Abaumanis Seguridad Por Niveles Bueno

SEGURIDAD POR NIVELES
Autor: Arnaldo Baumanis, Director de http://www.expresionbinaria.com
Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

SeguInfo http://www.segu-info.com.ar Seguridad de la Informacin
Consideraciones iniciales
Hablar de Seguridad Informtica o Seguridad de Informacin es abarcar un muy amplio espectro de
tpicos, que en muchos casos pueden llegar a ser complejos y oscuros. Incluso hablar de
Seguridad Informtica y Seguridad de Informacin tiene mucha relacin, pero tambin tiene
diferencias, y errneamente se considera lo mismo.
El termino Seguridad de Informacin, Seguridad informtica y garanta de la informacin son usados
con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la
Confidencialidad, Integridad y Disponibilidad de la informacin; Sin embargo entre ellos existen
algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologas
utilizadas, y las zonas de concentracin.
Basado en lecturas que he hecho recientemente, y en mi humilde experiencia, he decidido iniciar
este artculo, dndole el ttulo de Seguridad por Niveles, ya que considero, como muchos otros
autores mucho ms experimentados, que a la seguridad hay que tratarla por niveles, as como se
trata un problema muy grande por partes, dividindolo en pequeos problemas que luego sern
resueltos de manera ms precisa; de la misma forma hay que abordar el tema de la seguridad, ya
que este pasa por diferentes capas para establecer la comunicacin entre dos equipos Terminales
de Datos (ETD).
El Arte de la Guerra nos ensea que no debemos depender de la posibilidad de que el enemigo no
venga, sino que debemos estar siempre listos a recibirlo. No debemos depender de la posibilidad de
que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posicin sea inatacable
El Arte de la Guerra, Sun Tzu
Gran parte de lo resumido aqu se basa en el libro Seguridad por Niveles de Alejandro Corletti
Estrada y Programa de Estudio: Seguridad de Informacin

Introduccin
Seguridad Informtica
La Seguridad Informtica suele ser la forma ms habitual con la que nos referimos a todo aquello
que tiene que ver con la seguridad de los ordenadores y los sistemas. Es un concepto muy conocido
pero que est obsoleto. Hace hincapi en la seguridad de los sistemas, teniendo en cuenta las
amenazas de carcter fundamentalmente tecnolgico.
La Seguridad Informtica es un concepto de Seguridad que naci en la poca en la que no existan
las redes de banda ancha, los telfonos mviles o los servicios de internet como las redes sociales o
las tiendas virtuales. Es por ello que la Seguridad Informtica suele hacer un especial nfasis en
proteger los sistemas, es decir, los ordenadores, las redes y el resto de infraestructuras de nuestra
organizacin. La Seguridad Informtica es un concepto fundamentalmente tcnico. El problema del
enfoque de la Seguridad Informtica es que suele perder de vista otros aspectos importantes para
una organizacin y, en la mayora de las ocasiones, cuando nos hablan de Seguridad Informtica nos
parece algo completamente alejado de nuestra actividad diaria.
Seguridad TIC (Seguridad de las Tecnologas de la Informacin y las Comunicaciones)
Se trata de un enfoque ms moderno, que incorpora el concepto de redes o infraestructura de
comunicaciones. Hoy en da no concebimos el ordenador como un elemento aislado sino como un
elemento conectado, y por otro lado, el ordenador ya no es el nico elemento o dispositivo a
proteger, sino que tambin hay que proteger las infraestructuras de comunicaciones, as como
diversos dispositivos, como son los telfonos mviles, PDAs, etc.
La Seguridad TIC es un trmino mucho ms amplio que la Seguridad Informtica, pero sigue siendo
de carcter fundamentalmente tecnolgico.
Seguridad de la Informacin
Estamos ante el trmino ms amplio y conceptual de los tres. Se basa en que lo fundamental es
proteger la informacin y en base a esta premisa se desarrollan todas los dems aspectos relativos a
la seguridad y a las medidas que necesitamos aplicar, as como el lugar donde hay que aplicarla.
Es un concepto que tiene en cuenta, no solamente la seguridad tecnolgica, sino tambin otras
facetas de la seguridad, como son, la seguridad desde el punto de vista jurdico, desde el punto de
vista normativo y desde el punto de vista organizativo.
De los tres conceptos el que ms nos interesa es el de la Seguridad de la Informacin, puesto que es
aquel que nos permitir sacar el mximo provecho a la aplicacin de la seguridad en nuestra
organizacin. Adems, es el ms actual y el ms amplio. Como veremos ms adelante, abarca todos
los aspectos relativos a la proteccin de la informacin. Por tanto, a partir de ahora y para todo lo que
resta del artculo, hablaremos de seguridad desde el punto de vista de la Seguridad de la Informacin
o SI.
La Seguridad de la Informacin no tiene que ver nicamente con cuestiones tecnolgicas, sino
tambin legales u organizativas, es decir, puede ser aplicada desde tres puntos de vista: legal,
tcnico y organizativo.
La informacin y los sistemas de procesamiento, por un lado, y los sistemas de comunicaciones y las
redes que le brindan apoyo son importantes recursos de toda empresa moderna. Hoy en da son
esenciales para el normal desenvolvimiento de las tareas, es decir, si una empresa no tiene
informacinse paraliza.
La seguridad de la informacin es un proceso que puede estudiarse e incluso implementarse por
niveles, tomando como punto de partida los 7 niveles del modelo OSI: nivel 1 Fsico, nivel 2 Enlace,
nivel 3 Red, nivel 4 Transporte, nivel 5 Sesin, nivel 6 Presentacin y nivel 7 Aplicacin, aunque se
puede resumir de acuerdo a los niveles del modelo TCP/IP.
El estudio de las vulnerabilidades y seguridad en redes iinformticas, exige la comprensin
de los fundamentos de las redes, sus principales tecnologas y las recomendaciones de
seguridad ms apropiadas
Presentacin del modelo de capas
Son varios los protocolos que cooperan para gestionar las comunicaciones, cada uno de ellos cubre
una o varias capas del modelo OSI (Open System interconnection); la realidad, es que para
establecer la comunicacin entre dos ETD se emplea ms de un protocolo, es por esta razn que se
suele hablar no de protocolos aislados, sino que al hacer mencin de alguno de ellos, se
sobreentiende que se est hablando de una PILA de protocolos.
Una forma de agruparlos es como se encuentran cotidianamente los siete niveles del modelo OSI en
tres grupos que tienen cierta semejanza en sus funciones y/o servicios:
Aplicacin
Transporte
Red
Aplicacin
Presentacin
Sesin
- Transporte
Red
Enlace
Fsico

La ISO (International Standard Organization), estableci hace 15 aos este modelo OSI que
hoy lleva la denominacin ISO 7498 o ms conocida como X.200 de ITU.
El modelo OSI es, sin lugar a dudas, el estndar mundial por excelencia, pero como todo esquema
tan amplio presenta una gran desventaja: el enorme aparato burocrtico que lo sustenta. Toda
determinacin, protocolo, definicin o referencia que ste proponga debe pasar por una serie de
pasos, en algunos casos reuniendo personal de muchos pases, que demoran excesivo tiempo para
la alta exigencia que hoy impone Internet.
Para dar respuesta a esta nueva revolucin tecnolgica, aparecen una serie de recomendaciones
giles, con diferentes estados de madurez, que inicialmente no son un estndar, pero rpidamente
ofrecen una gua o recomendacin de cmo se cree que es la forma ms conveniente de llevar a
cabo cualquier novedad de la red. Se trata de las RFC (Request For Commentaries), que proponen
una mecnica veloz para que el usuario final no sufra de los inconvenientes anteriormente
planteados, dando respuesta a las necesidades del mercado eficientemente.
Se produce aqu un punto de inflexin importante entre el estndar mundial y lo que se va
proponiendo poco a poco a travs de estas RFC, las cuales en muchos casos hacen referencia al
modelo OSI y en muchos otros no, apareciendo un nuevo modelo de referencia que no ajusta
exactamente con lo propuesto por OSI. Este modelo se conoce como Pila, stack o familia TCP/IP o
tambin como modelo DARPA, por la Agencia de Investigacin de proyectos avanzados del DoD
(Departamento de Defensa) de EEUU, que es quien inicialmente promueve este proyecto. Este
modelo que trata de simplificar el trabajo de las capas, y por no ser un estndar, se ve reflejado en la
interpretacin de los distintos autores como un modelo de cuatro o cinco capas.
Cada capa regula, o es encargada de una serie de funciones que deberan ser autnomas (cosa
que a veces no se cumple), es decir no tendra por qu depender de lo que se haga en otro nivel.
Dentro de este conjunto de tareas, es necesario destacar la razn de ser de cada una de ellas, su
objetivo principal, el cual lo podramos resumir de la siguiente forma:
Aplicacin: Usuario
Transporte: Es el primer nivel que ve la conexin de un extremo a otro
Red: Las rutas
Enlace: Nodo inmediatamente adyacente
Fsico: Aspectos mecnicos, fsicos, elctricos y pticos
Hagamos un corto resumen de cada capa de acuerdo al modelo OSI:

Nivel Fsico: Esta capa recibe las tramas de nivel 2, las convierte en seales elctricas u pticas y
las enva por el canal de comunicaciones. Define aspectos mecnicos, elctricos u pticos y
procedimentales. Algunas de las especificaciones ms comunes son: RS 232, V.24/V.28, X.21, X.25,
SONET, etc.
Funciones y servicios:
Activar/desactivar la conexin fsica.

