Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Contenido
Ataque informático ....................................................................................................................... 2
Clasificación de los ataques....................................................................................................... 2
Herramientas preventivas y paliativas .......................................................................................... 4
Contramedidas. Defensa en profundidad ..................................................................................... 5
Control de acceso al sistema. ........................................................................................................ 6
Seguridad en la BIOS ................................................................................................................. 6
Seguridad UEFI .......................................................................................................................... 7
Sistemas operativos de confianza ................................................................................................. 8
Seguridad en el acceso al sistema de archivos.......................................................................... 8
Seguridad en la conexión de redes públicas ................................................................................. 8
Estrategias de defensa .............................................................................................................. 9
La internet profunda. Red TOR ............................................................................................... 10
Seguridad en la red corporativa .................................................................................................. 11
La seguridad y las vulnerabilidades en redes TCP/IP .............................................................. 11
El ataque a una red TCP/IP ...................................................................................................... 13
Riesgos potenciales en los servicios de red ............................................................................ 15
Protocolos de seguridad.............................................................................................................. 16
Monitorización del tráfico de red ............................................................................................... 18

1
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Ataque informático
El atacante de un sistema, una vez decidido su
objetivo, acostumbra a seguir un conjunto
ordenado de pasos para llevar a cabo su ataque. A
grandes rasgos, las fases de un ataque se resumen
en las siguientes actividades:
1. Descubrimiento de los sistemas que
componen la red en la que se halla el
objetivo.
2. Exploración de las vulnerabilidades de los
sistemas de la red.
3. Explotación de las vulnerabilidades detectadas.
4. Compromiso del sistema.
5. Ocultamiento o eliminación de los rastros que prueban el ataque.
Las vulnerabilidades se explotan mediante herramientas específicamente construidas para tal
fin que se denominan exploits, que no es más que un tipo especial de malware.
La eliminación de las pruebas del ataque consistirá en borrar los ficheros de log de actividad
del sistema o alteración del comportamiento de los procesos que revelan la actividad del
sistema como en el caso de los rootkits.
Desde el punto de vista del atacante la oportunidad de ataque viene condicionada por los
motivos que tiene para ello (lucro, diversión, venganza), las vulnerabilidades del sistema
atacado (falta de actualizaciones, bugs, cortafuegos desactivados) y los conocimientos técnicos
que posee.
En la fase de penetración el atacante intentará acceder al objetivo. Para dar este paso, utilizan
diferentes técnicas:
 Explotación de vulnerabilidades: Buscará algún producto instalado que permita la
ejecución de código arbitrario.
 Exploración de la eventual debilidad de contraseñas: Una contraseña débil puede
permitir el ingreso de intrusos.
 Búsqueda de servicios mal configurados: Un servicio que no esté adecuadamente
configurado puede permitir que intrusos hagan uso abusivo del mismo, o incluso, que
ejecuten código arbitrario.

Clasificación de los ataques

Entre los principales ataques a un sistema informático se organizan en torno a las siguientes
actividades:
 Acciones de reconocimiento y descubrimiento de dispositivos y sistemas.
 Detección de vulnerabilidades.
 Robo de información mediante la interceptación de tráfico.
 Modificación de contenidos en los mensajes intercambiados por la red.
 Alteración de los números de secuencia en los mensajes transmitidos.
 Análisis de tráfico de red.
 Suplantación de la identidad de los agentes de procesos.

2
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

 Alteración de las tablas de enrutamiento, tablas de direcciones físicas, etc.

 Conexión no autorizada a los sistemas de la red, lo que da paso a la introducción de
malware, fraudes, extorsiones, ataques criptográficos, etc.
 Denegaciones de servicio, tanto simples (DoS, Denial of Service) como distribuidos
(DDoS, Distributed Denial of Service).
 Propagación de malware.
 Alteración o destrucción de información.
El gestor de la seguridad tiene que estar prevenido contra estos y otros posibles ataques. La
mayor parte de las suites de seguridad para la gestión de malware proporcionan métodos de
detección heurísticos que vigilan comportamientos de usuarios y aplicaciones sospechosas por
alejarse del comportamiento habitual del sistema.
Por ejemplo, si un antivirus observa que un fichero ejecutable ha crecido de tamaño evaluará
el evento como una posible infección en ese fichero, aunque realmente no haya averiguado de
qué infección se trata. Este sistema de alertas heurísticos genera la mayor parte de los falsos
positivos en antivirus.
Para ejecutar el ataque, el atacante utiliza herramientas que tienen un alto grado de
sofisticación ya que se adecuan al ataque concreto, entre las más comunes están:
 Escáneres de puertos. Permiten detectar los servicios instalados en el sistema en que
se ejecutan (escáner local) o en otro sistema remoto (escáner de puertos remoto).
 Sniffers o escuchadores de red. Son dispositivos o aplicaciones que escuchan la red
para capturar los paquetes de datos que circulan por ella.
 Exploits. Son herramientas que buscan y explotan vulnerabilidades conocidas de los
sistemas.
 Payloads: es un programa (o código “malicioso”) que acompaña a un exploit para
realizar funciones específicas una vez haya tenido éxito el exploit.
 Encoders: Proporciona algoritmos para codificar y ofuscar los payloads que se utilizan
tras haber tenido exito el exploit.
 Backdoors o puertas traseras. Son aplicaciones que permiten abrir agujeros de
seguridad en los sistemas, habitualmente dejando puertos abiertos que admiten
diálogos con aplicaciones externas dirigidas por el atacante.
 Rootkits. Son utilizados por los atacantes para ocultar malware, frecuentemente
puertas traseras, por lo que despistan al sistema de vigilancia del propio sistema o de
las suites de seguridad.
 Auto-rooters. Son herramientas capaces de automatizar un ataque realizando la
secuencia de actividades encaminada a obtener el acceso al sistema o explotar una
vulnerabilidad.
 Password-crackers. Son utilidades que permiten averiguar las contraseñas de los
usuarios mediante técnicas de diccionario, fuerza bruta o ingeniería social.
 Generadores de malware. Son aplicaciones especialmente diseñadas para la
generación de virus u otro tipo de malware.
Además de estas unidades específicas, los atacantes suelen tener elevados conocimientos
sobre técnicas de ocultación y suplantación, así como de criptografía.

