edes y Telecomunicaciones - Seguridad en Redes

Trabajo Dirigido N 2

Seguridad en Redes LAN

1. Cmo est compuesta una trama Ethernet? Explicar cada campo.

Una trama Ethernet est compuesta por los siguientes campos:

Prembulo
Delimitador de inicio de trama (SFD Start Frame Delimiter)
Direccin de destino
Direccin de origen
Longitud/Tipo
Encabezado y datos 802.2
Secuencia de verificacin de trama

Trama Ethernet


Campos Prembulo y Delimitador de inicio de trama

Los campos Prembulo (7 bytes) y Delimitador de inicio de trama (SFD) (1 byte)
se utilizan para la sincronizacin entre los dispositivos de envo y de recepcin.
Estos ocho primeros bytes de la trama se utilizan para captar la atencin de los
nodos receptores. Bsicamente, los primeros bytes le indican al receptor que se
prepare para recibir una trama nueva.

Campo Direccin MAC de destino

El campo Direccin MAC de destino (6 bytes) es el identificador del receptor
deseado. Como recordar, la Capa 2 utiliza esta direccin para ayudar a los
dispositivos a determinar si la trama viene dirigida a ellos. La direccin de la trama
se compara con la direccin MAC del dispositivo. Si coinciden, el dispositivo
acepta la trama.

Campo Direccin MAC de origen

El campo Direccin MAC de origen (6 bytes) identifica la NIC o interfaz que origina
la trama. Los switches tambin utilizan esta direccin para ampliar sus tablas de
bsqueda.

Campo Longitud/Tipo

El campo Longitud/Tipo (2 bytes) define la longitud exacta del campo Datos de la
trama. Esto se utiliza posteriormente como parte de la FCS para garantizar que el
mensaje se reciba adecuadamente. En este campo debe ingresarse una longitud o
un tipo. Sin embargo, slo uno u otro podr utilizarse en una determinada
implementacin. Si el objetivo del campo es designar un tipo, el campo Tipo
describe qu protocolo se implementa.

El campo denominado Longitud/Tipo slo apareca como Longitud en las
versiones anteriores del IEEE y slo como Tipo en la versin DIX. Estos dos usos
del campo se combinaron oficialmente en una versin posterior del IEEE, ya que
ambos usos eran comunes. El campo Tipo de la Ethernet II se incorpor a la
actual definicin de trama del 802.3. La Ethernet II es el formato de trama de
Ethernet que se utiliza en redes TCP/IP. Cuando un nodo recibe una trama, debe
analizar el campo Longitud/Tipo para determinar qu protocolo de capa superior
est presente. Si el valor de los dos octetos es equivalente a 0x0600 hexadecimal
o 1536 decimal o mayor que stos, los contenidos del campo Datos se codifican
segn el protocolo indicado.

Campos Datos y Relleno

Los campos Datos y Relleno (de 46 a 1500 bytes) contienen los datos
encapsulados de una capa superior, que es una PDU de Capa 3 genrica o, con
mayor frecuencia, un paquete IPv4. Todas las tramas deben tener al menos 64
bytes de longitud. Si se encapsula un paquete pequeo, el Pad se utiliza para
aumentar el tamao de la trama hasta alcanzar este tamao mnimo.

Campo Secuencia de verificacin de trama

El campo Secuencia de verificacin de trama (FCS) (4 bytes) se utiliza para
detectar errores en la trama. Utiliza una comprobacin cclica de redundancia
(CRC- Cyclical Redundancy Control). El dispositivo emisor incluye los
resultados de una CRC en el campo FCS de la trama.

El dispositivo receptor recibe la trama y genera una CRC para detectar errores. Si
los clculos coinciden, significa que no se produjo ningn error. Los clculos que
no coinciden indican que los datos cambiaron y, por consiguiente, se descarta la
trama. Un cambio en los datos podra ser resultado de una interrupcin de las
seales elctricas que representan los bits.

2. Cmo est compuesto una direccin MAC? Explique cada campo.

Direccin MAC: (media access control; "control de acceso al medio") es un
identificador de 48 bits (3 bloques hexadecimales) que corresponde de forma
nica a una tarjeta o dispositivo de red. Se conoce tambin como direccin fsica,
y es nica para cada dispositivo. Las direcciones MAC son nicas a nivel mundial,
puesto que son escritas directamente, en forma binaria, en el hardware en su
momento de fabricacin.


ESTRUCTURA DE UNA DIRECCION MAC


1 1 22 bits 24 bits
I/G G/L Asignado al fabricante


I/G: Individual (0) o de grupo (1)
G/L: Global (0), Local (1).
24 primero bits asignados por IEEE al fabricante de la placa de red.
Los otros son asignados en forma consecutiva por el fabricante.
No hay dos direcciones iguales en el mundo.

El valor de la direccin MAC es el resultado directo de las normas implementadas
por el IEEE para proveedores con el objetivo de garantizar direcciones nicas para
cada dispositivo Ethernet. Las normas establecidas por el IEEE obligan a los
proveedores de dispositivos Ethernet a registrarse en el IEEE. El IEEE le asigna a
cada proveedor un cdigo de 3 bytes, denominado Identificador nico
organizacional (OUI).