Transmitir las unidades de datos.
Gestin de la capa fsica.
Identificacin de puntos extremos (Punto a punto y multipunto).
Secuenciamiento de bit (Entregar los bits en el mismo orden que los recibe).
Control de fallos fsicos del canal.
Nivel Enlace: Establece la conexin con el nodo inmediatamente adyacente. Bsicamente efecta el
control de flujo de la informacin.
Funciones o servicios:
Divisin de la conexin del enlace de datos (Divide un enlace de datos en varias conexiones
fsicas).
Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinmicamente).
Proporciona parmetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio entre
fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el trnsito, etc.
Deteccin de errores (CRC {Control de Redundancia Cclica} Checksum).
Correccin de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error Control}), sin eximir a
capas superiores de hacerlo.
La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link
Control), si bien esto no es contemplado por OSI.
Nivel de Red: La tarea fundamental de esta capa es la de enrutado y conmutacin de paquetes. Es

por esta razn que su trabajo acorde al tipo de conexin es muy variable. En una red de conmutacin
de paquetes puede ser implementado en detalle, en cambio al conmutar circuitos prcticamente no
tiene sentido.
Sus funciones y servicios son:
Encaminamiento y retransmisin (Define las rutas a seguir).

Conmutacin de paquetes.
Multiplexacin de conexiones de red.

Establecimiento de circuitos virtuales.

Direccionamiento de red.
Nivel de Transporte: Su tarea fundamental es la conexin de extremo a extremo (end to end).

Correspondencia entre direcciones de transporte y de red.

Supervisin de red.
Facturacin de extremo a extremo.
Nivel de Sesin: Permite el dilogo entre usuarios, entre dos ETD

Establecimiento del dilogo Half Dplex o Full Dplex.

Reseteado de sesin a un punto preestablecido.
Establecimiento de puntos de control en el flujo de datos para comprobaciones intermedias y
recuperacin durante la transferencia de archivos.
Abortos y re-arranques.
Nivel de Presentacin: Asigna una sintaxis a los datos (Cmo se unen las palabras).
Aceptacin de datos de nivel siete (Enteros, caracteres, etc), negociando la sintaxis elegida
(Ej: ASCII, EBCDIC,etc.).
Transformacin de datos para fines especiales (Ej: Compresin).
Codificacin de caracteres grficos y funciones de control grfico.
Seleccin del tipo de terminal.
Formatos de presentacin.
Cifrado.
Nivel de Aplicacin: Sirve de ventana a los procesos de aplicacin. Tiene en cuenta la semntica
(significado) de los datos.
Servicios de directorio (Transferencia de archivos).

Manejo de correo electrnico.
Terminal virtual.
Procesamiento de transacciones.
Como ya se mencion, el modelo OSI es sumamente amplio, si se quiere profundizar en este tema,
existen mucha informacin disponible para hacerlo.

Presentacin de protocolos TCP, UDP e IP

Dentro de esta pila de protocolos, como el modelo de referencia lo trata de mostrar, existen dos
niveles bien marcados. Hasta el nivel cuatro (transporte) miran hacia la red, por lo tanto todas las
actividades que aqu se desarrollan tienen relacin con el canal de comunicaciones y los nodos por
los que pasa la informacin. Dentro de esta divisin, se encuentra el corazn de esta familia, se trata
del protocolo IP de nivel 3 (red) y de los dos protocolos de nivel 4 (transporte) UDP y TCP. Sobre
estos tres cae toda la responsabilidad de hacer llegar la informacin a travs de la red.
Presentacin de protocolos: FTP, Telnet, ARP y R_ARP, SMTP, POP3, IMAP, MIME, SNMP, HTTP,
ICMP, IGMP, DNS, NetBIOS, SSL y TLS.
El resto de esta familia miran hacia el usuario. Se debe contemplar aqu las dos excepciones que
son ARP, R_ARP e ICMP-IGMP, que en realidad participan tambin en las tareas de red, pero
como un complemento de la misma. Con estas excepciones salvadas, todo lo dems que se ver
tiene como funcin principal cierta interaccin con el usuario final para ofrecer servicios y/o
funciones.
Principios del Anlisis de la Informacin

El anlisis de la informacin puede definirse como la aplicacin de tcnicas de procesamiento
automtico del lenguaje natural, de clasificacin automtica y de representacin grfica (cartografa)
del contenido cognitivo (conocimientos) y factual (fecha, lengua, tipo de publicacin) de los datos
bibliogrficos (o textuales). Esta definicin corresponde al anlisis asistido por computador.
Por anlisis de la informacin se entiende la fase de interpretacin

que el usuario realiza de una manera directa y manual.
En principio, independientemente del nivel que estemos analizando o evaluando, toda secuencia de
unos y ceros se interpreta como informacin; la misma puede estar relacionada a datos,
encabezados, control, etc pero siempre la consideraremos informacin. Este flujo de informacin
que se est intercambiando entre dos ETD se denomina Trfico (Broadcast, multicast y dirigido).
El anlisis de trfico consiste en desarmar cada trama, paquete, segmento, bloque de informacin y
analizarlos bit a bit, aqu se esconde la razn de ser de la seguridad.
Cuando un dispositivo de red comienza a recibir informacin cada uno de los niveles de la pila
TCP/IP comienza su tarea identificando bit a bit a qu mdulo le corresponde trabajar. Un mdulo
no es ms que un cdigo, script o programa que tiene todas las rdenes que debe realizar en ese
nivel y con esa secuencia de bits. Una vez que rene suficiente informacin para identificar
unvocamente a qu mdulo llamar, automticamente le pasa el control a ste y a partir de all
comienza su tarea.

Para el anlisis de trfico existen una gran cantidad de herramientas disponibles, tanto Open Source
como propietarias. Podramos mencionar a libpcap que es una conocida librera encargada de
capturar trfico. Existen para diferentes plataformas como Linux y Windows. Esta librera tiene una
caracterstica muy importante si nuestra conexin a la red lo permite, que es la de poder escuchar en
modo promiscuo. Cuando una informacin circula por la red e ingresa a un ETD, a medida que
cada nivel la va evaluando, decide si se dirige hacia l o no (en cada nivel), cuando no es para l
entonces debe descartar esa informacin y/o en algunos casos reenviarla. Cuando se logra operar
en modo promiscuo esto implica que no descarte informacin, sino que procese todo, sea para este
ETD o para cualquier otro. Por esta razn la idea de analizar trfico de una red, est particularmente
dirigida a poder escuchar TODO el trfico que circula por ella.
Al hablar de anlisis de trfico en una red, generalmente lo relacionamos con los conocidos
Sniffers, que bsicamente lo que hacen es husmear dentro de una red y capturar todo lo que se
pueda, para posteriormente analizarlo (por lo general en ASCCI o hexadecimal). En relacin a
libpcap podemos mencionar a tcpdump y ethereal
Existe una remarcada diferencia aqu, un sniffer slo captura trfico y lo presenta de manera ms o
menos amigable (y nada ms). Un analizador de protocolos, realiza esta tarea y a su vez procesa
esta informacin para obtener todas las posibles necesidades de usuario con la misma.
Un analizador de protocolos captura conversaciones entre dos o ms sistemas o dispositivos. No
solamente captura el trfico, sino que tambin lo analiza, decodifica e interpreta, brindando una
representacin de su escucha en lenguaje entendible por medio de la cual, se obtiene la informacin
necesaria para el anlisis de una red y las estadsticas que el analizador nos proporciona.
Esencialmente, un analizador de protocolos es una herramienta que provee informacin acerca del
flujo de datos sobre una LAN, mostrando exactamente qu es lo que est sucediendo en ella,
detectando anomalas, problemas o simplemente trfico innecesario. Una vez que un problema es
aislado, se pueden analizar las causas que lo producen y tomar las medidas para evitarlo.
En resumen, un analizador de protocolos debera proporcionarnos: estadsticas, captura de paquetes
y decodificacin y representacin de informacin histrica.
Como analizadores de protocolos podemos mencionar a Wireshark y Ethereal
Las tcnicas de deteccin de sniffers que se emplean
son varias y todas se basan en poder determinar si la interfaz
de red se encuentra en modo promiscuo, lo cual es un claro sntoma
de que desea recibir todo el trfico que pasa por ella.

