2 de OSI aunque existen también los llamados conmutadores de nivel 3,
cuya funcionalidad coincide con la de los Encaminadores (routers).
o Esto quiere decir que en sus funciones básicas, son capaces de:
 Aprender las direcciones MAC de cada nodo que exista por cada uno de sus puertos.
 Crear una tabla de direcciones y gestionar el tráfico con respecto a ella. En concreto un
mensaje que vaya a una estación concreta, viajará por el cable que una el conmutador y la
citada estación, evitando así ataques con sniffers.
o Permiten el establecimiento de las redes de área local virtuales (VLANs).

o Hay dos métodos para acceder al conmutador:
 A través de la consola, una conexión local y directa al conmutador:
 Únicamente hay que conocer la información de la contraseña asociada a esa cuenta.

 Desde el punto de vista de la seguridad, hay que tener el acceso físico al
conmutador suficientemente asegurado y la contraseña de acceso debe ser distinta
de la que se proporcione el proveedor del conmutador.
 Remotamente:
 Suponiendo que se conoce la contraseña de la cuenta, la otra forma de acceso es
basándose en un protocolo de una aplicación IP.
 Esto tiene una consecuencia inmediata. Un conmutador debe implementar al menos
el nivel 2 de OSI, pero solo con el fin de poder gestionarlo de manera remota, de
hecho implementa todos los niveles OSI, tiene una dirección IP y administrable
mediante IP.
 Los conmutadores además tienen una lista de direcciones IO desde las cuales está
permitido acceder al conmutador. Tal lista, debe estar cuidadosamente configurada
y no dejar la que por defecto viene porque se podría acceder ¡desde cualquier IP!
 Se puede acceder mediante protocolo telnet. Sin embargo éste no cifra el logeo,
como consecuencia es sensible a un posible ataque de tipo sniffer.
 En los modelos más modernos, se va imponiendo el protocolo ssh (secure shell)
debido a que su uso es idéntico al del telnet pero cifrando todo el tráfico.
 Otra forma es implementando un servidor http o hhtps en el conmutador que a su
vez da acceso a una Web, que sirve para administrar el conmutador.
 El protocolo https trabaja con SSL (Secure Socket Layer), protocolo criptográfico que,
bien configurado, permite exigir un certificado digital correspondiente al equipo
desde el cual se realiza la conexión.
 Además se puede hacer que la identificación y autenticación no se haga en el
conmutador, sino que se realice en un sistema distinto que trabaje con un protocolo
AAA (Authentication, Authorization Accounting), como RADIUS o TACACS/+.
o Por último hay que tener en cuenta los ataques de denegación de servicios (DOS), es decir, se puede
hacer caer repetidamente, un conmutador y como consecuencia, dejarlo fuera de servicio, con todo
el potencial de caída de red correspondiente, desde una situación remota, sin más que conocer la
versión del conmutador, su dirección IP y un poco de suerte.
2.4 ENCAMINADORES (Routers)

 Éstos no sólo incorporan la función de filtrado, sino que también determinan la ruta hacia el destino de cada
mensaje.
 Implementan al menos, los niveles 1, 2 y 3 de la arquitectura OSI.
 Difieren de los conmutadores, en que actúan sobre los paquetes transferidos entre los niveles de red de las
estaciones, a diferencia de los conmutadores que lo hacen sobre las tramas al nivel de enlace de datos, y por
otro lado, ambos son transparentes a las estaciones finales que comunican.
 Sin embargo, normalmente, las estaciones finales tienen definido el encaminador al que deben dirigirse para
solicitar los servicios de encaminamiento.
 Su funcionamiento se basa en la utilización de un esquema de direccionamiento jerárquico y lógico (definido
por el administrador).
 Con este conocimiento, e encaminador es capaz de construir tablas de rutas, que le ayudarán a decidir por
qué camino envía el mensaje. Para ello, deberá incorporar protocolos de nivel de red.
 La actualización de estas tablas de rutas se lleva a cabo en función del encaminador, los cuales pueden ser:
o Estáticos: el administrador de la red es el responsable de la actualización de las tablas.
o Dinámicos:

 En este caso la responsabilidad la tienen los protocolos de encaminamiento quienes se
encargan de la notificación automática del cambio o avería mediante mensajes de difusión
entre routers.
 Los protocolos de encaminamiento más típicos son:
 RIP 1 y 2 (Routing Internet Protocol)
 OSPF (Open Shortest Path First)
 IGRP (Internet Gateway Routing Protocol)
 EIGRP (Enhance IGRP)
 BGP (Border Gateway Protocol)
 ...
o Estáticos/Dinámicos:
 Un encaminador es susceptible de sufrir distintos tipos de ataques:

1. Ataques de denegación de servicio, sin necesidad de acceso.
2. Ataques de acceso para modificación de información, casi siempre tablas de ruta.
3. Ataques basados en la falta de autenticación:
o Se tratan de mensajes enviados en cualquiera de los protocolos citados, con una
información de ruta errónea y que al no preguntar el encaminador quien la manda y
aceptarla sin problemas, permite controlar en parte la red.
o Hay dos modalidades para este tipo de ataques:
i. Enviar información muy errónea, para volver loca a la red.
ii. Enviar mensajes a 2 encaminadores, explicándoles que la ruta más corta entre ellos
pasa por la definida, para poder sniffar la información en el segmento de red con
mayor facilidad.
 Al igual que antes, las solucione a estos problemas suelen ser claras, pero no fácilmente implementables.
2.5 LOS SERVIDORES Y OTRAS MÁQUINAS

 El resto de máquinas de una red suelen ser:
o Máquinas de uso final de un usuario, denominadas estaciones de trabajo.
o Máquinas que ofrecen servicios, o servidores.
 Como se verá, una buena política de seguridad debe hacer responsable a cada usuario de buena parte de la
seguridad de su estación de trabajo, especialmente de:
o La seguridad de su cuenta de usuario y contraseña.
o La seguridad de sus ficheros y directorios personales.
 En cuanto a la seguridad de los servidores, se debe tener en cuenta varias cosas:
o Si son servidores de datos, hay que tener en cuenta los diseños redundantes y otros aspectos que
garanticen suficientemente la disponibilidad de tales datos.
o Si servidores de autenticación, es decir, de los que permiten o no el acceso a una serie de máquinas
a los usuarios, hay que tener en cuenta la correcta configuración de su propio sistema de seguridad y
que esté bien configurado con un sistema de ficheros.
o Si son servidores de aplicaciones, como un servidor de correo electrónico, DNS, www, ftp o de
cualquier otra aplicación IP típica, hay que tener especialmente configuradas tales aplicaciones.
 No obstante, hay una serie de consideraciones generales que valen para todos.
 Los servidores deben estar ubicados físicamente en lugar seguro.
 Su ubicación topológica en la red debería cumplir el mismo principio. Debe estar en una parte de la red
especialmente asegurada.

 Las aplicaciones de los servidores de programas, tienen vulnerabilidades que hay que tener en cuenta. Hay
que habilitar en la política de seguridad los mecanismos para auditarlos correctamente.

3. LA SEGURIDAD DE LOS ELEMENTOS SOFTWARE EXISTENTES EN UNA RED
3.1 INTRODUCCIÓN
 Lo que se suele llamar seguridad del software incluye aspectos tan diversos como el control del acceso, la
gestión de cuentas y de privilegios de usuario, la protección de ficheros, la protección frente a virus, el
diseño seguro del software y la seguridad de las bases de datos.
 Para poder hablar de control de acceso se basa en un sujeto (usuario, proceso informático, ...), que tiene
acceso a un objeto (fichero, proceso informático, registro de una base de datos, impresora, zona de
memoria del sistema...).
 Se puede definir además, el control de acceso de 2 maneras distintas:
o ¿Qué puede hacer cada uno de los diferentes sujetos?
o ¿Qué puede hacerse sobre los diferentes objetos?
 El acceso nunca es del tipo “todo o nada” (read, write, execute, ...).
 Se ha de tener en cuenta la modularidad del software de muchas de las aplicaciones, que complica, más aún
la búsqueda de seguridad en ellas.
 Por otro lado, se suele definir cualquier protocolo (incluido TCP/IP) como:
o Un conjunto de mensajes de comunicaciones entre dos entidades, que suelen ser proceso en
diferentes sistemas.
o Una serie de normas para el intercambio de esos mensajes.
 Esto no es más que otro tipo de aplicaciones, eso si, con una responsabilidad especial en todas las redes,
pues son los que transmiten todos los mensajes entre equipos.
 Finalmente, hay que conocer que criterios comunes, más o menos estándar, se pueden aplicar para tener
una mayor confianza o no de la seguridad de un sistema operativo, aplicación o producto software en
general.
3.2 LOS SISTEMAS OPERATIVOS DE ESTACIONES Y SERVIDORES

 Primero hay que centrarse en los sistemas operativos más usados (Windows, Linux, MacOs, sistemas
mainframe).
 Todos ellos contienen:
o Un kernel: es un programa especial, que se carga en el ordenador al arrancar éste y que entre otras
responsabilidades gestiona procesos, entrada/salida, memoria, sistema de archivos.
o Programa de utilidad: Utilizados por el kernel o por los usuarios.
o Ficheros u otras estructuras de datos de gestión de sistema (etc/passwd o SAM).
 Desde el punto de vista de la seguridad, cualquiera de estas partes del sistema operativo interactúa con una
cuarta entidad, que es el subsistema de seguridad, que determina cómo funciona el sistema con respecto a
los usuarios y a la administración del sistema.
 Todos estos subsistemas utilizan una serie de conceptos:
o Monitor de referencia: La parte del software que controla todos los accesos a objetos, por parte de
sujetos.
o Trusted Computing Base: Todos los mecanismos de protección interna (hardware, firmware, partes
del SSOO, etc.) que son responsables de que se cumpla la política de seguridad.
o Kernel seguro: Toda parte del kernel que implemente el concepto de monitor de referencia.
 La implementación de todo esto en un sistema real es difícil. No hay que olvidarse de que el sistema, además
de seguro, debe ser funcional.

 En el caso de los SSOO se trata, también, de que exhiban una buena administración. Esto suele significar tres
cosas:
o Tratar de trabajar con SSOO que tengan una certificación de seguridad, lo más comúnmente
aceptada.
o Entender la certificación de seguridad. Las personas responsables de los sistemas, deben entender
cual es su papel a jugar, tanto desde el punto de vista de la certificación como desde el punto de
vista de la política de seguridad particular.
o Como consecuencia, aplicar los puntos concretos relacionados con lo anterior a los sistemas
particulares.
 Las certificaciones y la política de seguridad no pueden conseguir por sí solas, que se disponga de sistemas
fiables. Cualquier SSOO debe estar configurado, desde el punto de vista de la seguridad, con al menos, las
siguientes características:
o Una buena política de copias de seguridad de los datos.
o Una buena política de gestión de cuentas de usuario.
o Una buena política de gestión del sistema de ficheros, que permita el control de acceso lo más
granular posible.
o Integridad de los ficheros.
o Una buena gestión de los ficheros de log.
o Estar bien preparados contra las amenazas previsibles (backdoors, malware, ...)
o Tener una buena política de seguridad física.
 Finalmente, no hay que olvidar el factor decisivo, el factor que puede hacer que todo lo que se pueda usar
como defensas no sirva para nada, el factor más complejo y sofisticado: el factor humano.
3.3 LOS PROTOCOLOS Y APLICACIONES IP

 Algunos de los protocolos que conformar la familia de protocolos IP son:
 Desde el punto de vista de la estructura, los mensajes IP pueden ser de tres tipos:
o Mensajes generados por una aplicación que tenga transporte TCP:
 Las sesiones TCP permiten medidas de defensa más sofisticadas, razón por la cual suele
decirse que TCP es más fiable que UDP.

 Este comportamiento, conocido como 3-step handshake, una especie de saludo entre
máquinas, es el de una “máquina de elementos finitos”, es predecible y esto será bueno
para una defensa inteligente.
 Para estar al tanto de sus inseguridades, habría que conocerlas bien todas.
o Mensajes generados por una aplicación que tenga transporte UDP:

 Todos los mensajes generados por aplicaciones con transporte UDP comparten una
cabecera de UDP, una cabecera muy pobre para la seguridad.
 La cabecera UDP, desde el punto de vista de seguridad, sólo tiene dos campos relevantes:
los dos números de puerto. Poca información para controlar el tráfico de estas aplicaciones.
o Mensajes generados por protocolos de nivel de red, como ICMP o IGRP.

 Los mensajes de protocolos de nivel de red (ICMP, OSPF, IGRP, EIGRP y otros) comparten
solo la cabecera IP.
 Aquí, la aproximación a la seguridad pasa por el conocimiento de cada protocolo, de su
cabecera y su funcionamiento.
 Conviene tener en cuenta, unas serie de datos generales:

1. IP no fue diseñado para proporcionar seguridad, sino para transportar mensajes de un ordenador a
otro.
2. Hay una serie de ataques, basados en particularidades de los protocolos, que se conocen desde hace
bastante tiempo.
3. La mayor parte de los virus y gusanos que hoy en día se propagan por la red, en forma de partes de
mensajes de correo (SMTP).
4. Muchas de las implementaciones de los protocolos de aplicación más significativos se basan en
código modular, en el que se podría garantizar la seguridad de cada módulo, pero es prácticamente
imposible garantizar la seguridad del sistema completo.
 Finalmente, unas palabras sobre el llamado código móvil, en el que se puede englobar distintas tecnologías
como JavaScript, Java, ActiveX y los Plug-In descargables.
 Todas y cada una de estas opciones de código, así como las famosas cookies, han demostrado tener
problemas de seguridad, relacionados con un mal diseño desde el punto de vista de seguridad, malas
implementaciones, malos usos o todo a la vez.

3.4 MEJORAS DE SEGURIDAD CON IPv6
 Los años han demostrado que el diseño de la versión 4 de la familia IP (IPv4) es flexible y potente. Pero hay
una serie de razones que han hecho que se mejore, que se cree una nueva versión:
o La necesidad de un espacio de direcciones más extensa.
o El soporte de nuevas aplicaciones (audio, video, ...)
o Nuevas capacidades que hagan posible una comunicación segura.
 Con respecto a este último punto, se desarrolló, en el marco de la versión 6 de IP (IPv6), una serie de
protocolos que se conocen con el nombre de IPSec.
 Estos protocolos definidos en los RFC 1825 al RFC 1829 y redefinidos en los RFC 2401 al 2412, se
desarrollaron par IPv6, pero las necesidades del comercio electrónico y la creación de Redes Privadas
Virtuales seguras, provocaron que se portara IPSec a IPv4.
 De esta manera, se dispone de un conjunto de protocolos de seguridad, potentes y flexibles, que funcionan
bien en IPv4 e IPv6.
 Las condiciones de diseño de IPSec fueron que:
o Las funciones de seguridad no deben afectar a la red existente.
o Se pudiera cifrar todos los mensajes, excepto los de enrutamiento.
o Se proporcione autenticación de máquinas origen y destino.
o Se mantenga flexible el proceso técnico de asignación de claves, por razones de seguridad
criptográfica.
o Los algoritmos matemáticos utilizados fueran de la criptografía estándar, para asegurar la
interoperabilidad.
o No se cerrara la elección de tales algoritmos, para poder añadir, en el momento que se necesitara,
cualquier otro algoritmo criptográfico en el que se pusiera de acuerdo la comunidad.
 Tales protocolos son:

o AH (Autentication Header): Proporciona autenticación e integridad.
o ESP (Encapsulating Security Payload): Proporciona confidencialidad, integridad y autenticación.
o KMP (Key Management Protocol): Proporciona intercambio seguro de claves y administración de
todo el proceso criptográfico de claves.
3.5 CRITERIOS DE EVALUACIÓN DE SEGURIDAD

 Tan importante es la situación como para que organismos como la Organización para la Cooperación y el
Desarrollo de Europa (OCDE) haya publicado repetidamente <<Guías para la seguridad de los sistemas de
información y redes>>.
 En ella se anima a crear una cultura de la seguridad y se indican una serie de principios y recomendaciones
generales, que hacen aún más relevante la búsqueda de homologación y/o certificación.
 A principios de los años 80 se desarrolló en EE.UU., un grupo de nomas conocidas como la Trusted
Computer System Evaluatión Criteria (TCSEC).
 Tal normativa está obsoleta. No obstante se pueden citar los niveles de seguridad y su correspondencia
dentro de esta normativa:
o D, protección mínima.
o C, protección discrecional.
o B, protección obligatoria
o A, protección verificada