El IEEE obliga a los proveedores a respetar dos normas simples:
Todas las direcciones MAC asignadas a una NIC u otro dispositivo Ethernet deben
utilizar el OUI que se le asign a dicho proveedor como los 3 primeros bytes.
Se les debe asignar un valor exclusivo a todas las direcciones MAC con el mismo
OUI (Identificador exclusivo de organizacin) (cdigo del fabricante o nmero de
serie) en los ltimos 3 bytes.




3. Qu tipo de direcciones MAC existen? Explicar cada una.

Hay tres tipos de direcciones MAC:

Unicast, es nica para cada mquina dentro de la red, y la identifica
unvocamente.

Broadcast (de grupo, todos) 0xff ff ff ff ff ff, es una direccin que va solo en el
campo DA, y permite enviar un mensaje a TODAS las computadoras activas de la
red.

Multicast (de grupo), es un caso intermedio entre las anteriores. Permite definir en
forma dinmica grupos de mquinas que pueden responder a un mensaje emitido,
l numero del grupo es variable ente 2 y todas las de la red.

4. Cmo est compuesto un paquete IP? Explique cada campo







Formato de la cabecera IP (versin 4)


Versin: 4 bits. Siempre vale lo mismo (0100). Este campo describe el formato de
la cabecera utilizada.

Tamao Cabecera (IHL): 4 bits. Longitud de la cabecera, en palabras de 32 bits.
Su valor mnimo es de 5 bits (5x32 = 160 bits, 20 bytes) para una cabecera
correcta, y el mximo de 15 bits (15x32 = 480 bits, 60 bytes).
Tipo de Servicio: 8 bits. Indica una serie de parmetros sobre la calidad de
servicio deseada durante el trnsito por una red. Algunas redes ofrecen
prioridades de servicios, considerando determinado tipo de paquetes "ms
importantes" que otros (en particular estas redes solo admiten los paquetes con
prioridad alta en momentos de sobrecarga)

Longitud Total: 16 bits. Es el tamao total, en octetos, del datagrama, incluyendo
el tamao de la cabecera y el de los datos. El tamao mnimo de los datagramas
usados normalmente es de 576 octetos (64 de cabeceras y 512 de datos). Una
mquina no debera enviar datagramas menores o mayores de ese tamao a no
ser que tenga la certeza de que van a ser aceptados por la mquina destino.
En caso de fragmentacin este campo contendr el tamao del fragmento, no el
del datagrama original.

Identificador: 16 bits. Identificador nico del datagrama. Se utilizar, en caso de
que el datagrama deba ser fragmentado, para poder distinguir los fragmentos de
un datagrama de los de otro. El originador del datagrama debe asegurar un valor
nico para la pareja origen-destino y el tipo de protocolo durante el tiempo que el
datagrama pueda estar activo en la red. El valor asignado en este campo debe ir
en formato de red.

Flags: 3 bits. Actualmente utilizado slo para especificar valores relativos a la
fragmentacin de paquetes:
- bit 0: Reservado; debe ser 0
- bit 1: 0 = Divisible, 1 = No Divisible (DF)
- bit 2: 0 = ltimo Fragmento, 1 = Fragmento Intermedio (le siguen ms
fragmentos) (MF)
La indicacin de que un paquete es indivisible debe ser tenida en cuenta bajo
cualquier circunstancia. Si el paquete necesitara ser fragmentado, no se enviar.

Posicin de Fragmento: 13 bits. En paquetes fragmentados indica la posicin, en
unidades de 64 bits, que ocupa el paquete actual dentro del datagrama original. El
primer paquete de una serie de fragmentos contendr en este campo el valor 0.

Tiempo de Vida (TTL): 8 bits. Indica el mximo nmero de enrutadores que un
paquete puede atravesar. Cada vez que algn nodo procesa este paquete
disminuye su valor en 1 como mnimo, una unidad. Cuando llegue a ser 0, el
paquete ser descartado.

Protocolo: 8 bits. Indica el protocolo de las capas superiores al que debe
entregarse el paquete Vea Nmeros de protocolo IP para comprender como
interpretar este campo.

Suma de Control de Cabecera: 16 bits. Se recalcula cada vez que algn nodo
cambia alguno de sus campos (por ejemplo, el Tiempo de Vida). El mtodo de
clculo consiste en sumar en complemento a 1 cada palabra de 16 bits de la
cabecera (considerando valor 0 para el campo de suma de control de cabecera) y
hacer el complemento a 1 del valor resultante.

Direccin IP de origen: 32 bits. Ver Direcciones IP. Debe ser dada en formato de
red.

Direccin IP de destino: 32 bits. Ver Direcciones IP. Debe ser dada en formato
de red.

Opciones: Variable. Se rellena para completar mltiplos de cuatro bytes.
Actualmente hay cinco opciones definidas, aunque no todos los encaminadores
las reconocen: Seguridad, Enrutamiento estricto desde el origen, Enrutamiento
libre desde el origen,Registrar ruta y Marca de tiempo.

Relleno: Variable. Utilizado para asegurar que el tamao, en bits, de la cabecera
es un mltiplo de 32. El valor usado es el 0.

