Seguridad Por Niveles v001
Cargado por
camiloelosadaSeguridad Por Niveles v001
Cargado por
camiloelosadaSeguridad
Por
Niveles
Alejandro Corletti Estrada
(acorletti@[Link] - acorletti@[Link])
[Link]
RPI (Madrid): 03/119554.9/11
Seguridad por Niveles
Este libro puede ser descargado gratuitamente para ser
empleado en cualquier tipo de actividad docente, quedando
prohibida toda accin y/o actividad comercial o lucrativa,
como as tambin su derivacin y/o modificacin sin
autorizacin expresa de su autor.
RPI (Madrid): 03/119554.9/11
Seguridad Por Niveles
Autor: Alejandro Corletti Estrada
(acorletti@[Link] - acorletti@[Link])
[Link]
Madrid, septiembre de 2011.
Seguridad por Niveles
Seguridad por Niveles
INDICE
PRLOGO
15
0. PRESENTACIN
21
PARTE I (Conceptos y Protocolos por Niveles)
1. INTRODUCCIN
25
1.1. Presentacin de modelo de capas 25
1.2. Modelo OSI y DARPA (TCP/IP 25
1.2.1. Nivel 1 (Fsico)
28
1.2.2. Nivel 2 (Enlace)
28
1.2.3. Nivel 3 (Red)
29
1.2.4. Nivel 4 (Transporte)
29
1.2.5. Nivel 5 (Sesin)
30
1.2.6. Nivel 6 (Presentacin)
30
1.2.7. Nivel 7 (Aplicacin) 30
1.3. Conceptos de: Primitivas, servicios y funciones, SAP, UDP y UDS 31
1.3.1. Ente
31
1.3.2. SAP
31
1.3.3. Primitivas
31
1.3.4. SDU (Service Data Unit)
31
1.3.5. PDU (Protocol Data Unit)
31
1.3.6. IDU (Interface Data Unit)
31
1.3.7. ICI (Information Control Interface)
31
1.4. Funciones y/o servicios 31
1.4.1. Segmentacin y reensamble
32
1.4.2. Encapsulamiento
32
1.4.3. Control de la conexin
33
1.4.4. Entrega ordenada
33
1.4.5. Control de flujo
33
1.4.6. Control de errores
33
1.4.7. Direccionamiento
34
1.4.8. Multiplexado
35
1.4.9. Servicios de transmisin
35
1.5. Presentacin de la familia (pila) de protocolos TCP/IP 35
1.6. Fuentes de informacin (RFC) 36
Seguridad por Niveles
1.7. Breve descripcin de protocolos que sustentan a TCP/IP (PPP, ISDN, ADSL,
Ethernet, X.25, Frame Relay y ATM)
36
1.7.1. PPP
37
1.7.2. ISDN (o RDSI)
37
1.7.3. XDSL
37
1.7.4. Ethernet
39
1.7.5. X.25
39
1.7.6. Frame Relay
40
1.7.7. ATM
40
1.8. Presentacin de protocolos TCP, UDP e IP 42
1.9. Presentacin de protocolos: FTP, Telnet, ARP y R_ARP, SMTP, POP3, IMAP,
MIME, SNMP, http, ICMP, IGMP, DNS, NetBIOS, SSL y TLS
42
1.10 El protocolo IPv6 42
EJERCICIOS DEL CAPTULO 1 43
2. PRINCIPIOS DE ANLISIS DE LA INFORMACIN
45
2.1. Trfico: Broadcast, multicast y dirigido 45
2.1.1. Por su sentido 45
2.1.2. Por forma de direccionamiento 45
2.2. Cmo se analiza el trfico? 46
2.3. Qu es un analizador de protocolos? 47
2.4. Deteccin de sniffers 48
2.5. Introduccin al Ethereal (o Wireshark) (Como herramienta de anlisis y captura) 49
2.6. Captura, filtrado y anlisis de tramas 54
2.7. Presentacin hexadecimal, binaria y decimal 55
2.7.1. Bit
55
2.7.2. Byte u Octeto
55
2.7.3. Carcter
56
2.7.4. Bloque, Mensaje, Paquete, Trama
56
EJERCICIOS DEL CAPTULO 2 57
HERRAMIENTAS EMPLEADAS EN EL CAPTULO 2
a. El comando tcpdump
57
b. Wireshark (o Ethereal)
57
3. EL NIVEL FSICO
59
3.1. Edificios, instalaciones, locales 59
3.2. Autenticacin y control de acceso fsico 60
3.3. Medios empleados para la transmisin de la informacin 61
3.3.1 cable de pares trenzados
61
3.3.2. Cable de cuadretes
61
3.3.3. Cables trenzados de 4 pares
62
3.3.4. Cable coaxial
63
Seguridad por Niveles
3.3.5. Fibra ptica
64
3.3.6. Radiocomunicaciones
67
3.3.7. Microondas
69
3.3.8. Comunicaciones satelitales
69
3.3.9. Gua de onda
70
3.3.10. Lser
70
3.3. 11. Infrarrojos
71
3.4. Conductos y gabinetes de comunicaciones 71
3.4.1. Los conductos
71
3.4.2. Gabinetes de Comunicaciones (o Rack de comunicaciones)
72
3.5. Medios fsicos empleados para el almacenamiento (incluido Backup) y
procesamiento de la informacin
73
3.6. Documentacin, listados, plantillas, planos, etc. 74
EJERCICIOS DEL CAPTULO 3 (El nivel fsico) 75
HERRAMIENTAS EMPLEADAS EN EL CAPTULO 3 75
a. Herramientas de medicin, conectorizado y certificacin de redes
76
b. Analizador de pares
76
c. Analizadores de potencia
76
4. EL NIVEL DE ENLACE
77
4.1. Anlisis de tramas Ethernet (IEEE 802.3) 78
4.1.1. Formato de las direcciones MAC (Medium Access Control)
78
4.1.2. Ethernet y 802.3
79
4.1.3. Algoritmo de disminucin exponencial binaria
80
4.1.4. Armado de tramas
81
4.1.5. Relacin de Ethernet con Hub y Switch
83
4.1.6. Actualizaciones de Ethernet
84
4.1.7. Spoof de direcciones MAC
89
4.2. Presentacin (Los estndares 802.11) 89
4.2.1. WiFi (Wireless Fidelity)
89
4.2.2. Modelo de capas de 802.11
92
4.2.3. La capa de enlace de 802.11
103
4.2.4. Topologa WiFi
104
4.3. ARP (Address Resolution Protocol) (RFC 826, 1293, 1390) 105
4.3.1. Funcionamiento
105
4.3.2. Tipos de mensajes
106
4.3.3. Formato del encabezado ARP
106
4.3.4. Ataque ARP
107
4.4. Telefona Mvil 108
4.4.1 Presentacin
109
Seguridad por Niveles
4.4.2. Distintos tipos de ataques que pueden llevarse a cabo en GPRS
111
4.4.3. Seguridad desde el punto de vista de interfaces
112
4.4.4. Elementos vulnerables
116
4.4.5. Autenticacin GPRS
117
[Link] en GPRS
117
4.4.7. Conclusiones GPRS
117
EJERCICIOS DEL CAPTULO 4 (Nivel de enlace) 119
HERRAMIENTAS EMPLEADAS EN EL CAPTULO 4 119
a. ifconfig ipconfig
125
b. arp
125
c. iperf
131
e. ettercap
132
f. arpspoof
132
g. arpwatch
133
h. aircrack airdump
133
5. EL NIVEL DE RED
135
5.1. Anlisis de datagramas IP 135
5.1.1. Direccionamiento IP (rfc 791)
135
5.1.2. Mscara de red y subred
137
5.1.3. Classless InterDomain Routing (CIDR)
139
5.1.4. Network Address Translation (NAT)
140
5.1.5. Tablas de ruta
141
5.1.6. IP Multicasting
143
5.1.7. Fragmentacin IP
145
5.1.8. Formato del encabezado (datagrama) IP
145
5.1.9. DS y DSCP
150
5.1.10. IP Spoof
151
5.2. ICMP (Internet Control Messaging Protocol) (RFC: 792) 152
5.2.1. Formato del encabezado ICMP
152
5.2.2. Tipos y cdigos de los mensajes ICMP
152
5.3. IGMP ( Internet Group Messaging Protocol) (RFC 1112) 154
5.3.1. Multicast IP sobre Ethernet
154
5.3.2. Fases de IGMP
155
5.3.3. Formato del encabezado IGMP
155
5.4. DHCP (Dynamic Host Configuration Protocol) (RFC 1541, 1531, 1533 y 1534) 155
5.4.1. Evolucin de los protocolos dinmicos (ARP, BOOTP)
156
5.4.2. Pasos de la asignacin dinmica
157
Seguridad por Niveles
5.4.3. Formato del encabezado DHCP
158
5.4.4. Seguridad (Asignacin dinmica o esttica?)
161
5.5. IP Versin 6 (IP Next generation) 163
5.5.1. Conceptos
163
5.5.2. Caractersticas
163
5.5.3. Encabezado de IPv6
164
5.5.4. Direccionamiento de IPv6
165
5.5.5. Tipos de direcciones
166
EJERCICIOS DEL CAPTULO 5 (Nivel de red) 169
HERRAMIENTAS EMPLEADAS EN EL CAPTULO 5 175
a. ipcalc
175
b. ping
175
c. hping3
175
d. fragroute
175
e. icmpush
176
f. nmap
176
g. Packet tracer
177
6. EL NIVEL DE TRANSPORTE
181
6.1. TCP (Transport Control Protocol) (RFC 793 , 812, 813, 879, 896 y 1122) 181
6.1.1. Establecimiento y cierre de conexiones
181
6.1.2. Control de flujo (tcnica de ventana)
181
6.1.3. PMTU (Path Maximun Unit Discovery)
182
6.1.4. Retransmisin
182
6.1.5. Velocidad de transferencia
183
6.1.6. Formato del segmento TCP
183
6.2. UDP (User Datagram Protocol) (RFC 768) 185
6.2.1. Formato del encabezado UDP
185
6.2.2. El peligro de los protocolos no orientados a la conexin
186
6.3. Firewalls 186
6.3.1. Qu es un firewall?
187
6.3.2. Cmo funciona un firewall?
189
6.3.3. Las reglas de un firewall
190
6.3.4. Firewall en Linux
191
EJERCICIOS DEL CAPTULO 6 (Nivel de Transporte) 195
HERRAMIENTAS EMPLEADAS EN EL CAPTULO 6 200
Seguridad por Niveles
a. nmap
200
b. Zenmap
201
c. netcat
201
d. tcpdump
205
e. iptables
206
f. ufw
208
g. firestarter
209
h. Firewall Builder
210
7. EL NIVEL DE APLICACIN
219
7.1. DNS (Domain Name System) (RFC 1706, 1591, 1034 y 1035) 219
7.1.1. TLD (genricos y geogrficos)
219
7.1.2. Componentes principales de DNS
222
7.1.3. Tipos de registros DNS
223
7.1.4. Zonas
224
7.1.5. Los nodos raz
224
7.1.6. Formato del encabezado DNS
226
7.1.7. Conexiones TCP y UDP en DNS
227
7.1.8. Inundacin recursiva e iterativa
227
7.1.9. Herramientas empleadas con este protocolo
228
7.1.10. Vulnerabilidades DNS
228
7.1.11. DNS Spoof
228
7.2. Telnet (Terminal remota)(RFC 854, 855 y 857) 229
7.2.1. Conceptos de telnet
229
7.2.2. La nocin de terminal virtual
230
7.2.3. La negociacin
231
7.2.4. Comandos y cdigos
231
7.2.5. Vulnerabilidades
233
7.3. FTP (File Transfer Protocol) (RFC 959) 233
7.3.1. Establecimiento de la conexin y empleo de puerto de comando y puerto de datos
233
7.3.2. Tipos de transferencia de archivos en FTP
234
7.3.3. Funcionamiento
235
7.3.4. Comandos
235
7.3.5. Mensajes
236
7.3.6. Modos de conexin
237
7.3.7. T_FTP (Trivial FTP)
238
7.3.8. Vulnerabilidades
239
7.4. SSH (Secure Shell) 239
7.4.1. Presentacin e historia
239
Seguridad por Niveles
7.4.2. OpenSSH
240
7.4.3. Cliente y servidor
240
7.4.4. Autenticacin
241
7.4.5. Tneles SSH
242
7.4.6. sftp y scp
242
7.5. SMTP (Simple Mail Transfer Protocol) (RFC: 821, 822) 243
7.5.1. Funcionamiento
243
7.5.2. Texto plano y extensiones
243
7.5.3. Mensajes (cabecera y contenido)
243
7.5.4. Comandos y cdigos
244
7.5.5. Pasarelas SMTP
246
7.5.6. Terminologa
247
7.6. POP (Post Office Protocol) (RFC:1082, 1725, 1734, 1939) 247
7.6.1. Caractersticas
247
7.6.2. Modos
248
7.6.3. MIME (Multimedia Internet Mail Extension)
248
7.7. IMAP 4 (Internet Message Access Protocol Versin 4) (RFC: 1203,1730 a 1733,
2060)
249
7.7.1. Historia
249
7.7.2. Mejoras que ofrece
249
7.7.3. Vulnerabilidades del correo electrnico
249
7.8. SNMP (Single Network Monitor Protocol) 250
7.8.1. Formato del encabezado
251
7.8.2. SNMP Versin 3
252
7.9. HTTP (HiperText Transfer Protocol) (RFC 1945 - 2616 ) 262
7.9.1. Conceptos
262
7.9.2. Solicitudes y respuestas
263
7.9.3. URL y URI
264
7.9.4. Esquema URL
265
7.9.5. Sintaxis genrica URL
266
7.9.6. Ejemplo: URL en http
266
7.9.7. Referencias URI
268
7.9.8. URL en el uso diario
269
7.9.9. Cdigos de estado http
270
7.9.10. Comandos y encabezados HTML
275
7.9.11. CGI, ISAPI, NSAPI, Servlets y Cold Fusion
277
7.9.12. Vulnerabilidades
277
7.10. NetBIOS over TCP/IP (RFC 1001 y 1002) 278
7.10.1. Puertos
278
Seguridad por Niveles
7.10.2. mbito
278
7.10.3. Esquema de nombres
279
7.10.4. Protocolo nodo
280
7.10.5. WINS (Windows Internet Name Services)
280
7.10.6. Los comandos net
281
7.10.7. Vulnerabilidades
282
7.11. SSL y TLS 282
7.11.1. Historia
283
7.11.2. De SSL a TLS
283
7.11.3. Versiones
284
7.11.4. Handshake
284
7.11.5. Intercambio de claves, algoritmos de cifrado y resmenes
289
7.11.6. Puertos definidos
289
7.12. Establecimiento, mantenimiento y cierre de sesiones 290
7.12.1. Pasos para el establecimiento de sesiones
291
7.12.2. Transferencia de datos
293
7.12.3. Terminacin de sesin
293
7.12.4. Trfico de validacin de LOGON
293
7.13. Trfico entre clientes y servidores 295
7.13.1. Trfico Cliente Servidor
295
7.13.2 Trfico Servidor - Servidor
297
7.14. Deteccin de Vulnerabilidades 303
7.14.1, Presentacin
303
7.14.2. Metodologa de trabajo con el servidor
304
7.14.3. Metodologa de trabajo con el cliente
308
7.15. Sistemas de deteccin de Intrusiones 311
7.15.1. Qu es un IDS (Intrusion Detection System)?
311
7.15.2. Breve descripcin de Snort
312
7.15.3. Dnde instalar fsicamente Snort?
314
7.15.4. Cmo se usa Snort?
320
7.15.5. Las reglas de Snort
323
7.15.6. El trabajo con Snort
326
7.16. Honey Pot 330
7.16.1. Por qu honey pots?
331
7.16.2. Qu es y cmo se implementa una honey pot?
334
7.16.3. Metodologa de trabajo
336
EJERCICIOS DEL CAPTULO 7 (Nivel de Aplicacin) 341
HERRAMIENTAS EMPLEADAS EN EL CAPTULO 7 348
a. vsftp
348
Seguridad por Niveles
b. ssh
350
c. OpenSSH
351
d. qpopper
356
e. net-snmp
360
f. snmpwalk, snmptranslate, snmpstatus, snmp, getnext
369
g. tkmib
379
[Link]
391
i. dig
391
j. host
391
k. bind
391
l. lynx
392
ll. wget
394
[Link]
394
n. nikto
395
. wikto
396
o. Nessus
398
p. Snort
401
q. MySQL
423
r. ACID.
423
t. Snort Center
427
u. Honeyd
437
8. ALGUNOS CONCEPTOS MS
441
8.1. Breves conceptos de criptografa 441
8.1.1. Algoritmos de autenticacin y cifrado
442
8.1.2. Empleo y conceptos de clave simtrica y asimtrica
443
8.1.3. Cifrado simtrico
443
8.1.4. Cifrado asimtrico
444
8.1.5. Cifrado hbrido
446
8.1.6. Funcin HASH (o resmenes)
447
8.1.7. Mtodos de autenticacin y no repudio
449
8.1.8. Mtodos de verificacin de integridad (HMAC SHA MD5)
454
8.1.9. Firma digital
457
8.1.10. Sellado de tiempos
459
8.1.11. PGP y GPG
468
8.1.12. Sistema de autenticacin Kerberos
470
8.1.13. RADIUS (Remote Authentication Dial-In User Server)
470
8.2. PKI (Infraestructura de clave pblica) 472
8.2.1. Situacin, casos y empleos
473
Seguridad por Niveles
8.2.2. Certificados digitales
473
8.2.3. Estructuras de confianza
480
8.2.4. Componentes de una PKI
481
8.2.5. PKI o estructuras de confianza?
482
8.2.6. Certificados de terceros o propios?
482
8.2.7. Ventajas y desventajas
483
8.2.8. Estndares PKCS
483
8.3. Qu busca y cmo opera un intruso 484
8.3.1. Cmo se autodenominan
484
8.3.2. Razones por las que un intruso desea ingresar a un sistema informtico
486
8.3.3. El proceder o los pasos que esta gente suele emplear
486
8.3.4. Tipos de ataques
487
8.3.5. Cmo pueden clasificarse los ataques
487
8.3.6. Problemas que pueden ocasionar
488
8.3.7. Esquema resumen de pasos y tipos de ataques
489
8.4. Auditoras de seguridad 500
8.4.1. Lo que el cliente verdaderamente necesita.
500
8.4.2. Indicadores o parmetros de seguridad
502
8.4.3. Cmo se puede clasificar lo que habitualmente se engloba bajo Auditoras de seguridad
504
8.4.4. Es posible respetar algn mtodo que permita repetir esta tarea y obtener ndices de
evolucin?
506
8.4.5. Gua de pasos para la realizacin de una Auditora de Seguridad o Penetration Test
508
8.5. Familia ISO 27000 (Sistema de Gestin de la Seguridad de la Informacin) 510
8.5.1. Presentacin de los estndares que la componen
511
8.5.2. Breve historia
513
8.5.3. ISO 27001
515
8.5.4. ISO 27702
521
8.5.5. Anlisis de riesgo
527
8.5.6. Controles
528
8.5.7. Implantacin y certificacin de ISO 27001
548
8.6. IPSec 554
8.6.1. Anlisis de IPSec
554
8.6.2. AH (Authentication Header) [RFC-2402]
555
8.6.3. ESP: (Encapsulation Security Payload)
556
8.6.4. Asociaciones de seguridad (SA: Security Association)
558
8.6.5. Administracin de claves (IKE: Internet Key Exchange) [RFC-2409]
562
8.6.6. ISAKMP [RFC-2408] (Internet Security Association and Key Management Protocol)
564
8.6.7. Procesamiento de trfico IP
565
8.6.8. Algoritmos de autenticacin y cifrado
565
8.7. Plan de Continuidad de Negocio 566
Seguridad por Niveles
8.7.1. Conceptos
566
8.7.2. El plan de escalada
567
8.7.3. BS 25999
570
8.7.4. Documento ejemplo
574
8.7.5. Proceder ante incidentes
584
8.7.6. Concetos militares de Recuperacin de desastres
588
EJERCICIOS DEL CAPTULO 8 597
HERRAMIENTAS EMPLEADAS EN EL CAPTULO 8 597
a. GPG 597
PARTE II (Seguridad por Niveles)
601
1. El nivel Fsico 603
2. El nivel de Enlace 609
3. El nivel de Red 611
4. El nivel de Transporte 615
5. El nivel de Aplicacin 617
6. Otras medidas 621
7. Optimizacin de la red 623
ANEXOS
ANEXO 1 (Aspectos a considerar para la certificacin de una red) 631
ANEXO 2 (Consideraciones a tener en cuenta en un CPD) 655
ANEXO 3 (Poltica de seguridad) 669
ANEXO 4 (Metodologa Nessus snort) 687
LISTADO DE ABREVIATURAS 701
Seguridad por Niveles
PRLOGO (Por Arturo Ribagorda Garnacho)
Cuando en el lejano ao 1992 la editorial de una recin aparecida revista dedicada a la seguridad
de la informacin, por cierto la primera en su gnero en lengua espaola, me propuso encargarme
de la seccin bibliogrfica, el problema que trimestralmente me asaltaba era elegir un libro que
resear. Y no porque fueran muchos los publicados, sino antes bien por lo contrario.
Sin embargo, al abandonar hace tiempo esa peridica tarea, la dificultad era justo la contraria, la
produccin editorial era tan abundante que resultaba difcil seleccionar un puado de los libros
aparentemente ms notables de donde entresacar el que a priori (o sea antes de leer) pareca merecer
una recensin.
Y es que la dcada de los noventa del pasado siglo alumbr una tecnologa, Internet (o si
queremos ser rigurosos la Web) y un derecho, la proteccin de la privacidad (que an estando
contemplado en la Declaracin Universal de los Derechos Humanos de 1948, no comienza a
materializarse en leyes nacionales hasta los ochenta y sobre todo los citados noventa), que
conllevaron un sbito inters por la seguridad de la informacin, y una paralela generalizacin de
los estudios universitarios o no, de los congresos cientficos o comerciales y, como se ha
mencionado, una rica oferta de libros, manuales, enciclopedias y revistas acerca de esta materia.
Adems, hoy en da, muchas de estas publicaciones lo son en formato electrnico, lo que
comporta una fcil actualizacin que es tan importante en una materia muchas de cuyas facetas se
hallan en la frontera del conocimiento, y son por tanto susceptibles de constantes avances.
Todo lo anterior, es motivo de una gran satisfaccin para todos los que llevamos varias dcadas
estudiando e investigado en la seguridad de la informacin, y que ni por asomo hubisemos
imaginado este auge all por los aos ochenta del pasado siglo.
Por todo ello, es para m un placer presentar un nuevo libro dedicado a la seguridad, escrito por
un profesional de larga trayectoria, que ha ido plasmando a lo largo del tiempo en artculos e
informes sus estudios y experiencias, y que finalmente ha dado el paso generoso de agruparlos y
estructurarlos para conformar una publicacin electrnica, que pone a disposicin de los numerosos
interesados sea profesionalmente o a ttulo de meros usuarios.
Espero que su lectura completa, o consulta puntual, sirva para elevar el nivel de conocimiento
en la seguridad, imprescindible para el desarrollo de esta sociedad de la informacin en la que nos
encontramos inmersos.
Madrid, agosto de 2011
Arturo Ribagorda Garnacho
Catedrtico de Universidad
Universidad Carlos III de Madrid
Seguridad por Niveles
Presentacin del libro (Por Jorge Rami Aguirre)
No resulta fcil hacer una presentacin de un libro cuando ste abarca un tema tan amplio como
es el caso de "Seguridad por niveles", escrito por mi amigo y colega Alejandro Corletti, y que
adems cuenta con una extensin en pginas tan importante. No obstante, ha sido un placer leer este
documento para tener una visin globalizada de su orientacin y de su temtica e intentar resumirlo
en unas pocas palabras en esta presentacin.
Lo primero que llama la atencin es el ttulo, que me parece un acierto, estableciendo que la
seguridad de la informacin es un proceso que puede estudiarse e incluso implementarse por
niveles, tomando como punto de partida los 7 niveles del modelo OSI: nivel 1 Fsico, nivel 2
Enlace, nivel 3 Red, nivel 4 Transporte, nivel 5 Sesin, nivel 6 Presentacin y nivel 7 Aplicacin,
aunque luego se plasme en el libro de acuerdo a los niveles del modelo TCP/IP.
Tal vez a ms de alguno les pueda sorprender que un autor abarque el tema de la seguridad de
esta manera, pero creo que es una interesante forma de marcar y delimitar uno de los terrenos
principales en los que se mueve esta especialidad de la seguridad, el de las redes y sus aplicaciones.
Es as como tras una introduccin a esta temtica en los captulos primero y segundo, Alejandro
nos presenta desde el captulo tercero hasta el sptimo los aspectos de seguridad que se dan en cada
uno de esos niveles, incluyendo adems en cada captulo un conjunto de ejercicios prcticos muy
interesantes, as como el alto nmero de herramientas usadas en l.
Intentar desmenuzar y resumir cada uno de esos captulos sera demasiado extenso y tedioso para
una presentacin. Adems de infructuoso, porque ya en el libro se observa un buen uso de la
concrecin y sntesis sobre lo ms interesante de cada apartado. Indicar, eso s, que la lectura y el
posterior desarrollo y comprensin de esos ejemplos prcticos le permitirn al lector tener un
excelente nivel de preparacin en esta temtica, siendo por tanto muy recomendable el uso de este
documento como material de consulta en cursos de seguridad.
En seguridad siempre existir quien ataque y quien se defienda, una especie de inevitable ying y
yang; un entorno muy similar al militar que bien conoce Alejandro, quien ejerci como Jefe de
Redes del Ejrcito Argentino durante 3 aos y cuya filosofa aplica perfectamente en su libro.
A modo de anexo al grueso del libro, "Seguridad por niveles" termina con un octavo captulo
dedicado a otros conceptos de la seguridad de la informacin, haciendo una breve introduccin a la
criptografa, infraestructuras de clave pblica, ataques a sistemas, IPSec, auditoras de seguridad, la
familia ISO 27000 y planes de continuidad.
En resumen, ms de setecientas pginas que constituyen un importante aporte a la difusin de la
seguridad de la informacin desde la perspectiva de los niveles del modelo OSI. Y ms an por su
condicin de freeware y documento online que, sin lugar a dudas, ver nuevas y actualizadas
ediciones en el futuro para el beneplcito de todos aquellos -profesionales o no- que creemos que la
seguridad de la informacin debe tener un lugar muy destacado en la docencia, la investigacin, la
innovacin tecnolgica y el desarrollo empresarial e industrial de un pas.
Desde Criptored damos la bienvenida a este libro y agradecemos a profesionales de la talla de
Alejandro Corletti, asiduo colaborador en esta red temtica con 19 documentos aportados y a punto
de leer su Tesis Doctoral, que dediquen cientos de horas a publicar un libro gratuito para el
provecho de miles de personas, como seguro as ser el nmero de sus descargas desde Internet.
Jorge Rami
Coordinador de Criptored
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 18 [Link]
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 19 [Link]
PRLOGO DEL AUTOR
La idea de escribir este libro fue la de volcar en un solo texto la cantidad de apuntes y artculos
que tena dando vueltas por Internet.
Manteniendo mi filosofa Open Source me propuse difundirlo gratuitamente para que pueda
aprovecharlo todo aquel que le sea de utilidad en sus estudios.
Como todo desarrollo tecnolgico de este siglo, estimo que a medida que pase el tiempo
contendr conceptos o herramientas que van quedando fuera de vigor, de ser as os ruego
encarecidamente que me lo hagis saber a travs de mi correo electrnico para poder subsanarlos,
tambin si hallis errores de forma o fondo, los cuales seguramente estarn omnipresentes como en
todo escrito.
Intentar ir actualizando esta obra, y difundindola como nuevas versiones:
Seguridad_por_Niveles-v02, Seguridad_por_Niveles-v03........ Seguridad_por_Niveles-vnn, las
cuales siempre estarn disponibles en la Web: [Link], seguramente en otros sitios ms y las
hallars fcilmente con cualquier buscador de Internet.
Ruego tambin a todo lector que pueda sumar conocimientos, conceptos, desarrollos,
herramientas, etc. que tambin me los haga llegar por mail; todos ellos los ir incorporando, por
supuesto citando su autora y haciendo mencin a su autor como Colaborador de esta obra.
Siempre ser bienvenido lo que sume al mbito de la seguridad.
Por ltimo os pido que sepis aceptar que todo esto lo hago con la mejor buena voluntad y dentro
de mis limitaciones, as que no seis duros con esta obra, es sencillamente una sana y humilde
intencin de intentar aportar algo en la red, y nada ms.
He impreso un cierto nmero de ejemplares para cualquiera que los desee adquirir en formato
papel, para ello nuevamente, invito a que se ponga en contacto conmigo, o a travs de la empresa
con la cuenta: info@[Link].
Afectuosamente:
Alejandro Corletti Estrada
(acorletti@[Link] - acorletti@[Link])
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 21 [Link]
0. PRESENTACIN.
Estoy absolutamente convencido que la mejor forma de avanzar con bases slidas hacia temas de
seguridad informtica, es con un detallado conocimiento de la arquitectura de capas, es decir
empezando la casa por los cimientos, y poco a poco ir levantando paredes, pisos hasta llegar al
techo.
Por alguna razn, los precursores de las telecomunicaciones, fueron dividiendo este problema
grande, en problemas menores que deberan funcionar de manera autnoma, recibiendo y
entregando resultados. No es ms ni menos que el viejo lema divide y vencers aplicado a las
nuevas tecnologas. Desde hace muchas dcadas que este concepto se perfecciona y hasta
podramos decir que se actualiza hacia la necesidad del mercado, y el viejo modelo OSI, muy
pesado y lento en todos sus pasos y decisiones, est prcticamente desplazado en la World Wide
Web para dar paso a un modelo flexible, dinmico, eficiente y ajustado al siglo XXI regulado por
una serie de Request For Commentaries (RFC) que siguen manteniendo esta idea de capas pero
mucho ms efectivo.
Creo que la mejor manera de llegar a comprender los secretos de la seguridad, es analizando nivel
a nivel; de esta forma, cuando comprendemos los por qu de cada encabezado, recin all podemos
decir que han fraguado las estructuras de ese piso y podemos seguir construyendo el siguiente. Es
ms, la experiencia me dice que suele ser muy positivo a la hora de plantearse una estrategia de
seguridad, organizarse por niveles, y considerar primero qu har a nivel fsico, luego a nivel
enlace, red, transporte y as recin llegar a la seguridad al nivel de aplicacin, cada uno de estos
niveles tiene sus medidas, conceptos y herramientas de defensa particulares. Si bien hay que
destacar que hoy en da la ambicin de la mayora de los fabricantes, les lleva a ofrecer productos
que solapan ms de una capa, siempre es bueno a la hora de hacer uso de ellos, tener muy claro qu
es lo que estoy haciendo, casi podramos decir que bit a bit........... os aseguro que cuando lleguis a
pensar de esta forma, la seguridad no pasar slo por descargar aplicaciones de Internet y hacer
clic, clic, clic, clic, clic..... hasta causar un dao o creer que estamos seguros, sino que
llegaris al fondo de la cuestin, que es como se debe operar para llegar al xito evitando sorpresas
o imponderables.
Este libro est presentado en dos partes:
PARTE I: Conceptos y protocolos por niveles.
PARTE II.: Seguridad por niveles.
En la primera parte intentar ir avanzando con un profundo anlisis de los diferentes protocolos
de comunicaciones que aplican en cada capa, dejando siempre ejercicios prcticos de cada tema y
en particular presentando herramientas, las cuales tratar que sean casi todas de cdigo abierto
(Open Source) y demostraciones de cada una de ellos.
En la segunda parte, se desarrollar el conjunto de medidas que en ese nivel es conveniente tener
en cuenta.
No es mi deseo en este libro hacer propaganda de un Sistema Operativo u otro, har un marcado
esfuerzo por ser imparcial. Si bien os iris dando cuenta que la gran mayora de las herramientas
que figurarn sern de aplicacin en ambiente Linux, creo tambin que para poder asegurar
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 22 [Link]
eficientemente una infraestructura, es necesario conocer el mundo libre y el comercial, pues la
realidad del mercado as lo impone. Es ms, hasta he llegado a reconocer que mucha de la gente
que menosprecia a Microsoft, lo hacer por no haber llegado a profundizar en las medidas de
seguridad que ste ofrece, por lo tanto dejan o encuentran sistemas inseguros pero por falta de
conocimiento de sus administradores, en la gran mayora de los casos no es por otra razn y
tambin es muy cierto que la masa de las intrusiones y/o ataques se centran en estos sistemas por
ser lo ms presentes en el mundo de la empresa. En resumen, a pesar de ser partidario de Linux, no
voy a menospreciar ninguna plataforma, lo que s voy a evitar es hacer propaganda de cualquier
herramienta de pago, pues creo que se puede llegar al mximo nivel de seguridad con el slo
empleo de herramientas libres.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 23 [Link]
PARTE I
Conceptos y protocolos
por niveles
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 25 [Link]
CAPTULO 1: Introduccin
1.1. Presentacin de modelo de capas.
Son varios los protocolos que cooperan para gestionar las comunicaciones, cada uno de ellos
cubre una o varias capas del modelo OSI (Open System interconnection); la realidad, es que para
establecer la comunicacin entre dos equipos Terminales de Datos (ETD) se emplea ms de un
protocolo, es por esta razn que se suele hablar no de protocolos aislados, sino que al hacer
mencin de alguno de ellos, se sobreentiende que se est hablando de una PILA de protocolos, la
cual abarca ms de un nivel OSI, son ejemplo de ello X.25, TCP/IP, IPX/SPX, ISDN, etc.
Una forma de agruparlos es como se encuentran cotidianamente los siete niveles del modelo
OSI en tres grupos que tienen cierta semejanza en sus funciones y/o servicios:
OSI Generalizado
Aplicacin
Presentacin
Sesin
APLICACION
Transporte TRANSPORTE
Red
Enlace
Fsico
RED
La ISO (International Standard Organization), estableci hace 15 aos este modelo OSI que
hoy lleva la denominacin ISO 7498 o ms conocida como X.200 de ITU.
1.2. Modelo OSI y DARPA (TCP/IP).
El modelo OSI es, sin lugar a dudas, el estndar mundial por excelencia, pero como todo
esquema tan amplio presenta una gran desventaja, el enorme aparato burocrtico que lo sustenta.
Toda determinacin, protocolo, definicin o referencia que ste proponga debe pasar por una serie
de pasos, en algunos casos reuniendo personal de muchos pases, que demoran excesivo tiempo
para la alta exigencia que hoy impone Internet. Hoy al aparecer un nuevo dispositivo, protocolo,
servicio, facilidad, etc. en Internet, el mercado si es til, automticamente lo demanda, como
ejemplo de esto hay miles de casos (chat, IRC, SMS, WAP, etc...). Si para estandarizar cualquiera
de estos se tardara ms de lo necesario, los fabricantes se veran en la obligacin de ofrecer sus
productos al mercado, arriesgando que luego los estndares se ajusten a ello, o en caso contrario, los
clientes finales sufriran el haber adquirido productos que luego son incompatibles con otros. Hoy
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 26 [Link]
no se puede dar el lujo de demorar en una red cuyas exigencias son cada vez ms aceleradas e
imprevisibles.
Para dar respuesta a esta nueva REVOLUCION TECNOLOGICA (Internet), aparecen una
serie de recomendaciones giles, con diferentes estados de madurez, que inicialmente no son un
estndar, pero rpidamente ofrecen una gua o recomendacin de cmo se cree que es la forma ms
conveniente (segn un pequeo grupo de especialistas) de llevar a cabo cualquier novedad de la red.
Se trata aqu de las RFC (Request For Commentaries), que proponen una mecnica veloz para
que el usuario final no sufra de los inconvenientes anteriormente planteados, dando respuesta a las
necesidades del mercado eficientemente.
Se produce aqu un punto de inflexin importante entre el estndar mundial y lo que se va
proponiendo poco a poco a travs de estas RFC, las cuales en muchos casos hacen referencia al
modelo OSI y en muchos otros no, apareciendo un nuevo modelo de referencia que no ajusta
exactamente con lo propuesto por OSI. Este modelo se conoce como Pila, stack o familia TCP/IP o
tambin como modelo DARPA, por la Agencia de Investigacin de proyectos avanzados del DoD
(Departamento de Defensa) de EEUU, que es quien inicialmente promueve este proyecto.
Este modelo que trata de simplificar el trabajo de las capas, y por no ser un estndar, se ve
reflejado en la interpretacin de los distintos autores como un modelo de cuatro o cinco capas, es
ms, existen filosficos debates acerca de cmo debe ser interpretado.
En este texto, se va a tratar el mismo como un modelo de cinco capas, solamente por una
cuestin prctica de cmo ajustan las mismas a los cuatro primeros niveles del modelo OSI,
tratando de no entrar en la discusin Bizantina del mismo, y dejando en libertad al lector de formar
su libre opinin sobre el mejor planteamiento que encuentre.
Si se representan ambos modelos, sin entrar en detalles de si las distintas capas coinciden
exactamente o no (pues ste es otro gran tema de discusin, que no ser tratado en este texto), se
pueden graficar ms o menos como se presenta a continuacin:
OSI DARPA o TCP/IP
Aplicacin
Presentacin
Sesin
Aplication
Transporte Transport
Red Internetwork
Enlace Medium Access
Fsico Phisical
Otra forma de presentar el modelo TCP/IP podra ser a travs de una relacin de los
protocolos que trabajan en cada uno de los niveles (si bien algunos de ellos a veces pueden realizar
funciones que superan su nivel especfico), sobre esta base lo veramos como se presenta a
continuacin.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 27 [Link]
TCP / IP (Detalle protocolos)
TCP / IP
h
t
t
p
S
M
T
P
F
T
P
T
e
l
n
e
t
P
O
P
-
3
D
N
S
S
N
M
P
R
S
V
P
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
APLICACIN 5
TCP UDP TRANSPORTE 4
IP RED 3
Acceso al 2
8
0
2
.
3
8
0
2
.
4
8
0
2
.
5
8
0
2
.
1
1
P
P
P
R
D
S
I
A
D
S
L
A
T
M
X
.
2
5
F
.
R
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
medio
1
En la imagen anterior, hemos presentado tambin el nivel de Acceso al medio bajo la
hiptesis que pueda ser considerado como un solo nivel o como dos, pues encontraris bibliografa
que lo presenta de una u otra forma.
Antes de continuar avanzando sobre el concepto de capas, vamos a presentar una idea que
sera fundamental no olvidarla y mantener siempre presente. Cada capa regula, o es encargada de
una serie de funciones que deberan ser autnomas (cosa que a veces no se cumple), es decir no
tendra por qu depender de lo que se haga en otro nivel. Dentro de este conjunto de tareas, es
necesario destacar la razn de ser de cada una de ellas, su objetivo principal, el cual lo podramos
resumir en el cuadro siguiente:
Sobre el cuadro anterior insistiremos durante todo el texto, pues ser la base del
entendimiento de cada uno de los protocolos que abordemos, por ahora tenlo presente (y recuerda
su nmero de pgina) pues volveremos!
Para hacernos una idea ms clara sobre el porqu de los niveles, a continuacin presentamos
lo que el model OSI propone para cada uno de ellos. Este esquema presenta, como acabamos de
ver, la divisin de los servicios y funciones en siete niveles. Esto no necesariamente se cumple,
pues es slo una propuesta de estandarizacin para poder acotar el diseo de los componentes tanto
de Hardware como de Software. Una Suite, Familia o Pila de protocolos que justamente se
separa en algunos aspectos de este modelo es TCP/IP, la cual por ser un estndar DE FACTO, es
hoy tenida en cuenta por la masa de las industrias de telecomunicaciones. Los niveles son:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 28 [Link]
-1.2.1. Nivel 1 (Fsico):
Recibe las tramas de nivel 2, las convierte en seales elctricas u pticas y las enva por el
canal de comunicaciones.
Define aspectos mecnicos, elctricos u pticos y procedimentales.
Algunas de las especificaciones ms comunes son: RS 232, V.24/V.28, X.21, X.25,
SONET, etc.
Funciones y servicios:
- Activar/desactivar la conexin fsica.
- Transmitir las unidades de datos.
- Gestin de la capa fsica.
- Identificacin de puntos extremos (Punto a punto y multipunto).
- Secuenciamiento de bit (Entregar los bits en el mismo orden que los recibe).
- Control de fallos fsicos del canal.
1.2.2. Nivel 2 (Enlace):
Establece la conexin con el nodo inmediatamente adyacente.
Proporciona los medios para asegurar la confiabilidad a la ristra de bits que recibi.
Bsicamente efecta el control de flujo de la informacin.
Funciones o servicios:
- Divisin de la conexin del enlace de datos (Divide un enlace de datos en varias
conexiones fsicas).
- Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja
dinmicamente).
- Proporciona parmetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio
entre fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el trnsito,
etc.
- Deteccin de errores (CRC {Control de Redundancia Cclica} Checksum).
- Correccin de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error Control}),
sin eximir a capas superiores de hacerlo.
- La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical
Link Control), si bien esto no es contemplado por OSI.
Algunas de las especificaciones ms comunes son: LAP-B {X.25}, LAP-D {ISDN}, ISO
4335 del HDLC, I 122 del Frame Relay, tambin se puede tener en cuenta protocolos
propietarios como ODI (Open Data Interface) y NDIS (Network Drivers Interface Standard).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 29 [Link]
1.2.3. Nivel 3 (Red):
La tarea fundamental de este nivel es la de enrutado y conmutacin de paquetes. Es por
esta razn que su trabajo acorde al tipo de conexin es muy variable. En una red de
conmutacin de paquetes puede ser implementado en detalle, en cambio al conmutar
circuitos prcticamente no tiene sentido.
Sus funciones y servicios son:
- Encaminamiento y retransmisin (Define las rutas a seguir).
- Conmutacin de paquetes.
- Multiplexacin de conexiones de red.
- Establecimiento de circuitos virtuales.
- Direccionamiento de red.
1.2.4. Nivel 4 (Transporte):
Su tarea fundamental es la conexin de extremo a extremo (end to end).
Permite al usuario elegir entre distintas calidades de servicio.
Optimiza la relacin costo beneficio.
Se definen cinco clases que van desde la cero (sin recuperacin y eliminando paquetes
daados) hasta la cuatro (Deteccin y correccin de errores extendida).
Funciones y servicios:
- Correspondencia entre direcciones de transporte y de red.
- Supervisin de red.
- Facturacin de extremo a extremo.
Algunos ejemplos de este nivel son: SPX, TCP, X. 224.
Las cuestiones de Hardware y Software de
comunicaciones con este nivel (Inclusive) quedan
completas. Desde los niveles de aqu en adelante las
relaciones principales son las propias aplicaciones
(podramos decir que estn orientadas al usuario).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 30 [Link]
1.2.5. Nivel 5 (Sesin):
Permite el dilogo entre usuarios, entre dos ETD, se establece, usa, cierra una conexin
llamada sesin.
Funciones y servicios:
- Establecimiento del dilogo Half Dplex o Full Dplex.
- Reseteado de sesin a un punto preestablecido.
- Establecimiento de puntos de control en el flujo de datos para comprobaciones
intermedias y recuperacin durante la transferencia de archivos .
- Abortos y rearranques.
Son algunos ejemplos de este nivel: Net BIOS Net BEUI, ISO 8327.
1.2.6. Nivel 6 (Presentacin):
Asigna una sintaxis a los datos (Cmo se unen las palabras).
Funciones y servicios:
- Aceptacin de datos de nivel siete (Enteros, caracteres, etc), negociando la sintaxis
elegida (Ej: ASCII, EBCDIC,etc.).
- Transformacin de datos para fines especiales (Ej: Compresin).
- Codificacin de caracteres grficos y funciones de control grfico.
- Seleccin del tipo de terminal.
- Formatos de presentacin.
- Cifrado.
1.2.7. Nivel 7 (Aplicacin):
Sirve de ventana a los procesos de aplicacin. Tiene en cuenta la semntica (significado) de
los datos.
Funciones y servicios:
- Servicios de directorio (Transferencia de archivos).
- Manejo de correo electrnico.
- Terminal virtual.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 31 [Link]
- Procesamiento de transacciones.
Son algunos ejemplos de este nivel: X.400, X.500, SMTP, Telnet, FTP.
1.3. Conceptos de: Primitivas, servicios y funciones, SAP, UDP y UDS.
1.3.1. Ente: Elemento activo que ejerce funciones o proporciona servicios a sus niveles
adyacentes.. El ente puede ser software (Ej: Compresin de datos) o hardware (Ej:
Microprocesador para armado de paquetes).
1.3.2. SAP (Service Access Point): Punto situado en la interfaz entre dos capas. En dicho
punto estarn disponibles los Servicios requeridos y las Respuestas. Indica
explcitamente hacia que protocolo se debe dirigir por medio de esa interfaz. A travs
del SAP se puede multiplexar procesos, pues es el que indica hacia qu proceso se refiere
un determinado encabezado (Header).
1.3.3. Primitivas: Los mensajes entre entes se llevan a cabo a travs de cuatro primitivas:
Solicitud.
Respuesta.
Confirmacin.
Indicacin.
1.3.4. SDU (Service Data Unit): Datos que se mantienen inalterados entre capas pares y se van
transmitiendo en forma transparente a travs de la red.
1.3.5. PDU (Protocol Data Unit): UDS ms la informacin de control (encabezado) de ese
nivel.
1.3.6. IDU (Interface Data Unit): Unidad de informacin que se transmite a travs de cada
SAP.
1.3.7. ICI (Information Control Interface): Informacin que el ente N+1 transfiere al ente N
para coordinar su funcionamiento y queda en ese nivel (No pasa al siguiente).
Grficos Resumen:
UDP = UDS + HEADER (encabezado).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 32 [Link]
PDU (N+1) =
PDU (N) =
PDU (N-1) =
En cada capa se Encapsula el PDU recibido de la capa superior y se agrega un Header
(En la capa 2 tambin se agrega una cola).
1.4. Funciones y/o servicios.
Sin entrar en detalles especficos de diferencias entre servicios y/o funciones, en este punto se
tratar de desarrollar cules son las tareas que se pretende realice un esquema de comunicaciones
para poder transmitir informacin en forma transparente a un usuario. Una vez analizadas estas
tareas, se dividirn en un enfoque de niveles que es el que propone OSI, entrando en el detalle de
cul de ellos desempea cada una de las funciones y/o servicios.
1.4.1. Segmentacin y reensamble:
Esta tarea trata de ajustar el tamao de los datos a transferir al ptimo a colocar en el canal de
comunicaciones. Este tamao depender de varias causas:
- Determinados protocolos slo aceptan un tamao mximo o exacto de informacin (Ej ATM
= 53 Bytes, Ethernet < 1518 Bytes, etc).
- Control de errores ms eficiente.
- Equilibrado uso del canal (Evitar monopolios).
- Empleo de buffer ms pequeos.
- DESVENTAJAS: Mayor informacin de control. Genera ms interrupciones.
1.4.2. Encapsulamiento:
Se entiende por encapsulamiento al agregado de informacin de control a las unidades de datos
y al tratamiento de ese bloque como un todo llamado UDP (Unidad de Datos del Protocolo), el
cual es entregado al nivel inferior como una Caja Negra pues es totalmente transparente para
el nivel inferior todo lo que existe all adentro, tomndolo completo como una unidad de datos
HEADER SDU
HEADER SDU (N)
HEADER (N- SDU (N-1)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 33 [Link]
para ese nivel. Esta informacin de control que se adiciona puede incluir alguno de los
siguientes items:
Direccin.
Cdigos de deteccin de errores.
Informacin de control del protocolo.
1.4.3. Control de la conexin:
Esta tarea comprende todos los pasos necesarios para el establecimiento de la conexin, la
transferencia de datos y el cierre de la conexin en los casos en que esta secuencia sea
necesaria.
1.4.4. Entrega ordenada:
A medida que la informacin va descendiendo de nivel en el modelo, como as tambin cuando
es colocada en el canal de comunicaciones y transferida a travs del mismo, va sufriendo
transformaciones y/o viaja por caminos diferentes. Acorde al nivel responsable de estas
transformaciones, existirn tareas que se encargarn por distintas tcnicas, de entregar al nivel
superior las unidades de datos en la misma secuencia con que fue recibido en su nivel par en el
ETD origen.
1.4.5. Control de flujo:
Esta actividad consiste en la posibilidad de regular la corriente de informacin a travs del
canal de comunicaciones. El control de flujo va desde la tcnica ms simple: Parada y
espera, hasta la de Ventana deslizante, que permite tener hasta n tramas en el canal
pendientes de ser entregadas o recibidas.
1.4.6. Control de errores:
El control de errores es la actividad que permite asegurar la confiabilidad de los datos en cada
uno de los niveles pares de cada ETD. Como se tratar ms adelante, el control de errores de
un nivel, no exime de ejecutar esta tarea a cualquier otro, pues cada uno abarcar determinados
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 34 [Link]
tramos dentro de la red, pudiendo ocurrir que el error no se produzca en el de su
responsabilidad, ante lo cual no sera detectado, excepto que otra capa tambin lo est haciendo.
Para esta actividad se pueden emplear dos tcnicas, FEC (Forward Error Control) y BEC
(Backward Error Control).
1.4.7. Direccionamiento:
El concepto de direccionamiento es muy amplio, abarcando de alguna u otra forma, ms de un
nivel del modelo.
Si se hace una analoga con un envo postal, para un usuario final, la nica direccin que le
interesa, es la del domicilio postal al que desea enviar su carta. Detrs del mismo, existe todo
un sistema diseado y puesto en funcionamiento que permite que la carta que es depositada en
un buzn, sea colocada en una determinada bolsa (y no otra) cuyo cdigo de identificacin slo
conocen los empleados de las sucursales de correo: esta bolsa se dirigir hacia un avin,
ferrocarril, camin etc... cuya identificacin de vuelo, andn, etc... slo conocer el nivel de
empleados del ferrocarril, aeropuerto o transporte automotor. Este proceso se puede desglosar
hasta el mnimo detalle formando parte de un conjunto de direccionamiento absolutamente
desconocido para un usuario final. No puede caber duda que quien dise el sistema de
distribucin de correo, conoce este detalle, y lo fue fraccionando por niveles de distribucin
para justamente lograr este efecto de transparencia.
Al referirse a un sistema de transferencia de datos ahora, es difcil luego de este ejemplo pensar
que con una sola direccin el mismo funcionara. Este planteamiento es el necesario para
detallar todos los tipos de direccionamiento existentes, los cuales se pueden clasificar en cuatro
categoras:
Direccionamiento de nivel:
Cada una de los distintos tipos de direcciones que se emplean en cada nivel, acorde
al protocolo que se est empleando en ese nivel (Ej : X.25, Frame Relay, Ethernet,
etc...).
Espacio de direcciones:
Se puede tratar como: Local (Mi Red) o Global (Todos los ETD a los que se puede
tener acceso fuera de la Red Local).
Identificador de conexin:
A qu tipo de protocolo se est accediendo.
Modo de direccionamiento:
Se trata del tipo de destinatario del mensaje, este puede ser: Unicast Multicast
Broadcast.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 35 [Link]
1.4.8. Multiplexado:
El concepto de multiplexado fsico, a travs de las distintas tcnicas (TDM, PDM, FDM, etc)
permite compartir un mismo canal fsico por varios canales lgicos. Bajo este mismo concepto
varias aplicaciones pueden estar ejecutndose durante una misma sesin (Ej: En una conexin a
Internet, se puede estar consultando una pgina Web {HTTP}, enviando un correo {SMTP},
transfiriendo un archivo {FTP}, etc). Estos son ejemplos donde un mismo nivel permite
operar con ms de un nivel superior, entendindose como multiplexin lgica.
1.4.9. Servicios de transmisin:
Los distintos tipos de servicios de transmisin ofrecen las opciones de optimizar la relacin
costo/beneficio en el esquema de comunicaciones; por medio de ste se puede establecer las
siguientes opciones:
Prioridades (Se basa en que ciertos mensajes necesitan ser transmitidos con menor
demora que otros, como pueden ser los de control o servicios de red).
Grado de Servicio (Distintas opciones de calidad de Servicio {QoS} ).
Seguridad ( Permite implementar estrategias de seguridad, en cuanto a la confiabilidad
de datos, descarte de tramas, recuperacin, fallas, etc...).