Seguridad en la Capa Fsica

Desde el punto de vista de la seguridad fsica, nos interesa tener en cuenta, los aspectos
relacionados a:
Edificios, instalaciones, locales.

Autenticacin y control de acceso fsico.
Medios empleados para la transmisin de la informacin.
Conductos y gabinetes de comunicaciones.
Medios fsicos empleados para el almacenamiento (incluido backup) y procesamiento de la
informacin.
Documentacin, listados, plantillas, planos, etc.
Toda seal de comunicaciones para propagarse necesita de un medio fsico, sin ste sera
imposible establecer una comunicacin
Si bien es necesario un nivel de seguridad mnima en cualquier medio fsico, esto no debe llevarnos
a gastos o medidas de seguridad excesivas, es mucho ms importante identificar los sectores clave
y centrar all nuestra atencin. Una vez identificados, hay que volcar toda la informacin lo ms
detalladamente posible, y posteriormente que esto pase a formar parte de un Sistema de Gestin de
la Seguridad de la Informacin (SGSI).
Por ahora este concepto de SGSI, tiene que dejarnos la idea de que una documentacin que se
confecciona, si simplemente se guarda, tarde o temprano se pierde, se desactualiza o pierde valor.
Por lo tanto, desde ya debemos ir conciencindonos en al menos crear una sencilla infraestructura
para integrar todos los documentos, acciones, medidas y decisiones que se adopten de forma tal que
todo ello est siempre VIVO, con ello queremos decir, que se controle, actualice, se firme, se pueda
acceder siempre a la ltima versin, se sepa cmo y quin puede leer, modificar o eliminar y por
ltimo se integre al conjunto.
En el modelo TCP/IP tenemos la Capa de acceso de red que corresponden a la Capa 1 y 2 del
modelo OSI . Esta capa, tambin llamada host a red, se ocupa de todos los aspectos que involucren
convertir un paquete en una trama y transmitirlo en el medio fsico. Esta capa se encarga de las
funciones de las capas fsica y de enlace de datos del modelo OSI.
Las vulnerabilidades de la capa de red estn estrechamente ligadas al medio sobre el que se realiza
la conexin. Esta capa presenta problemas de control de acceso y de condencialidad. Son ejemplos
de vulnerabilidades a este nivel los ataques a las lneas punto a punto: desvo de los cables de
conexin hacia otros sistemas, interceptacin intrusiva de las comunicaciones (pinchar la lnea),
escuchas no intrusivas en medios de transmisin sin cables, etc.
Aspectos mecnicos:
Aqu revista especial importancia para auditar el canal de comunicaciones que se emplee, este
puede ser:
Propio o arrendado: Un vnculo propio si pasa exclusivamente por caminos de acceso no

pblico, incrementa la seguridad de interceptacin. Por el contrario si es arrendado, se debe
ser consciente que puede ser interceptado; para este caso existen estrategias de canal

seguro, tneles o criptografa que incrementa la seguridad.

Cable de cobre: Este medio presenta la caracterstica que es difcil detectar su interceptacin
fsica Pinchado de lnea.
Fibra ptica: La fibra ptica se la puede considerar imposible de interceptar, pues si bien
existen divisores pticos, la colocacin de los mismos implica un corte del canal y una fcil
deteccin por prdida de potencia ptica.
Lser: Este medio genera un haz de luz prcticamente lineal, apuntado a un receptor, el cual
es el nico punto en el que impacta la seal. Si bien es interceptable, en forma similar a la
fibra ptica se detecta con facilidad, y a su vez por encontrarse visualmente unidos, con una
inspeccin ptica se reconoce su trayectoria.
Infrarrojo: Este se implementa de dos formas, de alcance directo y por reflexin. El primero se
lo emplea en distancias extremadamente cortas, y el segundo se refleja en las paredes de los
ambientes, llegando parte de esta seal al receptor, por lo tanto es altamente vulnerable si se
encuentra dentro de los locales de alcance (que es muy reducido).
Radiofrecuencia: Las distintas ondas de radio cubren una amplia gama de posibilidades,
desde la HF hasta las microondas y hoy las LMDS (Local Multipoint Distributed Signal). En
general cualquiera de ellas son interceptables y su anlisis de detalle implica el tipo de seal
(digital o analgica), el ancho de banda disponible, el tipo de modulacin, y la frecuencia
empleada.
Satlite: Si bien se trata de radiofrecuencia, su implementacin difiere en el hecho de poseer
una antena reflectora llamada satlite a 36.000 km de altura en el caso de los
geoestacionarios. Este recibe la seal proveniente de tierra si se encuentra dentro de su cono
de aceptacin (rea de cobertura), le cambia de frecuencia y la reenva dentro de su cono de
aceptacin. La conclusin cae de maduro, cualquiera que se encuentre dentro de este cono,
est en capacidad de escuchar la seal.
Cada uno de ellos implica una caracterstica diferente en su auditora de seguridad. Para poder
iniciar su auditora el punto de partida excluyente son los planos de la red. En los mismos se deber
auditar los siguientes detalles:
Identificacin de los canales: Aqu debe estar claramente marcada su numeracin, extremos,
puestos de trabajo conectados y bocas vacantes.
Cules son los tramos crticos?: Se debe analizar las reas de la Empresa donde
fsicamente residen las cuentas que tramitarn la informacin de mayor importancia. Sobre
estos canales incrementar las medidas de seguridad, en lo posible emplear fibra ptica.
Gabinetes de comunicaciones: Ubicacin, llaves, seguridad de acceso al mismo,
componentes que posee, identificacin de las bocas.
Caminos que siguen: Planos de los locales y perfectamente identificados los conductos que
siguen, es eficiente su ubicacin por colores (Zcalos, bajo pisos, falso techos, cable canal,
etc.).
Dispositivos de Hardware de red (teniendo en cuenta solo los aspectos fsicos): Qu
dispositivos existen, su ubicacin, claves de acceso, configuracin de los mismos, resguardo
de configuraciones, permisos de accesos, habilitacin o deshabilitacin de puertos.
Dispositivos mecnicos u pticos de control de acceso: Hoy en da es comn encontrarse con
dispositivos de control de acceso por tarjetas, biomtricos, dactilares, etc. A cualquiera de
estos se le debe aplicar los mismos controles que al hardware de red.
Certificacin de los medios: Mediciones realizadas acorde a lo establecido en la norma TSB
67 TIA/EIA (Telecommunications Industy Association/Electronics Industry Association) que
especifica los parmetros de certificacin que se deben realizar en los distintos medios de