5. Defina dominio de colisin y de difusin

Dominio de colisin: Segmento de la red en el que si un dispositivo particular
enva un frame en un segmento de la red, todos los otros dispositivos de ese
mismo segmento procesan ese frame. Esto tambin significa que si dos o ms
dispositivos en ese mismo segmento transmiten un frame al mismo tiempo, se
producir una colisin.

Dominio de difusin: es una rea lgica en una red de ordenadores en la que
cualquier ordenador conectado a la red puede transmitir directamente a cualquier
otro en el dominio sin precisar ningn dispositi vo de encaminamiento, dado que
comparten la misma subred, direccin de puerta de enlace y estn en la misma
VLAN (VLAN por defecto o instalada).
De forma ms especfica es un rea de una red de pc formada por todos los
ordenadores y dispositivos de red que se pueden alcanzar enviando una trama a
la direccin de difusin de la capa de enlace de datos.
Un dominio de difusin o de broadcast funciona con la ltima ip de una subred.
6. Para qu se utilizan las VLAN?

VLAN (red de rea local virtual: es un mtodo de crear redes lgicas e
independientes dentro de una misma red fsica. Varias VLANs pueden coexistir en
un nico switch o en una nica red fsica.

Se utilizan para reducir el tamao del dominio de difusin y ayudan en la
administracin de la red separando segmentos lgicos de una LAN que no
deberan intercambiar datos usando la red local.

Una VLAN consiste en una red de pcs que se comportan como si estuviesen
conectados al mismo switch, aunque pueden estar en realidad conectados
fsicamente a diferentes segmentos de una LAN. Los administradores de red
configuran las VLANs mediante software en lugar de hardware, lo que las hace
extremadamente flexibles. Una de las mayores ventajas de las VLANs surge
cuando se traslada fsicamente algn ordenador a otra ubicacin: puede
permanecer en la misma VLAN sin necesidad de cambiar la configuracin IP de la
mquina.

7. Cmo est compuesta la cabecera 802.1q? Explique cada uno de los
campos

Esta cabecera es de 4 bytes o 32 bits de longitud, y dentro de ella est toda la
informacin requerida para la identificacin satisfactoria de las tramas a sus
correspondientes VLANs y asegurar que estas lleguen al destino correcto.



TPID (Tag Protocol Identifier): El TPID de 16 bits de longitud con un valor de
08100 es usado para identificar la trama como una trama etiquetada con IEEE
802.1Q / IEEE 802.1p.

Los siguientes tres campos son conocidos como la Tag Control Information (TCI),
y a menudo es representado como un solo campo el cual se compone de:

Prioridad: es usado para indicar la prioridad de los datos que est llevando la
trama. La priorizacin de datos permite dar una especial prioridad al tiempo de
latencia de servicios sensitivos, como la voz sobre IP (VoIP), sobre los datos
normales. Esto significa que el ancho de banda especificado es asignado para
estos servicios crticos al igual que pasar a travs del enlace sin ningn retardo.

Debido a que este campo consta de 3 bits, quiere decir que nos permite utilizar 8
diferentes prioridades para cada trama, desde el 0 al 7.

CFI (Canonical Format Indicator): tiene una tamao de 1 bit de longitud, si este
campo tiene asignado el valor 1 quiere decir que la direccin MAC est en un
formato no cannico, y si tiene asignado el valor de 0 significa lo contrario. Para
switches Ethernet este campo siempre es cero.

Este campo se usado principalmente por razones de compatibilidad entre redes
Token Ring y Ethernet. En el caso de que una trama llegue a un puerto Ethernet
con la bandera CFI a 1, entonces la trama no ser enviada a ningn puerto sin
etiqueta (enlace de acceso) como este fue recibido.

Identificador VLAN: El campo VLAN ID al igual que en ISL, es posiblemente el
campo ms importante porque permite identificar a que VLAN pertenece la trama,
permitiendo al switch receptor decidir porque puertos puede salir la trama
dependiendo de la configuracin del switch.

8. Qu es ARP? para qu sirve y como funciona en las redes IP sobre
Ethernet?

ARP (Address Resolution Protocol - Protocolo de resolucin de direcciones): es un
protocolo de la capa de enlace de datos responsable de encontrar la direccin
MAC que corresponde a una determinada direccin IP. Para ello se enva un
paquete (ARP request) a la direccin de broadcast que contiene la direccin IP por
la que se pregunta, y se espera a que ese equipo responda (ARP reply) con la
direccin IP correspondiente. Cada equipo mantiene una cach con las
direcciones traducidas para reducir el retardo y la carga (Tabla ARP). ARP permite
a la direccin de Internet ser independiente de la direccin Ethernet, pero esto slo
funciona si todos los equipos lo soportan.

9. Explique el proceso de comunicacin entre dos puestos de trabajo dentro del
mismo dominio de difusin

En un dominio de difusin cualquier host conectado a la red puede transmitir
directamente a cualquier otro en el dominio sin precisar ningn dispositivo de ruteo,
ya que comparten la misma subred, el mismo Gateway y estn en la misma VLAN.