 En el año 1991 se publica en Europa, el inforamtion Technology Security Evaluation Criteria (ITSEC), gracias
al esfuerzo de Holanda, Francia, Alemania y Gran Bretaña.
 En 1993, en Canadá se publica la Canadian Trusted Computer Product Evaluation Criteria (CTCPEC),
tratando de reunir y desarrollar las aproximaciones citas del ITSEC y TCSEC.
 También en 1993, en EEUU., se publico el borrador de Federal Criteria for Information Security (FCITS), una
segunda aproximación tratando de combinar los conceptos americanos y europeos.
 Por otro lado, desde 1990, la internetional Organization for Standarization (ISO) había estado trabajando en
el desarrollo de una serie de normas internacionales, para los criterios de evaluación de la seguridad de
sistemas de información (ISO/IEC 15408), conocidos como Common Criteria.
 Finalmente, en mayo de 2000, se ratificó la adhesión de Alemania, Canadá, España, EEUU, Finlandia, Francia,
Grecia, Italia, Noruega, Nueva Zelanda, Países Bajos y Reino Unido, al Convenio sobre el reconocimiento de
los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información.
 Hay que remarcar una serie de datos importantes:
o El convenio parte de la premisa de que la utilización de productos y sistemas de la tecnología de la
información, cuya seguridad ha sido certificada, es un de las garantías principales para proteger la
información y los sistemas que manejan.
o Los certificados de seguridad son expedidos por Organismos de Certificación reconocidos, a
productos o sistemas informáticos, que hayan sido satisfactoriamente evaluados por servicios de
evaluación, conforme a los Criterios Comunes.
 Los conceptos clave de los Criterios Comunes son:

o Perfil de Protección – PP
o Objetivo de la Evaluación – TOE
o Objetivo de la seguridad – ST
o Se dispone de un catálogo de componentes de seguridad, que ayudan a formar las definiciones de
los requerimientos de seguridad.
o Los Niveles de seguridad evaluada:
 Definen una escala de medición de los criterios de evaluación de PPs y STs.
 Estos niveles son 7:
 EAL1– Realizadas pruebas de funcionalidad.
 EAL2 – Realizadas pruebas de estructuración.
 EAL3 – Realizadas, metódicamente, pruebas y chequeos.
 EAL4 – Diseñado, chequeado y probado metódicamente.
 EAL5 – Diseñado y probado semiformalmente.
 EAL6 – Diseño verificado semiformalmente y probado.
 EAL7 – Diseño verificado formalmente y probado,

4. MÉTODOS DE ATAQUES A EQUIPOS Y REDESS
4.1 INTRODUCCIÓN
 La red Internet tiene varias características que hacen que los ataques sean peores (si los comparamos con
los ataques o amenazas del mundo real):
o El aspecto automático de los ataques. Si en algo son potentes los ordenadores, es en las tareas
repetitivas.
o El aspecto remoto de los ataques. La aún escasa legislación internacional al respecto ayuda en gran
manera a los atacantes.
o La velocidad de propagación de los ataques. Cualquier atacante puede conseguir, con mucha
facilidad, muchas de las herramientas de ataque que necesitará.
4.2 TAXONOMÍA DE LOS TIPOS DE ATAQUES

 Una buena clasificación no se puede hacer sin un buen criterio.
 Estos criterios son, desde el punto de vista:
o Del origen del ataque:
 Externos. Cuando el atacante origina su ataque desde el exterior de una organización
concreta, se dice que el ataque es externo.
 Internos. Estar dentro de la organización facilita mucho el ataque.
o De la complejidad del ataque:

 No estructurados. Son ataques, habitualmente inocentes, ataques basados en herramientas
bastante normales, que pueden tener distintos tipos de objetivos y ser peligrosos, pero en
general, fácilmente reconocibles.
 Estructurados. Aquí se está ante los más peligrosos. Son ataques que se enfocan cómo un
proyecto. Además, son ataques procedimentados, es decir, que tratan de no dejar cabos
sueltos en los que se trata de borrar las huellas del ataque, en los que se tiene en cuenta
distintos puntos de ataque y de retirada.
o De la personalidad del atacante. Su formación, experiencia y capacidad de comunicación pueden ser

fundamentales a la hora de desarrollar un ataque, especialmente si es uno estructurado y se usa en
la fase de obtención de información.
o Del objetivo perseguido:

 Ataques encaminados a obtención de información sobre los objetivos a atacar.
 Ataques encaminados a ver, cambiar o borrar información para la que no se está
autorizado, aprovechándose de la mala administración de las herramientas, máquinas y
sistemas de la red.
 Ataques encaminados a ver, cambiar o borrar información para la que no se está
autorizado, aprovechándose de las vulnerabilidades del software de los sistemas,
aplicaciones y protocolos de la red objetivo del ataque.
 Ataques encaminados a la denegación de servicio.

4.3 ATAQUES ORIENTADO A LA OBTENCIÓN DE LA INFORMACIÓN SOBRE EL OBJETIVO
 Para obtener información sobre el objetivo a atacar hay 2 metodologías, que a veces, suelen combinarse :
o La ingeniería social:
 No suele usarse ningún elemento informático.
 Si el atacante sabe lo suficiente de la red de la compañía cómo para sonar convincente,
puede obtener contraseñas, nombres de cuentas, etc.
 Muchas veces, todo consiste en preguntar. Nada más. La gente, en general, quiere colaborar
y suele fiarse de otra gente que sabe de qué habla, más si le da datos de su lugar de trabajo.
 En realidad el término ingeniería social es equivalente a engañar, mentir, consiguiendo que
otra persona haga cosas que el atacante quiere que se hagan. Es difícil de parar, al menos
técnicamente, pues no usa métodos informáticos. Va al eslabón más débil de la cadena de
seguridad, usando y abusando del factor humano.
 A la hora de tenerlo en cuenta en la política de seguridad, habrá que hacerlo en la parte de
formación general para todo el mundo.
o Técnicas informáticasde obtención de información (informationgathering):

 En esta técnica se habla de cómo usar comandos y herramientas no diseñadas
específicamente para un ataque, cómomedio de obtención de información.
 Por ejemplo, el comando ping, permite obtener información de que direcciones IP tienen las
máquinas de la red a la que quiere atacar.
 Una vez se conocen las direcciones IP, el atacante puede utilizar una herramienta de tipo
port scanner(WINstrobe, portmap, ...) que permiten ver que aplicaciones o servicios están
activos en la máquina.
 Quizás el más conocido es el nmap, que incluye varias funciones para realizar búsquedas de
puertos abiertos difíciles de detectar. Además permite identificar el sistema operativo que
está siendo atacado por medio de un algoritmo que identifica patrones en los paquetes que
devuelve la máquina víctima.
 Conocidas que aplicaciones hay en cada una de las máquinas, se puede ir aplicación por
aplicación creando conexiones para obtener información de la versión que están utilizando.
 La versión de la aplicación es fundamental para poder ejecutar alguno de los ataques más
peligrosos, pues basta con estar al tanto de las vulnerabilidades que van apareciendo, para
poder saber que aplicaciones son más vulnerables.
 Cuanto más conocimiento se tenga del lenguaje interno de cada una de las aplicaciones y
sus protocolos, más fácil será aprovecharse de cada una de las distintas vulnerabilidades que
van apareciendo.
 Finalmente, hay que citar las herramientas tipo sniffer, que permiten, si se dispone de una
red sin conmutadores¸ obtener todo el tráfico que circula por la red.
 Suelen ser éstas las técnicas utilizadas para preparar un ataque mucho más peligroso, al disponer el atacante
de mucha información sobre el entorno informático y a veces también, humano y organizativo del objetivo a
atacar.

4.4 ATAQUES ORIENTADOS A LA OBTENCIÓN NO AUTORIZADA DE INFORMACIÓN
CONFIDENCIAL, BASADOS EN LA MALA ADMINISTACIÓN DE SISTEMAS
 Se puede hablar de los siguiente tipos de ataques:
o Robo de nombres de usuario y de contraseñas asociadas:
 La gente tiende a usar contraseñas fáciles de recordar, lo que las hace fáciles de averiguar.
Por otro lado, si se obliga a tener contraseñas difíciles de recordar, es muy probable que el
usuario la registre en algún sitio, lo cual no parece muy adecuado desde el punto de vista de
la seguridad.
 Además, las contraseñas se almacenan cifradas en ficheros en el sistema. Las contraseñas de
las cuantas de usuario usan algún método de una sola vía (oneway hash) que consiste en
aplicar un algoritmo de este tipo, de manera que el resultado (hash o digest) no sirve para,
aplicando un algoritmo inverso, obtener el original.
 Dependiendo del SSOO, de cómo esté administrado, tal información puede estar accesible al
atacante.
 Una vez se dispone de esta información, solo hay que aplicar un programa cracker, que lo
que hace es aplicar el algoritmo hash a toda una lista de palabra y comprobar el resultado
con el hash del que se dispone para la cuenta de usuario. Normalmente las listas son:
 Un diccionario. En este caso hablamos de un cracker de tipo diccionario.
 Una lista de todas las combinaciones posibles de todos los caracteres del estándar
ASCII extendido. En este caso se habla de un cracker tipo fuerza bruta, que es por
definición infalible. El problema es que el coste en tiempo es exponencial.
 Algunos de los crackers más típicos son:

 Xcrack.zip
 John theRipper
 L0phtcrack
 Hay dos aspectos a remarcar:

 Si el usuario que tiene una contraseña fácil, la repite en todos los sistemas para los
que tiene acceso, el ataque puede ser demoledor.
 Si además, en la red estamos utilizando aplicaciones como Telnet o ftp y no hay
conmutadores, por muy difícil que sea la contraseña, basta con un sniffer, del que ya
se ha hablado, para obtener con facilidad, nombres y contraseñas.
o Acceso basado en relaciones de confianza mal administradas:

 Cuando se habla de relaciones de confianza mal administradas, se está haciendo referencia
a los comandos remotos de Berkeley, que fueron desarrollados en la Universidad Berkeley
(California).Incluyen órdenes para comunicaciones entre sistemas operativos UNIX, como
copia remota de archivos, conexión remota, ejecución de shell remoto, etc. En este caso, un
sistema A, que confía en un sistema B, permite que un usuario del sistema B ejecute
cualquier cosa en el sistema A. La confianza se basa en las direcciones IP de los equipos.La
razón de estas configuraciones tan peligrosas es sencilla: la comodidad de trabajar de
sistema a sistema sin el engorro de las contraseñas.
 Los comandos más típicos y extendidos en este tipo de entornos de confianza son:
 rlogin
 rcp
 rsh
o Obtención de información por aplicaciones de compartición de disco:
 Si se trabaja en una red con sistemas UNIX, es típico disponer de servidores NFS (Network
File System), que permiten acceder a directorios y discos de sistemas remotos, como si
fueran locales. Esta configuración, mal administrada, puede resultar muy peligrosa:
 Suele haber típicamente, dos problemas graves:
 Hay una configuración por defecto, en muchos sistemas, que hace que una vez
elegidos los directorios a servir por la red, se exporten con permiso de lectura y
escritura, dejando un gran agujero de seguridad.
 Si el administrador no se toma en serio los posibles problemas, puede permitir que
el administrador cliente trabaje en su sistema, también como administrador.
 Si se cambia el entorno y se piensa en el entorno Windows de compartición de directorios,

aparecen los mismos problemas que en el caso anterior, siendo particularmente peligrosos
los sistemas Windows más antiguos como el Windows 95 o el 98, en los que no se exige
autenticación en el dominio de Windows. Esto se complica aún más, cuando se tiene en
cuenta la multitud de bugs encontrados en el protocolo SMB (Server Message Block) de
Microsoft.
o Obtención de información por mala configuración de protocolos mal autenticados:

 Quizás el caso más extendido sea el del protocolo SNMP (Simple Network Management
Protocol). Este protocolo, encargado de la gestión remota de dispositivos en red.
 En las versiones más antiguas, el mecanismo de autenticación entre los agentes y la estación
de gestión es un communitystring, que se transmite sin cifrar de ninguna manera y que suele
ser el valor por defecto, public, haciendo a todo el mundo, incluso al atacante, más fácil el
acceso al dispositivo objetivo, pudiendo ser éste, incluso, la estación de gestión de red.
o Mala administración en los filtros de paquetes, lo que da lugar a posibles ataques de tipo
suplantación o spoofings:
 Otro caso típico es el de las organizaciones que administran toda la información de
encaminamiento de su red mediante protocolos como OSPF (Open ShorttestPathFirst) o
EIGRP (Enhanced IGRP) que dispone de un mecanismo de autenticación, que hace que los
mensajes de actualización de rutas, enviados entre los distintos routers se hagan con tal
información de autenticación, que además suele ir cifrada. Esto es así si está configurada,
pues si no lo está, cualquier router creerá cualquier mensaje de actualización de cualquier
otro router del mismo protocolo, haciendo muy sencillo colocar un falso medio y obligar al
resto de routers a que la información pase a través de ellos.
 El caso más conocido es el IP spoofing, en el cual una máquina suplanta la dirección IP de
otra. La intención resulta obvia, la máquina a la que se suplanta tiene disponible accesos que
están vetados por el atacante.
 Estos ataques suelen tener 3 objetivos:
 Obtener todo el mensaje de vuelta del equipo atacado, con la intención de hacerse
con la información.
 Convencer al objetivo que cree una sesión TCP con nosotros.
 Realizar un ataque de DoS.

 Para paliar la mayoría de estos ataques, bastaría con colocar filtros en los routers, siguiendo
los criterios del RFC 2827, consistentes en no permitir que ningún usuario, de la red que se
administra, envíe mensajes con una dirección IP fuente que no esté en el rango de
direcciones de la red interna.
 Otra suplantación que se puede encontrar es la de DNS (DomainNameSystem).
o Mala administración de programas anti-virus, lo que permite la entrada de antivirus informáticos y

de gusanos o worms:
 Los virus informáticos son programas con la capacidad de replicarse a sí mismos sin el
consentimiento del usuario. Existen muchos tipos de virus, de acuerdo al lugar donde se
alojan en el ordenador o para lo que están programados:
 Sector de arranque: pueden ocultarse (stealth) de programas antivirus.
 Infectan archivos: se alojan en binarios o script (virus de macro),
 De propagación automática desde el receptor: aprovechan malas funcionalidades en
los sistemas de emailpara expandirse como gusanos (worms) y atacar todos los
ordenadores correspondientes a los usuarios cuya dirección de email aparece en las
listas del receptor del ataque. El ataque se ejecuta cuando, al llegar un email, se
abre el fichero adjunto.
o Mala administración de sistemas de detección de vulnerabilidades, lo que hace más sencilla la

introducción de caballos de Troya en los sistemas:
 La mala administración permite que se instalen en el sistema caballos de Troya. Estos
troyanos pueden ser destructivos, poniéndose en marcha en un momento planificado por el
propio troyano o puede no ser destructivo, en tal caso, se han observado dos tipos de
comportamientos:
 Programas con capacidad de búsqueda y obtención de información relevante en
ficheros, proceso o servicios en Windows o UNIX.
 Programas que abren canales, creando puertos servidor de Telnet o SSH, al que conectarse
en remoto o que hibernan a la espera de ser activados en remoto en un ataque DDoS.
 En cualquier caso existen analizadores de vulnerabilidades que permiten descubrir muchos de ellos, pero
hay que tenerlos instalados, actualizados y vigilados.
4.5 ATAQUES ORIENTADOS A LA OBTENCIÓN NO AUTORIZADA DE INFORMACIÓN

CONFIDENCIAL BASADOS EN VULNERABILIDADES DEL SOFTWARE
 Debidos al diseño de protocolos:
o TFTP (Trivial Transfer Protocol):
 Permite hacer copias de ficheros entre cliente y servidor, sin autenticación ninguna, con lo
que cualquiera que sepa en qué dirección IP hay un servidor TFTP puede conseguir una copia
de los ficheros almacenados en el servidor y puede también, poner sus propios fichero, con
lo que esto puede significar de conocimiento y posible alteración en la estructura
administrativa de la red.
o SMTP (Simple Mail Transfer Protocol).No necesita autenticación y permite enviar un mensaje de
email a cualquiera, poniendo como dirección de correo saliente la que se desee y como nombre de
maquina el que se quiera. Para hacer el ataque solo es necesario un cliente Telnet.