1.5. Presentacin de la familia (pila) de protocolos TCP/IP.
En 1973, los investigadores Vinton Cerf de la Universidad UCLA y Robert Kahn del MIT,
elaboran la primera especificacin del protocolo de comunicaciones TCP. Y es en 1983 cuando se
abandona el protocolo de comunicaciones anterior NPC y se sustituye por el actual protocolo
TCP/IP.
En 1987 la red dedicada a las news USENET, se integra en Internet. Usenet fue creada por tres
estudiantes de Duke y Carolina del Norte en 1979, Tom Truscott, Jim Ellis y Steve Bellovin. En
cuanto al WWW (World Wide Web), todo empez en 1980 en el CERN (Consejo Europeo para la
investigacin Nuclear), Suiza. El investigador Tim Berners-Lee implement una aplicacin que
estableca enlaces entre una serie de nodos y permita ir avanzando por ellos. Diez aos ms tarde
form un equipo junto con Robert Cailliau y realizaron el primer prototipo sobre una mquina
NEXT. La conexin se realizaba haciendo TELNET a una mquina, ejecutando en esta ltima el
navegador.
En 1993 Berners-Lee crea junto a Eric Bina en el NCSA el primer navegador grfico Mosaic, y
un ao ms tarde funda la compaa Netscape Communications.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 36 [Link]
Esta breve introduccin histrica, es la que va dando origen a los primeros protocolos de esta
familia, a los cuales se van sumando muchos ms que permiten al da de hoy implementar todos los
servicios que ofrece esta arquitectura.
1.6. Fuentes de informacin (RFC).
Como se mencion anteriormente, la velocidad de avance de Internet, no soporta un burocrtico
sistema de estandarizacin como se vena haciendo con otras familias de protocolos, nace as la idea
de las RFC (Request For Commentaries). Estas recomendaciones, no buscan estandarizar
rigurosamente esta familia, sino que a medida que aparece una nueva funcionalidad, servicio,
implementacin, protocolo, etc... inmediatamente se puede describir la mejor forma de llevarla a
cabo mediante una RFC, la cual tiene diferentes Estados de madurez y rpidamente sienta un
precedente. En la actualidad superan holgadamente las tres mil.
El organismo responsable de las RFC es IETF (Internet Engineering Task Force); su pgina Web
es: [Link] en ella encontrars toda la informacin al respecto.
El listado de las RFCs puede verse en una Wiki dentro de esta Web
([Link]
La RFC nmero 1, fue publicada en abril de 1969 y su ttulo es Host Software. Existen muchas
ancdotas en su historia, a nosotros la que ms nos gusta est dedicada a las personas que piensan
que los informticos (o la informtica) es aburrida y se refiere al Pez de abril. Esta fecha es
anloga a lo que en Espaa y muchos otros Pases es el da de los Inocentes (28 de diciembre, por
los santos inocentes). En este caso, la versin que parece ser ms cierta es que en Francia, durante el
reinado de Carlos IX, se segua festejando el Ao Nuevo el da 25 de marzo, pero en 1564 este Rey
adopt el calendario Gregoriano y comenz a celebrarse esta fiesta el 01 de enero. Ante este hecho,
parece ser que algunos franceses opuestos al cambio o tal vez algo despistados, continuaron
enviando regalos y festejando la fecha antigua, cuya duracin era de una semana, por lo tanto
terminaba el primero de abril, esto deriv en broma por medio del envo de regalos ridculos o
invitando a fiestas inexistentes y as naci la tradicin del 1 de abril y el nombre de Pez, viene por
la constelacin de piscis, pues ese da el Sol abandonaba la misma.
Volviendo a nuestras RFC, el 1 de abril de 1973 la IETF publica la RFC-527 ARPAWOCKY
que es una especie de poesa totalmente en broma, a partir de sta ya en 1989 IETF todos los aos
(con alguna excepcin) publica una o dos de estas RFCs, as que cuidado con las del 01 de abril!
1.7. Breve descripcin de protocolos que sustentan a TCP/IP (PPP, ISDN, ADSL, Ethernet,
X.25, Frame Relay y ATM).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 37 [Link]
Como se ver ms adelante, el protocolo IP puede ser implementado sobre una gran cantidad de
protocolos que le permitan transportar (llevar) la totalidad de la informacin que ste encapsula; es
por esta razn que se trata aqu de dar una muy breve descripcin de los ms importantes de ellos.
1.7.1. PPP:
El Point to Point Protocol, es la implementacin ms simple del nivel de enlace para
acceder a redes, por medio de lneas de telefona conmutada, estableciendo como su nombre
lo indica un enlace punto a punto con un nodo de acceso a la red, a travs de un mdem y
por medio de los protocolos de la familia HDLC (High Level Data Link Connection), ms
especficamente LAP-M (Link Access Procedure - Modem).
1.7.2. ISDN (o RDSI):
ISDN es una tecnologa de acceso en el rango de las telecomunicaciones y particularmente a
los servicios de circuito virtual por conmutacin de paquetes. ISDN pretende crear un
sistema completo que permita abastecer cualquier servicio actual y futuro al usuario
Existen dos tipos de servicios ISDN: Bsico o BRI (Basic Rate Interfaz) y PRI (Primary
Rate Interfaz).
El BRI ofrece como servicio dos canales de 64 Kbps (Canal B: Bearer) y uno de 16 Kbps
(Canal D: Delta) por eso es comnmente llamado 2B + D, sumando un ancho de banda
utilizable de 144 Kbps, si bien se debe tomar en cuenta que existen 48 Kbps empleados para
separacin de bandas y balanceo, que imponen un ancho de banda total de 192 Kbps siendo
estos ltimos transparentes y no utilizables para el usuario.
El cliente se encuentra representado por el CPE (Equipamiento del lado del Usuario),
accediendo a una central telefnica llamada CO (Central Office), la cual es la encargada de
la conmutacin para lo cual emplea el sistema de sealizacin Nro 7 (SS 7) dentro de la red
ISDN y el sistema de sealizacin DSS1 (Digital subscriber signalling) con el usuario por
medio del canal D.
El PRI ofrece dos posibilidades, segn la norma Europea se constituye con 30 B + D,
posibilitando un ancho de banda disponible de 2,048 Mbps y segn la norma de EEUU 23 B
+ D haciendo posible 1,544 Mbps. La unin de varios PRI puede hacerse bajo el esquema
de ATM que de hecho constituye la base de B - ISDN (Broadband) o ISDN de banda ancha.
El ISDN mantiene las caractersticas de discado, es decir, se paga por su uso y en relacin a
las lneas dedicadas suele ser ms econmico hasta un mximo de 2 o 3 horas diarias de uso
(que se corresponderan a unos 100 Mb diarios).
1.7.3. XDSL:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 38 [Link]
La DSL usa modernas tcnicas de procesamiento digital para aprovechar la infraestructura
de cobre instalada y crear lazos digitales remotos de alta velocidad en distancias de hasta
5.400 metros sin hacer conversiones de digital a analgico.
En un edificio grande o en un campus universitario, una DSLAM (DSL Access Multiplexer)
se conecta a los cables telefnicos de cobre existentes que corren por las subidas del edificio
hasta las computadoras de los usuarios.
Los PC del usuario se conectan a un mdem DSL va conexiones Ethernet estndar y el
DSLAM, usado en lugar de conmutadores telefnicos de voz, transmite por sistema
multiplex el trfico de datos desde las lneas DSL a una interfaz ATM.
Esta transmisin de datos punto a punto en forma digital a elevado ancho de banda -hasta 7
Mbps o 8 Mbps- le da a la DSL una significativa ventaja sobre los sistemas ISDN y los
mdem de 56 Kbps. La transmisin analgica usa slo una pequea porcin de la
capacidad del alambre de cobre para transmitir informacin y por esta razn la velocidad
mxima es de 56 Kbps. Aunque el ISDN es un buen sistema para transmisin a 64 Kbps -
2,048 Mbps- su tecnologa no puede manejar las demandas de aplicaciones que requieren
gran ancho de banda.
DSL crea conexiones ms rpidas que ambos con grandes canales de datos y mayores
anchos de banda. Estos grandes anchos de banda le permiten a la DSL manejar las
demandas de aplicaciones que consumen mucho ancho de banda: videoconferencias en
tiempo real, telemedicina y educacin a distancia, por ejemplo.
Adems del mayor ancho de banda, la DSL es en muchos aspectos una tecnologa ms
barata que la ISDN.
Variantes de DSL
Las diferentes implementaciones de DSL sirven como canales de alta velocidad para
conexiones remotas, pero tienen diferentes velocidades y caractersticas de operacin.
ADSL (Asymmetric Digital Subscriber Line): siendo esta variante la ms flexible,
dado que proporciona numerosas velocidades ascendentes y descendentes, se ha
convertido hoy en da en la ms popular para las empresas y los usuarios en el hogar.
Velocidad mxima ascendente: 8 Mbit/segundo.
Velocidad mxima descendente: 64 Mbit/segundo.
Distancia mxima: 5.400 m.
HDSL (High bit-rate DSL): Esta es la ms vieja de las variantes de las tecnologas
DSL. Se usa para transmisin digital de banda ancha dentro de instalaciones de
empresas y compaas telefnicas que requieren dos cables entrelazados y que usan
lneas T1.
Velocidad ascendente mxima: velocidad de T1.
Velocidad descendente mxima: velocidad de T1.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 39 [Link]
Distancia mxima: 3.600 m.
(ISDL) ISDN DSL: Esta variante est ms prxima a las velocidades de
transferencia de datos de ISDN y puede ser activada en cualquier lnea ISDN.
Velocidad mxima ascendente: 128 kbits/s.
Velocidad mxima descendente: 128 kbits/s.
Distancia mxima: 5.400 m.
RADSL (Rate-Adaptive DSL): Esta variante soporta software que automtica y
dinmicamente ajusta la velocidad a la cual pueden transmitirse las seales en la
lnea telefnica de determinado cliente.
Velocidad mxima ascendente: 1 Mbit/s.
Velocidad mxima descendente: 12 Mbit/s.
Distancia mxima: 5.400 m.
SDSL (Single-Line DSL): Esta variante es una modificacin de HDSL.
Velocidad mxima ascendente: 768 kbit/s
Velocidad mxima descendente: 768 kbit/s.
Distancia mxima: 3.000 m.
VDSL: Es lo ltimo en DSL y es una tecnologa en desarrollo.
Velocidad mxima ascendente: 2,3 Mbit/s.
Velocidad mxima descendente: 52 Mbit/s.
Distancia mxima: 1.350 m.
1.7.4. Ethernet: Se tratar en detalle ms adelante.
1.7.5. X.25:
En 1974, el CCITT emiti el primer borrador de X.25. Este original sera actualizado cada
cuatro aos para dar lugar en 1985 al Libro Rojo ampliando e incorporando nuevas
opciones y servicios, que posteriormente siguieron siendo ajustadas.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 40 [Link]
El concepto fundamental de X.25 es el de Red de Conmutacin de paquetes, siendo la
precursora de este tipo de tecnologas. Por nacer muy temprano, su desarrollo fue pensado
sobre redes de telecomunicaciones de la dcada del 70, teniendo en cuenta nodos de
conmutacin electromecnicos o hbridos, lneas exclusivamente de cobre, equipos
terminales de datos de muy poca inteligencia y baja velocidad de procesamiento. Basado
en estos parmetros es que hace especial hincapi en la deteccin y control de errores, que
como se puede esperar, se logra mediante una enorme redundancia en la transmisin. Para
lograr este objetivo es que implementa un esquema de tres niveles asociados directamente a
los equivalentes del modelo OSI.
En X.25 se definen los procedimientos que realizan el intercambio de datos entre los
dispositivos de usuario y el nodo de ingreso a la red X.25 (no define lo que sucede dentro de
la misma).
1.7.6. Frame Relay:
Es una de las tcnicas de fast packet switching, llamada habitualmente conmutacin de
tramas. Es empleado fundamentalmente para el reemplazo de lneas punto a punto. Esta
tcnica opera sobre lneas de alta calidad, pues reduce sensiblemente la importancia que
X.25 le da a la deteccin de errores, dejando esta tarea nicamente a los extremos. Por lo
tanto, si las lneas son de baja calidad se deber transmitir las tramas de extremo a extremo,
bajando el rendimiento, incluso hasta ser peores que X.25 si el canal es muy malo.
Las estaciones terminales son responsables de:
Cobertura de errores.
Control de secuencia.
Control de flujo.
Sus caractersticas son:
Alta velocidad y baja latencia.
Basado en circuitos virtuales de nivel 2.
Se reemplaza el trmino canal lgico por DLCI (Data Link Connection Identifier).
Este DLCI identifica al circuito virtual en cualquier punto de la red (Igual que el
canal lgico en X.25).
Cada DLCI tiene significado local.
La conmutacin se produce a nivel trama.
Orientado al trfico por rfagas.
Comparte puertos.
Permite el uso dinmico de ancho de banda.
1.7.7. ATM:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 41 [Link]
Primera solucin capaz de eliminar la barrera entre LAN y WAN. Aplica el concepto de
conmutacin rpida de paquetes (llamados celdas).
Es un concepto, no un servicio que emplea nuevas tcnicas de conmutacin con muy bajo
retardo. Se emplea un mnimo de retardo en cada nodo, dejando el control de errores y de
flujo en los extremos. Asume que los enlaces son digitales, por lo tanto posee un muy bajo
ndice de errores. Integra voz, datos y en algunos casos vdeo.
Emplea la transmisin en banda ancha (Broadband).
Por qu B ISDN?
La conmutacin de circuitos se adapta perfectamente a los servicios Isocrnicos (Sincrnico
pero continuo en su retardo, Ej: Voz).
La conmutacin de paquetes se adapta perfectamente a la transferencia de datos.
ATM es una solucin de compromiso: Una conmutacin de paquetes que puede asegurar
una entrega rpida y continua de voz e imgenes.
El ATM Forum se crea porque las normas ITU salen con demoras de cantidad de aos, y la
dinmica de los avances tecnolgicos no puede soportar tanto tiempo. El ATM Forum fue
fundado en octubre de 1991, es un consorcio internacional formado para acelerar el uso de
los productos y servicios ATM a travs de una rpida convergencia y demostracin de las
especificaciones. No es un instituto de estandarizacin sino que trabaja en colaboracin con
instituciones como ITU y ANSI.
Nace en los laboratorios Bell a fines de los 80.
La Unidad de transferencia de informacin es llamada celda la cual es de tamao
fijo (53 Byte) y son relevadas (Relay) entre cada nodo ATM por eso su concepto
de Cell Relay.
EEUU propone 64 Byte + 5 Byte (Necesita cancelar eco en TE).
Europa propone 32 Byte + 4 Byte (Era baja la eficiencia de datos por celda).
Se adopta : 64 + 32 = 96; 96 / 2 = 48 + 5 ( Mx valor sin cancelar eco).
Premisas de ATM: Red altamente confiable y de alta velocidad, nodos inteligentes
para tratar errores.
Rene conceptos de conmutacin de paquetes y de circuitos.
Se le denomina asncrono por la discontinuidad entre celdas a nivel de usuario, pero
a nivel fsico es estrictamente sincrnico pues lo soporta SDH (Jerarqua Digital
Sincrnica).
Es Orientado a la Conexin, tcnica que logra mediante el empleo de circuitos
virtuales (VPI y VCI).
Tecnologa capaz de conmutar millones de unidades por segundo a travs de los
nodos introduciendo retardos muy bajos, para lograrlo:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 42 [Link]
Reduce las funciones en los nodos: Se le quita a stos toda la carga de
procesamiento que no sea estrictamente imprescindible para el encaminamiento
exitoso de la llamada.
Delega funciones en los extremos: Confiando en la inteligencia que se posee hoy
en los equipos terminales de datos, confa en stos muchas de las tareas.
1.8. Presentacin de protocolos TCP, UDP e IP.
Dentro de esta pila de protocolos, como el modelo de referencia lo trata de mostrar, existen dos
niveles bien marcados. Hasta el nivel cuatro (transporte) inclusive. miran hacia la red, por lo
tanto todas las actividades que aqu se desarrollan tienen relacin con el canal de comunicaciones y
los nodos por los que pasa la informacin. Dentro de esta divisin, se encuentra el corazn de esta
familia, se trata del protocolo IP de nivel 3 (red) y de los dos protocolos de nivel 4 (transporte) UDP
y TCP. Sobre estos tres cae toda la responsabilidad de hacer llegar la informacin a travs de la
red, es por esta razn que se les trata de remarcar con esta presentacin, y sub-clasificarlos de
alguna forma respecto al resto.
1.9. Presentacin de protocolos: FTP, Telnet, ARP y R_ARP, SMTP, POP3, IMAP, MIME,
SNMP, HTTP, ICMP, IGMP, DNS, NetBIOS, SSL y TLS.
El resto de esta familia miran hacia el usuario. Se debe contemplar aqu las dos excepciones
que son ARP, R_ARP e ICMP-IGMP, que en realidad participan tambin en las tareas de red,
pero como un complemento de la misma. Con estas excepciones salvadas, todo lo dems que se
ver tiene como funcin principal cierta interaccin con el usuario final para ofrecer servicios y/o
funciones.
1.10. Protocolo IPv6.
Ante varios problemas que fueron apareciendo durante la larga vida del protocolo IP versin 4,
desde hace varios aos se est estudiando, y en la actualidad ya implementando en laboratorio,
universidad, algunas empresas y troncales de Internet, una nueva versin del mismo llamada IP
versin 6 (Ipv6) o IP Next Generation (IPNG), el cual ya ha llegado a un importante nivel de
madurez, pero an no se ha lanzado al mercado definitivamente.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 43 [Link]
EJERCICIOS DEL CAPTULO 1:
1. Para qu sirve dividir en capas la comunicacin entre dos ETD?
2. Qu modelos de capas hemos presentado? Por qu sus diferencias?
3. Recuerdas cules son las capas del modelo TCP/IP?
4. Cul es el objetivo fundamental de cada un de las cuatro primeras capas?
5. De forma prctica, a qu crees que se refiere el concepto Service Access Point?
6. Cmo est formada la Unidad de Datos de Protocolo, por ejemplo del nivel 3?
7. En qu consiste la segmentacin y reensamble?
8. Si una capa superior hace control de errores, puede que se haga tambin en alguna otra?
9. Se te ocurre algn ejemplo de multiplexado fsico que uses en la vida cotidiana?
10. Si tuvieras que profundizar en un tema respectivo a la pila TCP/IP, cul sera la fuente ms
exacta para obtener informacin?
11. Cita algunos ejemplos de protocolos que sustentan a TCP/IP.
12. La lnea ADSL que casi todos tenemos en casa, a qu tecnologa responde? Es la nica
forma de implementar esta tecnologa?
13. Hemos visto algn protocolo que aproxime velocidades WAN y LAN?
14. Si alguien se refiere a protocolos de nivel 2 y 3, su tarea fundamental est orientada a
servicios de usuario o de red?
15. Qu versiones conoces del protocolo IP?
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 45 [Link]
CAPTULO 2: Principios del anlisis de la Informacin.
En principio, independientemente del nivel que estemos analizando o evaluando, toda secuencia
de unos y ceros se interpreta como informacin; la misma puede estar relacionada a datos,
encabezados, control, etc pero siempre la consideraremos informacin.
Este flujo de informacin que se est intercambiando entre dos ETD se denomina Trfico y es
lo que se presenta a continuacin.
2.1. Trfico: Broadcast, multicast y dirigido:
El trfico que se produce en una red se puede clasificar desde dos puntos de vista: por su sentido
y por su forma de direccionamiento.
2.1.1. Por su sentido:
La direccin en que las seales fluyen en la lnea de transmisin es un factor clave que afecta
a todos los sistemas de comunicaciones de datos. Existen tres tipos de flujo de la informacin:
Simplex:
La transmisin entre dos equipos se realiza en un nico sentido (por ejemplo la
TV).
Half-Dplex:
La transmisin se realiza en los dos sentidos, aunque no simultneamente (por
ejemplo los walkie talkies).
Dplex:
Transmisin simultnea e independiente en ambos sentidos (por ejemplo el
telfono).
2.1.2. Por forma de direccionamiento:
Unicast:
Se trata de una transmisin de un ETD a slo un ETD.
Multicast:
Se trata de una transmisin de un ETD hacia un determinado grupo.
Broadcast:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 46 [Link]
Es el tipo de transmisin de un ETD hacia absolutamente todos los ETD que
escuchen la misma.
2.2. Cmo se analiza el trfico?
El anlisis de trfico consiste en desarmar cada trama, paquete, segmento, bloque de
informacin (ms adelante veremos que cada uno de los conceptos anteriores tiene un significado
diferente) y analizarlos bit a bit. Puede parecernos horroroso y/o inhumano, pero aqu se
esconde la razn de ser de la seguridad. Gracias a Dios en la actualidad contamos con muy buenas
herramientas que hacen ms amigable esta dura tarea.
Cuando un dispositivo de red comienza a recibir informacin (ms adelante iremos de lleno a este
tema) cada uno de los niveles de esta pila TCP/IP comienza su tarea identificando bit a bit a
qu mdulo le corresponde trabajar. Un mdulo no es ms que un cdigo, script o programa que
tiene todas las rdenes que debe realizar en ese nivel y con esa secuencia de bits. Una vez que
rene suficiente informacin para identificar unvocamente a qu mdulo llamar, automticamente
le pasa el control a ste y a partir de all comienza su tarea. Concretamente cada mdulo es lo que
puede o no puede hacer un determinado protocolo de comunicaciones, es decir el conjunto de
reglas que impone ese mdulo o protocolo para ese nivel del modelo de capas. Sera de imaginar
que ya te suene al menos ideas como Ethernet, IP, http, etc... pues cada uno de esos
conceptos son justamente protocolos de comunicaciones que operan a un nivel especfico del
modelo de capas y sus funciones y/o servicios son gobernados por este programita que estamos
llamando mdulo, y bajo esta idea es que encontraremos en cualquier ordenador conectado a una
red TCP/IP muchos mdulos y cada uno de ellos se encargar de procesar esta secuencia de
informacin que se le entrega cuando es llamado.
El primer mdulo que podramos considerar en este texto es la librera libpcap, que como su
nombre parece dejar entrever, es la librera encargada de las capturas de trfico. Esta librera
tiene una caracterstica muy importante si nuestra conexin a la red lo permite, que es la de poder
escuchar en modo promiscuo. Como iremos viendo a lo largo del libro, cuando una informacin
circula por la red e ingresa a un ETD, a medida que cada nivel la va evaluando, decide si se dirige
hacia l o no (en cada nivel), cuando no es para l entonces debe descartar esa informacin y/o en
algunos casos reenviarla. Cuando se logra operar en modo promiscuo esto implica que no
descarte informacin, sino que procese todo, sea para este ETD o para cualquier otro. Por esta
razn la idea de analizar trfico de una red, est particularmente dirigida a poder escuchar TODO el
trfico que circula por ella.
Basado en esta librera libpcap se encuentran dos comandos que desde muy remoto permiten
justamente escuchar o esnifar esta totalidad del trfico; ellos son tcpdump y ms adelante
tethereal. Estos fueron los verdaderos pioneros del anlisis de trfico y ms adelante nos
cansaremos de recurrir sobre todo a tcpdump.
Al principio, la captura de trfico debo reconocer que era lisa a llanamente INHUMANA, la
informacin se deba interpretar en casi la totalidad de los casos en forma hexadecimal y a lo sumo
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 47 [Link]
en formato ASCII, hasta que aparecieron los analizadores de protocolos con sus interfaces grficas
y su humanizacin del anlisis binario.
En sus inicios se les llam Sniffers, y exista una notable diferencia entre estos y los
analizadores de protocolos, pues los primeros slo se dedicaban a capturar el trfico de la red y
representarlo en su forma hexadecimal, sin desempear ninguna de las tareas que hoy realiza un
analizador de protocolos, un ejemplo an vigente sigue siendo el mencionado comando tcpdump
de Linux. En la actualidad, muchos de estos sniffers fueron incorporando ms y ms
funcionalidades, pues una vez que est capturada la informacin, es muy simple realizar
estadsticas, comparaciones, presentaciones grficas de la misma, etc. Por lo tanto hoy, es muy
confusa la denominacin que se emplea para estos productos, pero siendo estrictos
conceptualmente, un sniffer slo captura trfico y lo presenta de manera ms o menos amigable (y
nada ms). Un analizador de protocolos, realiza esta tarea y a su vez procesa esta informacin
para obtener todas las posibles necesidades de usuario con la misma.
2.3. Qu es un analizador de protocolos?
Un analizador de protocolos captura conversaciones entre dos o ms sistemas o dispositivos. No
solamente captura el trfico, sino que tambin lo analiza, decodifica e interpreta, brindando una
representacin de su escucha en lenguaje entendible por medio de la cual, se obtiene la informacin
necesaria para el anlisis de una red y las estadsticas que el analizador nos proporciona.
Esencialmente, un analizador de protocolos es una herramienta que provee informacin acerca
del flujo de datos sobre una LAN, mostrando exactamente qu es lo que est sucediendo en ella,
detectando anomalas, problemas o simplemente trfico innecesario. Una vez que un problema es
aislado, se pueden analizar las causas que lo producen y tomar las medidas para evitarlo.
Un analizador de protocolos debera proporcionar tres tipos de informacin sobre una LAN:
Estadsticas sobre trfico de datos, estado de los dispositivos y lneas de errores en la LAN.
Esta informacin ayuda a identificar tramas y condiciones generales que pueden sealar un
problema inesperado o causar un bajo rendimiento en la red. Permite tambin determinar
nuevas necesidades de Hardware para segmentar o crear subredes dentro de la LAN como
podra ser el empleo de Switch o router y la ubicacin y configuracin correcta de los
mismos.
Captura de paquetes y decodificacin de los mismos en los distintos protocolos de cada
nivel. Debera permitir tambin el filtrado correspondiente, que posibilite especificar en el
mayor grado de detalle lo que se desea estudiar, dejando de lado la informacin innecesaria.
Se suele filtrar por Direccin MAC, IP, Nombre NetBIOS, puertos, tipo de protocolo,
secuencias de bit, etc.
Representacin de informacin histrica en lapsos diarios, semanales, mensuales o en
perodos establecidos por el usuario. Esta informacin provee una perspectiva histrica para
cualquier nuevo problema o indica un problema potencial antes que este suceda.
Las estadsticas de estaciones de trabajo o servidores permiten identificar el trfico generado por
cada uno de ellos y el porcentaje de ancho de banda que consumen. Con esta informacin se puede
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 48 [Link]
determinar cul es la que hace mayor uso del canal fsico y cules son los recursos ms usados.
Por ejemplo si una estacin genera un alto porcentaje de trfico, esto puede estar indicando un fallo
en su tarjeta de red, permitiendo tomar las medidas correspondientes, basadas en observaciones
reales de la red, y no por prueba y error.
Un concepto importante es que un analizador de protocolos no emplea el protocolo SNMP
(Single Network Monitor Protocol, que veremos ms adelante); esta herramienta cuenta con la
informacin especfica que le permite identificar las diferentes secuencias de bit, y por medio de los
encabezados establecidos para cada protocolo, los que responden a estos patrones los asocia a uno
de ellos y lo entrega a su mdulo, el cual desarma las cadenas binarias en la informacin
contenida en ellas. Por ejemplo SNMP no podra brindar informacin, sobre sesiones Telnet,
TCP/IP, uso de ancho de banda, qu tipos de paquetes se emplean, etc. Un SNMP se debe
considerar como un muy buen COMPLEMENTO de un analizador de protocolos.
Durante todo este libro haremos uso del analizador de protocolos Wireshark o Ethereal (a
decir verdad an no s por qu le han cambiado este nombre histrico), que es de libre distribucin
y considero el ms completo del mercado.
2.4. Deteccin de sniffers.
Las tcnicas de deteccin de sniffers que se emplean son varias y todas se basan en poder
determinar si la interfaz de red se encuentra en modo promiscuo, lo cual es un claro sntoma de
que desea recibir todo el trfico que pasa por ella, actividad no necesaria para ningn host que
preste servicios en una red:
a. La ms simple de estas es enviar un mensaje ARP a una direccin MAC falsa, si responde, es
que se encuentra en modo promiscuo. La masa de los sniffers o analizadores de protocolos
ya prevn esta tcnica y simplemente anulan todo tipo de respuesta a nivel MAC.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 49 [Link]
b. Test especfico del Sistema Operativo: Es muy similar al anterior, pero se envan mensajes
ICMP de eco (Tipo 8), con la direccin MAC no existente en la red, se emplean tambin con
mensajes que pueden ser Unicast, Multicast o Broadcast, y basado en el tipo de respuesta se
determinar tambin qu sistema operativo posee el host (Linux: responde ante unicast [este
es un bug que la mayora de los sistemas Linux hoy tienen resuelto, pero existe un error en la
pila TCP/IP de este S.O. con el cual respondern siempre a una direccin IP real, aunque la
MAC sea falsa], BSD: responde ante multicast, NT: Lo hace analizando slo el primer octeto
MAC contra la direccin IP cuyo primer octeto sea Broadcast, independientemente del resto
de la direccin MAC.
c. Test DNS: Esta tcnica enva informacin acerca de una direccin IP y escucha por cualquier
solicitud de resolucin DNS desde un host hacia el servidor correspondiente.
d. Test de latencia del sistema: Este es el ms complejo pero tambin el ms eficiente. Se trata
de enviar paquetes ICMP y medir los tiempos de respuesta. Si se incrementa el trfico en la
red, una interfaz en modo promiscuo ir tardando cada vez ms tiempo en responder que el
resto de las interfaces, pues sta deber procesar la totalidad de las tramas, mientras que el
resto slo lo har con las tramas dirigidas a estas.
2.5. Introduccin al Ethereal (o Wireshark) (Como herramienta de anlisis y captura).
En virtud de ser una herramienta fundamental para todo el trabajo que desarrollaremos en el libro,
en este apartado se hace una presentacin inicial con los conceptos bsicos que es necesario tener
para poder comenzar a emplearla.
De aqu en adelante lo llamaremos directamente Ethereal pero se da por entendido que nos
estamos refiriendo a ambos. Como ya se mencion con anterioridad, un analizador de protocolos es
una herramienta que permite capturar, filtrar y analizar el trfico de una red. Los datos capturados
pueden ser guardados para un anlisis posterior o analizados inmediatamente despus de la captura.
Esta herramienta puede ser una combinacin de hardware y software (como por ejemplo el Internet
Advisor de HP), o simplemente software como es el caso de Ethereal, Iris, Network Monitor de
Microsoft. Ethereal permite lo siguiente:
Capturar tramas directamente desde la red.
Mostrar y filtrar las tramas capturadas.
Editar las tramas y transmitirlas por la red.
Capturar tramas desde un ordenador remoto.
Realizar anlisis y estadsticas.
Es muy importante el concepto de MODO PROMISCUO, cuyo significado es que el adaptador
de red permite el ingreso (escucha) de absolutamente todas las tramas que pasan por el cable. Se
debe tener en cuenta que un adaptador que trabaja en modo promiscuo significa que delega todo el
trabajo en la CPU por lo tanto representa una sobrecarga de tareas al ETD que se le instala, no
siendo as en el que opera NO en modo promiscuo, que posee mecanismos de filtrado que liberan
de las actividades de nivel 2 al ETD.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 50 [Link]
Al abrir Ethereal nos presenta una imagen como la que vemos a continuacin.
La primera actividad que debemos hacer es seleccionar y configurar la interfaz que emplearemos.
Al seleccionarla nos presenta la siguiente ventana.
Como se puede apreciar, en mi ordenador existen cuatro potenciales interfaces a emplear, y en
estos momentos slo tiene direccin IP la Realtek 10/100/1000 Ethernet. No es necesario que
una interfaz tenga direccin IP para que escuche, pero suele ser necesario para capturar trfico que
deseo generar a la red y verificar sus respuestas, por esta razn, seleccionaremos la Interfaz
Ethernet.
NOTA: Un detalle que me ha sucedido es que para las redes WiFi, el sistema Operativo
Windows, no me permite colocar la interfaz de red (por ejemplo: en la imagen anterior la que
figura como Atheros AR5006X Wreless) en modo promiscuo, pero s lo hace con Linux (en
mi caso con Debian), no s si es algo propio de mi porttil y este interfaz de WiFi o es un tema
de Microsoft, pero os dejo la inquietud.
Nuestro siguiente paso debera ser seleccionar la interfaz que emplearemos (haciendo Clic en
Prepare y/o Interface) y se nos presentar la ventana siguiente:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 51 [Link]
Como podis apreciar se nos presentan cuatro ventanas (que hemos marcado con los colores:
verde, rojo, azul y naranja).
Ventana verde: Arriba de todo nos figura la interfaz que hemos seleccionado, su direccin IP y
ms abajo Buffer Size; este parmetro es muy importante, pues es el lmite de informacin que
podremos capturar, una vez llegado all se detendr la captura. Tambin podemos ver que por
defecto nos aparece seleccionado el modo promiscuo ya mencionado, esta opcin puede ser
desactivada cuando sencillamente queramos analizar trfico desde y hacia nuestro ordenador.
Tambin nos ofrece la alternativa de limitar el tamao de los paquetes capturados, esta opcin
puede ser muy til si ya se sabe la informacin que se desea capturar, por ejemplo un patrn de
trfico que aparece dentro de una URL (Ej: [Link] /search?source=root) en este
caso sabemos que esa cadena no aparecer jams por arriba de los 80 bytes (ms adelante lo
veremos en detalle) y por lo tanto no sera necesario capturar el resto de la informacin pues esto
nos llenara la memoria de esa captura con mayor rapidez e innecesariamente. Por ltimo nos
ofrece la posibilidad de Filtrar la captura, este campo es fundamental. Ethereal presenta dos tipos
de filtro:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 52 [Link]
Filtro de Captura: Selecciona qu tramas captura y cules no. El formato de este filtro
es el mismo que el Comando tcpdump, y lo desarrollaremos ms adelante.
Filtro de visualizacin: Una vez que se ha capturado trfico y en otra ventana, nos
presentar toda la informacin capturada la cual puede contener grandes volmenes de
datos. Con este filtro, se permite seleccionar qu deseo ver, ocultando el resto. El
formato de este filtro difiere bastante del anterior, es propio de Ethereal y contiene una
interfaz grfica muy amigable para su empleo.
Ventana Roja: Por ahora no es necesario que la desarrollemos.
Ventana azul: Como su ttulo lo indica, nos ofrece diferentes opciones de visualizacin. Si
seleccionamos la primera, las tramas se nos presentarn a medida que se est capturando. Es muy
til para capturas breves y en local, pero si estoy capturando trfico desde un servidor remoto y todo
este volumen de datos nos est llegando por la red, es muy peligroso pues satura el ancho de banda,
as que tened cuidado con su empleo. Las dos opciones siguientes son de menor importancia, y nos
permiten que la ventana haga scrolling (no s como traducirlo) mientras captura, es decir nos
aparezca la barra de desplazamiento vertical a la derecha y encole tramas, y la ltima opcin, es
sencillamente ver o no una ventana que por medio de barras y nmeros nos llevar en tiempo real
los resmenes de cada protocolo que captura (probadla).
Ventana Naranja: Nos permite la resolucin de esos esquemas de direccionamiento, es decir si
seleccionamos cualquiera de ellos, en vez de su direccin numrica, Ethereal tiene las tablas con
todos los cdigos para resolver los nombres de los fabricantes de las Tarjetas de nivel Enlace
(MAC), puede resolver los nombres de red y tambin los DNS, (todo esto ser tratado cuando
abordemos esos niveles).
Por de pronto esta ventana no nos ser de gran ayuda, pero cremos conveniente al menos hacer
unas breves referencias de su uso. Para seguir adelante, slo verificad que est seleccionada la
interfaz de red sobre la que queramos capturar y presionad OK.
Se nos presentar por fin la ventana de captura (y ya debera estar capturando si estamos
conectados a una red), con algo similar a lo que se presenta a continuacin:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 53 [Link]
En ella tambin hemos remarcado tres ventanas con colores:
Ventana Verde (Superior): nos presenta toda la secuencia de tramas capturadas en el orden de
captura. En la primera columna se ve el nmero correspondiente a esa trama, en la segunda y
tercera la direccin origen y destino (puede ser IP o MAC), en la cuarta el protocolo de mximo
nivel que alcanza esa trama y la ltima columna un breve resumen de esa trama. Haciendo Clic
sobre el encabezado de cualquiera de ellas, se ordenar por ese campo.
Ventana Azul (Central): Nos presenta en formato Humano cada uno de los niveles del modelo
de capas (pero al revs) y nos permite desplegar (+ o - y en Wireshark con flechas) hasta el
mximo detalle todos sus campos.
Ventana Roja (Inferior): En esta se ve en filas de 16 pares de nmeros hexadecimales toda la
trama y a la derecha la misma informacin pero con el carcter ASCII que se corresponde a cada
par hexadecimal. Esa ventana es de suma importancia cuando analizamos el contenido de una
trama si el mismo no est cifrado.
Por ahora, para nuestra presentacin inicial de la herramienta, creemos que es suficiente. Si
deseas puedes dedicarle un tiempo para ir familiarizndote con ella pues ser de uso principal a lo
largo de todo el texto. Para detener y/o volver a capturar, sencillamente desde el men superior
seleccionas Captura y all tienes Start y Stop, tambin puedes hacerlo desde unos iconos que
figuran en la barra de men grfico (debajo).
NOTA: Somos conscientes que hemos iniciado de forma brusca presentando esta herramienta,
la cual no tienes por qu comprender ahora, ni tampoco valorar toda su potencialidad. Tambin
hemos hecho mencin a protocolos, direcciones y trminos que pueden an resultarte extraos, pero
sinceramente estamos convencidos que es necesario que empieces a tenerla en cuenta desde YA.
No te asustes, tennos un poco de paciencia y vers que te enamorars de Wireshark!
Captura, filtrado y anlisis de tramas.
Cerrando un poco ms este tema, el anlisis de datos comienza con la vista de los datos
capturados, esta pantalla muestra la totalidad de las tramas que ingresaron a nuestra tarjeta, las
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 54 [Link]
cuales pueden ser filtradas con anterioridad a la captura o luego de ella (filtros de captura y de
visualizacin que comentamos) para seleccionar las que se desee analizar.
La presentacin de captura entonces se divide en tres partes:
a. Panel resumen: Muestra la totalidad de las tramas presentando en columnas la siguiente
informacin:
1) Trama: Nmero de trama capturada, en el orden que fue capturada.
2) Tiempo: Permite identificar el tiempo en el que inici la captura de esta trama o puede ser
configurado para identificar la hora del da en que fue capturada.
3) Direccin MAC o IP origen: Muestra la direccin de hardware o software del ETD que
emiti la trama.
4) Direccin MAC o IP destino: Muestra la direccin de hardware o software del ETD que
recibi la trama.
5) Protocolo: El protocolo usado para transmitir la trama.
6) Descripcin: Resumen del contenido de la trama.
b. Panel de detalle: Muestra todo el grado de detalle de la trama seleccionada en el panel anterior,
desplegando la totalidad de los protocolos incluidos en esa trama.
c. Panel hexadecimal: Muestra en formato hexadecimal la totalidad de los bytes que fueron
capturados en la trama seleccionada en el panel resumen.
2.6. Captura, filtrado y anlisis de tramas.
Como ya se mencion, la gran diferencia entre un sniffer y un analizador de protocolos, pasa por
los servicios que este ltimo ofrece, los cuales en general van orientados hacia una mejor
interpretacin de la informacin capturada.
Para poder mejorar la visualizacin de la informacin, es muy importante Pulir el bosque, es
decir, poder filtrar lo que no se desea para clarificar la informacin que se est buscando. Todos
los analizadores de protocolos poseen los dos filtros mencionados:
Filtro de captura: Permite seleccionar qu es lo que se desea ingresar a la memoria de la
herramienta y qu no. Esta funcionalidad es de suma importancia, pues en redes de alto
trfico, es muy fcil que se desborde la memoria del PC donde se ejecuta el analizador de
protocolos, y en el caso de desear capturar nicamente una determinada direccin,
protocolo, puerto, etc de qu sirve almacenar el resto del trfico? Este filtro permite
registrar (Capturar) slo lo que se desea, descartando el resto de la informacin que viaja por
el cable. Recordad que los comandos de este filtro son los mismos que tcpdump.
Filtro de visualizacin: En este caso, se trata de presentar una mejor vista de lo que ya
ha sido capturado. Este filtro se emplea, una vez que se detuvo la captura, para poder elegir
qu se desea visualizar dentro de toda la informacin que ya se encuentra en memoria.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 55 [Link]
2.7. Presentacin hexadecimal, binaria y decimal.
No nos odiis!!! Os garantizamos que esto es algo as como esas materias que no nos gustan pero
debemos superar, casi como en desafo extremo lo de prueba superada! Pero es vital, si vamos a
trabajar de forma eficiente y seria, S o S debemos familiarizarnos con poder interpretar la
informacin cuando se nos presenta en forma binaria, decimal, hexadecimal, y como sabemos que
el libro recin empieza an debes estar descansado; por esa razn nos atrevimos a desarrollar este
tema aqu.
2.7.1. Bit: estado lgico equivalente a 1 o 0.
2.7.2. Byte u Octeto: Agrupacin de 8 bit.
Esta definicin es la que realmente se universaliz para el tratamiento de la informacin
y la palabra octeto es hoy una de las bases de la transmisin de informacin, la razn de ser
de esta convencin radica en:
La capacidad suficiente de codificacin que posee un octeto, es decir 256 posibilidades
diferentes.
Si se plantea el conjunto de posibilidades este ir desde: 0000 0000, 0000 0001 , 0000
0010 , 0000 0011 , 0000 01000.............1111 1111.
Ante lo cual permite hasta 256 cdigos diferentes.
Es fcil el pasaje entre el sistema decimal, hexadecimal y binario.
Suma
Decimal
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 256
Peso
Decimal
128 64 32 16 8 4 2 1
Binario B b B b b B b b
Peso
hexadecimal
8 4 2 1 8 4 2 1
Suma
hexadecimal
8 + 4 + 2 + 1 = F 8 + 4 + 2 + 1 = F FF
EJEMPLO
Suma
Decimal
128 + 32 + 2 + 1 = 163
Peso
Decimal
128 0 32 0 0 0 2 1
Binario 1 0 1 0 0 0 1 1
Peso
hexadecimal
8 0 2 0 0 0 2 1
Suma
hexadecimal
8 + 2 = A 2 + 1 = 3 A3
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 56 [Link]
Hexadecimal: Conjunto de16 smbolos (0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F).
2.7.3. Caracter: Es la unidad de informacin a nivel alfabeto humano, representa cualquier
smbolo del alfabeto usado como alfabeto normal. Se los clasificar en:
a. Alfabticos: Letras en maysculas y minsculas.
b. Numricos: Dgitos de 0 a 9.
c. Especiales: Puntuacin, parntesis, operaciones aritmticas y lgicas, comerciales, etc.
d. De operacin y control: Destinados al control de la transmisin de informacin
(Retorno de carro, nulo, SYN, ACK, DLE, EOT, SOH, etc)
2.7.4. Bloque, Mensaje, Paquete, Trama: Son distintas formas de agrupamiento de Bytes, y se
definen acorde a las distintas tcnicas de transmisin de informacin o Protocolos de
Comunicaciones.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 57 [Link]
EJERCICIOS DEL CAPTULO 2
1. Desde qu puntos de vista clasificaras los tipos de trfico?
2. Qu ejemplos prcticos conoces del trfico: Simplex, semidplex y dplex?
3. Un mensaje que va dirigido slo a un grupo de usuarios, qu forma de direccionamiento
emplea?
4. Qu implica hacer anlisis de trfico?
5. Qu es un protocolo de comunicaciones?
6. Qu es un mdulo?
7. Existe alguna diferencia entre un sniffer y un analizador de protocolos?
8. Qu tipos de informacin debera proporcionar un analizador de protocolos?
9. Es posible detectar si alguien est usando un sniffer en nuestra red LAN?, Cmo lo hara?
10. Qu permite hacer un analizador de protocolos como Ethereal?
11. Qu es el modo promiscuo? Has encontrado alguna relacin entre lo que te presenta Ethereal
y el modelo de capas que estamos presentando?
12. Cmo me explicaras que un octeto son 256 posibilidades?
13. Pasar a binario los siguientes nmeros decimales: 32, 127, 41, 79 y 376. Cuntos bits
necesito para representar cada uno de ellos?
14. Pasar a decimal los siguientes nmeros binarios: 111, 1011, 100100, 10101011.
15. Pasar a binario y a decimal los siguientes nmeros hexadecimales: FF, A1, 02, 17.
16. Qu tipos de caracteres conoces?.....(no vale poner: mal humorado, alegre, cabr.... etc..)
Herramienta ETHEREAL (o Wireshark)
1. Prueba hacer capturas con diferentes interfaces de red (Ej: Ethernet, WiFi, Bluetooth).
2. Ajusta el buffer de captura lo ms pequeo que se pueda, qu valor result?
3. Selecciona la captura en modo promiscuo y luego deseleccinala y realiza ms capturas, qu
diferencias encuentras?
4. Ajusta al mximo el lmite de Bytes de captura de paquetes, hasta qu valor has llegado?
5. Ejercita diferentes capturas con las opciones de visualizacin.
6. Verifica las diferencias que presenta cuando seleccionas la resolucin de nombres a nivel de
MAC, de red y de transporte.
7. Ordena una captura por direccin de origen.
8. Ordena por protocolo.
9. Cmo haras para visualizar nicamente las tramas que se corresponden con tu direccin IP?
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 58 [Link]
DESAFOS:
1. Te animas a modificar la forma de presentacin del campo Time de una captura para que se
pueda ver en formato dd/mm/ss?
2. Encontraste cmo puedes aumentar y/o disminuir cada una de las 3 ventanas de visualizacin?
3. Busca en Internet los comandos tcpdump y prueba de filtrar la captura con los siguientes
objetivos de captura:
a. nicamente las tramas dirigidas a tu ETD.
b. nicamente las tramas que salen de tu ETD.
c. Selecciona una direccin (o nombre) destino, y captura nicamente el trfico entre
ambos.
4. Encuentras alguna forma de Colorear para hacer ms evidente algunas tramas que te sean de
especial inters?
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 59 [Link]
CAPTULO 3: El nivel FSICO.
Como ya hemos mencionado el nivel fsico:
Recibe las tramas de nivel 2, las convierte en seales elctricas u pticas y las enva por el
canal de comunicaciones.
Define aspectos mecnicos, elctricos u pticos y procedimentales.
Algunas de las especificaciones ms comunes son: RS 232, V.24/V.28, X.21, X.25,
SONET, etc.
Funciones y servicios:
- Activar/desactivar la conexin fsica.
- Transmitir las unidades de datos.
- Gestin de la capa fsica.
- Identificacin de puntos extremos (punto a punto y multipunto).
- Secuenciamiento de bit (entregar los bit en el mismo orden que los recibe).
- Control de fallos fsicos del canal.
Desde el punto de vista de la seguridad fsica, nos interesa tener en cuenta, los aspectos
relacionados a:
Edificios, instalaciones, locales.
Autenticacin y control de acceso fsico.
Medios empleados para la transmisin de la informacin.
Conductos y gabinetes de comunicaciones.
Medios fsicos empleados para el almacenamiento (incluido backup) y procesamiento
de la informacin.
Documentacin, listados, plantillas, planos, etc.
3.1. Edificios, instalaciones, locales.
En principio es necesario contar con planos de cada uno de ellos, hoy en da es obligatorio para
toda edificacin nueva la aprobacin de los planos de telecomunicaciones, los cuales estandarizan
con mximo detalles el cableado fsico de nuestras instalaciones. La experiencia demuestra que
este tipo de documentacin es de vital importancia en virtud de lo flexibles que deben ser las redes
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 60 [Link]
modernas. Contando con esta documentacin, es mucho ms fcil poder expandir nuestras redes
con la mxima certeza y seguridad.
Si bien es necesario un nivel de seguridad mnima en todos los locales, esto no debe llevarnos a
gastos o medidas de seguridad excesivas, es mucho ms importante identificar los sectores clave
de cada edificio y centrar all nuestra atencin. Es decir, cada inversin debe ser proporcional al
recurso que estemos protegiendo, no tiene sentido invertir grandes sumas de dinero en medidas de
seguridad fsica, sobre locales que no contienen informacin clave. Es mucho ms importante
realizar un trabajo metdico de identificacin (que finalizar siendo un Anlisis de Riesgo ms
adelante) de nuestros recursos, valorarlos y determinar qu impacto tienen los mismos en la
Organizacin, para luego s invertir adecuadamente en medidas de seguridad.
Una vez identificados, insistimos en volcar toda la informacin lo ms detalladamente posible en
los planos respectivos, y que los mismos pasen a formar parte de un Sistema de Gestin de la
Seguridad de la Informacin (SGSI). Por ahora este concepto de SGSI (que an no
abordaremos), tiene que dejarnos la idea de que una documentacin que se confecciona, si
simplemente se guarda, tarde o temprano se pierde, se desactualiza o pierde valor. Por lo tanto,
desde ya debemos ir conciencindonos en al menos crear una sencilla infraestructura para integrar
todos los documentos, acciones, medidas y decisiones que se adopten de forma tal que todo ello
est siempre VIVO, con ello queremos decir, que se controle, actualice, se firme, se pueda
acceder siempre a la ltima versin, se sepa cmo y quin puede leer, modificar o eliminar y por
ltimo se integre al conjunto.
Las medidas de seguridad a considerar en las instalaciones se detallarn en la PART II de este
libro, pero para darnos una idea inicial abordan el conjunto de barreras fsicas, medidas contra
incendio, humedad, climatizacin, contaminacin ambiental e instalaciones elctricas.
3.2. Autenticacin y control de acceso fsico.
Autenticacin: Identificar que quien dice ser, realmente lo sea.
Control de Acceso fsico: Permitir que cada rol identificado pueda acceder exclusivamente a
donde est autorizado.
Estos dos conceptos son el punto de partida de este apartado. No hay que abundar mucho en
explicaciones, es exactamente lo que nos sucede cada vez que intentamos ingresar a un edificio
donde existe un control de seguridad. Nos piden nuestra documentacin, que puede ser algo interno
de esa Organizacin y con ello podr acceder al rea donde estuviere mi rea de trabajo, o soy una
persona externa, ante lo cual se suele solicitar una identificacin vlida en ese entorno (por ejemplo
el DNI), e ingresar exclusivamente al sector habilitado para las visitas hasta que me venga a buscar
alguien de la empresa y me acompae, etc.
Lo primero que deseamos remarcar antes de seguir avanzando, es que en Espaa (y en muchos
pases ms), cada vez que un Organismo Pblico o Privado toma nota (en papel o en forma
digital) de los datos personales para almacenarlos (sea por el tiempo que fuere), entra en juego la
Ley Orgnica de Proteccin de datos (LOPD) y el Real decreto 1720 (dic-2007), los cuales nos
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 61 [Link]
obligan a realizar un conjunto de medidas que no pueden ser dejadas de lado. En este texto, no
entraremos en detalle sobre las mismas, pero no os vayis a olvidar hacerlo si vais a trabajar con
este tipo de datos.
La autenticacin y control de acceso fsico hoy ofrecen un sinnmero de posibilidades ajustables
a la necesidad concreta que tengamos. La implementacin y fundamento de ellas las
desarrollaremos con ms detalle cuando abordemos temas relacionados a criptografa, pues en estos
momentos nos quedaran muy en el aire si lo hiciramos. En cuanto a las herramientas, el mercado
las actualiza da a da, pero como idea tenemos: tarjetas con banda magntica, con chip, huella
digitalizada, sistemas de claves (por teclado, voz, rostro, iris), cmaras y personal de vigilancia,
sistemas electrnicos de pasarela, etc.
3.3. Medios empleados para la transmisin de la informacin.
Sobre este tema nos explayaremos bastante pues consideramos que se debe tener claro desde
dnde empezamos a considerar la seguridad de nuestros sistemas.
Toda seal de comunicaciones para propagarse necesita de un medio fsico, sin ste sera
imposible establecer una comunicacin; en la actualidad los medios fsicos que contamos son los
siguientes:
3.3.1. Cable de pares trenzados:
El cable de pares se compone de conjuntos de pares conductores (enlazados) torsionados entre
s, con pasos de torsin distintos en cada par para evitar cruces por diafona.
