FUNDAMENTOS DE REDES Y SEGURIDAD

SEMANA 6

Seguridad en las redes

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni
ESTE
utilizarDOCUMENTO
los contenidos paraCONTIENE LAdeSEMANA
fines comerciales 6
ninguna clase. 1
ESTE DOCUMENTO CONTIENE LA SEMANA 6 2
ÍNDICE
OBJETIVOS ESPECÍFICOS ........................................................................................................................... 4
INTRODUCCIÓN ...................................................................................................................................... 4
1. REQUISITOS DE SEGURIDAD .............................................................................................................. 5
1.1. SEGURIDAD Y ATAQUES ...................................................................................................... 5
1.2. CLASIFICACIÓN DE ATAQUES .............................................................................................. 5
2. REDES SEGURAS.............................................................................................................................. 7
2.1. FIREWALL (CORTAFUEGOS) ................................................................................................. 7
2.1.1. POSICIONAMIENTO ..................................................................................................... 9
2.2. IDS (INTRUSION DETECTION SYSTEM) ............................................................................... 12
2.2.1. TIPOS DE IDS .............................................................................................................. 12
COMENTARIO FINAL.......................................................................................................................... 14
REFERENCIAS........................................................................................................................................ 15

ESTE DOCUMENTO CONTIENE LA SEMANA 6 3

SEGURIDAD EN LAS REDES

OBJETIVOS ESPECÍFICOS
 Aplicar los conceptos y políticas de seguridad de una red.
 Reconocer los ataques y amenazas asociadas a las redes.
 Modelar redes seguras.

INTRODUCCIÓN
Un tema muy importante al que se le debe poner especial atención al momento de configurar una
red de comunicaciones es la seguridad.

La seguridad depende principalmente del administrador, quien es el encargado de definir las

necesidades y niveles óptimos de funcionamiento de la red, por ejemplo, el administrador de red
de una escuela es el responsable de la seguridad y estabilidad de esta y es el responsable de su
funcionamiento para que los alumnos no tengan problemas en clases.

Para la seguridad de la red es posible utilizar configuraciones y dispositivos que permiten

aumentar al máximo los niveles de seguridad en la red.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 4

1. REQUISITOS DE SEGURIDAD

1.1. SEGURIDAD Y ATAQUES

Antes de describir los tipos de amenazas a la seguridad de las redes, es necesario profundizar en la
definición de los requisitos de seguridad. La seguridad, tanto para computadores como para las
redes, implica cuatro requisitos básicos:

1) Privacidad: se requiere que solo entidades autorizadas puedan tener acceso a la información.
Este tipo de acceso abarca la impresión, visualización y otras formas de revelado, incluyendo el
hecho de dar a conocer la existencia de un objeto.

2) Integridad: se precisa que los datos sean modificados solamente por las partes autorizadas. La
actualización incluye la escritura, edición, eliminación y creación de objetos.

3) Disponibilidad: se necesita que los datos estén disponibles para las partes autorizadas.

4) Autenticidad: es obligatorio que un dispositivo o servicio sea capaz de verificar la identidad de

un usuario.

1.2. CLASIFICACIÓN DE ATAQUES

ATAQUES PASIVOS

Este tipo de ataque consiste en escuchas o monitorización de las transmisiones. El objetivo del
oponente es la de obtener el mayor número de información que está siendo transmitida. La
divulgación del contenido de un mensaje y el análisis de tráfico constituyen dos tipos posibles de
ataques pasivos:

1) Divulgación del contenido de un mensaje: una conversación telefónica, un mensaje de correo

o un archivo transferido pueden contener información sensible o confidencial. Por ello, es
necesario impedir que cualquier persona averigüe el contenido de estas transmisiones.