Si no se trabaja con autenticación sobre SMTP, se está expuesto a recibir email sin saber quién lo
envía.
o DNS: no necesita autenticación, con lo que es típico enviar mensajes de respuesta de traducción
DNS, no solicitados, causando que una máquina crea y use una dirección IP distinta de la que
realmente es.
o RIP (Rouiting Internet Protocol) e IGRP (Internet Gateway RoutingProtocol) que son protocolos de
enrutamiento que no disponen de ningún método de autenticación y que resulta sencillo variar su
tabla de enrutamiento, mediante mensajes falsos de actualización de rutas, obligando a plantearse
en la política de seguridad de la de que lo mejor es no usar ninguno de ellos.
o ICMP (Internet Control Message Protocol). Enviando mensajes de tipo redirect incorrectos,
indicando que la ruta a usar es la que interese para recibir el tráfico deseado.
 Debidos al diseño de aplicaciones: Estos ataque se aprovechan de que las características de uso de alguna
aplicaciones, es decir, el para qué están diseñadas, se convierte en vulnerabilidades:
o Macros de arranque, que permiten realizar modificaciones de ficheros y/o modificar la propia
aplicación para autoreplicarse.
o Postscript
o Applets de ActiveX
o Efecto autoplay, es ese conjunto de situaciones con la característica de poder arrancar

automáticamente una aplicación, residente en algún soporte, nada mas introducirlo en su lector.
o Cookies. Pequeño trozo de datos que un servidor web le da a un navegador. Éste, a su vez, lo
almacena en el equipo del usuario y se lo devuelve al servidor, cuando el navegador vuelve a
conectarse con el servidor.
o Java
 Debidos a la implementación de protocolos y aplicaciones:

o Quizás la más conocida es la que se denomina buffer overflow (desbordamiento de memoria),
pudiendo provocar dos tipos de vulnerabilidades:
 Ataques de DoS.
 Ataques para obtener acceso a un sistema.
Tienen que ver con variables del programa, que no se han chequeado correctamente, ni su longitud
no su tipo de datos. El atacante coloca una secuencia de bytes mayor que el espacio de memoria
reservado para la variable, sobrescribiendo en las siguientes posiciones de memoria. En tales
posiciones, a menudo, están los valores de los punteros a la pila, que indican porque parte del
programa hay que continuar la ejecución. Adecuando cuidadosamente lo bytes de entrada, el
atacante puede redirigir al programa para que ejecute las instrucciones embebidas previamente, en
los datos de entrada (datos maliciosos).

o Bajo este mismo criterio entrarían los problemas debidos a las llamadas puertas falsas. Se conoce
con este nombre a la parte de código solo conocido por sus fabricantes. Esto permite que haya
opciones del software solo conocidas para quien lo ha construido. Habitualmente es imposible
reconocer este tipo de ataques, pues hablamos de algo de lo que solo se conoce su existencia.
Aprovechándose de esta circunstancia.
o El software cada vez es más complejo, con una infinidad de dependencias entre módulos que hacen
que aun siendo suficientemente seguros cada uno de los módulos individuales, no se pueda asegurar
lo mismo del conjunto como unidad.
Siguiendo estimaciones de la Universidad de Carnegie Mellow, puede afirmarse que, en cada mil
líneas de código, hay entre 5 y 15 bugs.
4.6 ATAQUES DE TIPO DENEGACIÓN DE SERVICIO (DoS)

 Estos ataques tienen como objetivos que se pierda el acceso a un recurso. No están dirigidos a obtener
ningún acceso no autorizado, sino a no permitir el uso de un recurso concreto. Habitualmente lo consiguen
sobrecargando el uso de un recurso interno.
 Se pueden clasificar en ataques DoS (Denial of Service):
o Basados en peculiaridades de protocolos:
 Se puede hablar por ejemplo de los ping floods, consistentes en enviar muchos más
mensajes ICMO de los que host destino pueda gestionar normalmente.
 Otro ataque típico es el causado por aplicaciones de tipo smurf, en el que se envían pings a
la dirección broadcast de la red víctima, habiendo colocado como dirección IP fuente del
envío la del equipo que se quiere atacar.
 También se puedes usar peculiaridades del protocolo TCP, sobresaliendo ataques como los
de las aplicaciones land, en las que se envía un paquete TCP con los puertos y direcciones IP
modificados con los mismos valores, lo que hace creer al equipo víctima, que está hablando
consigo mismo, hasta que esta situación provoca una sobrecarga en las tablas internas de IP,
TCP o ambos.
 Otra forma de aprovecharse de como funciona IP es empleando ataques de tipo teardrop,
en los que se envían fragmentos IP con longitudes y desplazamientos desde el inicio del
mensaje, que solapan, provocando un gran uso de recursos para tratar de reparar tales
fragmentos.
o Basados en malas implementaciones de aplicaciones:

 Quizás el más famoso, que afecto a equipos Windows NT y Solaris, es el ping de la muerte.
Un caso especial de ataque por desbordamiento de memoria, en el cual basta con enviar
mensajes ICMP de tipo ping con una longitud de datos de ping mayor que 65510 bytes o
más. Esto hacia que el equipo sufriera un crashy dejara de funcionar.
 Otro ejemplo sería un ataque Out Of Band (OOB) data crash, en que el atacante envía un
paquete TCP con el bit Urgent Pointera 1, el ordenador víctima no lo puede gestionar
correctamente y el equipo deja de funcionar y rebota.
o Basados en SYS floods:

 Para entenderlo hay que recordar el mecanismo de 3 stepshandsake. Basta con enviar 10
paquetes de tipo SYN cada dos minutos a un servicio en la victima, para bloquear el servicio.
Cuando la tabla de conexiones semiestablecidas se llena, ya no admite más entradas. La
dirección IP fuente del ataque es una dirección suplantada, de forma que las contestaciones

del servidor se pierden. Además se pueden seguir enviando mensajes de ataque al mismo
puerto y a distintos puertos. Esto deja todo TCP deshabilitado para las conexiones legítimas.
o Distribuidos o DDoS:
 Se trata de ataques DoS como los ya citados, pero que no tienen una única fuente del
ataque, sino cientos o miles.
 Primero se infectan cientos de ordenadores inseguros, a los que, dependiendo del programa
que se utilice, se denominan zombies o agentes del ataque. Tal infección consiste en un
troyano, un programa de ataque, que se instala en los agentes. Suele haber, además, dos
tipos de colaboradores:
 Los handlers desde los cuales se infecta a los agentes.
 Los agentes desde los cuales se ataca.
 Esta diferenciación hace aún más difícil la búsqueda hacia atrás de la dirección IP real, desde
la cual se ha preparado y lanzado el ataque.
 Finalmente, el atacante coordina, cuando lo considera necesario, para lanzar, desde todos
ellos a la vez, el ataque sobre la víctima. Las defensas no suelen funcionar con tal cantidad
de mensajes de DoS y el ataque tiene éxito.
 No hay un método completamente fiable de pararlos y a la vez, mantener funcional el
recurso atacado.

4.7 ATAQUES CREATIVOS
 Se van a citar dos:
o Ataques que utilizan varias de las técnicas citadas para un objetivo muy específico, como el llamado
ataque Mitnick/Shimomura(ver por el texto base).
o Ataques realizados mediante aplicaciones nuevas, que hacen tunnelingde información de comandos,
dentro de protocolos benignos.
o Hay que decir que los ataques pueden implicar toda una creación de código nuevo, que utiliza
aplicaciones ya existentes, para colarse en nuestros sistemas, citando a los programas de tipo LOKI.
o En este tipo de ataques, es fundamental colocar un troyano en un equipo den la zona interna de la
red. Tal troyano es el daemonde LOKI, que recibirá, entenderá y ejecutará el código que le llegue.
o El interés, como ataque nuevo, está en cómo le llega el código al daemon como datos de un mensaje
ICMP:
 De tipo 8, código 0 (echo-request).
 De tipo 0, código 0 (echo-reply).
o Es decir, que para un router o un firewall, este tráfico, es implemente tráfico ICMP de tipo ping.
Realmente, lo que llega son comandos, scripts o cualquier cosa que la implementación de LOKI que
se esté utilizando permita.
o También se ha observado este comportamiento con protocolos de aplicación como DNS.
o Se puede obtener mucha más información en los servidores web de soporte de los sistemas más
típicos en los que esta soportado LOKI, concretamente para OpenBSD, FreeBSD y Solaris 2.5.

5. DEFENSAS BÁSICAS ANTE ATAQUES
5.1 INTRODUCCIÓN
5.2 CONTROLES DE ACCESO FÍSICO A SISTEMAS

 La seguridad física es una de las formas de seguridad más comúnmente olvidadas, debido a que los aspectos
que engloba son diferentes dependiendo de cada organización.
 La seguridad física debe ser tenida en cuenta en cada sitio de una forma particular.
 Por tanto, se trata simplemente, de montar un perímetro de seguridad alrededor de las máquinas que se
consideran vulnerables.
 Este perímetro de seguridad debe estar aplicado especialmente sobre los servidores con información
especialmente relevante, asegurando que solo las personas autorizadas disponen de un acceso físico directo
a la máquina.
 Se enumeran algunas medidas típicas, aplicables dependiendo de la importancia de las máquinas dentro del
perímetro:
o Agrupar físicamente, las máquinas relevantes, en una habitación suficientemente segura, desde el
punto de vista de la construcción.
o Tales habitaciones no deben estar a la vista de cualquiera que visite la organización.
o Tales habitaciones deben estar protegidas mediante medidas drásticas, dependiendo del nivel de
seguridad deseado.
o Una de tales medidas puede ser la necesidad de disponer de una tarjeta identificativa para poder
acceder a la habitación.
o Otra podrías ser la necesidad de identificarse en un control humano (guarda de seguridad).
o Tales medidas podrían combinarse.
o Se podría controlar que herramientas se lleva encima para entrar.
5.3 CONTROL DE ACCESO LÓGICO A SISTEMAS

 Asumiendo que solo aquellos que tienen derecho a trabajar en in ordenador lo usan, el siguiente aspecto
básico a considerar es el acceso lógico.
 Cualquier acceso de estas características está asociado con dos operaciones:
o Identificación
o Autenticación
 Una vez autenticado, el sistema de control de acceso impone qué puede y que no puede hacer el usuario.
 Lo realmente importante es que, para identificar al usuario, se necesita alguna medida de control de acceso.
 Tal sistema debe ser suficientemente bueno como para permitir el acceso al usuario correcto y a la vez, muy
difícil de duplicar para los demás. Debería, a ser posible, guardar también un buen registro de auditoría de
todas las entradas e intentos fallidos.
 El intento de acceso se puede realizar :
o En local
o En remoto
 La validación de acceso, el control de acceso, la comprobación de la información de la autenticación puede

hacerse:
o En la base de datos de información local del sistema donde se conecta el usuario (etc/passwd, SAM).
o En una base de datos residente en una máquina servidora de autenticación (NIS+, LDAP, Active
Directory)

o A través de un NAS (Network Access Server) dentro de una arquitectura AAA.
 Sea como sea, las medidas de identificación y autenticación se centran una de tres cosas distintas:
o Algo que se sabe, contraseñas (aproximación tradicional y más extendida):
 Las medidas básicas de una buena gestión de contraseñas serían:
1. Si el acceso va a ser remoto, implementar el uso de SSH, eligiendo una versión que
no se le conozcan bugs.
2. No disponer de más de una cuenta privilegiada (de administración) en cada
máquina.
3. Hacer únicamente uso de la cuenta de administrador solo cuando sea necesario,
trabajando mientras en una cuenta personal de usuario.
4. Si el sistema lo permite, habilitar el bloqueo de cuentas tras un cierto número de
intentos fallidos.
5. Habilitar el cambio de contraseñas periódico y obligatorio. Un periodo medio
aceptable debería ser un mes.
6. No permitir repeticiones triviales de contraseñas.
7. No permitir contraseñas triviales, que sean palabras de un diccionario o listas de
caracteres.
8. Concienciar a los usuarios la política de seguridad de la empresa.
9. Es buena idea usar como contraseñas, acrónimos con caracteres numéricos y
alfanuméricos combinados.
10. No tener la misma contraseña en distintas máquinas.
o Algo que se es, medidas biométricas:

 La idea no puede ser más sencilla, el usuario mismo es su atenticador.
 En casi todas las aplicaciones biométricas, los datos (voz, retina, huella dactilar, etc.) se
almacena en una base de datos, de manera muy parecida al caso de las contraseñas.
 Además de las técnicas citadas (reconocimiento de voz, de retina o de huella dactilar),
existen otras muy curiosas, relacionadas con la forma de cada persona:
 Reconocimiento de los detalles de la geometría de la mano.
 Reconocimiento de los detalles de la geometría de la cara.
 Scan del iris del ojo.
 Reconocimiento de los detalles de la geometría de la firma personal.
 La biometría no exige una certificación, como en el caso de la criptografía publica, lo que la

hace más fácil de usar y a la vez, más vulnerable.
o Algo que se tiene, los access tokens.

 La idea básica es también sencilla. Se inserta el token que se tiene en el sistema de control y
el ordenador (o lo que se a lo que se quiere acceder) lo verifica.
 En realidad el sistema no autentica a la persona, sino al token. Una solución es combinar el
token con una contraseña, algo muy parecido a una tarjeta de crédito.
 Otro problema de este tipo de soluciones es que el token se puede copiar.
 Para determinados tipos de accesos remotos y algunos locales, este tipo de tokens necesita
de algún tipo de lector asociado a él y que el usuario puede introducir el token en el lector.
Esto no suele ser aun el caso y para tratar con la solución, suele haber dos métodos:

 Challenge/reply. Cuando el usuario quiere acceder, el sistema remoto le envía un
challenge. El usuario escribe le challenge en su token, que calcula la réplica
apropiada, el usuario se la envía al sistema remoto. El sistema remoto repite el
cálculo, compara su resultado con el enviado y si coincide, el usuario es autenticado.
 Un sistema basado en tiempo. Similar al anterior, salvo que ahora los números en
pantalla cambian regularmente. El sistema remoto le pide al usuario que escriba los
números que ve en la pantalla. Si coinciden con lo esperado por el remoto, el
usuario es autenticado.
 En realidad, el sistema es tan seguro como lo sea el token.

 Otro token muy conocido es el que almacena una lista de contraseñas correctas, pero que
una vez usadas pierden su validez, son los sistemas conocidos como de contraseña de un
solo usos one-time passwords. Si la lista se almacena de manera segura, el sistema es
seguro.
 En el caso de acceso remoto a una red, ha de conocerse lo que se denomina sistemas AAA (Authentication
Authorization Accounting), fomados por:
o El servidor de acceso a la red NAS (Network Access Server) que es el punto de acceso a la red
remota, en la propia localización de tal red. Es el intermediario entre el sistema desde el cual se
pretende acceder y la red a la que se quiere acceder. Recibe la petición de acceso remoto y puede,
en algunos casos, conceder directamente la autenticación si así está configurado.
o El servidor de autenticación AAA, que es el sistema con el que se comunica el NAS, pasándole éste
al servidor AAA la información de autenticación recibida desde el equipo que pretende acceder. El
servidor AAA comprueba tal información y envía al servidor NAS su decisión de autenticación.
o Los protocolos de autenticación, que son los que comunican el NAS con un servidor AAA. Los más
extendidos con diferencia son:
 RADIUS (Remote Access Dial In User), es un protocolo desarrollado por Livingston Enterprise
Inc. y está compuesto por:
 Un protocolo, con formato de trama UDP/IP.
 Un cliente (el NAS)
 Un servidor (el servidor AAA)
Los servidores RADIUS pueden actuar como clientes proxies para otro tipo de servidores de
autenticación.
Las transacciones entre clientes y servidor RADIUS se autentican usando un secreto
compartido, que nunca se envía por la red. Además, cualquier contraseña de usuario se
envía cifrada.
Sus implementaciones más habituales en el mercado son las de Livingston, Ascend y Cisco .
 TACACS/+ (Terminal Access Controller Access Control System Plus), es un protocolo

desarrollado por Cisco, que cumple las normas básicas de cualquier sistema AAA y cuyas
características son:
 Utiliza TCP, con un servidor que espera mensajes por el puerto 49.
 La cabecera de datos de aplicación, de la trama TACACS/+, está cifrada.