El dimetro de los hilos est entre 0.32 y 0.91mm. Ahora se utiliza para transmisin de alta
frecuencia en MDF y MDT para distancias medias y cortas.
3.3.2. Cable de cuadretes:
Es un caso particular del caso anterior que an sigue vigente en los millones de tendidos
telefnicos. En vez de enlazar 2 hilos, se enlazan 4. Hay 2 tipos: el cuadrete en estrella y DM.
Los cables de pares, cable de cuadretes en estrella y DM tienen un margen de utilizacin de
frecuencia muy bajo, su frecuencia de utilizacin ms alta es 300khz analgica, y si es digital se
puede llegar a 4Mhz.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 62 [Link]
3.3.3. Cables trenzados de 4 pares:
Un par de cables trenzados es un par de alambres que se cruzan o trenzan entre s para
minimizar la interferencia electromagntica entre los pares de cables.
Cada par de cables conforma un enlace para transmisin de seales de datos completo. El flujo
entre ambos cables es igual, pero de sentido contrario. Este flujo de corrientes produce campos
electromagnticos que pueden introducir ruidos a los pares vecinos. De todos modos, los campos
correspondientes a cada par de cables tienen polaridades opuestas. Trenzando los cables entre s,
los campos magnticos de cada uno se cancelan mutuamente, lo cual minimiza el ruido y/o la
interferencia generada por cada par de cables.
Mediante 2 boletines tcnicos (TSB 36: Especificaciones de cables y TSB 40: Equipos de
interconexin, jacks, patcheras, etc), dividen al tipo de cable UTP [Unshield Twisted Pair] en
varias categoras diferentes, segn su ancho de banda:
Cat 3: Hasta 16 Mhz
Cat 4: Hasta 20 Mhz
Cat 5: (Cable slido de pares trenzados), 22 o 24 AWG (0,643mm o 0,511mm),
100 Mhz
Cat 5e: (Categora 5 mejorada), 26 AWG (0,409mm), 100 Mhz, UTP
Cat 6: (Cable slido de pares trenzados), 24 AWG (0,511mm), 300 Mhz, FTP
Cat 7: (Cable slido de pares trenzados apantallados por par),23 AWG
(~0,600mm), 600 Mhz, STP
El UTP Cat 5e es el que an domina en el mercado. Es un cable diseado especficamente para
la transmisin de datos y se basa en pares de alambres de cobre retorcidos mediante una hlice
en sentido antihorario y una vuelta de 5 a 15 cm. (A mayor cantidad de vueltas por cm es de
mayor calidad, pero tambin ms difcil de manipular).
Este giro sobre s mismo le permite eliminar tanto las componentes internas como externas de
induccin y modulacin cruzada, agrupando en el mismo cuatro pares diferentes. En un cable
dado, cada par tiene un paso diferente del resto de los pares, y esto hace que un cable sea una
unidad fabricada bajo estrictas especificaciones y no un simple conjunto de pares.
Esto mismo hace que su instalacin deba ser ms cuidadosa y considerar que no se puede tirar
violentamente del mismo ya que variara el paso de la hlice del roscado y por lo tanto la
respuesta fsica del cable.
La impedancia caracterstica del mismo es de 100 Ohms y la longitud mxima de cada
segmento de 100 mts.
Para el caso de datos hasta categora 5e, de los cuatro pares posibles se usan 2, uno para
transmisin y otro para recepcin, quedando dos libres. Este concepto ya no aplica a categora 6
y 7.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 63 [Link]
Una variacin de este cable es el que se conoce como STP (shield twisted pair), que es el
mismo cable anterior con un blindaje externo, generalmente un papel de aluminio. Si bien puede
disminuir aun ms la interferencia obliga a tener un sistema de masas donde en ningn caso
existan ms de 3 ohms entre los conectores y la masa del sistema.
Hay dos estndares de conexin de los pares de cables trenzados, segn se muestra en la
figura:
En la figura anterior, las abreviaturas se corresponden a:
V: verde
N: Naranja
A: Azul
M: Marrn
BV: Blanco y Verde, BN: Blanco y Naranja, BA: Blanco y Azul, BM: Blanco y
Marrn
3.3.4. Cable coaxial:
Este cable ya prcticamente se est dejando de emplear pues se reemplaz por fibra ptica,
pero lo mencionamos aqu pues an est instalado en varias redes. El cable coaxial consiste en
Vaina
PVC
Aislacin
Aluminio o malla
Pin 1 Pin 2 Pin 3 Pin 4 Pin 5 Pin 6 Pin 7 Pin 8
BV V BN A BA N BM M
Pin 1 Pin 2 Pin 3 Pin 4 Pin 5 Pin 6 Pin 7 Pin 8
BN N BV A BA V BM M
568A
568B
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 64 [Link]
un conductor recubierto en primer lugar por material aislante, luego por una malla conductora y
finalmente por una cubierta de material plstico aislante flexible.
En las aplicaciones LAN, la malla es elctricamente neutra, y sirve como una malla de
proteccin interna de aislamiento de los ruidos del conductor. La malla tambin contribuye a
eliminar las prdidas de seal confinando la seal transmitida al cable.
El cable coaxial puede trabajar en un mismo rango de frecuencias, a mayor distancia que el
cable par trenzado, pero en contraposicin, es ms caro.
El cable coaxial de 50 Ohms est reconocido por la norma, pero no se recomienda, y la
puesta a tierra se convierte en obligatoria de acuerdo a las prescripciones de la norma ANSI /
TIA / EIA 607, como parte integral del cableado de telecomunicaciones.
3.3.5. Fibra ptica:
[Link]. Sistemas de transmisin de fibra ptica.
Para poder implementar la tecnologa de transmisin por medio de luz, es necesario contar con
todo un sistema diseado para este uso, los componentes bsicos del mismo son:
a. Fuente ptica: convierte la seal elctrica en luz.
b. El cable de fibra ptica que transporta la seal.
c. El detector ptico que convierte la seal nuevamente a electrones.
Malla
aislante
Revestimiento
Dielctrico
Cable de cobre
Transmisor Receptor
Conector
ptico
Conector
ptico
Fibra ptica
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 65 [Link]
Como fuentes pticas se emplean comnmente el diodo LED o LD de modulacin directa,
mientras que como detector ptico se emplean el ADP o el PIN PD de alta sensibilidad y de
respuesta veloz.
[Link]. Caractersticas de la luz.
La luz se puede definir como el agente fsico que ilumina objetos y los hace visibles, siendo
emitida por cuerpos en combustin, ignicin, incandescencia, etc. Desde el punto de vista
fsico, la luz es una radiacin u onda electromagntica. El espectro electromagntico se
extiende desde las ondas de radio hasta los rayos gamma. De todo este espectro, slo una zona
muy pequea es detectable por el ojo humano, y es lo que se llama el espectro visible o luz
visible.
Toda onda est caracterizada por dos parmetros fundamentales:
La velocidad de propagacin.
La frecuencia.
La velocidad de propagacin es la distancia recorrida por una seal en una unidad de tiempo.
Toda onda electromagntica se desplaza en el vaco a 300.000 km/s. La frecuencia es el nmero
de veces que la onda repite su perodo en un segundo; en el caso de la luz es del orden de varios
cientos de billones de ciclos por segundo.
Otro parmetro a considerar es el de longitud de onda, que se refiere a la distancia que la seal
viaja durante un perodo, es por esta razn que se mide en metros.
: Longitud de onda.
C: Velocidad de propagacin.
f: Frecuencia.
La idea de longitud de onda o de frecuencia dentro del espectro visible, se asocia a la idea de
un determinado color de una determinada luz. Una luz de un color puro se llama
monocromtica. Si est compuesta por todos los colores, se llama luz blanca.
[Link]. Propagacin de la luz:
La luz se propaga en el vaco en forma rectilnea de acuerdo con lo que se denomina rayo o
haz lumnico; en cualquier medio transparente cumple esta propiedad, siempre que la
composicin de ese material sea la misma en todo su recorrido. Todo medio fsico opondr
resistencia al paso de una seal electromagntica, produciendo el efecto de disminuir su
velocidad respecto al vaco. La relacin entre la velocidad de la luz en el vaco y en un medio
real se denomina ndice de refraccin.
[Link]. Reflexin y refraccin de la luz.
= C /f
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 66 [Link]
Al incidir una onda luminosa sobre una superficie plana divisoria de dos medios de ndice de
refraccin diferente, su trayectoria se desviar acorde a la siguiente relacin:
Como se puede apreciar, si se va incrementando el ngulo de incidencia desde n
2
a n
1
, llegar
un momento en el cual, el ngulo llegar a ser de 90 grados, siendo siempre menor a este
valor (si: n
2 >
n
1
). Superado este umbral, el haz de luz deja de pasar a la superficie n
1
, para
producir el fenmeno denominado Reflexin total, en el cual la luz se propaga dentro del medio
n
2
, con un ngulo igual al de incidencia.
Si el ngulo de incidencia del haz de luz se mantiene inferior al valor descrito, la luz se
reflejar dentro de la superficie n
2.
Al ngulo dentro del cual se produce la reflexin total se lo
denomina Angulo de acepcin o aceptacin.
[Link]. Fibra ptica (F.O.) (Descripcin general).
La F.O. es un dispositivo de material dielctrico (no conductor de c.e.) que es capaz de
confinar y guiar la luz.
Las F.O. usadas en telecomunicaciones estn formadas por dos cilindros concntricos
llamados ncleo y revestimiento con diferentes ndices de refraccin (n1 en el revestimiento y n2
en el ncleo), por medio de los cuales, si se ingresa un haz de luz dentro del cono de acepcin, se
producir una y otra vez el fenmeno de reflexin total, transportando de esta forma la seal.
n
1
n
2
n
2 >
n
1
Reflexin
total
n
1
n
2
n
2 >
n
1
Sen / sen = n
2
/ n
1
Refraccin
De la
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 67 [Link]
Los dimetros que se suelen emplear son 125 m para el revestimiento y desde los 9 a 62,5 m
para el ncleo acorde al modo (a tratar ms adelante).
[Link]. Propiedades de la F.O:
Basados en los diferentes parmetros del material, es que se puede clasificar las F.O. en cuatro
grupos acorde a diferentes propiedades:
a.1.1. Monomodo
- ndice
gradual a.1.
Perfil de
refraccin a.1.2. Multimodo
- ndice
escaln
a.
Propiedades
pticas
a.2. Apertura Numrica
b.1.1. Intrnseca
b.1. Atenuacin
b.1.2. Extrnseca
b.2. Ancho de banda
b.3. Dimetro del Campo modal
b.
Propiedades
de transmisin
b.4. Longitud de onda de corte
c.1. Dimetro del revestimiento
c.2. Dimetro del ncleo.
c.3. Concentricidad
c.
Propiedades
geomtricas
c.4. No circularidad
d.1. Mdulo de Young
d.2. Carga de rotura
d.3. Alargamiento en el punto de rotura
d.
Propiedades
fsicas
d.4. Coeficiente de dilatacin lineal
3.3.6. Radiocomunicaciones:
Tcnicas que permiten el intercambio de informacin entre dos puntos geogrficamente
distantes mediante la transmisin y recepcin de ondas electromagnticas.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 68 [Link]
Espectro de radiofrecuencias
Banda Designacin Longitud de
onda
Uso en comunicaciones
300m KHz 3
MHz
MF 1 km 100 m Radiodifusin AM
3 MHz 30 MHz HF 100 m 10 m Onda corta (Radioaficionados)
30 MHz 300
MHz
VHF 10 m 1 m TV Radio FM - Radiollamadas
300 MHz 3
GHz
UHF 1 m 10 cm Microondas TV
3 GHz 30 GHz SHF 10 cm 1 cm Microondas - Satlite
[Link]. Naturaleza de las ondas de radio:
Cuando se aplica una potencia de radiofrecuencia a una antena, los electrones contenidos en el
metal comienzan a oscilar. Estos electrones en movimiento constituyen una corriente elctrica
que produce la aparicin de un campo magntico concntrico al conductor y un campo
electrosttico cuyas lneas de fuerza son perpendiculares a las lneas de fuerza del campo
magntico. Estos campos siguen paso a paso las variaciones de la corriente elctrica que les da
origen.
La velocidad de las ondas de radio que viajan en el espacio libre es igual a la velocidad de la
luz, es decir 300.000 km/s, y la relacin entre longitud de onda y frecuencia est dada por la
ecuacin:
C: Velocidad de la luz.
: Longitud de onda.
f: Frecuencia.
[Link]. Propagacin por onda terrestre:
En este caso las ondas se mantienen en contacto permanente con la superficie terrestre. Como
consecuencia de ello, el contacto con el terreno provoca la aparicin de corrientes elctricas que
debilitan la seal original a medida que se aleja de la antena emisora. Este tipo de seal es poco
empleada en transmisin de datos.
[Link]. Propagacin por onda espacial o ionosfrica:
Con excepcin de las comunicaciones locales que pueden realizarse con onda terrestre, la
mayora de las comunicaciones comprendidas en la banda de 3 a 30 MHz (o HF) se efectan por
onda espacial.
C = * f
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 69 [Link]
Esta transmisin se basa en la capa de la atmsfera denominada ionsfera, la cual en virtud de
los rayos ultravioletas que chocan con los tomos de esta capa produciendo que algunos
electrones salten hacia niveles mas externos, se encuentra con una gran presencia de iones
positivos y electrones libres dependiendo su cantidad de la mayor o menor incidencia de los
rayos solares.
Al llegar a esta capa, las ondas de radio provenientes de la Tierra, se produce un fenmeno de
refraccin que devuelve los mismos a la corteza terrestre. El comportamiento de la Ionosfera es
informado permanentemente por laboratorios especializados a travs de los mapas ionosfricos.
Esta tcnica no es muy conveniente en la transmisin de informacin por la gran distancia que
recorre y los ruidos que va sumando a lo largo de ella.
[Link]. Propagacin en lnea recta o de alcance visual (o directo):
Esta transmisin como su nombre lo indica, implica el alcance visual de las antenas, lo cual, en
virtud de la curvatura terrestre, est bastante limitado. Se emplea fundamentalmente en VHF y
UHF. Un ejemplo de esta son las transmisiones de TV y FM.
3.3.7. Microondas:
Sistemas de telecomunicaciones que trabajan en UHF y an ms altas y utilizan el haz
radioelctrico como si fuera un rayo de luz para establecer un enlace punto a punto entre dos
estaciones.
Se pueden clasificar en:
Analgicos:
Estas fueron las primeras en emplearse y su empleo fue para telefona y televisin.
Ya no se fabrican ms pero an quedan muchas instaladas.
Digitales:
Son los que en la actualidad acapararon el mercado de las microondas, emplean
modulaciones multinivel y en cuadratura (QAM), y poseen un amplio ancho de
banda, superando varios centenares de Mbps.
Dentro de esta clasificacin entraran las actuales redes Wifi, pues se encuentran en
el rango de los 2,4-2,485 GHz para el estndar 802.11b. aunque tambin debemos
considerar el estndar 802.11: que opera en 5,1-5,2 Ghz, 5,2-5,3 Ghz, 5,7-5,8
GHz). Cuando tratemos el nivel de enlace ampliaremos ms estos conceptos.
3.3.8. Comunicaciones satelitales:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 70 [Link]
Sistema de comunicaciones que emplea uno o ms satlites para reflejar las ondas
electromagnticas generadas por una estacin transmisora con el objeto de hacerla llegar a otra
estacin receptora. Generalmente ambas estn situadas en puntos geogrficamente distantes, sin
alcance visual.
Los satlites empleados en telecomunicaciones son los llamados geoestacionarios es decir que
se encuentran situados en un punto fijo respeto a la Tierra, pero en la actualidad se estn
desarrollando otros tipos de rbitas para telecomunicaciones, en especial las de baja altura para
evitar las enormes distancias que actualmente recorren las seales.
Los satlites se clasifican en:
LEO (Low Earth Orbit): Poseen rbitas elpticas que oscilan entre los 400 y 2.500 km
de altura.
MEO (Medium Earth Orbit): Poseen rbitas elpticas que oscilan entre los 4.000 y
los 15.000 km de altura
GEO (Geostationary Earth Orbit): Poseen rbitas circulares que giran en un punto
fijo respecto a la Tierra, se encuentran a 36.000 km de altura.
Un satlite posee dos antenas, una receptora (Uplink) que recibe la informacin de la Tierra y
una transmisora (Downlink) que refleja la seal cambiada de frecuencia par no interferirse
mutuamente.
Segn su uso pueden ser de cobertura global, hemisfrica o direccional (spot).
Los transponder son los sistemas encargados de recibir la seal, cambiar la frecuencia,
amplificarla y retransmitirla (tambin suelen incluir funciones de multiplexado/demultiplexado);
cada transponder abarca un nmero fijo de canales. Los transponder manejan varios anchos de
banda, siendo los ms usuales 36, 70 y 140 MHz. El nmero de transponder vara segn el tipo
de satlite.
3.3.9. Gua de onda:
Medio apto para la transmisin de seales de longitud de onda micromtricas. Estas seales
se emplean en los sistemas de comunicaciones que trabajan a frecuencias elevadas y en
distancias cortas, principalmente para conexiones entre antena y equipo transceptor.
En general las guas de onda estn fabricadas con tubos huecos de una longitud entre 5 y 15
metros y con una seccin acorde a la longitud de onda que se desea transmitir, que oscila ente
0,7 y 16 centmetros.
El material que se suele emplear es cobre para las longitudes de onda entre 3 a 9 mm y
aluminio anodizado para longitudes de onda entre 10 a 25 cm.
3.3.10. Lser:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 71 [Link]
Equipos de telecomunicaciones que transmiten por medio de emisores que generan un haz de
luz coherente (que podr o no ser visible al ojo humano). Este haz convenientemente modulado
permite transmitir seales de informacin entre dos puntos geogrficamente distantes.
Su alcance estar limitado por la potencia de su haz de luz y por supuesto el alcance visual
(mximo aproximado 10 km); se debe tener especialmente en cuenta que son sumamente
vulnerables a todo aquello que afecte el haz de luz (niebla, lluvia, polvo, etc.).
Respecto a las microondas y las transmisiones de radio, posee mucho mayor ancho de banda
en distancias cortas, lo que lo hacen especialmente apto para interconexiones de redes LAN en
ciudades.
3.3.11. Infrarrojos:
Este tipo de transmisin se inici para interconexin de hardware a muy corta distancia
(calculadoras, Palm, etc) y en la actualidad han evolucionado como un medio muy eficaz de
implementacin de redes LAN inalmbricas.
3.4. Conductos y gabinetes de comunicaciones.
3.4.1. Los conductos:
Los conductos (o vas, o ductos) son los espacios que se reservan para el paso de los medios de
comunicaciones (habitualmente cables y/o fibras pticas).
Las instalaciones modernas suelen venir preparadas para el tendido de estos medios e
identificados en sus planos los mismos. Estos diseos se hacen para albergar tanto telefona
como datos.
En la actualidad es obligatorio su diseo y la construccin con los planos correspondientes en
toda obra nueva, firmados por personal autorizado, y estrictamente separados de los conductos
elctricos.
Los conductos de comunicaciones se los suele relacionar con el concepto de:
Cableado Vertical: O troncal, es el que establece la comunicacin entre
gabinetes de comunicaciones.
Cableado Horizontal: El que llega a cada puesto de trabajo.
Existen diferentes conductos de comunicaciones:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 72 [Link]
Falsos suelos o techos: Suelen encontrarse en oficinas, y se trata de losas (de
yeso, plstico o resinas) que se pueden mover manualmente y dejan espacios
(entre 30 y 70 cm) en los cuales habitualmente estn instaladas bandejas
metlicas o plsticas sobre las que se van instalando los medios de
comunicaciones (es una muy buena prctica precintarlos).
Tubos o caos: Pueden ser metlicos o de PVC, varan su dimetro en base al
diseo y capacidad de la edificacin, y de ello depender la cantidad de medios
que puedan ser pasados dentro de ellos.
Montantes: Se suele denominar as a los espacios verticales que unen diferentes
pisos de un edificio y que permiten el acceso al personal, generalmente mediante
escaleras verticales adosadas al muro interno, y con puerta de acceso y gabinete
empotrado en cada planta.
Embellecedores, canaletas o cable canal: Existe un sinnmero de este tipo, de
toda forma y color. Son muy prcticos a la hora de instalaciones que no cuentan
con los anteriores y no se pretende romper mampostera, pues sencillamente van
adosados o pegados a la pared quedando a la vista.
3.4.2. Gabinetes de Comunicaciones (o Rack de comunicaciones):
Los gabinetes de comunicaciones, son los armarios donde debe instalarse el Hardware de
red. Lo que deberamos hacer, es colocar uno de ellos en cada zona desde la cual vayamos a
iniciar las acometidas a los puestos de usuario, y luego cada uno de ellos conectado (de forma
troncal) hasta el o los que coloque en el CPD (Centro de Procesamiento de Datos). Por supuesto
encontraremos de las ms variadas arquitecturas e inimaginables estrategias al respecto, pero las
normas y buenas prcticas intentan aconsejarnos respetar lo dicho al principio de este prrafo.
Un gabinete de comunicaciones tiene un ancho estndar de 19 pulgadas = 49 cm, y su altura se
suele medir en unidades. Cada unidad son 4,5 cm y es el ancho mnimo que tiene un mdulo
rackeable, llamados as todos los dispositivos de red que estn diseados para ser instalados en
un Rack (o gabinete..... la verdad es que me suena espantoso si lo llamara Gabineteable
no?). Es decir, todo dispositivo de red que vaya a instalar dentro de un gabinete (si es
Rackeable) tiene 49 cm de ancho y mltiplos de 4,5 de alto, pues hay mdulos que ocupan, 2,
3, 4 o n unidades de altura. Tambin existen unas bandejas que se instalan dentro de un
gabinete y sirven para apoyar en ellas elementos que no son rackeables.
A la hora de adquirir un gabinete, entonces es muy importante que analice bien su capacidad,
pues de ello depender la cantidad de unidades que pueda poner en l. Como buena prctica
SIEMPRE es conveniente tomarse un margen de 2 o ms unidades de ms para futuros
crecimientos y tambin porque dentro del mismo gabinete debemos tener en cuenta siempre que
deber estar la tensin de alimentacin de cada componente, lo cual nos suele sorprender por el
espacio que terminan ocupando varios enchufes de corriente elctrica.
Como imaginaris los gabinetes se pueden adquirir del tamao que se nos ocurra, desde 3
unidades hasta algunos ms altos que una persona e inclusive de varias puertas y mltiplos de su
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 73 [Link]
ancho (49 cm, 98 cm, 196 cm, etc...). con puertas de acceso frontales, laterales, traseras,
superiores, con seguridad (llave), sin seguridad, con puertas de cristal, metal, plstico, etc... se
trata de toda una industria.
3.5. Medios fsicos empleados para el almacenamiento (incluido backup) y procesamiento de
la informacin.
Los medios fsicos que se mencionan aqu se presentan desde el punto de vista de la seguridad, es
decir, aqu estamos hablando de servidores, torres de discos, cintas, CDs, DVDs, cajas fuertes,
armarios.
Una informacin que se encuentre en trnsito, puede estar en un circuito de telecomunicaciones o
fuera de l (por ejemplo en papel). En este apartado trataremos el caso contrario, es decir cuando
no est en trnsito.
Toda informacin que no se encuentre en trnsito, puede estar inicialmente en dos estados:
En Lnea: La informacin la consideramos en lnea, cuando los datos ingresados pasan
de un lugar a otro en forma directa dentro del circuito informtico.
Fuera de Lnea: En este caso, la informacin es retirada del circuito electrnico a
travs de una accin manual. El ejemplo ms claro de este modo es la transferencia
de informacin a travs de un CD, DVD, Zip, memoria USB, etc.
Si la Informacin est en Lnea, puede estar en dos estados:
Almacenamiento digital: En memoria no voltil.
Procesamiento digital: En memoria voltil.
En cualquiera de los anteriores, la informacin almacenada puede tratarse de:
Original (o actual, o en servicio): Informacin sobre la cual concurre todo servicio o
funcin para el normal desenvolvimiento del sistema informtico.
Copias de seguridad (backup): Informacin que es almacenada, para cualquier posible
necesidad de recuperacin futura.
Esta distincin es muy importante de tener en cuenta, pues las medidas de seguridad difieren
bastante. Una informacin que se encuentra fuera de lnea hasta podramos decir que es la ms
peligrosa de todas, pues debemos mantener al detalle todo su Ciclo de vida: cundo sali, cuntas
copias sac, quin la sac, de dnde la sac, dnde est guardada, actualizacin, mantenimiento,
borrado, destruccin, etc... Y si en algn momento cualquiera de estos datos quedan fuera de
nuestro control, el impacto puede ser muy serio (si la informacin es valiosa), pues le hemos
perdido el rastro.
Una informacin que se encuentra en memoria voltil, desde el punto de la seguridad, lo ms
importante podramos presentarlo como que es no perderla en cambio en memoria no voltil
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 74 [Link]
debemos plantearnos su: Integridad, Confidencialidad y Disponibilidad (temas que trataremos ms
adelante).
Para cada una de estas situaciones, se implantan medidas de seguridad diferente, las cuales se
tratan en la PARTE II de este libro.
3.6. Documentacin, listados, plantillas, planos, etc.
Todo lo mencionado en este captulo no tendra sentido si no se deja una constancia y
documentacin clara, concisa y entendible del conjunto de medidas de este nivel. Como ya se
mencion, toda esta documentacin deber estar integrada a un SGSI para que sea eficiente.
A continuacin hacemos referencia a algunos de estos documentos y medidas:
Planos de la red.
Identificacin de los medios de comunicaciones, numeracin, extremos, puestos de
trabajo conectados y bocas vacantes, tramos crticos.
Planos y documentacin de gabinetes de comunicaciones.
Planos de los locales y conductos.
Dispositivos de Hardware de red, dispositivos existentes, ubicacin, claves de acceso,
configuracin de los mismos.
Documentacin de configuraciones, permisos de accesos, habilitacin o
deshabilitacin de locales e instalaciones.
Certificaciones de los medios de comunicaciones.
Mecanismos de control de cambios.
Plan de inspecciones peridicas.
Plan de inspeccin fsica (recorridas, controles, verificacin remota de
configuraciones, control).
Inventarios de equipamiento.
Medidas de resguardo de informacin y control de actas de destruccin.
Seguridad fsica en la guarda de documentacin y archivos.
Seguridad fsica de los locales y sistemas de monitorizacin de acceso.
Coordinaciones con el personal de seguridad.
Planes y medidas contra incendio, evacuacin y contingencias.
Medidas de control de Hardware de red.
Medidas de control de otros componentes de acceso: mdem, DTU/CSU, PAD en
X.25, Placas ISDN, ATM, etc.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 75 [Link]
EJERCICIOS DEL CAPTULO 3
1. Si tienes acceso a alguna red de sistemas de informacin, o conoces alguien que te permita
trabajar con una, lo primero que te invitamos a hacer es que verifiques si existen o no planos de
la misma, los analices, compruebes la realidad con lo volcado en los mismos. De no existir,
intenta hacer un relevamiento y comienza a darle forma a los mismos. (NOTA: Sera muy
importante que puedas tener acceso a algn tipo de redes para seguir adelante con los ejercicios
de este captulo, y es la base de nuestra pirmide de seguridad).
2. Sobre esos planos, verifica sobre el terreno si estn claramente etiquetados, si su situacin es
catica (como suelen ser los gabinetes y ductos de cableado), intenta identificar si las
caractersticas tcnicas se corresponden con lo que desarrollamos en la teora (sellos y marcas
de fbrica, categora de los cables, conectores, rosetas, regletas, etc).
3. A primera vista, qu encuentras positivo y negativo en cuanto a medidas de seguridad fsica?
4. Has podido identificar zonas o sectores clave dentro de esa red?, estn bien demarcados?,
estn bien seguros a nivel fsico?
5. Existe ms documentacin de los aspectos fsicos de este sistema?, la documentacin est
integrada con algn sistema de gestin (SGSI)?, se actualiza la misma?, hay registros de
actualizacin, mantenimiento, cambios y mejoras?
6. Encuentras a la vista medidas de Autenticacin y control de acceso fsico a estas
dependencias?, te parecen adecuadas?
7. Qu medios de comunicaciones fsicos has encontrado en esta red? Descrbelos, investiga
sobre sus caractersticas, compralos con la teora desarrollada en el captulo.
8. La totalidad de la cadena fsica de toda esta infraestructura, Mantiene una misma
caracterstica? Es decir, desde cualquier extremo se puede transmitir informacin a la
velocidad mxima de esa red o encuentras cuellos de botella o dispositivos que no permiten
esa velocidad y por lo tanto baja el rendimiento total?
9. Si tienes cables UTP y/o STP, trata de identificar su conectorizado (orden de colores, norma
EIA/TIA 568 o B), tanto en conectores como en rosetas, y match panel.
10. Si tienes fibras pticas, investiga e identifica sus caractersticas (monomodo, multimodo,
cantidad de hilos por cable, tipos de conector, latiguillos, etc). (Puedes ampliar informacin
en el ANEXO 1).
11. Si tienes fibra ptica, haz un pequeo recorrido de su tendido para verificar si existen
microcurvaturas (ngulos muy cerrados), o en sus extremos se encuentra debidamente
enroscada en las cajas de acometida.
12. Verifica la existencia de cables o fibras redundantes en toda la red (para suplantar cualquier
anomala).
13. Si tienes algn tipo de radioenlace, identifica claramente sus extremos, y verifica su alcance
visual o no, y hasta puedes hacer la prueba de generar interferencias con otros dispositivos o
hasta haciendo sombras (por supuesto si no afectas el normal funcionamiento de la red).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 76 [Link]
14. Recorre los diferentes tipos de conductos de comunicaciones, y repasa los conceptos de
cableado horizontal y vertical, se ajustan a la teora?
15. Encuentras tramos o zonas donde los cables o fibras estn a la vista o puedan sufrir
desperfectos por encontrarse mal colocados?, cmo lo solucionaras?
16. Identifica los gabinetes de comunicaciones, son estndares?, responden a lo que
desarrollamos en el captulo?, poseen alguna medida de seguridad fsica?, su interior est
identificado y claramente empaquetados sus medios?
17. Si tienes acceso al interior de algn gabinete, intenta seguir alguno de sus cables o fibras,
analiza como es esta conexin, qu est comunicando, dnde estn las tomas de tensin,
tienen unidades libres an?, cuntas?, responde a alguna lgica la conexin?, est bien
ventilado?
18. Respecto a medidas fsicas para el resguardo de la informacin, Existen?, Hay armarios o
gabinetes seguros donde se almacene esta informacin?
19. Se aprecian medidas fsicas de identificacin de la informacin de resguardo?, se identifican
y enumeran las copias de seguridad, los originales?
20. Existe algn medio fsico para la destruccin de la informacin obsoleta, o derogada?, se
deja alguna constancia de ello?
21. El Hardware de red, est etiquetado e identificado?
22. Existe alguna certificacin de esta red?
23. Hay algn plan de inspecciones peridicas?, se cumple?, se deja constancia?
24. Hay personal de seguridad fsica?, se coordina su actividad con la de la seguridad de la red y
los sistemas?, se deja constancia de ello?
DESAFOS:
Si tuvieras acceso a herramientas de cableado, te invitamos a que le dediques algn tiempo a:
Armado de latiguillos (con pinza crimpeadora).
Conectorizado de rosetas y patch pannel (con percutor).
Identificacin de cableado (con generador de tonos).
Medicin de pares (con analizador de pares).
Certificacin de enlaces (con herramientas de certificacin).
Medicin de fibra ptica (con herramienta de medicin).
Conectorizado de fibra ptica (con instrumental de conectorizado).
Anlisis de potencia y alineacin (para radioenlaces: desde los mismos dispositivos,
en general cuentan con software para esta actividad).
NOTA: Para profundizar en estos aspectos puedes consultar el ANEXO 1.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 77 [Link]
CAPTULO 4: El nivel de ENLACE
Como ya hemos mencionado, existen varios protocolos de comunicaciones que operan a nivel de
enlace. En este texto, nos centraremos exclusivamente en los dos que para un Administrador de
Sistemas tienen mayor vigencia en la actualidad, los cuales estn regulados por IEEE (Instituto de
Ingenieros Elctricos y Electrnicos) como 802.3 (CSMA/CD Ethernet) y 802.11 (Redes
inalmbricas WLAN).
La familia 802.X, tiene este nombre justamente porque se crea un comit de IEEE en el ao 80
durante el mes de febrero (2), cuando el concepto de redes LAN comienza a imponerse como algo
digno de ser analizado. Dentro de este comit se conforman diferentes grupos de trabajo, los cuales
en la actualidad son denominados de la siguiente forma:
IEEE 802.1 Normalizacin de interfaz.
IEEE 802.2 Control de enlace lgico.
IEEE 802.3 CSMA / CD (ETHERNET)
IEEE 802.4 Token bus.
IEEE 802.5 Token ring.
IEEE 802.6 MAN (ciudad) (fibra ptica)
IEEE 802.7 Grupo Asesor en Banda ancha.
IEEE 802.8 Grupo Asesor en Fibras pticas.
IEEE 802.9 Voz y datos en LAN.
IEEE 802.10 Seguridad.
IEEE 802.11 Redes inalmbricas WLAN.
IEEE 802.12 Prioridad por demanda
IEEE 802.13 Se ha evitado su uso por supersticin
IEEE 802.14 Modems de cable.
IEEE 802.15 WPAN (Bluetooth)
IEEE 802.16 - Redes de acceso metropolitanas sin hilos de banda ancha (WIMAX)
IEEE 802.17 Anillo de paquete elstico.
IEEE 802.18 Grupo de Asesora Tcnica sobre Normativas de Radio.
IEEE 802.19 Grupo de Asesora Tcnica sobre Coexistencia.
IEEE 802.20 Mobile Broadband Wireless Access.
IEEE 802.21 Media Independent Handoff.
IEEE 802.22 Wireless Regional Area Network.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 78 [Link]
4.1. Anlisis de tramas Ethernet (IEEE 802.3):
El funcionamiento de una red LAN a nivel dos (enlace) que opere por medio de CSMA/CD (Carrier
Sence Multiple Access/Colition Detect) se implementa por medio del protocolo Ethernet u 802.3 (la
mnima diferencia entre ellas se ver en breve). Su funcionamiento es bsicamente simple, si el
canal est libre entonces se puede transmitir, caso contrario no. Como existe la posibilidad que un
ETD escuche el canal, al estar ste libre comience la transmisin, y antes de llegar esta seal a
cualquiera de los otros ETD de la LAN alguno de estos haga lo mismo, es que se analizan las
colisiones. Una colisin se produce cuando dos ETD por tener el canal libre inician su transmisin,
la cual no es otra cosa que un estado de tensin que oscila entre + 0,85Volt y - 0,85 Volt (o ausencia
de ella) que se propaga por canal fsico, al encontrarse dos seales dentro del mismo medio fsico se
produce una alteracin en los niveles de tensin, la cual al llegar a cualquier ETD de la red se
determina como una colisin. Los ETD que transmitieron pasan a un algoritmo de espera aleatorio
(llamado disminucin exponencial binaria) e intentan transmitir nuevamente al cumplirse el plazo
determinado por el algoritmo (son mltiplos de un valor muy especial que se llama tiempo de
ranura), si durante 51,2 microsegundos (tiempo de ranura) no se detecta ninguna colisin, ste se ha
APROPIADO del canal y se asegura que ningn otro ETD pueda transmitir, por lo cual continuar
con el resto de su trama (tamao mximo 1518 Byte) y luego entrar nuevamente en compulsa por
el medio fsico.
4.1.1. Formato de las direcciones MAC (Medium Access Control).
Las Direcciones MAC son reguladas por IEEE y estn formadas por 6 octetos, representados
como pares de nmeros hexadecimales (hh-hh-hh-hh-hh-hh).
Los primeros tres octetos identifican al fabricante de la tarjeta. Estos tres octetos son
asignados por un grupo de IEEE llamado RAC (Registration Authority Commitee) y pueden ser
consultados en [Link] Existe una metodologa para solicitarlos y por
ser 24 bit, se pueden asignar en el orden de 16.000.000 de valores. Estos tres primeros octetos
se les denomina OUI (Organizationally Unique Identifier) o company_id, de estos 3 Byte,
los dos primeros bit tienen un significado especial:
bit 0: Individual (valor = 0), establece que este valor pertenece a una sola direccin
MAC. Grupal (Valor = 1), forma parte de un conjunto de direcciones MAC.
bit 1: Universal (valor = 0), define que esta direccin es nica en el mundo. Local
(valor = 1) tiene significado solamente en el mbito local.
Estos primeros 3 octetos, una vez asignados a una determinada empresa, se deja a criterio de la
misma cmo asignar los valores de los 3 octetos siguientes denominados Extension
identifier, para que no puedan repetirse, pero IEEE-RAC no se responsabiliza ni establece
ninguna pauta sobre los mismos. Es lgico pensar que un gran fabricante de tarjetas, complete
la totalidad de los posibles nmeros a emitir; IEEE-RAC establece que recin al haber
completado el 90 % de las asignaciones, podr solicitar otro OUI para continuar fabricando (en
la actualidad ya existen varias empresas en esta situacin).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 79 [Link]
La concatenacin de OUI + Extension identifier = EUI (Extended Unique Identifier,
conocido como EUI-48, que es la verdadera denominacin terica de una direccin MAC.
Ejemplo de Representacin grfica de una EUI-48
OUI (company_id) Extension Identifier
Byte 0 Byte 1 Byte 2 Byte 3 Byte 4 Byte 5
AC DE 48 23 45 67
10101100 11011110 01001000 00100011 01000101 01100111
bit ms
significativo
bit menos
significativo
4.1.2. Ethernet y 802.3:
El funcionamiento de este protocolo tiene sus orgenes en otro conocido como ALOHA
(saludo de los hawaianos, que es donde naci), al principio se crey muy poco probable que esta
lgica de compulsa por un medio de comunicaciones fuera eficiente, pero en el muy corto plazo
se descubri que s lo era. Digital, Intel y Xerox, se unen para ponerlo en funcionamiento sobre
cable coaxial a 10 Mbps, y como inicialmente se lo emple en enlaces satelitales que transmitan
al Ether, se le llam Ethernet (y se le conoca como Ethernet DIX). En el ao 1980 (80) y en
el mes de febrero (2), IEEE toma cartas en el tema y crea el subcomit que estudiara el tema de
LAN y MAN, y por la fecha en que entra en funcionamiento se le llam 802.x (x=distintas
reas), y ser el responsable hasta la actualidad de regular el funcionamiento de estas redes.
Este grupo define todos los aspectos hoy conocidos como familia 802.x, de los cuales como
mencionamos solamente en este texto se desea dejar claro algn aspecto de 802.3 y 802.11.
Lo ms relevante aqu es que, si se recuerda el aspecto del nivel de enlace (nivel 2) del modelo
OSI, ste establece la comunicacin con el nodo inmediatamente adyacente. En una topologa
LAN cul es el nodo inmediatamente adyacente? Ante esta cuestin IEEE, propone subdividir
el nivel de enlace del modelo OSI en dos subniveles:
MAC (Medium Acces Control): Responsable de todo lo referente al Hardware de red.
LLC (Logical Link Control), 802.2 : Responsable de la comunicacin con los
protocolos superiores.
Modelo OSI
(Ethernet)
IEE (802.x)
LLC
Enlace (nivel 2)
MAC
La propuesta es muy coherente, pues facilita esta compleja actividad caracterstica de las LAN.
Pero desde ya, que esta propuesta no es reconocida por OSI, marcando una diferencia entre estos
dos protocolos. Aparecen aqu estos dos estndares de mercado, que se recalca NO SON
IGUALES, si bien son muy parecidos. En el caso de CSMA/CD, que es el que interesa en este
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 80 [Link]
texto, todo hardware y software de red soporta ambos protocolos y acorde a la trama que
se trate aplica uno u otro.
La diferencia ms importante se encuentra en dos octetos del encabezado (que se tratarn a
continuacin). Cuando se trata de tramas IEEE 802.3, el encabezado MAC tendr siempre
encima de l el subnivel LLC, por esta razn no necesita definir a quin le debe entregar los
datos, pues solo existe una opcin (LLC); en esta situacin los dos octetos referidos establecen la
longitud del campo de datos y se llaman Length. Cuando la trama es Ethernet (el nivel de
enlace de OSI, no se encuentra subdividido) se debe aclarar a qu protocolo entregar los datos
en el nivel 3 (Red), por ejemplo IPX, IP, etc. en este caso estos dos octetos se denominan
Ethertype, y se emplean justamente para definir qu tipo de protocolo se encuentra arriba de
Ethernet.
La forma de distinguir de qu trama se trata es mediante el valor en hexadecimal de estos dos
octetos: todo valor inferior a 0550h se corresponde a una trama IEEE-802.3; por encima de este
se trata de una trama Ethernet.
4.1.3. Algoritmo de disminucin exponencial binaria:
Como se mencion en la introduccin, al producirse una colisin, los ETD responsables de la
misma dejan de transmitir (en realidad se enva una seal de atasco para avisar a todos los ETD
de la red de este hecho). Automticamente estos equipos generan un nmero aleatorio entre 0 y
1. Este nmero es motivado por el algoritmo de disminucin exponencial binaria que propone
generar un nmero aleatorio acorde a la siguiente frmula:
n = cantidad de colisiones detectadas en esta lucha.
Al tratarse de la primera colisin: N Rand=2
1
-1 = 1 => (Nro Random entre 0 y 1).
Este valor (0 1) establece la cantidad de tiempos de ranura que esperar el ETD para volver a
transmitir la trama que ocasion la colisin, siendo el tiempo de ranura 51,2 s.
Si los dos ETD generan el mismo valor, colisionarn nuevamente, pero si obtienen valores
diferentes, uno de los dos emitir primero, y cuando pasen los 51,2 s del segundo ETD y este
desee transmitir, encontrar el canal ocupado y no podr hacerlo (es decir que el primero gan la
compulsa).
Si hubiesen generado el mismo valor, es decir: los 2 ETD =1 los 2 ETD = 0, se producir la
segunda colisin, por lo tanto:
Nro Rand = 2
2
-1 = 3 => (Nro Random entre 0, 1, 2 3)
Si ambos equipos obtuvieran el mismo valor, colisionaran nuevamente y entonces sera:
Nro Rand = 2
3
-1 = 8 => (Nro Random entre 0, 1, 2, 3 ,4, 5, 6, 7 u 8).
Si siguieran generando iguales nmeros, esta situacin se mantendra hasta:
Nro Rand = 2
10
-1 = 1023 => (Nro Random entre 0 y 1023).
Nro Rand = 2
n
-1
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 81 [Link]
Si an as esto continuara, se ejecutara el mismo algoritmo con exponente = 10, durante seis
veces ms, y luego se comienza nuevamente.
Esto que parece muy poco probable, si bien es poco frecuente, no es tan as, pues se debe tener
en cuenta que en una red donde existen varios ETD conectados a un mismo dominio de colisin,
en cualquier momento de esta secuencia, puede entrar en juego otro ETD, caso en el cual, este
ltimo comenzara a tratar el algoritmo como su primera colisin, y los anteriores seguiran con
su rutina de disminucin de probabilidades, y as tambin puede ingresar un cuarto, quinto, etc.
El ltimo concepto que an queda por tratar es el de tiempo de ranura (51,2 s). Este valor
nace de la definicin misma de Ethernet, y aparece en los inicios de este protocolo, cuando estas
redes se implementaban con topologa Bus sobre cable coaxial grueso, con el cual se podan unir
hasta cinco segmentos de 500m a travs de cuatro repetidores regenerativos (y slo 3 de ellos
cargados; se la conoca como norma 5-4-3). La distancia mxima que alcanzaba esta red era de
2.500m. Teniendo en cuenta el tiempo de latencia de los repetidores, una seal elctrica tardaba
en recorrer esta distancia ida y vuelta, aproximadamente este tiempo: 51,2 s. El tema de fondo
aqu radica en que si se tiene en cuenta dos ETD separados a esta distancia (el peor de los casos),
suponiendo que uno de ellos comienza la transmisin, y un instante antes de llegar al segundo,
ste escucha el canal y por estar desocupado, comienza a transmitir; entonces se producir una
colisin muy prxima al segundo ETD. El que inici la transmisin tomar consciencia de la
colisin, cuando este estado anormal de tensin regrese a l, es decir, cuando haya recorrido los
2500m de ida y los 2500m de vuelta, que coincide con estos 51,2 s. Si se supone que el
segundo ETD no inici ninguna transmisin, al cabo de estos 51,2 s ningn ETD de esta red
podra transmitir, pues al escuchar el medio, lo encontrara ocupado. Esto se llama Apropiarse
del canal.
Basado en estos conceptos es que se define que el tamao mnimo de una trama Ethernet no
puede ser menor de 64 Byte, pues 64 Byte = 512 bit y 512 bit transmitidos a 10.000.000 de bit
por segundo (10 Mbps) = 51,2 s. Tambin se define que no podr tener ms de 1518 Byte,
para evitar que el apropiado del canal sea eterno, evitando as monopolios del medio.
4.1.4. Armado de tramas:
Las tramas Ethernet son armadas en el subnivel MAC y responden a 14 octetos de encabezado
y a 4 octetos de cola que es donde se realiza el CRC y entre estos campos van los datos.
Se debe tener en cuenta que para que todos los ETD de la red se sincronicen y sepan que se
est por recibir una trama, antes de la misma se envan 7 octetos de prembulo (10101010) y
luego un octeto de inicio (10101011). Algunos autores lo consideran parte del encabezado
Ethernet y otros no, en este texto no se considerarn parte del mismo.
El formato de una trama Ethernet es el que se detalla a continuacin:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 82 [Link]
8 7 6 5 4 3 2 1
Direccin destino (6 Byte)
Direccin Origen (6Byte)
Tipo o longitud (2 Byte)
Datos (Variable entre 46 y 1500 Byte)
.............
CRC (4 Byte)
Direccin destino: Especifica la direccin del host a alcanzar a nivel MAC.
Direccin origen: Especifica la propia direccin a nivel MAC.
Tipo o longitud: Si se trata del protocolo Ethernet el tipo de protocolo de
nivel superior (Ethertype). Si es protocolo 802.3 especifica la longitud del
campo de datos
CRC: Control de redundancia cclica, emplea el concepto de polinomio
generador como divisor de la totalidad de la trama, el resto de esta operacin
se enmascara con una secuencia d-determinada de bit y se enva en este
campo. Se trata entonces de una divisin binaria, en la cual se emplea como
polinomio generador justamente el CRC-32, que figura abajo, por lo tanto el
resto de esta divisin SIEMPRE ser una secuencia de bit de longitud inferior
a 32 bits, que ser lo que se incluye en este campo. Los formatos
estandarizados de estos CRCs son los que se presentan a continuacin:
CRC-12: X
12
+ X
11
+ X
3
+ X
2
+ X + 1
CRC-16: X
16
+ X
15
+ X
2
+ 1
CRC CCITT V41: X
16
+ X
12
+ X
5
+ 1 (este cdigo se utiliza en el
procedimiento HDLC)
CRC-32 (Ethernet): = X
32
+ X
26
+ X
23
+ X
22
+ X
16
+ X
12
+ X
11
+
X
10
+ X
8
+ X
7
+ X
5
+ X
4
+ X
2
+ X + 1
CRC ARPA: X
24
+ X
23
+ X
17
+ X
16
+ X
15
+ X
13
+ X
11
+ X
10
+ X
9
+
X
8
+ X
5
+ X
3
+ 1
Prembulo: No est representado en la grfica anterior, pues no es
considerado como parte de la trama pero se trata de 7 byte que indican que
comienza una trama y permite sincronizar relojes y 1 Byte de inicio.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 83 [Link]
4.1.5. Relacin de Ethernet con Hub y Switch:
Las redes Ethernet fueron diseadas con topologa Bus fsico, y posteriormente se incorpora
la idea de interconectar varios ETD a un solo dispositivo, que en definitiva cumpla con las
mismas funciones de un conector T del tipo BNC, pero en vez de bifurcar la seal por dos
caminos (como lo hace una T), lo hace por n caminos. Esto da origen a los Hub, los cuales
literalmente Explotan la seal recibida por cualquiera de sus puertos por todos los restantes
(menos el que ingres). La nueva forma que adoptan estas redes es ms parecida a una estrella,
pero como la lgica sigue siendo la misma, es decir, que la seal que emite un ETD sea
escuchada por todos los conectados, es que tambin se le suele llamar Bus lgico. Ms
adelante estos Hubs incorporan ms funciones, de las cuales la ms importante es la de
regenerara la seal, actuando como un repetidor regenerativo de mltiples puertos.
Teniendo en cuenta lo tratado anteriormente sobre las colisiones, es muy lgico pensar que a
medida que aumenta el nmero de ETD, aumentan las colisiones. Esta es una realidad en estas
redes, si bien no depende directamente de la cantidad de host conectados, sino ms bien del tipo
de trfico que estos generen. No se trata de una ley matemtica ni de algo fcilmente calculable,
estos datos se obtienen ms bien mediante mediciones de trfico de red (anlisis de trfico).
Lo que se debe tener en cuenta es que a medida que se necesitan ms puestos de trabajo, se
pueden agregar ms Hubs e interconectarlos entre ellos, esta es una de las grandes ventajas que
posee esta red: su flexibilidad. Cada nuevo puesto incorporado generar ms y ms colisiones,
produciendo una baja paulatina en el rendimiento general de la red. Recordar aqu que la nica
funcin de un Hub es explotar la seal. Por lo tanto si se poseen n Hubs, y un ETD emite una
trama, esta ser explotada por todas las bocas de los n Hubs.
Al detectar esta baja performance (mediante anlisis de trfico), la primera medida es
segmentar la red en dominios de colisin. Esta actividad la lleva a cabo un dispositivo que
trabaja a nivel 2 del modelo OSI, denominado Switch, el cual, no se describir en este texto, pero
bsicamente posee tablas dinmicas por cada uno de sus puertos, donde va almacenando las
direcciones MAC fuente de cada trama que pasa por l, y a medida que va aprendiendo las
mismas, comienza a poder conmutar una trama acorde a la puerta en la que la tiene almacenada.
Con este principio, si dos ETD se encuentran en la misma puerta, y un Switch recibe una trama
Ethernet con MAC origen y destino en ese segmento de red, no lo reenviar por ningn otro
puerto; si recibiera una trama con destino en otro segmento de red, nicamente lo conmutara por
el puerto en el que tiene almacenado ese segmento. Como se puede apreciar, si dialogan dos
ETD de un mismo segmento, esto no inhabilita a hacerlo a otros dos de otro segmento, cosa que
no se podra lograr con Hubs pues estos explotaran la seal por todas sus bocas y el postulado
rector de esta metodologa es que si se escucha ruido en el canal no se puede transmitir.
El objetivo entonces de un Switch es armar diferentes dominios de colisin, posibilitando que
ms de un ETD pueda transmitir a la vez.
La gran salvedad que se debe analizar aqu es que si el Switch no posee elementos de juicio
para poder determinar que hacer con una trama, opera exactamente igual que un Hub, es decir,
explota la seal por todas sus bocas. Esto es de vital importancia si se tiene en cuenta que una
red mal diseada (y en la gran mayora de los casos, por falta de optimizacin de trfico) genera
una enorme cantidad de Broadcast a nivel MAC. Si se estudia este detalle, es fcil deducir qu
har el Switch al recibir una trama con direccin destino Broadcast?........ Lo explotar por
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 84 [Link]
todas sus bocas igual que un Hub. Por lo tanto en el anlisis de trfico es trascendente prestar
atencin a la generacin de Broadcast que se produce en una red. Ms adelante se seguir
analizando este tipo de trfico (y tambin el Multicast), pues se produce tambin en otros niveles
con igual impacto.
4.1.6. Actualizaciones de Ethernet:
Ao a ao van apareciendo nuevas tcnicas para aumentar la velocidad y capacidades de este
increble protocolo que ronda ya en los cuarenta aos de vida y parece ser el mayor superviviente
de la historia de las telecomunicaciones. A continuacin se presentan una serie de conceptos que
han surgido en estos ltimos tiempos:
Fast y Giga Ethernet:
Las redes da a da van exigiendo un mayor ancho de banda. En la actualidad las necesidades
de voz e imgenes hacen que los 10Mbps de Ethernet sean insuficientes. Para dar solucin a
este problema se comienzan a estudiar nuevas opciones dando origen a Fast Ethernet.