3
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Herramientas preventivas y paliativas

Hay dos tipos de herramientas que podemos utilizar contra los ataques herramientas
preventivas que tratan de evitar previamente el daño (seguridad activa) y herramientas
paliativas que son medidas correctoras que minimizan el impacto cuando ya se ha producido el
daño (seguridad pasiva).
Entre las herramientas preventivas podemos encontrar antivirus, antispyware, antirootkit,
antiphishing, antispam, cortafuegos, etc.
Estos programas combaten el malware de dos formas:
 Protegiendo en tiempo real, escaneando datos procedentes de la red en busca de
malware y bloqueando toda amenaza
 Detectando y eliminando el malware ya ha sido instalado en el equipo o dejando en
cuarentena
Las soluciones de seguridad detectan el malware usando comparación de firmas (comparan
unos archivos que son sospechosos con una base de datos) y también métodos heurísticos
Un Firewall o cortafuegos puede ser tanto un dispositivo software
como hardware que analiza toda la información que entre y sale del
equipo. El cortafuegos bloquea el tráfico siguiendo unas políticas o
normas de acceso. Los cortafuegos suelen tener una política por
defecto (la más habitual y segura es denegar todo el tráfico que
específicamente no esté permitido).
Las políticas pueden ser:
 Políticas permisivas: permiten todo el tráfico excepto el que está específicamente
bloqueado.
 Políticas restrictivas: por defecto está prohibido el acceso a los recursos del sistema y
hay que establecer que accesos son los permitidos.
Tipos de cortafuegos:
 Cortafuegos de equipo o de host. Este cortafuegos se
instala en el equipo que se intenta proteger, y analiza todo
el tráfico que entre y sale de él.
 Cortafuegos de red o perimetrales. Este tipo de
cortafuegos se ubica en un punto como un router y actúa
como barrera entre la red interna y la externa.
Tipos de cortafuegos según su funcionamiento:

 Cortafuegos de filtrado de paquetes, filtran por IP de origen y destino. Este tipo de

cortafuegos también permiten filtrados según campos del nivel de transporte como el
puerto.
 Cortafuegos de aplicación, actúan sobre la capa de aplicación del modelo OSI, pueden
entender ciertas aplicaciones y protocolos.

4
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

 Cortafuegos de estado, tienen en cuenta el estado del paquete, mantienen registros

de todas las conexiones que les atraviesan. Este tipo de cortafuegos puede ayudar a
prevenir ataques contra la conexión o ciertos ataques de denegación de servicio
Medidas paliativas contra el malware, estas son para eliminar el software que ya infecto
nuestro equipo, entre estas medidas tenemos:

 Copias de seguridad tanto copias del sistema (para restaurar el equipo a un estado de
correcto funcionamiento) y copias de datos
 Sistemas RAID
 Herramientas de recuperación de ficheros borrados
 Software “congelador”, hace que cada vez que se reinicia el sistema vuelve a su estado
inicial.

Contramedidas. Defensa en profundidad

El concepto de defensa en profundidad deriva del ámbito militar y se orienta a que el atacante
pierda su empuje inicial haciendo que tenga que superar múltiples barreras para alcanzar su
objetivo en vez de un obstáculo. Cada barrera supondrá una contramedida de seguridad.
La aparición de las APTs hace necesario diseñar contramedidas con el principio de defensa en
profundidad. No sólo es necesario incorporar tecnologías específicas y contramedidas para la
prevención, detección y respuesta, sino que además es imprescindible diseñar políticas,
procedimientos y mejores prácticas que ayuden a desplegar, mantener y gestionar dichas
tecnologías, así como concienciar a usuarios, sensibilizar a la alta dirección y formar a
administradores y/o personal técnico de la organización.

La definición formal que proporciona el Centro Criptológico Nacional Español es: “La defensa
en profundidad es una estrategia consistente en introducir múltiples capas de seguridad que
permitan reducir la probabilidad de compromiso en caso de que una de las capas falle y en el
peor de los casos minimizar el impacto (Guía STIC 400 2006)”.

Esta organización en niveles permite dividir el problema global de la seguridad en otros más
pequeños y manejables con soluciones altamente especializadas, contribuyendo de este modo
a mejorar la calidad de la implantación del plan de seguridad.

5
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Algunas de las características más importantes de las medidas de defensa que se utilizan en los
sistemas asegurados con defensa en profundidad:
 Defensa en políticas, procedimientos y concienciación. Se trata de establecer unas
políticas de seguridad para ser cumplidas por el todo el personal.
 Defensa en cortafuegos. Se trata de una herramienta que analiza las conexiones entre
las redes interna y externa de una organización y restringe el acceso de acuerdo con
una política de seguridad.
 Defensa en el sistema de detección de intrusos. Un sistema de detección de intrusos
(IDS, Intrusion Detection System) es un sistema que monitoriza el tráfico de la red y
alerta o previene de cualquier actividad sospechosa en tiempo real.
 Defensa en el control de acceso a la red. Un buen control de acceso permite
inspeccionar los sistemas que se conectan a la red para dilucidar si cumplen o no las
políticas de seguridad requeridas por el administrador de la red.
 Defensa contra malware. Se trata de usar tecnologías antimalware, que protegen de
amenazas como virus, troyanos, spyware y otras formas de código malicioso.
 Defensa mediante cifrado. El cifrado de datos protege de muchos ataques,
especialmente los de confidencialidad, integridad y autenticidad.
 Defensa de los equipamientos físicos. Aunque se tenga un buen sistema de defensa
lógica, de nada servirá si no se cuida la seguridad física. Por tanto, es imprescindible
mantener controles de seguridad física como cámaras, alarmas, vigilancia, etc.
En su forma general, la gestión del riesgo se compone de cuatro fases diferenciadas:
 Análisis. Determina los componentes de un sistema que requieren protección, las
vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro.
 Clasificación. Determina si los riesgos encontrados son asumibles o hay que actuar
contra ellos para atenuarlos o eliminarlos completamente, es decir, debe definirse el
modo de gestión del riesgo.
 Reducción: Define e implementa las medidas de protección (contramedidas). Además
sensibiliza y capacita a los usuarios para que cumplan con estas medidas.
 Control. Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas
para ajustar las deficientes y sancionar su incumplimiento. Esta es la parte más
específica de la auditoría.
Toda organización debería gestionar sus riesgos de seguridad de acuerdo con una auditoría de
seguridad, es recomendable realizar al menos una anualmente.