 Se usa tanto para acceso remoto como para redes LAN.
 Soporta casi cualquier método de autenticación.
 En coordinación con cortafuegos o routers de Cisco que hagan de NAS, pueden
enviar listas de control de acceso, por usuario, en la fase de autorización, al NAS.
 En redes grandes, puede haber más de un NAS y más de un servidor AAA, lo que da lugar a una necesidad de
coordinación entre ellos, haciendo más compleja la administración, pero resultando la red más segura frente
a accesos remotos.
 Estos sistemas AAA pueden, perfectamente, coordinarse con otros métodos de autenticación de equipos y
de usuarios remotos a través de redes privadas virtuales (VPN).
5.4 OTROS CONTROLES SIMPLES DE ACCESO A LA INFORMACIÓN

 La utilización de sistemas de ficheros suficientemente seguros:
o Una primera norma es que si se puede, en todos los casos, evitar el uso de FAT (File Allocation
Table) en las máquinas de la organización.
o En el caso de Windows, hay que utilizar NTFS (New Technology File System). Entre otras cosas, el
NTFS permite granularidad de acceso a ficheros (local o remoto), por grupos y por usuarios.
o En el caso de UNIX, dispone además, de otro sistema de ficheros propietario que amplía las
propiedades de seguridad del UFS (Unix File System). Así, por ejemplo, el Tru64 de HP, dispone del
AdvFS (Advanced File System) y el AIX de IBM del JFS (Journal File System), que permite una mayor
granularidad, a través de lo que se denomina listas de control de acceso ACLs (Access Control List).
Tales listas permiten detallar el acceso usuario a usuario y son una implementación de las listas de
control de la norma POSIX (Portable Operating System IX) .
 La posibilidad de cifrar ficheros en el sistema de ficheros:
o En línea con lo anterior, estos mismos sistemas y otros UNIX, disponen de la capacidad de cifrar
ficheros, simplemente utilizando una clave de criptografía simétrica o asimétrica, haciendo
prácticamente imposible obtener la información sin conocer la clave.
o La implementación más extendida de esta capacidad se lleva a cabo mediante versiones de un
programa conocido como PGP (Pretty Good Privacy).
 La necesidad de la destrucción de datos importantes de los discos que se dejan de utilizar:
o El cifrado de ficheros relevantes aparece como una necesidad básica si se enfoca el último asunto a
analizar la necesidad de decidir qué hacer y cómo, con los discos que ya no se van a utilizar.
o Se debe aclarar, dentro de la política de seguridad qué hacer con los discos que se retiran.
o Se proponen las siguientes medidas, para el correcto saneamiento de los discos, y así evitar la
posible obtención de información contenida en ellos:
 Destruir físicamente el disco.
 Destruir magnéticamente, dejándolo, igualmente sin uso posible.
 Sobrescribir los datos del disco, para que no se puedan recuperar.

o En cualquier caso, los usuarios deben conocer que, cuando deciden borrar ficheros de su sistema
operativo, no los están borrando realmente. Los datos permanecen, sea cual sea el sistema de
ficheros que se utilice. Cuanto más conscientes sean del problema, más tenderán a utilizar las
capacidades de cifrado de los sistemas de ficheros.

6. LA POLITICA DE SEGURIDAD COMO RESPUESTA RAZONABLE A LOS PROBLEMAS
DE SEGUIRDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN
6.1 INTRODUCCIÓN
 La política de seguridad es la forma razonable de contestar, ordenadamente, a los distintos problemas de
seguridad que pueden aparecer en las redes de las organizaciones.
 La política de seguridad de una organización es algo así como las normas, reglas o leyes que rigen la vida de
la organización en cuanto a qué se puede hacer y que no se puede hacer.
 La seguridad es un proceso, que se puede conseguir si se tiene claro que la política para lograrla debe estar
en constante actualización.
6.2 ¿QUÉ ES UNA POLITICA DE SEGURIDAD?

 El IETF define una política de seguridad como :
o Una serie de sentencias formales que deben cumplir todas las personas que tengan acceso a
cualquier información y/o tecnología de una organización
 El propósito principal de una política de seguridad es informar a los usuarios, trabajadores y personal de
dirección, de los requisitos obligatorios para proteger los valores tecnológicos e información de la
organización.
 La política debería especificar los mecanismos a través de los cuales estos requisitos puedan ser conocidos.
 Otro propósito es proporcionar una base para adquirir, configurar y auditar los sistemas de ordenadores y
las redes. El uso adecuado de estas herramientas también debería ser parte de la política de seguridad.
 Los objetivos que se buscan son:
o Debe poderse implantar.
o Debe entenderse.
o Debe hacerse cumplir.
o Debe definir responsabilidades.
o Debe permitir que siga realizándose el trabajo normal.
o Debe ser exhaustiva.
o Debe incluir mecanismos de respuesta.
o Debe tener mecanismos de actualización.
o Debe cumplir la legislación.
 Se ha de contemplar siempre el principio de privilegio mínimo, que consiste en tratar de minimizar el

número de usuarios con privilegios de administrador, el conjunto de equipos externos con acceso a sistemas
locales.
 Otro aspecto importante que debe tratar de conseguirse es el ilustrado por los principios de defensa en
profundidad y de diversidad de defensa. Se debe intentar tener más de un nivel de defensa y a poder ser,
de distinta naturaleza.
 Es una buena idea disponer de un punto central de gestión de la seguridad, en que centralizar la gestión de
la autenticación, autorización, del tráfico de seguridad, que soporte así mismo el registro de eventos
centralizado y las alarmas.
 Otra buena técnica es la de identificar el punto más débil de la organización.
 Es importante seguir también el principio del <<cierre completo>>, que consiste en garantizar que, en el
caso de ataque con éxito a un componente de seguridad, el sistema de seguridad no pasa a permitir el
acceso completo a toda la red, sino a no permitir ya ningún acceso.

 Quizás el más importante es el principio de simplicidad, que persigue que se cumplan todos los anteriores a
la vez que se puede gestionar todo el sistema, de manera simple y entendible.
 Otros aspectos de diseño podrían ser:
o Elegir con cuidado el equipo de desarrollo de la política.
o Debe haber una política de políticas, que establezca el proceso consistente de diseño de cada
política.
o Elegir el grupo o persona que hace que se cumplan cada una de las políticas y el grupo director, que
vela por el cumplimiento general.
o Es buena idea que la política sea revisada, antes de su aprobación, por un grupo de la gente sobre la
cual tendrá efecto.
o Cada política debe establecer, claramente, las razones de su necesidad, que aspectos cubre, que
responsabilidades supone, que duración
tiene y el personal de contacto.
 Se debe definir cuantas políticas o normas debe 1

tener esa política de seguridad.
 Se puede hablar de algunas normas clave que
estarán en cualquier política:
o Normas de uso aceptable de equipos y
servicios.
o Normas de acceso remoto.
o Normas de protección de la información.
o Normas sobre la seguridad perimetral.
3 2
o Normas básicas de seguridad física.
o Normas sobre respuestas a incidentes.
 Finalmente, hay que señalar la importancia de la

política de seguridad como eje del proceso de seguridad. La figura de arriba permite ver la seguridad como
una rueda, en la que la política permite guiar el proceso de mantenimiento de seguridad:
1. Fase de puesta en marcha
2. Fase de monitorización
3. Fase de análisis de vulnerabilidades
 La periodicidad con la que cada una de las fases debe ponerse en marcha depende de la política que tendrá
en cuenta el tamaño de la red y otros múltiples factores.
 Señalar la importancia de ver la política de seguridad de una organización como algo en constante
movimiento, que permite que el mantenimiento de la seguridad sea un proceso vivo y administrable de
forma estructurada y organizada.
6.3 ASPECTOS FÍSICOS DE LA POLÍTICA DE SEGURIDAD

 Cualquier política de seguridad debe tener en cuenta una serie de procedimientos relacionados con la
seguridad física, tanto en el aspecto de control de acceso físico a equipos, como en el de tener planes de
contingencia y emergencia, así como de recuperación frente a desastres.
 Debe estar estipulado quien tiene derecho a acceder a cada uno de los siguientes dispositivos:
o Routers.
o Switches y Hubs.
o Servidores.

o Firewall.
o ...
 Igualmente, debe haber unas normas claras sobre el control de acceso a los edificios donde estén situados
los ordenadores y redes de la organización, identificando:
o ¿Quién puede entrar al edificio?
o ¿Quién puede entrar a determinadas salas del edificio?
o ¿Cómo debe garantizarse tal tipo de acceso?
o ¿Quién puede acceder a determinados dispositivos específicos de salida, como impresoras?
o ¿Qué documentos no deben tener copias en papel, dónde y cómo destruirlas?
o ¿Qué niveles y/o cuentas de acceso se le debe dar a un colaborador externo?
o ¿Es necesario la presencia cámaras y guardias de seguridad?
 Se debe tener en cuenta otra serie de ideas, entre las cuales se pueden resaltar:
o Las actividades críticas deben situarse lejos de las áreas de acceso público.
o Los edificios deben minimizar las indicaciones sobre su propósito.
o Los listines de los teléfonos y de las salas no deben identificar localizaciones informáticas.
o Los materiales peligrosos y/o combustibles deben almacenarse a una distancia de seguridad del
emplazamiento de los ordenadores.
o El equipamiento de copias de seguridad y las propias copias de seguridad deben ubicarse en sitios
diferentes.
o Se debe instalar equipamiento apropiado de seguridad (detectores de humos, extintores, ...).
o Los procedimientos de emergencia deben estar bien documentados y revisados regularmente.
 Se debe disponer de copias de:

o La información de ordenadores de los sistemas centrales.
o La información de ordenadores de las redes de área local.
o La información de aplicaciones y de bases de datos.
6.4 ASPECTOS LÓGICOS DE LA POLITICA DE SEGURIDAD

 Entre las normas y procedimientos relacionados con aspectos lógicos se puede separar lo que se denomina
normas básicas o fundamentales, como:
o Política de uso aceptable:
 Tienen que definir el uso apropiado de los recursos informáticos de la organización.
 Los usuarios deberían leer y firmal tales normas, como parte del proceso de petición de
cuentas de trabajo.
 Debe establecer la responsabilidad de los usuarios con respecto a la protección de la
información almacenada en sus cuentas.
 Debe señalar que permisos pueden tener los usuarios sobre ficheros que tengan accesibles,
pero no sean suyos.
 Debe estipular, el uso aceptable del correo electrónico, de acceso web y de todo tipo de
acceso a Internet.
o Política de acceso remoto:

 Acceso mediante modem, vía SLIP o PPP.
 Acceso mediante RDSI o ADSL.
 Acceso mediante ssh o telnet, desde Internet.

 Acceso mediante cualquier tipo de red privada virtual.
o Política de protección de la información:

 Debe dar una guía sobre el procesado, almacenamiento y transmisión de la información, por
parte de los usuarios.
 Su objetivo fundamental es garantizar que la información está protegida apropiadamente
frente a la posible modificación o revelación.
 Otro aspecto importante que debe cubrir es la definición de los niveles de sensibilidad de la
información, que información es pública, cual es semi-pública y cual está restringida y a que
niveles.
 Estos niveles determinarán:
 ¿Cómo se va a almacenar y a transmitir la información más sensible?
 ¿En qué sistema puede almacenarse tal tipo de información?
 ¿Qué información sensible puede imprimirse en dispositivos inseguros?
 ¿Cómo se asegura que tal información desaparece de los discos duros que se van a
retirar?
 De estas consideraciones se derivan consecuencias muy importantes para el cumplimiento

de la LOPD.
o Política de seguridad perimetral:

 Debe describir, cómo se mantiene la seguridad, que nivel debe tener, quien o quienes son
responsables de mantenerla y cómo gestión los cambios de hardware y software de los
dispositivos en el área del perímetro de seguridad.
 Debe establecer quién puede realizar operaciones privilegiadas.
o Política de protección de antivirus:

 Debe proporcionar las líneas generales de los informes sobre infecciones por virus, así como
los procedimientos de contención de las mismas infecciones.
o Política de contraseñas:
 Debe contener las directrices de cómo gestionar las contraseñas de usuario y administrador.
o Política de actuación frente a incidentes:

 Es imposible tener preparadas respuestas para todo tipo de incidentes, pero esta política
debería cubrir, al menos, los incidentes más típicos, aquellos de los que se sabe que hay
mayor incidencia.
 Debería definir:
 Cómo gestionar la investigación de comportamientos anómalos.
 Un equipo de respuestas a incidentes, con funciones y responsabilidades
claramente estipuladas.
 Cuando hay que notificar un incidente y a quien.
 Qué información hay que registrar y guardar.
 Cómo hacer un seguimiento del incidente concreto y quien debe encangarse.
 Entre las que no serían normas básicas, pero, aun así, en una organización extensa serían importantes, se
tendrían:

o Política de uso de sistemas de detección de intrusiones.
o Política de gestión de logs de sistemas y de auditorías.
o Política de administración de los laboratorios de seguridad.
o Política de comunicaciones wireless.
o Política de uso de redes privadas virtuales.
6.5 ASPESTOS HUMANOS Y ORGANIZATIVOS DE LA POLITICA DE SEGURIDAD

 Se puede hacer la siguiente división del personal que interactuará con los sistemas y máquinas de la
organización:
o El administrador o responsable directo del sistema:
 Deben ser personas correctamente cualificadas, serán los únicos con acceso completo al
sistema que administran.
 Es fundamental asegurar a esta persona tan bien como se asegure al resto del sistema. No
hacerlo así sería exponer a la organización a problemas realmente graves.
o Las personas que deben tener acceso al sistema como usuarios.

 Típicamente empleados fijos, personal temporal o clientes de un sistema que no necesitan
tener el control de los sistemas servidores de la organización. Por ello, se establecen
sistemas de acceso parciales, con requisitos de seguridad menores, de tal forma que el
usuario tenga control absoluto sobre su sistema particular.
o Las personas relacionadas con el sistema pero que no necesitan usarlo:

 Personal ejecutivo:
 Debido a su posición dentro de la empresa, en determinados momentos, pueden
necesitar mostrar datos o información de los servidores. Esto, pone en peligro la
seguridad del sistema y será necesario, tomar las medidas adecuadas.
 Personal de mantenimiento:
 Suele tener acceso al perímetro protegido.
 Suelen ser personas no técnicas, ni relacionadas con los equipos y por tanto, es más
probable que cometan errores comprensibles en su iteración con ellos.
 El que no se les exija conocimiento, no quiere decir que no los tengan. Por ello, si
deben acceder al sistema, es recomendable que lo hagan bajo supervisión de una
persona responsable.
o Las personas ajenas al sistema:

 No deben acceder nunca, en ninguna circunstancia, a los sistemas.
 Así mismo, hay una serie de procedimientos organizativos a tener en cuenta, que deben ser tomados por la
dirección de RRHH, que se pueden resumir en:
o Que las definiciones de puesto de trabajo contemplen todo lo necesario en cuanto a
responsabilidades de seguridad y sus sistemas.
o Que los empleados que vayan a hacer uso de información sensible, hayan sido correctamente
contratados, teniendo especial cuidado con el caso de los empleados temporales.
o Se deberán firmar contratos o acuerdo de confidencialidad antes de su conexión y acceso a los
recursos y sistemas de información de organización.

o Es necesario que los empleados se den cuenta de la importancia que tienen en el mantenimiento de
la seguridad y de los posibles procedimientos disciplinarios a los que se verán expuestos, en el caso
de incumplir sus responsabilidades.
o La mejor manera de implementar este procedimiento es mediante un plan de formación para todo
el personal de la organización.
6.6 ASPECTOS LEGALES DE LA POLITICA DE SEGURIDAD

 Repasar por el texto base (pág. 159).