comunicaciones.
Control de cambios: Toda modificacin que frecuentemente se realiza en una red debe
quedar documentada y controlada luego de su implementacin. El abandono de esta
documentacin es el primer paso hacia una red insegura a nivel fsico, pues en muy pocos
aos existir un total descontrol del conectorizado de la red.
Plan de Inspecciones peridicas: Es importante contar con un cronograma de trabajo que
contemple la inspeccin (recorridas, controles, verificacin remota de configuraciones, control
de cambios, roturas, etc.) de los detalles anteriormente mencionados, para evitar justamente
alteraciones intencionales o no.
Inventarios de equipamiento: El control de inventarios es una buena medida. En particular
haciendo hincapi en cambios y repotenciaciones, pues involucra dispositivos que pueden
haber almacenado informacin.
Control de actas de destruccin: Toda documentacin de importancia o dispositivos de
almacenamiento que dejan de prestar servicio o vigencia, debe ser destruido fsicamente para
imposibilitar un futuro acceso a esa informacin, dejando una constancia de esta operacin,
en lo posible controlada por ms de una persona.
Seguridad fsica en la guarda de documentacin y archivos: Se debe respetar un plan de
resguardo de estos elementos acorde a distintos niveles de seguridad.
Seguridad fsica de los locales: Todo local que posea elementos que permitan fsicamente
conectarse a la red debe poseer las medidas de seguridad de acceso correspondiente, y
estar claramente identificado quien est autorizado a ingresar al mismo.
Medidas de resguardo de informacin: La prdida de datos es un error grave en un servidor,
el responsable de una base de datos, no es el usuario que tiene derecho a no conocer los
mecanismos de seguridad en el Backup, sino directamente el Administrador de ese servidor.
Las medidas de Backup nunca deben ser nicas, se deben implementar todas las existentes
y con ms de un nivel de redundancia acorde a la importancia de la informacin a respaldar
(cintas, discos extrables, Jazz, etc.).
Coordinaciones con el personal de seguridad: Los responsables de la seguridad fsica de la
empresa deben contar con una carpeta que regule claramente las medidas de seguridad a
tener en cuenta para las instalaciones de red y como proceder ante cualquier tipo de
anomala.
Se puede auditar tambin planes y medidas contra incendio, evacuacin y contingencias:
Todos estos se relacionan en forma directa con la seguridad, pues se debe tener en cuenta
que la prdida de informacin es una de las responsabilidades ms importantes de la
seguridad.
Control de mdem, hub y repeater: Los elementos de Hardware que operan estrictamente a
nivel 1 son estos tres, pues slo entienden de aspectos elctricos u pticos (Regeneran las
seales), mecnicos (Hacen de interfaz entre conectores BNC, RJ-45, pticos, DB-25, DB15, Winchester, etc.) y lgicos (Interpretan los niveles de tensin como unos o ceros). Por lo
tanto la configuracin de los mismos debe ser auditada aqu. Los aspectos fundamentales a
controlar son: direcciones, claves de acceso, programacin de puertos, protocolos
autorizados, y un especial inters en los que poseen acceso por consola.
Auditora de otros componentes de acceso: En esta categora se debe contemplar mdem
ADSL, DTU/CSU, PAD en X.25, Placas ISDN, ATM, centrales telefnicas, etc. Se debe
prestar especial atencin a los Host que tienen conectados mdem, llevando un registro de
estos, y monitorendolos con frecuencia, pues aqu existe una peligrosa puerta trasera de la
red. No se debe permitir conectar mdem que no estn autorizados.
Un Apartado muy especial debe ser considerado hoy para los dispositivos de almacenamiento
mvil: Memorias de todo tipo, discos externos, mp3, mviles, ipod, ipad, etc prestando

especial atencin a la metodologa de conexin: USB, firewire, bluetooth.

Aspectos lgicos:
Anlisis de la topologa de la red: Este detalle impondr una lgica de transmisin de la

informacin.
Estrategias de expansin: El crecimiento de una red es uno de los primeros parmetros de
diseo, una red bien diseada responder a un crecimiento lgico adecuado, por el contrario,
si se parte mal desde el inicio, llevar inexorablemente a un crecimiento irregular que
ocasionar la prdida del control de la misma.
Asignacin de prioridades y reservas para el acceso a la red: Esta medida se lleva a cabo en
redes 802.4, 802.5 y 802.11 (mucho cuidado), y permite regular los accesos al canal, es una
medida importante a modificar por alguien que desea incrementar su poder en la red.
Lgica empleada para VPN (Redes privadas Virtuales): Una capacidad que ofrecen hoy los
dispositivos de red, es de configurar puertos formando grupos independientes como si fueran
distintos Hub, switch o router. La lgica que se emplea en estos casos es de sumo inters
pues en realidad se trata de redes aisladas lgicamente, las cuales se integrarn o no en un
dispositivo de nivel jerrquico superior. Si se encuentra este tipo de empleo, se debe
replantear la distribucin fsica de la red, pues a travs de estos grupos, la topologa lgica de
esta red, diferir de lo que los planos indican
Anlisis de circuitos, canales o caminos lgicos: En las redes WAN orientadas a la conexin
se programan generalmente en forma previa la conformacin de estos medios. Se debe
controlar especialmente que no se encuentre nada fuera de lo permitido.
Puntos de acceso a la red: Auditar que est perfectamente documentado y que cada una de
las puertas de acceso a la red sea estrictamente necesaria pues lo ideal es que exista una
sola. Especial inters hoy respecto a las tecnologas inalmbricas.
Aspectos elctricos u pticos:
Potencia elctrica u ptica: La irradiacin de toda seal electromagntica implica el hecho de

ser escuchado (en esto se basa la guerra electrnica). Cuanto menor sea la potencia, ms se
reduce el radio de propagacin. Este detalle es especialmente significativo en antenas o
fibras pticas.
Rango de frecuencias empleadas: Se debe especificar la totalidad de los canales que se
emplean y su tipo (Smplex, semidplex, dplex, analgico, digital, PCM, E1, etc.).
Planos de distribucin de emisores y receptores : Se deber aclarar su ubicacin,
caractersticas tcnicas, alcance, radio y medidas de proteccin.
Ruido y distorsin en lneas: Este factor causa prdida de informacin y facilita la posibilidad
de ataques y deteccin de los mismos.

Seguridad en la Capa de Enlace

Existen varios protocolos de comunicaciones que operan a nivel de enlace, nos centraremos
exclusivamente en los dos ms relevantes que son 802.3 (CSMA/CD Ethernet) y 802.11 (Redes
inalmbricas WLAN).
La familia 802.X, tiene este nombre justamente porque se crea un comit de IEEE en el ao 80
durante el mes de febrero (2), cuando el concepto de redes LAN comienza a imponerse como algo
digno de ser analizado. Dentro de este comit se conforman diferentes grupos de trabajo, los cuales
en la actualidad son denominados de la siguiente forma:
IEEE 802.1 Normalizacin de interfaz.

IEEE 802.2 Control de enlace lgico.
IEEE 802.3 CSMA / CD (ETHERNET)
IEEE 802.4 Token bus.
IEEE 802.5 Token ring.
IEEE 802.6 MAN (ciudad) (fibra ptica)
IEEE 802.7 Grupo Asesor en Banda ancha.
IEEE 802.8 Grupo Asesor en Fibras pticas.
IEEE 802.9 Voz y datos en LAN.
IEEE 802.10 Seguridad.
IEEE 802.11 Redes inalmbricas WLAN.
IEEE 802.12 Prioridad por demanda
IEEE 802.13 Se ha evitado su uso por supersticin
IEEE 802.14 Modems de cable.
IEEE 802.15 WPAN (Bluetooth)
IEEE 802.16 Redes de acceso metropolitanas sin hilos de banda ancha (WIMAX)
IEEE 802.17 Anillo de paquete elstico.
IEEE 802.18 Grupo de Asesora Tcnica sobre Normativas de Radio.
IEEE 802.19 Grupo de Asesora Tcnica sobre Coexistencia.
IEEE 802.20 Mobile Broadband Wireless Access.
IEEE 802.21 Media Independent Handoff.
IEEE 802.22 Wireless Regional Area Network.
Al igual que con la Capa Fsica, las vulnerabilidades de esta capa estn ligadas al medio sobre el
que se realiza la conexin y/o transmisin de datos.
Este nivel comprende la conexin con el nodo inmediatamente adyacente, lo cual en una red punto a
punto es sumamente claro, pero en una red LAN, es difcil de interpretar cual es el nodo adyacente.
Por esta razn como mencionamos en la teora IEEE los separa en 2 subniveles: LLC y MAC (LLC:
Logical Link Control, MAC: Medium Access Control), en realidad como una de las caractersticas de
una LAN es el empleo de un nico canal por todos los Host, el nodo adyacente son todos los Host.
La importancia de este nivel, es que es el ltimo que encapsula todos los anteriores, por lo tanto si se
escucha y se sabe desencapsular se tiene acceso a absolutamente toda la informacin que circula
en una red. Bajo este concepto se trata del que revista mayor importancia para el anlisis de una red.

Las herramientas que operan a este nivel son las que hemos visto como Analizadores de
protocolos y existen diferentes tipos. A nivel de Hardware podemos mencionar Internet Advisor de
Hewlett Packard o el Domin de Vandell & Goltermann, poseen la gran ventaja de operar
naturalmente en modo promiscuo.
Qu debemos auditar:
Control de direcciones de Hardware: El objetivo de mxima en este nivel (Pocas veces