Control de acceso al sistema.

Para evitar cualquier acceso indeseado a nuestro equipo debemos asegurar el arranque del mismo
mediante el uso de contraseñas u otros sistemas de autentificación.

Seguridad en la BIOS
Si analizamos el proceso de encendido del ordenador, recordaremos la importancia que tiene la BIOS en
el mismo. Es la encargada de comprobar el buen estado del hardware, localizar y cargar el sistema
operativo o gestor de arranque.

El uso de contraseñas para acceder a la BIOS evitará que personal no autorizado realice modificaciones
indeseadas en la configuración de la misma. También evitaremos que usuarios malintencionados hagan

6
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

cambios en la secuencia de arranque, lo que permitiría la puesta en marcha del equipo desde medios
extraíbles como DVD o USB.

Por ello, es imprescindible que el acceso a la BIOS esté protegida con una contraseña, y que tengamos
siempre el disco duro como primer dispositivo de arranque. Veamos un ejemplo de una BIOS del
fabricante PHOENIX:

Otra medida de seguridad adicional que podemos configurar en la BIOS es evitar que personal no
autorizado acceda al sistema introduciendo la clave de Supervisor en el momento de arrancar el equipo.
Para ello activaremos la opción de Password on boot (contraseña en el arranque).

Si ponemos tantas medidas de seguridad podría ser que se volvieran contra nosotros si, por ejemplo,
olvidamos la contraseña de la BIOS. En este caso, podemos quitar la pila que alimenta la memoria
CMOS, y se borrarán los parámetros almacenados, volviendo a estar los predeterminados de fábrica.
Debemos evitar mediante medidas de protección que usuarios abran el equipo y hagan lo mismo.

Seguridad UEFI
La BIOS ha sido sustituida por UEFI (Unified Extensible Firmware Interface), en 2015 cuando
Intel, AMD, Apple, Dell, Lenovo, Microsoft y así hasta 140 empresas se unieron para crear la
fundación UEFI y sacar adelante este proyecto. Básicamente se trata de una BIOS, pero con
funciones adicionales que hacen que este código sea más seguro, rápido y soporte discos
duros de más de 2 terabites.

La mejor característica y por lo que se diseñó este sistema es por su seguridad frente a los
malwares que estaban atacando la BIOS. El sistema UEFI cuenta con Secure Boot, es decir,
arranque seguro. Un programa diseñado para los dispositivos con el sistema operativo de
Windows y que bloquea cualquier sistema que no esté certificado, protegiéndonos de
cualquier malware, aunque también ha tenido algún fallo de compatibilidad con algunos
programas de Linux.

7
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Otras características destacables son: interfaz gráfica más sencilla de utilizar y comprender,
más funciones, actualización por internet y mayor velocidad de arranque de los equipos.

Sistemas operativos de confianza

Los sistemas operativos son una pieza fundamental en la seguridad, debemos buscar sistemas
operativos de confianza que entre otras cuestiones ofrezcan:

 Permitan monitorizar y auditar el sistema

 Tengan medidas de protección y mecanismos de seguridad que permitan evitar
accesos no autorizados, asignación de derechos a usuarios y procesos
 Permitir una política de confidencialidad

Seguridad en el acceso al sistema de archivos

Aunque en el sistema, tanto Linux como Windows, podemos
establecer permisos por usuarios, grupos, a nivel de carpeta, de
discos, etc. hay una forma de saltarse la protección por contraseña
que establece la BIOS o UEFI y acceder a los datos del disco duro. Si
pierdo un portátil en un sitio público, un usuario malintencionado
podría desmotar el disco duro y conectarlo a su equipo, del que él es
administrador. El acceso a los datos estaría disponible para él.

Para evitar este problema, lo mejor es proteger la confidencialidad de

los datos cifrando las particiones. De esta forma, aunque conecten el disco duro a otro equipo, la
información aparecerá ilegible.
Existen numerosos programas que nos permiten el cifrado de discos y particiones, como TrueCrypt, PgP,
DiskCryptor, Secrect Drive… Se puede cifrar incluso la partición del sistema operativo, pero no es
aconsejable. Lo más indicado es cifrar la partición de datos.
También hay utilidades para cifrar y proteger las unidades pendrive, para salvaguardar la
confidencialidad de nuestros archivos en el caso de perderlos. Algunas de ellas son las anteriores, y
otras: rohos mini drive, usb safeguard, cryptainer, mywinlocker.

Seguridad en la conexión de redes públicas

Cuando un equipo realiza una conexión a una red pública aumenta el riesgo debido a que se
incrementan notablemente las amenazas por el inmenso número de posibles atacantes.
Debemos saber además que cada vez que accedemos a internet a través del navegador se
conocen diferentes datos: IP pública, navegador usado, resolución de la pantalla, idioma y
zona GMT, puglins instalados, etc.
Los riesgos más comunes en las conexiones de redes públicas son los siguientes:

 El cortafuegos podría no estar configurado correctamente o puede que no

proporcione suficiente protección.
 Las transmisiones de información sobre seguridad (nombres de usuarios y sus
contraseñas) en texto plano (no cifrado).
 Las conexiones telnet o ftp o similares, que no son cifradas.