7. INTRODUCCIÓN, MÉTODOS NO CRIPTOGRÁFICOS EN LA IMPLANTACIÓN DE LA
POLITICA DE SEGURIDAD
7.1 INTRODUCCIÓN
7.2 HERRAMIENTAS QUE IMPLEMENTAN LA POLÍTICA DE SEGURIDAD

 Las herramientas que se van a analizar, cubren las distintas fases del proceso de seguridad y lo que se va a
hacer es ubicarlas en cada una de las fases.
 Los elementos no criptográficos, que hay que tener en cuenta dentro de:
o La fase de implementación o de puesta en marcha de cada versión de la política de seguridad, son:
 Medidas básicas, físicas y lógicas ya analizadas en el capítulo 5.
 Los cortafuegos, que son dispositivos variados que implementan una serie de funciones de
filtrado de mensajes, basándose en una serie de mecanismos diversos.
 La configuración de tales cortafuegos dependerá de lo que se haya decidido desarrollar
como política de seguridad.
o La fase de monitorización se deben tener en cuenta:

 Los procedimientos clásicos de auditoria y de análisis de log, que conllevan hacer una
exploración, en busca de señales extrañas de los distintos registros de actividad de sistemas
y dispositivos de seguridad, así como analizar los distintos registros de auditoria de sistemas,
buscando algún registro no fácilmente explicable.
 Los sistemas de detección de intrusos, dedicándose a analizar el tráfico de una red, en
busca de patrones de ataque, comparando el tráfico recogido con muchos patrones. Pueden
lanzar alarmas, generar registros de logs y en algunos casos, parar ataques. Así mismo, si
detectan determinados tipos de ataques, no tenidos en cuenta en la política de seguridad,
esto debe servir para actualizarla.
o La fase de análisis de vulnerabilidades, se suele tener en cuenta:

 Los laboratorios de pruebas, cuyo objetivo es disponer de una red separada de la real, en la
que se puedan ir probando los distintos tipos de ataques que podrían suceder en la red real,
probando igualmente las medidas de defensa.
 Los equipos de ataque, grupos de personas, internos o externos a la organización que se
dedican a buscar posibles vulnerabilidades en sistemas, dispositivos de seguridad,
procedimientos de seguridad de cuentas, etc., así como en seguridad física y lógica. Además
estos equipos suelen ser denominados los auditores de la organización y su objetivo entra,
tanto como en esta fase, en la fase de monitorización. Son los vigilantes de los vigilantes.
o Los analizadores (scanners) de vulnerabilidades, programas especializados en buscar problemas de

seguridad en sistemas operativos, aplicaciones y dispositivos de seguridad.
 También esto procedimientos y herramientas proporcionan información que se utiliza para renovar la
política de seguridad y hacerla más fuerte, más completa.
 Es importante remarcar la diferencia entre los dos niveles de trabajo con todas estas herramientas:
o Un nivel de conocimiento de cómo configurar las herramientas.
o Un nivel de conocimiento de la seguridad deseada. Este nivel es más relevante que el anterior.

7.3 OTROS ELEMENTOS TÍPICOS A TENER EN CUENTA
 La enumeración de dispositivos y herramientas no criptográficas utilizadas para hacer cumplir la política de
seguridad no sería completa sin hacer referencia a lo que se denomina diseño seguro de redes.
 En realidad, se estaría hablando del concepto de fiabilidad del sistema, de alta disponibilidad de la
información.
 Los procedimientos y herramientas utilizadas para mantener tal fiabilidad no son criptográficos y
contemplan, en su diseño, técnicas de tolerancia a fallos.
 Estas técnicas consisten en que el software o el hardware proporcionen una cierta redundancia frente a
posibles eventos negativos que pueden ocurrir.
 De entre estas técnicas, se pueden resaltar las siguientes:
o Unidades de discos redundantes (RAID).
o Copias de seguridad de los datos.
o Tolerancia a fallos de los servidores más significativos (clusters).
o Un plan de recuperación de la situación actual, tras un posible desastre.
o Una organización de gestión de la red cuyo objetivo sea, mantener funcionando la mayor cantidad
de tiempo posible los sistemas de una organización en el mejor estado posible.

8. REDES PRIVADAS VIRTUALES
8.1 INTRODUCCIÓN
 Una red privada virtual (RPV) es simplemente una conexión segura creada a través de una red pública.
 Tienen tres usos principales:
o La Intranet de la organización:
 En este caso, una RPV sirve para conectar piezas disjuntas de la misma red.
 Si una organización tiene varias oficinas en sitios distintos de un país o del mundo y cada
oficina tiene su propia red física, todas estas redes físicas pueden estar conectadas a través
de una RPV que se ha construido sobre Internet.
o La Extranet:
 Simplemente, parte de las redes disjuntas no pertenecen a la misma organización, sino a
otras.
 Si se piensa en empresas, esto permite la colaboración típica, en cuanto a compartición
rápida de información, entre diferentes empresas.
o Los usuarios móviles de una organización:
 Los usuarios de una red que trabajan desde su casa, o que están en continuo cambio de
ubicación a causa de su trabajo pueden hoy conectarse a su red, mediante una llamada local
al proveedor de acceso a Internet local y mediante una RPV.
 Si se analiza en más detalle la frase “red privada virtual” se podrá remarcar varias características
importantes:
o Es una red, un mecanismo de transmisión de datos.
o Es privada, lo que quiere decir que la comunicación se realiza de forma que solo se permite a los
participantes designados tomar parte en ella.
o Es virtual, no es realmente lo que parece ser, se ha construido de forma que replique lo más posible
otra cosa distinta.
8.2 Caracterización de las redes privadas virtuales

 Las características buscadas para una RPV son las siguientes:
o Integridad
o Privacidad
o Autenticación
o Control de acceso
o Auditoria y registro de actividades
o Calidad del servicio:
 Puesto que habrá comunicaciones concretas más sensibles (que necesiten mayor seguridad)
que otras. La separación de tal tráfico, con respecto al resto del tráfico, es un aspecto muy
importante en cualquier implementación de una RPV.
 Al proceso de proporcionar esta funcionalidad y características especiales a ciertos tipos
particulares de tráfico, se le denomina aplicar características de calidad de servicio.
 Este control de tráfico se hace basándose en algún criterio que permita identificarlo:
 Direcciones IP fuente y destino.
 Números de puerto fuente y destino.
 Opciones de tipo servicio (bit TOS del header IP del mensaje)

 Hay también métodos alternativos consistentes en modificar la estructura de los mensajes
IP, etiquetándolos de tal manera que no haga falta una gestión de nivel 3, lo cual, para redes
conmutadas de nivel 2 puede mejorar el rendimiento. Tal es el caso de la redes MPLS
(MultiProtocolLabelSwitching)
 Otro criterio que sirve para caracterizar una RPV es preguntarse dónde empieza y donde acaba la RPV. Los
extremos de una RPV, suelen venir determinados por donde tienen lugar las funciones antes comentadas
(privacidad, autenticación, etc.). Con respecto a esta pregunta, se puede hablar de tres tipos de RPV:
o RPV de extremo a extremo:
 Las funciones típicas de una RPV se implementan en el ordenador emisor y en el receptor.
 Antes de dejar el emisor, los datos has sido asegurados y viajan así hasta llegar al receptor.
o RPV intermedias:
 Es el más habitual en implementación de Intranet y Extranet.
 Los datos de la sesión dejan el emisor sin ningún tipo de formato especial, sin haber sido
pasados por ninguna de las funciones comentadas y así llegan a un dispositivo intermedio
(router, firewall, etc.) que es el que va a crear el tráfico RPV y lo va a transmitir por la red
insegura.
 Este tráfico RPV llegará a otro dispositivo intermedio en donde será tratado de manera que
al aparecer en la red propia del receptor viajará, otra vez, en claro hasta llegar al receptor.
o RPV origen-intermedio:
 Es el de las redes usadas por los usuarios móviles.
 Las funciones se implementan en el equipo móvil y en el dispositivo intermedio de entrada
en su red.
8.3 VENTAJAS E INCONVENIENTES DE LAS REDES PRIVADAS VIRTUALES

 Una primera ventaja es que mediante las RPV, se pueda tener acceso a los datos, de manera compartida,
estén donde estén, desde cualquier lugar.
 Entre las ventajas más significativas:
o Reducción de costes.
o Mejora de la seguridad (soporte criptográfico, sesiones cortas y procesos sofisticados de autenticación).
o Integración de los datos (de una organización con sus puntos remotos).
o Flexibilidad del sistema.
o Escalabilidad de las soluciones (geográfica y de ancho de banda).
o Simplificación de las operaciones (administración y mantenimiento).
 Entre sus inconvenientes más significativos:

o Nuevos gastos (formación, compra de equipos, dificultades en la implantación y pérdida de productividad inicial).
o Un menor nivel de seguridad.
o Complejidad mayor.
o Pérdida del control de la calidad de servicio.
 Las RPV son una nueva solución para las comunicaciones de todo tipo de organizaciones dispersas
físicamente, al crear enlaces dinámicos sobre muchos tipos de medios de transmisión y ofrecer una forma
protegida única de conexión tanto para redes locales en sitios diferentes como para usuarios móviles.
 Además de una mejor flexibilidad y escalabilidad, las RPV ofrecen reducción significativa de costes.

 Por otro lado, al ser un desarrollo relativamente reciente, aun tienen que resolver una serie de problemas
como la garantía de un buen rendimiento y de una seguridad aceptable.
8.4 ARQUITECTURA DE REDES PRIVADAS VIRTUALES

 Hay dos componentes esenciales de cualquier RPV, que la hacen posible, uno es el proceso conocido como
tunneling, que hace que tal red sea virtual y el otro está compuesto por una serie de servicios de seguridad,
que permiten que los datos de la RPV se mantengan privados.
 En una RPV no se mantienen enlaces permanentes, sino que se crean conexiones entre dos partes de ella,
según sea necesario y cuando ya no lo es, se rompe tal conexión, dejando el ancho de banda y otros recursos
disponibles a otros usuarios.
 Este tunneling, crea una conexión especial entre dos extremos, en la que el extremo de inicio del túnel
encapsula sus paquetes dentro de mensajes IP para su tránsito por Internet. La encapsulación puede incluir
cifrado y añadir una nueva cabecera IP al
mensaje. En el extremo receptor, se
quita la nueva cabecera IP, se descifra el
mensaje si fuera necesario y se envía el
paquete a su destino.
 Puede haber dos tipos de extremos:
o Ordenadores individuales.
o Una LAN con una pasarela de
seguridad, que puede ser un
router o un firewall.
 Por otro lado, los servicios de seguridad

deben implantar las necesidades
comentadas con anterioridad, llevando
una serie de posibles protocolos, de los
que el más usado es el conjunto de protocolos IPSec.
 Desde el punto de vista de componentes hay cuatro componentes típicos de una red privada virtual:
o La red Internet, o la red no segura.
o Las pasarelas de seguridad:
 Dispositivos entre la red privada y la red pública que aseguran que no haya intrusiones no
deseadas en la red privada.
 Suelen ser también los que proporcionan las capacidades de cifrado y tunneling (routes,
firewalls o dispositivos hardware especiales).
o Los servidores de políticas de seguridad:

 Suelen mantener listas de control de acceso y otro tipo de información de seguridad
necesaria para la operación correcta de las pasarelas de seguridad.
 Un uso muy típico es el de servidor AAA para la pasarela de seguridad.
o Los servidores de certificación:

 Si la RPV es grande, es muy normal que use para la autenticación de usuarios y de
dispositivos, certificados digitales, lo que obligará a implementar una PKI, con autoridades
de certificación, que pueden ser externas o pueden ser internas, controladas desde dentro
de la propia organización administrativa de la red.

8.5 DISEÑO Y PLANIFICACIÓN DE REDES PRIVADAS VIRTUALES
 Para poder diseñar un RPV hay que conocer las demandas que tendrá la RPV, que tipo de tráfico se va a
transmitir, que aplicaciones usarán la RPV, con qué frecuencia, con qué necesidades de cifrado, etc.
 Las consideraciones de diseño que suelen plantearse son, asuntos relacionados con:
o La red de la que dispone la organización:
 Una de las principales consideraciones con respecto a la red es de qué capacidades
disponen los dispositivos de seguridad y encaminamiento.
 Si están al límite, se puede plantear una de las tres situaciones siguientes:
1. Actualizar los routers o firewalls para que soporten las funciones de una RPV.
2. Cambiar los routers o firewalls por otros más nuevos.
3. Usar otro tipo de dispositivos para proporcionar los servicios RPV.
 Las ubicaciones típicas para colocar dispositivos de extremo a extremo de una RPV varían,
puede ser el propio firewall o el router de la organización, o entre ambos, o entre el router y
el router del ISP.
o La seguridad del tráfico que se generará en la RPV:

 Se suele hablar de una pasarela RPV como el dispositivo hardware que sólo implementa las
funciones de una RPV.
 Las pasarelas RPV tienen que hacer tunneling, cifrado, autenticación y administración de
claves.
 Dependiendo de los protocolos que se usen (IPSec, PPTP, L2TP) se hará más énfasis en unas
u otras funciones.
o El ISP:
 Si la pasarela RPV dispone de un puerto WAN, puede instalarse de dos maneras:
1. Se coloca entre la conexión al ISP u la Intranet propia de forma que la pasarela
procesa todo el tráfico que entra y sale de la red.
2. Disponer de una topología para el tráfico que deba ir cifrado y de otra entrada a la
red, por ejemplo a través de otro router, para el que no deba ir cifrado.
 Si la pasarela RPV no dispone de un puerto WAN, sino simplemente de dos o más puertos
Ethernet, suele haber cuatro configuraciones posibles:
1. Colocar la pasarela antes del router y del resto de la red interna:
o El router no necesita ninguna configuración especial y puede filtrar tráfico
RPV y no RPV con las mismas reglas.
o Hay que configurar la pasarela para dejar pasar tráfico no RPV.

2. Colocar la pasarela detrás del router y antes del resto de la red interna:
o Hay que configurar el router para que deje pasar tráfico RPV sin filtrar.
o Esta configuración es más segura para la pasarela, pero se tiene menos
control sobre el tráfico que entra en la red interna después de ser descifrado
por la pasarela.
3. Colocar la pasarela como otro nodo de la red interna:

o Al colocar la pasarela de este modo, el tráfico RPV cuenta por dos, primero
hasta la propia pasarela, antes de ser descifrado y desde la pasarela a su
destino, después de ser descifrado.
o No es una solución muy eficaz.
4. Colocar la pasarela en paralelo con el encaminador de acceso a la red interna:

o Permite dividir el tráfico entrante.
o Es la configuración más segura y más clara desde el punto de vista de
política de seguridad.
 Otra cuestión importante de diseño es decidir cómo se implementa, si la RPV tiene necesidad por existir una
gran cantidad de dispositivos de extremo a extremo y/o móviles, la PKI que permite manejar los certificados
digitales de cada uno de los extremos de la RPV. Esto garantizará la autenticación de tales dispositivos. El
punto clave es decidir si la autoridad de certificación es interna a la organización o pública.
 El último asunto importante en el diseño de toda RPV es el de la autenticación de usuarios. Suele
implementarse como una opción más en los extremos de la RPV que sirven de entrada a las redes internas.
La pasarela suele actuar como cliente de un servidor AAA, comunicándose con el mediante un de los dos
posibles protocolos AAA.

8.6 PROBLEMAS DE RENDIMIENTO, MANTENIMIENTO Y SEGURIDAD
 Respecto al rendimiento del tráfico de la red:
1. La velocidad y fiabilidad del trñafico que atraviesa Internet:
 Básicamente en Internet no hay posibilidad de garantizar tiempos de respuesta.
 Un punto importante es ver que ISP ofrecen servicios con distinta reserva de ancho de
banda.
2. La “bondad” del proceso de cifrado de la RPV en los ordenadores y en las pasarelas RPV de
seguridad.
 Dependiendo de la potencia de cálculo de los dispositivos RPV que se utilicen y el tráfico
que haya que procesar es normal tener que considerar la instalación de varias pasarelas en
las conexiones que tengan un mayor volumen de tráfico e, incluso, tratar de implementar
algún tipo de balanceo de carga entre ellas.
 Respecto al mantenimiento, los principios típicos son, fundamentalmente, los de cualquier red.
o Gestión de fallos de funcionamiento en la red.
o Gestión de la configuración de los dispositivos.
o Gestión de la auditoria y de la contabilidad del uso de recursos.
o Gestión de la seguridad.
 Respecto a la configuración y seguridad:

o Consiste en la generación, distribución y mantenimiento de las claves con las que se cifra y descifra
el tráfico.
o La centralización de la información de claves y certificados puede también crear un problema de
mantenimiento, pues será, claramente, una vez identificada la red o el equipo que las centralice, un
objetico evidente para cualquier posible atacante. Si se decide no tenerlas centralizadas, sino
distribuidas, esto mejora la seguridad, al no haber un único punto de ataque, pero hace más difícil la
gestión, al tener que salvaguardar la seguridad de varios equipos o varias redes.
 Al igual que en la gestión de red, las técnicas de seguridad también intentan conseguir el objetivo de tener
disponible los recursos de la organización el 100% del tiempo para los usuarios de la misma. Por esta razón,
parece cada vez más normal que se empiece a hablar de técnicas que unan ambos ámbitos, especialmente
para el caso de las RPV, creando herramientas híbridas entre los sistemas de gestión de red y los sistemas de
cifrado típicos empleados en las RPV. Este parece ser el futuro que nos depara la gestión y el mantenimiento
de las RPV.

