Escuela de Ciencias Básicas, Tecnología e Ingeniería

208060 – Seguridad de Redes de Telecomunicaciones

Unidad 3: Tarea 3 - Elegir mecanismos y servicios de seguridad

Estudiante

Jackson Arnuldo Cardenas Escobar

Código: 7336002

Grupo: 208060_2

Presentado a

Omar Albeiro Trejo

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

PROGRAMA INGENIERÍA DE TELECOMUNICACIONES

NOVIEMBRE DE 2019
 DESARROLLO DE LA ACTIVIDAD

Cada estudiante debe resolver:

1. Elaborar una tabla con las diferencias entre los protocolos de seguridad para redes
inalámbricas definidos por la IEEE.

El estándar IEEE 802.11 está definido para el diseño de redes inalámbricas para soluciones

WIFI. Existen tres estándares diferentes para las WLAN, desarrollados por la IEEE:

- IEEE802.11B: Velocidades de transferencia de datos de hasta 11 Mbps, pero por lo

general en la practica se logran velocidades entre 2 y 5Mbps dependiendo del numero de

usuarios, la distancia entre el emisor y el receptor, obstáculos e interferencia. El espectro

de frecuencia en el que trabaja 802.11 es 2.4GHz.

- IEEE802.11A: Velocidades de transmisión de datos de hasta 54 Mbps, pero

generalmente es de 22Mbps y su banda de operación es de 5GHz.

- IEEE802.11G: Velocidades de hasta 54Mbps, típicamente de 22Mbps, y su banda de

operación está en 2.4GHz, compatible con equipos 802.11b.

MÉTODOS DE
SEGURIDAD EN REDES CARACTERÍSTICAS
INALÁMBRICAS
WEP (Wired Equivalent
Privacy): Su objetivo es  Clave secreta compartida entre emisor y
proteger los datos que se receptor de 40 a 128 bits.
transmiten en una conexión  No ofrece servicio de autenticación. El cliente
inalámbrica mediante no puede autenticar a la red ni, al contrario.
cifrado  WEP usa el algoritmo de cifrado RC4 para la
confidencialidad, mientras que el CRC-32
 proporciona la integridad.

 Encriptación El keystream lo produce el

algoritmo RC4 en función de la clave (40 bits)
y el IV (24 bits). Aunque se utilice una clave
de más bits, el IV siempre será de 24 bits
 El IV se transmite sin cifrar. Para desencriptar:
mensaje cifrado XOR keystream. XOR
mensaje cifradoIV datos transmitidos mensaje
en claroCRC Clave IV keystream RC4
 Si se empleara siempre la misma clave secreta
para cifrar todas las tramas, dos tramas en claro
iguales producirían tramas cifradas similares.
Para evitar esta eventualidad, se concatena la
clave secreta con un número aleatorio llamado
vector de inicialización (IV) de 24 bits. El IV
cambia con cada trama.
 Debilidad del IV keystream.
 debido a una debilidad de RC4 cuando se
conoce parte de la clave (el IV) y sus
keystreams, se puede deducir la clave total
usada. keystream n IV n clave.
 La misma clave se almacena tanto en el punto
de acceso como en todas las estaciones.
 WEP carece de mecanismos de protección
contra paquetes falsificados o repetidos
(replay).
 El CRC se incluyó como un mecanismo de
integridad, pero se ha demostrado que no sirve.
 Alternativas WEP2 utiliza claves de 104+24
bits. No está estandarizado.
 El uso de claves mayores no resuelve los
problemas de WEP. WEP dinámico incluye
distribución de claves mediante
802.1x/EAP/RADIUS.
 Utilización de VPNs (p. ej. IPSec) para todas
las comunicaciones con hosts inalámbricos
solución segura, elegida por numerosas
empresas.
Filtrado de direcciones
MAC: Este método consiste
en la creación de una tabla  No escala bien, porque cada vez que se desee
de datos en cada uno de los autorizar o dar de baja un equipo es necesario
puntos de acceso a la red editar las tablas de direcciones de todos los
inalámbrica. Dicha tabla puntos de acceso.
contiene las direcciones
 El formato de una dirección MAC no es
MAC (Media Access
amigable lo que conlleva a cometer de
Control) de las tarjetas de
red inalámbricas que se manipulación de las listas.
pueden conectar al punto de  Las direcciones MAC viajan sin cifrar por el
acceso. Como toda tarjeta aire, lo cual es muy inseguro, pues estas pueden
de red posee una dirección ser atacadas.
MAC única, se logra
autenticar el equipo.