Se plantearon inicialmente dos propuestas:
- Mantener el protocolo CSMA/CD en todos sus aspectos, pero aumentar en un factor 10 la
velocidad de la red. Al mantener el tamao de trama mnimo (64 bytes) se reduce en diez
veces el tamao mximo de la red, lo cual da un dimetro mximo de unos 400 metros. El uso
de CSMA/CD supone la ya conocida prdida de eficiencia debida a las colisiones.
- Aprovechar la revisin para crear un nuevo protocolo MAC sin colisiones ms eficiente y con
ms funcionalidades (ms parecido en cierto modo a Token Ring), pero manteniendo la
misma estructura de trama de Ethernet.
La primera propuesta tena la ventaja de acelerar el proceso de estandarizacin y el desarrollo
de productos, mientras que la segunda era tcnicamente superior. El subcomit 802.3 decidi
finalmente adoptar la primera propuesta, que sigui su camino hasta convertirse en lo que hoy
conocemos como Fast Ethernet, aprobado en junio de 1995 como el suplemento 802.3u a la
norma ya existente.
Los objetivos fundamentales son:
- Mantener el CSMA/CD.
- Soportar los esquemas populares de cableado. (Ej. 10BaseT ).
- Asegurar que la tecnologa Fast Ethernet no requerir cambios en los protocolos de las capas
superiores, ni en el software que corre en las estaciones de trabajo LAN.
Para acelerar el proceso se utiliz para el nivel fsico buena parte de las especificaciones ya
desarrolladas por ANSI para FDDI. Los medios fsicos soportados por Fast Ethernet son fibra
ptica multimodo o monomodo, cable UTP categora 3 y categora 5 y cable STP (Shielded
Twisted Pair).
Los partidarios de la segunda propuesta, considerando que sus ideas podan tener cierto
inters, decidieron crear otro subcomit del IEEE, el 802.12, que desarroll la red conocida
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 85 [Link]
como 100VG-AnyLAN. Durante cierto tiempo hubo competencia entre ambas redes por
conseguir cota de mercado; hoy en da la balanza se decanta ampliamente hacia Fast Ethernet.
Giga Ethernet se aprueba por IEEE en el ao 1998 como estndar 802.3Z (zeta, por ser la
ltima letra del alfabeto y pensar que ser la ltima de esta familia....). Tambin se lo conoce
hoy como 1000 Base-X.
Para su implementacin sobre pares de cobre, se cre la norma 802.3ab, que define el
funcionamiento de este protocolo sobre cables UTP (Unshielded Twisted Pair) categoras 5, 5e o
6 y por supuesto para fibra ptica, de esta forma pas a llamarse 1000 base-T.
En el 2002, IEEE ratific una nueva evolucin de este estndar para operar a 10 Gbps como
802.3ae, funcionando sobre fibra ptica, pero ya existe la propuesta para cables de cobre.
Mantiene an la filosofa CSMA/CD (Carrier Sense Mltiple Access / Colision detection).
La identificacin segn IEEE:
Para Fast Ethernet:
100: indica la velocidad de transmisin, 100 Mbps
BASE: tipo de sealizacin, baseband, sobre el medio slo hay seales Ethernet
El tercer campo: indica el tipo de segmento
T: (T de twisted pair)
TX: usa dos pares de cable par trenzado para datos (ANSI X3T9.5)
T4: usa cuatro pares de cable par trenzado para telfona (El estndar T4 fue desarrollado
para que cableados de menor calidad pudiesen utilizar Fast Ethernet)
Para Giga Ethernet:
1000: indica la velocidad de transmisin, 1000 Mbps
BASE: tipo de sealizacin, baseband, sobre el medio slo hay seales Ethernet
El tercer campo: indica el tipo de segmento
LX: (L de long wavelength)
SX: (S de short wavelength)
T: (T de twisted pair) (Usa los 8 hilos del cable UTP.)
Mximas frecuencias de los diferentes cables segn categoras:
5: (Cable slido de pares trenzados), 22 o 24 AWG (0,643mm o 0,511mm), 100 Mhz.
5e: (Categora 5 mejorada), 26 AWG (0,409mm), 100 Mhz, UTP
6: (Cable slido de pares trenzados), 24 AWG (0,511mm), 300 Mhz, FTP
7: (Cable slido de pares trenzados apantallados por par),23 AWG (~0,600mm), 600 Mhz,
STP
El ancho de banda del cable en Ethernet y la ley de Shannon:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 86 [Link]
La principal dificultad con 100 Mbps es que los datos a alta frecuencia no se propagan
sobre par trenzado o fibra (requerira una forma de onda de 200 MHz si codificara con
Manchester). UTP categora 5 est hecho para soportar una frecuencia de 100 MHz.
En 1927, Nyquist determin que el nmero de pulsos independientes que podan pasar a
travs de un canal de telgrafo, por unidad de tiempo, estaba limitado a dos veces el ancho
de banda del canal: fp 2* f (fp:frecuencia de pulsos, f: Ancho de banda). Es decir que
para obtener 100 Mbps, al menos debera tener una frecuencia de 200 MHz, con transmisin
de dos niveles. Por ahora nos quedaremos con esta definicin, dejando a continuacin la
Ley de Shanon para quien desee profundizar en el tema.
Ley de Shannon:
Permite calcular la velocidad terica mxima en la cual dgitos libres de error
pueden ser transmitidos sobre un canal con ancho banda de limitado en presencia de
ruido: C= f * log
2
(1+S/N). (C: Capacidad del canal en bits por segundo, f: Ancho
de banda en Hertz y S/N: relacin seal-ruido).
Lo importante a destacar es que se hizo necesario recurrir a otras tcnicas para
poder llegar a tasas de transmisin de 100Mbps en cables categora 5, como se ver
ms adelante.
NRZI, MLT-3 y la codificacin 4B5B
Nuevas formas de codificacin de la forma de onda han sido implementadas para Fast
Ethernet. Para reducir aun ms los requerimientos de frecuencia sobre UTP, 100BaseTX
agrega una variacin a NRZI (Non-Return-to-Zero, Invert-on-one) llamada MLT-3
(Multiple Level Transition - 3 Niveles) o NRZI-3.
Cuando la informacin es una secuencia de ceros, en NRZI y MLT-3 se puede perder la
codificacin de la seal del reloj. Para resolver este problema se utiliza la codificacin de
bloque (block encoding) 4B5B (la misma utilizada por FDDI).
Un cdigo de bloque toma un bloque o grupo de bits y los traduce a un conjunto de
cdigo bits ms grande. 4B5B toma cuatro bits y los traduce a cinco bits
Los cdigos de bloque se disean para mejorar la sealizacin de lnea al balancear los
ceros y los unos transmitidos
100BaseTX: Uso del medio
100 Base-TX, UTP categora 5
Hilo 1: T+; Hilo 2: T-, Hilo 3: R+ e Hilo 6: R-
Mximo 100 metros, conector RJ-45
Un cable cruzado se construye igual que en 10Mbps (1 con 3 y 2 con 6)
TX: usa dos pares de cable par trenzado para datos (ANSI X3T9.5)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 87 [Link]
FX: usa fibra ptica (ANSI X3T9.5) y usa dos hilos de fibra
TX y FX se conocen tambin como 100Base-X
Cada uno de los diferentes medios utiliza un tipo de codificacin (cdigos de bloque) y
sealizacin de lnea diferente:
100BaseFX utiliza codificacin 4B/5B y sealizacin NRZI
100BaseTX utiliza codificacin 4B/5B y sealizacin MLT-3 ( NRZI-3)
Giga Ethernet
Codificacin de la seal para representar los datos
En gigabit se utilizan las mismas tcnicas de sealizacin utilizadas en el canal de fibra y
se han adaptado y extendido las utilizadas en Fast Ethernet.
1000Base-T utiliza un esquema de codificacin de bloque llamado 4D-PAM5 que
transmite utilizando los 8 hilos del cable UTP. Este esquema traduce 8 bits de datos a
cuatro smbolos (4D) que sern transmitidos simultneamente, uno sobre cada par.
Estos smbolos son enviados sobre el medio utilizando seales moduladas por amplitud de
pulso de 5 niveles (PAM5).
Estos 5 smbolos son conocidos como -2, -1, 0, +1, +2 (+/- 2 realmente son +/-1V, y +/-1
es to +/- 0.5V)
Estndares:
10Mbps
10 BASE-T
Funciona sobre cuatro alambres (dos pares trenzados) en un cable de Categora 3 o
de Categora 5. Un Hub o un switch activo estn en el medio y tiene un puerto para
cada nodo. sta es tambin la configuracin usada para el Ethernet 100BASE-T y
gigabit. con sealizacin de codificacin Manchester, cableado de par trenzado de
cobre, topologa de estrella - evolucin directa del 1BASE-5.
100 mbps (Fast Ethernet)
100 BASE-T
Un trmino para cualquiera de los tres estndares de Ethernet de 100 Mbit/s sobre
cable de par trenzado. Incluye 100BASE-TX, 100BASE-T4 y 100BASE-T2. A fecha
de 2009, 100BASE-TX ha dominado totalmente el mercado, y con frecuencia es
considerado ser sinnimo con 100BASE-T en el uso informal. Todos utilizan una
topologa de estrella.
100BASE-TX
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 88 [Link]
Sealizacin codificada 4B5B MLT-3, cableado de cobre Categora 5 con dos pares
trenzados.
1000 Mbps (Giga Ethernet)
802.3z (1998 ), 1000BASE-X, Ethernet de 1 Gbit/s sobre fibra ptica.
802.3ab (1999), 1000BASE-T, Ethernet de 1 Gbit/s sobre par trenzado no blindado.
802.3an (2006), 10GBASE-T, Ethernet a 10 Gbit/s sobre par trenzado no blindado (UTP).
802.3bg (Borrador) 40Gb/s Ethernet Single-mode Fibre PMD Task Force.
802.3 (Borrador) 100Gb/s Ethernet Electrical Backplane and Twinaxial Copper Cable
Assemblies Study Group.
Aunque no se trata de Giga Ethernet merece la pena mencionar tambin a:
802.3af (2003) Alimentacin sobre Ethernet (PoE).
Toda la informacin actualizada sobre 802.3 est en: [Link]
Muchos adaptadores de Ethernet y puertos de switches soportan mltiples velocidades,
usando autonegociacin para ajustar la velocidad y la modalidad dplex para los mejores
valores soportados por ambos dispositivos conectados. Si la auto-negociacin falla, un
dispositivo de mltiple velocidad detectar la velocidad usada por su socio, pero asumir
semidplex. Un puerto Ethernet 10/100 soporta10BASE-T y 100BASE-TX. Un puerto
Ethernet 10/100/1000 soporta 10BASE-T, 100BASE-TX, y 1000BASE-T.
Otros datos de inters:
Los datos que no viajan en el vaco, circulan ms despacio que la luz en el vaco.
C (velocidad de la luz en el vacio): 300.000 Km/s.
Coaxial grueso: 77% C (231.000 Km/s).
Coaxial delgado: 65% C (195.000 Km/s).
Par trenzado: 59% C (177.000 Km/s).
Fibra ptica: 66% C (198.000 Km/s).
Qu tan largo es un bit en 10 Mbps?
Coaxial grueso: 231.000 Km/s dividido en 10 millones de bits por segundo = 23.1
metros.
Coaxial delgado: 195.000 Km/s dividido en 10 millones de bits por segundo = 19.5
metros.
Par trenzado: 177.000 Km/s dividido en 10 millones de bits por segundo = 17.7
metros.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 89 [Link]
Fibra ptica: 198.000 Km/s dividido en 10 millones de bits por segundo = 19.8
metros.
Niveles de degradacin
A lo largo de todo el desarrollo del tema Ethernet, se ha presentado con todo el detalle
posible el proceso de la lgica CSMA/CD, pues se considera fundamental el estricto
cumplimiento de lo que establecen los estndares, cuando no se respetan estos aspectos y
la lgica de CSMA/CD falla (por ejemplo por exceso de HUBs o Switchs, o por no
respetar distancias mximas), se comienzan a producir colisiones tardas, las cuales el
nivel 2 no sabe tratar, y debern ser detectadas y corregidas por los niveles superiores (si
es que estn en capacidad de hacerlo), en esos casos el rendimiento de toda la red se ve
afectado en rdenes de magnitud catastrficos. Para hacernos una idea de cunto puede
sufrir estos fallos, a continuacin se presentan algunos valores:
La retransmisin a nivel Ethernet ocurre, normalmente, dentro de tiempos del
orden de cientos de microsegundos.
Las restransmisiones en la subcapa LLC puede ocurrir en milisegundos.
En la capa de transporte (capa 4) las restramisiones puesen tomar segundos.
Las aplicaciones pueden esperar minutos.
4.1.7. Spoof de direcciones MAC:
Cuando se trabaja en entornos LAN, el nivel de enlace toma como identificador de un ETD su
direccin MAC, la cual por encontrarse impresa en la tarjeta de red (y en teora ser nica en el
mundo), inicialmente debera ser difcil de falsificar. La realidad hace que no sea tan difcil, e
incluso el propio SO Linux permite modificarla a travs del comando ifconfig. Cuando la
informacin es recibida en una red LAN, el primer identificador de direcciones que aparece es
esta direccin, y en base a esta, el ETD decide si la entrega al nivel de red o no. Por ser la
puerta de entrada a un host destino, se ha trabajado mucho por distintas opciones de engao,
cualquiera de ellas son lo que se denomin MAC spoofing, lo cual implica falsificar una
direccin MAC. En los ejercicios de este captulo se presentan varias opciones de trabajo con
este tema.
4.2. Presentacin (Los estndares 802.11):
4.2.1. WiFi (Wireless Fidelity)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 90 [Link]
En realidad, WiFi es un nombre comercial desarrollado por un grupo de comercio industrial
llamado WiFi Alliance (Inicalmente: 3Com Aironet [hoy parte de CISCO] Harris Lucent
Nokia y Symbol technologies, hoy ms de 150 miembros), el nombre oficial de esta alianza es
WECA (Wireless Ethernet Compatibility Alliance) y son los primeros responsables de 802.11b.
WiFi describe los productos de WLAN basados en los estndares 802.11 y est pensado en
forma ms amigable que la presentacin eminentemente tcnica que ofrece IEEE. Se podra
llegar a discutir si cubre o no todo lo que ofrece 802.11 o no, pues alguno de ellos podra ser
puesto en duda, pero a los efectos de este texto, se har ms referencia a lo que establece 802.11,
sin detenerse en estas diferencias.
La web de esta alianza es: [Link]
En esas web se puede tambin consultar el estado on line de los productos que se encuentran
certificados, el path completo de esta consulta es:
[Link]
El estndar 802.11 de IEEE se publica en junio 1997, luego de seis aos de proceso de
creacin. Propone velocidades de 1 y 2Mbps y un rudimentario sistema de cifrado (el
WEP:Wired Equivalent Privacy), opera en 2,4 GHz con RF e IR. Aunque WEP an se sigue
empleando, ha sido totalmente desacreditado como protocolo seguro.
En septiembre de 1999 salen a la luz el estndar 802.11b que ofrece 11Mbps y el 802.11 que
ofrece 54 Mbps, si bien los productos de la primera aparecieron en el mercado mucho antes.
En enero de 2004 aparece publicado el estndar 802.11n, ofreciendo una alternativa para
alcanzar hasta 600Mbps como velocidad real de transmisin de datos. Se viene implantando
desde el ao 2008. A diferencia de 802.11b y 802.11g, ste permite operar en las dos bandas de
frecuencias (2,4 GHz y 5Ghz) y gracias a esta novedad es que se hace compatible con
equipamiento antiguo que no soporte uno u otro. La novedad tambin es que al abrir
compatibilidad con la frecuencia de 5GHz, ofrece libertad de accin sobre la saturada banda de
2,4GHz que desde la acelerada explosin de WiFi est contaminada de dispositivos.
Existen muchas ms variantes de esta familia, pero en este texto nos centraremos en las ms
empleadas.
Modo turbo: Algunos fabricantes ofrece velocidades superiores a lo que el estndar define.
Estos procesos lo logran mediante la vinculacin de canales, es decir, dos canales son
multiplexados juntos empleando el total de velocidad de la suma de ambos. Esto si bien es
favorable aparentemente, tiene las desventajas de no respetar el estndar y de sacrificar la mitad
de los canales de 802.11.
La familia 802.11, hoy se encuentra compuesta por los siguientes estndares:
802.11: (5,1-5,2 Ghz, 5,2-5,3 Ghz, 5,7-5,8 GHz), 54 Mbps. OFDM:
Multiplexacin por divisin de frecuencias ortogonal
802.11b: (2,4-2,485 GHz), 11 Mbps.
802.11c: Define caractersticas de AP como Bridges.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 91 [Link]
802.11d: Mltiples dominios reguladores (restricciones de pases al uso de
determinadas frecuencias).
802.11e: Calidad de servicio (QoS).
802.11f: Protocolo de conexin entre puntos de acceso (AP), protocolo
IAPP: Inter Access Point Protocol.
802.11g: (2,4-2,485 GHz), 36 o 54 Mbps. OFDM: Multiplexacin por
divisin de frecuencias ortogonal. Aprobado en 2003 para dar mayor
velocidad con cierto grado de compatibilidad a equipamiento 802.11b.
802.11h: DFS: Dynamic Frequency Selection, habilita una cierta
coexistencia con HiperLAN y regula tambin la potencia de difusin.
802.11i: Seguridad (aprobada en Julio de 2004).
802.11j: Permitira armonizacin entre IEEE (802.11), ETSI (HiperLAN2) y
ARIB (HISWANa).
802.11k: Mejora la gestin de las redes WLAN.
802.11m: Mantenimiento redes wireless.
802.11n: Velocidad de 600Mbps pudiendo emplear 2,4 o 5 GHz.
802.11p: Frecuencia de 5,9GHz indicado para automviles.
802.11r: Pensado para conmutacin rpida y segura entre puntos de acceso.
802.11s: Interoperatibilidad entre fabricantes.
802.11v: Configuracin remota de dispositivos cliente.
802.11w: Mejora en la capa de control de acceso al medio en cuanto su
autenticacin y codificacin.
802.11y: Permite operar (con ciertas restricciones de Pases y zonas) en la
banda de 3,65 a 3,7 GHz.
Quizs el tema ms importante a destacar es la posibilidad de expansin de 802.11. El
incremento constante de mayores velocidades, hace que los 11 Mbps de 802.11b ya queden
pequeos. La migracin natural es hacia 802.11g, pues sigue manteniendo la frecuencia de
2,4GHz, por lo tanto durante cualquier trancisin en la que deban convivir, ambos estndares lo
permiten. En cambio si se comienzan a instalar dispositivos 802.11a, los mismos no permiten
ningn tipo de compatibilidad con 802.11b, pues operan en la banda de 5 GHz, si bien ahora
tenemos esperanza con 802.11n.
Para acotar nicamente el tema de seguridad, se tratarn slo 802.11, b, g, n y 802.11i.
Hoy en da se puede decir que existen cuatro estndares de WLAN:
HomeRF: Es una inciativa lanzada por Promix, principalmente en EEUU y
orientada exclusivamente al mercado residencial. Tiene sus bases en los estndares
de telfono digital inalmbrico mejorado (DECT)
BlueTooth: Lo inici IBM, orientado al mercado comercial/ventas, y a la
interconectividad de elementos de hardware. En realidad no compite con 802.11,
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 92 [Link]
pues tiene la intencin de ser una estndar con alcance nominal de 1 a 3 metros y a
su vez no supera los 1,5 Mbps
802.11: Cubre todo el espectro empresarial.
802.16: WiMAX (Worldwide Interoperability for Microwave Access -
Interoperabilidad mundial para acceso por microondas). Pensado para solucionar el
problema de la ltima milla en zonas de difcil acceso.
Una iniciativa que se debe mencionar tambin es HiperLAN en sus versiones 1 y 2. Se trata
de una verdadera analoga inalmbrica para ATM. Fue un competidor de 802.11 que opera en
la frecuencia de 5 GHz y goz del apoyo de compaas como Ericsson, Motorola, Nokia;
Panasonic y Sony llegaron a crear regulaciones por parte de ETSI al respecto, pero no se logr
imponer y hoy en da est prcticamente en desuso. En lo particular me hace acordar mucho a
la batalla que hubo entre ATM y Ethernet (Fast Ethernet, Giga Ethernet....).
Definiciones a tener en cuenta en este apartado:
Access control: Es la prevencin del uso no autorizado de recursos.
Access Point (AP): Cualquier entidad que tiene funcionalidad de estacin y provee
acceso a servicios de distribucin va wireless medium (WM) para estaciones
asociadas.
Ad Hoc network: red wireless compuesta nicamente por estaciones con iguales
derechos.
Portal: punto lgico desde el cual se conecta una red wireless con una no wireless.
Station (STA):cualquier dispositivo que cumple con un nivel MAC conforme a 802.11
y un nivel fsico que posee una interfaz wireless.
Portable station: estacin que puede ser movida de ubicacin, pero que slo puede Tx
o Rx en estado fijo.
Movile station: Estacin que permite Tx o Rx en movimiento.
El tema de seguridad no puede ser tratado con seriedad si previamente no se tienen en cuenta
varios conceptos de BASE que hacen a la arquitectura WiFi. Una vez comprendido el
funcionamiento bsico de esta infraestructura, recin entonces se puede hablar de seguridad.
En virtud de este concepto, es que en este texto se trata inicialmente una serie de conceptos
bsicos, para luego profundizar en los aspectos de seguridad WiFi.
4.2.2. Modelo de capas de 802.11.
[Link]. La capa fsica de 802.11: (El detalle de la misma se puede ver al final de este punto)
La capa fsica la componen dos subcapas:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 93 [Link]
PLCP (Physical Layer Convergence Protocol): Se encarga de codificacin y
modulacin.
Prembulo (144 bits = 128 sincronismo + 16 inicio trama).
HEC (Header Error Control): CRC 32.
Modulacin (propagacin) DSSS o FHSS o IR.
PMD (Physical Medium Dependence): Es la que crea la interfaz y controla la
comunicacin hacia la capa MAC (a travs del SAP: Service Access Point)
Este nivel lo conforman dos elementos principales:
Radio: Recibe y genera la seal.
Antena: Existe una gran variedad y no ser tratado en este texto.
El estndar 802.11 define en el punto 12 del mismo todas las especificaciones de servicio
para este nivel, las cuales no sern tratadas en este texto. Hay algunos aspectos fsicos que
vale la pena profundizar para la comprensin de WiFi, de los cuales se recomienda
especialmente:
FHSS (Frequency Hopping Spread Spectrum) para la banda de 2,4 GHz
(ISM: Industrial, Scientific and Medical band) en el punto 14 de la
recomendacin.
DSSS (Direct Sequence Spread Spectrum) para 2,4 GHz, en el punto 15.
IR (InfraRed), en el punto 16.
NOTA: Aunque esto no forma parte de los conceptos de WiFi, cuando se habla de
transmisin, se deben diferenciar tres palabras:
Modulacin: Es el mtodo de emplear una seal portadora y una moduladora
(que da forma a la anterior). Cada una de ellas puede ser analgica o digital,
con lo cual se obtienen cuatro posibles combinaciones de portadora y
moduladora (AA, AD, DA y DD), con las cuales se conforman todas las
tcnicas de modulacin. WiFi en la mayora de los casos emplea la tcnica
QAM (Modulacin en cuadratura de Fases con ms de un nivel de amplitud).
Propagacin: Es la forma en la cual van saliendo las seales al aire. Aqu
es donde verdaderamente se aplican las tcnicas de DHSS y FHSS. SS
(Spread Spectrum) es la tcnica de emplear muchas subportadoras de muy
baja potencia con lo cual se expande el espectro til. En cuanto a DH y FH,
el ejemplo tpico que se emplea para estas tcnicas es la analoga con una
terminal de trenes, en la cual existen varios andenes. Para DH, los trenes
estaran saliendo, primero el andn 1, luego el 2, a continuacin el 3, 4, 5... y
as sucesivamente, respetando siempre este orden. Para FH, la salida de los
trenes no respeta el orden y puede ser aleatoria o acorde a un patrn
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 94 [Link]
determinado (WiFi hace un muy buen uso de esto, pues en las subportadoras
en las cules recibe mucha interferencia deja de usarlas, o emplea menos
cantidad de bits en las mismas).
Codificacin: Es la asociacin de bit a cada muestra que se obtiene. WiFi
en la mayora de los casos emplea el cdigo Barker.
[Link]. Descripcin ms detallada del nivel Fsico y Subnivel MAC de 802.11.
Se presenta a continuacin un breve resumen de los aspectos ms importantes del nivel
fsico y subnivel MAC del estndar. Se ha respetado la puntuacin del mismo para quien
desee profundizar en esos puntos.
5.3. Servicios Lgicos: 802.11 propone dos categoras de servicios empleados en
el subnivel MAC:
Station Service (SS): Son los servicios especficos de las STAs.
Distribution System Service: Estos servicios se emplean para pasar en cualquier
sentido entre DS y BSS.
Los servicios determinarn distintos tipos de mensajes que fluirn por la red,
independientemente de su categora. La totalidad de los servicios (y/o mensajes) son:
a. Authentication: A diferencia de una red cableada, en 802.11 no existe una seguridad a
nivel fsico para prevenir el acceso no autorizado, por lo tanto este estndar ofrece la
capacidad de autenticacin por medio de este servicio. Si entre dos estaciones no se
establece un adecuado nivel de autenticacin, la asociacin no podr ser establecida.
802.11 soporta dos metodologas de autenticacin:
- Open System Authentication (OSA): Cualquier STA puede ser autenticada.
- Shared Key Authentication: Este mecanismo requiere la implementacin de
Wireless Equivalent Privacy (WEP) y ser tratado ms adelante.
b. Deauthentication: Este servicio es invocado si una autenticacin debe ser finalizada. Se
trata de una notificacin, no una solicitud, por lo tanto no puede ser rechazada, y puede
ser invocado tanto por una STA (No AP), como por un AP.
c. Association: Antes que una STA pueda enviar mensajes va un AP, la misma deber
encontrarse asociada a este ltimo. Este servicio permite al DS conectar distintas STA
dentro de una LAN Wireless, ubicando a cada una de ellas. En cualquier instante de
tiempo, una STA slo podr estar asociada a un nico AP. Este servicio es siempre
iniciado por una STA no AP, nunca por un AP.
d. Deassociation: Este servicio es invocado si una asociacin debe ser finalizada. Se trata
de una notificacin, no una solicitud, por lo tanto no puede ser rechazada, y puede ser
invocado tanto por una STA (No AP), como por un AP.
e. Reassociation: Permite cambiar una asociacin de un AP a otro, o tambin cambiar los
parmetros de asociacin de una STA con el mismo AP.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 95 [Link]
f. Distribution: Este tipo de mensajes se producen al ingresar informacin a un DS
proveniente de un BSS. El encargado de generar estos mensajes ser un AP y su
objetivo es alcanzar el destino buscado.
g. Integration: Los mensajes que van o vienen dirigidos hacia/desde un portal, harn uso
de este servicio.
h. Privacy: 802.11 al igual que sucede con autenticacin (y por las mismas causas) provee
la posibilidad de cifrar el contenido de los mensajes a travs de este servicio. Este
servicio que es opcional, tambin se lleva a cabo por WEP. Es muy discutible la solidez
del mismo, pero la decisin fue tomada como una medida que permite tener un nivel de
seguridad al menos tan seguro como un cable.
i. MSDU delivery: Responsable de entregar la informacin al nivel fsico
Existe una relacin entre asociacin y autenticacin que provoca los tres Estados en los que
se puede encontrar una STA en cualquier intervalo de tiempo:
- Estado 1: No autenticado No asociado.
- Estado 2: Autenticado No asociado.
- Estado 3: Autenticado Asociado.
Estos servicios generan distintos tipos de mensajes, los cuales estn clasificados en:
a. Data.
b. Control.
c. Management.
7. Formatos de trama :
7.1. tramas MAC:
Estas tramas poseen tres componentes:
- MAC Header.
- Body.
- Frame Check Sequence (FCS).
Octetos: 2 2 6 6 6 2 6 0-2312 4
Frame
Control
Duration
/ ID
Address
1
Address 2 Address
3
Sequence
control
Address
4
Body FCS
MAC Header
Body FCS
A continuacin se desarrollan en detalle cada uno de los campos:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 96 [Link]
Si se analiza en detalle los dos octetos del campo control, los mismos estn compuestos
por los siguientes subcampos (Que se corresponden a los 2 octetos [16 bits] del campo
Frame Control):
Bits: 2 2 4 1 1 1 1 1 1 1 1
Protocol
Version
Type Subtype To
DS
From
DS
More
Frag
Retry Pwr
Mgt
More
data
WEP Order
a. Protocol Version (2 bit): El estndar actual es Versin 0.
b. Type (2 bit): 00= Management, 01=Control, 10=Data, 11=Reserved.
c. Subtype (4 bit): Definen el detalle del servicio y/o Primitiva (Ej: Association request
y response, reassociation request y response, Beacon, Power Save, RTS, CTS, ACK,
CF, etc...).
d. To DS (1 bit): En tramas de datos dirigidas hacia un DS=1, cualquier otro caso=0.
e. From DS (1 bit): En tramas que salen de un DS=1, cualquier otro caso=0.
f. More Frag (1 bit): En tramas de data o Management que poseen ms fragmentos de
MSDU=1, cualquier otro caso=0.
g. Retry (1 bit): Si es retransmisin de una trama anterior=1, cualquier otro caso=0.
h. Pwr Mgt (1 bit): Modo Power-Save=1, Modo Active=0
i. More Data (1 bit): Si una STA se encuentra en modo Power-Save y el AP posee ms
MSDU para ella=1, cualquier otro caso=0.
j. WEP (1 bit): Si el Body posee informacin que ha sido procesada con WEP=1,
cualquier otro caso=0.
k. Order (1 bit): Si se emplea el servicio de Strictly Ordered=1, cualquier otro caso=0.
(Este servicio permite reordenar la emisin de Broadcast y Multicast).
El segundo campo de la trama MAC es Duration ID, el cual consta tambin de 2
octetos. En la mayora de los casos indica la duracin de la trama, cuyo valor oscila entre
0 y 32767 (en decimal). La nica excepcin es cuando se trata de una trama de
type=control con subtype= Power-Save, en cuyo caso los bit 14 y 15 son=1 y los restantes
14 bit indican la Association Identity (AID) de la estacin que gener la trama, su valor
oscila entre 1 y 2007.
Los otros campos que incluye la trama son los de direcciones, los cuales son empleados
para indicar el BSSID. El formato de los mismos es el estndar de 48 bits (definido en
IEEE 802-1990), respetando las mismas estructuras de Unicast, Multicast y Broadcast. Si
bien en algunas tramas pueden no aparecer los cuatro, lo ms normal es que sean los
siguientes:
- Destination Address (DA): Identifica el recipiente final de la MSDU.
- Source Address (SA): Identifica el host que inici la transferencia de la MSDU.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 97 [Link]
- Receiver Address (RA): Identifica el recipiente inmediato al que ser entregada la
trama sobre el WM.
- Transmitter Address (TA): Identifica la STA que ha transmitido sobre el WM la
MPDU
El campo que queda es el de Sequence Control Field que tiene 16 bits y consiste en 2
subcampos:
Bits: 4 12
Fragment Number Sequence Number
- Sequence Number: (12 bits) es un valor que se asigna a cada MSDU generada y
oscila entre 0 y 4096, incrementndose en 1 por cada trama.
- Fragment Number: (4 bits) Si se emplea fragmentacin (operacin admitida por
802.11), este campo indica cada uno de los fragmentos, caso contrario es cero.
La cola de una trama 802.11 es el FCS (Frame Control Sequence) que es el CRC de
grado 32, que corresponde al estndar IEEE CRC-32.
G
(x)
= x
32
+ x
26
+ x
23
+ x
22
+ x
16
+ x
12
+ x
11
+ x
10
+ x
8
+ x
7
+ x
5
+ x
4
+ x
2
+ x + 1
7.2. Formato de tipos de trama:
Volviendo al campo de control de la trama, como se detall en el punto 7.1. El
subcampo Type, identifica 3 tipos de trama: 00= Management, 01=Control, 10=Data. Por
lo tanto, acorde a estos valores, se definen cada una de estas tramas, y su formato en cada
caso difiere del formato genrico de la trama (definido en el punto 7.1.). A continuacin
se detallan cada uno de estos tipos.
7.2.1. Tramas de control:
Son las que en el subcampo Type tienen valor=01, y se emplean para control de red. Los
distintos subtipos de tramas de control se detallan a continuacin:
[Link]. Formato de trama RTS (Request to send):
Octetos: 2 2 6 6 4
Frame
Control
Duration RA TA FCS
- Frame Control, RA, TA y FCS, son los mismos anteriormente descritos.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 98 [Link]
- Duration: Este valor es el tiempo en microsegundos requeridos para
transmitir los datos pendientes (o tambin una trama de administracin) +
una trama CTS + una trama ACK + 3 intervalos SIFS.
[Link]. Formato de la trama Clear to Send (CTS):
Octetos: 2 2 6 4
Frame
Control
Duration RA FCS
- RA es copiado del valor e TA de la trama RTS inmediatamente previa.
- Duration: es el mismo que el de la trama RTS inmediatamente previa el
tiempo requerido para transmitir esta trama (CTS) y el SIFS que espera la
misma.
[Link]. Formato de la trama Acknowledgment (ACK):
Este formato es exactamente igual al de CTS.
[Link]. Formato de la trama Power-Save (PS-Poll)
Octetos: 2 2 6 6 4
Frame
Control
AID BSSID TA FCS
- BSSID: Es la direccin de la STA contenida en el AP.
- AID: Es el valor asignado a la STA transmitiendo la trama, en respuesta
(o durante) una asociacin.
[Link]. Formato de la trama CF-End (Contention Free-End):
Octetos: 2 2 6 6 4
Frame
Control
Duration RA BSSID FCS
- BSSID: es la direccin del AP.
- RA: es la direccin Broadcast de grupo.
- Duracin: Debe ser siempre=0.
[Link]. Formato de la trama CF-End + CF-ACK:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 99 [Link]
Es exactamente igual a la anterior.
7.2.2. Tramas de datos:
Estas tramas son independientes del subtipo, y los nicos detalles significativos
son los campos Address que dependern del valor de los bits To DS y From DS,
presentando diferentes contenidos (o significados) en base a las cuatro
combinaciones de estos dos bits. Las mismas no sern tratadas en este texto.
7.2.3. Tramas de administracin:
El formato genrico de estas tramas es el que se detalla a continuacin
Octetos: 2 2 6 6 6 2 0-2312 4
Frame
Control
Duration
DA
SA BSSID Sequence
control
Body FCS
Sobre este formato, basado en diferentes valores del Frame Control, se distinguen
los subtipos de trama que presentan, las cuales pueden ser las siguientes:
[Link]. Beacon frames:
El cuerpo (body) de una trama de administracin Subtipo Beacon contiene la
siguiente informacin:
- Timestamp.
- Beacon Interval.
- Capability Information.
- SSID.
- Supported rates.
- FH Parameter Set.
- DS Parameter Set.
- IBSS Parameters Set.
- TIM: (Slo presente en tramas generadas por AP).
9. Descripcin funcional de subnivel MAC:
La arquitectura de este subnivel incluye dos funciones principales: Funcin de
coordinacin distribuida (DCF) y Funcin de coordinacin puntual (PCF), que se
desarrollan a continuacin:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 100 [Link]
9.1.1. DCF:
El mtodo de acceso fundamental de 802.11 es conocido como CSMA/CA
(Carrier Sense Multiple Access / Colision Avoidance) como lo hemos visto
ya en Ethernet, y en este caso opera de la siguiente forma: una STA para
transmitir, primero debe escuchar el canal para determinar si otra est
transmitiendo. Si el medio est libre, entonces podr transmitir acorde a los
tiempos de espera correspondientes (que se detallarn ms adelante), pues
siempre debe dejar ciertos intervalos de tiempo. Si el medio est
ocupado, entonces la STA deber esperar a que finalice la presente
transmisin. En este ltimo caso, como as tambin cuando acaba de
transmitir la propia STA y desea enviar otra trama, la STA generar un valor
random (y teniendo en cuenta tambin los tiempos que impone el estndar)
y lo ir decrementando, hasta hacerse cero. Llegado este valor, podr
transmitir. Un aspecto que puede ser empleado tambin para acceso al
medio, son las tramas RTS y CTS, que del mismo modo que la interfaz RS-
232, solicita autorizacin y se habilita la Tx, por medio de estos cortos
mensajes.
9.1.2. PCF:
Este mtodo slo puede ser empleado en modo infraestructura. Emplea un
Point Coordinator (PC), quien coordinar dentro del BSS qu STA tiene
permiso para transmitir. La operatoria es el conocido sondeo (Poll),
realizado desde el PC. Esta PC posee un mecanismo prioritario de acceso al
canal a travs de las tramas de Management Beacon, configurando lo que
se denominar NAV (Network Allocation Vector). Este acceso prioritario,
provisto por el PC puede ser utilizado para crear lo que se denomina
Contention-Free (CF) Access Method (Mtodo de acceso libre de
colisiones).
9.1.3. Coexistencia de DCF y PCF:
Cuando un PC est operando en un BSS, ambos mtodos se irn alternando
y pueden convivir.
9.2.3. Espacio entre tramas (IFS: Interframe Space):
Los intervalos de tiempo entre tramas son los IFS. Se definen cuatro tipos
de IFS, para establecer prioridades de acceso al medio:
a. SIFS (Short IFS): Este intervalo se emplea en tramas ACK, CTS o en
las sucesivas tramas de una operacin de fragmentacin. Tambin en
cualquier respuesta a un sondeo realizado por un PC. Es el intervalo
ms corto.
b. PIFS (PCF IFS): Se emplea en modo PCF (excepto en las respuestas
a sondeos)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 101 [Link]
c. DIFS (DCF PFS): Se emplean en modo DCF par envo de tramas de
administracin y de datos.
d. EIFS (Extended IFS): Este intervalo se emplea cuando el nivel fsico
le informa al subnivel MAC que una trama que se ha transmitido, no
tuvo una correcta recepcin con incorrecto FCS. Se emplea este
valor mximo de intervalo, para dar tiempo suficiente a la STA
receptora, de informar este error de recepcin.
9.2.4. Random Backoff time:
Cuando una STA desea transmitir, y la funcin Carrier Sense
detecta ocupado el canal, deber desistir de la Tx hasta que se
desocupe el medio y durante un intervalo DIFS finalizada la Tx
anterior si esta llega con xito, si es motivo de errores, el intervalo de
espera deber ser EIFS. Una vez finalizado cualquiera de estos dos
intervalos, generar un valor aleatorio denominado Random Backoff
Time, que deber esperar antes de transmitir. El objetivo del mismo
es minimizar colisiones. Este valor se compone de:
Backoff Time = Random () * Slot Time.
El valor Random est relacionado a un parmetro denominado
Contention Window (Mnima y mxima) y sus lmites oscilarn
entre 0 y 2
n
-1 Siendo n la cantidad de intentos de acceso (Muy
similar a la tcnica de tratamiento de colisiones de 802.3). Y el Slot
time es un valor que depende de las caractersticas fsicas del canal.
11. Entidad de administracin de subnivel MAC:
Todas las STA que estn dentro de un BSS, estarn sincronizadas por un reloj
comn. La responsable de esta actividad es la funcin sincronizacin de tiempo
(TSF).
En una red tipo infaestructura el AP ser el Timing Master y llevar a cabo
la TSF. Transmitir peridicamente tramas Beacon que contienen copias del
TSF timer. Cualquier STA siempre aceptar estas tramas provenientes del que
sirve su BSS.
11.2. Power Mode:
Una STA puede permanecer en dos estados:
- Despierta (Awake): Est en condicioones normales de operacin.
- Dormida (Doze): No est en capacidad de Tx o Rx, y consume
mucha menos potencia. Escucha peridicamente las tramas
Beacon, para ver si su AP necesita cambiarla de estado, para
enviarle informacin.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 102 [Link]
La transicin entre estos dos estados es controlada por cada STA
(configurada). Lo importante a tener en cuenta aqu es que cuando una
STA modifica su Power Mode, inmediatamente debe indicarlo a su AP a
travs de una trama de administracin con los bit de PS configurados
acorde al estado. El AP lleva una tabla de control de todas las STA,
llamada Traffic Indication Map (TIM)
12. Especificaciones de servicio de nivel fsico (PHY).
El estndar 802.11 posee diferentes especificaciones fsicas, pero cada una de
ellas siempre posee dos funciones:
- Funcin de convergencia: Adapta la trama MAC con el PMD.
- Sistema PMD (Physical Medium Depend): Define las caractersticas y
mtodos de Tx y Rx de datos a travs de WM.
14. Especificaciones de FHSS (Frecuency Hopping Spread Spectrum), para la
banda 2,4 Ghz ISM (Industrial, Scientific and Medical Band).
14.3.2. Formato de la trama a nivel fsico:
Hasta ahora se ha tratado el formato de la trama MAC. A partir de ahora se
analiza el formato de la trama en el nivel inferior del modelo, es decir, este
nivel fsico recibe la PDU de nivel 2 (es decir la trama MAC completa) a
travs del SAP correspondiente, arma su Header, lo suma a la PDU recibida y
este conjunto es lo que va a Tx por el WM.
El conjunto total de bits que se inyectarn en el canal de comunicaciones, a
travs de este nivel se puede clasificar en tres grandes partes:
- Prembulo: Se emplea para sincronizar la transmisin con todos los
nodos que vayan a escucharla. Contiene dos campos:
Sincronizacin (SYNC) de 80 bits alternando ceros y unos.
Delimitador de inicio de trama (SFD) de 16 bits (0000 1100
1011 1101).
- Header: Contiene tres campos:
PLW (Physical Length Word): 12 bits que indican la longitud
del campo de datos.
PSF (Physical Signaling Rate): 4 bits, de los cuales, el
primero debe ser cero (Reservado), y las 8 combinaciones de
los 3 bits siguientes indican a qu velocidad de transferencia
de datos operar esta trama, desde 1 Mbps (000) hasta 4,5
Mbps (111), incrementndose de 0,5 Mbps.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 103 [Link]
HEC (Header Error Check): 16 bits que emplean la tcnica de
CRC con el polinomio Generador G
(x)
= X
16
+ X
12
+ X
5
+ 1
- Datos: PDU de nivel 2. Cabe destacar aqu que en este nivel, los
datos emplean la tcnica de Scrambler frame Synchronous,
organizando bloques de 127 bits, que se irn mezclando en filas y
columnas para minimizar los efectos de rfagas de errores que puedan
sufrir en el WM.
(fin de transcripcin de la numeracin del estndar, se vuelve a la numeracin del
texto)
4.2.3. La capa de enlace de 802.11:
Respetando el modelo OSI, en este texto se agrupar en el nivel de enlace, los dos
subniveles que lo conforman (MAC: Medium Access Control y LLC: Logical Link Control).
Desde el punto de vista de 802.11, slo interesa hacer referencia al subnivel MAC (En los
Ejercicios de este captulo, se pueden apreciar varios tipos de tramas).
Capa MAC: Controla el flujo de paquetes entre 2 o ms puntos de una red . Emplea
CSMA/CA: Carrier Sense Multiple Access / Collision Avoidance. Sus funciones
principales son:
Exploracin: Envo de Beacons que incluyen los SSID: Service Set identifiers o
tambin llamados ESSID (Extended SSID), mximo 32 carateres.
Autenticacin: Proceso previo a la asociacin. Existen dos tipos:
Autenticacin de sistema abierto: Obligatoria en 802.11, se realiza cuando el
cliente enva una solicitud de autenticacin con su SSID a un AP, el cual autorizar o
no. Este mtodo aunque es totalmente inseguro, no puede ser dejado de lado, pues
uno de los puntos ms fuertes de WiFi es la posibilidad de conectarse desde sitios
pblicos annimamente (Terminales, hoteles, aeropuertos, etc.).
Autenticacin de clave compartida: Es el fundamento del protocolo WEP (hoy
totalmente desacreditado); se trata de un envo de interrogatorio (desafo) por parte
del AP al cliente.
Asociacin: Este proceso es el que le dar acceso a la red y slo puede ser
llevado a cabo una vez autenticado
Seguridad: Mediante WEP, con este protocolo se cifran los datos pero no
los encabezados.
RTS/CTS: Funciona igual que en el puerto serie (RS-232), el aspecto
ms importante es cuando existen nodos ocultos, pues a diferencia de
Ethernet, en esta topologa S pueden existir nodos que no se escuchen
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 104 [Link]
entre s y que solo lleguen hasta el AP, (Ej: su potencia est limitada,
posee un obstculo entre ellos, etc), en estos casos se puede configurar el
empleo de RTS/CTS. Otro empleo importante es para designar el tamao
mximo de trama (en 802.11: mnimo=256 y mximo=2312 Bytes).
Modo ahorro de energa: Cuando est activado este modo, el cliente
envi previamente al AP una trama indicando que se ir a dormir. El
AP coloca en su buffer estos datos. Se debe tener en cuenta que por
defecto este modo suele estar inactivo (lo que se denomina Constant
Awake Mode: CAM).
Fragmentacin: Es la capacidad que tiene un AP de dividir la
informacin en tramas ms pequeas.
4.2.4. Topologa WiFi.
802.11 presenta dos topologas:
Ad Hoc (o peer to peer): Dos o ms clientes que son iguales entre ellos.
Infraestructura: Red centralizada a travs de uno o ms Access Point (AP).
Descripcin general de componentes de las mismas:
BSS (Basic Service Set): Es el bloque bsico de construccin de una LAN 802.11.
En el caso de tratarse de nicamente 2 estaciones se denomina IBSS (Independent
BSS), es lo que a menudo se denomina Ad Hoc Netwok.
DS (Distribution System): Es la arquitectura que se propone para interconectar
distintos BSS. El AP es el encargado de proveer acceso al DS, todos los datos que
se mueven entre BSS y DS se hacen a travs de estos AP, como los mismos son
tambin STA, son por lo tanto entidades direccionables.
ESS (Extended Service Set): Tanto BSS como DS permiten crear wireless network
de tamao arbitrario, este tipo de redes se denominan redes ESS.
La integracin entre una red 802.11 y una No 802.11 se realiza mediante un Portal.
Es posible que un mismo dispositivo cumpla las funciones de AP y Portal.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 105 [Link]
(Componentes de la arquitectura)
4.3. ARP (Address Resolution Protocol) (RFC 826, 1293, 1390):
Antes de segur avanzando hacia el nivel de Red, debemos tratar este protocolo, que si furamos
estrictos no se lo puede asociar con exactitud a un nivel especfico pues rene informacin de nivel
2 y 3. Para nuestro anlisis, lo consideraremos justamente como uno de estos protocolos que no
responde exactamente a la clasificacin de niveles y ser un protocolo que opera entre los niveles
2 y 3.
4.3.1. Funcionamiento
Para que se pueda establecer la transferencia de datos entre dos ETD en la familia TCP/IP,
estos debern conocer obligatoriamente las direcciones IP y las de Hardware (MAC), del emisor
y receptor; hasta que estas cuatro no se encuentren perfectamente identificadas, no se podr
iniciar ninguna transferencia de informacin. Bajo este esquema, es fcil pensar que si un ETD
A desea enva informacin, conozca su Direccin MAC e IP, tambin es razonable que pueda
conocer la direccin IP destino; el responsable de descubrir la direccin MAC faltante es el
protocolo ARP. El mecanismo que emplea es el de mantener una tabla dinmica en memoria
en cada ETD llamada cach ARP (la cual se puede analizar por medio del archivo [Link]), en
la misma se van guardando todas las asociaciones de MAC-IP que escucha el ETD en la red. Al
intentar transmitir informacin, analizar primero en su cach ARP si esta asociacin existe, de
no encontrarla generar un mensaje ARP.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 106 [Link]
4.3.2. Tipos de mensajes:
ARP trabaja por medio de una solicitud y una respuesta. La Solicitud es un broadcast de nivel
2 ([Link]), el cual ser escuchado por todos los ETD de la red con el formato que
se graficar a continuacin. Por ser Broadcast, todos los niveles 2 de todos los ETD de la red lo
reconocern como propio, entregando la UDP correspondiente al nivel 3 en todos los ETD. El
nico nivel 3 que lo tomar como suyo ser el que identifique su propia direccin IP en esta
cabecera quien responder (respuesta ARP) colocando en la direccin MAC faltante la propia,
pero ya no por medio de broadcast sino dirigida al ETD que gener la solicitud ARP, pues
poseer todos los datos necesarios. Al llegar a destino se completa toda la informacin
necesaria para iniciar la transferencia de informacin, y se incluir esta nueva asociacin MAC-
IP en la cach ARP.
Un caso obvio es cuando el ETD no pertenece a la propia red, por lo cual jams ser alcanzado
por un broadcast de nivel 2 (pues un router lo filtrara). En esta situacin, el router que s
escucha el broadcast (o puntualmente la solicitud ARP dirigida a l) reconoce que no se trata de
una direccin de la red propia, y opera en forma similar a un ETD pero a travs de tablas
llamadas cach PROXY ARP, en las cuales mantiene asociaciones MAC-IP por cada puerto que
posea, si en esta no se encuentra la direccin MAC buscada, generar un nuevo formato ARP por
la puerta hacia la cual identifique la red IP correspondiente (este ltimo paso puede variar acorde
al tipo de protocolo que emplee el router), esto se repetir a lo largo de toda una cadena de router
hasta identificar la red IP correspondiente a la direccin buscada, donde se generar un broadcast
que s encontrar a la direccin IP deseada, la cual responder la solicitud ARP, y por el camino
inverso, y en forma dirigida llegarn la direccin MAC solicitada a destino, completando de esta
forma las cuatro direcciones necesarias.
La ltima de las posibilidades existentes ocurre cuando un ETD no conoce su propia direccin
IP, circunstancia que puede presentarse cuando bootea un ETD y solicita una asignacin
dinmica de direccin IP o tambin al inicializar un ETD que no poseen disco rgido. Ante este
tipo de sucesos existe el Protocolo R_ARP (Reverse) (RFC 903), el cual genera un mensaje con
formato semejante al ARP pero sin contener tampoco su propia direccin IP, la condicin
imprescindible para este protocolo es la existencia de un servidor R_ARP el cual recibir este
mensaje, resolviendo el direccionamiento IP del ETD que lo requiera. Los pasos de este
protocolo son anlogos a los del ARP. En el encabezado Ethernet, el campo identificador de
protocolo de capa superior (SAP) llevar el valor 8035h que identifica R_ARP.
4.3.3. Formato del encabezado ARP.
Tipo de Hardware
Tipo de protocolo
Longitud de direcciones de Hardware
Longitud de direcciones de Protocolo
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 107 [Link]
Cdigo de operacin
Direccin de Hardware del transmisor
Direccin IP del transmisor
Direccin de Hardware de receptor
Direccin IP de receptor
Tipo de hardware: (16), interfaz de hardware empleado (Valor 1 para Ethernet).
Tipo de protocolo: (16), identificador del protocolo que se emplea (Valor 0800 para
IP).
Longitud de direccin de Hardware y Protocolo: (8), limitan los campos posteriores a
la cantidad de octetos que emplee cada uno de ellos.
Cdigo de operacin: (16), (opcode), slo se encuentran definidos 2 tipos, 1 =
Solicitud, 2 = Respuesta (En realidad tambin estn definidos 3 y 4 pero son para
solicitud y respuesta de RARP) .
Direcciones: (48) (32), especifican el tipo necesario para ser resuelto por ARP.
4.3.4. Ataque ARP.
Este ataque tiene sentido nicamente en redes LAN (no debe olvidarse que el 80% de los
ataques suceden en este entorno), se trata de una actividad verdaderamente peligrosa, pues
redirecciona el trfico hacia el equipo deseado. La lgica de su implementacin es la siguiente:
Se debe escuchar el trfico ARP.
Al detectar una solicitud ARP, se espera la respuesta correspondiente.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 108 [Link]
Se capturan ambas.
Se modifica el campo direccin MAC de la respuesta, colocando la direccin MAC
de la mquina que desea recibir el trfico IP, falsificando la verdadera MAC de la
respuesta.
Se emite la respuesta ARP falsa y ya est.
Qu se logra con esto?