9. LOS CORTAFUEGOS Y SUS APLICACIONES COMO ELEMENTO BASICO DE UNA
POLITICA DE SEGURIDAD DE REDES
9.1 INTRODUCCIÓN
 Un firewall implementa una aproximación basada en red, más que basada en un sistema, a la consecución
de la seguridad de redes.
 Desde un punto de vista ideal, un firewall debe tener las siguientes características:
o Todo el tráfico de dentro a fuera y de fuera a dentro, debe pasar a través del firewall.
o Solo aquél tráfico autorizado, basándose en la política de seguridad, puede seguir su camino.
o El firewall es completamente inatacable.
 La política general de diseño del tráfico que se permite pasar suele ser restrictiva: no se deja pasar ningún
tipo de tráfico, salvo el que esté explícitamente permitido. Tal política resulta ser muy segura, aunque hay
que tener en cuenta que se deberá analizar cada una de las utilidades cuyo tráfico sea necesario según los
usuarios.
 Aunque no hay una tipología oficial, normalmente se habla de 4 tipos de firewall:
o Los filtros de paquetes, que suelen ser encaminadores que filtran el tráfico basándose en
combinaciones de diferentes campos de las cabeceras IP, RCP y UDP de cada mensaje.
o Gateway de aplicaciones, también llamados servidores proxy, que suelen ser equipos intermedios,
que aceptan peticiones entrantes de servicios de red y realizan las llamadas adecuadas a favor de
cada cliente de servicio correspondiente.
o Firewall de tipo stateful inspection, o de filtrado dinámico de paquetes, que son capaces de
mantener el estado de cada sesión a través del firewall y cambiar las reglas de filtrado
dinámicamente conforme a lo definido en la política de seguridad.
o Firewall híbridos, que son resultado se la combinaciones de las propiedades citadas previamente.
 Ningún firewall puede evitar problemas que se originan en la parte protegida de la red, cuyo objetivo de
ataque esté en la misma parte.
9.2 LOS FILTROS DE PAQUETES

 Un filtro de paquetes está ubicado en la frontera entre la red que se trata de proteger y el resto del mundo.
 Los filtros de paquete operan en el nivel de red y de
transporte de la familia de protocolos TCP/IP y filtran
paquetes IP, basándose, para ello, en los valores de
algunos campos de las cabeceras de IP y TCP o UDP.
 Cada filtro está compuesto por una serie de reglas, que
utilizarán de distintas formas tales valores, que se
contrastarán en orden en busca de alguna coincidencia.
 Un filtro de paquetes examina cada paquete entrante por la interfaz en la que está aplicado el filtro y:
1. Obtiene los contenidos de las cabeceras citadas del paquete.
2. Contrasta los valores contra los configurados en las reglas del filtro ordenadamente.
3. Si cumple lo enunciado en una regla o lo permite, en cuyo caso el paquete se encaminará a su
destino o lo descarta.
 Depende de la política de seguridad en que interfaces se colocan filtros.

 Otra consideración importante es en qué sentido se aplica el filtro (mensajes salientes, entrantes o a
ambos).
 En cualquier filtro de paquetes, los campos de las cabeceras que se usan como criterios de filtrado son:
o Las direcciones IP origen y destino del mensaje.
o Los número de puerto origen y destino del mensaje.
o El tipo o número (ICMP, OSPF, TCP, UDP, etc.) de protocolo.
o Una serie de opciones de la cabecera TCP, como los bits de sincronización, de final, de ACK, etc.
 Estos filtros se pueden implementar en paquetes software (Draebridge) sobre SSOO, aunque lo más común
es verlos en routers.
 No obstante, tienen una serie de puntos débiles que hay que tener en cuenta:
o Si la configuración llega a hacerse muy grande, puede hacerse difícil el mantenimiento de los filtros
concretos.
o Si se tiene que hacer una excepción ocasional, puede ser que haya que cambiar toda la
configuración, haciendo la situación bastante insegura.
o No permiten realizar ningún control a nivel de usuario ni a nivel de datos.
o No es fácil filtrar protocolos con más de una conexión activa simultáneamente, como FTP, ni
protocolos basados en RPC.
o No suelen guardar registro de los accesos de los usuarios.
9.3 LOS GATEWAYS DE APLICACIÓN O SERVIDORES PROXY

 La palabra proxy significa abogar.
 Un firewall de esta tecnología lo es para un protocolo de aplicación, se puede decir que hay un proceso
proxy por cada protocolo que se quiera filtrar.
 Típicamente, un servidor proxy funciona en una máquina con
dos placas, que reside entre los clientes y el servidor real, e
intercepta las peticiones de los clientes de servicios particulares.
 El servidor proxy evalúa tales peticiones de servicio y decide que
trafico sigue adelante y que tráfico corta.
 Desde el punto de vista del:
o Usuario, la comunicación se realiza con el servidor real,
aunque, realmente, la conexión TCP, por ejemplo, se
realiza entre el cliente y el servidor proxy.
o Servidor real, el cliente es, realmente el servidor proxy.
 Dependiendo del tipo de servidor proxy, puede ser necesario cambiar algo en el cliente, en servidor o en
ambos, que puede ser el software o determinada parte de la configuración.
 Un servidor proxy suele, también, proporcionar NAT (Network Address Translation).
 Los puntos fuertes los servidores proxy son:
o Permiten filtrar a nivel de aplicación, lo que quiere decir que se puede filtrar por operaciones
concretas de protocolo.
o Pueden tener un proceso separado por protocolo, no tienen que tratar de hacerlo todo a la vez.
o Hacen sencillo restringir el acceso a un servicio.
 Los posibles problemas de los servidores proxy son:

o Se deben tener multitud de ellos, si se quiere atender al filtrado de muchos protocolos.
o Dependiendo de la tecnología, puede pasar que se tengan que usar distintos clientes, servidores o
ambos.
o Pueden llegar a ser un cuello de botella tremendo para el tráfico.

9.4 ¿QUÉ SE PUEDE MEJORAR?
 Más allá de lo analizado, suele haber varias aproximaciones:
o Trabajar con tecnología stateful inspection.
o Reunir varias de las tecnologías citadas, junto con distintos tipos de sistemas de autenticación, AAA,
para crear firewalls mucho más sofisticados.
o Crear distintas arquitecturas o topologías de seguridad, en torno al cortafuegos:
 Una DMZ (Demilitarized zone) es una red directamente enlazada con el cortafuegos que se
está utilizando.
 Típicamente esto significa que
ocupa una tercera interfaz en tal
dispositivo.
 Se suele trabajar con una DMZ
porque se suele colocar en ella
aquellos servicios de la red de la
organización que se desea que
estén disponibles por Internet,
pero que, a la vez, no se quiere
tener en las mismas redes de la
organización por cuestiones de
seguridad. Si alguno de tales servicios resulta atacado con éxito, esto no significa
obligatoriamente que la red completa resulte atacada.
 Esto es en sí una buena idea, pues se está implementando dos principios de seguridad ya citados:
o Hay un defensa en profundidad, los ataques deben ser capaces de atacar con éxito primero el router
y después el firewall.
o Si se elige un firewall que no sea también router, se pone en marcha el principio de diversidad de
defensa.
 Una posible dificultad en este tipo de topologías muy a tener en cuenta es la dificultad de administración.

11. HERRAMIENTAS DE DETECCIÓN DE INTRUSIONES PARA LA
MONITORIZACIÓN DE LA SEGURIDAD EN LAS COMUNICACIONES
11.1 INTRODUCCIÓN
 Una fase de monitorización correcta debe tener en cuenta medidas de prevención y tales medidas se
consiguen con herramientas denominadas sistemas de detección de intrusiones (IDS, Intrusión Detection
System).
 Una intrusión se puede definir como un mensaje o serie de mensajes que cumplen varias condiciones:
1. Se aparta de un comportamiento normal.
2. Si es anormal, hay que decidir si esa anormalidad proviene de un uso incorrecto o si es una situación
peligrosa.
 En los últimos años han ido apareciendo soluciones que realizan esta labor de manera automática. Los
primeros utilizaban lo que se conocía como detección de anomalías. No tuvieron mucho éxito pues
producían muchos falsos positivos.
 Se dice que se ha obtenido un falso positivo cuando el IDS utilizado, indica que hay un ataque en marcha y
realmente no es tal.
 Los sistemas IDS usados hoy en día son todos ellos basados en firmas.
 Tales firmas de ataque son mensajes concretos o grupos de mensajes que indican, con cierta fiabilidad, que
hay un ataque en curso.
 Una firma sería un conjunto de reglas típicas de una actividad que se asocia claramente con una intrusión en
la red.
 Además, el conjunto de tales firmas de ataque, de cada sistema IDS, es la suma del conjunto de firmas que
ya viene en el sistema, que es el resultado de la investigación y operación de una serie de expertos y de los
conocimientos de distintas agencias de ayuda como el CERNT y de la capacidad de creación de otras firmas,
por parte de los administradores de estos sistemas.
 Otro criterio de clasificación de los IDS es donde se colocan en la topología de la red de la organización:
1. Pueden colocarse en un segmento de red, en cuyo caso monitorizan el tráfico que circula por ese
tramo. En este caso, se habla de IDS basados en la red.
2. Pueden colocarse como salvaguarda de un solo sistema, para proteger dicho sistema y este caso se
habla de IDS basados en el sistema.

 El procedimiento habitual de su funcionamiento es el siguiente:
1. Una vez configurados, monitorizan todo el tráfico que para por la tarjeta de red que usan.
2. Comparan el tráfico que capturan con cada una de las firmas para las cuales están configurados.
3. Si hay coincidencia, ejecutan una combinación de las siguiente posibilidades:
 Registrar el ataque.
 Enviar una alarma.
 Parar el ataque.
 Se han de conocer las características generales que deben cumplir:

o Debe tener actualizaciones frecuentes.
o Debe tener capacidad de adaptación al entorno (creación y priorización de firmas).
o Debe exhibir un buen rendimiento.
 Una serie de aspectos a tener en cuenta a la hora de desplegar los IDS en la red:
o Donde colocarlo.
o Falsos negativos (ataques reales no detectados).
o Falsos positivos.
o Respuesta ante incidentes. Hay que decidir si se cierra el agujero o se investiga. Si se quiere conocer
uno por uno cada ataque o solo los exitosos. Todo esto hay que decidirlo, dentro de la política de
seguridad.
11.4 ¿QUE SON LOS HONEY POTS?

 Quizás lo más adecuado es decir de estos sistemas que son señuelos usados para obtener datos sobre el
comportamiento de intrusos.
 Normalmente esto señuelos parecen contener vulnerabilidades que los hacen aun más atractivos para los
hackers. Realmente está protegiendo el acceso a los datos reales, a los controles de administrador y a otros
ordenadores de la red donde está ubicado.
 Mediante este método, los administradores pueden recoger datos sobre la identidad, el acceso usado y los
métodos de ataque utilizados.
 Todo el conocimiento obtenido de esta manera se puede usar para prevenir ataques sobre los sistemas
reales en producción, así como para conseguir que los recursos del atacante se empleen en sistemas
señuelo.
 Las ventajas obtenidas suelen ser:
o Parar los ataques.
o Educar sobre los métodos usados para atacar sistemas.
o Detectar ataques internos.
o Crear confusión.
 El sistema debe tener un nombre atractivo, debe tener varios niveles de log.
 Otro nivel de log interesante es poner un sniffer en el segmento del señuelo.
 Una vez el señuelo ha sido realmente comprometido, suele ser interesante pararlo y volver a colocarlo, con
la misma configuración y las vulnerabilidades usadas por el atacante arregladas, pero con nuevas
vulnerabilidades para aprender nuevas técnicas de ataque.
 Desde hace pocos año, un grupo de profesionales de seguridad ha desarrollado el concepto analizado y ha
creado un proyecto denominado proyecto Honeynet (http://www.honeynet.org/), dedicado a aprender
tácticas, técnicas y herramientas, así como los motivos de los atacantes y , además, compartir tal
conocimiento.
 Una honeynet es una red real, en la que todo el tráfico entrante y saliente se analiza y se cataloga. Dentro de
la red se establecen distintos sistemas de producción estándar, que proporcionan, realmente, servicios
reales. Esto hace que sean más difíciles de detectar.
 Este proyecto tiene dos objetivos concretos:
o Adelantarse al uso real de amenazas y vulnerabilidades que se usan en Internet.
o Formar, e informar a la comunidad de profesionales de seguridad.

13. DISEÑO SEGURO DE REDES. CONCEPTO DE ALTA DISPONIBILIDAD Y DISEÑOS
REDUNDANTES
13.1 INTRODUCCIÓN
 En los entornos de red actuales un factor que hay que tener en cuenta desde el punto de vista operativo,
es el de la alta disponibilidad de las redes y como consecuencia, de los servicios que éstas ofrecen.
 En la industria hace ya tiempo que está establecida una cierta definición de “alta disponibilidad”.
 Cuando se habla de alta disponibilidad se habla de los tres nueves (99,999 % del tiempo del año
funcionando correctamente), lo que quiere decir un tiempo de caída permitido de 5 minutos al año. Tan
importante es el número y poder medirlo, que existe una medida estándar del nivel de disponibilidad de
un dispositivo cualquiera, que se puede expresar como:
Siendo TMEF (Tiempo Medio Entre Fallos) y TMR (Tiempo Medio de Reparación).
 Tal nivel de disponibilidad requiere tratar de evitar una serie de posibles problemas:
o Lógicos:
 Los puntos únicos de fallo en las redes.
 Las paradas necesarias para las actualizaciones.
 Los altos tiempos de rearranque o conmutación activo/pasivo.
 Los sistemas no suficientemente probados.
o Físicos:
 Las condiciones medioambientales poco apropiadas.
 Los desastres naturales.
 Los accidentes, como incendios, derrumbamientos, etc.
o Organizativos:
 Los tiempos excesivos de reparación de hardware y de software.
 Los problemas operacionales y de procedimientos.
 En muchas organizaciones no hay ningún tipo de subsistema especial de almacenamiento de alta

disponibilidad en red. Para estas organizaciones habrá que tener en cuenta las características básicas y
clásicas, para obtener una mejor disponibilidad. Entre ellas, se pueden citar las siguientes:
o Unidades de disco redundantes.
o Sistemas Operativos tolerantes a fallos.
o Copias de seguridad de los datos.
o Plan de recuperación ante posibles desastres.
13.2 DISEÑO DE SOLUCIONES DE ALTA DISPONIBILIDAD

 Las organizaciones de sistemas y redes de muchas organizaciones se ven envueltas en un ciclo de trabajo
permanente, en el que la alta disponibilidad no es un lujo, sino una necesidad. En este ciclo se pueden
diferenciar 4 fases:
o En la primera se identifica una tecnología nueva y necesaria y se implementa.
o Una vez identificada la tecnología e implementada, aparece la necesidad de que llegue a todos los
rincones de la organización.

o La tercera fase es más compleja. Hay que aplicar servicios a esa nueva tecnología. Podría hacer falta
servicios de administración, de seguridad, de aplicaciones nuevas.
o Si se ha completado ya las tres fases anteriores, hay que poner la gente que administrará la nueva
situación.
 Una vez se ha completado el ciclo, se identifica otra tecnología nueva y se vuelve a empezar. Si se quiere
seguir siendo competitivo, el ciclo no puede parar y la red debe estar disponible permanentemente.
 Cuando se piensa en que una transacción de una organización se complete, hay muchas tecnologías
subyacentes que deben estar completamente operativas:
o Para el personal no técnico, la ejecución con éxito de la transacción es la parte que le preocupa, es la
parte del proceso de negocio.
o Para el personal técnico, las áreas importantes son el buen funcionamiento de los servidores, de las
aplicaciones y de la conectividad de red.
 Desde el punto de vista de la alta disponibilidad, para enlazar tales criterios aparentemente dispares, se
suele introducir el concepto de Administración de Niveles de Servicio.
 Para crear una red de alta disponibilidad, el administrador de red suele tener que utilizar herramientas de
prácticamente todos los niveles del modelo OSI.
13.3 LOS PROBLEMAS DE INFRAESTRUCTURA Y SOLUCIONES

 El diseño de una infraestructura de sólida del nivel físico es el primer bloque de esta construcción sin el cual,
además, no se puede pensar y ser realista a la vez, en la alta disponibilidad de los niveles superiores.
 Una de las consideraciones básicas es el mantenimiento de una tensión constante para los dispositivos
físicos que componen la red. Las formas más habituales son:
o Usar fuentes de alimentación duales, que compartan la carga.
o Usar dos tomas de alimentaciones distintas, provenientes de empresas eléctricas o líneas distintas.
o Uso de sistemas de alimentación ininterrumpida (SAI).
 Otra característica importante que hay que tener en cuenta es que ningún componente dentro de una
<<caja>>, que deba realizar una función concreta, debe depender de otros componentes dentro de la misma
<<caja>>. Esto se denomina inteligencia distribuida, cada elemento, de dentro de un sistema, es
independiente de los ostros elementos del sistema.
 Cuando se plantea un escenario de alta disponibilidad en una organización media o grande, se establece un
diseño diferente para lo que se denomina el núcleo de la red y los extremos de la red.
 En el diseño del núcleo, el centro de datos y los dispositivos de red se implementan mediante el uso de
sistemas redundantes. Además de la redundancia interna de los dispositivos se puede añadir aún más
redundancia mediante métodos como el dual-homing (sistemas con dos tarjetas de red) y los caminos
alternativos.
 Desde el punto de vista de los métodos de redundancia del hardware se pueden añadir también los
siguientes:
o Redundancia de dispositivos físicos.
o Agregación de enlaces.
 Otro aspecto de la redundancia es el de la trayectoria de los datos.