realizado) es poseer el control de la totalidad de las direcciones de Hardware de la red. Esto
implica poseer la lista completa del direccionamiento MAC o tambin llamado NIC (Network
Interface Card), es decir de las tarjetas de red.
Auditora de configuracin de Bridge o Switch: Estos son los dispositivos que operan a nivel 2
(En realidad el concepto puro de Switch es el de un Bridge multipuerto), su trabajo consta de
ir aprendiendo por qu puerto se hace presente cada direccin MAC, y a medida que va
aprendiendo, conmuta el trfico por la puerta adecuada, segmentando la red en distintos
Dominios de colisin. La totalidad de estos dispositivos es administrable en forma remota o
por consola, las medidas que se pueden tomar en su configuracin son variadas y de suma
importancia en el trfico de una red.
Anlisis de trfico: En este nivel la transmisin puede ser Unicast (de uno a uno), Multicast
(de uno a muchos) o Broadcast (de uno a todos). La performance (rendimiento) de una red se
ve seriamente resentida con la presencia de Broadcast, de hecho esta es una de las medidas
de mayor inters para optimizar redes y tambin es motivo de un conocido ataque a la
disponibilidad llamado Bombardeo de Broadcast. Otro tipo de medidas es el anlisis de los
multicast, pues son estos los mensajes que intercambian los Router, y es de sumo provecho
para un interesado en una red ajena ser partcipe de estos grupos, pues en ellos encontrar
servida toda la informacin de ruteo de la red.
Anlisis de colisiones: Una colisin se produce cuando un host transmite y otro en un
intervalo de tiempo menor a 512 microsegundos (que es el tamao mnimo de una trama
Ethernet) si se encuentra a una distancia tal que la seal del primero no lleg, se le ocurre
transmitir tambin. Ante este hecho, los dos host hacen silencio y esperan una cantidad
aleatoria de tiempos de ranura (512 microsegundos), e intentan transmitir nuevamente. Si
se tiene acceso fsico a la red, un ataque de negacin de servicio, es justamente generar
colisiones, pues obliga a hacer silencio a todos los Host de ese segmento.
Deteccin de Sniffers o analizadores de protocolos : Esta es una de las tareas ms difciles
pues estos elementos solamente escuchan, solo se hacen presentes cuando emplean
agentes remotos que colectan informacin de un determinado segmento o subred, y en
intervalos de sondeo, la transmiten al colector de datos.
Evaluacin de puntos de acceso WiFi: Esta tecnologa slo es segura si se configura
adecuadamente, por lo tanto en este aspecto es de especial inters verificar qu tipo de
protocolos de autenticacin se han configurado, los permisos de acceso a estos dispositivos,
su potencia de emisin, la emisin de beacons, etc.
Evaluacin de dispositivos bluetooth: Aunque no es un tema an explotado de forma
frecuente, no debemos dejar de lado la existencia de este tipo de dispositivos y sobre todo
que en muchas aplicaciones y hardware viene activado por defecto, con lo que estando a una
distancia adecuada, es posible su explotacin.

Seguridad en la Capa de Red

La funcin principal de esta capa es el manejo de rutas. Se basa principalmente en el protocolo IP.
Se trata de un protocolo de nivel 3 no orientado a la conexin, permitiendo el intercambio de datos
sin el establecimiento previo de la llamada. Una caracterstica fundamental es que soporta las
operaciones de fragmentacin y defragmentacin, por medio de las cuales un datagrama se
subdivide y segmenta en paquetes ms pequeos para ser introducidos a la red, y luego en destino
se reconstruyen en su formato original para entregarlos al nivel superior. La otra operacin que
revista importancia es el ruteo, el cual implementa por medio de un esquema de direccionamiento.
A nivel del modelo TCP/IP tenemos a la Capa de Internet, en esta capa se puede realizar cualquier
ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las tcnicas de
snifng, la suplantacin de mensajes, la modicacin de datos, los retrasos de mensajes y la
denegacin de mensajes.
Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La
suplantacin de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje
antes de que lo haga el suplantado. En esta capa, la autenticacin de los paquetes se realiza a nivel
de mquina (por direccin IP) y no a nivel de usuario. Si un sistema suministra una direccin de
mquina errnea, el receptor no detectar la suplantacin. Para conseguir su objetivo, este tipo de
ataques suele utilizar otras tcnicas, como la prediccin de nmeros de secuencia TCP, el
envenenamiento de tablas cach, etc. Por otro lado, los paquetes se pueden manipular si se
modican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. Si esto es
posible, el receptor ser incapaz de detectar el cambio.
El centro de atencin de la auditora en este nivel, deber estar puestos en los mensajes de ruta y
direcciones:
Auditoras en Router: (Este es el dispositivo por excelencia en este nivel)
Control de contraseas: Los router permiten la configuracin de distintos tipos de

contraseas, para acceder al modo usuario es la primera que solicita si se accede va Telnet,
luego tambin para el ingreso a modo privilegiado, tambin se permite el acceso a una
contrasea cifrada, la de acceso va consola y por ltimo por medio de interfaz grfica por
http.
Configuracin del router: Dentro de este aspecto se contemplan los detalles de configuracin
que muchas veces en forma innecesaria quedan habilitados y no se emplean (Broadcast
Subnetting, local loop, puertos, rutas, etc.)
Resguardo de las configuraciones: Un detalle de suma importancia es guardar la
startupconfig en forma consistente con la running-config, y esta a su vez en un servidor t_ftp,
como as tambin en forma impresa.
Protocolos de ruteo: El empleo de los protocolos de ruteo es crtico pues la mayor flexibilidad
est dada por el uso de los dinmicos (RIP, IGRP, EIGRP, OSPF), pero se debe tener en
cuenta que con esta medida se facilita informacin para ser aprovechada por intrusos, los
cuales a su vez pueden emplearla para hacerse partcipe de las tablas de ruteo (En especial
con RIP pues no se puede verificar el origen de los costos de las rutas, en OSPF, es ms fcil
pues se enva una tabla completa que pertenece a un router especfico y a su vez a este se lo
puede verificar con dos niveles de contrasea: normal y Message Digest). Las tablas de ruteo
estticas, por el contrario, incrementan sensiblemente las medidas de seguridad, pues toda

ruta que no est contemplada, no podr ser alcanzada.

Listas de control de acceso: Son la medida primaria de acceso a una red
Listas de acceso extendidas: Amplan las funciones de las anteriores, generalmente con
parmetros de nivel de transporte
Archivos .Log: Permiten generar las alarmas necesarias.
Seguridad en el acceso por consola: Se debe prestar especial atencin pues por defecto
viene habilitada sin restricciones, y si se tiene acceso fsico al router, se obtiene el control
total del mismo. Siempre hay que tener presente que un usuario experto, si tiene acceso
fsico puede iniciar la secuencia de recuperacin de contrasea e iniciar el router con una
contrasea nueva.
Auditoras de trfico ICMP:
Mejor ruta: Este se trata del Tipo Nro 5 de mensaje ICMP, y su mal empleo permite triangular
la ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la
informacin deseada.
Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con una
solicitud y respuesta de eco (Tipo 0 y 8, conocido como ping). Un conocido ataque es enviarlo
con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe
como tratarlo y se bloquea. Cabe aclarar que hoy la masa de los sistemas ya no lo permiten.
Tambin se puede negar el servicio, por medio de una inundacin de estos.
Destino no alcanzable: Es el tipo 3 de ICMP, lo importante pasa por los cdigos en que se
subdivide, pues por medio de estos, se obtiene informacin que es de sumo inters. Al recibir
respuestas de destino no alcanzable, desde ya no es lo mismo esta situacin si se trata de
prohibicin de acceso, de puertos negados, de Servidores que administrativamente niegan
acceso a sus aplicaciones, etc.
Auditora ARP:
El ataque ARP es uno de los ms difciles de detectar pues se refiere a una asociacin incorrecta de
direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la red y
comparar permanentemente las mismas con un patrn de referencia vlido. Existen programas que
realizan esta tarea, como Arpwatch, siendo de los ms conocidos.
Auditora de direccionamiento IP:
Existen dos formas de asignacin de direcciones IP (antiguamente exista tambin una asignacin
automtica que hoy prcticamente no se emplea ms):
Esttico: Se implementa en cada host manualmente, y se hace presente en la red siempre

con la misma direccin IP.
Dinmico: Se asigna a travs del empleo del protocolo DHCP dentro del rango que se desee.
Se debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar
varios parmetros, uno de ellos tambin es la mscara de subred.