Si se supone que la solicitud ARP la emiti el host A y la respuesta ARP la emiti el host
B, el resultado de estos mensajes es que el host A, al recibir la respuesta de B, almacena en
su memoria cach ARP la dupla IP(B)-MAC(B). Si a continuacin de este dilogo, el host
A recibe otra respuesta ARP que le asocia la IP(B) con una nueva MAC, supngase MAC
(X), el host A, automticamente sobreescribir su memoria cach ARP con la nueva
informacin recibida: IP(B)-MAC(X). A partir de este momento cada vez que emita
informacin hacia la direccin IP del host A, la direccin MAC que colocar ser la
MAC(X), ante lo cual, el nivel Ethernet del host A descartar esa informacin, la cual s ser
procesada por el protocolo Ethernet del host X, el cual por ser el intruso sabr cmo
procesarlo.
La totalidad de este ataque es conocido com man in the middle - ataque del hombre del
medio, pues en definitiva el objetivo de mxima es poder reencaminar todo este flujo de
informacin a travs del host que fragu la MAC para poder operar sobre las tramas que
pasan por l.
El comando arp:
Muestra y modifica las tablas de conversin de direcciones IP en direcciones fsicas que
utiliza el protocolo ARP.
4.4. Telefona Mvil.
Para cerrar el nivel de enlace, quisimos incluir aqu un breve resumen de los aspectos bsicos
relacionados a esta posibilidad de acceso a redes IP a travs de la telefona mvil centrando nuestra
atencin en la visin que se tiene respecto a la seguridad en las mismas.
La posibilidad de acceso a redes de datos desde un telfono mvil surge a partir del momento de
la puesta en marcha de este servicio de telefona. Al principio con las redes GSM (Global System
for Mobile Communications, u originariamente: Groupe Special Mobile), el acceso era
exactamente igual que el de cualquier telfono fijo, es decir a travs de un modem analgico con
una limitada velocidad, por esta razn es que nos centraremos en los servicios de telefona mvil
que fueron pensados no para redes analgicas, sino digitales y con la oferta de conmutacin de
paquetes, de los cuales el primero fue GPRS (General Packet Radio System), y luego UMTS
(Universal Mobile Telecommunications System). La lgica de esta conexin, se inicia cuando un
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 109 [Link]
dispositivo desea realizar una comunicacin de datos sobre la red GPRS (es decir se conecta a
travs de un modem de datos digital). Esta comunicacin, a diferencia de la de voz, se establece
con un primer nodo de la red telefnica que se denomina GGSN (Gateway GPRS Support Node),
entre ambos se inicia el establecimiento de una relacin denominada PDP (Packet Data Protocol),
que de tener xito finaliza con la creacin de un Contexto PDP bajo el cual ya se establecieron
todos los parmetros de seguridad y direccionamiento para que ese mvil pueda navegar por la red.
No merece la pena entrar en ms detalles al respecto, tampoco profundizar sobre el dilogo PPP o
L2PP o el protocolo IP para Mviles (MIP), etc.
Hemos preferido en el presente texto centrar la atencin en GPRS, por apreciarse como la
tecnologa que abarca la mayor parte de los conceptos a desarrollar, es decir:
Si se analiza GSM, la visin es exactamente igual, pero sin la presencia de los
SGSN (Serving GPRS Support Node) y GGSN.
Si se analiza UMTS, la visin es exactamente igual, pero vara la interfaz radio.
Pero lo fundamental es que desde el enfoque de GPRS se pueden desarrollar conceptos que
aglutinan el mayor porcentaje de aspectos a considerar.
4.4.1. Presentacin.
En la figura atnterior, existen cinco reas en las cuales la seguridad del sistema GPRS se
encuentra expuesto:
a. Seguridad relacionada al MS (Mobile Station) y a la SIM Card (Subscriber Identity
Module - mdulo de identificacin del suscriptor).
b. Mecanismos de seguridad entre MS y SGSN (Incluyendo tambin el radioenlace).
c. Seguridad en el Backbone PLMNs (Public Land Mobile Network), principalmente el
trfico entre SGSN y GGSN (tambin incluye el flujo entre abonado, HLR {Home
Location Register} y SGSN).
d. Seguridad entre diferentes operadores.
e. Seguridad entre GGSN y las redes externas conectadas (Ej: Internet).
Desarrollo de las mismas:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 110 [Link]
a. Terminal y SIM Card:
La SIM Card contiene la identificacin del abonado. Cuando es insertada en el ME
(Mobile Equipment), ambos pasan a conformar una MS. La principal funcin de la
SIM es trabajar en conjunto con la red GPRS para autenticar al abonado, antes que este
obtenga acceso a la red. La SIM esta compuesta por:
- IMSI (International Mobile Suscriber Information): Es un idenmtificador nico que
consiste en tres dgitos Mobile Country Code (MCC), dos dgitos de Mobile
Network Code (MNC) y 10 dgitos de Mobile Suscriber Identity Number (MSIN),
es decir 15 dgitos en total.
- Ki: Es una clave de autenticacin individual de abonado de 128 bits.
- Algoritmo generador de la clave de cifrado (A8): Este algoritmo emplea los 128
bits de Ki junto con un nmero Random, para generar una clave de 64 bits llamada
GSRS-Kc.
- Algoritmo de autenticacin (A3): Este algoritmo permite a una determinada
identificacin de abonado, autenticarse en la red GPRS. Este algoritmo debe
responder a un desafo generado por la red, haciendo uso de la Ki.
- PIN (Personal Identification Number): Es una condicin de acceso al MS.
El ME posee el algoritmo GPRS A5 (instalado en el mismo) (Actualmente, este
algoritmo puede residir en el ME o en el TE). Este algoritmo es empleado para cifrar
datos y sealizacin durante la transferencia de datos. La seguridad del equipo confa
en la integridad del IMEI (International Mobile Equipment Identity), que es un cdigo
de 14 dgitos decimales compuestos por 3 elementos:
- TAC (Type Aproval Code): 6 dgitos.
- FAC (Final Assembly Code): 2 dgitos.
- SNR (Serial Number): 6 dgitos.
El IMEI es almacenado en los terminales durante su fabricacin, y el principal
objetivo es poder tomar medidas contra equipos robados o en desuso.
Cada EIR posee tres listas con la totalidad de lo IMEI (Lista blanca, girs y negra).
b. Mecanismos de seguridad entre MS y SGSN (Incluyendo tambin el radioenlace):
Para proteger la confidencialidad de la Identidad del usuario, el IMSI nunca viajar como
texto plano y normalmente ningn mensaje de sealizacin se enva sin cifrar (Se emplear el
algoritmo A5-GPRS).
Para identificar un abonado mvil sobre el enlace de radio, se crea un TLLI (Temporary
Logical Link Identity), este valor guarda relacin con el IMSI y es guardado en el SGSN, y si
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 111 [Link]
se hace presente un MS cuyo TLLI no se encuentre en esta base de datos, se solicitar a la
MS que se identifique para poder acceder a la red.
c. Seguridad en el Backbone PLMNs, principalmente el trfico entre SGSN y GGSN
(tambin incluye el flujo entre abonado, HLR y SGSN).
El operador es el responsable de la seguridad de su propio Intra PLMN backbone, el cual
incluye todos los elementos de red y las conexiones fsicas. Deber prevenir el acceso no
autorizado al mismo.
El protocolo GTP (GPRS Tunneling Protocol) es el empleado entre nodos GSNs, a travs
del mismo puede ser tunelizado toda clase de protocolos (DNS, NTP, FTP, etc), este
protocolo no cifra su payload.
d. Seguridad entre diferentes operadores.
La principal razn de intraoperabilidad entre operadores es el Roaming.
e. Seguridad entre GGSN y las redes externas conectadas (Ej: Internet y/o Red Corporativa).
La interfase entre estos es Gi. Al conectarse a la red un MS, se le asigna una direccin IP
(esttica o dinmica). Una MS puede operar en modo transparente o no:
En modo transparente: el MS no necesita enviar ninguna autenticacin y el GGSN no
necesita participar en el proceso desautenticacin ni control de acceso a esta MS.
En modo no transparente: se emplea algn servidor de autenticacin, generalmente
RADIUS.
Cualquier protocolo de seguridad que desee ser empleado aqu se hace sobre IP (Ej: IPSec) y
no existe un protocolo especfico de seguridad entre GGSN y la Intranet o Internet. Se puede
apreciar en la siguiente grfica como es el modelo de capas en cada interfase.
4.4.2. Distintos tipos de ataques que pueden llevarse a cabo en GPRS.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 112 [Link]
a. Terminal y SIM Card:
Integridad de datos: Al igual que cualquier PC conectada a Internet, estos elementos
pueden sufrir los mismo tipos de ataques (Virus, troyanos, etc).
Robo de los mismos.
Escucha, spoof o manipulacin de datos de estos dispositivos.
Prdida de la confidencialidad de datos de usuario y autenticacin del mismo.
Clonacin de SIM Card (Este hecho ya fue detectado).
b. Interfase entre MS y SGSN:
Acceso no autorizado a datos: En el enlace areo, cualquier intruso puede escuchar
el trfico y pasivamente ir determinando tasa de transferencia, direcciones,
longitudes, tiempos, etc, y luego activamente tratar de generar trfico viendo qu
sucede, tratando de iniciar conexiones.
La integridad de los datos puede ser manipulada en esta interfase.
Los ataques de negacin de servicio son los ms fciles en esta interfase.
El acceso no autorizado a servicios puede ser llevado a cabo falsificando la conexin
de un usuario.
c. Backbone GPRS:
En esta zona se pueden generar los mismos ataques que entre MS y SGSN y se suma
adems la posibilidad de intrusiones desde otros PLMNs.
d. Interoperabilidad entre redes GPRS:
La seguridad entre distintos operadores depender del grado de confiabilidad que tenga
cada uno de ellos. El punto de especial inters en estos momentos est dado por la
competencia que existe entre los operadores actuales por la Captacin de abonados, es
decir que se compite por Un mismo abonado, por lo tanto no es descabellado pensar
que un determinado operador ataque a otro, para lograr que el abonado cambie su
suscripcin. Un claro ejemplo sera DoS, sobrefacturacin, cortes de conexin, etc.
e. Interoperabilidad de GPRS PLMN y PDN: Este es el punto de especial inters, pues se
trata de la interfase entre GPRS y las redes corporativas o Internet, desde las cuales
puede provenir cualquier tipo de ataques.
4.4.3. Seguridad desde el punto de vista de interfaces.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 113 [Link]
a. Gp: Es la conexin lgica entre PLMNs que son usadas para soportar usuarios mviles de
datos. Se emplea GTP para establecer una conexin entre un local SGSN y el usuario
GGSN.
Generalmente el operador debe permitir el siguiente trfico:
1) GTP: entre SGSN y el GGSN de los Roaming partners.
2) BGP: Informacin de ruteo entre GRX (GPRS Roaming Exchange) y/o Roaming
partners.
3) DNS: Resolucin para un abonado de un APN (Access Point Name).
ATAQUES TPICOS EN Gp:
Disponibilidad (DoS):
1) Border Gateway Bandwith Saturation (Saturacin de Ancho de banda en
Gateway de frontera): Un operador malicioso que est conectado al mismo GRX
(aunque no sea actualmente roaming partner), puede estar en capacidad de
generar suficiente trfico legtimo dirigido al Gateway de frontera, como para
negar el acceso roaming al mismo.
2) DNS Flood: Los servidores DNS de la red pueden ser inundados con correctas o
malformadas peticiones DNS u otro trfico, negando a los abonados el acceso a
su propio GGSN.
3) GTP Flood: SGSN y GGSN pueden ser inundados con trfico GTP, ocasionando
alto empleo de sus ciclos de CPU procesando datos intiles.
4) Spoofed GTP PDP Context Delete: Un atacante que cuente con la informacin
adecuada, puede armar mensajes con GTP PDP Context Delete, con los cuales
borra los tneles entre SGSN y GGSN para un abonado determinado. Esta
informacin puede ser obtenida a travs de otros tipos de ataques a la red.
5) Bad BGP Routing Information: Un atacante que obtenga cierto control sobre los
routers GRX o pueda inyectar informacin en las tablas de rutas, puede causar
que el operador pierda rutas para roaming partners, negando el acceso a roaming.
6) DNS cach poisoning: Es posible engaar un DNS para que un usuario de un
determinado APN (Access Point Name), resuelva un incorrecto GGSN o
ninguno.
Autenticacin y autorizacin:
1) Spoofed Create PDP Context Request: GTP no provee autenticacin para los
SGSN y GGSN en s, esto significa que dada la informacin adecuada de un
usuario, un atacante con acceso al GRX, otro operador o un usuario interno
podra crear su propio SGSN y realizar un tunel GTP al GGSN del abonado,
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 114 [Link]
falsificando la identidad del abonado, permitiendo con esto acceso ilegtimo a
Internet o la red corporativa.
2) Spoofed Update PDP Context Request: Un atacante puede emplear supropio
SGSN o comprometer alguno, para enviar una Update PDP Context Request a un
SGSN que controle una sesin GTP, en esta situacin, luego podra insertar su
propio SGSN en la sesin GTP y obtener datos del abonado.
Integridad y confidencialidad:
Hay un informe (3GPP TS 09.60 V6.9.0) que expresa claramente que si un
atacante tiene acceso a GGSN o SGSN (como un empleado de la empresa o un
intruso que ha conseguido acceso a GRX) puede capturar todos los datos del
abonado, pues la TPDU en GTP no va cifrada.
SOLUCIONES EN Gp:
El punto ms importante en Gp es la debilidad de GTP, por lo tanto, empleando IPSec entre
Roaming partners y limitando las tasas de trfico, la mayora de los riesgos se eliminaran.
Se debe tener en cuenta aqu lo mencionado en pginas anteriores sobre interoperabilidad
entre redes GPRS.
Las medidas especficas son:
1) Filtrado de paquetes entrantes y salientes para prevenir que el propio PLMN sea
empleado para atacar otros Roaming partners.
2) Filtrado de paquetes GTP con control de estados, para permitir que slo el trfico
requerido y desde las fuentes y destinos adecuados de los Roaming partners. Con esto se
evita que desde otros PLMNs conectados al mismo GRX puedan iniciar algn tipo de
ataque. El control de estados en GTP es crtico para proteger los GSNs
3) GTP traffic Shaping: Para prevenir que el ancho de banda sea empleado por terceros y
que no se empleen recursos de procesador de los GSNs con malos fines, debera
restringirse la tasa de trfico GTP. Se podra limitar tambin la tasa de transferencia en
los niveles 3 y 4 entre GTP, BGP y DNS.
4) Implementar tneles IPSec con Roaming partners.
b. Gi: Es la Interface entre GGSN y la red de paquetes (de la Empresa o Internet). Es la
interface ms expuesta.
Este trfico, puede provenir de un MS hacia la red de paquetes o viceversa, por lo tanto
puede tratarse de cualqueir tipo de trfico generado o recibido por una aplicacin cliente.
ATAQUES TPICOS EN Gi:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 115 [Link]
Disponibilidad:
1) Gi Bandwith saturation: Se trata aqu de inundar el enlace desde la PDN hasta el
operador mvil.
2) Flooding a MS: Si un trfico es dirigido a una IP puntual de un MS, como el
ancho de banda de Internet suele ser muy superior al de GPRS, resulta muy fcil
inundar el enlace de acceso a red.
Confidencialidad:
No existe proteccin de datos desde la MS al PDN o red corporativa.
Integridad:
Los datos pueden ser modificados a menos que se emplee seguridad en los niveles
superiores.
Autenticacin y Autorizacin:
A menos que tneles de nivel 2 y/o 3 sean empleados entre el GGSN y la red
corporativa, puede ser posible a una MS acceder a la red corporativa de otro cliente. No
se puede implementar autenticacin nicamente a travs de direcciones fuente, pues esta
es fcilmente enmascarada (IP spoof).
Existen numerosos ataques que pueden ser posibles dependiendo de las aplicaciones
empleadas por el abonado (virus, troyanos, etc).
Otros:
Ya existen artculos acerca de vulnerabilidades en GPRS que permiten el uso del canal
sin pagar, generando una alta tasa de trfico.
SOLUCIONES EN Gi:
1) Tneles lgicos desde GGSN a las redes corporativas. No debera ser posible enrutar
trfico desde Internet a la red corporativa, o entre redes corporativas entre s. La
implementacin ideal aqu son los tneles de nivel 2 y 3. Si la conexin a la red
corporativa es va Internet, se debe usar IPSec.
2) Limitar tasas de trfico. Sobre conexiones a Internet, priorizar el trfico IPSec desde las
redes corporativas. Esto evitar que cualquier ataque desde Internet deje fuera de
servicio el trfico corporativo. Se puede considerar tambin emplear interfaces fsicas
separadas.
3) Inspeccin de control de estados de paquetes: Considerar la posibilidad que nicamente
se inicien las conexiones desde las MS hacia Internet y controlar las mismas. De no ser
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 116 [Link]
posible, considerar dos tipos de servicios: uno en el cual se aplique lo mencionado y otro
en el cual las conexiones puedan ser iniciadas desde Internet hacia las MS.
4) Filtrado de paquetes entrantes y salientes: prevenir la posibilidad de spoof IP con las
direcciones IP asignadas a las MS.
c. Gn: Conexin lgica entre SGSN y GGSN, si es el mismo operador de PLMN (Public Land
Mobile Network).
Las vulnerabilidades presentes en esta interface, pasan por usuarios de la misma
operadora.
d. Interfaz entre MS y SGSN:
Se trataron en puntos anteriores.
Un punto de especial inters es que el MS est Always On, lo que hace ms probable su
alcance para uso indebido. Tambin hace ms atractivo el servicio MobileMail.
e. Ataques presentados en artculos publicados en Internet:
Ataques basura: Aprovechando un puerto externo usado por NAT para una determinada
conexin, se genera trfico hacia el mismo no necesariamente vlido y/o ilegtimo,
inundando el dispositivo que haca uso real del mismo. Se prob esta tecnica sobre
UDP y TCP con iguales resultados.
Ataques a NAT con puertos aleatorios: EL dispositivo NAT puede enviar o no
respuestas que permitan identificar cules son los puertos que asigna a su red. En
cualqueir caso, si el puerto est abierto, el trfico pasa adentro de la red GPRS.
Denial of Service Reset: Se verific que es posible cortar conexiones de usuario por
envos de TCP Reset si se conocen los nmeros de secuencia.
Se plantea la posibilidad de instalar un falso servidor web en Internet y con una MS
conectada a la red GPRS, pero haciendo IP Spoofing, realizar la conexin hacia el
servidor. Una vez que la conexin se ha establecido, sera posible realizar ataques desde
adentro como si el FW y el NAT no existieran.
4.4.4. Elementos vulnerables.
Dispositivos mviles programables desprotegidos.
Los dispositivos de red son (tericamente) alcanzables por los clientes y potencialmente desde
Internet.
Particular atencin se debe prestar sobre la administracin de claves, tanto en el
almacenamiento como en el transporte de las mismas.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 117 [Link]
4.4.5. Autenticacin GPRS:
a. Cuando la MS conecta, enva una solicitud de autenticacin al SGSN, ste obtiene una
autenticacin de abonado desde HLR (Home Location Register) y AuC (Authentication
Center), los cuales generan un Tiplets compuesto por: Random Number (RAND)
Signed Responsed (SRES) - Encryption Key GPRS-Kc (de 64 bits).
b. SGSN selecciona un nmero Random y lo enva a MS.
c. Tanto MS como SGSN cifran el nmero Random con el algoritmto A5 (IMSI nunca es
enviado en texto plano), pero emplean los algoritmos A3 y A8 para autenticacin.
d. SGSN valida el valor retornado y la sesin de datos es autenticada.
e. SGSN tambin consulta a EIR para ver si el dispositivo ha sido hotlisted
4.4.6. Criptografa en GPRS.
Interfaz radio:
a. MS y SGSN cifran empleando GEA (GPRS Encryption Algorithm): existen 7 de estos
algoritmos, de los cuales ETSI ya defini 2, GAE1 y GEA2).
b. Se genera una nueva clave para cada sesin.
c. Permite peridicamente re-autenticacin y nueva clave derivada.
Network: Crea VPN usando IPSec (Problemas con tneles empleando NAT).
4.4.7. Conclusiones GPRS
En el presente texto, se intent simplemente dar una visin general de la telefona mvil y las
investigaciones realizadas sobre su seguridad. Sin entrar en mayores detalles, los aspectos sobre
los cuales se trabaja sobre la seguridad en una red de telefona mvil son:
Control del empleo de algoritmos de autenticacin, generacin de claves y criptografa.
Control del empleo de las bases de datos en EIR y HLR.
Verificaciones peridicas sobre el control de elementos perdidos, denunciados, rotos, o
fuera de circulacin.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 118 [Link]
Anlsis de trfico en la interfaz radio.
Bastionado de equipos.
Segmentacin estricta de redes (Autenticacin, trnsito propio, facturacin, roaming,
DNSs, usuario particular y corporativo).
Verificacin de empleo de Proxies (en especial con GSM).
Control de flujos de informacin.
Empleo de ACLs.
Empleo de tneles (GRE, IPSec, GTP, etc.).
Control de reglas en Firewalls.
Anlisis de creacin de contextos.
Control de accesos.
Empleo de trfico no tunelizado.
Control del trfico de Roaming.
Control del trfico propio entre distintos emplazamientos a travs de Gn.
Auditoras de sistemas.
Encapsulamientos en cambios de protocolos.
Empleo de Sistemas de deteccin de intrusiones.
Empleo de scaner de vulnerabilidades.
Empleo de herramientas de cuantificacin de bastionado de equipos.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 119 [Link]
EJERCICIOS DEL CAPTULO 4 (Nivel de enlace)
A nivel enlace vamos a comenzar a trabajar con ejercicios de anlisis de trfico.
1. Para poder verificar la teora con la prctica, nos interesa ser capaces de detectar trfico
Unicast, Multicast y Broadcast a nivel dos, es decir poder analizar el esquema de
direccionamiento MAC y comprender bien sus 6 octetos presentados en forma hexadecimal,
teniendo en cuenta los dos bits menos significativos del primer octeto, tal cual se explic en la
teora. Para ello lanzaremos el analizador de protocolos (Ethereal o Wireshark) mientras
navegamos por Internet o abrimos algn archivo compartido en otra mquina o enviamos un
correo, etc. Y deberemos ser capaces de capturar los tres tipos de tramas que se presentan a
continuacin. El ejercicio consiste en evaluar lo que se explica en cada trama y compararlo
con vuestras capturas.
Trama Unicast: Prestad atencin a los bits menos significativos del primer octeto de la
direccin destino, los mismos se encuentran con valor 0 por ser Unicast. Se puede ver
claramente que los 6 octetos de la direccin origen y destino son pares de valores
hexadecimales y se corresponden a lo mencionado en la teora como el formato EUI-48.
Fijaros que, como el analizador de protocolos tiene dentro de sus libreras el listado de todos
los fabricantes en esa fecha, inmediatamente puedo identificar los 3 primeros octetos de la
direccin destino ([Link]) y nos la presenta como Microsoft, luego esta sera la tarjeta
Nro: [Link] que fabric esta empresa, esto lo vimos como: OUI (Organizationally Unique
Identifier) o company_id.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 120 [Link]
Trama Multicast: En esta trama, prestad atencin al empleo del primer bit menos
significativo del primer octeto con valor .... ...1, esto lo vimos como: Grupal (Valor = 1),
forma parte de un conjunto de direcciones MAC. En este caso, el conjunto de direcciones es
un mensaje dirigido a un grupo de Router (lo veremos ms adelante). Como detalle
interesante para observar, es que la direccin IP destino (nivel de red) es [Link] lo que
identifica un Multicast tambin a nivel de red (nivel 3), y fijaros cmo este mismo valor se
copia en los tres ltimos octetos de la direccin MAC destino ([Link])........ Qu raro
no?.... por qu ser?.............. es un tema que lo trataremos con detalle al llegar al nivel 3,
pero nos pareci importante que prestis atencin a estos pequeos detalles desde el
principio.
Trama Broadcast: Estas tramas como podis apreciar, se identifican claramente por su
direccin destino: [Link]. El valor ff en hexadecimal, se corresponde con: 1111
1111 en binario y con: 255 en decimal, y ser una constante en los esquemas de
direccionamiento Broadcast. En esta trama lo que debis notar es cmo ahora los dos bits
menos significativos del primer octeto estn puestos en 1, pues ahora, continuando con
nuestra teora: el primero de ellos identifica: Grupal (Valor = 1), forma parte de un
conjunto de direcciones MAC, y el segundo: Local (valor = 1) tiene significado solamente
en el mbito local.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 121 [Link]
2. En este segundo ejercicio, continuando con el analizador de protocolos, os proponemos que
lancis capturas para poder identificar la diferencia entre tramas 802.3 y Ethernet. Para poder
obtener tramas 802.3 uno de los mejores mtodos es estar conectado a redes que soporten
protocolos que no respeten estrictamente el modelo OSI y por lo tanto entrar en juego el
mencionado grupo 802 de IEEE tal cual hemos dicho en la teora, subdividiendo el nivel 2 en
dos subniveles (MAC y LLC). Los dos protocolos ms fciles de hallar de esta pila son
NetBios (de Microsoft) e IPX/SPX (de Novell), as que si tenemos acceso a alguna de estas
redes pues slo se trata de sentarse a escuchar.
El ejercicio consiste en evaluar lo que se explica en cada trama y compararlo con vuestras
capturas.
Trama Ethernet: En este caso, se trata de una trama Broadcast, y podemos ver claramente
que luego de los 12 octetos de direccionamiento, se ven los 2 octetos Type (o Ethertype
como lo llamamos en la teora), se trata del protocolo al que entregar su carga de datos de
nivel superior, en este caso es ARP que ya lo hemos tratado y su valor en hexadecimal es
08 06 ocupando los dos octetos de ese campo.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 122 [Link]
Trama 802.3: Centrndonos ahora nuevamente a continuacin de los 12 octetos de
direccionamiento, podemos ver que el campo ahora es Lenght y su valor es 43. Como se
trata de una trama 802.3, no necesita aclarar qu protocolo tiene en su capa superior, pues
justamente IEEE subdividi este nivel e inexorablemente por arriba del subnivel MAC estar
LLC, tal cual lo podemos ver en esta captura.
3. El conocido comando ping (que ms adelante analizaremos con detalle), nos sirve
inicialmente, para probar si se llega o no a una determinada direccin IP. Si bien este tema no
se corresponde con este captulo, por lo conocido que es este comando lo emplearemos de
forma sencilla para analizar el comportamiento de Ethernet.
Vamos a hacer diferentes pruebas desde Linux y desde Windows.
3.1. Primero hagamos un aprueba desde Linux. Este Sistema Operativo nos ofrece la opcin
-s para definir un tamao de datos a enviar. En el ejemplo que sigue se ejecut el
comando: ping s 0 [Link] (Desde la direccin IP:[Link]), este ping se
realiza desde una mquina Linux a una Windows XP, y en la imagen se muestra su
respuesta (Reply).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 123 [Link]
Pero el tamao mnimo de una trama Ethernet no era 64 Byte?????..... Por qu
entonces se ve con total claridad en la primera lnea que esta trama tiene 42 bytes sobre el
cable?.............................
Fijaros como estamos comenzando a apreciar anomalas entre lo que la teora nos dice y
en la prctica sucede. Cada una de estas anomalas, omisiones, errores o zonas grises
donde se desfasa la teora y la realidad es por donde empiezan los problemas de seguridad, a
travs de estos pequeos sucesos se comienzan a abrir brechas que cuando se descubre su
aplicacin (para el lado malo) aparecen las dificultades. Aqu estamos viendo
concretamente una de ellas.
3.2. Podemos ahora realizar la misma prueba desde Windows, la opcin ahora ser -l (letra
ele). En el ejemplo que sigue se ejecut el comando: ping l 0 [Link] (Desde la
direccin IP:[Link]), este ping se realiza desde una mquina Windows XP a una
Linux, y en la imagen se muestra su Solicitud (Request).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 124 [Link]
Como podemos apreciar, el resultado es el mismo, una vez ms se est violando la
especificacin de tamao mnimo de trama 64 Bytes.
3.3. Una prueba interesante ahora podra ser evaluar el rendimiento de una red Ethernet ante
un alto volumen de ping. Lo que proponemos es que si dispones de dos mquinas en la
misma LAN, pruebes de hacer diferentes secuencias de ping ininterrumpidos (Opcin -t
para Windows y por defecto en Linux). A continuacin presentamos algunos ejemplos:
C:>ping -t -l 0 [Link]
Haciendo ping a [Link] con 0 bytes de datos:
Respuesta desde [Link]: bytes=0 tiempo=1ms TTL=64
Respuesta desde [Link]: bytes=0 tiempo<1m TTL=64
Respuesta desde [Link]: bytes=0 tiempo<1m TTL=64
Ej. Anterior: Ping con cero Byte de datos: tiempo de respuesta menor a 1 milisegundo.
C:>ping -t -l 1500 [Link]
Haciendo ping a [Link] con 1500 bytes de datos:
Respuesta desde [Link]: bytes=1500 tiempo=16ms TTL=64
Respuesta desde [Link]: bytes=1500 tiempo=16ms TTL=64
Respuesta desde [Link]: bytes=1500 tiempo=9ms TTL=64
Ej. Anterior: Ping con 1.500 Bytes de datos: tiempo de respuesta 16 ms.
C:>ping -t -l 65000 [Link]
Haciendo ping a [Link] con 65000 bytes de datos:
Respuesta desde [Link]: bytes=65000 tiempo=186ms TTL=64
Respuesta desde [Link]: bytes=65000 tiempo=168ms TTL=64
Respuesta desde [Link]: bytes=65000 tiempo=198ms TTL=64
A partir de este momento (sin interrumpir este ping), otra mquina comenz a
generar tambin ping, fijaros el aumento en el tiempo de respuesta de las tramas
siguientes.
Respuesta desde [Link]: bytes=65000 tiempo=771ms TTL=64
Respuesta desde [Link]: bytes=65000 tiempo=746ms TTL=64
Respuesta desde [Link]: bytes=65000 tiempo=806ms TTL=64
Ej. Anterior: Ping con 65.000 Byte de datos: tiempo considerable.
El comando ping ofrece muchsimas ms opciones que las veremos cuando analicemos ms
en detalle el mismo, por ahora slo hemos querido presentarlo para evaluar aspectos de Ethernet.
4. los comandos para verificar y configurar la interfaz (o tarjeta) de red, son:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 125 [Link]
ipconfig (para Windows): para ver todas sus opciones, se debe ejecutar ipconfig /?
ifconfig (Para Linux): para ver todas sus opciones, se debe ejecutar man ifconfig
Practica con ambos, prueba las diferentes opciones.
5. El comando ifconfig en Linux, posee una capacidad muy til y a su vez peligrosa, la opcin
hw. La misma permite modificar su direccin MAC. En Windows tambin puede hacerse
desde Conexiones de Red Propiedades (De la tarjeta que vaya a modificar)
Configurar Opciones Avanzadas, y all colocar el valor que deseemos en la opcin
Network address (los seis pares de nmeros hexadecimales sin separacin).
En este ejemplo lo haremos desde Linux. Para ello primero es necesario desactivar
(comnmente llamado tirar abajo) la interfaz de red, luego ejecutar el comando y
nuevamente levantarla. Antes de hacer cualquiera de esta acciones te aconsejamos que
consultes los 6 octetos de tu direccin MAC y los guardes en un archivo, papel o lo que fuera,
pero haz lo posible por no perderlo, pues luego sino tendrs inconvenientes para restituirlos.
La secuencia de comandos sera:
ifconfig eth2 down
ifconfig eth2 hw ether [Link] (o cualquier secuencia)
ifconfig eth2 up
A partir de este momento tu MAC es la que acabas de configurar, haz hecho un MAC
spoofing.
6. Antes de avanzar un poco ms ejercitemos un poco con nuestra tabla arp, para visualizar las
conexiones que ya ha reconocido, puedes hacerlo con el comando arp a y vers algo como
lo que mostramos a continuacin:
C:\>arp -a
Interfaz: [Link] --- 0x3
Direccin IP Direccin fsica Tipo
[Link] 00-1d-20-0e-5d-df dinmico
[Link] 00-1d-21-3-e1-c2 dinmico
[Link] 00-22-43-02-50-e6 dinmico
Ests viendo los datos almacenados en una Cach arp, en la cual presenta guardados la
relacin entre 3 direcciones IP y 3 direcciones MAC. Te proponemos que investigues las
diferentes opciones que ofrece este comando, en particular que pruebes declarar direcciones
estticas, que verifiques cmo hacerlo para que continen almacenadas al reiniciar el equipo, etc.
7. Ahora que hemos ejercitado algo de ifconfig y arp, veamos cmo es la base de un
ataque ARP
Como se explic en la teora, este ataque debe lograr infectar la tabla cach ARP de un host
para que en la misma se pueda asociar una IP verdadera con una MAC falsa. En la parte
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 126 [Link]
Herramientas de estos ejercicios lo vers con ms detalle, aqu nicamente queremos que
verifiques cmo es la lgica de este ataque y que hasta te convenzas que podras hacerlo tu
mismo con el slo empleo de comando nativos de Linux y nada ms.
Tenemos dos ETD:
ETD A: Windows XP - Direccin IP [Link]
ETD B: Linux - Direccin IP [Link]
Si ejecuto ifconfig eth2 en el ETD A (Linux), me presenta la siguiente informacin
(Se remarca en negrita los datos de especial inters):
eth2
Link encap:Ethernet direccinHW [Link]
inet direccin:[Link] Difusin:[Link] Mscara:[Link]
ARRIBA DIFUSIN MULTICAST MTU:1500 Mtrica:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
colisiones:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupcin:220 Direccin base: 0x4000
Desde este ETD A (Linux) ejecutamos: ping [Link]
Respuesta desde [Link]: bytes=0 tiempo=1ms TTL=64
Respuesta desde [Link]: bytes=0 tiempo<1m TTL=64
Detenemos el ping con [Ctrl] + C
Ejecutamos arp a en el ETD B (Windows)
Direccin IP Direccin fsica Tipo
[Link] 00-1d-20-0e-5d-df dinmico
[Link] [Link] dinmico (Podemos apreciar que la MAC es la
original del ETD A (Linux)
Volvemos a nuestro ETD A (Linux) y ejecutamos la siguiente secuencia de comandos:
ifconfig eth2 down
ifconfig eth2 hw ether [Link]
ifconfig eth2 up
Ahora desde este mismo ETD A (Linux), repetimos el ping anterior: ping
[Link]
Respuesta desde [Link]: bytes=0 tiempo=1ms TTL=64
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 127 [Link]
Respuesta desde [Link]: bytes=0 tiempo<1m TTL=64
Detenemos el ping con [Ctrl] + C
Si desde el ETD B (Windows)volvemos a ejecutar arp a
Direccin IP Direccin fsica Tipo
[Link] 00-1d-20-0e-5d-df dinmico
[Link] [Link] dinmico (Podemos apreciar que la MAC es la
que acabamos de cambiar en el ETD A (Linux)
CONCLUSIN: Acabamos de infectar la cach ARP del ETD B (Windows) con nuestra
falsa MAC, a partir de ahora toda comunicacin que el ETD B haga hacia la IP [Link] lo
har con esta MAC falsa. Pero de qu me sirve?...........
Esto es slo el primer paso para que empieces a ejercitar estos temas, a medida que
profundicemos en ellos irs viendo la luz sobre este ataque, por ahora, te invitamos a que
releas la teora de este ataque, investigues por Internet, reflexiones y ejercites acerca de Qu
sucedera si en vez de mi MAC pusiera la de otra IP real?, Qu sucedera si en vez de un ping
comn y corriente generara algn tipo de trfico con IPs falsas?, Qu sucedera si me dedico a
escuchar trfico con Ethereal y a cada IP que escucho la machaco con una MAC falsa?,
tenemos muchsimas posibilidades y opciones de ejercitar con estos dos comandos: ifconfig y
arp. Te invitamos a que a este ejercicio le dediques su tiempo, y vers que encuentras muy
buenas conclusiones.
8. Anlisis de trfico ARP.
8.1. En estos ejercicios con el protocolo ARP, inicialmente te invitamos a que una vez ms
lances tu analizador de protocolos y puedas verificar la solicitud y respuesta ARP, tal cual
fue expuesta en la teora. Si no has tenido ninguna conexin con otro ETD, sencillamente
puedes hacer ping hacia l y podrs verificar que en el analizador de protocolos se ha
generado un par de tramas con protocolo ARP, deberas capturar algo similar a las
imgenes que te presentamos a continuacin.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 128 [Link]
Presta atencin a que, tal cual est resaltado en rojo, se trata de una Solicitud (Request)
desde una direccin MAC origen, que se corresponde a la IP: [Link], para que le
respondan cul es la MAC de la IP: [Link] (que fue el destino de nuestro ping).
En esta trama vemos la respuesta (Reply) al ARP anterior, y aqu queda claro que ya no
se trata de un Broadcast a nivel MAC, sino de una trama dirigida concretamente a la MAC
destino.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 129 [Link]
8.2. Hemos querido poner en evidencia un hecho que es de suma utilidad para detectar si por
alguna razn existe algo en las asignaciones IP MAC que no cuadra del todo. Esto
puede suceder por varias razones, una de ellas es justamente que alguien
intencionadamente lo est haciendo. Veamos cmo est la cach ARP del ETD B
(Windows), es decir la IP: [Link]:
C:\>arp -a
Interfaz: [Link] --- 0x3
Direccin IP Direccin fsica Tipo
[Link] 00-22-43-02-50-e6 dinmico
Como continuacin del ejercicio anterior, ahora desde este mismo ETD B
(Windows), hemos creado una entrada ARP esttica en su tabla, ejecutando el
siguiente comando:
C:\>arp -s [Link] 00-22-43-02-aa-bb
Fijaros que le estamos ordenando que a la misma IP anterior ([Link]) ahora
le asigne otra MAC. A continuacin podemos verificar su resultado consultando
nuevamente su cach ARP):
C:\>arp -a
Interfaz: [Link] --- 0x3
Direccin IP Direccin fsica Tipo
[Link] 00-22-43-02-aa-bb esttico
Hemos remarcado (en negrita) la nueva MAC que tiene asociada la vieja IP. No
podra ser de otra forma, pues estas cach pisan cualquier asociacin anterior al
recibir una nueva. Si ahora intentamos hacer ping desde este ETD B (Windows)
hacia el otro, por supuesto no nos responder el segundo, pues ese ping est saliendo
directamente (sin previas tramas ARP) hacia una MAC que el otro ETD al recibirla,
directamente la descarta, si siquiera llegar a mirar su direccin de red (IP), pues a nivel
MAC observa que no va dirigida a l. Abajo se presenta el ping con su resultado.
C:\>ping [Link]
Haciendo ping a [Link] con 32 bytes de datos:
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
...........
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 130 [Link]
8.3. La parte ms interesante de este ejercicio ARP es, si ahora lanzramos un ping desde el
segundo ETD A (Linux), hacia el primero ETD B (Windows). En esta situacin la cach
del ETD A (Linux) an mantiene su asociacin verdadera con la IP MAC del ETD B
(Windows), entonces al ejecutar ping hacia este, directamente lo har sin lanzar ninguna
trama ARP, el ETD B (Windows) recibir este ping y le responder, pero hacia la MAC
que encuentra en su cach ARP (la incorrecta) por lo tanto el ETD A (Linux) nuevamente
descartar este trama..... pasado cierto tiempo el ETD A (Linux) notar que algo raro
sucede, pues hasta hace unos segundos esta comunicacin funcionaba y repentinamente
dej de hacerlo, y la lgica lo lleva a generar una solicitud ARP nuevamente, pero esta vez
no lo har con Broadcast sino de forma dirigida hacia la MAC que l tiene en su cach
ARP.
Una solicitud ARP que no es Broadcast es un claro indicio de la existencia de una
anomala a nivel enlace, y puede considerarse seriamente para generar algn tipo de
alarma. A continuacin presentamos esta captura, que ha seguido todos los pasos que
acabamos de describir.
Puede verse que se trata de una Solicitud (Request), y que va dirigida concretamente a la
MAC [Link] que es la verdadera del ETD A (Windows).
Te invitamos a que hagas este ejercicio, y tambin a que te animes a relacionarlo con los
anteriores, para verificar opciones de MAC spoofing y resultados que se observan con el
protocolo ARP y sus tablas cach.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 131 [Link]
EJERCICIOS CON HERRAMIENTAS
1. Para continuar midiendo el rendimiento de una red para el protocolo Ethernet, en este ejercicio
os proponemos que empleis la herramienta iperf (disponible gratuitamente para Linux).
NOTA: En este texto no deseamos describir la instalacin ni las URLs desde donde instalar ni
hacer funcionar las diferentes aplicaciones que usemos, pues las mismas son actualizadas con
mucha frecuencia y su instalacin vara tanto en versiones como en la distribucin del SO, por lo
tanto haremos mencin a las aplicaciones y hoy en da cualquiera de ellas se puede encontrar con
suma facilidad a travs de cualquier buscador.
La herramienta iperf funciona a modo cliente servidor por lo tanto para medir el ancho
de banda, se debe ejecutar entre dos mquinas.
Una de ellas con el comando:
iperf -s -p (puerto_en_el_que_deseo_escuchar)
Y la otra en modo cliente:
iperf -c (Direccion_IP_del_Servidor) -p (puerto_en_el_que_escucha_el_Servidor)
A partir de este momento podrs verificar los tiempos de respuesta en esa conexin.
La mejor forma de realizar este ejercicio es contar con ms de un cliente y verificar
cmo se incrementa el tiempo de respuesta a medida que se suman ms clientes y ms
trfico.
A continuacin presentamos un ejemplo de esta herramienta:
Desde el servidor:
# iperf -s -u -f MB -i1 (Esta opcin f B nos muestra los resultados en Bytes, -i1 indica
cada cuntos segundos ser realizar la medicin)
------------------------------------------------------------
Server listening on UDP port 3001
Receiving 1460 byte datagrams
UDP buffer size: 0.01 MByte (default)
------------------------------------------------------------
[1634] local [Link] port 3001 connected with [Link] port 2960
[ ID] Interval Transfer Bandwidth Jitter Lost/Total Datagrams
Desde el cliente:
# iperf -c [Link] -f B
------------------------------------------------------------
Client connecting to [Link], TCP port 3001
TCP window size: 64512 Byte (default)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 132 [Link]
------------------------------------------------------------
[632] local [Link] port 2690 connected with [Link] port 3001
[ ID] Interval Transfer Bandwidth
[632] 0.0-10.0 sec 124391197 Bytes 12860641 Bytes/sec
2. La prxima herramienta que os proponemos emplear es ettercap. Se trata de una
herramienta muy til para entornos LAN, es de descarga gratuita, naci bajo lnea de
comandos y en la actualidad ya ofrece una interfaz grfica aceptable. Puede funcionar como
sniffer y tambin permite generar trfico y ejecutar el ataque del hombre del medio (MITM)
a travs del protocolo ARP.
Los ejercicios que te proponemos hacer, es que descargues e instales la herramienta, luego
comienza con sniffing de la red. Una vez realizado esto, ya te aparecern nuevas opciones
para ARP Poisonning (envenenamiento de cach ARP) y tambin MITM. Con esto tienes
para dedicarle un buen tiempo, encontrars mucha informacin de su uso en Internet, por esa
razn no creemos necesario extendernos ms aqu.
Seguramente te tentarn las opciones que tiene de robo de cuentas de usuario y contraseas
(an cifradas con SSL), y terminars sucumbiendo a la tentacin de usarlas, pero sobre este
tema an no nos queremos dedicar, pues no forma p arte del nivel de enlace.
3. Vamos a trabajar un poco con la herramienta arpspoof. El objetivo principal que queremos
que ejercites con la misma es el poder sniffar trfico independientemente del lado del Switch
que te encuentres, es decir, si un switch conmuta la comunicacin entre dos de sus bocas, y
mi ETD no forma parte de esos segmentos, an nos queda una posibilidad de escuchar el
trfico entre ambos y eso es lo que haremos. Una vez logrado este objetivo, en realidad lo
que acabas de hacer es un MITM entre ambos, as que de paso podrs verificar ambos casos.
Supongamos que en nuestra LAN es la [Link] (cuando veamos el nivel 3, entraremos
en detalle sobre este esquema de direccionamiento), nuestra direccin IP es la [Link].
Todos los ETD de esta LAN, estn conectados a diferentes bocas de un nico Switch, y desde
el mismo se puede salir hacia Internet por medio del router ADSL que tiene la direccin IP:
[Link], que tambin est conectado al mismo Switch.
Nuestra intencin es poder escuchar el trfico que circula desde la IP (Vctima):
[Link] hacia el router y viceversa. En una situacin normal, el Switch conmutara los
puertos de la vctima y el router y nosotros quedaramos ajenos a ese dilogo.
Lo primero que se debe hacer en nuestro ETD (Linux) es activar una opcin de red que
permite encaminar direcciones IP que justamente no sean las nuestra, esta opcin se llama
ip forwading y se activa a travs de la siguiente lnea de comandos:
# echo 1 > /proc/sys/net/ipv4/ip_forward (por supuesto con usuario root)
Con esto entonces, lograremos que cualquier paquete IP que nuestra mquina reciba y no sea
para ella, lo reenviar hacia su destinatario.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 133 [Link]
Supongamos ahora que nuestra interfaz de red sea eth0, entonces deberamos ejecutar:
# arpspoof -i eth0 -t [Link] [Link]
La opcin -i nos indica sobre qu interfaz de nuestro equipo se aplicar esta orden y la
opcin -t, la direccin a la cual vamos a envenenar su cach ARP.
Desde una nueva consola ahora ejecutamos:
# arpspoof -i eth0 -t [Link] [Link]
Con este ltimo envenenamos la direccin contraria. Es decir, ambos ETD tienen en su
cach ARP nuestra direccin MAC asociada con la IP de su vieja comunicacin.
A partir de este mismo momento, somos el MITM de este flujo de datos, por lo tanto si
lanzramos nuestro analizador de protocolos, capturaramos todo el trfico entre ambos,
independientemente de que el Switch anteriormente nos dejara fuera, ahora este mismo Switch
al recibir cualquier trama hacia la vctima o hacia el router, ver que la MAC destino es la
nuestra, y por lo tanto la sacar por la boca a la cual fsicamente estemos conectados nosotros.
4. Nuestra siguiente herramienta es arpwatch, tambin de libre distribucin para Linux. Este
software lo podramos catalogar como muy necesario en redes LAN, permite, por medio de
la escucha de trfico, mantener tablas vivas de esta asociacin MAC IP de cada uno de
los hosts presentes en nuestra LAN, y al producirse alguna modificacin de ellas tomar las
acciones oportunas que nosotros hayamos pre configurado. Siempre se debe tener en cuenta
lo mencionado en la teora respecto a Hubs y Switchs para poder escuchar en los
segmentos debidos, pues debes tener en cuenta que un Switch te dejar sin escuchar el resto de
sus bocas. Existen varias formas de escuchar toda la red: con varios sniffers creando
port mirroring en los switchs, configurando los switchs (y hasta los routers) para que dejen
pasar trfico ARP, colocando sondas en segmentos especficos, spplitters, etc. Todo esto debes
analizarlo y estudiarlo muy en detalle antes de poner una herramienta como este en
produccin.
Una vez instalado, su corazn est en el archivo [Link] que suele encontrarse en
el directorio /etc pero puede variar en base a la distribucin de Linux que se emplee.
Encontrars muchsima informacin al respecto en Internet.
Sobre este software, tambin te invitamos a que lo pruebes, investigues y lo emplees
seriamente en tus redes LAN.
5. A nivel Wifi:
5.1. Instalando la herramienta aircrack-ng lo primero que debes comenzar a realizar
es escucha de trfico para familiarizarte con la misma. Dependiendo de la versin
de aircrack, y de lo que vayas a realizar, debers descargar tambin airdump
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 134 [Link]
5.2. El prximo paso ser el empleo de la funcionalidad de Generar trfico ARP.
Este protocolo que tratamos en este captulo, en el caso de este ejercicio, tiene por
finalidad obligar al AP a generar nuevos vectores de inicializacin (VI), y en la
medida que logramos varios de ellos, se agilizar muchsimo la ruptura de la clave
WEP. Para esta actividad la tarjeta WiFi debe permitir funcionar en modo
Monitor (como el promiscuo de Ethernet), ten en cuenta que no todas lo soportan,
as que si decides comprar una que lo haga (y hasta sera aconsejable una de mayor
potencia) consulta primero la pgina de aircrack-ng ([Link] donde
mantienen un listado actualizado de las tarjetas compatibles.
5.3. Selecciona los AP de la lista que mayores capturas tengan y contina la secuencia
para el Crack de la clave de acceso.
5.4. Conctate a es AP con la clave que acabas de descifrar.
5.5. Puedes intentar hacer los mismos pasos con la herramienta airsnort
([Link]
DESAFOS:
1. Investiga ms herramientas para WiFi.
2. Investiga la tecnologa Bluetooth que ya empieza a ser interesante como acceso a sistemas y
redes.
3. Profundiza en el empleo de analizadores de protocolos (como Wireshark) pues son una
herramienta bsica y fundamental para la seguridad, y an puedes sacarle muchsimo ms
provecho del que presentamos hasta ahora.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 135 [Link]
CAPTULO 5: El nivel de RED
En este captulo desarrollaremos el nivel 3 del modelo de capas, de cual os recordamos que su
funcin principal es el control y manejo de rutas.
5.1. Anlisis de datagramas (IP):
Se trata de un protocolo de nivel 3 no orientado a la conexin, permitiendo el intercambio de
datos sin el establecimiento previo de la llamada. Una caracterstica fundamental es que soporta
las operaciones de fragmentacin y defragmentacin, por medio de las cuales un datagrama se
subdivide y segmenta en paquetes ms pequeos para ser introducidos a la red, y luego en
destino se reconstruyen en su formato original para entregarlos al nivel superior (si bien en la
actualidad, como se ver ms adelante, esta tarea suele realizarla TCP). La otra operacin que
revista importancia es el ruteo, el cual implementa por medio de un esquema de
direccionamiento que se trata a continuacin. En la actualidad se contina empleando la versin
4 de este protocolo, pero est en estudio, muy prxima a implementarse y en algunos mbitos ya
se empea, la Versin 6 o Next Generation. Por razones que se tratarn al final de esta seccin se
contina postergando la entreda en vigor de esta versin 6, y por esta razn en estos prrafos se
explicar lo referido a la versin 4.
5.1.1. Direcciones IP (rfc 791):
Internet por medio del empleo del campo de direcciones de un datagrama, slo puede
identificar en cada uno de los bit dos elementos:
HOST (H).
NET (N).
Este campo de direcciones, est constituido por cuatro octetos, los cuales se pueden
presentar en binario ([Link]), en hexadecimal
([Link]) o en decimal (d.d.d.d). Es importante habituarse a la correspondencia entre
binario y decimal para un gil manejo de estas direcciones que como ya puede apreciarse,
oscilarn entre 0/255.0/255.0/255.0/255 en sistema decimal. Dentro de este espectro en los
cuatro octetos, existen varias direcciones RESERVADAS, las dos ms comunes (si bien
prifundizaremos ms en ellas) por ahora son:
00000000 (en binario) o 0 (en decimal): que especifica La red donde me
encuentro.
11111111 (en binario) o 255 (en decimal): que especifica un mensaje de
Broadcast.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 136 [Link]
Tal vez lo ms importante para lograr entender plenamente este esquema de
direccionamiento, es no olvidarse que a pesar que las direcciones IP se presentan en forma
decimal, ningn dispositivo de red tiene diez dedos, por lo tanto todo (absolutamente
TODO) dispositivo que tenga que trabajar sobre una direccin IP, la analizar como una
secuencia de 32 bits (pues tiene slo dos dedos) Lo arraigado que tenemos en nuestra
mente el sistema decimal, nos lleva indefectiblemente a razonamientos no adecuados sobre
estas direcciones, as que os invitamos a que hagis un gran esfuerzo por tratar de no usar
ocho dedos de vuestras manos y SIEMPRE tratar de razonar el esquema de
direccionamiento IP, como secuencias binarias, hasta os permitiremos hacer un poco de
trampa y colar alguna pasaje a decimal, pero insistimos, haced el esfuerzo de
familiarizaros con el pasaje de decimal a binario en cada octeto, y veris que es la mejor
forma de ser un experto en redes IP.