13.4 LOS PROBLEMAS EN EL NIVEL 2 DE OSI Y SUS SOLUCIONES
 Dentro de un dominio de nivel 2, el problema no es la velocidad de los broadcast, sino que haya un único
camino de datos que puedan recorrer tales mensajes.
 Para resolver este problema el protocolo más implementado, con diferencia, que utiliza caminos con bucle,
es el STP (Sapanin Tree Protocol).
 El STP permite la existencia de bucles físicos en un área de nivel 2, situación que provocaría normalmente
resultados muy desagradables.
 Desde el punto de vista de la alta disponibilidad, hay varios factores (cambios en la topología) relacionados
con el STP que hay que tener en cuenta:
o El tiempo de recuperación tras un fallo de un dispositivo y el tiempo que tarda el STP en reconverger
después de un fallo de enlace o dispositivo.
o El hecho de añadir o eliminar un equipo de la red.
o La puesta en marcha o la eliminación de un nuevo enlace en la red.
 Una red STP converge basándose en una serie de temporizadores que son ajustables pero que, en todo caso,
pueden resultar demasiado grandes en muchos casos.
 El IEEE ha puesto en marcha el grupo de desarrollo del 802.1w, denominado con propiedad el protocolo de
re-convergencia rápida, que tiene como objetivo que las redes puedan re-converger en aproximadamente
un segundo.
 Otra manera de ayudar a reducir el problema es implementando el protocolo IEEE 802.1s, conocido como el
de STP múltiples.
13.5 LOS PROBLEMAS EN EL NIVEL 3 DE OSI Y SUS SOLUCIONES

 Para poder determinar el camino óptimo entre estaciones en una red, hay toda una serie de encaminadores
que participan en este algoritmo (encaminamiento adaptativo) distribuido.
 Los dos tipos de encaminamiento adaptativo distribuido son:
o Los basados en algoritmos de vector-distancia (RIP o IGRP).
o Los basados en algoritmos de estado de enlace (OSPF o IS-IS)
 Pero, ¿qué sucede cuando falla un encaminador? Lo que sucede depende de su ubicación en la red y de qué
otros dispositivos lo estén usando.
 Para tratar de arreglar y eliminar situaciones catastróficas en topologías con un punto único de fallo, se ha
desarrollado el VRRP (Virtual Router Redundancy Protocol) basado en el [RFC 2338].
 Este protocolo utiliza dos encaminadores físicos, uno en funciones de master y el otro de backup,
configurados como un único encaminador virtual, con una única dirección IP <<virtual>> para los dos:

13.6 CONSIDERACIONES PARA EL RESTO DE LOS NIVELES OSI
 Sería muy arriesgado hacer la equivalencia entre el tiempo activo de red y el tiempo activo del servicio.
 Puede darse que los 3 niveles más bajos de OSI estén perfectamente operativos y que, a pesar de ello, las
necesidades del día a día del negocio, o de los servicios de red necesarios, no estén funcionando
correctamente.
 Para que estas situaciones no tengan lugar se suelen introducir políticas de gestión de niveles, entendiendo
la palabra política como la capacidad de red de servir distintos niveles de servicios a los varios elementos
que componen la red.
 Todo esto quiere decir que se deben emplear dispositivos de red que se capaces de reconocer distintos tipos
de tráfico, sean capaces de asignar prioridades dependiendo del tráfico y sean capaces de tomar acciones
basándose en la información de niveles superiores al nivel 3, sin dejar de tener en cuenta la de los niveles
inferiores.
13.7 CONSIDERACIONES PARA EL ALMACENAMIENTO EN RED: SAN (STORAGE AREA

NETWORKS)
 Una infraestructura de almacenamiento de alta disponibilidad es el punto clave para conseguir la completa
disponibilidad de los datos.
 Para conseguirlo se tienen en cuenta una serie de componentes:
o Tecnología de discos RAID (Redundant Array Inexpensive Disk).
o Múltiples copias de discos en un sistema cluster.
o El uso de clusters a distancia.
o Las copias de seguridad fiables en cinta.
 De entre todos ellos, la arquitectura SAN permite la creación de configuración de alta disponibilidad a nivel
de tosa la organización, que son escalables, capaces de crecer conforme lo haga la organización.
 Hay tres aspectos claves identificables como críticos para diseñar una solución de alta disponibilidad para el
subsistema de almacenamiento:
o Protección de datos:
 Memorias secundarias (caches) redundantes.
 Discos RAID:
 Existen distintos tipos de combinaciones (o niveles) referidos por un número:
o RAID 1. Copia de los mismos datos en dos o más discos.
o RAID 5. Los datos se distribuyen por un conjunto de 3 o más discos, junto
con información de paridad para la recuperación de datos.
 Replicación de datos:
o Conectividad de subsistemas:
 Interfaces redundantes.
o Redundancia hardware del subsistema:

 Redundancia de la alimentación.
 Tener discos preparados, para en caso de fallo de alguno de ellos, de manera automática, en
caliente.

13.8 CONSIDERACIONES PARA LOS DISPOSITIVOS DE SEGURIDAD
 Si la política de seguridad de la organización obliga a que todo el tráfico que proviene del exterior pase por
un cortafuegos y éste es un dispositivo físico único, en el momento en que el cortafuego deje de funcionar,
la red quedará aislada del resto del mundo:
 Así pues es cada vez más normal plantearse topologías, como la de la siguiente figura:
 Habitualmente ambos cortafuegos deben ser del mismo modelo, tener la misma memoria e instalada
idéntica versión de sistema operativo. Además estas situaciones son especiales de los cortafuegos
denominados stateful inspection.
 Al fallar el firewall primario (activo), el secundario (pasivo) pasa a convertirse en el activo y el primario se
queda como reserva.
 Desde el punto de vista de la ubicación física de los dispositivos, se suele hablar de dos tipos de procesos de
redundancia:
o El proceso estándar. Basado en que ambos firewall están conectados entre sí mediante un cable
especial, de longitud corta, propietario, llamado cable de recuperación.

o El proceso basado en LAN.
 Además se habla de dos tipos de proceso de recuperación con respecto a la capacidad de recuperación:
o Proceso de recuperación normal. Las conexiones que hubiera se pierden, debiendo las aplicaciones
volver a conectarse, para restablecer las comunicaciones a través del cortafuegos.
o Proceso de recuperación completa.

Información
Práctica 2
Curso 2019-2020
Seguridad
Controles de seguridad: Firewall

Curso 2019-2020
Versión 1.0
Tabla de contenido
1 Objetivos de la Práctica ......................................................................................................... 2
2 Evaluación ............................................................................................................................. 2
3 Desarrollo de la práctica ....................................................................................................... 2
3.1 Contexto de la práctica ................................................................................................. 3
3.2 Problemas con el controlador de la planta ................................................................... 5
3.3 Nos llama el administrador ........................................................................................... 5
3.4 Los departamentos externos ........................................................................................ 6
3.5 Diseño de una política concreta .................................................................................... 7
3.6 Apartado Extra: IDS Snort.............................................................................................. 8
4 Anexo I: funcionamiento de UFW ......................................................................................... 9
5 Anexo II: tcpflow ................................................................................................................. 14
6 Bibliografía .......................................................................................................................... 15
CURSO 2019-2020 1
Seguridad
1 Objetivos de la Práctica
Los objetivos de esta práctica son los siguientes:
• Gestionar incidentes.
• Diseñar una política de acceso para un firewall dado un supuesto práctico.
• Implementar la política de acceso diseñada.
• Comprobar que la implementación de la política diseñada cumple con los requisitos
del supuesto práctico.
2 Evaluación
El equipo docente evaluará:
• El estudiante ha ejecutado el entorno de prácticas y ha realizado los supuestos

detallados en esta guía. La práctica estará disponible desde el 3 de Febrero hasta el
10 de Mayo de 2020.
• Tras el análisis el estudiante debe entregar una breve memoria de la actividad donde
conste:
• Su nombre, apellidos, correo electrónico de contacto y DNI.
• La respuesta a todas las preguntas propuestas a lo largo del desarrollo de la
práctica, así como cualquier justificación que deba desarrollar, agrupadas en
secciones. Deberá existir una sección para cada apartado de la práctica.
• Conclusiones del ejercicio, donde puede hacer constar sus reflexiones respecto
al supuesto, así como cualquier otro comentario que quieran hacer llegar al
equipo docente.
• Esta memoria no debe superar las 6 caras (páginas en un editor de textos).
• Este documento debe subirse a la plataforma de aprendizaje del curso antes del 10 de
Mayo de 2020.
• Para que el estudiante opte al 10 es necesario realizar el apartado extra 3.6 dedicado
a IDSs. En caso de realizarlo será posible agregar dos caras más a la memoria de la
práctica.
3 Desarrollo de la práctica
Los firewalls son los primeros controles de seguridad que desplegamos en cualquier entorno.
Un componente crítico en la planificación e implementación de un firewall es especificar una
política de acceso adecuada. En pocas palabras, la política de acceso a la red especifica qué
tipos de tráfico pueden pasar a través del firewall. Los tipos de tráfico suelen estar definidos
por los rangos de direcciones, es decir, cuáles son sus máquinas, los protocolos, las
aplicaciones y los contenidos.
Antes que nada, lea atentamente el documento “PEC2_Puesta en marcha del entorno de
prácticas.pdf” que explica los pasos para poner en marcha el entorno de prácticas.
CURSO 2019-2020 2
Seguridad
3.1 Contexto de la práctica
Acabamos de ser contratados por Panoramix Pharma como técnico de seguridad de su planta
de producción de pociones mágicas. Últimamente ha habido muchos problemas de producción
y esperar solventarlos con nuestra contratación. La planta de producción se compone de tres
elementos:
• Entrada, desde la que llegan los Entrada Cocina Embotelladora

ingredientes de la pócima secreta a la
cadena de elaboración.
• Cocina, donde se prepara la receta de la
pócima invencible.
• Embotelladora, donde se embotella la
Controladora
pócima una vez preparada para su
distribución.
Cada uno de estos elementos dispone de un controlador. Y se ha creado un sistema de

supervisión sobre este controlador cuya interfaz es una serie de servicios RESTful. Los servicios
RESTful disponibles son:
Unidad URL Método Descripción
http://panoramix:5000/status/ GET Estado de la entrada
http://panoramix:5000/activate/<valor> GET Si valor vale 0 apaga la unidad, si vale 1 la
enciende
http://panoramix:5000/set/ingrediente1/< GET Establece los valores de entrada del
Entrada valor> ingrediente 1
valor> ingrediente 2
valor> ingrediente 3
http://panoramix:5001/status/ GET Estado de la cocina
enciende
Cocina http://panoramix:5001/set/temperatura/< GET Establece los valores de la temperatura
valor> de la cocina
http://panoramix:5001/set/tiempo/<valor GET Establece los valores tiempo que la
> mezcla pasa en la cocina
http://panoramix:5002/status/ GET Estado de la embotelladora
enciende
Embotella
http://panoramix:5002/set/volumen/<valo GET Establece los valores de la cantidad de
dora
r> pócima por botella
http://panoramix:5002/set/presión/<valor GET Establece los valores de presión que se
> ejerce al cerrar la botella
El desarrollo de esta arquitectura ha sido algo paulatino, mediante parches que han ido
modificando la planta según las necesidades del momento. Por ello es fundamental
monitorizar correctamente el funcionamiento de la planta.
Podemos ver el estado de la planta usando los servicios de estado de cada planta. Para ello
vemos la dirección IP de nuestra máquina virtual en el panel de configuración de EC2,
seleccionándola y viendo el parámetro IPv4 Public IP. Por ejemplo en esta captura es:
52.91.199.207.
CURSO 2019-2020 3
Seguridad
Para ver los estados usamos las URLS:
• http://52.91.199.207:5000/status/
• http://52.91.199.207:5001/status/
• http://52.91.199.207:5002/status/
El aspecto de la salida es el siguiente:
Tanto la planta como el administrador están conectados a la red interna (inner) de la fábrica.
Sin embargo, es necesario que la planta se conecte a otra red, la red externa (outer) ya que
hay varios departamentos de la sede central que deben consultar la producción para su
funcionamiento.
De forma que en esta actividad partimos de la siguiente configuración de red:
Corduba
Lucus Augusta
Plant_outer Panoramix Asterix

Plant_inner
20.10.50.0/24 20.10.50.9 192.168.12.36
192.168.12.0/24
Emerita Augusta
192.168.12.42
Cartago Nova
CURSO 2019-2020 4
Seguridad
3.2 Problemas con el controlador de la planta

Empezamos en tu primer contacto con la empresa y te llama el administrador Asterix. Te dice
que algo raro está sucediendo con la planta.
Inicia el entorno de prácticas. Una vez iniciado y tras comprobar que todos sus componentes,
abre los enlaces para comprobar el estado de cada unidad:
• http://<IP_instancia>:5000/status/
La planta está parada así que todos los atributos deben ser 0.
Comprueba la actividad durante unos minutos para determinar si es cierto lo que nos han
comunicado actualizando los estados cada poco.
… bien parece que ocurre hay algo….
Intenta conectarte a la planta (contenedor Panoramix, mira el documento de puesta de

marcha del entorno de prácticas si tienes dudas) y a averiguar si está instalado y en
funcionamiento algún servicio de seguridad.
Pregunta A: ¿Hay algún servicio relacionado con la seguridad instalado? Indica en la

memoria como lo has averiguado.
Llamas al administrador Asterix y le comunicas tus hallazgos. Te dice que no permitas ninguna
petición a la planta, que lo cortes todo inmediatamente.
Vuelves a conectarte a la planta (contenedor Panoramix) y estableces una política que impida
cualquier petición a la planta mediante el firewall UFW (mira el Anexo I).
Pregunta B: ¿Qué comandos has utilizado? Adjunta una captura de pantalla (imagen) de las
reglas del firewall al terminar.
Pregunta C: ¿Crees que la solución aplicada es la más correcta?
3.3 Nos llama el administrador

Al cabo de 5 minutos nos llama el administrador Asterix, su equipo no puede conectarse con la
planta para administrarla. Debes hacer algo.
Volvemos a llamar a los servicios de las plantas y vemos la salida.
Pregunta D ¿Es posible conectar con los servicios de la planta?
Nos conectamos al equipo del administrador (contenedor asterix). Usaremos herramienta curl
que nos ayudará a lanzar peticiones HTTP al equipo de la planta. El uso del comando curl es
sencillo: curl <URL>, donde URL es la dirección del servicio que queremos comprobar.
Desde el administrador Asterix ten en cuenta que te encuentras en la red interna así que
puedes usar el nombre panoramix para comprobar los servicios.
Pregunta D ¿Cuál sería la consulta (comando) del estado de la entrada de la planta? ¿Cuál es
la causa de qué falle?
CURSO 2019-2020 5
Seguridad
Cerramos la sesión en el equipo del administrador y volvemos a conectarnos al equipo de la
planta.
Pregunta E. Rediseña la política de seguridad de manera que el administrador pueda

conectarse a la planta y administrarla. Justifica esta política e implántala en la Planta. Tras su
implantación comprueba que el administrador puede conectarse a la planta. Comprueba
además en la página web que no aparecen comportamientos extraños.
Comunicamos al administrador Asterix que todo está solventado.
3.4 Los departamentos externos