Seguridad en la Capa de Transporte

La capa de transporte se encarga de la calidad de servicio, garantizando, cuando la aplicacin lo
requiera, confiabilidad, control de flujo, segmentacin y control de errores en la comunicacin. Se
basa en dos protocolos, TCP (orientado a la conexin) y UDP (no orientado a la conexin). La capa
de transporte transmite informacin TCP o UDP sobre datagramas IP. En esta capa podamos
encontrar problemas de autenticacin, de integridad y de condencialidad. Algunos de los ataques
ms conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte.
En cuanto a los mecanismos de seguridad incorporados en el diseo del protocolo de TCP (como las
negociaciones involucradas en el establecimiento de una sesin TCP), existe una serie de ataques
que aprovechan ciertas deciencias en su diseo. Una de las vulnerabilidades ms graves contra
estos mecanismos de control puede comportar la posibilidad de interceptacin de sesiones TCP
establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con nes deshonestos.
Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de
TCP respecto a la autenticacin de los equipos involucrados en una sesin. As, si un usuario hostil
puede observar los intercambios de informacin utilizados durante el inicio de la sesin y es capaz
de interceptar con xito una conexin en marcha con todos los parmetros de autenticacin
congurados adecuadamente, podr secuestrar la sesin.
En este nivel dentro de la pila TCP/IP como se mencion con anterioridad, existirn dos
posibilidades, operar en modo orientado a la conexin para lo cual se emplea TCP o sin conexin
cuyo protocolo es UDP, el responsable de decidir a qu protocolo le entregar su mensaje es el que
se emplee en el nivel superior, para lo cual existe el concepto de Puerto que es el SAP (Service
Acces Point) entre el nivel de transporte y el de aplicacin. En este nivel los dos elementos
importantes a auditar son el establecimiento de sesiones y los puertos, los cuales se pueden
determinar con las siguientes actividades:
Auditoras de establecimientos y cierres de sesin:

Ataques LAND.
Inundacin de SYN.
Auditoras en UDP: Este protocolo por no ser orientado a la conexin, no implementa ninguno
de los bit de TCP, por lo tanto, es sumamente difcil regular su ingreso o egreso seguro en
una red. Mientras que un Proxy, solo puede regular las sesiones TCP, una de las grandes
diferencias con un Firewall es que el ltimo puede Recordar las asociaciones entre los
segmentos UDP y el datagrama correspondiente, de manera tal de poder filtrar toda
asociacin inconsistente. Este tipo de Firewall son los que permiten el filtrado dinmico de
paquetes. Como medida precautoria cierre todos los puertos UDP que no necesite.
Auditora en Puertos UDP y TCP: Dentro del encabezado de TCP o UDP se encuentran los
campos Puerto Origen y Puerto Destino, los cuales son uno de los detalles ms importantes a
auditar dentro de una red pues a travs de ellos, se puede ingresar a un Host y operar dentro
de este. Por lo tanto se deber considerar las medidas a adoptar acorde a los puertos
detallados en el captulo del nivel de transporte referido en lo referente al anlisis de puertos.
Auditora de puertos de Ataque Back Oriffice 2K y Netbus: Se deber prestar especial
atencin a este tipo de ataques. La metodologa de operacin de estas herramientas implica
inexorablemente la infeccin de la mquina destino y luego desde esta misma iniciar las
conexiones hacia el exterior, por lo tanto en una red bien asegurada es muy sencillo de
identificar.
Auditora de Troyanos: Se deber prestar especial atencin a este tipo de actividades, lo cual

como se acaba de mencionar en el punto anterior, implica procesos muy similares.
Seguridad en la Capa de Aplicacin

Una vez superado el nivel cuatro (transporte), todas las funciones y/o servicios se orientan de cara
al usuario. Es decir, a partir de este nivel es poco probable que encontremos aspectos relacionados
a la red, en cambio entraremos a lo que en el modelo TCP/IP engloba como Aplicacin, que
recordamos que aqu es donde existe la mayor diferencia con el modelo OSI que lo trata como tres
capas diferentes (5: Sesin, 6: Presentacin, 7: Aplicacin).
La capa de aplicacin tal vez sea el nivel donde mayor cantidad de protocolos existen
El modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en esta capa, aqu
se definen los protocolos de alto nivel, aspectos de representacin y codificacin de los datos y
control de dilogo entre procesos. La capa de aplicacin presenta varias deficiencias de seguridad
asociadas a sus protocolos. Debido al gran nmero de protocolos definidos en esta capa, la cantidad
de deficiencias presentes tambin ser superior al resto de capas.
Auditora de servidores de correo, Web, TFP y TFP, Proxy:
Limitar el acceso a reas especficas de esos servidores.

Especificar las listas o grupos de usuarios con sus permisos correspondientes. Prestar
especial atencin a la cuenta Annimos y a toda aquella que presente nombres de fcil
aprovechamiento.
Requerir contraseas seguras.
Siempre controlar los archivos. Log
Deshabilitar ndices de directorios.
Deshabilitar todos los servicios de red que no sean empleados por el servidor
Auditoras de accesos remotos: En la actualidad es comn el trabajo fuera de la Empresa,
para lo cual es una buena medida permitir el acceso por medio de lneas telefnicas tanto
fijas, mviles como ADSL. Al implementar esta medida, el primer concepto a tener en cuenta
es Centralizarla, es decir implementar un pool de mdem o un Access Server (Router con
puertos asincrnicos) como nica puerta de ingreso. La segunda actividad es Auditarla
permanentemente. Todo sistema que posibilite el ingreso telefnico, posee algn tipo de
registros, estos deben ser implementados en forma detallada y su seguimiento es una de las
actividades de mayor inters. Una medida importante es incrementar las medidas de
autenticacin y autorizacin sobre estos accesos.
Auditoras en Firewall: Un Firewall, es un sistema de defensa ubicado entre la red que se
desea asegurar y el exterior, por lo tanto todo el trfico de entrada o salida debe pasar
obligatoriamente por esta barrera de seguridad que debe ser capaz de autorizar, denegar, y
tomar nota de aquello que ocurre en la red. Aunque hay programas que se vendan bajo la
denominacin de Firewall, un Firewall NO es un programa. Un Firewall consiste en un
conjunto de medidas de Hardware y Software destinadas a asegurar una instalacin de red.
Un Firewall recordemos que acta en los niveles 3 (red) a 7 (aplicacin) de OSI.
Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de correo,
envindole una cantidad suficiente de mails. Se debe tener en cuenta que hasta que el
usuario buscado no se conecte, los mensajes permanecern en el servidor. Si esto se

produce, no se poseer capacidad de almacenamiento para ningn otro mensaje entrante,