2) Análisis de tráfico: es un tipo de ataque más sutil, en el supuesto de que se disponga de un

medio para enmascarar el contenido de los mensajes u otro tipo de tráfico de información, de
tal forma que aunque los oponentes capturasen el mensaje, no podrían extraer dicha
información del mismo. La técnica más común para enmascarar el contenido es el cifrado, pero
incluso con el cifrado es posible que el oponente pudiera observar el patrón de los mensajes y
lograr descifrarlos.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 5

Los ataques pasivos son muy difíciles de detectar, ya que no suponen la alteración de los datos. En
general, el tráfico de mensajes es enviado y recibido de forma aparentemente normal, donde ni el
emisor ni el receptor son conscientes de que un tercero ha leído los mensajes u observado el
patrón del tráfico. Sin embargo, es factible impedir el éxito de estos ataques mediante el cifrado.
De esta manera, el énfasis en la defensa contra estos ataques se centra en la prevención en lugar
de la detección.

ATAQUES ACTIVOS

Los ataques activos suponen alguna modificación del flujo de datos o la creación de flujos falsos.
Estos se pueden clasificar en cuatro categorías:

1) Enmascaramiento: tienen lugar cuando una entidad pretende ser otra diferente. Un ataque
por enmascaramiento normalmente incluye una de las otras formas de ataques activos. Por
ejemplo, se pueden capturar secuencias de autenticación y retransmitirlas después de que
tenga lugar una secuencia válida, permitiendo así obtener privilegios adicionales a otra entidad
autorizada con escasos privilegios mediante la suplantación de la entidad que los posee.

2) Retransmisión: supone la captura pasiva de unidades de datos y su retransmisión posterior

para producir un efecto no autorizado.

3) Modificación de mensajes: significa que algún fragmento del mensaje legítimo se modifica o
que el mensaje se retrasa o se reordena para producir un efecto no autorizado. Por ejemplo, un
mensaje con un significado “permitir a José leer el archivo confidencial de rentas”, se modifica
como “permitir a Pedro leer el archivo confidencial de rentas”.

4) Denegación de servicios: impide o inhibe el uso normal o gestión de servicios de comunicación.

Este ataque puede tener un objetivo específico. Por ejemplo, una entidad puede suprimir todos
los mensajes dirigidos a un destino concreto, como el servicio de cámaras de seguridad. Otro
tipo de denegación de servicios es la interrupción de un servidor o de toda una red, bien
deshabilitando el servidor o sobrecargándolo con mensajes con objeto de degradar su
rendimiento.

Los ataques activos presentan características opuestas a las de los ataques pasivos. Mientras que
un ataque pasivo es difícil de detectar, existen medidas para impedir que tengan éxito. Por otro
lado, es bastante difícil impedir ataques activos de forma absoluta, ya que para hacerlo se
requiere protección física permanente de todos los recursos y todas las rutas de comunicación. En
su lugar, el objetivo consiste en detectarlos y recuperarse de cualquier interrupción o retardo
causados por ellos.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 6

2. REDES SEGURAS

2.1. FIREWALL (CORTAFUEGOS)

El firewall o cortafuegos es un componente de red cuya principal función es bloquear los accesos
hacia la red y desde ella, utilizando un conjunto de reglas y criterios.

En toda red existe un perímetro, que consiste en una línea imaginaria que bordea cada red. Esta
línea coincide con las segmentaciones físicas y lógicas establecidas por los dispositivos de routing.

Perímetro de la red

Fuente: Katz, M. (2013) p220.

Cuando la información traspase el perímetro, se considerará que ha entrado a la “red pública”. A

pesar de que este término podría no ser del todo correcto, ya que después del perímetro de la red
privada es posible encontrar otra red privada, pero esta se considera pública al estar fuera del
rango de control de la primera red.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 7

 Redes privadas conectadas

Fuente: Katz, M. (2013) p220.

La función del firewall es regular la información que transita entre el perímetro de la red y las
redes públicas conectadas a la red. Específicamente, la tarea del firewall es revisar cada bit que
intenta ingresar o salir de la red, donde luego le aplica una lógica de comparación (configurada
previamente en las políticas de seguridad del firewall) y, de acuerdo a los resultados, permitir o
denegar el paso de dicha información hacia la red de destino.