8
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

 Los hackers pueden obtener información sensible en los foros, newsgroups, mailing-
lists, etc.
 Sesiones abierta en servidores de chat (IRC).
 Ataques de denegación de servicio.
Estos riesgos se atenúan integrando en el plan de seguridad contramedidas como las que se
describen seguidamente:
 Disponer de un antivirus de calidad y actualizado. En servidores deben instalarse
antivirus con varios motores de análisis.
 Tener siempre activado y bien configurado el cortafuegos.
 Integrar el antivirus en una suite de seguridad que provea otros servicios de seguridad
como antiphising, antispam y detección de vulnerabilidades.
 Proteger las conexiones mediante cifrado. Por ejemplo, utilizando IPSec, sustituyendo
http por https o smtp por smtps.
 Utilización de redes privadas virtuales VPN.
 Validar las conexiones remotas realizadas mediante robustos sistemas de
autenticación.

Estrategias de defensa
Conviene conocer las técnicas de hacking para
descubrir las vulnerabilidades de nuestro sistema y
tomar medidas para evitar ataques, es lo que se
conoce como hacking ético. Para ello podemos usar
suite preparadas para este fin como KaliLinux, que
incluyen multitud de herramientas de hacking y
penetración. Un test de penetración (Pentesting)
estima la habilidad de una organización para defender sus activos de un ataque
Para cada vulnerabilidad susceptible de ataque se tendrá que adoptar una contramedida.
Algunas de ellas son generales porque defienden de muchos posibles ataques, pero otras son
muy específicas de cada ataque o del sistema sobre el que se aplican.
Algunas estrategias de defensa por contramedidas generales son:

 Deshabilitar todos los servicios que no se usan ni se necesitan. Si se pueden desinstalar

mejor aún que deshabilitar.
 Utilizar una buena combinación de firewall y proxy.
 Permanecer constantemente informados de las últimas vulnerabilidades descubiertas
sobre el software instalado, tanto de sistemas cómo de aplicación.
 Aplicar los parches y actualizaciones a las vulnerabilidades y agujeros de seguridad tan
pronto como sea posible.
 Tener siempre instalado, activo y actualizado el antivirus o la suite de seguridad.
 Mantener una coherencia interna entre las distintas políticas de seguridad adoptadas,
de modo que sean suficientes y no contradictorias.
 Realizar permanentemente tanto auditorías internas como test de penetración de
intrusos.
 Adoptar una buena política de gestión de contraseñas.

9
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

 Llevar una eficiente política de copias de seguridad, comprobando la integridad de las

copias y probando periódicamente los procedimientos de restauración.
 Controlar periódicamente los ficheros de log.
 Usar protocolos cifrados en sustitución de los no cifrados, por ejemplo, utilizar ssh en
vez de telnet.
Algunas contramedidas específicas para entornos GNU/Linux son:

 Seguir las sugerencias de los portales de seguridad para Linux.

 Utilizar herramientas de penetración con cierta frecuencia para
evaluar los niveles de seguridad de los sistemas.
 Como GNU/Linux es de código libre hay mucha información
publicada muy exhaustiva sobre seguridad en libros, artículos,
blogs, etc., que debe ser conocida.
Algunas contramedidas específicas para entornos Microsoft son:
 Bloquear el acceso a los puertos 135-139 tanto para TCP como
para UDP por los que Windows pone a escuchar a algunos
servicios susceptibles de ataque.
 Desactivar el acceso anónimo deshabilitando la cuenta de
invitado.
 Aplicar los service packs y tener actualizado el sistema
 Renombrar la cuenta de administrador para que un posible
atacante no conozca cuál es su nuevo identificador.
También es conveniente visitar la web www.incibe.es para estudiar las recomendaciones de
esta institución.

La internet profunda. Red TOR

Se denomina internet profunda u oculta a la parte de contenidos de internet que no está
incluida en los resultados de los motores de búsqueda de Google, Bing, etc, a esta otra se la
denomina internet superficial.

Al contrario que en la internet superficial donde las webs (dominios) están indexadas en
servidores DNS en la internet profunda los dominios están codificados con técnicas hash con
extensiones onion y para acceder hace falta un servicio onion que a través de una red P2P
accede a las bases de datos que contienen la resolución de nombres hash.

La internet profunda solo es accesible utilizando determinados navegadores, es el caso de la

red TOR (The Onion Router) en la que solo los usuarios que dispongan del software apropiado
pueden acceder. TOR permite navegar de forma anónima, los datos no van directamente de
origen a destino si no que pasan por una serie de nodos intermedios. TOR se encarga de crear
circuitos virtuales con 3 nodos aleatorios de la red TOR. El elemento origen codifica la
comunicación con la clave pública del primer nodo de forma que solo este podrá descifrar la
información, dentro de esta información se encontrarán los otros nodos intermedios y sus
respectivas claves públicas (previamente obtenidas todas del directorio de nodos), de forma
que hasta que no llegue al nodo final no se descifra completamente y será desde este desde el
que se establecerá la conexión con el destino.

10
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Si lo que pretendemos es solamente ocultar nuestra IP, no navegar por la internet profunda
podemos utilizar anonimizadores (al conectarnos al anonimizador le indicamos la URL a visitar
y el actúa de puente eliminando cookies y similares) o proxys.

Seguridad en la red corporativa

Asegurar un equipo es un logro importante que contribuye enormemente a la seguridad de
una organización, pero no es suficiente. Los sistemas informáticos, cada vez más, son
distribuidos de modo que las aplicaciones se encuentran repartidas entre varios sistemas
conectados en red. Por tanto, la seguridad debe extenderse también a los protocolos de red y
a los procedimientos de interconexión e intercambio de datos. Esto hace que haya elementos
de seguridad específicos cuando se trata de proteger la red corporativa.