10. Explique el proceso de comunicacin entre dos puestos de trabajo separados
por un router

Si un host desea enviar un paquete a otro que se encuentra en una red distinta, lo
primero que har ser comprobar si el host de destino aparece en su tabla de
resoluciones ARP, si no es as, realiza la correspondiente peticin ARP usando
broadcast. Como el host destino, no puede responder a la misma, el host origen
decide enviar los paquetes al router para que ste se encargue de su
direccionamiento. Los paquetes que le pasa contienen la direccin IP de destino y
la MAC del router.

Los routers poseen tablas de enrutamiento en las que almacenan informacin
sobre el mejor camino que pueden seguir los paquetes para llegar a su destino.

Cuando le llegan los paquetes, el router debe extraer de ellos la direccin de la red
a la que pertenece el host destino, para saber a qu red debe mandar los
paquetes. Para ello, realiza una operacin AND lgica entre la direccin ip destino
y la mscara de red de cada una de las redes.

11. Describir los dispositivos de capa 2 y de capa del modelo OSI.

Switch: es un dispositivo digital de lgica de interconexin de redes que opera en
la capa 2 (Enlace de datos) del modelo OSI. Su funcin es interconectar dos o
ms segmentos de red, de manera similar a los puentes (bridges), pasando datos
de un segmento a otro de acuerdo con la direccin MAC de destino de las tramas
en la red.

Los switchs se utilizan cuando se desea conectar mltiples redes, fusionndolas
en una sola. Funcionan como un filtro en la red, mejoran el rendimiento y la
seguridad de las LANs.

Poseen la capacidad de aprender y almacenar las direcciones MAC de los
dispositivos alcanzables a travs de cada uno de sus puertos. Esto permite que, a
diferencia de los hubs, la informacin dirigida a un dispositivo vaya desde el puerto
origen al puerto de destino. En el caso de conectar dos switch o un switch y un
hub, cada conmutador aprender las direcciones MAC de los dispositivos
accesibles por sus puertos, por lo tanto en el puerto de interconexin se
almacenan las MAC de los dispositivos del otro conmutador.

Puente (bridge): es un dispositivo de interconexin de redes que opera en la capa
2 (Enlace de datos) del modelo OSI. Este interconecta dos segmentos de red (o
divide una red en segmentos) haciendo el pasaje de datos de una red hacia otra,
con base en la direccin fsica de destino de cada paquete. Un bridge conecta dos
segmentos de red como una sola red usando el mismo protocolo de
establecimiento de red.

Funciona a travs de una tabla de direcciones MAC detectadas en cada segmento
a que est conectado. Cuando detecta que un nodo de uno de los segmentos est
intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra
subred. Por utilizar este mecanismo de aprendizaje automtico, los bridges no
necesitan configuracin manual.

La principal diferencia entre un bridge y un hub es que el segundo pasa cualquier
trama con cualquier destino para todos los otros nodos conectados, en cambio el
primero slo pasa las tramas pertenecientes a cada segmento.

Esta caracterstica mejora el rendimiento de las redes al disminuir el trfico intil.

Placa de red: es un dispositivo de conexin de equipos que opera en la capa 2
(Enlace de datos) del modelo OSI. Permite la comunicacin con aparatos
conectados entre s y tambin permite compartir recursos entre dos o ms equipos.
Tambin se les llama NIC (por network interface card). Hay diversos tipos de
adaptadores en funcin del tipo de cableado o arquitectura que se utilice en la red
(coaxial fino, coaxial grueso, Token Ring, etc.), pero actualmente el ms comn es
del tipo Ethernet utilizando una interfaz o conector RJ-45.

12. Describir los problemas de seguridad que presentan los dispositivos de Capa
1, 2 y 3 del modelo OSI.

Capa 1: Repetidores, Hubs y MAU.

Todos estos dispositivos son muy sencillos, y su funcin es diseminar la
informacin que reciben por una interfaz y distribuirla por las dems sin hacer
ningn tipo de filtrado, por lo tanto no es posible utilizarlos en general para
defenderse de los ataques de seguridad.

En una red donde exista un hub con una boca vacante es un punto dbil para una
falla del tipo Acceso no autorizado. Usando una pc con un programa analizador de
protocolos es posible tener acceso a toda la informacin que va y viene por la red.

Adems es posible inyectar trfico con gran cantidad de paquetes para producir
colisiones y provocar un ataque del tipo Denial of Service. En este sentido la
presencia de un hub coloca a la red en las mismas condiciones que la de una red
del tipo bus que puede ser atacada en cualquier parte del cable.

Capa 2 y 3: Bridges en general, switches nivel 2 y 3

En la actualidad solo se ven bridges inteligentes, que administran tablas de
direcciones asociadas a cada interfaz. El comportamiento de un switch es similar
al del bridge.

Como estos dispositivos recuerdan que direcciones MAC tiene los dispositivos
que estn vinculadas a una determinada interfaz entonces la informacin que pasa
entre una y otra boca es solo la que corresponde a la de un dispositivo destino, o
los paquetes de datos con direcciones del Tipo Broadcast.

En definitiva si colocara un sniffer en una boca vacante de un switch solo vera
paquetes broadcast, o los correspondientes a la direccin MAC de la propia
mquina. En este sentido un dispositivo de este tipo provee una proteccin parcial
contra el sniffing.