Un firewall puede ser configurado con una de las dos siguientes premisas:

1) Restrictiva: todo lo que no está explícitamente permitido será restringido. Por ejemplo, cierta
información intenta salir desde la red a través del protocolo POP:

 El firewall revisa en su política permisiva algún permiso explícito hacia el protocolo POP
 Según la existencia de dicho permiso, puede ocurrir lo siguiente:

o Si existe permiso, el paquete es transmitido hacia la red privada.

o Si no existe permiso, el paquete es rechazado.

2) Permisiva: todo lo que no está explícitamente restringido será permitido. Por ejemplo, cierta
información intenta ingresar a la red a través del protocolo FTP

 El firewall revisa en su política permisiva alguna restricción explícita hacia el protocolo FTP
 Según la existencia de la restricción, puede ocurrir lo siguiente:

o Si existe la restricción, el paquete es rechazado.

o Si no existe la restricción, el paquete es transmitido hacia la red privada.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 8

 2.1.1. POSICIONAMIENTO

Un firewall puede estar representado por un equipo de hardware dedicado o por un software que
se ejecuta sobre un sistema operativo. Desde el punto de vista arquitectónico, se trata de un
equipo que intermedia las comunicaciones de la red a proteger.

DUAL-HOMED FIREWALL

Esta infraestructura cuenta con dos dispositivos de red. Una de ellas está conectada a la red
privada y la otra a la red pública. El análisis y filtrado de información se realiza cuando los bits
atraviesan el equipo; esta técnica es la más utilizada gracias a su efectividad. En esta situación es
imposible circunvalar el control, ya que el firewall se encuentra intermediando ambas redes.

Dual-homed firewall

Fuente: Katz, M. (2013) p222.

MULTI-HOMED FIREWALL

Esta infraestructura es similar a la anterior, con la diferencia de que da la posibilidad de

interconectar varias redes simultáneamente. El firewall cumple la misma funcionalidad y modo de
operación, pero al interconectar distintas redes es posible establecer políticas y reglas
independientes para cada red.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 9

 Multi-homed firewall

Fuente: Katz, M. (2013) p223.

DMZ (DEMILITARIZED ZONE)

Una subred semipública dentro de la red general se identifica con las iniciales DMZ. También
pueden ser llamadas como red de perímetro. El perímetro corresponde tanto a la división física
como lógica entre lo que se encuentra dentro de la red, de lo que sesta afuera.

Esta disposición estructural está diseñada para proveer una capa adicional de protección a la red
general, ya que es ahí donde deben estar los servidores que suministran servicio hacia las redes
públicas. Asimismo, la red privada permanece asegurada, ya que no es necesario permitir el
acceso a ella desde otras redes.

El firewall encargado de regular esta subred debe tener una política restrictiva, pero con reglas no
muy específicas, ya que con esta condición permitirá el tránsito desde dichos servidores hacia
ellos.

Estructura de DMZ con multi-homed firewall

Fuente: Katz, M. (2013) p224.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 10

BASTION HOST

En este caso, el firewall está ubicado en la red privada y las conexiones entrantes y salientes están
configuradas para ser automáticamente redirigidas hacia este equipo, que las filtrará según su
propio conjunto de reglas. Este equipo funciona como intermediario entre las redes privadas y
públicas, aunque no exista segmentación lógica o física entre ellas. Esta función es conocida
normalmente como proxy. Es importante destacar que, a pesar de que el bastion host se
encuentra ubicado en la red privada, tiene visibilidad directa y total desde la red pública, pasando
a ser vulnerable a los ataques.

Bastion host

Fuente: Katz, M. (2013) p227.

PROXY

Un equipo configurado como proxy (intermediario) tendrá como función el tramitar las
transacciones que le sean delegadas por los equipos, tanto en la red privada como la pública. Su
uso principal es el control del contenido de la información que ingresa y sale de la red.