La seguridad y las vulnerabilidades en redes TCP/IP

Las amenazas que reciben las redes TCP/IP se pueden clasificar en internas o corporativas, o
externas o de acceso remoto.
En las amenazas internas los ataques son originados por personal que suele tener acceso local
a algunos recursos de la red interna. Uno de los mejores medios para proteger contra ataques
internos es implementar un sistema de detección de intrusiones y configurarlo para que
busque los ataques externos e internos. Todas las formas de ataque deben ser registradas y los
registros deben ser revisados.
Las amenazas externas suelen realizarse con un plan predefinido y con herramientas
tecnológicas adecuadas. Normalmente se puede detectar un ataque externo mediante un
examen del firewall. También se puede instalar un sistema de detección de intrusiones para
identificarlas rápidamente.
Las amenazas externas pueden clasificarse en:

 Estructuradas. Provienen de individuos maliciosos que tienen los conocimientos

necesarios para desarrollar un ataque a la red.
 No estructuradas. Provienen de un atacante sin experiencia (script kiddie).
Las vulnerabilidades de las redes varían dependiendo de la capa o nivel en el que nos
encontremos:

11
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

 Capa de Red TCP/IP o los niveles 1 y 2 de OSI. En el nivel físico, la primera

vulnerabilidad es la posibilidad de acceso físico al cuarto de telecomunicaciones, al
cableado o a los equipos que intervienen en la comunicación. Para asegurar la capa de
red se tiene que considerar:
o La confidencialidad. Los datos solo han de estar disponibles para las personas
autorizadas.
o La autenticidad. Debe verificarse la identidad digital de los agentes.
o La integridad. Debe comprobarse la exactitud de la información frente a
alteraciones, pérdidas o destrucción de datos.
Por tanto, se generan problemas de suplantación de mensajes y de direcciones físicas,
alteración del control de acceso al medio mediante sniffers no autorizados y
posibilidad de ataque mediante exploits contra los adaptadores de red.
 Capa de Internet TCP/IP o nivel 3 de OSI. El principal problema son las escuchas no
autorizadas de paquetes IP, la suplantación de direcciones IP y el envenenamiento de
las tablas de caché de ARP (que permiten la suplantación de las direcciones MAC
utilizadas en el nivel 2 y asociadas a las IPs correspondientes del nivel 3).
 Capa de Transporte TCP/IP o nivel 4 de OSI. Los principales problemas en este nivel se
asocian con la búsqueda e interceptación de puertos TCP y UDP. La apertura de
puertos indiscriminada o su falta de protección en el cortafuegos puede una
exposición pública. La búsqueda de puertos abiertos suele hacerse mediante utilidades
de escaneo de la red. Aunque estos servicios estén protegidos mediante un
mecanismo de autenticación, al hacerlos públicos se prestan a ataques de fuerza
bruta.
 Capa de Aplicación TCP/IP o niveles 5 a 7 de OSI. Los niveles superiores se prestan a
problemas asociados a los servicios de red y a la autenticación de los datos, por lo que
su protección también exige herramientas de muy alto nivel. Entre los problemas más
comunes se encuentran los siguientes:
o Deficiencias en el servicio de nombres de dominio.
o Envenenamiento de las cachés del DNS.
o Suplantación del servicio DNS.
o Inseguridad de protocolos no cifrados que transportan contraseñas, como
telnet o ftp.
o Vulnerabilidades específicos del protocolo http, asociadas a la construcción de
los URL, por ejemplo en los ataques de inyección de código.

12
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

El ataque a una red TCP/IP

Entre los ataques a redes TCP/IP podemos encontrar:
 Ataque de ingeniería social: Un ataque de ingeniería social
consiste en obtener información secreta de una persona u
organismo para utilizarla posteriormente con fines
maliciosos. También puede consistir en persuadir
veladamente a los usuarios para que ejecuten acciones o
revelen la información que el atacante necesita para
comprometer la red. El análisis de una sede web puede proporcionar también mucha
información a un atacante: direcciones de correo, organización corporativa, etc.
Existen en la web multitud de herramientas que nos ayudan a obtener esta
información.
 Ataques de denegación de servicio: El objetivo principal de un ataque de denegación
de servicio es impedir el uso de un servicio, para ello el atacante provoca una
saturación que impide que estos recursos lleguen a los usuarios legítimos.
Frecuentemente el atacante no se esconde detrás de un único sistema sino detrás de
toda una red de atacantes (botnet o red zombie) compuesta de sistemas infectados
con troyanos especializados en el ataque y coordinados por el hacker que los dirige. En
este caso el ataque se denomina DDoS (Distributed Denial of SErvice) o ataque de
denegación de servicio distribuido. La defensa de un ataque DoS se realiza bloqueando
la dirección IP del atacante, de modo que este no consuma recursos. En el ataque
DDoS esto ya no es tan fácil puesto que el número de sistemas que atacan
simultáneamente es innumerable. Fundamentalmente los hay de tres tipos de ataque:
o Net Flood: Este ataque degrada la conectividad de una red mediante la
saturación de sus enlaces de comunicación. Se organizan ataques masivos
desde diferentes puntos de la red mediante zombies.
o Connection Flood. Todo servicio de red orientado a la conexión tiene un límite
máximo en el número de conexiones simultáneas que soporta. Cuando este
número es alcanzado ya no se admitirán nuevas conexiones. Por tanto, el
atacante intentará agotar con conexiones ilegítimas este máximo. Las
conexiones TCP/IP se realizan mediante tres pasos, que en este caso se
completan perfectamente, lo que proporciona a la máquina atacada la
información de la identidad del atacante. Esta información puede ser pasada al
cortafuegos para que bloquee estas conexiones, sobre todo si el número de
atacantes no es demasiado grande.
o Syn Flood. Se basa en la regla de conexión en tres pasos o handshake para las
conexiones TCP/IP. El handshake de tres pasos consiste en que el cliente envía
un paquete SYN hacia el servidor, quien le contesta con un acuse de recibo.
Esto deja la conexión semiabierta, consumiendo recursos en el servidor. Una
vez recibido en cliente el acuse de recibo (SYN ACK) el cliente valida la
apertura de conexión en el servidor enviándole un ACK de respuesta. En este
momento el servidor termina la apertura de conexión. A partir de este
instante, cliente y servidor podrán intercambiar datos. Si el paso final no llega
a realizarse, la conexión queda en estado de semiabierta. El ataque consiste en
agotar los recursos del sistema atacado mediante conexiones semiabiertas. Si
el sistema está actualizado, este ataque no suele suponer un problema
significativo.