 Para el cifrado se implementa el protocolo TKIP

WPA (WI-FI Protected
Access): Su objetivo es su
corregir los problemas del
estándar WEP mejorando
su cifrado y ofreciendo
mecanismo de
autenticación.
(Temporary Key Integrity Protocol).
 Cambio de cave compartida entre punto de
acceso y cliente cada cierto tiempo, para evitar
ataques que permitan revelar la clave.
 Modalidad de red empresarial, para operar en
esta modalidad se requiere de la existencia de
un servido RADIUS en la red.
 Modalidad de red casera PSK, operando en
ausencia de un servidor RADIUS en la red.

2. Para el desarrollo de este punto el estudiante retoma la red TCP/IP de la Tarea-

Presaberes.

Descripción de la red: Corresponde a una empresa de seguros a nivel nacional, cuya oficina

principal se encuentra en la ciudad de Bogotá, donde el pc7 es el equipo del gerente de la

empresa, pc6 es el equipo de la asistente ejecutiva del gerente. Por otro lado, el servidor web

se encuentra en la ciudad de Medellín y corresponde al pc2, el servidor de bases de datos se

encuentra en la misma ciudad; pc3.

La empresa brinda los servicios de ventas y asesorías en seguros en las ciudades de Ibagué y

Santa Martha, por tanto, los equipos terminales de estas ciudades corresponden a equipos

para gestionar los trámites requeridos, para ellos se conectan a los servidores y a su vez al

equipo del gerente, el cual tiene una aplicación software para las autorizaciones.

Por último, los empleados de Ibagué y Santa Martha suelen sacar información de la empresa

en memorias USB o pendrives para trabajo en casa. La empresa requiere implementar

mecanismos y servicios de seguridad, así como las políticas necesarias para garantizar la

seguridad de la red empresarial.

A partir de la red anterior desarrollar los siguientes puntos:

- En base a la Recomendación ITU X.800 seleccionar los mecanismos y servicios más

adecuados, de acuerdo a la descripción del escenario de red, para reducir sus

vulnerabilidades.

Seguridad

 Confidencialidad de los datos

Estos servicios proporcionan la protección de los datos contra la revelación no autorizada.

 Control de acceso

Este servicio proporciona protección contra el uso no autorizado de recursos accesibles

mediante ISA. Este servicio de protección puede aplicarse a diversos tipos de acceso a un

recurso (por ejemplo, el uso de un recurso de comunicaciones, la lectura, la escritura, o la

supresión de un recurso de información; la ejecución de un recurso de procesamiento) o a todos

los accesos a un recurso.

 Autenticación

Estos servicios proporcionan la autenticación de una entidad par comunicante y de la fuente de

dato.

 Autenticación de entidad par

Este servicio se utiliza en el establecimiento de la fase de transferencia de datos de una

conexión, o a veces durante ésta, para confirmar la identidad de una o varias entidades

conectadas a una o varias otras entidades. Este servicio da confianza, en el momento de

utilización solamente, en que una entidad no está tratando de usurpar otra identidad o la

reproducción no autorizada de una conexión anterior.

  Confidencialidad del flujo de tráfico

Este servicio proporciona la protección de la información que pudiera derivarse de la

observación de los flujos de tráfico.

 No repudio con prueba de la entrega

Se proporciona al expedidor de los datos la prueba de la entrega de los datos. Esto lo protegerá

contra cualquier tentativa ulterior del destinatario de negar que ha recibido los datos o su

contenido.

 Integridad de los datos

Estos servicios contrarrestan las amenazas activas. El uso del servicio de autenticación de la

entidad par al comienzo de la conexión y del servicio de integridad de los datos mientras dura la

conexión puede confirmar conjuntamente la fuente de todas las unidades de datos transferidas a

la conexión, la integridad de estas unidades de datos y puede además proporcionar la detección

de duplicación de unidades de datos, por ejemplo, mediante el uso de números de secuencia.

 Integridad en modo sin conexión

Este servicio proporciona la integridad de una sola UDS en modo sin conexión y puede adoptar

la forma de una indicación que permite saber si una UDS recibida ha sido modificada. Además,

puede proporcionarse una forma limitada de detección de reproducción.

Mecanismos:

 Firma digital

La característica esencial del mecanismo de firma es que la firma sólo puede producirse

utilizando la información privada del firmante. De este modo, cuando se verifica la firma, puede

probarse subsiguientemente a una tercera parte (por ejemplo, a un juez o árbitro), en cualquier

momento, que sólo el poseedor único de la información privada pudo haber producido la firma.