Acorde al primer octeto, se pueden clasificar distintos tipo de redes:
0xxxxxxx Tipo A: Como el primer bit es 0, este tipo de redes solo podrn abarcar el rango
de direcciones entre 0 y 127.
10xxxxxx Tipo B: Como el primer bit es 1 (ya pesa 128) y el segundo obligatoriamente 0,
este tipo de redes solo podrn abarcar el rango de direcciones entre 128
+ (0 a 63) a 192.
110xxxxx Tipo C Como los dos primeros bit son 11 (ya pesa 192) y el tercero
obligatoriamente 0, este tipo de redes solo podrn abarcar el rango de
direcciones entre 192 + (0 a 31) a 223.
1110xxxx Tipo D Como los tres primeros bit son 111 (ya pesa 224) y el cuarto
obligatoriamente 0, este tipo de redes solo podrn abarcar el rango de
direcciones entre 224 + (0 a 15) a 239. Este tipo de direcciones estn
reservadas para empleo de multicast.
11110xxx Tipo E Como los cuatro primeros bit son 1111 (ya pesa 240) y el quinto
obligatoriamente 0, este tipo de redes solo podrn abarcar el rango de
direcciones entre 240 + (0 a 7) a 247. Este tipo de direcciones estn
reservadas para uso experimental por parte de los organismos de
Internet.
Al diferenciar estos tipo de redes, a su vez por medio de un concepto denominado
MASCARA DE RED que se tratar ms adelante, en particular las tipo A, B y C determinan
ciertos lmites entre Host y Net que se detallan a continuacin:
Tipo A: (0 a 127), el primer octeto identifica a Net y los otros tres a Host. Por lo tanto
existirn 127 posibles redes A y cada una de ellas podr contener tres octetos de
Host lo que equivale a 2
24
= 16.777.214 Host, (N.H.H.H).
Tipo B: (128 a 191) Los dos primeros octetos identifican a Net y los otros dos a Host.
Por lo tanto existirn 2
14
Net = 16.384 posibles redes B y cada una de ellas
podr contener dos octetos de Host lo que equivale a 2
16
= 65.534 Host,
(N.N.H.H).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 137 [Link]
Tipo C: (192 a 223) Los tres primeros octetos identifican a Net y el ltimo a Host. Por lo
tanto existirn 2
21
Net = 2.097.152 posibles redes C y cada una de ellas podr
contener un octeto de Host lo que equivale a 2
8
= 254 Host, (N.N.N.H).
Las cantidades mencionadas numricamente son las reales si bien pueden no coincidir con
algunas potencias pues dentro de los rangos establecidos, tambin existen determinadas
direcciones reservadas.
5.1.2. Mscara de Red y Subred:
Dentro de una red IP, se pueden crear distintas subredes, empleando el concepto de
Mscara. Estas subredes piden prestado bit de los campos identidad de Host, y por medio
del empleo de AND lgico se solapan con el bit correspondiente a esa posicin de la Mscara
de subred, Si este ltimo es un uno, se corresponder a un bit que identifica a una direccin de
red (N), caso contrario ser una direccin de Host.
Ej:
decimal Binario
Direccin IP [Link] 11000001.01000010. 01000010.11110000
Mscara [Link] 11111111.11111111. 11111111.00000000
Identificacin de Host o Net
NNNNNNNN. NNNNNNNN. NNNNNNNN. HHHHHHHH
En este ejemplo se identifica el Host nmero 240 perteneciente a la red tipo C nmero
193.66.66. Si se deseara poder crear dos subredes dentro de esta misma red, para segmentar
distintos grupos lgicos de nivel 3, se debera cambiar uno de los bit correspondientes al
cuarto octeto de la mscara, de manera tal que permitiera solaparse con su correspondiente bit
de la direccin IP. Cualquiera de los ocho bit de este ltimo octeto podra ser elegido, y
tcnicamente se crearan dos subredes, pero el mejor planteo para el diseo entendible
humanamente es el de comenzar a enmascarar de izquierda a derecha, lo que permitir
identificar por el valor decimal de ese octeto a que subred se refiere (Pues el ser humano
piensa en decimal y no en binario). Para aclarar este planteo se propone el siguiente ejemplo
en la creacin de dos subredes dentro de la misma red anteriormente descripta:
Ej:
decimal Binario
Direccin IP [Link] 11000001.01000010. 01000010.11110000
Mscara caso 1 [Link] 11111111.11111111. 11111111.10000000
Identificacin de Host o Net
NNNNNNNN. NNNNNNNN. NNNNNNN. NHHHHHHH
Mscara caso 2 [Link] 11111111.11111111. 11111111.00001000
Identificacin de Host o Net
NNNNNNNN. NNNNNNNN. NNNNNNNN. HHHHNHHH
Para el caso 1, se crearon dos subredes (**Hasta ahora, pues an falta un detalle ms**),
identificadas por el primer bit del cuarto octeto cuyo peso es de 128. Bajo este esquema lgico
(humano), se identifican dos subredes cuyos lmites estn dados por el valor numrico (humano)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 138 [Link]
del cuarto octeto, es decir que se plantea la subred [Link] a 127 y la subred [Link] a
254, por lo tanto todo Host que en su cuarto octeto tenga un valor menor a 128, pertenecer
unvocamente a la primera subred y caso contrario a la segunda.
Ej:
Direccin IP [Link] ------------ Subred 1
[Link] ------------ Subred 2
[Link] ------------ Subred 2
[Link] ------------ Subred 1
[Link] ------------ Subred 2
[Link] ------------ Subred 2
Para el caso 2, tambin se crearon dos subredes, identificadas por el quinto bit del cuarto
octeto cuyo peso es 8, tcnicamente podra funcionar (al igual que el caso 1), pero la
identificacin de esas dos subredes slo ser pensando en binario, lo cual para ninguna PC o
router ser una limitacin, pero si lo es en gran medida para cualquier ser humano.
Ej:
Direccin IP [Link] ------------ Subred ?
[Link] ------------ Subred ?
[Link] ------------ Subred ?
[Link] ------------ Subred ?
[Link] ------------ Subred ?
[Link] ----------- Subred ?
Por ltimo falta aclarar un detalle ms.
En el Caso 1 recientemente analizado (Dir IP : [Link] Mscara: [Link]),
como se mencion, se crearon dos subredes:
- subred [Link] a 127 (es decir su ltimo octeto comienza con el primer bit = 0)
- subred [Link] a 254 (es decir su ltimo octeto comienza con el primer bit = 1)
Recordando un concepto ya descripto, en un octeto la direccin de red no pueden ser todos
unos (Broadcast), ni todos ceros (Mi red); en este caso el primer bit del ltimo octeto ser
siempre Todos unos o Todos ceros pues es el nico. Siguiendo este principio, NO SE
DEBEN REALIZAR DOS SUBREDES EMPLEANDO UN SOLO BIT, por lo tanto, si se
deseara implementar dos subredes en este ejemplo, la mscara ser [Link], no
debiendo emplear el rango 00 ni 11 de los consecuentes primeros dos bit del octeto. La
mayora de los routers hoy en da ofrecen opciones para s poder emplearlos, pero es una
buena prctica dimensionar adecuadamente mis esquemas de direccionamiento para evitar el
uso de los extremos.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 139 [Link]
Si se desea implementar tres subredes, la mscara ser [Link], la que tambin
permitira implementar hasta seis subredes (Pues no se podran asignar los rangos 000 y 111 de
los tres primeros bit del ltimo octeto). Siguiendo este razonamiento cabe esperar que para
siete subredes, la mscara debera ser [Link] lo que tambin permitira hasta catorce,
y as sucesivamente.
5.1.3. Classless Interdomain Routing (CIDR) (RFC: 1518/1519):
Ante el inesperado crecimiento de Internet, se produce una saturacin del rango de
direcciones clase B, dejando libres algunas direcciones clase A y C, y presentando la
particular caracterstica que muy pocas empresas (o casi ninguna), puede cubrir una clase A
completa, y muchas necesitan ms de una clase C. Ante este hecho, se fueron tomando una
serie de medidas por medio de las cuales se ajusta la distribucin, se restringe la asignacin de
direcciones a empresas que lo justifiquen con mucho grado de detalle, se distribuyen
direcciones en cinco zonas mundiales (RIPE, ARIN, APNIC, AfriNIC y LACNIC ), pero esto
comienza a provocar cada vez mayores tablas en los router con el consiguiente cuello de
botella. Para presentar una solucin a este problema (momentnea, pues la definitiva recin
aparece con IPv6), nace CIDR o tambin llamado Supernetting. Este concepto permite
combinar subredes que comparten ms de una clase C o subdividir redes clase A o B. El
concepto de Supernetting se atribuye a la diferencia con Subnetting. En este ltimo, para
crear subredes, se emplea mayor cantidad de bit en la mscara de red. En el caso de
Supernetting, es justamente lo contrario (y de ah su nombre), pues se emplearn menos bit de
mscara de la que correspondera a su clase.
Estas direcciones de red deben compartir los bit de ms alto orden de la mscara de red, sin
respetar el concepto clsico de clase. A continuacin se presenta un ejemplo:
NET 192.168.5 (1100 0000.1010 1000.0000 0101.0000 0000)
NET 192.168.6 (1100 0000.1010 1000.0000 0110.0000 0000)
NET 192.168.7 (1100 0000.1010 1000.0000 0111.0000 0000)
MASK [Link] (1111 1111.1111 1111.1111 1100.0000 0000)
En este ejemplo se aprecian tres rangos de direcciones de red que clsicamente se definiran
como clase C, el empleo de CIDR, se pone de manifiesto a travs de la mscara de red, la cual
reduce dos bit, colocando en su tercer octeto el valor 252 en vez del clsico que debera ser
255. Si se analiza la combinacin de bit de direccin con los de host, se tratara aqu de la
red 192.168.4, y el broadcast de red debera ser [Link] (11000000 . 10101000 .
00000111 . 11111111). Las siguiente RFC hacen referencia a CIDR:
RFC 1467 - Difusin de CIDR en Internet
RFC 1517 - Condiciones de aplicabilidad de CIDR
RFC 1518 - Una arquitectura para la distribucin de direcciones IP con CIDR
RFC 1519 - CIDR: asignacin de direcciones y estrategia de agregacin
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 140 [Link]
RFC 1520 - Intercambiando informacin de encaminamiento a travs de las fronteras
de los proveedores en el entorno CIDR
Otro tema que surge con motivo de la escasez de direcciones IP, es la RFC 1918 (address
Allocation for Private Internets) que se publica en febrero de 1996, en la cual se excluye de
los rangos de direeccionamiento pblico, es decir de carcter Universal un cierto rango de
direcciones IP que pasan a denomintarse Privadas. Resumidamente lo que se hace es
verificar que rangos quedan an disponibles y seleccionar los siguientes de cada clase:
Clase A: [Link]/8
Clase B: 172. 16 a 31.0.0/12
Clase C: [Link]/24
Concretamente esta RFC los define en el punto 3. Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the following three
blocks of the IP address space for private internets:
[Link] - [Link] (10/8 prefix)
[Link] - [Link] (172.16/12 prefix)
[Link] - [Link] (192.168/16 prefix)
Aclarando a su vez que:
Routers in networks not using private address space, especially those of Internet
service providers, are expected to be configured to reject (filter out) routing
information about private networks.
Es decir, todo Internet Service Provider (ISP) est obligado a rechazar y/o filtrar cualquier IP
dentro de estos rangos.
5.1.4. Network Address Translation (NAT):
Sin lugar a dudas, lo que sustent a la RFC 1918 en cuanto a las direcciones IP privadas, fue
el nacimiento de la tcnica de NAT, y entre ambas prolongaron la vida de IP versin 4 hasta
la actualidad (hecho que en su momento era inimaginable).
La lgica del funcionaiento de NAT, se basa en el mantenimiento de tablas en la memoria
cach del host que lo imlementa, en las cuales asocia IP y puerto (orgen) con IP y puerto
(destino), esta concatenacin de IP-Puerto conforman lo que se denomina Socket y cuando
tratemos el nivel de transporte se concretar esta idea. Un host que hace NAT, es una
especie de pasarela que tiene una tarjeta conectada a una red (supongamos la privada, con sus
direcciones IP privadas) y otra tarjeta conectada a otra red (supongamos a Internet) y
habitualmente es el que se configura como Gateway por defecto en los hosts de la red
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 141 [Link]
interna. Cuando este host recibe una peticin desde una IP interna (esta a su vez abri un
puerto origen para esa conexin) hacia un puerto e IP externo, el dispositivo que hace NAT,
automticamente almacena en su tabla NAT este socket, y saca por la interfaz de red
externa un nuevo datagrama IP con un puerto origen que abre l y con su propia IP origen
(conectada a la red externa) hacia el destino indicado, por lo tanto en realidad se establece una
nueva conexin extremo a extremo hacia ambos lados. Al recibir la respuesta, mira en su
tabla cul fue el Socket interno que realiz esta peticin, y le dirige a este un nuevo
datagrama con las IP-Puerto originales a los cuales se haba realizado la peticin, es decir
que para el usuario interno, este NAT es transparente, slo puede percibirlo, porque la
direccin MAC que envi esta respuesta es la del Gateway por defecto (en este caso el
dispositivo que hizo NAT).
Se pueden diferenciar varios casos diferentes de NAT, de los cuales los ms destacados son:
Esttico: Una nica direccin privada se traduce a una nica direccin pblica. Este
caso se suele emplear cuando se posee un servidor al que se puede llegar desde
Internet pero que posee una direccin IP interna, y en este caso en NAT lo asocia con
una direccin pblica a la cual se puede acceder desde cualqueir lugar del mundo.
Dinmico: Se mapean direcciones desde uan red a otra en relaciones: 1 a n, n a 1
o n a n. El empleo ms frecuente de este es cuando a travs de una nica o muy
pocas direcciones pblicas, navega por Internet toda la LAN de una empresa. Este
tipo se denomina Network Address Port Translation (NAPT).
Ambos tipos de NAT son denominados NAT Tradicional, y la RFC que trata este tema es la
RFC-3022 Traditional IP Network Address Translation (IP NAT tradicional) de enero de
2001. Esta RFC hace mencin tambin al protocolo ICMP dentro del esquema NATP, este
protocolo tambin puede ser enrutado, pero en vez del concepto de socket en este caso se
concatena la direccin IP con el identificador del encabezado ICMP, y el resto opera de
forma anloga. Tambin describe varios casos, ejemplos y escenarios sobre los que se puede
aplicar NAT.
Otra RFC que debe ser tenida en cuenta es la RFC-2663 IP Network Address Translator
(NAT) Terminology and Considerations que nos describe todos los trminos y aspectos
fundamentales y es de agosto de 1999.
5.1.5. Tablas de ruta:
Cada datagrama tiene slo tres posibilidades:
Ser pasado al nivel superior.
Encaminarlo hacia alguna de las interfaces de red.
Ser descartado.
Las tablas de rutas mantienen cuatro tipos de ellas:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 142 [Link]
host (Se trata de una ruta a una simple y especfica direccin IP).
Subnet (Ruta hacia una subred).
Network (Ruta hacia toda una red).
Default (Cuando ninguna de las anteriores coincide).
Ejemplo:
C:\>route print
Network Address Netmask Gateway Address Interface Metric
[Link] [Link] [Link] [Link] 1
[Link] [Link] [Link] [Link] 1
[Link] [Link] [Link] [Link] 1
[Link] [Link] [Link] [Link] 1
[Link] [Link] [Link] [Link] 1
[Link] [Link] [Link] [Link] 1
[Link] [Link] [Link] [Link] 1
En este ejemplo de tabla de ruteo (en Windows), se aprecia una direccin privada clase C con
un host cuya direccin es [Link] y contiene siete entradas:
La primera entrada ([Link]) contiene la ruta por defecto.
La segunda ([Link]) es la direccin de loopback.
La tercera ([Link]) es la direccin de esta red.
La cuarta ([Link]) es la ruta para el local host, se debe prestar atencin, que
esta hace referencia luego al loopback, es decir que todo datagrama hacia esta direccin
deber ser tratado internamente.
La quinta ([Link]) especifica el broadcast de subred.
La sexta especifica la direccin multicast.
La ltima indica la direccin de broadcast.
Esta tabla de rutas en la mayora de los casos es mantenida automticamente, y muchas de
estas direcciones las obtendr al iniciar el host, de datos locales y a travs de informacin
obtenida desde servidores de la red, tambin pueden ser adicionadas en forma manual, y
especificar que sean permanentes o transitorias.
Deteccin de direcciones IP duplicadas:
Al iniciarse un host, enva una solicitud ARP particular, pues lo hace solicitando la direccin
MAC que se corresponde a su propia direccin IP, si alguien contesta este mensaje es que esta
direccin IP ya est en uso.
Multihomed:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 143 [Link]
Este trmino se refiere al caso que un host se encuentre configurado con ms de una direccin
IP, esta configuracin se puede presentar de tres maneras:
Mltiples IP por NIC.
Mltiples NIC.
Mltiples IP y NIC.
5.1.6. IP Multicasting:
El IP Multicasting es la transmisin de un datagrama IP a un cierto grupo de cero a n hosts
identificados por una nica direccin IP. Los miembros de este grupo son dinmicos, es
decir que pueden unirse y dejar grupos en cualquier momento, sin existir ninguna restriccin
de ubicacin o cantidad de miembros. Un host puede ser miembro de ms de un grupo y no
necesita ser miembro de un grupo para enviar datagramas a l.
Existen grupos definidos como permanentes, que son los que tienen asignada una direccin IP
Bien conocida, esta permanencia se refiere a su direccin, no a sus miembros, los cuales
pueden incorporarse y dejarlo dinmicamente en cualquier momento.
El empleo de IP multicast est controlado por los router que pueden o no coexistir con los
Gateway.
En el mapa de rutas de cada host, para soportar multicast, se agrega una lnea adicional:
Network Address Netmask Gateway Address Interface Metric
[Link] [Link] [Link] [Link] 1
En este ejemplo, la direccin [Link] es la propia direccin del host (no la del gateway
de la red), es decir que si este host desea enviar cualquier mensaje multicast, lo har a travs
de su interfaz de red y no lo encaminar al gateway por default.
Un tema de especial inters es que para poder enviar un datagrama, siempre debe ser resuelta
la direccin MAC, este tema lo trata la RFC 1112 y se implementa de la siguiente manera:
Ethernet identifica multicast colocando a uno el primer bit del primer octeto de su direccin
MAC, es decir que este primer octeto adoptar el valor 01h, adems IANA reserva (en
acuerdo con IEEE que es quien asigna las direcciones MAC) el rango 00-00-5E-00-00-00
hasta 00-00-5E-7F-FF-FF, por lo tanto, los tres primeros octetos de la direccin MAC para
multicast IP en redes Ethernet ser siempre 01-00-5E. El grupo de direcciones IP es mapeado
a una direccin multicast Ethernet, por reemplazo de los 23 bit de menor orden de la direccin
IP a los 23 bit de menor orden de la direccin MAC, por ejemplo si un host con direccin
MAC 01-22-A2-34-67-E1 deseara enviar un datagrama a la direccin multicast [Link], la
direccin MAC se formara con los tres primeros octetos MAC multicast (01-00-5E),
anexndole los ltimos 23 bit de la direccin IP multicast (0.0.3 = 00-00-03 en hexadecimal),
quedara 01-00-5E-00-00-03. Un problema cierto que se plantea es que la direccin IP posee
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 144 [Link]
cuatro octetos, es decir 32 bit, en el caso de multicast, los cuatro primeros bit estn impuestos
y siempre son 1110, por lo tanto quedan disponibles veintiocho bit, de los cuales solo se
mapean 23, es decir que se puede presentar el caso que dos direcciones multicast IP sean
mapeadas a la misma direccin MAC, en este caso, ser descartado el datagrama a nivel IP,
al descubrir en destino que no va dirigido al grupo correspondiente.
Por defecto los datagramas IP Multicast son generados con TTL=1, y por convencin, los
router multicast emplean los valores de TTL para determinar cun lejano deben encaminar los
datagramas, estos valores de TTL estn definidos y son los siguientes:
TTL = 0 se refieren al mismo host.
TTL = 1 se refieren a la misma subred. Los routers multicast al recibir un datagrama
multicast con TTL=1, lo decrementan a cero, pero a diferencia de un datagrama
unicast, no enva ningn mensaje ICMP de TTL agotado, pues lo considera un
evento normal.
TTL = 32 se refieren a la misma Site.
TTL = 64 se refieren a la misma regin.
TTL = 128 se refieren al mismo continente.
TTL = 255 sin restricciones de mbito.
La direccin multicast tambin ofrece informacin sobre las rutas, pues por ejemplo el rango
comprendido entre [Link] a [Link] se emplea para un solo salto, es decir que ningn
router multicast retransmitir ningn datagrama con estas direcciones.
A continuacin se presentan las direcciones multicast definidas por la RFC 1112:
[Link] Reserved
[Link] All Hosts on this Subnet
[Link] All Gateways on this Subnet (proposed)
[Link] Unassigned
[Link] DVMRP Routers(Distance Vector Multicast Routing Protocol, RFC
1075)
[Link] OSPFIGP OSPFIGP All Routers
[Link] OSPFIGP OSPFIGP Designated Routers
[Link]-[Link] Unassigned
[Link] VMTP Managers Group (Versatile Message Transaction Protocol,
RFC 1045).
[Link] NTP Network Time Protocol
[Link] SGI-Dogfight
[Link] Rwhod
[Link] VNP
[Link]- [Link] Unassigned
[Link] rwho Group (BSD) (unofficial)
232.x.x.x VMTP transient groups
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 145 [Link]
5.1.7. Fragmentacin IP:
Como se ver en el encabezado de IP, uno de los puntos fuertes de este protocolo es la
fragmentacin, si bien en la actualidad no es muy empleado porque TCP puede determinar los
tamaos de la informacin a transmitir por el canal para que justamente no sea necesario tener
que fragmentar y defragmentar informacin en nodos intermedios. Igualmente este aspecto
se expresa particularmente en este prrafo para marcar la importancia de esta tarea pues es de
las tcnicas ms empleadas para evadir sistemas de seguridad en las redes TCP/IP.
5.1.8. Formato del encabezado (datagrama) IP (Segn RFC 791):
Versin Longitud de cabecera
precedencia D T R Reservado
Longitud total
Identificador
Identificadores Desplazamiento de fragmentacin
Tiempo de vida (TTL)
Protocolo
Checksum de cabecera
Direccin Fuente
Direccin Destino
Opciones y Relleno (Variable)
Datos (Variable)
Versin: 4 bits
Siempre vale lo mismo (0100). Este campo describe el formato de la cabecera
utilizada. En la tabla se describe la versin 4.
Tamao Cabecera: 4 bits
Longitud de la cabecera, en palabras de 32 bits. Su valor mnimo es de 5 para una
cabecera correcta, y el mximo de 15.
Tipo de Servicio: 8 bits (Precedencia DTR Reservado) (Se ver ms adelante que
actualmente estn modificados)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 146 [Link]
Indica una serie de parmetros sobre la calidad de servicio deseada durante el
trnsito por una red. Algunas redes ofrecen prioridades de servicios, considerando
determinado tipo de paquetes ms importantes que otros (en particular estas redes
solo admiten los paquetes con prioridad alta en momentos de sobrecarga). Estos 8
bits se agrupan de la siguiente manera. Los 5 bits de menos peso son independientes
e indican caractersticas del servicio:
Bit 0: sin uso, debe permanecer en 0.
Bit 1: 1 costo mnimo, 0 costo normal.
Bit 2: 1 mxima fiabilidad, 0 fiabilidad normal.
Bit 3: 1 maximo rendimiento, 0 rendimiento normal.
Bit 4: 1 mnimo retardo, 0 retardo normal.
Los 3 bits restantes estn relacionados con la precedencia de los mensajes, un
indicador ajunto que indica el nivel de urgencia basado en el sistema militar de
precedencia (vase Message Precedence) de la CCEB, un organizacin de
comunicaciones electrnicas militares formada por 5 naciones. La urgencia que estos
estados representan aumenta a medida que el nmero formado por estos 3 bits lo
hace, y responden a los siguientes nombres.
000: De rutina.
001: Prioritario.
010: Inmediato.
011: Relmpago.
100: Invalidacin relmpago.
101: Procesando llamada crtica y de emergencia.
110: Control de trabajo de Internet.
111: Control de red.
Longitud Total: 16 bits
Es el tamao total, en octetos, del datagrama, incluyendo el tamao de la cabecera
y el de los datos. El tamao mximo de los datagramas usados normalmente es de
576 octetos (64 de cabeceras y 512 de datos). Una mquina no debera envar
datagramas mayores a no ser que tenga la certeza de que van a ser aceptados por la
mquina destino.
En caso de fragmentacin este campo contendr el tamao del fragmento, no el del
datagrama original.
Identificador: 16 bits
Identificador nico del datagrama. Se utilizar, en caso de que el datagrama deba
ser fragmentado, para poder distinguir los fragmentos de un datagrama de los de otro.
El originador del datagrama debe asegurar un valor nico para la pareja origen-
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 147 [Link]
destino y el tipo de protocolo durante el tiempo que el datagrama pueda estar activo
en la red.
Indicadores: 3 bits
Actualmente utilizado slo para especificar valores relativos a la fragmentacin de
paquetes:
bit 0: Reservado; debe ser 0
bit 1: 0 = Divisible, 1 = No Divisible
bit 2: 0 = ltimo Fragmento, 1 = Fragmento Intermedio (le siguen ms
fragmentos)
La indicacin de que un paquete es indivisible debe ser tenida en cuenta bajo
cualquier circunstancia. Si el paquete necesitara ser fragmentado, no se enviar.
Posicin de Fragmento: 13 bits
En paquetes fragmentados indica la posicin, en unidades de 64 bits, que ocupa el
paquete actual dentro del datagrama original. El primer paquete de una serie de
fragmentos contendr en este campo el valor 0.
Tiempo de Vida (TTL): 8 bits
Indica el mximo nmero de direccionadores que un paquete puede atravesar.
Cada vez que algn nodo procesa este paquete disminuye su valor en, como mnimo,
un direccionador. Cuando llegue a ser 0, el paquete no ser reenviado.
Protocolo: 8 bits
Indica el protocolo de siguiente nivel utilizado en la parte de datos del datagrama.
Vea Nmeros de protocolo IP para comprender como interpretar este campo.
Suma de Control de Cabecera: 16 bits
Se recalcula cada vez que algn nodo cambia alguno de sus campos (por ejemplo,
el Tiempo de Vida). El mtodo de clculo (intencionadamente simple) consiste en
sumar el complemento a 1 de cada palabra de 16 bits de la cabecera y hacer el
complemento a 1 del valor resultante.
Direccin IP de origen: 32 bits
Direccin IP de destino: 32 bits
Opciones: Variable
Aunque no es obligatoria la utilizacin de este campo, cualquier nodo debe ser
capaz de interpretarlo. Puede contener un nmero indeterminado de opciones, que
tendrn dos posibles formatos:
Formato de opciones simple
Se determina con un slo octeto indicando el Tipo de opcin, el cual est
dividido en 3 campos.
Indicador de copia: 1 bit. En caso de fragmentacin, la opcin se copiar o no
a cada nuevo fragmento segn el valor de este campo:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 148 [Link]
0 = no se copia
1 = se copia.
Clase de opcin: 2 bits. Las posibles clases son:
0 = control
1 = reservada
2 = depuracin y mediciones
3 = reservada.
Nmero de opcin: 5 bits. Identificador de la opcin.
Formato de opciones compuesto
Un octeto para el Tipo de opcin, otro para el Tamao de opcin, y uno o ms
octetos conformando los Datos de opcin.
El Tamao de opcin incluye el octeto de Tipo de opcin, el de Tamao de
opcin y la suma de los octetos de datos.
La siguiente tabla muestra las opciones actualmente definidas:
Clase Nmero Tamao Descripcin
0 0 - Final de lista de opciones. Formato simple.
0 1 - Ninguna operacin (NOP). Formato simple.
0 2 11 Seguridad.
0 3 variable Enrutado desde el Origen, abierto (Loose
Source Routing).
0 9 variable Enrutado desde el Origen, estricto (Strict Source
Routing).
0 7 variable Registro de Ruta (Record Route).
0 8 4 Identificador de flujo (Stream ID).
2 4 variable Marca de tiempo (Internet Timestamping).
Final de Lista de Opciones:
Se usa al final de la lista de opciones, si sta no coincide con el final de la
cabecera IP.
Ninguna Operacin (NOP):
Se puede usar para forzar la alineacin de las opciones en palabras de 32 bits.
Seguridad:
Especifica niveles de seguridad que van desde No Clasificado hasta Mximo
Secreto, definidos por la Agencia de Seguridad de la Defensa (de [Link].).
Enrutado desde el Origen (abierto) y Registro de Ruta (LSSR):
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 149 [Link]
Esta opcin provee el mecanismo para que el originador de un datagrama pueda
indicar el itinerario que ha de seguir a travs de la red y para registrar el camino
seguido.
Los Datos de Opcin consisten en un puntero (un octeto) y una lista de
direcciones IP (4 octetos cada una) que se han de alcanzar (procesar):
El puntero indica la posicin de la siguiente direccin de la ruta, dentro de la
Opcin; as, su valor mnimo es de 4.
Cuando un nodo de Internet procesa la direccin de la lista apuntada por el
puntero (es decir, se alcanza esa direccin) incrementa el puntero en 4, y redirige
el paquete a la siguiente direccin. Si el puntero llega a ser mayor que el Tamao
de Opcin significa que la informacin de ruta se ha procesado y registrado
completamente y se redirigir el paquete a su direccin de destino.
Si se alcanza la direccin de destino antes de haber procesado la lista de
direcciones completa (el puntero es menor que el Tamao de Opcin) la siguiente
direccin de la lista reemplaza a la direccin de destino del paquete y es a su vez
reeemplazada por la direccin del nodo que est procesando el datagrama (Ruta
Registrada), incrementando, adems, el puntero en 4.
Utilizando este mtodo de sustituir la direccin especificada en origen por la
Ruta Registrada se asegura que el tamao de la Opcin (y de la cabecera IP) no
vara durante su recorrido por la red.
Se considera que la ruta especificada por el originador es abierta porque
cualquier nodo que procesa el paquete es libre de dirigirlo a la siguiente direccin
siguiendo cualquier otra ruta intermedia.
Slo puede usarse una vez en un datagrama, y, en caso de fragmentacin, la
opcin se copiar a los paquetes resultantes.
Enrutado desde el Origen (estricto) y Registro de Ruta (SSRR):
Exactamente igual que LSSR, excepto en el tratamiento que los nodos harn de
este datagrama. Al ser la ruta especificada estricta, un nodo debe reenviar el
paquete directamente a la siguiente direccin, es decir, no podr redireccionarlo
por otra red.
Registro de Ruta:
Mediante el uso de esta Opcin se puede registrar el itinerario de un datagrama.
Los Datos de Opcin consisten en un puntero (un octeto) y un espacio relleno de
ceros que contendr la Ruta Registrada para el paquete.
Cuando un nodo recibe un paquete en el que est presente esta opcin, escribir
su direccin IP en la posicin indicada por el puntero, siempre que sta sea menor
que el Tamao de Opcin, e incrementar el puntero en 4.
Es preciso que el espacio reservado para la Ruta Registrada tenga una longitud
mltiplo de 4; si al intentar grabar su direccin un nodo detecta que existe espacio
libre pero es menor de 4 octetos, el paquete no se reenva (se pierde) y se notifica
el error, mediante ICMP, al originador del datagrama.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 150 [Link]
Esta Opcin no se copia en caso de fragmentacin, y slo puede aparecer una
vez en un paquete.
Relleno: Variable
Utilizado para asegurar que el tamao, en bits, de la cabecera es un mltiplo de 32.
El valor usado es el 0.
5.1.9. Modificaciones DSCP {RFCs 2474 (DS: Servicios Diferenciados) y 3168 (DSCP:
Sevicios diferenciados Codificacin)}
The DS field structure is presented below:
0 1 2 3 4 5 6 7
+---+---+---+---+---+---+---+---+
| DSCP | CU |
+---+---+---+---+---+---+---+---+
DSCP: differentiated services codepoint
CU: currently unused
Tabla de Conversin de DSCP a IP Precedencia:
DS Valor Binario Decimal IP Precedencia (Viejo)
CS0 000 000 0 0
CS1 001 000 8 1
AF11 001 010 10 1
AF12 001 100 12 1
AF13 001 110 14 1
CS2 010 000 16 2
AF21 010 010 18 2
AF22 010 100 20 2
AF23 010 110 22 2
CS3 011 000 24 3
AF31 011 010 26 3
AF32 011 100 28 3
AF33 011 110 30 3
CS4 100 000 32 4
AF41 100 010 34 4
AF42 100 100 36 4
RFC 2474 (Differentiated Services) Interpretation
Bits Meaning
7-2 DSCP
1-0 ECN (Explicit Congestion Notification)
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 151 [Link]
AF43 100 110 38 4
CS5 101 000 40 5
EF 101 110 46 5
CS6 110 000 48 6
CS7 111 000 56 7
CS: Class Selector (RFC 2474) Los 3 primeros bits. (111 preferente 000 menos)
Afxy: Assured Forwarding (x=class, y=drop precedence) (RFC2597) los tres que
siguen.
EF: Expedited Forwarding (RFC 3246)
La RFC 2597 ( Assured Forwarding (AF) Per Hop Behavior (PHB) Group) establece los
soigueintes valores de AF:
Los valores recomendados del AF codepoints son los siguientes:
AF11 = 001010,
AF12 = 001100,
AF13 = 001110,
AF21 = 010010,
AF22 = 010100,
AF23 = 010110,
AF31 = 011010,
AF32 = 011100,
AF33 = 011110,
AF41 = 100010,
AF42 = 100100,
AF43 = 100110.
Class 1 Class 2 Class 3 Class 4
+--------------+-------------+-------------+--------------+
Low Drop Prec | 001010 | 010010 | 011010 | 100010 |
Medium Drop Prec | 001100 | 010100 | 011100 | 100100 |
High Drop Prec | 001110 | 010110 | 011110 | 100110 |
+-------------+-------------+--------------+--------------+
5.1.10. IP Spoof:
Esta tcnica se emplea para falsificar un verdadera direccin IP a travs de la colocacin de
una falsa, la cual puede hacer uso de una existente en la red o nueva. Presenta especial
peligrosidad cuando los dispositivos de seguridad emplean el campo direccin IP para la
implementacin de las medidas de sus medidas, como pueden ser: control de accesos, permisos,
mbito interno o externo, validacin o generacin de alarmas, establecimiento de sesiones,
reglas, etc.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 152 [Link]
5.2. ICMP (Internet Control Messaging Protocol) (RFC: 792).
Este protocolo es quizs uno de los ms importantes de esta pila pues es el que se encarga de la
supervisin y control de la red. Un datagrama viaja entre router a travs de la red hasta alcanzar su
destino, si ocurre algn error o para controlar esta travesa es que se generan estos mensajes. Este
sistema de reportes, es tratado por la red como cualquier otro datagrama (Nivel 3), pero el Software
de la capa 3 los interpreta de manera distinta. ICMP no especifica las acciones a tomar, solamente
sugiere la misma.
5.2.1. Tipos y cdigos de los mensajes ICMP:
Todas las cabeceras de ICMP comienzan con tres campos:
TIPO: (8), especifica el mensaje ICMP.
CODIGO: (8), Brinda un poco ms de informacin sobre el error.
CHECKSUM (16), CRC 16.
Los campos que continan a estos tres, varan acorde al tipo de error, pero en la mayora de
ellos se encuentra incluido el encabezado del datagrama que gener el mensaje ICMP y
tambin los 64 primeros octetos de este para dejar unvocamente establecido la identificacin
del error.
El estudio del funcionamiento del protocolo ICMP se puede entender bsicamente
desarrollando el significado del campo TIPO, el cual representa los distintos tipos de
mensajes.
5.2.2. Tipos y cdigos de los mensajes ICMP:
0 y 8: Eco de solicitud y de respuesta: No es ni ms ni menos que el comando PING,
que genera una solicitud y una respuesta (configurable), para determinar la continuidad
del recorrido de un datagrama a lo largo de una red, su cantidad de saltos y el tiempo
demorado.
3: Destino no alcanzable: Se genera cuando un datagrama no encuentra la direccin IP
destino. Tambin ocurre cuando el bit de no fragmentar de la cabecera IP esta puesto en
1, y la red destino no soporta bloques del tamao de ese datagrama, por lo cual no podr
ser entregado a esa red, causando la no llegada a destino. Dentro de este tipo es
interesante tener en cuenta el campo Cdigo, pues brinda informacin adicional sobre las
causas por las cuales no se llega a destino, en particular si lo que se desea es obtener
informacin sobre ese extremo (Extremadamente usado para ataques a redes). Los
valores que toma son:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 153 [Link]
-0: Red inalcanzable.
-1: Host inalcanzable.
-2: Protocolo inalcanzable.
-3: Puerto inalcanzable.
-4: Fragmentacin requerida y bit de no fragmentar puesto a 1 en el datagrama
origen.
-5: Falla en la ruta.
-6: Red desconocida.
-7: Host desconocido.
-8: Host origen aislado.
-9: Acceso a la red administrativamente prohibido.
-10: Acceso al Host administrativamente prohibido.
-11: Red inalcanzable por tipo de servicio.
-12: Host inalcanzable por tipo de servicio.
4: Fuente agotada: Sirve para regular el flujo de informacin. Implica un buffer lleno,
causa por la cual sera conveniente que el Host transmisor dejara de hacerlo hasta que
deje de recibir estos mensajes.
11: Tiempo de vida excedido: El campo TTL lleg a 0.
5: Se requiere redireccionamiento: Existe una ruta mejor.
12: Problemas con el parmetro: Error semntico o sintctico en el encabezamiento IP.
13 y 14: Solicitud y respuesta de marcador de tiempo: Permite la sincronizacin de clock
entre nodos, a travs de la hora GMT (Greenwich Mean Time).
15 y 16: Solicitud y repuesta de informacin: Permite obtener informacin de un nodo.
Este fue originariamente pensado para los protocolos BOOTP y R_ARP.
17 y 18: Solicitud y respuesta de mscara de direccin: Permite determinar las mscaras
de las redes con que est conectada un nodo. Se emplea para el ruteo hacia esas redes.
Desde el punto de vista de la seguridad, este protocolo es fundamental, pues as como nos
facilita el control y monitorizacin de la red, tambin ofrece informacin muy valiosa para
quien la est buscando. En el prrafo anterior, citamos nicamente los tipos y cdigos ms
importantes, pero hay ms. Sobre los anteriores ya podemos comenzar a plantearnos, por
ejemplo:
No es lo mismo saber que un Destino es inalcanzable (Tipo 3), que saber que ese
destino es inalcanzable porque 9: el Acceso a la red o al host est
administrativamente prohibido (Cdigos 9 o 10), pues eso me informa sin lugar a
dudas, que el datagrama est llegando, pero hay algn administrador que no nos
quiere dejar llegar........10: Acceso al Host administrativamente prohibido, o que estoy
llegando, pero el protocolo o el puerto (cdigos 2 o 3), eso sera una clara indicacin
que es a nivel 4 o 5 del modelo de capas donde se est impidiendo el paso. Tampoco
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 154 [Link]
es lo mismo que nos indiquen que no llego a la red o al host (Cdigos 0 o 1), y as
podramos seguir con ms detalle.
Un mensaje de fuente agotada (tipo 4), nos est indicando que estamos a un pice de
desbordar el buffer de ese dispositivo, o al menos que ya empez a descartar
datagramas (situacin ideal para un ataque de negacin de servicio)
El tipo 5 (se requiere redireccionamiento) es la situacin ms buscada para el ataque
del hombre del medio a nivel IP......
Hemos querido presentar someramente algunos de los mensajes y empleos que ofrece este
protocolo, para el lado del bien y para el lado del mal, pues insistimos que es muy
importante, pero no es motivo de esta captulo profundizar sobre esto. Luego en la PARTE
II se desarrollar con ms detalle lo relacionado a seguridad de este protocolo.
5.3. IGMP ( Internet Group Messaging Protocol) (RFC 1112).
Este protocolo es muy similar al anterior, pero est pensado para mensajes entre grupos de host
empleando tambin los datagramas IP para transportar su informacin.
5.3.1. Multicast IP sobre Ethernet:
Los primeros cuatro bit de una direccin IP si se encuentran como 1110 identifican una
direccin Tipo D o Direccin de multicast, los restantes 28 bit identificarn a que grupo se
refiere, dentro de este esquema se debera comenzar con [Link] la cual no se emplea por ser
reservada. La siguiente es [Link] que define a todos los grupos de host y router que
participan en multicast.
Una direccin multicast, se debe aclarar que jams puede definir una direccin origen,
siempre se referir a una destino.
Dentro de un esquema Ethernet, para que una direccin de multicast de nivel IP pueda ser
entregado a los equipos deseados, es imprescindible que el nivel 2 sepa identificarlos para que
de alguna manera no los descarte en ese nivel. Para que esto suceda, una solucin podra ser
un Broadcast de nivel 2, ante lo cual todas los Host de esa LAN lo reconoceran como propio,
lo desencapsularan y entregaran el datagrama al nivel 3 (IP). Esta opcin desde ya
desperdicia bastante el esquema de direccionamiento de Ethernet, pues lo ideal sera que slo
sea tenido en cuenta por los Host que integran el grupo de multicast de nivel IP. Para
implementar este procedimiento Ethernet ubica los ltimos tres octetos de la direccin IP en
los mismos ltimos tres de la direccin NIC o MAC de este nivel en una direccin grupal
especfica que es 01-00-5E-00-00-00.
Ej: Si el multicast IP fuera [Link] la direccin Ethernet es 01-00-5E-00-00-01
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 155 [Link]
Los Host que participan de un esquema de multicast IP, pueden desempear tres niveles
diferentes:
Nivel 0: El Host no puede recibir ni enviar IP Multicast.
Nivel 1: El Host no puede recibir pero puede enviar IP Multicast.
Nivel 2: El Host puede recibir y enviar IP Multicast.
5.3.2. Fases de IGMP:
IGMP posee dos fases:
Fase 1: Cuando un Host se incorpora a un grupo de multicast enviando un mensaje a
todos los Host del Grupo, anuncindose como miembro. Los router locales reciben
este mensaje y lo propagan al resto de los miembros.
Fase 2: Como los grupos son dinmicos, los router locales peridicamente sondean
(Poll) los host para mantener el estado de los grupos.
5.3.3. Formato del mensaje IGMP:
4 4 8 16
Versin Tipo Reservado CRC
Direcciones de Grupo
Versin: La versin actual es la 1.
Tipo: Posee dos valores, Consulta de un router (1), y respuesta enviada por un host
(2).
Reservado: Debe estar puesto a cero.
CRC: Control de error de los 8 octetos.
Grupo de direcciones: Reporte de los miembros de un grupo multicast. Si es una
consulta debe ir puesto a cero.
Existe un protocolo para transmitir informacin de ruteo entre grupos multicast que emplea el
algoritmo de vector distancia y se llama DVMRP (Distance Vector Multicast Routing Protocol).
5.4. DHCP Dynamic Host Configuration Protocol (RFC 1541, 1531, 1533 y 1534).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 156 [Link]
5.4.1. Evolucin de los protocolos dinmicos (ARP, BOOTP):
Este protocolo es una evolucin natural del BOOTP (BOOTstrap Protocol) que fue la primera
implementacin de protocolos de inicio para mquinas que no poseen disco rgido, las cuales al
ser encendidas, deben primero hacerse presentes en la red y luego cargar el sistema operativo.
Para automatizar este proceso IETF desarrollo este nuevo protocolo conocido como DHCP.
Este ltimo introduce dos grandes mejoras respecto al anterior:
Primera: Permite a una mquina obtener toda la informacin necesaria en un solo
mensaje.
Segunda: Permite obtener una direccin IP rpida y dinmicamente.
5.4.2. Pasos de la asignacin dinmica:
Todo cliente DHCP puede encontrarse en seis estados diferentes:
Inicializacin: An no posee ninguna direccin IP, para lo cual deber contactar
a todos los servidores DHCP en su red local. Para hacer esto generar un
mensaje de descubrimiento DHCP.
Seleccin: Espera una respuesta (Oferta DHCP) del primer servidor y lo elige.
Solicitud: Ingresa a este estado cuando enva al servidor seleccionado un mensaje
de solicitud DHCP.
Enlace: Al recibir el ACK del servidor con la direccin solicitada, la cual ya
queda asignada en forma definitiva por el lapso correspondiente.
Renegociacin: Al generar un mensaje de renegociacin.
Reenlace: Al generar un mensaje de reenlace.
Al ingresar una mquina al estado de enlace, inicia tres Timer de control de asignacin, que en
general son asignados por el servidor durante la asignacin de direcciones:
Renegociacin: Por defecto es la mitad del intervalo de duracin de la direccin
asignada. Al expirar este tiempo el cliente debe renegociar su direccin IP.
Reenlace: Por defecto expira al 87,5 % del tiempo de asignacin. Al llegar a este
tiempo, el cliente asume que el servidor se encuentra inactivo, y genera un mensaje
Broadcast de reenlace
Expiracin: Expira si no recibe respuestas de ningn servidor y vence su tiempo de
asignacin.
El empleo de DHCP no genera un uso significativo del ancho de banda durante los perodos
de uso. Para iniciarse un Host y obtener su direccin IP se generan cuatro tramas de 342 Byte
cada una entre host-servidor:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 157 [Link]
a. DHCP descubrimiento (Bsqueda): Esta primera trama generada por el cliente es un
broadcast para ubicar un servidor DHCP, pues el cliente no tiene conocimiento de
dnde se encuentra este servicio.
b. DHCP oferta: Una vez que un servidor DHCP ha recibido una trama de
descubrimiento y determinado que puede responder a esta, responde entregando una
direccin IP dentro del rango que este servidor tiene asignada. Esta trama tambin
es broadcast pues el host an no tiene direccin IP.
c. DHCP solicitud: El cliente seleccionar la primer direccin IP que reciba (tener
presente que si existe ms de un servidor DHCP respondern todos), y solicitar al
servidor el empleo de esa direccin. Esta tambin es Broadcast pues an no est
confirmada su direccin IP.
d. DHCP ACK: Una vez que el servidor recibe la respuesta, enva el
Acknowledgement, el tiempo de vida de esa direccin y los parmetros necesarios de
TCP/IP. Esta ltima ser Broadcast tambin pues es el paso final de la negociacin
an no cerrada.
Ej: 1 3.080 cliente1 *BROADCAST DHCP Discover
2 3.155 Serv_DHCP *BROADCAST DHCP Offer
4 3.190 cliente1 *BROADCAST DHCP Request
5 3.320 Serv_DHCP *BROADCAST DHCP ACK
Un cliente DHCP renegocia su direccin IP antes de que esta expire. Esta renegociacin
solamente consiste en dos tramas tambin de 342 Byte cada una. Esta renegociacin puede
ocurrir de dos modos diferentes:
a. Al iniciar un cliente que an posee una direccin IP cuyo tiempo de vida no expir,
enva una trama de solicitud al servidor DHCP. Esta trama es Broadcast, pues este
host fue apagado, pudiendo no encontrarse ahora en la misma subred. Si el servidor
encuentra satisfactoria la solicitud, responder con una trama ACK de la misma
forma que un inicio de host.
b. Al ocurrir la mitad del tiempo de vida de su propia direccin IP, el cliente inicia una
renegociacin. Esta es dirigida a la misma direccin IP del servidor que la otorg.
En ambos casos, el cliente intentar renegociar dos veces, si no obtiene su trama ACK, al
expirar el tiempo de vida se producirn las cuatro tramas habituales de obtencin de
direccin IP.
Ej: 1 5.200 Cliente1 Serv_DHCP DHCP Request
2 5.302 Serv_DHCP Cliente1 DHCP ACK
Las negociaciones DHCP pueden ocurrir en los siguientes casos:
a. Inicio de clientes DHCP.
b. Renegociacin automtica de direccin IP, la cual se produce una vez durante la
mitad del tiempo de vida de esa direccin DHCP, la cual por defecto suele ser 3 das.
c. Cuando un cliente es movido a una nueva subred.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 158 [Link]
d. Cuando un cliente reemplaza su tarjeta de red.
e. Cuando un cliente manualmente refresca o renegocia su direccin IP con el comando
IPCONFIG.
f. Cuando un cliente reinicia su ETD.
Los protocolos DHCP y BOOTP son compatibles, de hecho un servidor DHCP puede ser
programado para responder solicitudes BOOTP, sin embargo DHCP cambia el significado de
dos campos en el Header del mensaje como se ver a continuacin.
5.4.3. Formato del mensaje DHCP:
8 8 8 8
OP HTYPE HLEN HOPS
TRANSACTION ID
SECONDS FLAGS
CLIENT IP ADDRESS
YOUR IP ADDRESS
SERVER IP ADDRESS
ROUTER IP ADDRESS
CLIENT HARDWARE ADDRESS (16 octetos)
SERVER HOST NAME (64 octetos)
BOOT FILE NAME (128 octetos)
OPTIONS (Variable)
OP: Toma valor (1) para solicitud y (2) para respuesta.
HTYPE:
(1) DHCPDISCOVER.
(2) DHCPOFFER.
(3) DHCPREQUEST.
(4) DHCPDECLINE.
(5) DHCPACK.
(6) DHCPNACK.
(7) DHCPRELEASE.
HLEN: Especifica el tipo y longitud de la direccin de Hardware (Ej:
Ethernet tiene tipo 1 y longitud 6 octetos).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 159 [Link]
HOPS: El cliente coloca (0), si es necesario pasar a travs de distintos router ,
el servidor BOOTP o DHCP lo incrementar.
TRANSACTION ID: Contiene un nmero entero que permite llevar el
control entre las solicitudes y respuestas.
SECONDS: Determina el tiempo transcurrido desde que se inici la
operacin..
FLAGS: Identifica por medio del primer bit si es un Broadcast, los restantes
quince deben estar puestos a cero.
CLIENT IP ADDRESS:
YOUR IP ADDRESS:
SERVER IP ADDRESS:
ROUTER IP ADDRESS:
CLIENT HARDWARE ADDRESS:
SERVER HOST NAME:
BOOT FILE NAME: Puede contener el tipo de booteo (Ej: UNIX)
OPTIONS: Define mscara de subred, hora,etc
Hasta aqu se aprecia el aspecto general de DHCP, pero si se desea analizar en detalle su
funcionamiento es necesaria remontarse a sus orgenes y tener en cuenta como nacen los
protocolos de booteo (como se mencion en la introduccin).
Al inicializarse una mquina sin disco rgido, esta carga directamente de la ROM, una
imagen a su memoria que le permite comenzar una secuencia de actividades. Como las
direcciones IP no pueden ser impuestas por el fabricante pues justamente se trata de un
esquema lgico, e inclusive en redes privadas estas pueden estar repetidas en cualquier lugar
del mundo; la direccin IP debe ser solicitada a otra mquina en la red, e inclusive tambin
necesitar una configuracin particular para cada red, que tambin depender de otra
mquina que podr ser o no la misma que la anterior.
Una primera aproximacin es el Protocolo R_ARP (Mencionado con anterioridad) que
permite descubrir servidores y direcciones IP fuente y destino para este problema. La
primera limitacin est en la poca informacin que en sus campos se transmite (solo la IP
cliente), la segunda es que es de muy bajo nivel, lo que exige a cualquier programador
mucho ms esfuerzo pues se debe llegar hasta el Hardware.
Para mejorar a R_ARP se dise BOOTP (Precursor de DHCP). La primera cualidad de
este protocolo es que emplea IP y UDP, causa por la cual tiene acceso al nivel de
aplicacin, sin ninguna tarea adicional. El segundo detalle significativo es la cantidad de
informacin que con solo dos mensajes (Solicitud y respuesta) puede transferir. Para
graficar este concepto es conveniente analizar su formato (Similar a DHCP):
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 160 [Link]
8 bit 8 bit 8 bit 8 bit
Operacin Tipo de Hard Long Hard Hops
Identificador de transaccin
Segundos No definido
Direccin IP cliente
Su direccin IP
Direccin IP del Server
Direccin IP del Router
Direccin de Hardware cliente (16 octetos)
Nombre del Server (64 octetos)
Nombre del archivo de booteo (128 octetos)
Area especfica del vendedor (64 octetos)
Operacin: Solicitud (1), Respuesta (2).