13
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

 Cracking de contraseñas: Es el proceso por el que se descubre la contraseña de un

usuario en un sistema atacado. El atacante tendrá mucho interés en que ese usuario
sea privilegiado, típicamente administrador o root. Esta es la razón por la que
deshabilitar o renombrar estas cuentas levantará una barrera más al atacante, que
tendrá que descubrir no sólo la contraseña sino el identificador de la cuenta
privilegiada.
 Escaneo de puertos y sniffers: El escaneo de puertos es un
procedimiento ampliamente utilizado por los hackers para
averiguar qué puertos están abiertos en el servidor objetivo de
su ataque. Una vez conocidos los puertos abiertos, el hacker
intentará buscar vulnerabilidades en los servicios que se hallan
detrás de los puertos abiertos. Algunos cortafuegos detectan
las actividades de rastreo de los escáneres de puertos. Los cortafuegos más avanzados
pueden, incluso, presentar resultados ficticios al escáner de puertos, de modo que
este confunda al hacker que lo emplea.
 Desbordamiento de buffer: Un desbordamiento de buffer (buffer overflow) aprovecha
algunos errores de programación de una aplicación para alterar el funcionamiento de
la pila de un proceso. Los desbordamientos se pueden producir por múltiples causas,
los más conocidos son:
o Overflow por combinaciones no esperadas. Los programas suelen construirse
formando capas de código que se instalan jerárquicamente encima del sistema
operativo. Un mal diseño de una de las capas puede causar que entradas
pertenecientes a una capa superior sea enviada directamente al sistema operativo
y ejecutado de manera descontrolada.
o Overflow por entrada anormal. Los programas suelen utilizar parámetros o valores
suministrados como entradas válidas. Si el programador no valida correctamente la
entrada del usuario, se pueden producir daños en los datos que maneja la
aplicación.
o Overflow por concurrencia. En este caso, dos o más procesos leen o escriben en un
área de memoria compartida entre ambos, pero si no se tiene control, el resultado
final dependerá de la secuencia temporal de ejecución de uno y otro proceso. En
estos casos, la programación debe arbitrar estos accesos mediante semáforos.
 Ataques internos en LAN conmutadas: En el caso de redes conmutadas los hackers
disponen de unos ataques específicos que explotan vulnerabilidades relacionadas con
las tecnologías de conmutación incorporadas en los switches:
o Inundación de direcciones MAC (flooding). El ataque intenta producir una
sobrecarga de la tabla MAC, producir su desbordamiento y anular el
funcionamiento del conmutador.
o IRDP spoofing. RIDP (ICMP Router Discovery Protocol) es un protocolo que extiende
ICMP para que pueda descubrir enrutadores en el entorno de red. Con este ataque,
el hacker simula ser un router, por lo que a partir de ese momento recibe un
tratamiento como tal, lo que le proporciona amplias ventajas.
o ARP poisoning. Es un ataque de envenenamiento de la tabla ARP utilizada por los
equipos para la resolución de direcciones IP en direcciones MAC. El atacante
envenenará las tablas ARP de las víctimas enviando mensajes ARP falsos
engañándoles y mediante paquetes ARP intentará modificar las tablas ARP de estos
objetivos.

14
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Riesgos potenciales en los servicios de red

Los clientes consumen los recursos de red en forma de servicios. Cada servicio lleva asociado
un software que le proporciona soporte sobre el sistema operativo, por tanto, las
vulnerabilidades de ese software pueden producir riesgos para ese servicio de red. Por otra
parte, si el servicio no está correctamente configurado puede dejar abiertas posibilidades al
atacante. Otros posibles problemas pueden venir de la apertura de puertos TCP o UDP no
controladas, por los servicios de red gestionados mediante puertas traseras o por otro
malware.
Para hacer que un sistema sea más seguro hay que tender a que exhiba la “mínima superficie
de exposición”, que es un concepto que se acuña para describir que solo se deben instalar los
servicios que realmente se utilicen. Ninguno más. Por ejemplo:
 En el cortafuegos solo deben estar abiertos los puertos de los servicios que estén activos.
 Solo deben activarse los servicios estrictamente necesarios.
 Únicamente deben instalarse los servicios que vayan a ser activados.
 Si hay posibilidad de elegir, es mejor utilizar un protocolo cifrado que su equivalente no
cifrado.
 Si se puede elegir y el servicio se presta a ello, es mejor utilizar un protocolo autenticado
que otro que no admita autenticación.
En IPv4 un puerto se expresa con 16 bits por lo que solo es posible gestionar 2 16=65.536
puertos, que se clasifican del siguiente modo:
 Puerto 0. Es un puerto reservado, aunque permitido si el emisor no admite respuestas del
receptor, por lo que no suele utilizarse.
 Puertos 1 a 1.023. Son los llamados puertos bien conocidos porque son utilizados por los
protocolos de aplicación más comunes en Internet. Para ser enlazados con un servicio se
requieren permisos de superusuario, por lo que son puertos que suelen estar más
protegidos de manera natural.
 Puertos 1.024 a 49.151. Son los llamados puertos registrados, que son de libre utilización
por cualquier usuario del sistema. Por tanto, son puertos desprotegidos.
 Puertos 49.152 a 65.535. Son los llamados puertos efímeros o temporales, que son
utilizados dinámicamente por las aplicaciones clientes de la red en sus conexiones a
servidores.