Decimos que parcial porque los paquetes broadcast proveen informacin valiosa
sobre lo que hay en una red, se utilizan normalmente para:

- Anunciar servicios disponibles, en redes Novell por ejemplo los
servidores de archivos anuncian sus servicios usando un protocolo
denominado SAP (Service Advertising Protocol) que enva paquetes
broadcast peridicamente.
- Solicitar informacin sobre la direccin de un servicio o mquina, tal
como el protocolo ARP (Address Resolution Protocol).

En un bridge o switch es posible producir un ataque del tipo de Denial of Service
de esta manera: Cada interfaz en un switch posee una tabla con las direcciones
MAC correspondientes a los dispositivos que estn asociados a la misma, esa
tabla generalmente tiene una capacidad finita de almacenar direcciones.

Si se corre un programa que inyecta una gran cantidad de paquetes de datos
falsos con distintas direcciones MAC Origen, cada paquete que llega al switch con
una direccin distinta produce una entrada en la tabla correspondiente a la interfaz
que la recibi. Si la cantidad de direcciones por segundo que recibe la tabla es
muy grande pronto se llena y queda imposibilitada de recibir ms direcciones, esto
incluye por supuesto a los paquetes vlidos.

A partir de ese momento el comportamiento del switch es totalmente distinto,
puede transformares en un hub, es decir enviar los paquetes de interfaz a todas
las bocas como si fueran broadcasts, o puede en algunos caso inutilizarse.

13. Qu funcin cumple un sniffer?

Un sniffer un programa de captura de las tramas de una red.

Es algo comn que, por topologa de red y necesidad material, el medio de
transmisin (cable coaxial, cable de par trenzado, fibra ptica, etc.) sea compartido
por varios dispositivos de red, lo que hace posible que una pc capture las tramas
de informacin no destinadas a l. Para conseguir esto el sniffer pone la placa de
red en un estado conocido como "modo promiscuo" en el cual en la capa de
enlace de datos no son descartadas las tramas no destinadas a la direccin MAC;
de esta manera se puede capturar (sniff, "olfatear") todo el trfico que viaja por la
red.

Los sniffer tienen diversos usos, como monitorear redes para detectar y analizar
fallos, o para realizar ingeniera inversa en protocolos de red. Tambin es habitual
su uso para fines maliciosos, como robar contraseas, interceptar correos
electrnicos, espiar conversaciones de chat, etc.

14. Explicar el funcionamiento de los dos tipos de sniffers en entornos Ethernet.

Un sniffer de Ethernet es un programa que trabaja en conjunto con la placa de red
(NIC), para absorber indiscriminadamente todo el trfico que est dentro del
umbral de audicin del sistema de escucha. Y no slo el trfico que vaya dirigido a
una placa de red, sino a la direccin de brodcast.

El sniffer tiene que conseguir que la placa entre en modo "promiscuo", en el que -
como indica la propia palabra- recibir todos los paquetes que se desplazan por la
red. Lo primero que hay que hacer es colocar el hardware de la red en modo
promiscuo; a continuacin el software puede capturar y analizar cualquier trfico
que pase por ese segmento.

15. Explicar las amenazas que se producen en las redes locales.

Existen numerosas amenazas a nivel de redes LAN
Entre los ms comunes estn
.Sniffing
Escaneo de recursos
Spoofing
- Spoofing ARP e IP
Secuestro de sesiones (Session Hijacking)
Denegacion de Servicio (DoS)
- Servicio DHCP
Estas sin contar las amenazas de la capa aplicaciones ni de sistemas
operativos.

Sniffing y escaneo de servicios
. Aunque no es un ataque en si
_ va en contra la confidencialidad (triangulo CIA)
_ Suele ser el primer paso antes de un ataque (reconocimiento)

Spoofing o suplantacion de identidad
Es una tecnica por la cual el atacante se hace pasar por otra persona
_ Falseando su direccion fisica MAC
_ Falseando su direccion logica IP

Generalmente utilizado para saltar filtros (de MAC o por IP) o en ataques
de .hombre en el medio. (men in the midle MitM
. Es un problema cuando el IP o MAC verdadero estan presentes en la misma red



16. Nombre algunas medidas generales que se pueden tomar para prevenir
ataques.

Para evitar el sniffing en el cableado de la red es necesario tener controlado el
espacio donde se instalan los hubs o switches, para evitar que se utilice una boca
libre para insertar un analizador de protocolo.
Es conveniente que los enlaces entre edificios estn protegidos, y sean en lo
posibles de fibra ptica, ms difcil de pinchar.

En cuanto a las pcs, para evitar que sean transformadas en analizadores de
protocolo, es importante que los usuarios comunes no posean el control y los
derechos de instalar programas y producir cambios en la configuracin de las
mquinas.

17. Define los ataques del tipo "men in the middle"

Un ataque man in the middle (MitM o intermediario) es un ataque en el que el
enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los
mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre
ellos ha sido violado. El atacante debe ser capaz de observar e interceptar
mensajes entre las dos vctimas.