por lo tanto se inhibir el servicio de correo electrnico. Se puede tambin generar reportes si
el trfico de correo crece repentinamente. La solucin: Auditar espacio en disco rgido
enviando las alarmas correspondientes una vez alcanzado el porcentaje establecido. Dedicar
grandes reas de disco al almacenamiento de mensajes, y separar esta rea del resto del
sistema.
Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenar el sistema de .Log y de
administracin de red. Misma solucin que el caso anterior
FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar atencin son los
de Comando (21) y de datos (20) que estn reservados para ftp. El acceso a una red a travs
de los mismos es bastante comn. La principal ventaja que ofrecen es que se puede regular
con bastante precisin su flujo de establecimiento de sesiones: Siempre es el cliente el que
inicia el establecimiento de la sesin y en primer orden sobre el puerto 21 (comando), una vez
establecido este triple Handshake, se inicia el establecimiento de sesin sobre el puerto 20
(datos). En este segundo proceso recordemos que pueden existir dos posibilidades: activa y
pasiva.
Servidores DNS: Recordemos prestar especial atencin a la configuracin de los mismos, en
especial al trfico TCO sobre el puerto 53
Servidores de correo: Una de las principales herramientas que emplean los spammers para
ocultar sus rastros son la infeccin de servidores de correo que tienen activada la opcin de
replay (o rel), la infeccin de un servidor de este tipo es muy difcil de localizar, pero no lo es
as en cuanto al anlisis de trfico, pues se incrementa de forma muy voluminosa, por lo tanto
es una buena prctica evaluar el trfico entrante y saliente (no su contenido) peridicamente.
Seguridad en Protocolos
DNS
En la capa de aplicacin nos encontramos con protocolos como el DNS. Las vulnerabilidades de este
protocolo las podemos clasificar en cuatro:
UDP: Entre los servidores se transfieren grandes volmenes de informacin a travs del
puerto UDP 53, el cual por ser no orientado a la conexin lo hace especialmente difcil de
controlar y filtrar, aprovechndose esta debilidad.
Obtencin de Informacin: Los servidores DNS almacenan informacin importante, la cual es
muy buscada y fcilmente obtenible por un intruso.
Texto plano: Toda la infromacin viaja en texto plano.
Falta de autenticacin: El protocolo no ofrece ninguna tcnica de autenticacin.
Los DNS tambin pueden ser vulnerables a la tcnica de spoof, que se puede implementar en
muchos protocolos y niveles, en este caso consiste en falsificar una respuesta DNS, ofreciendo una
direccin IP que no es la que verdaderamente est relacionada con ese nombre. Lo natural sera
infectar o envenenar las tablas de un servidor DNS maestro, y con ello se propagara y cualquier
consulta hacia el nombre infectado, lo respondera con la direccin IP falsa. La realidad es que es
relativamente difcil esta tarea, pues los DNS maestros de Internet suelen estar bastante asegurados
y monitorizados como para que esta actividad, inclusive en el caso de lograrla, no sea detectada de
forma bastante rpida y solucionada.
Telnet
Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identicador de usuario
y su contrasea, que se transmiten en claro por la red. As, al igual que el resto de servicios de
internet que no protegen los datos mediante mecanismos de proteccin, el protocolo de aplicacin
Telnet hace posible la captura de aplicacin sensible mediante el uso de tcnicas de snifng.
Actualmente existen otros protocolos a nivel de aplicacin (como, por ejemplo, SSH) para acceder a
un servicio equivalente a Telnet pero de manera segura (mediante autenticacin fuerte). Aun as, el
hecho de cifrar el identicador del usuario y la contrasea no impide que un atacante que las
conozca acceda al servicio.
File Transfer Protocol (FTP)
Al igual que Telnet, FTP es un protocolo que enva la informacin en claro (tanto por el canal de
datos como por el canal de comandos). As pues, al enviar el identicador de usuario y la contrasea
en claro por una red potencialmente hostil, presenta las mismas deciencias de seguridad que
veamos anteriormente con el protocolo Telnet. Aparte de pensar en mecanismos de proteccin de
informacin para solucionar el problema, FTP permite la conexin annima a una zona restringida en
la cual slo se permite la descarga de archivos. De este modo, se restringen considerablemente los
posibles problemas de seguridad relacionados con la captura de contraseas, sin limitar una de las
funcionalidades ms interesantes del servicio.
Hypertext Transfer Protocol (HTTP y HTTPS)
El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades ms
conocidas procede de la posibilidad de entrega de informacin por parte de los usuarios del servicio.
Esta entrega de informacin desde el cliente de HTTP es posible mediante la ejecucin remota de
cdigo en la parte del servidor. La ejecucin de este cdigo por parte del servidor suele utilizarse
para dar el formato adecuado tanto a la informacin entregada por el usuario como a los resultados
devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este cdigo que
se ejecuta presenta deciencias de programacin, la seguridad del equipo en el que est
funcionando el servidor se podr poner en peligro.
Se trata del protocolo principal que regula todo el sistema de navegacin a travs de pginas Web.
Este es el protocolo empleado entre clientes y servidores Web. La diferencia con los dems
protocolos de nivel de aplicacin es que este establece una sesin por cada informacin requerida
(texto, sonido, grficos, etc), esta finaliza al completarse la solicitud. Es normal la apertura de varias
sesiones para bajar una sola pgina. Desde la versin 1.0 en adelante incorpora MIME (Multimedia
Internet Mail Extensions) para soportar la negociacin de distintos tipos de datos.
El acceso a este protocolo es por medio del puerto TCP 80 por defecto, pero es comn en redes
privadas el empleo de otro para incrementar las medidas de seguridad.
Todo lo que viaja a travs de HTTP lo hace en texto plano, en otras palabras: puede ser ledo si se
interceptan los datos. Por tal motivo surgi HTTPS.
Hypertext Transfer Protocol Secure (en espaol: Protocolo seguro de transferencia de hipertexto),
ms conocido por sus siglas HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado
a la transferencia segura de datos de hipertexto, es decir, es la versin segura de HTTP.
El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de
cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el
trfico de informacin sensible que el protocolo HTTP. De este modo se consigue que la informacin
sensible (usuario y claves de paso normalmente) no puede ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexin, ya que lo nico que obtendr ser
un flujo de datos cifrados que le resultar imposible (en teora y dependiendo del cifrado) de
descifrar.
Correo electrnico: SMTP, POP y MIME
Una pasarela SMTP es un host con dos conexiones a redes distintas. Las pasarelas SMTP se
pueden implementar de forma que conecten distintos tipos de redes. Se puede prohibir el acceso a la
pasarela a determinados nodos de la red, empleando la sentencia de configuracin RESTRICT.
Alternativamente, la seguridad se puede implementar con un fichero de autorizacin de accesos, que
es una tabla en la que se especifican de quin y a quin se puede enviar correo por la pasarela.
POP es un protocolo permite a un usuario conectarse a un sistema y entregar su correo usando su
nombre de usuario y contrasea (muy usado en UNIX) a travs del puerto TCP 110. La metodologa
a seguir para descargar correo es la misma que en SMTP, lo cual implica que cuando un servidor
recibe un mail, establece la sesin SMTP con este destino y entrega su mensaje.
Una mejora que aparece a POP son las extensiones MIME, (Multimedia Internet Mail Extension), las
cuales estn estandarizadas por las RFC-2045 a 2049 y su tarea principal es extender el contenido
de los mensajes de correo para poder adjuntar datos de tipo genricos.
Las dos grandes vulnerabilidades que sufre el correo electrnico son referidas a su privacidad y su
seguridad, dentro de ellas existen debilidades concretas.
La privacidad es fcilmente vulnerable pues el correo viaja como texto plano, es decir, que si no se
emplea algn algoritmo criptogrfico, cualquiera puede tener acceso al mismo. En este tema, la
mejor analoga es la del correo postal, en el cual a nadie se le ocurre enviar una carta sin el sobre.
La seguridad es atacada con dos tcnicas puntuales: las bombas de correo (varias copias de un
mismo mail a un solo destino) y el Spam (Correo no autorizado).
Las herramientas con que se cuenta para defenderse de estas vulnerabilidades son:
S/MIME: Desarrollado por RSA el cual es una especificacin para obtener autenticacin por
medio de firmas digitales. Se lo considera uno de los ms seguros
PGP: Pretty Good Privacy, el cual es un producto completo desarrollado por Phillip
Zimmerman que ofrece que dentro de sus muchas funciones ofrece tambin autenticacin, no
repudio y criptografa siendo soportado por la mayora de los clientes de correo.
PEM: Privacy Enhanced Mail, el cual es una norma para permitir la transferencia de correo
seguro. Con cualidades similares a PGP, siendo el estndar ms reciente de los tres.
SNMP (Single Network Monitor Protocol)

Este es el protocolo que habilita las funciones que permiten administrar redes no uniformes. Permite
a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y
planear su crecimiento.
SNMP es un protocolo de requerimiento-respuesta. El sistema de administracin genera un