Tipo y Longitud de Hardware: Especifica que tipo de hardware es empleado y su
longitud (Ej: Ethernet : Tipo = 1 , Long = 6).
Hops: El cliente coloca valor 0, si se permite el booteo a travs de mltiples
Router, el BOOTP Server, lo incrementa en 1.
Identificador de transaccin: Contiene un nmero entero generado pseudo-
aleatoriamente, que permitir reconocer respuestas con solicitudes.
Segundos: Identifica el tiempo en el cual el cliente inici su operacin de
booteo.
Direcciones y nombres: Estos campos le otorgan una gran flexibilidad a este
protocolo, pues permiten ser llenados con la informacin que se posea, y en los
campos que no se conozcan se colocarn ceros. Por lo tanto puede conocer o no
su direccin, la del Server, el nombre del mismo, etc.
Area especfica del vendedor: Dentro de este campo se permite por medio de un
formato establecido (un octeto de Tipo, un octeto de longitud y n octetos de
valores):
Tipo Longitud Descripcin
0 n Relleno
1 4 Mscara de subred
2 4 Tiempo GMT
3 n Direcciones IP de routers
4 n Direcciones IP de Servidores de tiempo
6 n Direcciones IP de DNS Server
7 n Direcciones IP de de Log Server
10 n Direcciones IP de Server de impresin
12 n Nombres de cliente
13 2 Tamao del archivo de booteo
128-254 n Reservados para uso especfico de esa Site
255 1 Fin de lista
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 161 [Link]
Algunos de estos Tipos pueden obtenerse por medio de otros protocolos (Ej: ICMP,
WINS,etc), pero los estndares recomiendan el empleo de estos campos en BOOTP para
evitar trfico de red.
Si se comparan con el formato DHCP se puede apreciar la similitud entre estos, pero en el
detalle difieren.
Un detalle significativo de este protocolo es que no provee la informacin de booteo, le
brinda toda la informacin de red necesaria, e inclusive en el campo Nombre del archivo de
booteo puede especificar la direccin y el nombre de un servidor TFTP (por ejemplo), y con
este dato completar el segundo paso que sera la obtencin de los archivos de booteo. Este
detalle aunque pase inadvertido es de suma importancia pues se puede desde optimizar el
trfico hasta poseer distintos sistemas operativos de booteo (Ej: UNIX, Windows 2000, etc)
en distintos servidores, y acorde a la solicitud BOOTP cliente, asignarle cada servidor.
Si bien el protocolo BOOTP fue un avance significativo, representa una configuracin
bastante esttica, el administrador de red, crea un serie de parmetros para cada Host en el
cliente y el servidor, los cuales permanecern en los mismos por perodos de tiempo
relativamente largos.
A fines de los 90se hacen reales dos hechos que envejecen prematuramente este
protocolo:
Integracin masiva de las distintas redes privadas a Internet.
Empleo cotidiano de computadoras porttiles.
La explosin de Internet hace que las asignaciones de direcciones IP sean escasas e
imponen a muchas subredes rangos ms pequeos que la cantidad de host que se poseen,
obligando a reducir el tiempo de vida de las asignaciones IP dentro de una subred, para que
de esta forma sean compartidas por ms de un usuario. El empleo de Notebooks hace que
las direcciones asignadas sean diferentes acorde a la subred en la cual se haga presente
fsicamente. BOOTP no se adapta a estas situaciones pues realiza un mapeo esttico.
Bajo esta situacin es que nace DHCP, tratado al principio.
5.4.4. Seguridad (Asignacin dinmica o esttica?):
Si bien el funcionamiento de la asignacin dinmica, es un gran apoyo para los
administradores de redes, y en realidad facilita notablemente esta tarea, eliminando a su vez
las posibilidades de asignaciones repetidas de direcciones IP, lo cual era un problema bastante
frecuente en redes grandes; nuevamente aparece esa peligrosa relacin de facilidad Vs
seguridad. Si se analiza en detalle la solicitud DHCP, se trata de un Broadcast, el cual ser
recibido por todos los servidores DHCP de la red (inclusive se puede programar cmo se
desea operar con el mismo a travs de los routers). Todos los servidores contestarn
ofreciendo una direccin IP, y la que primero llegue al host solicitante, ser la que este
negocie en las dos tramas restantes.
Si se tiene en cuenta que en una red Ethernet, no existe forma de asignar prioridades de
acceso al canal, nunca se podr definir sectores de la red que sean clientes de ciertos
servidores DHCP, como s se puede hacer con servidores WINS o DNS (pues estos ya son
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 162 [Link]
parte de la configuracin IP, esttica o dinmica), pues al host an no posee ninguna
configuracin IP. Este detalle desde el punto de vista de la seguridad, presenta dos grandes
problemas:
1) Si se posee ms de un servidor DHCP, los rangos de cada uno de ellos, sern
adjudicados aleatoriamente en los distintos host de la red. Este aspecto no permite
planificar grupos de direcciones IP que rpidamente identifiquen la ubicacin fsica
de un host en la red.
Se desea hacer especial hincapi en este prrafo, pues en redes seguras (con IP
estticas bien asignadas), uno de las mayores ayudas que se tiene al realizar anlisis
de trfico es que al capturar direcciones IP, inmediatamente se puede inferir de qu
host se trata, si es parte de la red, dnde se encuentra el mismo, que funciones
desempea y por lo tanto qu derechos y obligaciones posee. Detngase a pensar si
esto es posible con asignaciones estticas.
Dentro de esta lnea de pensamiento es que se debe tener muy en cuenta este punto al
comenzar a disear una red (pues luego se hace muy dificultoso). Es de vital
importancia desde el vamos dedicarle todo el tiempo necesario para planificar la
estrategia de direccionamiento de la red completa (y si no se hizo desde el principio
es una tarea que SI o SI se debe hacer). Un muy buen punto de partida es armar
planos de cada subred, dimensionar las subredes, asignarle rangos de IP privadas
acorde a la magnitud de cada una de ellas, luego seguir avanzando de lo global a lo
particular, es decir, dentro de cada subred continuar por regiones, edificios, pisos,
grupos de trabajo, etc. hasta llegar a identificar al ltimo host.
Ej: [Link]
Podra ser interpretado como:
10.65 (1ro y 2do octeto): SubRed perteneciente a la zona A
(Desde 10.65 hasta 10.127, podra ser zona B desde 10.128
hasta 10.191 )
130 (3er octeto): Edificio A2 - Piso 2 (Edificio A1 = Subred 1
hasta 127, Edificio A2 = Subred 129 hasta 254, dentro del
mismo: piso 1 = 129, Piso 2 = 130, Piso 3= 131,.......).
67 (4to octeto): Grupo 1: Podra asignarse desde 65 hasta 127
= grupo 1 y desde 129 a 191 grupo 2.
Este ejemplo est basado en REDES REALES de alta seguridad, donde se
necesita tener inmediata visualizacin de toda direccin IP que se monitorice, y por
ms que parezca difcil la lgica de asignacin, cualquier operador que trabaje con
una consola en un muy corto perodo de aprendizaje, al ver pasar cualquiera de estas
direcciones inmediatamente ubica de dnde se encuentra pues si se sigue una
buena lgica, es extremadamente fcil familiarizarse con la red.
Esta planificacin no implica la obligacin de realizar todo con direcciones estticas,
pero si la de hacerlo en los segmentos en los cuales las aplicaciones son crticas,
excluyendo estos rangos de direcciones de los servidores DHCP que se hayan
instalado.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 163 [Link]
2) Cualquier host que se conecte fsicamente a la red obtendr una direccin IP y a
partir de aqu navegar con total libertad por la red LAN.
5.5. IP Versin 6 (IP Next generation).
5.5.1. Conceptos:
Desde hace tiempo ya se hacen evidentes algunas falencias que hoy tiene la actual versin
del Protocolo IP (Versin 4). Algunas de ellas son la mala distribucin que utiliza de sus
cantidades de Host en cada una de sus redes (A, B y C); son muy pocas o ninguna las
empresas que poseen los millones de Host que permite una direccin tipo A, hoy tampoco
existen 2.100.000 empresas, por lo tanto, tanto en A como en C se desperdicia la asignacin
de direcciones, si bien hoy se asignan porciones de las mismas, este no fue el sentido con que
fueron creadas. Otra debilidad es la no posibilidad asignaciones geogrficas , lo que
representa una enorme carga de tablas en los router exteriores, casi ya imposible de controlar.
Tambin se suman detalles de seguridad, criptogrfiado, Prioridades, longitud variable de
cabecera, etc.
5.5.2. Caractersticas:
Las caractersticas principales de IPv6 son:
Direccionamiento: 128 bit.
Encaminamiento: Direccionamiento jerrquico.
Prestaciones: Cabecera simple de 40 Byte, alineada de a 64 bit, y cualquier otra
informacin se agrega como cabecera en extensin (opcional).
Versatilidad: Formato flexible de opciones.
Multimedia: Id de flujos.
Multicast: Obligatorio.
Seguridad: Soporte de autenticacin y cifrado.
Autoconfiguracin: Tres mtodos PnP.
Movilidad: Surce routing, seguridad, deteccin de mviles, hand-off.
Fragmentacin: nicamente de extremo a extremo, es decir que slo el origen puede
fragmentar. Para implementar esto, hace uso de PMTU (Path MTU, RFC 1191), que
es el mecanismo empleado para determinar la mxima unidad de datos que contendr
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 164 [Link]
un datagrama, una vez conocido este tamao, armara todos los paquetes sin superar
el mismo, por ende ningn router deber fragmentarlo pues no ser necesario.
Tamao de datagrama: Mantiene el mismo concepto que la versin 4 y propone un
nuevo modelo de datagrama, llamado Jumbograma, el cual se define a travs de una
cabecera en extensin, y permite transmitir datagramas de hasta 4 Gbyte. La idea de
esta nueva aplicacin es permitir la transmisin de grandes volmenes de datos entre
servidores, los cuales no necesitan incrementar con tanta redundancia de cabecera,
siendo el mejor representante de esto el empleo de cluster de servidores.
5.5.3. Encabezado de IPv6:
Versin Clase de trf. Rtulo de flujo
Longitud de carga til Sig. Cabecera Lmite Saltos
Direccin fuente
Direccin destino
Posibles cabeceras de extensin
Versin: (4), se mantiene el mismo tamao para permitir distinguirlo del
versin 4 y que puedan convivir durante algn lapso de tiempo.
Clase de trfico (4): (Video, audio, datos, voz, etc).Cuanto ms alto sea su
valor ms importante es, los valores que puede adoptar son:
0 trfico sin caracterizar
1 trfico filler
2 transferencia de datos no atendida, como E-mail
3 reservado
4 transferencia de bloques de datos atendida, como FTP
5 reservado
6 trfico interactivo, como TELNET
7 trfico de control de Internet, como protocolos de encaminamiento
Rtulo de flujo: (24), Todos los datagramas del mismo flujo (Ej: todos los
datagramas de una misma FTP).
Longitud de carga til: (16): Cantidad de octetos de datos.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 165 [Link]
Siguiente cabecera: (8), se permiten varias, todas ellas van despus del campo
Direccin destino y aqu se identifican cuales van.
Lmite de saltos: (8), para evitar lazos infinitos.
Direccin origen y destino (128 c/u), aparece aqu aparte de Net y Host un
nuevo identificador llamado Direccin de Agrupacin, que identifica regiones
topolgicas.
Posibles cabeceras de extensin (Extension Headers):
Irn colocadas antes del campo de datos, cada cabecera tendr un primer
campo (8 bit) que indica la prxima cabecera (Next Header) que indica si
existe otra cabecera de extensin o si esta es la ltima:
Cabecera salto por salto (valor 0): Lleva informacin para analizar en cada
router.
Cabecera extremo a extremo: Lleva informacin que solo se examinar en
el destino.
Cabecera de enrutamiento (valor 43): Ruta fija.
Cabecera de fragmento (valor 44): Si existe fragmentacin.
Cabecera de verificacin de autenticidad(valor 51): Permite verificar
autenticidad de origen.
Cabecera de confidencialidad: Los datos no deben ser ledos durante su
paso por Internet.
5.5.4. Direccionamiento de IPv6:
Direcciones de 128 bit (16 octetos) (ms de 10
38
direcciones posibles).
A pesar de las restricciones de redes y reservadas an quedan ms de 1.500
direcciones por m
2
de la superficie de la tierra.
Tres tipos de direcciones (unicast, anycast y multicast).
No existen clases, similar al concepto de CIDR.
Notacin general [Link]
Los ceros contiguos se pueden eliminar, es decir los siguientes pares de octetos se podran
representar como estn indicados a su derecha:
:002E: :2E:
:000A: :A:
:6700: :6700:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 166 [Link]
:0004:0000:0000:0000:000A: :4::A: (Slo una vez se pueden resumir las secuencias
seguidas de ceros, con dos puntos seguidos ::).
[Link] 4::A:0000:0000:1243:AD:
Las direcciones compatibles con Ipv4 se abrevian con un solo punto (en vez de doble), o
cual indica que se trata de un solo octeto y no dos:
[Link][Link] ::FFFF:[Link]
5.5.5. Tipos de direcciones:
Se definen tres tipos de direcciones IPv6:
Compatibles con IPv4
Una direccin indicando un nodo IPv6 con una direccin que se puede mapear
unvocamente al espacio IPv4. Tienen el prefijo IP [Link]. Por ejemplo,
[Link][Link]
Mapeadas a IPv4
Una direccin IPv6 que indica un nodo slo IPv4. Tienen el prefijo IP [Link].
Por ejemplo, [Link][Link].. Es importante darse cuenta de que las
direcciones compatibles con IPv4 y las mapeadas a IPv4 utilizan el mismo espacio
de direcciones. El prefijo slo indica si el nodo soporta o no IPv6.
Slo IPv6
Una direccin IPv6 que indica un nodo que soporta IPv6 donde los 32 bits
inferiores no contienen necesariamente una direccin IPv4. Los 96 bits de orden
superior son distintos de [Link] o [Link].
Direcciones especiales:
[Link] Loopback.
[Link] Direccin no especificada.
Concepto de prefijo: El prefijo es similar a la notacin de cisco de mscara de red, es decir se
anexa a continuacin de la direccin IP, separado por una barra (/) en notacin decimal el valor
que identifica la cantidad de bit que estn puestos a uno en la mscara de red (de izquierda a
derecha):
[Link]/48
RFC que hacen referencia a IPv6
1881 IPv6 Address Allocation Management.
1883 Internet Protocol, Version 6 (IPv6) Specification.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 167 [Link]
1884 IP Version 6 Addressing Architecture.
1887 An Architecture for IPv6 Unicast Address Allocation.
1897 IPv6 Testing Address Allocation.
1924 A Compact Representation of IPv6 Addresses.
1933 Transition Mechanisms for IPv6 Hosts and Routers.
1970 Neighbor Discovery for IP Version 6 (IPv6).
1971 IPv6 Stateless Address Autoconfiguration.
1972 A Method for the Transmission of IPv6 Packets over Ethernet Networks.
2073 An IPv6 Provider-Based Unicast Address Format.
2147 TCP and UDP over IPv6 Jumbograms.
2374 An IPv6 Aggregatable Global Unicast Address Format.
2375 IPv6 Multicast Address Assignments.
2460 Internet Protocol, Version 6 (IPv6) Specification.
2461 Neighbor Discovery for IP Version 6
2462 IPv6 Stateless Address Autoconfiguration.
2471 IPv6 Testing Address Allocation.
2473 Generic Packet Tunneling in IPv6 Specification.
2474 Definition of the Differentiated Services Field in the IPv4 and IPv6 Headers.
2491 IPv6 over Non-Broadcast Multiple Access (NBMA) networks
2526 Reserved IPv6 Subnet Anycast Addresses.
2675 IPv6 Jumbograms.
2732 Format for Literal IPv6 Addresses in URLs.
2893 Transition Mechanisms for IPv6 Hosts and Routers.
2928 Initial IPv6 Sub-. TLA ID Assignments.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 168 [Link]
EJERCICIOS DEL CAPTULO 5 (Nivel de Red)
Los ejercicios de esta captulo hemos decidido iniciarlos con una serie de prcticas de
direccionamiento, pues insistimos, desde el punto de vista de la seguridad, es muy importante
disear esquemas de direcciones IP que nos permitan hacer crecer nuestras redes de forma, lgica,
intuitiva y flexible. Recordad siempre que es una muy buena prctica, el hecho de capturar un
direccin IP e inmediatamente poder identificar a qu ubicacin fsica se corresponde, a qu rea de
mi empresa, edificio, zona, si es troncal, LAN, WAN, etc. Si logramos hacerlo bien, esta tarea nos
allanar mucho tiempo y esfuerzo a la hora de identificar, seguir o recuperarnos de cualquier tipo de
incidencias
1. Identificacin de Red y Host.
Rodea con un crculo la parte del host de cada direccin IP de las que figuran a continuacin,
respetando las Clases y aclara que Tipo es:
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 169 [Link]
2. Mscaras de Red y Subred.
En los problemas que figuran a continuacin, se plantea una direccin de red (respetando las
clases), en cada uno de ellos debers aclarar de qu clase se trata, cual es su mscara de red, y
luego calcular qu mscara de subred debes (o puedes) emplear para dividirla en las subredes
que se plantean como necesarias.
Problema 1
N de subredes necesarias 2
Direccin de Red [Link] Tipo?:...... Mscara de Red?:............
Mscara de Subred?:..............
Hasta cuntos host tendr cada subred?:..........
Problema 2
N de subredes necesarias 9
Direccin de Red [Link] Tipo?:...... Mscara de Red?:............
Mscara de Subred?:..............
Hasta cuntos host tendr cada subred?:..........
Problema 3
N de subredes necesarias 20
Direccin de Red [Link] Tipo?:...... Mscara de Red?:............
Mscara de Subred?:..............
Hasta cuntos host tendr cada subred?:..........
Problema 4
N de subredes necesarias 78
Direccin de Red [Link] Tipo?:...... Mscara de Red?:............
Mscara de Subred?:..............
Hasta cuntos host tendr cada subred?:..........
Problema 5
N de subredes necesarias 146
Direccin de Red [Link] Tipo?:...... Mscara de Red?:............
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 170 [Link]
Mscara de Subred?:..............
Hasta cuntos host tendr cada subred?:..........
3. Direcciones IP vlidas e invlidas para un host.
Identifica cules de las siguientes direcciones son correctas y utilizables.
(Si no se pueden usar explica la razn....)
[Link]/24
[Link]
[Link]/14
[Link]/24
[Link]/24
[Link]/16
[Link]/8
[Link]
[Link]
[Link]
[Link]/25
[Link]/22
[Link]/8
[Link]/9
[Link]
4. Trabajo con tablas de ruta.
Investiga las diferentes opciones del comando route tanto en Windows como en Linux.
Luego prueba diferentes opciones para aadir, modificar y borrar las mismas.
Si tuvieras acceso a algn dispositivo que cuente con ms de una tarjeta, verifica cmo es su
tabla de rutas.
Si tienes un ordenador porttil o de sobremesa con tarjeta Ethernet y WiFi, intenta realizar las
diferentes posibilidades de conexin a tu router ADSL. Qu sucede si estando conectado por
WiFi, conectas a su vez el cable de tu tarjeta Ethernet?, Sigue funcionando tu salida a Internet?,
Qu direcciones IP te indica tu tabla de rutas?
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 171 [Link]
Lanza el analizador de protocolos y si continas navegando por Internet investiga con cul IP,
e Interfaz ests navegando?, Qu sucede con la otra?.... Te atreves a modificar tu
configuracin en las direcciones IP y en las tablas de ruta?
5. Ejercicios con capturas de trfico con protocolo IP.
Fragmentacin IP: Nuevamente empleando el comando ping, generar trfico con la opcin
de tamao mayor a 1500 Bytes para que el protocolo IP se vea obligado a fragmentar, capturarlo
con el analizador de protocolos y verificar el empleo de los campos de fragmentacin, tal cual se
presenta en la imagen siguiente:
Multicast IP:
Ahora que hemos desarrollado el esquema completo de multicast a nivel enlace y red, te
invitamos a que captures trfico multicast IP y analices cmo se solapan los tres ltimos
octetos de la direccin IP, respecto a la direccin MAC. A continuacin presentamos el ejemplo
de captura remarcando este solapamiento:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 172 [Link]
Te atreves a describir cmo se relaciona este solapamiento, es decir por qu el ltimo
octeto IP es 24 y el MAC 18? (Te acuerdas an el pasaje de decimal a hexadecimal?)
Encabezado IP:
En este ejercicio, sencillamente captura un datagrama IP, despliega todos sus campos verifica
y repasa cada uno de ellos en su encabezado. A continuacin, te presentamos un ejemplo de
Broadcast IP para que lo compares con tu captura:
5. Ejercicios de captura de trfico con protocolo ICMP.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 173 [Link]
A continuacin te presentamos dos capturas del comando ping, una est ejecutada desde una
mquina Windows y la otra desde Linux. Mralas con atencin, Qu diferencia puedes
encontrar entre ambas?, Te atreves a generar estos ping desde tu mquina, capturarlos y sobre
esa base identificar cul captura es la de Linux y cul la de Windows? Investiga un poco este
tema en Internet y corrobora lo que t mismo has deducido.
REFLEXIN: Estamos comenzando a ver cmo es posible identificar diferentes SSOO
sencillamente por pequeas diferencias entre como cada uno de ellos implementa un protocolo,
en este caso los tipos 0 y 8 de ICMP, pero seguiremos viendo este hecho con mucha frecuencia a
lo largo del libro y es justamente una de las mayores fuentes de informacin para un intruso.
En la parte de herramientas de este Captulo (a continuacin), vers algunas que te permitirn
generar todos los tipos y cdigos ICMP que desees (hasta inventarte los tuyos), el trabajo
importante que debes hacer con ellas, es justamente Capturarlas, para poder analizarlas en
detalle y comprender perfectamente y en la prctica su funcionamiento.
6. Investigacin sobre ICMP: Te proponemos que a travs de cualquier buscador, busques
informacin, debilidades, funcionalidades, seguridad, etc. Sobre ICMP, pues sera muy
importante que le dediques un tiempo y lo conozcas con el mximo detalle.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 174 [Link]
EJERCICIOS CON HERRAMIENTAS
1. Herramienta IPCalc
Emplearemos dos tipos de calculadora IP, la primera a travs de lnea de comandos y la segunda
con entorno grfico
No requiere mayores explicaciones, sencillamente te invitamos a que veas man ipcalc desde
Linux.
La interfaz grfica si empleas Gnome, se instala como gip.
Tambin puedes descargar ipcalc para Windows, es muy similar a la anterior.
2. Comando ping
Probar diferentes opciones del comando Ping y describirlas.
Qu sucede con ping -b?, Qu se dice de esto en Internet?
Si puedes generarlo en entornos donde existen diferentes SSOO o versiones de ellos, un
ejercicio excelente es verificar quines responden y cules no. Igualmente te invitamos a
que lo investigues en Internet pues encontrars mucho acerca de esta opcin.
Buscar en Internet direcciones IP que puedan tener alguno de estos SSOO y verificar si se
puede obtener alguna respuesta.
3. Empleo de hping3 (Lo emplearemos desde Linux)
Para qu sirve la opcin -E?
Qu diferencia me ofrece el ejercicio anterior, si empleo la opcin -c o si no la empleo?
En qu nivel de la pila de protocolos viaja la informacin?
Ejecutar: hping3 -0 -d 1 -E Nombre_Archivo Direccin_IP, capturar y describir qu est
sucediendo.
Ejecutar: hping3 -x -y Direccion_IP. Verificar cules SSOO responden y cules no.
Ejecutar: hping3 -2 -c 2 -p 50 Direccion_IP. (Hacia un puerto cerrado de un host activo y
hacia un host no activo). Para qu nos sirve?
4. Comando Fragroute (lo emplearemos desde Linux).
Crear un archivo bsico para ejecutar Fragroute.
Ejecutar fragroute - f Archivo Direccion_IP.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 175 [Link]
Presenta algn mensaje de error?, Por qu?
Existe alguna forma de evitar el mensaje de error anterior, sin tener que ejecutar ningn
otro comando previo?
Analizar el archivo /etc/[Link], Qu hace?
Lanzar fragroute hacia una direccin IP, Qu est haciendo?
Intenta realizar combinaciones entre fragroute y hping3, por ejemplo hping3 -c 1 -d 30 -E
archivo_a_enviar Direccion_IP_Destino Qu sucede?
Se puede realizar algo similar a lo anterior desde dos mquinas diferentes?
Prueba algunas opciones de Fragtest
enviarse a uno mismo un correo con contenido extenso en texto plano (Capturar con
Wireshark), (verificar la IP del receptor de ese correo) (Analizar el contenido de esa captura)
Lanzar Fragroute hacia esa direccin.
Reenviar el correo (y capturarlo) Qu sucede?
Qu sucede si intercambio datos con otro host (otra_IP)?
5. Empleo de ICMPush (Lo emplearemos desde Linux).
Qu acciones novedosas u originales se pueden desarrollar con tipo 0 y 8?
Se puede hacer algo con ping en multicast y Broadcast?...... Cmo se llamara esta
actividad y/o ataque?
Qu tipos de ataque has investigado con tipo 0 y 8?
Cmo podemos emplear ICMP para la deteccin de routers?
Qu acciones se pueden realizar con los marcadores de tiempo?
Las opciones de mscara (Mask) e informacin (info) qu nos permiten hacer?
Qu ofrece la combinacin de -echo con -pat?
Qu estaramos generando con: icmpush -du -c max -gbg 65000 Direccion_IP? Hasta
cunto soporta la opcin -gbg
6. Ejercicios con nmap (Ejecuta los comandos, describir y presentar conclusiones) (lo
emplearemos en Linux, pero ya existe tambin para Windows).
nmap es una herramienta fundamental en redes, como iremos viendo, se puede emplear para
muchas actividades y diferentes niveles del modelo de capas, por ahora intentaremos acotarla a
su uso para actividades correspondientes al nivel de red, pero ms adelante continuaremos con
ella, por ahora:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 176 [Link]
Analiza las opciones: PE/PP/PM, Qu sucede en entornos LAN, y qu sucede en
entornos WAN?
Qu hace la opcin -PI?
-sP: (Sondeo Ping) Cmo trabaja?, Por qu lo llama Ping el man?
-sO: (O, no Cero) (IP protocol Scan).
-PO: (protocol list) (IP Protocol Ping).
-PN (Desactiva PING)
-PU (UDP Ping)
La idea de los ejercicios anteriores es comprender que existen diferentes formas de ping.
A nivel ICMP, IP, TCP y UDP. En base a este planteo, Explica cmo (o con qu opciones)
se puede ejecutar cada uno de ellos.
Verificar qu sucede si hago traceroute [Link] (DNS de Telefnica) y traceroute -
U -p 53 [Link]
Qu sucede con la siguiente opcin: nmap -sPsend-ip Direccin_IP?
Supongamos que con alguna opcin escaneamos un rango de red, Qu implica que no
reciba respuesta de ninguno, pero s recibo una respuesta ICMP de uno de ellos con el tipo y
cdigo Host inalcanzable?, Se puede probar y verificar este caso?............ (Se llama
mapeo inverso [Inverse Mapping])
7. Ejercicios con nmap que amplan lo realizado con otras herramientas en el protocolo IP.
-f mtu <valor> fragmenta paquetes con el MTU indicado.
--spoof-mac <direccin mac> Falsifica la direccin MAC.
--traceroute: Trace hop path to each host (Probar qu sucede con traceroute si ponemos la
opcin -sP y si no la ponemos).
--ip-options <options>: Send packets with specified ip options
--ttl <val>: Set IP time-to-live field
8. Ejercicios de red con Packet Tracer
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 177 [Link]
Packet Tracer es una herramienta de las Academias CISCO para simulacin de ejercicios
empleando las caractersticas de sus dispositivos, para el comn de los mortales que no cuentan
con toda la gama de CISCO a su disposicin, es una herramienta muy til. Si nos centramos en
el nivel de red, nos permite simular toda una arquitectura LAN y WAN, que sera casi imposible
de tener a nuestra disposicin.
En el caso de este captulo quisimos incluir algunos ejercicios, para que practiques o veas
cmo se puede disear una arquitectura de red, teniendo en cuenta todos los conceptos
desarrollados para este nivel.
El empleo de la herramienta es sumamente intuitivo y puedes encontrar en Internet muchsima
informacin al respecto.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 178 [Link]
A continuacin se presentan los pasos a seguir en este ejercicio.
Configurar una red WAN, compuesta de:
o Vnculos troncales internos [Link]
o Vnculo de salida a Internet [Link]
o Redes LAN [Link]
Configurar un router central al que estn conectados todos los dems.
Configurar cada LAN con un Switch y al menos un host.
Configurar todas las interfaces de red.
Configurar las rutas estticas para cada uno de ellos.
Configurar las rutas y gateway por defecto.
Verificar (con ping) el funcionamiento de toda la red.
Implementar ACLs estndar, para evitar que desde las redes LAN se pueda acceder a las
redes troncales.
Configurar una zona desmilitarizad (DMZ) con servidor de correo, Web y DNS.
Configurar un servidor Web para la Intranet
Configurar un servidor de BBDD para la Intranet y la Web de Internet.
Configurar todas las rutas hacia ellos.
verificar que se pueda acceder a cada uno de ellos (por IP y por puerto).
Definir Access Control Lists (ACL) estndar para filtrar adecuadamente el trfico desde los
usuarios de las LAN hacia las troncales y desde Internet hacia los rangos de red interna.
Definir Access Control Lists (ACL) extendidas para filtrar adecuadamente el trfico (por
puertos).
Formato de una ACL:
access-list[1-99][permit|deny][direccin de origen][mscara comodn]
Para negar el acceso de usuarios a las troncales:
(Ej: desde la red [Link]) en el router de Valencia:
router (config)# access-list 1 deny [Link] [Link]
router (config)# access-list 1 permit any
router (config-if)# ip access-group 1 out (en la interfaz LAN)
Grfico de ejemplo de este ejercicio (los rangos de red son sencillamente una opcin
cualquiera que puede tenerse en cuenta o no).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 179 [Link]
DESAFOS:
1. Ya hemos comentado el comando ifconfig (Linux) e ipconfig para Windows. Lanza tu
analizador de protocolos, descubre alguna direccin IP que exista en tu red. Te invitamos a
que investigues Qu sucede si configuro mi interfaz de red con esa misma direccin IP?
Te acuerdas an los ejercicios de arpspoof y de ataque ARP, Se te ocurre algo ms si a su
vez modificas tu direccin IP?
2. Profundiza sobre la configuracin de un router (tarde o temprano lo debers emplear).
3. Te atreves a profundizar sobre los ataques del hombre del medio en el nivel de red?
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 181 [Link]
CAPTULO 6: El nivel de TRANSPORTE
6.1. TCP (Transport Control Protocol) (RFC 793 , 812, 813, 879, 896 y 1122).
Se trata del protocolo responsable de establecer y gestionar sesiones (conexiones lgicas)
entre usuarios locales o remotos. Es tambin quien se encarga de la fiabilidad, control de flujo,
secuenciamiento, aperturas y cierres. Es un protocolo orientado a la conexin, por lo tanto es el
responsable de la transmisin de extremo a extremo. Emplea ACK, temporizadores, N(s) y N
con segmentos de longitud variable.
Una caracterstica de su empleo es que el control de flujo lo realiza el receptor, el cual enva
un valor de ventana (al emisor). El Transmisor puede enviar un nmero mximo de ventanas no
mayor a ese valor, y al llegar al mismo interrumpe la transmisin hasta recibir los ACK
correspondientes, que liberen posiciones en su cola circular de envo ( N(s) ).
El TCP permite multiplexar varias sesiones en una misma computadora por medio del concepto
de socket (explicado en terminologa).
6.1.1. Establecimiento y cierre de conexiones:
Al establecerse una sesin TCP, se produce un triple Handshake (apretn de manos), el cual
se establece por medio de los bit S y A (Caracterstica de un protocolo orientado a la
conexin), envo del primer segmento solicitando establecer una sesin y colocando su
nmero de ventana en un cero relativo (Nmero generado pseudoaleatoriamente que establece
el envo de la primer ventana) (bit S = 1), respuesta aceptando y enviando tambin su nmero
de secuencia (bit S y A = 1) y por ltimo establecimiento de la sesin TCP (bit A = 1); se
inicia el clculo del RTT (Round Trip Time), tiempo que le permite a TCP establecer el
control de flujo calculando el promedio que tardan los segmentos enviados con sus
correspondientes respuestas.
El cierre de una sesin TCP se produce al enviar el bit F = 1 ante lo cual se responder con el
bit A = 1 quedando finalizada la sesin
La ventana de recepcin de TCP en redes Ethernet normalmente se configura a 8769 bytes,
que equivale a seis segmentos de 1460 bytes, que sumados a los 20 byte del encabezado TCP,
20 de IP y 18 de Ethernet, hacen 1518 byte que es el tamao mximo de la trama Ethernet.
El tamao de esta ventana se ajusta automticamente acorde a una mecanismo de tiempos de
recepcin y est regulado por la RFC 1323.
6.1.2. Control de flujo:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 182 [Link]
La RFC 1122 define los mecanismos de control de flujo de TCP, basados en los
acknowledgments (ACK) de recepcin. Este mecanismo permite al receptor de segmentos,
regular el tamao de ventana del emisor, para impedirle el envo de volmenes de
informacin que no est en capacidad de procesar.
6.1.3. PMTU (Path Maximun Unit Discovery)
Este mecanismo est descripto por la RFC 1191 y permite determinar el MSS (Maximun
Segmenet Size) de una determinada conexin.
El concepto est basado en el empleo del protocolo ICMP, por medio del cual, cuando se
establece una conexin a travs de una red no local, el bit Dont Fragment (DF) del
encabezado IP es configurado a uno, es decir que no permite la fragmentacin de ese
datagrama. Si a lo largo de su trayectoria, este datagrama se encuentra con una red que no
soporta este tamao (como sera el caso, por ejemplo, de un datagrama generado en una red
Token ring, de 4000 Byte, que debe pasar por otra Ethernet), el router que lo recibe, al no
poder fragmentar, descartar este datagrama, generando un mensaje ICMP de destino no
alcanzable por fragmentacin requerida y no permitida a la direccin origen del datagrama
descartado, en el encabezado ICMP generalmente incluir tambin el tamao mximo
permitido en esa red (dentro de un campo no empleado de 16 bit). El que origin el
datagrama inicial, al recibir el mensaje ICMP, ajustar la MTU al tamao indicado.
6.1.4. Retransmisin
TCP con cada segmento saliente inicia un timer de retransmisin (por defecto es 3 segundos
al establecer la conexin, y se ajusta dinmicamente, RFC: 793), si ningn ACK es recibido
al expirar este tiempo, entonces el segmento es reenviado, hasta llegar al
TcpMaxDataRetransmision, que por defecto es cinco, luego de lo cual no vuelve a
retransmitir ese segmento.
En el siguiente ejemplo se puede ver una secuencia de segmentos TCP, en los cuales luego
del primero de ellos, se desconect fsicamente el host destino, por lo tanto no reciba el ACK
de respuesta, en la primera columna el incremento fue duplicando su tiempo de envo entre
cada segmento, y al llegar al ltimo si no recibiera respuesta, abortara la transmisin.
delta source ip dest ip prot flags description
0.000 [Link] [Link] TCP ...A.., len: 1460, seq: 8043781, ack: 8153124, win: 8760
0.521 [Link] [Link] TCP ...A.., len: 1460, seq: 8043781, ack: 8153124, win: 8760
1.001 [Link] [Link] TCP .. A.., len: 1460, seq: 8043781, ack: 8153124, win: 8760
2.003 [Link] [Link] TCP ...A.., len: 1460, seq: 8043781, ack: 8153124, win: 8760
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 183 [Link]
4.007 [Link] [Link] TCP ...A.., len: 1460, seq: 8043781, ack: 8153124, win: 8760
........ [Link] [Link] TCP ...A.., len: 1460, seq: 8043781, ack: 8153124, win: 8760
6.1.5. Velocidad de transferencia
TCP fue designado para optimizar su rendimiento sobre condiciones de enlace variables,
dependiendo de varios factores:
Velocidad del vnculo.
Demora del vnculo.
Tamao de ventana.
Congestin en los routers.
La capacidad de un vnculo est dada por lo que se conoce como el producto ancho de
banda/demora (f * RTT [Round Trip Time]). Si el enlace es de buena calidad, el tamao de
la ventana debera ser mayor o igual que la capacidad del mismo (65535 es el mximo), por el
contrario, si el enlace posee mucho ruido o congestiones, el empleo de ventanas grandes no es
conveniente, pues se aumentar la congestin o se reenviarn muchos paquetes.
6.1.6. Formato del segmento TCP:
Puerto fuente
Puerto destino
Nmero de secuencia N(s)
Nmero de aceptacin N
Desplazamiento de datos Reservado
Reservado URG ACK PSH RST SYN FIN
Ventana
Checksum
Puntero de urgente
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 184 [Link]
Opciones y relleno (Variable)
Datos (Variable)
Puerto fuente y destino: (16), especifican los procesos de nivel superior que
utilizan la conexin TCP.
Nmero de secuencia y de aceptacin: (32), indican la secuencia o posicin
de los octetos de datos dentro del mdulo completo de transmisin.
Concatenado a esto, dentro de este campo tambin va el nmero de ventana
deslizante.
Desplazamiento de datos: (4), cantidad de palabras de 32 bit que contiene la
cabecera.
Reservado: (6), no se permite su empleo, quedan reservados para uso futuro.
URG: (1), indica si es un segmento urgente.
ACK: (1), acknowledgement.
PSH: (1), Entregar los datos al recibir este segmento.
RST: (1), reset.
SYN: (1), sincronismo.
FIN: (1), ltimo segmento.
Ventana: (16), cantidad mxima de segmentos que puede enviar el
transmisor.
Checksum: (16), CRC de cabecera y datos.
Puntero de urgente: (16), si el bit URG est puesto a 1, identifica la posicin
del primer octeto dnde los datos son urgentes. TCP no dice que hay que
hacer con los datos urgentes, slo los marca.
Opciones: Son de la forma (Tipo-longitud-valor). Hoy slo existen
definidas 3. O = Fin de lista de opciones. 1 = No operacin. 2 = Tamao
mximo de segmento (MSS).
Relleno: completa a mltiplo de 32 bit de la cabecera.
Datos: UDP de nivel superior.
Un detalle interesante de TCP es la inclusin de un Pseudo encabezado, el cual se emplea
al realizar el checksum (CRC). La mecnica del mismo es tomar datos del nivel de red (IP),
en particular la direccin origen y destino, formar con estos otro encabezado adicional para
realizar el clculo teniendo en cuenta estos datos dentro del checksum de TCP. Estos datos
adicionales, no son tenidos en cuenta en la longitud de TCP, ni tampoco se transmiten, pues
luego estarn incluidos en el encabezado IP. El objetivo principal de este Pesudo
encabezado es proporcionar a TCP la garanta de entrega en el destino correcto de su
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 185 [Link]
informacin, pues al llegar a destino el segmento TCP, nuevamente el host receptor tomar
estos campos del nivel inferior y calcular su CRC, si el destino fuera incorrecto, este
segmento sera descartado. Esta implementacin rompe un poco el concepto de
independencia de niveles, pero tambin sucede con otros protocolos y no es lo habitual.
Los protocolos ms comunes que emplean TCP son los que se detallan a continuacin:
Puerto Protocolo
7 Eco
13 Fecha
20 y 21 FTP (File Transfer Protocol)
23 Telnet
25 SMTP (Single Mail Transfer Protocol)
80 HTTP (Hiper Text Transfer Protocol
137,138 y
139
NetBIOS
6.2. UDP (User datagram Protocol) (RFC 768).
Dentro de la pila de protocolos TCP/IP, existen dos opciones de protocolos de transporte. El TCP
que se acaba de tratar y el UDP (que lamentablemente se abrevia igual que unidad de datos de
protocolo, pero no se trata de esta sino de un protocolo de capa 4) el cual es un Protocolo NO
ORIENTADO A LA CONEXIN, y se lo emplea con la masa de los protocolos de nivel superior
cuando se opera sobre redes LAN. Est regulado por la RFC 768, y confa en la baja tasa de
errores de una LAN y en los protocolos de nivel de aplicacin, siendo por lo tanto un protocolo no
confiable pero con la gran ventaja de la reduccin de su cabecera a menos de 8 octetos.
6.2.1. Formato de la cabecera de UDP.
Puerto Origen
Puerto destino
Longitud
Checksum (Opcional)
Datos (Variable)
Puerto origen y destino: (16), SAP de nivel de aplicacin. El puerto origen
es opcional, si no se emplea se colocan todos sus bit a cero.
Longitud: (16), total de cabecera y datos.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 186 [Link]
Checksum: (16), puede o no estar presente, si lo est es un CRC 16 de
cabecera, datos y Pseudo cabecera cono TCP. Este campo tambin es
opcional, y de no usarse tambin se rellena con ceros.
Datos: (Variable), UDP (Unidad de datos de protocolo) de nivel superior.
Los protocolos ms comunes que emplean UDP son los que se detallan a continuacin:
Puerto Protocolo
7 Eco
13 Fecha
53 DNS (Sistema de Nombres de Dominio)
67 y 68 BOOT cliente y Servidor
69 TFTP (Trivial File Transfer Protocol)
123 NTP (Network Time Protocol)
161 y 162 SNMP (Single Noetwork Monitor Protocol)
6.2.2. El peligro de los protocolos no orientados a la conexin:
Los protocolos no orientados a la conexin, como ya se vio, no establecen ni cierran la
misma, sino que pasan directamente a la transferencia de datos, confiando que la informacin
llegar al destino deseado.
Al generar este tipo de trfico, no se realiza ningn seguimiento del estado de esa
conexin, por eso tambin se los suele llamar sin estado. No existen nmeros de secuencia,
por lo tanto si se desea realizar un anlisis de lo que est sucediendo se torna muy dificultoso.
Por otro lado, no se puede definir el Sentido en el que se realiza la conexin, pues esta no
existe, y sin ella tampoco se determinar quin desempea el rol de cliente y quin el de
servidor. Estos protocolos en particular son de especial inters en cuanto a las reglas de un
firewall, justamente por las dos caractersticas que se acaban de mencionar.
6.3. Firewalls
Es probable que alguien se pregunte por qu razn tratamos el tema de Firewall (en adelante FW)
en el nivel de transporte, pues deberamos considerar tambin el nivel de aplicacin. Tal vez pueda
tener razn, pero apreciamos que al haber llegado hasta este punto del libro, ya se poseen los
conocimientos necesarios para abordar este tema y a su vez nos sirve para segmentar
conocimientos y que a travs de esta teora y ejercicios ya puedas comenzar a asegurar los niveles
que miran hacia la red con una metodologa slida y robusta. Es probable que cuando luego
tratemos el nivel de aplicacin puedas ajustar an ms los conocimientos y pasos que has adquirido
y realizado sobre los FW, pero por ahora ya tienes toda la base para que empecemos a organizar
este tipo de barreras, as que manos a la obra!
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 187 [Link]
6.3.1. Qu es un firewall?
Ms all de los conceptos tericos y clasificaciones, un FW o cortafuegos, es un dispositivo
que, como su palabra lo indica, hace las veces de barrera, su misin es, de alguna forma
bloquear el paso a cierto tipo de informacin, por lo tanto si seguimos esta lgica debera:
Poder escuchar la totalidad del trfico que deseemos analizar.
Esto ya lo conocemos, y es la tcnica que emplea todo sniffer.
Estar en capacidad de desarmar los encabezados de cada protocolo.
Esto tambin lo conocemos y es nuestra conocida librera libpcap.
Tener patrones estandarizados para comprender cada protocolo (para verificar su uso
correcto).
Esto es lo que vemos en Wireshark cuando nos despliega los campos de cada protocolo, o
cuando deseamos implantar cualquier tipo de filtro.
Contar con elementos de juicio para poder decidir qu es lo que dejar pasar y qu no.
Por ahora estos seran los elementos bsicos que le podramos pedir, y aqu justamente se
establece una primera distincin, pues depender si lo que deseamos filtrar tiene su destino hacia
un host especfico o hacia una red, por lo tanto aqu tenemos una primera clasificacin:
FWs de hosts (a veces asociados a FWs personales y/o a servidores).
FWs de red.
Este diferenciacin es importante pues el primero de ellos filtra hacia el nivel de Aplicacin
de ese mismo equipo, sin embargo el segundo de ellos debe decidir si volver a enrutar o no
esa trama hacia la red destino.
En este texto centraremos la atencin en los FWs de red por ser los que para un administrador
de sistemas son tal vez ms importantes. Si decimos que deben enrutar o no, entonces no nos
puede caber duda que debe poseer capacidad de decisicin sobre rutas es decir su tabla de
rutas nos tiene que ofrecer diferentes alternativas de enrutado. Este es otro tema que ya hemos
tratado, y a nivel modelo de capas, implica la existencia de ms de un dispositivo de red, los
cuales pueden ser del mismo tipo o no, es decir, que aqu aplica cualquier dispositivo de nivel
fsico y enlace que nos permita tener una direccin IP a nivel red. Queremos decir con ello,
que puede tratarse de host que tenga, por ejemplo:
Dos (o ms) tarjetas Ethernet conectadas a redes o subredes diferentes.
Una tarjeta ADSL (o ms), y una (o ms) ethernet conectadas a redes o subredes
diferentes.
Una tarjeta tarjetas WiFi (o ms), y una (o ms) ethernet conectadas a redes o subredes
diferentes.
Una tarjeta ADSL (o ms), una tarjeta WiFi (o ms) y una (o ms) ethernet conectadas a
redes o subredes diferentes.
....y as podramos imaginar todas las combinacines que queris a partir de dos
dispositivos de nivel fsico y enlace.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 188 [Link]
Es importante que no olvidemos esto, pues justamente la decisicin final que en definitiva
tomar un FW de red, ser transmitir o no cada trama por una de esas interfases, y por lo tanto
deber reconstruirla al completo en los niveles de red y enlace, pues saldr hacia una nueva red
con una diferente MAC origen.
Ahora entonces, una nueva cualidad que le deberamos pedir a un FW de red ser:
Capacidad de enrutamiento: Es decir, operar como un router.
La ltima caracterstica que nos conviene analizar va relacionada a dos conceptos importantes
que estuvimos tratando en este texto. El primero de ellos es el de establecimiento de sesiones
TCP, lo cual se trataba de ese triple handshake (S SA A) con el que queda establecida la
sesin. Al desarrollar este tema, hicimos hincapi en la importancia que tiene el sentido de
esta conexin, el cual queda marcado por el primer segmento con el flag SYN=1 y el ACK=0 (y
es esa nica combinacin, la que lo indica), a partir de este momento se establece un Indicador
de sesin (relacionado unvocamentea ese socket), el cual permite reconocer sin lugar a dudas
todos los segmentos TCP entre ambos extremos. Esto guarda mucha relacin con el segundo
concepto que es la funcin de Segmentacin y reensamble (o Fragmentacin y
desfragmentacin), la cual como tratamos en la teora, puede realizarla tanto el protocolo IP,
como TCP. Este tema desde el punto de vista de la seguridad es vital, pues si recordis an
los ejercicios que hicimos a nivel red con HPING3 y FRAGROUTE, una de las
funcionalidades es poder justamente fragmentar un datagrama en varios ms
pequeos...................... Esto se llama Ataque de fragmentacin. Por ejemplo, si sobre un
servidor no se desea que alguien se pueda conectar en remoto con la cuenta root, pues existen
formas de bloquear y/o filtrar y/o monitorizar esta palabra, pero si con el empleo de
alguna de estas herramientas, se fracciona la misma para que viaje por ejemplo en cuatro
datagramas, el primero con la r, el segundo con la o, el tercero con la o y el ltimo con la
t, entonces esa palabra pasara por los niveles de red como cuatro datagramas diferentes y se
reconstruira recin al llegar al destino a nivel de transporte y/o aplicacin, donde sera tratada
tal cual fue escrita en el nivel anlogo de origen. Este es sencillamente uno de los miles de
ejemplos de este tipo de ataques, pues los hay mucho ms elaborados y complejos. Lo que
intentamos transmitir aqu es que la NICA FORMA de analizar estos ataques es a travs de lo
que se llama control o seguimiento de sesin, es decir, una condicin ms que deberamos
pedirle a un FW es:
Control de sesin (o control de estado): Que mantenga en memoria, las secuencias
TCP que van pasando por l para reconstruir estas sesiones y analizarlas AL
COMPLETO.
NOTA: Recordemos aqu que justamente mencionamos sobre el protocolo UDP que desde
el punto de vista de la seguridad, era peligroso, aqu tal vez radica su mayor peligro. Como
acabamos de mencionar, el control de sesin, en UDP es imposible, pues no posee ningn
campo para ello, y aqu est la razn por la cual aconsejamos que intentemos evitar su empleo en
fronteras de red (en salidas y entradas desde redes de diferente nivel de seguridad).
En resumen y ms all de las clasificaciones tericas, lo que nos interesa pedirle a un FW de
red ahora que conocemos bien el modelo de capas y sus protocolos es:
Poder escuchar la totalidad del trfico que deseemos analizar.
Estar en capacidad de desarmar los encabezados de cada protocolo.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 189 [Link]
Tener patrones estandarizados para cada protocolo (para verificar su uso correcto).
Contar con elementos de juicio para poder decidir qu es lo que dejar pasar y qu no.
Capacidad de enrutamiento.
Control de sesin (o control de estado).
Cuando tratemos el nivel de aplicacin, veremos que dentro de la familia que llamamos FW
de host muchos textos incluyen una posibilidad de FWs que la llaman FWs de aplicacin,
pues pueden tambin analizar determinados patrones de trfico de ese protocolo concreto del
nivel de aplicacin, este tipo de metodologas habitualmente se implementan a travs de un
servicio (o aplicacin) que se llama Proxy y lo veremos en el captulo siguiente.
En mucha bibliografa veremos ms calsificaciones, generaciones y nomenclaturas de FWs,
pero por ahora preferimos centrarnos en lo que hemos mencionado y poder avanzar de forma
prctica sobre esta tecnologa, pues con lo que hemos hablado ya tenemos ms que suficiente.
Antes de implantar un FW, es aconsejable darle una mirada a la RFC 2979: Behavior of and
Requirements for Internet Firewalls (Comportamiento y requerimientos para los cortafuegos de
Internet) de octubre del 2000, pues en ella se hacer referencia y se citan algunos ejemplos de
protocolos y filtrados que deberan o no deberan ser configurados para el correcto
funcionamiento de Internet y que no por ello debilitan nuestra seguridad
6.3.2. Cmo funciona un firewall?
Una vez comprendido todos estos conceptos que le pediramos a un FW, ahora veremos
cmo es su funcionamiento bsico.
Un cortafuegos funciona en base a reglas que va recorriendo secuencialmente trama a trama y
una a una verificando si cumple o no con ellas para luego adoptar una resolucin.
Cuando se instala un FW no trae ninguna regla configurada, aunque hoy en da suelen traer
diferentes escenarios o polticas por defencto para facilitar un poco la tarea, pero a los fines de
entender y estudiar su funcionamiento, partiremos desde cero. Es decir, lo primero que debemos
hacer es comenzar a definir sus reglas o el conjunto de ellas que suele denominarse Poltica de
ese FW, y para ello existen dos grandes filosofas:
Poltica permisiva.
Poltica restrictiva.
La mayora de las veces no suele ser una cuestin de eleccin, sino ms bien de imposicin,
pues la decisin sobre la poltica a aplicar estar basada en la situacin existente. Al instalar un
FW en una zona determinada, sobre la cual la organizacin est operativa desde hace tiempo, en
general, se corre el riesgo que al aplicar cada una de las reglas se pueda dejar fuera de servicio
alguna actividad, aplicacin o servicio que se est prestando, por lo que se debe ser muy
meticuloso a la hora de aplicar y monitorizar cada una de ellas. Hemos visto en muchas
empresas que directamente el factor principal es la disponibilidad, por lo tanto un minuto de
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 190 [Link]
tirar abajo una aplicacin impacta econmicamente a la organizacin, y antes de aplicar una
regla se debe analizar con toda rigurosidad que no existan posiblidades de fallo.