El ataque MitM puede incluir algunos de los siguientes subataques:

- Intercepcin de la comunicacin (eavesdropping), incluyendo anlisis
del trfico y posiblemente un ataque a partir de textos planos (plaintext)
conocidos.
- Ataques a partir de textos cifrados escogidos, en funcin de lo que el
receptor haga con el mensaje descifrado.
- Ataques de sustitucin.
- Ataques de repeticin.
- Ataque por denegacin de servicio (denial of service).
-
MitM se emplea tpicamente para referirse a manipulaciones activas de los
mensajes, ms que para denotar intercepcin pasiva de la comunicacin.

18. Explicar los dos mtodos para sniffear una red con switch.

En redes con un switch, la tcnica de ARP poisoning o envenenamiento ARP es la
ms efectiva. Esta tcnica consiste, en envenenar la tabla ARP de los host
involucrados en el ataque para que stos enven a la red tramas Ethernet con
destino la MAC del atacante.

Esto significa que el switch entregar los datos de la comunicacin a dicho host.
Para evitar el refresco de la cach ARP es necesario l envi constante de arp-
reply.

19. Por qu es muy difcil detectar a los sniffers?

- Un sniffer no se diferencia demasiado de una herramienta de
monitorizacin de trfico de red utilizado por el administrador de la red.
- Dispositivos como routers y hub, suelen producir falsos positivos que hay
que tener en cuenta sobre ataques de sniffer.
- Si el sniffer ha sido diseado exclusivamente para esta tarea (generalmente
dispositivos hardware), entonces no devolver jams un paquete, no
establecer nunca una comunicacin, sino que permanecer siempre en
silencio y su deteccin remota ser, simplemente, imposible.
La deteccin de este tipo de sniffers slo puede hacerse por inspeccin
directa de los dispositivos conectados a la red.

20. Explicar los mtodos de deteccin de sniffers. Mencionar programas para
deteccin de sniffers

Los mtodos de deteccin de sniffers se basan en la bsqueda del problema que
vara segn se tenga acceso local al equipo o haya que descubrirlo de algn
equipo remoto, esta ltima es la variante ms usual aunque la ms compleja. El
objetivo es conseguir que el equipo que tiene la placa de red en modo promiscuo
se traicione a s misma, revelando que ha tenido acceso a informacin que no iba
dirigida a l. Lamentablemente es un objetivo que puede llegar a ser imposible por
su complejidad.

En el caso de que no podamos acceder y consultar el estado de las interfaces de
red, utilizaramos algn defecto en la implementacin concreta del protocolo
TCP/IP por algn programa/comando, las tcnicas de bsqueda de sniffer en este
caso se dividen en dos: las dependientes del sistema operativo y las que no lo son.
La ventaja de las tcnicas que dependen del sistema operativo es su rendimiento
cuando explora mquinas que tienen el mismo sistema operativo, la desventaja es
el gran nmero de falsos negativos que ocasiona debido a que en muchos casos
las implementaciones de la pila TCP/IP varan entre versiones del mismo sistema
operativo.

Test DNS: En este mtodo, la herramienta de deteccin en s misma est en
modo promiscuo. Creamos numerosas conexiones TCP/IP falsas en nuestro
segmento de red, esperando un sniffer humildemente escrito para atrapar esas
conexiones y resolver la direccin IP de los inexistentes host. Algunos sniffers
realizan bsquedas inversas DNS en los paquetes que capturan. Cuando se
realiza una bsqueda inversa DNS, una utilidad de deteccin de sniffers huele la
peticin de las operaciones de bsqueda para ver si el objetivo es aquel que
realiza la peticin del host inexistente.

Test del Ping: Este mtodo confa en un problema en el ncleo de la mquina
receptora. Podemos construir una peticin tipo "ICMP echo" con la direccin IP de
la mquina sospechosa de hospedar un sniffer, pero con una direccin MAC
deliberadamente errnea. Enviamos un paquete "ICMP echo" al objetivo con la
direccin IP correcta, pero con una direccin MAC de destino distinta. La mayora
de los sistemas desatendern este paquete ya que su direccin MAC es incorrecta.
Pero en algunos sistemas Linux, NetBSD y NT, puesto que el NIC est en modo
promiscuo, el sniffer analizar este paquete de la red como paquete legtimo y
responder por consiguiente. Si el blanco en cuestin responde a nuestra peticin,
sabremos que est en modo promiscuo. Un atacante avanzado puede poner al da
sus sniffers para filtrar tales paquetes para que parezca que el NIC no hubiera
estado en modo promiscuo.

Test ICMP: Ping de Latencia. En ste mtodo, hacemos ping al blanco y
anotamos el Round Trip Time (RTT, retardo de ida y vuelta o tiempo de latencia)
Creamos centenares de falsas conexiones TCP en nuestro segmento de red en un
perodo muy corto. Esperamos que el sniffer est procesando estos paquetes a
razn de que el tiempo de latencia incremente. Entonces hacemos ping otra vez, y
comparamos el RTT esta vez con el de la primera vez. Despus de una serie de
tests y medias, podemos concluir o no si un sniffer est realmente funcionando en
el objetivo o no.