¿Qué significa la apertura de un puerto de red? La respuesta depende del escenario al que se
aplique. En un sistema, abrir un puerto significa autorizar al cortafuegos para permitir las
comunicaciones por ese puerto, tras el cual debe activarse un servicio que atienda las
peticiones que los clientes hagan por ese puerto desde el exterior a través del cortafuegos. Sin
embargo, en el caso de un router NAT, abrir un puerto significa redirigir el tráfico entrante por
ese puerto hacia un destino identificado por su IP.
Se pueden encontrar muchas aplicaciones online en Internet para escanear los puertos de los
sistemas de red expuestos en Internet.

15
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

Protocolos de seguridad
Los protocolos de seguridad introducen una capa de seguridad en la pila de protocolos
tradicionales para conseguir mejorar la gestión del riesgo. Algunos son muy fáciles de
gestionar pero otros requieren disponer de arquitecturas específicas para explotar su
funcionalidad. Los protocolos de seguridad pueden situarse en capas diferentes. Algunos
ejemplos son:

 En la capa de Enlace: WEP y WPA, que pretenden añadir privacidad en las

transmisiones de nodos inalámbricos.
 En la capa de Red: IPSec
 En la capa de Transporte: SSL, TLS
 En la capa de Aplicación: SSH, PGP, Kerberos, S/MIME, RADIUS
Veamos con más detalle estos protocolos:
 WEP (Wired Equivalent Privacy): Fue el primer protocolo de seguridad que se creó
para redes inalámbricas. Cómo su nombre indica fue un intento de hacer que el medio
inalámbrico tuviera una seguridad semejante a la del cable. WEP utiliza claves para
autenticar a los clientes y para cifrar sus conexiones. Para ello, debe establecerse una
cadena de caracteres que se asocia como una clave de punto de acceso (network key).
Esta clave debe ser conocida exclusivamente por los clientes del punto de acceso y,
obviamente, por el punto de acceso. La misma clave servirá para cifrar las conexiones
entre clientes y punto de acceso, y para que los clientes (las estaciones inalámbricas)
se autentiquen en el punto de acceso. WEP utiliza claves de 64, 128 y 256 bits, aunque
las versiones de 64 y 128 bits se consiguen romper fácilmente.
 WPA - WPA2 – WPA3 (Wi-Fi Protected Access): Es un subconjunto del estándar 802.11i
aprobado por la Wi-Fi Alliance que surge como una alternativa más segura que WEP.
La mayoría de las aplicaciones WPA modernas utilizan una clave precompartida (PSK),
denominada con mayor frecuencia WPA Personal, y el Protocolo de integridad de clave
temporal o TKIP (Temporal Key Integrity Protocol) para el cifrado. WPA Enterprise
utiliza un servidor de autenticación para la generación de claves y certificados. Sin
embargo, los ataques que más amenazaban el protocolo no fueron los directos, sino
los que se realizaron con el sistema WPS (Wi-Fi Protected Setup), un sistema auxiliar
desarrollado para simplificar la conexión de los dispositivos a los puntos de acceso
modernos.
WPA2 supuso una mejora de WPA principalmente con el uso del algoritmo Advanced
Encryption Standard (AES), es recomendable no usar TKIP. Pero WPA2 tiene un fallo de
seguridad que permitía a un atacante descifrar todo el tráfico de red que hubiera
podido capturar en nuestra red
WPA3 ofrece mejoras sobre WPA2: los ataques de fuerza bruta con diccionario ya no
son posibles, las claves de cifrado son de 192 bits, incorpora la tecnología WiFi Easy
Connect (permite conectar dispositivos que carecen de pantalla o botones físicos
pensado para el Internet de las cosas).
 IPSec (Internet Protocol Security): Es un protocolo que define el cifrado, la
autenticación y la gestión de claves para transmisiones TCP/IP. En la arquitectura IPv6,
IPSec es nativo, pero en IPv4 IPSec se inserta como una nueva capa de seguridad que
mejora la seguridad de la pila. Los sistemas operativos actuales llevan o pueden
incorporar software para que puedan crear conexiones IPSec punto a punto. IPSec es

16
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

la base tecnológica para la creación de las redes privadas virtuales modernas (VPN).
Funcionalmente, IPSec cifra los datos añadiendo información de seguridad en la
cabecera de los paquetes IP. A diferencia de SSL/TLS que opera en el nivel 4, IPSec
opera en el nivel 3. La operación de IPSec consta de dos fases fundamentales:
o Fase de gestión de claves (key management). IPSec utiliza IKE (Internet Key
Exchange) como protocolo de gestión para el intercambio de claves entre
origen y destino. IKE utiliza el puerto UDP-500.
o Fase de cifrado. En esta fase caben dos posibilidades. En el modo AH
(Authentication Header) solo se cifra la cabecera del paquete. En el modo ESP
(Encapsulation Security Payload) se cifra el paquete completo.
 SSL (Security Socket Layer)/TLS (Transport Layer Security): El protocolo SSL y su
sucesor TLS son protocolos criptográficos que proporcionan comunicaciones seguras
por una red, comúnmente Internet. SSL proporciona autenticación y privacidad de la
información entre extremos mediante el uso de criptografía. Habitualmente, sólo el
servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se
mantiene sin autenticar. SSL se ejecuta en una capa entre los
protocolos de aplicación como HTTP, SMTP y sobre el protocolo
de transporte TCP. Se usa en la mayoría de los casos junto a al
protocolo HTTP para formar HTTPS, que es usado para asegurar
páginas web en el uso de aplicaciones como el comercio
electrónico o los que usamos al conectarnos en línea a una
entidad bancaria. SSL implica una serie de fases básicas:
o Negociar entre las partes el algoritmo que se usará en la comunicación
o Intercambio de claves públicas y autenticación basada en certificados digitales.
o Cifrado del tráfico basado en cifrado simétrico.
Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos
se van a usar.
 SSH (Secure Shell): Es un protocolo que facilita las comunicaciones seguras entre dos
sistemas usando una arquitectura cliente/servidor y que permite a los usuarios
conectarse a un host remotamente. A diferencia de otros protocolos de comunicación
remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo
imposible que alguien pueda obtener contraseñas no encriptadas. SSH está diseñado
para reemplazar los métodos más viejos y menos seguros para registrarse
remotamente en otro sistema a través de la shell de comando, tales como telnet.
Ya que el protocolo SSH encripta todo lo que envía y recibe, se puede usar para
asegurar protocolos inseguros. El servidor SSH puede convertirse en un conducto para
convertir en seguros los protocolos inseguros mediante el uso de una técnica llamada
reenvío por puerto, como por ejemplo POP, incrementando la seguridad del sistema
en general y de los datos. Existen diversos protocolos de seguridad relacionados con
SSH:
o OpenSSH (Open Secure Shell): Es un conjunto de aplicaciones que permiten
realizar comunicaciones cifradas a través de una red, usando el protocolo SSH.
Fue creado como una alternativa libre y abierta al programa Secure Shell, que
es software propietario.