Al día siguiente nos llaman de varios puntos (Merida, Lugo, Cordoba,…). Existe una red VPN,
llamada Externa (Outer), mediante la cual diversos departamentos se conectan a la planta
para consultar su estado y predecir ventas, espacio necesario en almacenamiento, determinar
controles de calidad,… Pero desde ayer no pueden contactar con la planta. Debemos resolver
esta incidencia lo antes posible para no paralizar la empresa.
Los equipos conectados a la red exterior deben realizar peticiones sólo del estado de los
componentes (GET /status/).
Pregunta F. Conéctate al contenedor de la planta. Modifica la política de la planta para que

los equipos en la red externa puedan realizar peticiones a la planta (puede tardar un rato).
Adjunta una captura de pantalla del listado de reglas del firewall en este momento.
Tras modificar la política, controla los servicios de la planta. Parece que no vuelven los
comportamientos extraños… Es posible que no podamos ver esos comportamientos extraños
porque la dirección IP de nuestro equipo esté bloqueada.
Si sigues sin ver estos comportamientos, conéctate al equipo del administrador y usa curl
varias veces para comprobar el estado de los componentes con las siguientes URLS:
http://panoramix:5000/status/
En este caso si veremos que hay una configuración errónea. Tenemos que determinar cuál es
el origen de estos problemas. Intenta visualizar los logs de la planta.
Pregunta G. ¿Te ofrecen alguna información sobre las peticiones a los distintos
componentes?¿Crees que esto tiene un impacto en la seguridad?
Vamos a utilizar otra aproximación. Conéctate al contenedor de la planta. Instala tcpflow (ver
anexo II para más información) y úsalo para determinar qué equipos están lanzando ordenes
en lugar de solo consultar el estado de la planta. Prueba los tres puertos que usa la planta y
ten en cuenta que puede tardar unos minutos en comenzar a funcionar.
Pregunta H. ¿Cuáles son las IPs de los equipos que están lanzando ordenes en lugar de sólo
consultas al estado? Justifica tu respuesta.
Modifica la política de la planta bloqueando las peticiones de esos equipos, aunque

permitiendo la conexión del resto de equipos de la red.
CURSO 2019-2020 6
Seguridad
Comprueba usando los servicios de estado de la planta que dejan de aparecen parámetros
extraños.
Comprueba además que los equipos no clasificados como maliciosos pueden realizar
peticiones a la planta (puedes usar el comando curl).
Pregunta I. ¿Cuál es la política actual de la planta? Adjunta una captura de pantalla del
listado de reglas del firewall.
Llamamos a los administradores de las sedes que han presentado comportamiento malicioso.
Les informamos del incidente y que mientras no resuelvan el problema se va a bloquear el
acceso a sus terminales.
Pregunta J. Según tu opinión qué es más efectivo desde el punto de vista de gestionar un
firewall y garantizar la seguridad: ¿bloquear por defecto la red e ir habilitando uno a uno los
equipos permitidos, o bien permitir todos los equipos de la red y bloquear aquellos no
autorizados?
3.5 Diseño de una política concreta

Tras las tres incidencias anteriores te planteas que es mejor diseñar una política de acceso
teniendo en cuenta los requisitos expresados por todos los interesados en la planta. Y
reflejarla en alguna documentación que puedas consultar.
Así mismo cualquier cambio en la misma deberá ser aprobado por el gestor de infraestructuras
antes de realizarse, evitando que los cambios que afecten a terceros.
Para ello:
Pregunta K: Rellena el siguiente cuadro que refleja una política de acceso basada en los
requisitos anteriores utilizando un firewall para la planta. Inclúyelo en tu memoria.
Deberíamos rellenar la siguiente tabla añadiendo tantas filas como sea necesario e indicando
la acción a realizar para cada caso, (ya se ha incluido las dos filas de la política por defecto):
Regla Tipo de flujo IP Origen IP Destino Protocolo Puerto Acción

(entrada/salida) destino
1 entrada cualquier cualquier TCP/UDP cualquier Bloquear
2 salida cualquier cualquier TCP/UDP cualquier Bloquear
Pregunta L. Si falta alguna regla que no hayas incluido en el firewall UFW tras el diseño de
política de acceso anterior, impleméntala en el entorno de prácticas y adjunta una captura
de listado de reglas del firewall.
CURSO 2019-2020 7
Seguridad
Pregunta M: ¿Podríamos filtrar las peticiones HTTP (/status/, /actívate/1,…) desde la red
externa en base a la función pedida y no en base a direcciones IPs y puertos? En caso
afirmativo incluye las reglas que lo permitirían, en caso negativo indica con que herramienta
de seguridad lo lograríamos.
3.6 Apartado Extra: IDS Snort

Este apartado es opcional. No es necesario para la realización de la práctica. Su realización
permitirá al estudiante a optar al 10.
Tras evaluar la seguridad de nuestro sistema y convencer al administrador se decide instalar

un IDS para ayudar al filtrado de las peticiones HTTP desde las sedes que no son de consulta de
la planta (http://<IP> :5000/status/, http://<IP>:5001/status/ y http://<IP>:5002/status/).
Para ello conéctate a Panoramix e instalar el IDS Snort. Puedes hacerlo mediante los
comandos:
apt update
apt install snort
Durante la instalación se te pedirá que especifiques la red que Snort llama HOME_NET. Esta
red es la que se considera la red interna donde está el equipo. Define cuál crees que es la red
interna y termina de instalar Snort. Incluye tu respuesta en la memoria.
En este caso queremos filtrar las peticiones provenientes de la red externa que no sean
consultas de estado. Para ello, debes crear un documento de reglas que en caso de que se
detecten peticiones distintas a las del estado provenientes de la red externa se bloqueen.
Incluye el listado de estas reglas en la memoria.
Pon en marcha Snort con las opciones adecuadas y adjunta una captura de pantalla a tu
memoria.
Modifica las reglas de UFW para permitir que la/las sede/s que has detectado como atacantes
puedan lanzar peticiones y comprueba el efecto del IDS.
Toda la documentación sobre el funcionamiento de Snort lo tienes en el plan de trabajo de la

asignatura.
CURSO 2019-2020 8
Seguridad
4 Anexo I: funcionamiento de UFW

UFW, Uncomplicated Firewall, es una interfaz de línea de comando que consiste en un
pequeño número de órdenes simples que nos permite configurar las iptables de nuestro
firewall.
Puesta en marcha y primeros pasos
Una vez dentro de la consola del equipo que queremos; o primero debemos comprobar que se
encuentra instalado o instalarlo en su defecto con la orden apt-get install ufw:
Para habilitar el firewall usaremos la orden ufw enable:
De forma similar podemos detenerlo en cualquier momento con la orden ufw disable.
Una vez arrancado podemos consultar el estado de configuración del firewall con la orden ufw
status verbose:
En este caso nos indica que está activo, nos indica que el registro está activado, aunque a bajo
nivel y nos indica las políticas por defecto:
• Para los mensajes entrantes (incoming) a la máquina se aplica la orden denegar.

• Para los mensajes salientes (outgoing) se permite todo.
• Y no se han configurado reglas de enrutado por lo tanto esta característica está
deshabilitada.
A priori parece que bloquear todas las peticiones entrantes a nuestra máquina es algo muy
restrictivo. Sin embargo, ya por defecto existen excepciones que se omiten en este resumen y
que podemos ver mediante la orden ufw show raw. En este caso nos devuelve las reglas de
IPTables aplicadas.
Por último, para obtener un listado de las reglas aplicadas basta con hacer ufw status:
CURSO 2019-2020 9
Seguridad
En este primer ejemplo no tenemos ninguna regla.
Reglas para las políticas
Podemos marcar las políticas por defecto mediante la orden ufw default [allow|deny]
[incoming|outgoing] donde acción es la acción a aplicar:
• Deny para bloquear todos los paquetes por defecto si no existe una regla individual
que modifique este comportamiento.
• Allow para permitir todos los paquetes por defecto si no existe una regla individual
que modifique este comportamiento.
Y con respecto a los flujos:
• Incoming para todos los paquetes cuya dirección IP destino sea la máquina sobre la
que configuramos el firewall.
• Outgoing para todos los paquetes cuya dirección IP origen sea la máquina sobre la
que configuramos el firewall.
Por ejemplo:
Podemos permitir o denegar servicios directamente mediante el nombre del servicio. Y luego
aplicar la regla de permitir (allow) o bloquear (deny) mediante ufw [allow|deny]
<nombre de servicio>.
Por ejemplo, si queremos bloquear las conexiones mediante telnet usaremos la regla: ufw
deny telnet. Si queremos permitir conexiones mediante ssh usaremos la regla: ufw allow
ssh.
CURSO 2019-2020 10
Seguridad
Otro caso es que queramos bloquear o permitir rangos de puertos concretos con protocolos,
en ese caso usaríamos la sintaxis: sudo ufw [allow|deny]
<port>[:<port>]/<optional: protocol>.
Por ejemplo, si queremos bloquear los puertos desde 1000 al 2000 en TCP usaremos la regla:
ufw deny 1000:2000/tcp. Si queremos permitir la conexión en el puerto 53 tanto con TCP
como UDP usaríamos las reglas ufw allow 53/tcp y ufw allow 53/udp.
Por último, también podemos bloquear direcciones IP concretas mediante la sintaxis sudo
ufw from <IP origen>[/<red>] [ to <IP destino>|any] [port <puerto>]
[proto <protocolo>]
Por ejemplo, para permitir conectarnos con otros equipos en nuestra red local usaríamos la
regla ufw allow 192.168.1.0/24. Si, además, existe un equipo 192.168.2.4 que es de
administración y tenemos que permitirle conectarse a los equipos por el puerto 5500
añadimos la regla: ufw allow from 192.168.2.4 to any port 5500.
Además, nos han informado de que existe un equipo spammer en la IP 207.46.232.100 y

debemos bloquearlo. Con lo cual usamos la regla: ufw deny from 207.46.232.100.
CURSO 2019-2020 11
Seguridad
Modificar las reglas
Podemos ver las reglas numeradas mediante la orden ufw status numbered:
Recordar que el orden de las reglas es importante, ya que marca el orden en que se van a
aplicar a los paquetes. Por eso es fundamental que las reglas más específicas se coloquen al
principio y las más generales al final.
Podemos forzar que una regla se inserte en un punto determinado de la lista usando la opción
insert <número> en su definición. Por ejemplo: ufw insert 1 allow http.
CURSO 2019-2020 12
Seguridad
Por otra parte, podemos borrar las reglas de la lista, mediante la orden ufw delete
<número>, donde número es el número de regla en el listado. Por ejemplo, podemos borrar la
regla 1 de la lista anterior: ufw delete 1.
CURSO 2019-2020 13
Seguridad
5 Anexo II: tcpflow

Primero, a partir de la versión 16 de Ubuntu el comando ifconfig ha dejado de usarse
como estándar. En su lugar se usa el comando ip. Para averiguar las interfaces de rede y su
dirección IP asociada usaremos en comando ip addr:
La librería tcpflow está pensada para analizar conversaciones TCP, especialmente aquellas
orientados a protocolos como HTTP. Permite realizar la captura automática de estas
conversaciones y almacenarlas en ficheros individuales o bien ver mediante la consola e
Primero debemos instalarlo en la máquina en cuestión con la orden apt-get install

tcpflow:
La sintaxis global de este programa es la siguiente:
tcpflow [-chpsv] [-b max_bytes] [-d debug_level] [-f max_fds] [-i iface] [-r file] [expresión]
• b: número de máximo de octetos por flujo para guardar

• c: solo imprime en consola (no crea archivos)
• C: solo imprime en consola, pero sin la visualización de cabecera fuente / destino
• d: nivel de depuración; predeterminado es 1
• f: número máximo de descriptores de archivo a utilizar
• h: mostrar la ayuda
CURSO 2019-2020 14
Seguridad
• i: interfaz de red sobre la que escuchar (usar la orden"ifconfig" para obtener una lista
de las interfaces)
• p: no utilizar el modo promiscuo
• r: leer los paquetes de archivo de salida de tcpdump
• s: quitar caracteres no imprimibles (cambiar a '.')
• v: operación detallada equivalente a -d 10
Por ejemplo, supongamos que queremos ver el tráfico existente en la interfaz de la red interna
en el puerto 5000, la orden sería la siguiente tcpflow -cp -i eth0 tcp port 5000:
Como vemos en la salida, tcpflow nos devuelve todos los paquetes organizados en mensajes
HTTP. Aquí podemos ver como el equipo con IP 192.168.12.42 envía una petición GET /status/
desde la web (Referer: http://localhost/dashboard.html) a la planta. Y vemos como la planta le
contesta con una estructura JSON, indicando el valor de los campos de ingredientes y el estado
de la entrada (1, luego activo).
Para finalizar la captura basta con usar CTRL+c.
6 Bibliografía
• UFW: https://help.ubuntu.com/community/UFW
• Curl: https://curl.haxx.se/
• Ip: http://manpages.ubuntu.com/manpages/trusty/man8/ip.8.html
• Tcpflow: https://linux.die.net/man/1/tcpflow
CURSO 2019-2020 15
Información
EXAMENES 2014-2019

Apuntes Seguridad

Cargado por

Copyright:

Formatos disponibles

Apuntes Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Apuntes Seguridad

Cargado por

Copyright:

Formatos disponibles

Seguridad en las Comunicaciones y en la

Escuela Técnica Superior de

1.2 LAS PREGUNTAS QUE DEBEN HACERSE PARA DEFINIR EL PROBLEMA

1 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

D. ¿Cuánto dinero se puede emplear en implantar y mantener el sistema de seguridad?

2 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

3 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

2.2 Los sistemas de cableado inalámbrico

1 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

2.3 REPETIDORES, HUBS Y CONMUTADORES (O SWITCHES)

 Los Hubs (o concentradores):

o Permiten el establecimiento de las redes de área local virtuales (VLANs).

2 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

2.4 ENCAMINADORES (Routers)

3 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

 Un encaminador es susceptible de sufrir distintos tipos de ataques:

2.5 LOS SERVIDORES Y OTRAS MÁQUINAS

4 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

5 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

3.2 LOS SISTEMAS OPERATIVOS DE ESTACIONES Y SERVIDORES

1 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

3.3 LOS PROTOCOLOS Y APLICACIONES IP

2 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

o Mensajes generados por una aplicación que tenga transporte UDP:

o Mensajes generados por protocolos de nivel de red, como ICMP o IGRP.

 Conviene tener en cuenta, unas serie de datos generales:

3 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

 Tales protocolos son:

3.5 CRITERIOS DE EVALUACIÓN DE SEGURIDAD

4 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

 Los conceptos clave de los Criterios Comunes son:

5 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

4.2 TAXONOMÍA DE LOS TIPOS DE ATAQUES

o De la complejidad del ataque:

o De la personalidad del atacante. Su formación, experiencia y capacidad de comunicación pueden ser

o Del objetivo perseguido:

1 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

o Técnicas informáticasde obtención de información (informationgathering):

2 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

 Algunos de los crackers más típicos son:

 Hay dos aspectos a remarcar:

o Acceso basado en relaciones de confianza mal administradas:

 Si se cambia el entorno y se piensa en el entorno Windows de compartición de directorios,

o Obtención de información por mala configuración de protocolos mal autenticados:

4 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

o Mala administración de programas anti-virus, lo que permite la entrada de antivirus informáticos y

o Mala administración de sistemas de detección de vulnerabilidades, lo que hace más sencilla la

4.5 ATAQUES ORIENTADOS A LA OBTENCIÓN NO AUTORIZADA DE INFORMACIÓN

5 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

o Efecto autoplay, es ese conjunto de situaciones con la característica de poder arrancar

 Debidos a la implementación de protocolos y aplicaciones:

6 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

4.6 ATAQUES DE TIPO DENEGACIÓN DE SERVICIO (DoS)

o Basados en malas implementaciones de aplicaciones:

o Basados en SYS floods:

7 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

8 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

9 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

5.2 CONTROLES DE ACCESO FÍSICO A SISTEMAS

5.3 CONTROL DE ACCESO LÓGICO A SISTEMAS