Test ARP: Podemos enviar una peticin ARP a nuestro objetivo con toda la
informacin rpida excepto con una direccin hardware de destino errnea.
Una mquina que no est en modo promiscuo nunca ver este paquete, puesto
que no era destinado a ellos, por lo tanto no contestar. Si una mquina est en
modo promiscuo, la peticin ARP sera considerada y el ncleo la procesara y
contestara. Por la mquina que contesta, sabremos que la mquina est en modo
promiscuo.

Test Etherping: Enviamos un ping echo al host a testear con una IP de destino
correcta y direccin MAC falseada. Si el host responde, es que su interfaz est en
modo promiscuo, es decir, existe un sniffer a la escucha y activo.

21. Cul es el mejor mtodo para evitar el sniffing?

Para evitar el Sniffing se puede segmentar la red mediante el uso de Switches.
Mediante la segmentacin de la red el nico trfico que ser capaz de ver un
equipo ser el que tenga a ese equipo por destino, ya que el Switch se encarga de
enrutar hacia el segmento correspondiente nicamente los paquetes destinados al
equipo en cuestin.

Utilizacin de fibra ptica en las lneas de comunicacin. Aunque no es imposible
"pinchar" una fibra ptica, esto es ms difcil que en otros soportes y normalmente
se puede detectar la intervencin.

Encapsulacin de la lnea de comunicacin en una tubera con gas a presin.
De este modo al "pinchar" la tubera se produce un cambio de presin que podra
ser detectado mediante un sensor de presin.

22. Qu funcin cumplen los escaneadores de puertos?

El escaneo de puertos se emplea para designar la accin de analizar por medio de
un programa el estado de los puertos de una mquina conectada a una red.
Detecta si un puerto est abierto, cerrado, o protegido por un firewall.

Se utiliza para detectar qu servicios comunes est ofreciendo la mquina y
posibles vulnerabilidades de seguridad segn los puertos abiertos. Tambin puede
llegar a detectar el sistema operativo que est ejecutando la mquina segn los
puertos que tiene abiertos. Es usado por administradores de sistemas para
analizar posibles problemas de seguridad, pero tambin es utilizado por usuarios
malintencionados que intentan comprometer la seguridad de la mquina o la red.

23. Mencione tres software para poder hacer escaneos de puertos

- Nmap
- Sygate
- Grc

24. Clasificar y explicar las amenazas que pueden producirse en una red.

25. Qu son los ataques de spoofing? qu tipos de spoofing existen?

Es uso de tcnicas de suplantacin de identidad generalmente con usos
maliciosos o de investigacin.
Se pueden clasificar los ataques de spoofing, en funcin de la tecnologa utilizada.
Entre ellos tenemos el IP spoofing, ARP spoofing, DNS spoofing, Web spoofing o
email spoofing, aunque en general se puede englobar dentro de spoofing cualquier
tecnologa de red susceptible de sufrir suplantaciones de identidad.

IP Spoofing: Suplantacin de IP. Consiste bsicamente en sustituir la direccin IP
origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar.
Esto se consigue generalmente gracias a programas destinados a ello y puede ser
usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay
que tener en cuenta que las respuestas del host que reciba los paquetes alterados
irn dirigidas a la IP falsificada. Por ejemplo si enviamos un ping suplantado, la
respuesta ser recibida por el host al que pertenece la IP legalmente. Este tipo de
spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un
tipo de ataque de flood conocido como ataque Smurf. Para poder realizar
Suplantacin de IP en sesiones TCP, se debe tener en cuenta el comportamiento
de dicho protocolo con el envo de paquetes SYN y ACK con su SYN especfico y
teniendo en cuenta que el propietario real de la IP podra (si no se le impide de
alguna manera) cortar la conexin en cualquier momento al recibir paquetes sin
haberlos solicitado. Tambin hay que tener en cuenta que los routers actuales no
admiten el envo de paquetes con IP origen no perteneciente a una de las redes
que administra.

ARP Spoofing: Suplantacin de identidad por falsificacin de tabla ARP. Se trata
de la construccin de tramas de solicitud y respuesta ARP modificadas con el
objetivo de falsear la tabla ARP de una vctima y forzarla a que enve los paquetes
a un host atacante en lugar de hacerlo a su destino legtimo.

Los routers y hosts guardan una tabla local con la relacin IP-MAC llamada tabla
ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita
tramas ARP-REPLY indicando su MAC como destino vlido para una IP especfica,
como por ejemplo la de un router, de esta manera la informacin dirigida al router
pasara por el host atacante quien podr escanear dicha informacin y redirigirla si
as lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo
que esta tcnica slo puede ser utilizada en redes LAN o en cualquier caso en la
parte de la red que queda antes del primer router. Una manera de protegerse de
esta tcnica es mediante tablas ARP estticas (siempre que las IP de red sean
fijas), lo cual puede ser difcil en redes grandes. Otras formas de protegerse
incluyen el usar programas de deteccin de cambios de las tablas ARP y el usar la
seguridad de puerto de los switches para evitar cambios en las direcciones MAC.

DNS Spoofing: Suplantacin de identidad por nombre de dominio. Se trata del
falseamiento de una relacin "Nombre de dominio-IP" ante una consulta de
resolucin de nombre, es decir, resolver con una direccin IP falsa un cierto
nombre DNS o viceversa. Esto se consigue falseando las entradas de la relacin
Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del
servidor en concreto o por su confianza hacia servidores poco fiables. Las
entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el
cache DNS de otro servidor diferente (DNS Poisoning).