17
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

o SCP (Secure Copy): Es una extensión de OpenSSH que permite copiar ficheros
con seguridad entre dispositivos de red que tienen instalado un servidor SSH
que, como hemos visto, es uno de los componentes de OpenSSH.
o SFTP (Secure FTP): Es semejante a FTP pero utiliza conexiones seguras
utilizando SSH cómo túnel de seguridad. De esta manera, se puede utilizar la
tecnología FTP sin los inconvenientes de seguridad de falta de cifrado. La capa
de cifrado la pone SSH, que actúa desde dentro de SFTP.
 PGP (Pretty Good Privacy): Es un programa cuya finalidad es proteger la información
distribuida a través de Internet mediante el uso de criptografía de clave pública, así
como facilitar la autenticación de documentos gracias a firmas digitales. PGP es un
criptosistema híbrido que combina técnicas de criptografía simétrica y criptografía
asimétrica.
 Kerberos: Es un protocolo de autenticación de redes de ordenadores creado por el MIT
que permite a dos ordenadores en una red insegura demostrar su identidad
mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un
modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor
verifican la identidad uno del otro. Kerberos se basa en criptografía de clave simétrica
y requiere un tercero de confianza denominado "centro de distribución de claves"
(KDC, por sus siglas en inglés: Key Distribution Center).
 S/MIME (Secure MIME): Es un protocolo de alto nivel que se utiliza para hacer seguro
el envío de mensajes y transacciones electrónicas incluyendo cifrado y firma digital
mediante criptografía pública RSA. S/MIME compite con otras técnicas equivalentes
como PGP.
 RADIUS (Remote Authentication Dial-In User Service): Es un protocolo de autenticación
y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto
1812 UDP para establecer sus conexiones. Cuando se realiza la conexión con un ISP
mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que
generalmente es un nombre de usuario y una contraseña. Esta información se
transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien
redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor
RADIUS comprueba que la información es correcta utilizando esquemas de
autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso
al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros
parámetros como L2TP, etc.

Monitorización del tráfico de red

Un sniffer, monitor de red o escuchador de red es un software que monitoriza continuamente
el tráfico de red de una estación o servidor conectado a la red con la posibilidad de capturar
todo el tráfico y creando un histórico de la actividad. Las tarjetas de red deben soportar el
modo promiscuo para la plena funcionalidad del sniffer, lo que depende del controlador del
interfaz de red.
Los monitores de red suelen realizar las siguientes tareas:

 Monitorizar el tráfico continuamente en un segmento.

 Capturar el tráfico generado en el segmento.
 Capturar las tramas enviadas hacia o desde un nodo específico.
 Reproducir ciertas condiciones de red transmitiendo tráfico selectivo.

18
Unidad 2: Implantación de mecanismos de seguridad activa Seguridad y Alta Disponibilidad

 Generar estadísticas sobre la actividad de la red.

 Descubrir los nodos conectados a un segmento de la red.
 Establecer una “baseline” de condiciones normales para ser comparada con otra
equivalente pero con las condiciones alteradas de la red.
 Reportar datos sobre el tráfico detectado y registrado.
 Disparar alarmas cuando ocurran ciertas condiciones o eventos.
Uno de los sniffers más conocidos es Wireshark (antiguo Ethereal).
Permite detectar muchos de los posibles ataques que se pueden
realizar a través de la red y en muchos casos limitar los efectos de
dichos ataques.
El paso previo al análisis del tráfico de red es la monitorización. La
monitorización de la red es un proceso continuo de recolección de
datos que, una vez analizados, permiten detectar problemas en la red
que son notificados al administrador. El objetivo de la monitorización es, principalmente, saber
cómo, quién y en qué se está usando el ancho de banda disponible, detectar y prevenir cuellos
de botella, y tomar acciones correctivas o preventivas. Es decir, qué equipos, aplicaciones o
protocolos consumen los recursos de la red, y otra información útil para el administrador de la
red.
Las herramientas de monitorización tienen el inconveniente que muestran demasiada
información ya que obtienen todos los paquetes que circulan en la red. Por ese motivo se
suelen utilizar filtros que únicamente muestren la información buscada.
Estos filtros pueden ser:
 Filtros de captura: muestran solo los paquetes que cumplen las condiciones
establecidas.
 Filtros de visualización: seleccionan la información deseada después de un análisis
efectuado.
Para sacarle todo el partido debemos saber crear filtros y aplicarlos sobre la información
recibida de forma que no nos desborde la información que proporciona.

19