El equipo toma la información de transacción y la autoriza o rechaza según su conjunto de reglas

de filtrado; donde en el caso de autorizarla, la ejecutará como propia. Al contar con un proxy,
todas las comunicaciones entrantes y salientes figuran como si hubieran sido iniciadas por dicho
equipo, ocultando la identidad de otros equipos en la red y con eso minimizando el potencial de
atraque.

Existen proxys públicos que ofrecen el mismo servicio que los privados. El usuario deberá
configurar al equipo público como su proxy y desde ese momento todas sus comunicaciones
salientes serán transmitidas a través de dicho servidor. Desde el punto de vista de la seguridad, la
diferencia es que los proxys públicos no son seguros, ya que están fuera del rango de control del
administrador. Esto podría causar robo de información, infecciones de malware, etc.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 11

 Proxy en la red

Fuente: Katz, M. (2013) p228.

2.2. IDS (INTRUSION DETECTION SYSTEM)

Los IDS son equipos que proveen un alto nivel de seguridad a la red, complementando al firewall y
trabajando en conjunto. Su función principal es la de detectar intrusiones a su área de cobertura,
mediante el análisis exhaustivo de cada paquete de información que ingresa a ella. Al detectar una
intrusión, el IDS realiza cualquier tipo de tarea preconfigurada por el administrador, ya sea
rechazar futuros paquetes de igual origen o contenido, enviar alertas al sistema, enviar correos
electrónicos o SMS al administrador, reconfigurar el firewall a un modo más preventivo, etc.

Cada ataque tiene su propio patrón, por lo que el IDS detectará este patrón a mitad del camino y
neutralizará el remanente del ataque, rechazando las conexiones que le correspondan. El IDS
utiliza una técnica llamada sniffing (olfateo), mediante la cual el equipo es capaz de recopilar toda
la información que circule dentro de su área de cobertura, ingresarla en su sistema y analizarla,
comparándola con su conjunto de reglas y políticas preestablecidas. El IDS puede utilizar la
información encontrada en las siete capas del modelo OSI para hacer sus análisis.

2.2.1. TIPOS DE IDS

NIDS (NETWORK IDS O IDS DE RED)

Los NIDS son equipos IDS que trabajan sobre los paquetes que circulan en el segmento de red al
que estén conectados, analizando todo el tránsito en él. Al igual que un firewall, puede estar

ESTE DOCUMENTO CONTIENE LA SEMANA 6 12

representando por un equipo de hardware dedicado o puede tratarse de un software
ejecutándose sobre un sistema operativo.

NIDS en la red

Fuente: Katz, M. (2013) p233.

HIDS (HOST IDS O IDS DE EQUIPO)

Los HIDS son un aplicativo de software que trabaja sobre el sistema operativo de un equipo,
entregándole protección adicional a ese equipo en particular. Al combinarse con un firewall por
software, el equipo en cuestión tendrá lo que se conoce como “protección en capas”.

Protección en capas con HIDS

Fuente: Katz, M. (2013) p233.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 13

COMENTARIO FINAL
Las amenazas a la seguridad de las redes se dividen en dos categorías: las llamadas amenazas
pasivas, que suponen el intento de un atacante que desea obtener información relativa a una
comunicación; y las amenazas activas, que suponen alguna modificación de los datos transmitidos
o la creación de transmisiones falsas.

Hasta ahora existen herramientas de software y hardware para controlar los diversos ataques a los
que las redes se ven enfrentadas. Por el lado del hardware están los firewalls, que tienen la
capacidad de filtrar la información que entra y sale de la red. Y por otra parte están la del
software, ya sea desde el punto del cifrado de la información hasta el software de monitoreo y
alertas de intrusos.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 14

REFERENCIAS
Katz, M. D. (2013). Redes y seguridad. México: Alfaomega Grupo Editor.

Stallings, W. (2008). Comunicaciones y redes de computadores. 7ª edición. Pearson.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2014). Seguridad en las redes. Fundamentos de Redes y Seguridad. Semana 6.

ESTE DOCUMENTO CONTIENE LA SEMANA 6 15

ESTE DOCUMENTO CONTIENE LA SEMANA 6 16