requerimiento, y los dispositivos administrados devuelven una respuesta. El acceso de las NMS
(Network Management Stations) a los dispositivos administrados est controlado por un nombre de
comunidad. Cada dispositivo tiene configurado una comunidad (o ms) con un nombre que deben
conocer las NMS para poder accederlo y obtener sus datos.
Existen 3 versiones hasta el momento: SNMPv1, SNPv2 y SNMPv3
Se debe tener en cuenta que SNMPv1 y SNMPv2 no poseen encriptacin de los datos que
transmiten. En redes con medios compartidos, esto podra permitir que una persona no autorizada
pueda estar escuchando y as recabar informacin (como modelos de dispositivos,
direccionamiento, nombres de comunidades, etc.) que revele datos de la red . Otro punto a tener en
cuenta, es la falta de autenticacin de SNMPv1 y SNMPv2, es decir, la nica verificacin que realizan
los agentes SNMP antes de responder las solicitudes realizadas por la NMS es que concuerde el
nombre de comunidad.
A diferencia de sus predecesores SNMPv3 soporta autenticacin, a travs de MD5, y encriptacin de
datos, lo que permite crear un ambiente seguro ante los tipos de ataques antes mencionados.
NetBIOS
NetBIOS es el protocolo nativo de Microsoft y sobre el cual se basan gran parte de las aplicaciones
que operan sobre los niveles de red para las arquitecturas de este fabricante. Inicialmente
funcionaba sin la necesidad del empleo de TCP/IP, pero justamente por prescindir de esta pila, se
trataba de un protocolo que generaba una gran cantidad de Broadcast innecesario. Con la inevitable
conexin a Internet de toda red de rea local, se hizo obligatorio el empleo de este modelo de capas,
y aparece as esta nueva metodologa de empleo de NetBIOS sobre TCP/IP, pero manteniendo su
estructura particular de nombres, dominios y puertos.
NetBIOS siempre se ha considerado inseguro.
WINS (Windows Internet Name Services)
Es un servidor de nombres de Microsoft para NetBIOS, que mantiene una tabla con la
correspondencia entre direcciones IP y nombres NetBIOS de ordenadores. Esta lista permite
localizar rpidamente a otro ordenador de la red.
Es muy frecuente cuando capturamos trfico en redes Microsoft, ver pasar en el nivel de aplicacin
protocolo SMB (Server Message Block: Servidor de Bloques de Mensajes). A este servicio (o
servidor) se puede acceder justamente mediante dos puertos NetBIOS: 139 (Para versiones
anteriores a Windows 2000) y 445 (Para versiones posteriores), mediante el comando net use es
que se permite establecer una sesin nula por medio de la cual los servidores Microsoft ofrecen la
opcin de compartir archivo e impresoras, la integracin con Linux es la denominada SAMBA, este
comando en particular si no est debidamente asegurado ese servidor es tal vez una de las mayores
debilidades de Microsoft, opera sobre el recurso conocido como IPC$.
Este protocolo no tiene sentido en Internet, pues la resolucin de nombres en este mbito se realiza
por medio del protocolo DNS, los puertos de este protocolo (137, 138, 139 y 445) siempre van a
estar abiertos en las redes Microsoft, por lo tanto si se logra acceder a una red LAN de estos
productos, se sabe cmo poder acceder a cualquier host. Las cuentas de usuario y contrasea de
cualquier cliente de una red, no suelen responder a un alto nivel de seguridad, por lo tanto suelen ser
altamente violables. Si un intruso logra conectarse desde el exterior con cualquier host de la LAN,
rpidamente podra obtener las listas de usuarios de la red, sus servicios, grupos y recursos
compartidos, lo cual no es deseado por ningn administrador.
JAMAS SE DEBE DEJAR PASAR POR UN ROUTER NI FIREWALL, los puertos de este protocolo,
se deben bloquear siempre en la frontera de toda LAN con Internet, pues no tiene sentido ninguna
comunicacin desde adentro hacia fuera o viceversa bajo este protocolo.
Deteccin de Vulnerabilidades
Hasta ahora podemos ver que la capa de Aplicacin es la ms concurrida en lo que a protocolos se
refiere, aqu solo hemos nombrado algunos, pero no todos.
En esta capa (Capa presentacin del modelo OSI Capa Aplicacin del modelo TCP/IP) podemos
hacer uso de algunas herramientas como los detectores de vulnerabilidades.
Son herramientas (generalmente de software) que bsicamente van a lanzar diferentes tipos de
ataques hacia uno o varios host, y luego informarn cules de ellos presentan debilidades. Como su
uso habitual es justamente este, independientemente que se emplee para el lado del mal, tambin
es una muy buena estrategia emplearlo para detectar lo mismo en nuestros propios sistemas y luego
de ello analizar las causas para minimizar o evitar su explotacin por personas no deseadas.
En el mundo de cdigo abierto, existe desde hace muchos aos una herramienta que es considerada
como una de las mejores para detectar vulnerabilidades: Nessus. Su historia lleva ya varias dcadas
y naci a travs de lnea de comandos (que an hoy puede seguir emplendose) y tal vez el mayor
hito lo haya sufrido hace poco con su bifurcacin (fork en ingls) a OpenVAS (Open Vulnerability
Assessment System). Este Fork, se produjo cuando Nessus fue adquirido por la empresa Tenable
Network Security y si bien sigue siendo gratuito para su descarga y empleo, oferta versiones de pago
con algunas pocas diferencias y lo ms importante es que ya no se tiene acceso a su cdigo.
Cuando se emplea este tipo de software, no nos podemos quedar simplemente con saber que
somos vulnerables a cierta cantidad de ataques, sino que lo que en realidad nos interesa es poder
llegar al fondo de cada uno de ellos para poder ofrecer la mejor solucin a nuestros sistemas.
Sistema de Deteccin de Intrusos (IDS)

Al igual que el punto anterior, este tema est ligado al nivel de aplicacin, pues si bien hoy existe
Hardware que ya posee preinstalado este tipo de herramientas (se los suele llamar appliance), en
realidad lo que est haciendo es ejecutar mdulos de software que de una u otra forma interactan a
nivel de aplicacin con el usuario que los administra.
Un IDS es bsicamente un sniffer de red, que se fue optimizando, para poder seleccionar el trfico
deseado, y de esta forma, poder analizar exclusivamente lo que se configura, sin perder rendimiento,
y que luego de ese anlisis en base a los resultados que obtiene, permite generar las alarmas
correspondientes.
La primera clasificacin que se debe tener en cuenta es que los hay de red (Network IDSs o NIDS) y
los hay de host (Host IDSs o HIDS). Otro concepto es el de DIDS (Distributed IDSs), que es la
evolucin natural del trabajo con NIDS en redes complejas, donde es necesario armar toda una
infraestructura de sensores, con la correspondiente arquitectura de administracin, comunicaciones y
seguridad entre ellos
Uno de los productos lderes en esta categora es Snort
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un
dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus
bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.
Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y
responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros
para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor
de Intrusos.
Topologa de Snort
Esta herramienta fue creada por Marty Roesch (Actual Director de Sourcefire que es la versin
comercial de Snort) en 1998. Nace simplemente como un Sniffer (o analizador de protocolos) al que
luego se le fueron incorporando muchas otras opciones y en la actualidad cuenta con
preprocesadores, plugins para bases de datos, varias opciones de envo de alarmas, diferentes
esquemas de evaluar paquetes, conectores con Windows, consolas de administracin grficas, etc.

En concreto, Snort consiste de cuatro componentes bsicos:
El Sniffer.
Los preprocesadores.
El motor de deteccin.
Las salidas.
El paso inicial del funcionamiento de Snort, se relaciona directamente con la tarjeta de red, a la que
coloca en modo promiscuo, es decir, captura la totalidad del trfico que circula por el cable,
independientemente que vaya dirigido a su tarjeta de red o no. Con este primer paso se logra
escuchar la totalidad de la informacin del sistema (se debe tener en cuenta el segmento en el que
es colocado el dispositivo, pues si hubiere un switch de por medio, este dividira los dominios de
colisin y por lo tanto slo se capturara el trfico correspondiente al segmento en el que se
encuentre).
Por los momentos llegamos hasta aqu. Hay que recordar que este artculo es slo una rpida
mirada a todo lo que involucra un proyecto de seguridad de informacin y todo lo que conlleva.
Este artculo puede ser ledo Online en http://www.expresionbinaria.com/seguridad-por-niveles, el

mismo contiene algunos videos anexados para profundizar un poco ms.
Para mayor compresin, recomiendo la lectura de los libros mencionados al inicio del artculo.


Abaumanis Seguridad Por Niveles Bueno

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Abaumanis Seguridad Por Niveles Bueno

Uploaded by

Copyright:

Available Formats

SEGURIDAD POR NIVELES

Autor: Arnaldo Baumanis, Director de http://www.expresionbinaria.com

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Hagamos un corto resumen de cada capa de acuerdo al modelo OSI:

Activar/desactivar la conexin fsica.

Nivel de Red: La tarea fundamental de esta capa es la de enrutado y conmutacin de paquetes. Es

Encaminamiento y retransmisin (Define las rutas a seguir).

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Establecimiento de circuitos virtuales.

Nivel de Transporte: Su tarea fundamental es la conexin de extremo a extremo (end to end).

Correspondencia entre direcciones de transporte y de red.

Nivel de Sesin: Permite el dilogo entre usuarios, entre dos ETD

Establecimiento del dilogo Half Dplex o Full Dplex.

Servicios de directorio (Transferencia de archivos).

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Presentacin de protocolos TCP, UDP e IP

Principios del Anlisis de la Informacin

Por anlisis de la informacin se entiende la fase de interpretacin

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Seguridad en la Capa Fsica

Edificios, instalaciones, locales.

Propio o arrendado: Un vnculo propio si pasa exclusivamente por caminos de acceso no

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

seguro, tneles o criptografa que incrementa la seguridad.

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

especial atencin a la metodologa de conexin: USB, firewire, bluetooth.

Anlisis de la topologa de la red: Este detalle impondr una lgica de transmisin de la

Aspectos elctricos u pticos:

Potencia elctrica u ptica: La irradiacin de toda seal electromagntica implica el hecho de

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Seguridad en la Capa de Enlace

IEEE 802.1 Normalizacin de interfaz.

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Control de direcciones de Hardware: El objetivo de mxima en este nivel (Pocas veces

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Seguridad en la Capa de Red

Control de contraseas: Los router permiten la configuracin de distintos tipos de

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

ruta que no est contemplada, no podr ser alcanzada.

Auditoras de trfico ICMP:

Esttico: Se implementa en cada host manualmente, y se hace presente en la red siempre

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

Seguridad en la Capa de Transporte

Auditoras de establecimientos y cierres de sesin:

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

como se acaba de mencionar en el punto anterior, implica procesos muy similares.

Seguridad en la Capa de Aplicacin

Limitar el acceso a reas especficas de esos servidores.

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

produce, no se poseer capacidad de almacenamiento para ningn otro mensaje entrante,

SNMP (Single Network Monitor Protocol)

SNMP es un protocolo de requerimiento-respuesta. El sistema de administracin genera un

Sistema de Deteccin de Intrusos (IDS)

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

En concreto, Snort consiste de cuatro componentes bsicos:

Este artculo puede ser ledo Online en http://www.expresionbinaria.com/seguridad-por-niveles, el

Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones

You might also like