Web Spoofing: Suplantacin de una pgina web real. Enruta la conexin de una
vctima a travs de una pgina falsa hacia otras pginas WEB con el objetivo de
obtener informacin de dicha vctima (pginas web vistas, informacin de
formularios, contraseas etc.). La pgina web falsa acta a modo de proxy,
solicitando la informacin requerida por la vctima a cada servidor original y
saltndose incluso la proteccin SSL. El atacante puede modificar cualquier
informacin desde y hacia cualquier servidor que la vctima visite. La vctima
puede abrir la pgina web falsa mediante cualquier tipo de engao, incluso
abriendo un simple enlace. El web spoofing es difcilmente detectable; quiz la
mejor medida es algn plugin del navegador que muestre en todo momento la IP
del servidor visitado: si la IP nunca cambia al visitar diferentes pginas WEB
significar que probablemente estemos sufriendo este tipo de ataque. Este ataque
se realiza mediante una implantacin de cdigo el cual nos robar la informacin.
Usualmente se realizan pginas fantasmas en las cuales se inyectan estos
cdigos para poder sacar informacin de las vctimas.

Mail Spoofing: Suplantacin en correo electrnico de la direccin de correo
electrnico de otras personas o entidades. Esta tcnica es usada con frecuencia
para el envo de mensajes de correo electrnico hoax como suplemento perfecto
para el uso de suplantacin de identidad y para SPAM, es tan sencilla como el uso
de un servidor SMTP configurado para tal fin. Para protegerse se debera
comprobar la IP del remitente y la direccin del servidor SMTP utilizado.

GPS Spoofing: Un ataque de GPS spoofing intenta engaar a un receptor de
GPS transmitiendo una seal ligeramente ms poderosa que la recibida desde los
satlites del sistema GPS, estructurada para parecerse a un conjunto normal de
seales GPS. Sin embargo estas seales estn modificadas de tal forma de que
causarn que el receptor determine una posicin diferente a la real,
especficamente algn lugar determinado por la seal atacante. Debido a que el
sistema GPS trabaja midiendo el tiempo que le toma a una seal el viajar entre el
satlite y el receptor, un spooging exitoso requiere que el atacante conozca con
precisin donde se encuentra el blanco de tal forma que la seal falsa pueda ser
estructurada con el retraso apropiado.

Un ataque de GPS spoofing comienza con la transmisin de una seal
ligeramente ms poderosa que la que entrega la posicin correcta, y luego se
comienza a desviar lentamente hacia la posicin deseada por el atacante, ya que
si esto se hace demasiado rpido el receptor atacado perder la fijacin en la
seal, en cuyo momento el ataque de spoofing slo funcionara como un ataque
de perturbacin. Se ha sugerido que la captura de un Lockheed RQ-170 en el
noreste de Irn en diciembre de 2011, fue el resultado de un ataque de este tipo.1
Previamente los ataques de GPS spoofing haban sido predichos y discutidos en
la comunidad GPS, pero an no han sido confirmado un ejemplo conocido de un
ataque de spoofing malicioso.

26. Cmo funciona el protocolo DHCP?

DHCP permite asignacin de direccin IP manual y automtica.
Se basa en la idea de un servidor especial que asigna direcciones IP a hosts que
las requieren. Este servidor no necesita estar en la misma LAN que el host
solicitante. Puesto que el servidor DHCP no se puede alcanzar por difusin, se
necesita un agente de retransmisin DHCP en cada LAN. Para encontrar su
direccin IP, una mquina inicializada recientemente difunde un paquete DHCP
DISCOVER. El agente de retransmisin DHCP de su LAN intercepta todas las
difusiones DHCP. Cuando encuentra un paquete DHCP DISCOVER, enva el
paquete mediante unidifusin al servidor DHCP, posiblemente en una red distante.
La nica pieza de informacin que el agente de retransmisin necesita es la
direccin IP del servidor DHCP.

Para impedir la perdidas de direcciones IP no devueltas por desuso, la asignacin
de direccin IP puede ser por un periodo fijo, una tcnica llamada arrendamiento.
Simplemente, antes de que expire el arriendo, el host debe pedirle una renovacin
al DHCP. Si no hace una solicitud o sta se le niega, el host ya no puede usar la
direccin IP que se le dio antes.

27. Qu es el DHCP Snooping DHCP ? para qu sirve?

DHCP snooping es una serie de tcnicas que se aplican para garantizar la
seguridad de una infraestructura DHCP existente.
El snooping DHCP es una caracterstica cisco catalyst que determina que puertos
del switch pueden responder a las peticiones DHCP. Los puertos son identificados
como confiables y no confiables. Los puertos confiables pueden enviar todos los
mensajes DHCP, mientras que los puertos no confiables pueden enviar peticiones
solamente. Los puertos confiables albergan un servidor DHCP o pueden ser un
enlace a travs del servidor DHCP. Si un dispositivo malicioso o un puerto no
confiable intenta enviar una respuesta DHCP dentro de la red, el puerto es
apagado.