 Mecanismos de control de acceso

Estos mecanismos pueden utilizar la identidad autenticada de una entidad o información, si la

entidad intenta utilizar un recurso no autorizado, o un recurso autorizado con un tipo impropio

de acceso, la función de control de acceso rechazará la tentativa y puede informar además el

incidente a los efectos de generar una alarma y/o anotarlo en el registro de auditoría de

seguridad.
  Detección de eventos

La detección de eventos relativos a la seguridad comprende la detección de violaciones

aparentes de seguridad y puede incluir también la detección de eventos «normales» tales como

el acceso logrado (o «log on»). Los eventos relativos a la seguridad pueden ser detectados por

entidades, dentro de la ISA.

 Cifrado

El cifrado puede proporcionar la confidencialidad de la información de datos o del flujo de

tráfico y puede desempeñar una función en varios otros mecanismos de seguridad o

complementarlos.

 Intercambio de autentificación

Algunas de las técnicas que pueden aplicarse a los intercambios de autenticación son:

utilización de información de autenticación, como contraseñas, suministradas por una entidad

expedidora y verificadas, por la entidad receptora; técnicas criptográficas; y uso de

características y/o propiedades de la entidad.

 Mecanismo de control de encaminamiento

Las rutas pueden elegirse dinámicamente o por acuerdo previo con el fin de utilizar sólo

subredes, relevadores o enlaces físicamente seguro

 Registro de auditoría de seguridad

Los registros de auditoría de seguridad proporcionan un mecanismo de seguridad valioso dado

que hacen posible detectar e investigar potencialmente las violaciones de seguridad permitiendo

una auditoría de seguridad posterior.

- Definir las políticas necesarias para la red, teniendo en cuenta la descripción del

contexto de red.

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los

procedimientos de seguridad que serán la guía para la realización de las actividades. La política

de seguridad comprende todas las reglas de seguridad que sigue una organización.

La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan

las reglas a través de sesiones de capacitación y de concienciación.

Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las

siguientes áreas:

 Definir qué es seguridad de la información, cuáles son sus objetivos principales y su

importancia dentro de la organización.

 Mostrar el compromiso de sus altos cargos con la misma.

 Definir la filosofía respecto al acceso a los datos.

 Establecer responsabilidades inherentes al tema.

Establecer la base para poder diseñar normas y procedimientos referidos a:

 Organización de la seguridad.
 Clasificación y control de los datos.

 Seguridad de las personas.

 Plan de contingencia.

 Prevención y detección de virus.

 Administración de los computadores

 Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la

compañía y al uso de los empleados.

 Un procedimiento para administrar las actualizaciones.

 Una estrategia de realización de copias de seguridad planificada adecuadamente.

 Un plan de recuperación luego de un incidente.

 Un sistema documentado actualizado.

- Crear una lista de control de acceso, definiendo las siguientes reglas: para el host

del gerente: bloqueo de tráfico ICMP y conexiones en puerto 21 (ftp), para los hosts

PC0 y PC5: bloqueo de tráfico web.

 REFERENCIAS BIBLIOGRÁFICAS

UIT (1991), Ubicación de los servicios y mecanismos de seguridad, recomendación

X.800. (pp. 19-27). Recuperado de https://www.itu.int/rec/T-REC-X.800-199103-I/es

UIT (1991), Ubicación de los servicios y mecanismos de seguridad, recomendación

X.800. (pp. 19-27). Recuperado de https://www.itu.int/rec/T-REC-X.800-199103-I/es

Gómez, V. (2014). Auditoría de seguridad informática. (pp. 127-140). Recuperado de

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=126&docID=3229127&tm=1533003788372

Carceller, C. , Campos, S. , & García, M. (2013). Servicios en red. Madrid, ES:

Macmillan Iberia, S.A. (pp. 234 - 243). Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?
ppg=236&docID=10820628&tm=1488703181898

Espinosa, F. , García, J. , & Llanos, D. (2018). Application of an advanced security

methodology in wireless networks. RISTI - Revista Iberica De Sistemas e Tecnologias De
Informacao, (E15). (pp. 24-38). Recuperado de http://bibliotecavirtual.unad.edu.co/login?
url=http://search.ebscohost.com/login.aspx?direct=true&db=edselc&AN=edselc.2-52.0-
85048589730&lang=es&site=eds-live

UIT (1991), Ubicación de los servicios y mecanismos de seguridad, recomendación

X.800. (pp. 14-14). Recuperado de https://www.itu.int/rec/T-REC-X.800-199103-I/es

Zamora, M., & Plá, P. (2007). Seguridad en redes inalámbricas. Tono: Revista Técnica De
La Empresa De Telecomunicaciones De Cuba, S.A, (3). (pp. 98-104). Recuperado de
http://bibliotecavirtual.unad.edu.co/login?url=http://search.ebscohost.com/login.aspx?
direct=true&db=zbh&AN=100279290&lang=es&site=eds-live