La poltica permisva consiste en aceptar todo el trfico inicialmente, y poco a poco comenzar
a ajustar las reglas hasta llegar a la situacin deseada. Una poltica restrictiva parte del
supuesto inverso: Negar todo, y paulatinamente ir abriendo caminos por medio de las reglas
que se determine como necesarias, siempre a travs de un detallado anlisis.
Es evidente que la poltica restrictiva es la ms robusta, pues partimos de la base que no
entrar ni saldr trfico que no haya sido evaluado previamente, en cambio una poltica
permisiva nos puede sorprender el paso de algn tipo de informacin que expresamente no
hayamos tenido en cuenta, pero reiteramos una vez ms: esta decisicin en la mayora de los
casos depender de la situacin reinante, y nos veremos obligados a adoptar una u otra.
6.3.3. Las reglas de un FW.
Como mencionamos, el funcionamiento de un FW es a travs de las reglas que en l se vayan
configurando, el conjunto de estas constituir la poltica de este FW.
Las reglas, independientemente de la tecnologa y/o producto que empleemos, responden a un
esquema bsico que generalmente es del siguiente tipo:
Intefaz IP_Origen Puerto_Origen SENTIDO IP_destino Puerto_Destino
ACCIN
La intefaz, puede ser exclusivamente una de las que cuente ese dispositivo, ms de una
o todas.
Las IPs y los Puertos, son suficientemente claros. Slo cabe la salvedad que suele
representarse con Any cualdo es cualquiera (o todos) ellos, y tambin que
generalmente permiten el empleo de mascaras de la forma / y tambin la
concatenacin del tipo 135-137 (puertos: 135, 136 y 137), la separacin por medio de
comas o punto y comas: 22, 23, 53, 110 (puertos 22, 23 53 y 110 exlcusivamente), etc.
El Sentido se suele representar como: in (entrante), out (saliente) o both
(ambos).
La Accin se la relaciona habitualmente a: Accept (Aceptar), Deny o Drop
(Negar), PASS (Pasar) y Log (guardar en logs).
Como se mencion antes, las reglas se irn siguiendo secuencialmente hasta llegar a la ltima
en cada una de las tramas que sean capturadas, si al llegar a la ltima, ninguna de ellas ha
aplicado, entonces no se adoptar ninguna accin. Por esta razn, es que se suele encontrar
casi siempre como ltima regla algo similar a:
Interfaz_(Any) Any Any Any Any Deny
Con ello estamos negando cualquier trama que haya llegado hasta aqu, y con ello aseguramos
que no pase nada ms que lo que las reglas permiten. Prestad atencin a que hemos dicho casi
sempre, pues justamente puede suceder (como parte de una poltica permisiva) que querramos
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 191 [Link]
filtrar exlusivamente aglunas tramas, pero todo lo dems dejarlo pasar y en este caso no
encontraremos esta regla (aunque como veremos en los ejercicios, existen mejores formas,
siempre negando al final).
6.3.4. Firewall en Linux
Linux, prcticamente desde su nacimiento posibilit el manejo de filtrado de paquetes, tanto
hacia l mismo (como mencionamos, FW de hosts) como hacia otros hosts (FWs de red). Las
primeras opciones que ofreca se ejecutaban a travs del comando ipfwadm y estaban
incorporadas en el kernel (ncleo) hasta su versin 2.0. Un poco ms adelante apareci
ipchains que inici la era de NAT (Network Address Translation, ya tratado en el captulo de
red) dentro de los filtros de este sistema operativo y esta aplicacin sobrevivi hasta el kernel
2.2. a partir del cual se produjo un cambio en la filosofa de lso FWs para Linux con la creacin
del framework Netfilter que en el ao 2000 se incorpora al kernel 2.3.
Framework: Conjunto/grupo de conceptos, recomendaciones, buenas prcticas y
criterios, en general ya estandarizaodos enfocados a un tema especfico, que en este
caso es el filtrado y sirven como referencia.
Netfilter: Proyecto que rene todas las herrmientas, servicios y programas para
implantar un FW en Linux.
A partir de Netfilter se incorpora definitivamente la posibilidad del Control de estados o
seguimiento de sesiones por medio del empleo de tablas y as nace la herramienta que
actualmente se contina empleando a nivel administrador o usuario: iptables. A menudo se
suele confundir iptables con netfilter, ante lo cual debemos aclarar que el rpimero es slo
una parte del conjunto netfitler, pero po ser el de uso ms cotidiano, muchos suelen olvidarse
del grupo y referirse nicamente a la herramienta.
Como todo FW, su funcionamiento est basado en reglas, pero estas se agrupan en cadenas
que a su vez forman parte de tablas.
Netfilter, de forma nativa ofrece tres tablas (por defecto es filter):
filter: Filtrado.
NAT: Conversin (traslado) de direcciones.
mangle: manipulacin de paquetes.
De forma nativa ofrece tres cadenas:
INPUT: es para filtrar paquetes que vienen hacia este host.
OUTPUT: es para filtrar paquetes que salen de este host.
FORWARD: reencaminar paquetes.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 192 [Link]
La sintaxis bsica de iptables es de la forma:
iptables -t filter -A INPUT <opciones>
iptables -A INPUT <opciones>
En la primera de estas dos reglas se establece la tabla filter, pero como la misma es la que
viene por defecto, se puede escribir e implementar de la misma forma tal cual figura en la
segunda regla. Es decir ambas reglas son equivalentes.
La estructura completa de una regla bsicamente sera:
iptables -t tabla tipo_operacin cadena regla_con_parmetros Accin
Las operaciones bsicas sobre las cadenas (existen ms) son:
-t (tabla): indica qu tabla se emplear.
-i (interfaz de entrada): mismo formato que ifconfig.
-o (interfaz de salida): mismo formato que ifconfig.
-p (protocolo): tcp, udp, etc....
-s, -d: direccin IP fuento o destino (Se debe aclarara mscara, ej:/24).
-sport, -dport: puertos fuente o destino.
-A (add) : agrega una regla al final de la cadena.
-I (insert) : agrega una regla al principio de la cadena.
-R (replace) : reemplaza una regla por otra.
-D (delete) : elimina una regla.
-F (flush) : elimina todas las reglas de la cadena. Es equivalente a borrar las
reglas una por una.
-L (list) : muestra las reglas dentro de la cadena.
-j: Accin (ver abajo).
-Z: pone a cero todos los contadores.
Las acciones bsicas:
ACCEPT : aceptar el paquete/transaccin.
DROP : rechaza el paquete/transaccin
REJECT : rechaza el paquete/transaccin. A diferencia de DROP, notifica al
emisor que el paquete/transaccin fue descartado.
En esta parte del texto hemos querido sencillamente realizar la presentacin terica de
netfilter, luego en la parte de ejercicios, encontrars un buen nmero de ellos, comenzando
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 193 [Link]
desde el empleo de iptables por lnea de comandos (que es la mejor forma de aprenderlo) y
luego a travs de algunas herramientas grficas.
NOTA FINAL SOBRE FWs: En la doctrina militar, existe un viejo lema que dice que:
TODO OBSTCULO DEBE SER CUBIERTO POR EL FUEGO
Un alambrado, un campo minado, una fosa, un ro, etc... Cualquier barrera cuya intencin
sea detener o demorar el avance del enemigo no tiene sentido, si a su vez no se la apoya con
armas de fuego. Tal vez sea un detalle que no salte a simple vista o no se considere como para
prestarle la atencin suficiente, pero si nos detenemos un minuto en ello descubriremos que es
fundamental, pues si el enemigo posee el tiempo y la libertad de accin suficiente, sin lugar a
dudas sortear el obstculo tarde o temprano. Hasta un campo minado que a cualquiera puede
parecerle letal, no lo es si se posee el tiempo y la tranquilidad necesaria para minimizarlo o
neutralizarlo, es ms se estudian y practican tcnicas para ello hasta sin el empleo de tecnologa,
con un simple cuchillo y arrastrndose. Todo ello cambia substancialmente si en el momento de
intentar sortear cualquier tipo de obstculo, nos estn abriendo fuego........... esto pasa a ser serio.
Esta nota viene a cuento de lo que hemos notado en un sinnmero de empresas: colocan un
FW y queda desatendido!!!............. esto no tiene sentido. Un FW implica s o s una ardua
tarea de mantenimiento, supervisin, actualizacin y monitorizacin (apoyo de fuego), sin esta
actividad es como un alambrado abandonado. Por esta razn quisimos dejar esta ltima
reflexin sobre este tema, pues a la hora de implementar esta tecnologa debemos ser plenamente
conscientes que acaba de empezar una actividad que debe ser integrada al ciclo de vida de la
seguridad y JAMS DEJADA DE LADO.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 195 [Link]
EJERCICIOS DEL CAPTULO 6 (Nivel de Transporte)
1. Una vez ms recurriremos a Wireshark para analizar de forma prctica el funcionamiento de
TCP. En este ejercicio, te invitamos a que captures trfico TCP (por ejemplo haciendo una
conexin a cualquier pgina Web, o enviando un correo electrnico) y le dediques unos
momentos a identificar el establecimiento de una sesin TCP a travs del triple Handshake
(SYN SYN ACK ACK). Te presentamos a continuacin una captura donde est remarcado
dnde puedes comenzar tu anlisis y te proponemos que lo hagas tambin t con tu propia
captura.
Como puedes apreciar, estas tres primeras tramas nos indican el establecimiento de una
sesin TCP desde la direccin IP [Link] con puerto fuente 1089 hacia la direccin IP
[Link] con puerto destino 23 (que como se ver ms adelante es una conexin hacia el
protocolo Telnet). EN rojo puedes ver arriba los tres pasos, y abajo el Flag SYN=1 de la
primer trama.
2. Este ejercicio es similar al anterior, pero en este caso el trabajo est en identificar el cierre
normal de una sesin TCP. Nuevamente te presentamos abajo una captura para que tomes de
referencia, y te proponemos que t obtengas una similar.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 196 [Link]
3. En este ejercicio, te proponemos que investigues el funcionamiento de las secuencias TCP, este
trabajo para comprenderlo en detalle te debera llevar un buen tiempo, pues no es tan fcil, por
lo tanto, te invitamos a que comiences identificando en una captura, los campos que
intervienen en el control de la secuencia y la tcnica de ventana deslizante que se mencion en
la teora. Para ello, una vez que tengas una captura, la mejor forma de avanzar, es comprender
cmo se envan y reciben los nmeros de secuencia y los ACK, y luego relacionar todo ello
con el control de tamao de ventana. Cuando ya comprendas esta metodologa, lo mejor que
puedes hacer es profundizar sobre ella en Internet.
4. Un empleo muy potente de Wireshark es la posibilidad de seguir flujos TCP, esta opcin te
permite filtrar todas las tramas correspondientes a una sesin TCP. En realidad lo que hace es
verificar desde el primer segmento TCP con el flan SYN=1 los puertos fuente y destino con
sus correspondientes direcciones IP, y filtrar por estos campos.
REFELXIN IMPORTANTSIMA: Recuerda siempre que las sesiones TCP (A
diferencia de las UDP) tienen SENTIDO!!!, es decir hay un host ORIGEN que establece la
conexin (Con el primer paso del triple Handshake). Es decir, el SENTIDO con el que se
establece una conexin TCP es desde ESE ORIGEN, hacia ESE DESTINO y esto nos
permitir, como veremos ms adelante, FILTRAR las conexiones que entran o salen de
nuestras redes siempre y cuando sean TCP, pues de ser UDP esto se nos complica (justamente
por no poder establecer ese sentido).
Lo que estamos haciendo en este ejercicio, no es ni ms ni menos que lo que hace un
Firewall (que se tratar ms adelante) con control de estados. Es decir filtra y mantiene en
memoria este establecimiento de cada sesin TCP y va manteniendo el estado de esa
conexin hasta que la misma se cierra (flags: FIN ACK) o por alguna razn se resetea
(flan: RST) que es cuando las borra de su memoria cach. An tal vez no valores lo suficiente
la trascendencia que tiene el comprender acabadamente este concepto, pero te aseguramos que
es de suma importancia, por esa razn, es que no dejes pasar por alto este ejercicio, y tmatelo
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 197 [Link]
con toda la seriedad que merece, filtrando, siguiendo e investigando todas las sesiones TCP
que puedas, hasta que no te quede ninguna duda con ello.
A continuacin te presentamos una captura modelo, en la cual hemos destacado los pasos
que debes seguir para analizar una secuencia TCP.
Como puedes apreciar, debes seleccionar (desde el men superior) la opcin Analyze, se te
despegar una ventana donde encontrars la opcin Follow TCP Stream, esta opcin filtrar
toda la sesin TCP de la trama en la cual ests posicionado. Una vez Clickeado se te abrir
una nueva ventana similar a la que ves en primer plano (indicada con la flecha roja), con toda
la informacin de ese flujo. Y a su vez como puedes apreciar (crculo verde) en la ventana
principal, ya te ha generado un filtro de visualizacin (En nuestro ejemplo: [Link] eq 1)
para ver nicamente los segmentos TCP de este flujo.
5. En este ejercicio pasamos a UDP, y te proponemos que hagas algunas capturas con este
protocolo (por ejemplo al resolver nombres de dominio cuando abres un navegador y pones
cualquier direccin URL, all se genera un trfico DNS que veremos ms adelante, pero que
por ahora te sirve para analizar el protocolo de nivel transporte UDP) y verifiques sus ocho
octetos, tal cual lo tratamos en la parte terica.
A continuacin te presentamos una captura para que tomes como referencia.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 198 [Link]
6. Ejercicios y prcticas sobre ataques TCP y UDP.
En esta prctica te describiremos brevemente qu tipo de ataques se pueden realizar en el nivel
de transporte. Con las herramientas que hemos visto hasta ahora, ya ests en plena capacidad de
realizarlos, si ves que con ellas no encuentras la solucin, te proponemos que investigues por
Internet hasta que la encuentres, pero insistimos en que ya ests perfectamente preparado para
que los puedas hacer.
a. TCP Connect() Scanning --> SYN
Al enviar segmentos TCP con el flag SYN puesto a 1 (y el ACK=0), es decir solicitando
el inicio del triple Handshake hacia un socket determinado con una direccin IP activa,
pueden suceder muchas cosas: que el puerto est cerrado, que est administrativamente
prohibido, que se est filtrando, que exista un FW de red o de host, etc... Ante estos diferentes
escenarios, los distintos hardware, SSOO y aplicaciones responden de manera diferente, y es
uno de los modos ms eficientes de iniciar el fingerprinting (huella digital) de un sistema.
b. Stealth port scanning (escaneo de puertos sigiloso).
Hay veces en que el escaneo SYN no es lo suficientemente prudente como para pasar
desapercibido. Algunos sistemas (Firewalls y filtros de paquetes) monitorizan la red en busca
de paquetes SYN.
Para subsanar este inconveniente los paquetes FIN, en cambio, podran ser capaces de pasar
sin inadvertidos. Este tipo de Scaneo est basado en la idea de que los puertos cerrados
tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos, en
cambio, suelen ignorar el paquete en cuestin.
c. SYN Flood (Inundacin SYN).
Este ataque se basa en un incumplimiento de las reglas bsicas del protocolo TCP por parte
del cliente. Al iniciarse el triple Handshake, como hemos visto, se enva el primer SYN
El receptor de este, contesta con SYN ACK y a partir de ese momento inicia una
conexin TCP que queda en estado de semi -abierta hasta recibir el ACK final del triple
handshake con lo cual queda abierta definitivamente,. Las conexiones semi-abiertas
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 199 [Link]
implican parmetros almacenados en memoria cach que caducarn al cabo de un cierto
tiempo, liberando esos recursos. No obstante, si se envan muchas peticiones de conexin, de
no estar adecuadamente configurado el target, se desbordarn sus recursos.
d. Connection Flood
Es similar al anterior, pero esta vez s se completa el triple Handshake reiterndolo una
gran cantidad de veces intentando llegar al mximo de peticiones simultneas que puede
soportar el sistema objetivo.
e. Supernuke o Winnuke (OOB: Out Of Band)
Un ataque caracterstico, y quizs el ms comn, de los equipos con Windows es el Nuke.
Si bien ya hace que este problema qued solucionado por este fabricante, no es raro an
encontrar alguno que an lo sufre. Este ataque hace que los equipos que escuchan por el
puerto NetBIOS sobre TCP/UDP 137 a 139, queden fuera de servicio, o disminuyan su
rendimiento al enviarle paquetes UDP manipulados.
Generalmente se envan fragmentos de paquetes Out Of Band, que la mquina vctima
detecta como invlidos pasando a un estado inestable. OOB es el trmino normal, pero
realmente consiste en configurar el bit Urgente (URG) en los flags de TCP, al estar este bit
puesto a uno, los bits del campo Puntero de Urgente, se supone que deben indicar a partir de
qu bit de los datos que transporta TCP comienzan los datos urgentes (repasar la teora....).
La idea es jugar con valores de datos inexistentes en este campo.
f. TCP Reset:
Este ataque intenta forzar el corte de una conexin entre dos mquinas, a travs del envo
del Flag RST.
g. TCP Xmas.
Esta tcnica es muy similar a las anteriores, y tambin se obtiene como resultado un
paquete de reset si el puerto est cerrado. En este caso se envan segmentos TCP con los flags
FIN, URG y PUSH puestos a 1, aunque tambin se lanza colocando a 1 los seis flags de
TCP.
h. TCP Null scan.
En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploracin deber
recibir como resultado un paquete de reset en los puertos no activos.
i. Prediccin de secuencia TCP:
Este ejercicio es complejo (debera estar en nuestra seccin de desafos). Las secuencias
TCP, responden a un valor pseudoaleatorio con que se inician una vez completado el triple
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 200 [Link]
Handshake. Este valor nace de un concepto de seed (Semilla en ingls), y determinados
SSOO y/o aplicaciones, no lo inician tan aleatoriamente como otros, facilitando que pueda
predecirse y a su vez se comienzan a repetir superadas un poco ms de cuatro horas. Si se
escucha una suficiente cantidad de trfico, permite colarse en una conexin TCP. Esta
ataque fue y sigue siendo tan importante que lleg a tratarse a travs de la RFC-1918
Defending Against Sequence Number Attacks (defensa contra los ataques de nmero de
secuencia), si quieres profundizar en l puedes verla en: [Link]
j. SCAN UDP:
Se genera trfico UDP a los diferentes puertos para detectar cules de ellos estn abiertos y
cules no.
k. UDP Flood (Inundacin UDP).
Este ataque consiste en generar grandes cantidades de paquetes UDP contra la vctima
elegida, la cual en general emitir algn tipo de respuesta que tambin congestiona la red. Es
usual dirigir este ataque contra mquinas que ejecutan el servicio echo, de forma que se
generan mensajes echo de un elevado tamao.
EJERCICIOS CON HERRAMIENTAS
1. Empleo de nmap. Nuevamente haremos uso de nmap, pero esta vez ya orientado al nivel de
transporte. El trabajo que te proponemos aqu debe ser complementado con Wireshark para
poder capturar las tramas de envo y recepcin y poder comprender qu es lo que se est
generando y la reaccin del host destino, as que cada uno de las opciones de nmap que te
presentamos debers lanzarlas con el analizador de protocolos escuchando y capturando esas
direcciones IP fuente y destino, para que de esta forma puedas seguir todo el rastro de lo
ejecutado. Para ello ejercitaremos las siguiente opciones:
-sS (TCP SYN scan), con esta opcin no se abrir una conexin TCP completa,
solo se enva un segmento con el flag SYN para saber si el puerto est abierto.
Cmo responde el destino si est abierto?, Y si est cerrado?
-sT (TCP connect scan) este es el modo bsico de escaneo que utiliza una funcin
denominada connect() propia del sistema operativo. Qu est enviando?, Cul
es la lgica de este escaneo?, Qu respuestas encuentras sobre puertos abierto y
cerrados?
-sF -sX sN (Stealth o sigiloso, conocido como Xmas (por Christmas) o rbol de
navidad) es un modo de escaneo avanzado que en su momento fue muy conocido
hoy tal vez no tan importante, pues los problemas que presentaba fueron casi todos
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 201 [Link]
solucionados en los diferentes SSOO y aplicaciones. Prueba de lanzarlo sobre
diferentes SSOO y aplicaciones, Qu crees que est haciendo?, Qu respuestas
diferentes has obtenido?
-sP (scan va ping) Para saber que hosts estn online. Qu tipo de ping est
generando?
-sV (detectar versin) permite detectar diferentes versiones del servicios que se
estn empleando. Tambin lnzalo hacia diferentes plataformas y compara sus
resultados
-sU (scan UDP) escanea puertos UDP en vez de TCP.
-sA (ataque ACK) Permite evaluar la existencia de reglas del tipo iptables (Que
trataremos en el captulo de Firewall).
2. Empleo de Zenmap
Zenmap es una herramienta grfica muy amigable que se puede instalar tanto en Linux como
en Windows muy fcilmente.
Por defecto ya te ofrece una
serie de opciones ya
preconfiguradas de scan,
sobre las que nicamente
debes seleccionar el target
sobre el que lanzars el
escaneo. Como puedes ver en
la imagen, el comando que se
ejecutar ser nmap puro y
duro pero desde una interfaz
amigable. Si ya has hecho
los ejercicios con nmap, te
resultar muy fcil de
comprender.
Te invitamos a que lo
instales y ejecutes alguno de los scan que la herramienta te propone.
3. Comenzaremos a emplear otra de las herramientas importantes en seguridad netcat. En
estos primeros ejercicios, nos interesa que descubras su empleo bsico que es justamente la
creacin de sockets entre mquinas, es decir lo que se trat en este captulo.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 202 [Link]
El primer ejercicio, ser sencillamente establecer la conexin entre un cliente y un
servidor, Para que aprecies con ms detalle su funcionamiento, te presentaremos un
ejemplo desde un host Windows y otro Linux.
Lo primero que debes hacer es colocar el servidor en escucha sobre un puerto cualquiera
(con la opcin -l, en nuestro caso emplearemos el puerto TCP 2000, y luego desde el
cliente nos conectaremos al servidor:
En la imagen anterior puedes ver varios de los pasos que realizaremos en este ejercicio
desde la interfaz de comandos de Linux (que opera como servidor). Al principio y
remarcado en rojo puedes ver cmo se coloca en escucha el puerto 2000 (el cul si no se
especifica nada, por defecto es TCP), y en la siguiente lnea (subrayado en rojo, se ve (como
si fuera un Chat) el texto hola que se escribi desde la consola de Windows (como se
muestra abajo).
En la imagen anterior (color negra) puedes ver la interfaz de MSDOS de Windows, en la
cual la primer lnea se refiere al establecimiento de la conexin hacia el puerto 2000 del
servidor (cuya direccin IP es [Link]), e inmediatamente despus hemos pasado a
escribir hola desde el teclado, que como has visto en la primer imagen, inmediatamente se
reproduce en la consola del servidor.
Nuestro prximo ejercicio, ser la transferencia de un archivo desde el servidor hacia
el cliente. En este caso debemos emplear el formato redirector de Linux (<) al
establecer la conexin indicando en ambos extremos qu es lo que se desea enviar y
transmitir. En nuestro caso hemos transferido un archivo que llamamos pp1 que
estaba en el servidor y como puedes verificar en las imgenes que siguen ha sido
transferido al directorio MSDOS del cliente.
La conexin desde el lado del servidor, figura en la imagen de la consola (blanca) que est
en los prrafos de arriba y responde al comando nc l p 2000 < pp1, como puedes ver lo
hemos recuadrado en verde y en las lneas anteriores hicimos un ls para que verifiques que el
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 203 [Link]
archivo pp1 est en el directorio Linux origen desde donde haremos la transferencia (todo
ello remarcado en verde en la imagen anterior).
Aqu abajo te presentamos la conexin desde el lado cliente (Windows), remarcamos en rojo
el comando que se ejecut: nc [Link] 2000 > pp1, una vez ms puedes apreciar que
nos conectamos al puerto 2000 y est vez empleamos el redirector para informarle que
recibiremos el archivo pp1. Luego puedes ver en la lnea que sigue que hemos presionado
las teclas [Ctrl + C] (Crculo rojo ^C) para salir de netcat, y al ejecutar dir (ya desde
local) puedes ver que el archivo pp1 ha sido transferido (Tambin lo presentamos con un
crculo rojo).
Nuestro ltimo ejercicio por ahora con netcat ser abrir una shell (Consola
Linux) remota desde nuestro cliente MSDOS.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 204 [Link]
Una vez ms recurrimos a la imagen de la consola Linux (blanca) que pusimos en el primer
prrafo y esta vez te pedimos que observes el ltimo de los comandos que hemos remarcado
(esta vez en azul), y pruebes de ejercitar algo similar al comando que ves all, nosotros hemos
ejecutado nc l p 2000 e /etc/bash. En este caso, nuevamente escuchamos (-l) el puerto
(-p) 2000, e incluimos esta nueva opcin de netcat -e, que ordena ejecutar la apertura de una
consola bash cuyo comando se encuentra en el directorio /etc (justamente por este nombre
es que en muchos textos encontrars programacin en bash cuando se programa
directamente desde lnea de comandos en Linux).
Presta atencin a este detalle, pues en la imagen anterior (negra) ests viendo una ventana
MSDOS, pero dentro de ella se estn ejecutando comandos con formato Linux????? (con
crculo rojo: ls, pwd, ls -l.......... justamente lo que ests viendo es que en realidad esos
comandos los ests ejecutando en la shell (o bash) del servidor remoto, no en tu consola
MSDOS, y la orden -e te hace un eco en tu consola.
Abajo presentamos la captura con Wireshark, donde puedes apreciar la conexin hacia el
puerto 2000 del servidor con la IP [Link], desde la direccin IP [Link] (cliente), y
abajo hemos remarcado en rojo como en la captura puedes ver viajar en texto plano el
comando ls -l.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 205 [Link]
Te proponemos que practiques todas estas secuencias de empleo de la herramienta netcat
que hemos presentado, para que comiences a familiarizarte con la apertura, mantenimiento y
cierre de puertos y sockets, que es el tema tratado en este captulo.
4. Empleo de la herramienta tcpdump.
En muchos casos, puede sucedernos que no dispongamos de interfaz grfica, que no podemos
conectarnos en remoto a una de ellas, o que sencillamente no podamos instalar este tipo de
software en un host. Para ello una solucin que suele estar siempre al alcance de la mano y que
viene instalado por defecto en muchas distribuciones Linux este comando tcpdump, el cual es
muy sencillo de utilizar, para ello te proponemos que lo ejercites con los ejemplos que te
ponemos a continuacin:
Capturar trfico cuya direccin IP de origen sea [Link]
Respuesta: tcpdump src host [Link]
Capturar trfico cuya direccin origen o destino sea [Link]
Respuesta: tcpdump host [Link]
Capturar trfico con destino a la direccin MAC [Link]
Respuesta: tcpdump ether dst [Link]
Capturar trfico con red origen [Link]/28
Respuesta: tcpdump src net [Link] mask [Link]
(o tambin: tcpdump src net [Link]/28)
Capturar trfico con destino el puerto 22
Respuesta: tcpdump dst port 22
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 206 [Link]
Capturar trfico con origen o destino el puerto 135
Respuesta: tcpdump port 135
Capturar los paquetes de tipo ICMP
Respuesta: tcpdump ip proto \\icmp
Capturar los paquetes de tipo UDP
Respuesta: tcpdump ip proto \\udp
(o tambin: tcpdump udp)
Capturar solicitudes de DNS
Respuesta: tcpdump udp and dst port 53
Capturar el trfico al puerto telnet o SSH
Respuesta: tcpdump tcp and \(port 22 or port 23\)
Capturar todo el trfico excepto el web
Respuesta: tcpdump tcp and not port 80
(o tambin: tcpdump tcp and ! port 80)
5. Empleo de la herramienta iptables.
Ya hemos desarrollado en la teora el formato de iptables, puedes consultarlo tambin con
man iptables en cualquier distribucin de Linux. La mejor forma de aprender a usarlo es
justamente creando, aplicando reglas, y por supuesto verificando qu sucede desde otra mquina,
as que para estos ejercicios, si bien puedes hacerlo con un equipo slo, lo ideal es que cuentes
con al menos dos hosts, para poder evaluar resultados.
Recordemos que la estructura completa de una regla bsicamente sera:
iptables -t tabla tipo_operacin cadena regla_con_parmetros Accin
Sobre el esquema anterior es que comenzaremos los ejercicios desde una consola Linux sobre
el que ya est instalado iptables.
Supongamos que deseamos rechazar los segmentos TCP que entran con destino a un
servidor Web, el comando sera:
#iptables -t filter -A INPUT -p tcp -dport 80 -j DROP
Como la tabla por defecto es filter, sera igual poner:
#iptables -p tcp -dport 80 -j DROP
Qu cambiaras a esta regla para que en vez de rechazar esto paquetes, los deje
pasar?
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 207 [Link]
Supongamos que en esta misma regla deseamos rechazar el puerto fuente TCP 80,
y tambin el puerto destino TCP 80 Cmo lo haras?
Si en vez de poner el nmero 80 pones http, lo aceptar?
Cada vez que desde una consola ejecutas: #iptables -...... [enter], ingresas una nueva
regla a netfilter y AUTOMTICAMENTE la misma entra en ejecucin.
Es muy probable que en los intentos anteriores, te haya sucedido que aplicabas una
regla, luego cambiabas algo y las cosas no respondan como queras. Esto sucede
porque cada nueva regla que ingresaste, se encola en el sistema netfilter, por lo
tanto t creas que estabas ejecutando esa regla, cuando en verdad estabas
ejecutando una lista de reglas, y en vez de cumplirse esa ltima se estaba
cumpliendo alguna anterior.
Para poder ver todas las reglas que tienes ejecutndose debes escribir:
#iptables L
All te listar todo lo que has escrito (siempre que su formato haya sido correcto) y
se est ejecutando en tu host.
T que ya ests familiarizado con Linux, Qu opcin se te ocurre que puedes
colocar inmediatamente despus de -L para que te ofrezca ms detalle este listado?
Ahora, Te atreves a investigar cmo puedes borrar esas reglas?
Te invitamos a que profundices en esta tarea, pues puedes hacerlo una a una, de
forma selectiva, todas ellas, etc... (Dedcale su tiempo).
La opcin -i permite asociar una regla a una determinada interfaz. Describe, Qu
accin realiza la siguiente regla?:
#iptables -I INPUT -i lo -j ACCEPT
En qu consiste la opcin Masquerade?
Cul es el resultado de la siguiente regla?:
#iptables -A INPUT -s [Link] -p TCPdport 22 -j ACCEPT
Cmo debera ser la regla para permitir que todos los usuarios de la red:
[Link] con mscara: [Link] puedan acceder al servidor Web de la
empresa, que tiene instalado tambin iptables?
Hasta ahora hemos tratado las reglas una a una, pero una potente opcin que nos
presenta la programacin bash es redactar un sencillo archivo de texto plano,
colocar todo el conjunto de reglas que queramos, asignarle los permisos
correspondientes con chmod y luego ejecutarlo (./).
Te atreves a comenzar con uno de ellos que inicialmente contenga una regla sola
y luego continuar sumndole ms?
Un trabajo con dos hosts:
Te proponemos a continuacin una secuencia de tareas para que ejercites parte de
lo visto hasta ahora desde dos hosts. Uno de ellos debera ser Linux con iptables y
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 208 [Link]
el otro podra ser tambin Linux o cualquier otro sistema operativo. Te invitamos a
que sigas esta secuencia paso a paso para que puedas analizar su evolucin:
1) Realizar scan con nmap hacia los puertos tcp y udp de ambas mquinas.
2) Verificar con nmap localhost que los datos sean los correctos, hacerlo
tambin con Zenmap.
3) Verificar desde una consola a travs del comando netstat etn, qu
puertos tengo establecidos con conexin (Established).
4) Si bien an no hemos tratado este tema, pues lo veremos en el captulo
siguiente, vamos a instalar una herramienta muy sencilla que permite realizar
conexiones remotas hacia ese host, que an no haremos, pero nos permitir
verificar la apertura y cierre del puerto 23 (telnet). Para esta actividad, desde
el host Linux debemos instalar telnetd. Esta aplicacin automticamente al
finalizar su instalacin se ejecutar y dejar abierto el puerto TCP 23.
5) verificar nuevamente con nmap y zenmap ambos equipos.
6) Verificar cmo tengo las reglas de mi FW, Qu comando empleo?
7) Borrar todas las reglas de mi FW Qu comando empleo?
8) Con qu regla de iptables puedo negar acceso al puerto 23? (en el host que
se instal telnetd).
9) Con qu regla de iptables puedo negar acceso al puerto 23 a todo el mundo
menos a la direccin IP del otro host?
10) Con qu regla de iptables puedo negar la salida a navegar por Internet desde
este mismo equipo?
11) Qu sucede si apago este host y la vuelvo a encender?
12) Es posible hacer un programa sencillo para que se niegue el acceso a este
puerto Tcp 23, excepto al otro host y ejecutar directamente este programa, en
vez de regla por regla?
13) Cmo se puede hacer para que este programa se inicie siempre que arranque
este host?
6. Empleo de la herramienta ufw
Una opcin sencilla (tal vez la ms sencilla) para comenzar nuestro camino hacia la
amigabilidad de los FWs, es ufw (Uncomplicated FireWall) por defecto viene con Ubuntu
(sino: apt-get install ufw).
Te invitamos a que lo pruebes y ejercites un poco antes de seguir nuestro avance sobre los
FWs.
Como vers es muy fcil de usar, te proponemos que al menos realices las siguientes prcticas:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 209 [Link]
Activar o
desactivar
(por defecto
viene
deshabilitado)
.
Para
activar
lo:
#ufw
enabl
e
Para
desactivarlo: #ufw disable
Estando activado, es posible abrir o cerrar puertos (TCP o UDP).
Para abrir puertos TCP: #ufw allow nnn/tcp
Para abrir puertos UDP: #ufw allow nnn/udp
Para cerrar puertos (TCP o UDP):
Para cerrar los puertos TCP: #ufw deny nnn/tcp
Para cerrar los puertos UDP: #ufw deny nnn/udp
7. Empleo de la herramienta firestarter.
Firestarter ya nos ofrece una interfaz grfica un poco ms amigable, desde la cual podemos
configurar. En la imagen podemos apreciar en la ventana anterior, cmo se puede configurar
reglas de filtrado, en este caso para el protocolo ICMP.
En la ventana posterior de esta misma imagen, se llega a ver tambin que nos ofrece la
seleccin de polticas restrictivas o permisivas, tal cual tratamos en la teora.
En las imgenes de abajo, vemos que se presenta la opcin de configurar las reglas para el
trfico entrante o saliente tanto desde host y puertos, y cada uno de ellos posee los botones (+,
-, etc) para implantar las mismas.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 210 [Link]
Por ltimo, presentamos la
imagen de firestarter
funcionando (activo), en un
ejemplo en el que se
encuentra transmitiendo por
la interfaz wlan0 y nos
presenta las conexiones
activas.
Te proponemos que instales
esta herramienta grfica y la
pruebes dedicndoles un
tiempo para su anlisis y
evaluacin, no encontrars
ninguna dificultad en ella.
8. Empleo de la herramienta Firewall Builder.
En nuestra opinin esta herramienta grfica es una de las ms
potentes que podemos llegar a emplear en temas de seguridad
con Firewalls. Existen ofertas comerciales de alto coste que
no renen la potencia que ofrece Firewall Builder. En esta
gua de ejercicios trabajaremos con la versin 4.2.
Para su instalacin, puede ser que te encuentres con algn
nivel de complejidad, dependiendo de la distribucin de Linux que emplees, de su actualizacin y
sobre todo de las libreras y paquetes que tengas instalado. Por nuestra parte, como hemos
intentado hacer en todo el libro, no entraremos en temas de instalacin pues suelen cambiar muy
peridicamente, pero como siempre estamos seguros que es una muy buena prctica en temas de
seguridad, que seas capaz de investigar a travs de Internet hasta encontrar la solucin a cada uno
de estos problemas y desafos. En el caso de firewall builder te aconsejamos que no escatimes
esfuerzos hasta que lo tengas funcionando al 100% y no te quede ningn aspecto del mismo sin
conocer pues ser el da a da de todo administrador de sistemas que se quiera preciar de experto
en seguridad.
En pocas palabras, es una herramienta excelente.
Todo este trabajo se puede ampliar, tomando como referencia la documentacin (que es abundante)
y se puede descargar gratuitamente de [Link] A riesgo de quedar
desactualizados en poco tiempo, igualmente hemos decidido recomendar la gua: Firewall Builder
4.0 Users Guide de esta web, la cual citaremos en estos ejercicios.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 211 [Link]
Una vez instalado, desde
consola, puedes ejecutar
#fwbuilder, se abrir su
interfaz grfica y te presentar
diferentes opciones de
escenarios por defecto, te
aconsejamos que elijas uno
sencillo con no ms de dos
interfaces. Luego te
preguntar sobre qu
plataforma se trabajar, en
nuestro caso seleccionamos
iptables que es la que
venimos tratando.
1) Una vez abierta la consola, el primer paso es crear un nuevo FW (nombre, interfaces, etc -
Activar la opcin Plantilla por defecto). (Puede consultarse en el captulo 4 de la gua)
2) Para mantenerlo que aprendimos y ejercitamos con Packet tracer vamos a configurar las
interfaces (eth0: Internet, [Link]/16 y eth1: LAN, [Link]/16).
Las interfaces, puedes editarlas y modificarlas las veces que lo desees, haciendo doble clic
sobre ellas, se despliega la ventana de edicin, como puedes ver en la imagen de aqu al lado.
(La ventana de edicin la puedes abrir sobre cualquier objeto haciendo doble clic sobre
este).
3) Seleccionar el FW recientemente creado, editarlo (con doble Click) y seleccionar el botn
Firewall Setting, se abrir una nueva ventana iptables advanced settings. En la parte
inferir izquierda est
el botn de Help
que describe con todo
detalle sus opciones.
Analizar brevemente
las mismas (como se
ve en la primera de
las imgenes).
4) Al haber creado un
FW, esta herramienta
nos ofrece un
conjunto de reglas
por defecto que se
correspondern a la
poltica de este
FW. Revisar y ajustar las reglas para la red interna [Link]/16 (Comentar TODO), el
realizar comentarios sobre las reglas es fundamental pues nos servir a futuro a nosotros o a
cualquier otro que deba realizar cualquier tarea sobre el mismo. Como dato interesante,
hemos visto FWs con cientos de reglas en los cules ya era imposible adivinar para qu
estaban muchas de ellas.........
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 212 [Link]
5) Cada regla puede Analizarse
haciendo doble click en ella (se
edita) y presenta tres tabs, en la
indicada como Output se puede
evaluar la misma en el formato
iptables con que se ejecutar.
6) Cambiar de color las reglas que
p
a
rezcan ms
importantes (puede
consultarse el captulo
5 de la gua).
7) Analizar las Libreras
Standard y User,
Qu servicios y objetos incorpora
por defecto?
8) Para profundizar en el empleo de
la GUI de FWBuilder, puede
consultarse en la figura 5.30 de la
gua)
9) Crear nuevas redes (Valencia,
Santiago, DMZ, etc) (puede
consultarse el captulo 5.19 de la
gua). Practicar el Drag and
Drop arrastrando los objetos que desees.
10) Crear troncales ([Link], [Link]).
11) Crear Hosts (Ser correo, Ser DMZ, etc).
12) Crear Grupos (Directorio, Administra-dores, etc...) (Asignarle a cada uno algunos hosts, que
debern ser creados).
13) Guardar.
14) Compilar reglas. Al compilar
reglas, se puede apreciar que lo
que se ha generado es un
archivo que contiene cada una
de las reglas en formato
iptables, tal cual lo
practicamos por lnea de
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 213 [Link]
comandos. Emplea la barra de herramientas:
15) Configurar diferentes opciones en la ventana Filter para visualizar nicamente ciertos
rangos, nombres, interfaces, etc.
16) Analizar las opciones de Logs.
17) Analizar Inspeccionar Filas Generadas (icono derecho de los 4 del men). Qu es esto?
(Describir brevemente algunas reglas).
18) Si se desea profundizar sobre FWBuilder, una opcin interesante y afn al trabajo que se
viene realizando en el texto, es la del punto 4.2. de la gua Configuring Cisco Router ACL,
donde se describe la compatibilidad entre estos productos. (en la figura 4.5.3 se ve con
claridad el empleo de las ACLs)
19) Volviendo al ejercicio anterior de Packet Tracer: Generar las siguientes reglas de filtrado:
a. Nadie desde Internet puede ver las rutas troncales.
b. Nadie desde Internet puede alcanzar las redes LAN.
c. Desde Internet se puede llegar al puerto 25 del servidor de correo.
d. Desde Internet se puede llegar al puerto 80 del servidor Web de Internet.
e. Desde Internet se puede llegar al puerto 53 (tcp y udp) del Servidor DNS.
f. Desde el Servidor DNS se puede salir hacia el puerto 53 (tcp y udp) de cualquier
direccin.
g. Desde el Servidor de correo se puede salir hacia el puerto 25 de cualquier direccin.
h. Desde las LANs se puede salir nicamente al puerto 80 de cualquier direccin.
20) Supongamos que el FW estuviera filtrando tambin trfico interno (cosa que no hace pues
est en el segmento de salida hacia Internet), disear las siguientes reglas y grupos:
a. Grupo Directivos.
b. Grupo Gerencia Comercial.
c. Grupo Gerencia Financiera.
d. Grupo Administradores de sistemas.
21) Asignarles direcciones IP a algn host de cada LAN, e integrar esos hosts a los grupos
anteriores.
22) Crear en MZ dos nuevos servidores de archivos: Datos-Financieros y Datos-Comerciales.
23) Crear las siguientes reglas:
a. nicamente los gerentes Comerciales pueden acceder al Servidor de Datos-
Comerciales (al puerto 20 y 21).
b. nicamente los gerentes Financieros pueden acceder al Servidor de Datos-
Financieros (al puerto 20 y 21).
c. Los Directivos pueden acceder a todos (al puerto 20 y 21).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 214 [Link]
d. Cualquier administrador puede acceder a todos los hosts, servidores y troncales y a
cualquier puerto pero por SSH (puerto 22).
24) El administrador general de toda la red, posee en su casa una lnea ADSL con IP fija:
[Link]. Desde all puede ingresar a la red por SSH y conectarse a cualquier
dispositivo, exactamente igual que si estuviera en la LAN.
FWBuilder de forma automtica, ha generado la totalidad de las reglas y tablas que conforman
la poltica de seguridad de este FW, tened en cuenta que en nuestro ejercicio hemos creado un
solo FW, pero podramos haber creado todos los de nuestra organizacin en esta nica interfaz
grfica, y a travs de ella configurarlos y ajustarlos hasta el mximo nivel de detalle y
FWBuilder se ir encargando de todo.
El detalle que no debemos pasar por alto ahora es el de Cargar los datos compilados en cada
uno de los FWs y ejecutarlos, este es el ltimo paso que debemos realizar, y tambin se realiza
desde la interfaz grfica, nuevamente desde la barra:
En nuestro ejercicio, como contamos con dos host, os aconsejamos que
la primera vez lo ejecutis en local, y luego de monitorizar su funcionamiento desde el otro host,
si este a su vez tambin es Linux, probad de crear un nuevo FW, configuradlo (de acuerdo a
los pasos que acabamos de realizar), pero esta vez implantadlo en el host remoto.
Para finalizar todo este ejercicio con FWBuilder, a continuacin os pegamos el formato que
con sus ms o sus menos debera quedar en un archivo de configuracin compilado en formato
iptables (hemos recortado con .............. muchas de sus partes, dejando nicamente las que
consideramos te pueden servir de referencia en los pasos que acabamos de realizar):
#!/bin/sh
#
# This is automatically generated file. DO NOT MODIFY !
# Firewall Builder fwb_ipt v4.2.0.3530
# Compiled for iptables (any version)
..............
FWBDEBUG=
PATH=/sbin:/usr/sbin:/bin:/usr/bin:${PATH}
export PATH
LSMOD=/sbin/lsmod
IPTABLES=/sbin/iptables
..............
LOGGER=/usr/bin/logger
log() {
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 215 [Link]
echo $1
command -v $LOGGER >/dev/null 2>&1 && $LOGGER -p info $1
}
..............
reset_iptables_v4() {
$IPTABLES -P OUTPUT DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
..............
configure_interfaces() {
:
# Configure interfaces
update_addresses_of_interface eth0 [Link]/16
update_addresses_of_interface eth1 [Link]/16
update_addresses_of_interface lo [Link]/8
..............
# ================ Table filter, automatic rules
# accept established sessions
$IPTABLES -A INPUT -m statestate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m statestate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m statestate ESTABLISHED,RELATED -j ACCEPT
# ================ Table nat, rule set NAT
#
# Rule 0 (NAT)
#
echo Rule 0 (NAT)
#
$IPTABLES -t nat -A POSTROUTING -o eth0 -s [Link]/16 -j SNATto-
source [Link]
# ================ Table filter, rule set Policy
#
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 216 [Link]
# Rule 0 (eth0)
#
echo Rule 0 (eth0)
#
# anti spoofing rule (sirve para detectar y negar acceso a IP falsas)
$IPTABLES -N In_RULE_0
$IPTABLES -A INPUT -i eth0 -s [Link] -j In_RULE_0
$IPTABLES -A INPUT -i eth0 -s [Link] -j In_RULE_0
$IPTABLES -A INPUT -i eth0 -s [Link]/16 -j In_RULE_0
$IPTABLES -A FORWARD -i eth0 -s [Link] -j In_RULE_0
$IPTABLES -A FORWARD -i eth0 -s [Link] -j In_RULE_0
$IPTABLES -A FORWARD -i eth0 -s [Link]/16 -j In_RULE_0
$IPTABLES -A In_RULE_0 -j LOG --log-level infolog-prefix RULE 0 -- DENY
$IPTABLES -A In_RULE_0 -j DROP
..............
# All other attempts to connect to
# the firewall are denied and logged
$IPTABLES -N RULE_7
$IPTABLES -A OUTPUT -d [Link] -j RULE_7
$IPTABLES -A OUTPUT -d [Link] -j RULE_7
$IPTABLES -A INPUT -j RULE_7
$IPTABLES -A RULE_7 -j LOG --log-level infolog-prefix RULE 7 -- DENY
$IPTABLES -A RULE_7 -j DROP
DESAFOS:
1. Investiga ms opciones para el trabajo con puertos con nmap.
2. Realiza los trabajos que hemos hecho con netcat pero sobre puertos UDP.
3. Investiga la transferencia de archivos que realizamos con netcat, Se puede realizar
igualmente con todo tipo de archivos?
4. Investiga y practica la poderosa opcin -c de netcat.
5. Investiga el empleo de netcat como escner de puertos. Te proponemos que realices un
escan de puertos aplicando nmap y que llegues a hacer lo mismo con netcat, Te atreves?
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 217 [Link]
6. Investiga cmo puedes hacer que tu archivo de reglas iptables se ejecute automticamente
cada vez que se inicia ese host (Una pista tienes relacionada al directorio /etc/init.d/).
7. Investiga el empleo de las tablas NAT en FWBuilder.
8. Profundiza la administracin remota de FWs con FWBuilder.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 219 [Link]
CAPTULO 7: El nivel de APLICACIN
Como hemos comentado al principio, una vez superado el nivel cuatro (transporte), todas las
funciones y/o servicios se orientan de cara al usuario. Es decir, a partir de este nivel es poco
probable que encontremos aspectos relacionados a la red, en cambio entraremos a lo que en el
modelo TCP/IP engloba como Aplicacin, que os recordamos que aqu es donde existe la mayor
diferencia con el modelo OSI que lo trata como tres capas diferentes (5: Sesin, 6: Presentacin, 7:
Aplicacin).
En este nivel, trataremos los principales protocolos que lo componen. Tal vez sea el nivel donde
mayor cantidad de protocolos existen, por esta razn es natural que alguien pueda pensar que este
texto no est completo. Por nuestra parte, hemos decidido presentar los que figuran a continuacin
y en versiones posteriores del libro ir agregando los que podamos hasta lograr una visin lo ms
completa posible de este nivel.
Como hemos comentado al principio, una vez superado el nivel cuatro (transporte), todas las
funciones y/o servicios se orientan de cara al usuario. Es decir, a partir de este nivel es poco
probable que encontremos aspectos relacionados a la red, en cambio entraremos a lo que en el
modelo TCP/IP engloba como Aplicacin, que os recordamos que aqu es donde existe la mayor
diferencia con el modelo OSI que lo trata como tres capas diferentes (5: Sesin, 6: Presentacin, 7:
Aplicacin).
7.1. DNS (Domain Name System) (RFC 1706, 1591, 1034 y 1035):
As como ya hemos visto que el protocolo ARP nos permita asociar una direccin MAC, con una
direccin IP, este protocolo ahora es quien permite la asociacin de la direccin IP con el nombre
que un usuario puede llegar a conocer o recordar. Veremos que los nombres que se emplean en
Internet responde a un formato determinado, el cual queda establecido por la RFC 1591.
7.1.1. TLD (Top Level Domain) - (genricos y geogrficos).
Al nacer Internet, se implement este servicio de nombres, a travs de bases de datos de
caractersticas planas, las cuales por el exponencial crecimiento de esta red, rpidamente
oblig a estructurarse como un sistema jerrquico de archivos, residente en los servidores de
nombres de dominio distribuidos en todo el mundo. El NIC (Network Information Center)
lleva el registro mundial de todas las direcciones IP, y a que nombre se corresponde.
Dentro de esta jerarqua de nombres, el primer nivel se denomina Top Level Domain (TLD) y
puede ser de dos formas, genricos (gTLD: genericTLD) que se caracterizan por tres o
cuatro caracteres, ellos son: com, mil, int, edu, net, gov, org y arpa o geogrficos (ccTLD:
country-codeTLD) que identifica al Pas de dos caracteres, por ejemplo ar, us, uk, br, etc, este
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 220 [Link]
responde a los cdigos internacionales de dos caracteres estandarizados por la norma ISO
3166.
En octubre de 2007, la Organizacin de Apoyo para Nombres Genricos (GNSO:Generic
Names Supporting Organization), uno de los grupos que coordina la poltica global de
Internet en ICANN (Internet Corporation for Assigned Names and Numbers), complet su
trabajo de desarrollo de polticas en los nuevos gTLD y aprob una serie de recomendaciones.
La Junta Directiva de la ICANN adopt la poltica en junio de 2008.
Hay ocho gTLD que son anteriores a la creacin oficial de la ICANN como organizacin.
Estos son: .com, .edu, .gov, .int, .mil, .net, .org y .arpa. ICANN posteriormente hizo tres
actualizaciones, una en el ao 2000 y otra en 2003/4 donde se presentaron varias propuestas y
fnalmente fueron aporbados: .aero, .biz, .info, .coop, .name, .museum y .pro en el 2000 y
en el 2004: .asia, .cat, .jobs, .mobi, .tel, y .travel. La tercera fue en marzo de 2011 que
acaba de ser aprobado tambin el gTLD: xxx para pginas relacionadas a pornografa.
La jerarqua se establece de derecha a izquierda, separada por puntos, avanzando en este
orden de lo general a lo particular, llegando a identificar, por ejemplo, al usuario que
pertenece al departamento de una empresa comercial de un determinado Pas
([Link]), se estila el empleo del caracter @ si bien su uso no es
obligatorio. Existen tambin niveles menores (regulados por la RFC-1480) que establecen
subdominios como pueden ser localidades, colegios, libreras, agencias federales, etc.
En teora, esta subdivisin puede tener hasta 127 niveles, y cada etiqueta contener hasta 63
caracteres, pero restringido a que la longitud total del nombre del dominio no exceda los 255
caracteres, aunque en la prctica los dominios son casi siempre mucho ms cortos.
Finalmente, la parte ms a la izquierda del dominio suele expresar el nombre de la mquina
(en ingls hostname).
Ver:
[Link]
[Link]
Los Internet Service Provider (ISP: Proveedores de Servicio de Internet) obtienen las
asignaciones de direcciones IP de un registro local de Internet (LIR), del Registro Nacional
de Internet (NIR), o del Registro Regional de Internet (RIR):
El papel de la IANA (Internet Assigned Numbers Authority) es asignar direcciones IP desde
los rangos de las direcciones asignadas a los RIR de acuerdo a sus necesidades. Cuando un
RIR requiere ms direcciones IP para la asignacin dentro de su regin, IANA hace una
asignacin adicional al RIR. IANA no hace asignaciones directamente a los ISPs o usuarios
finales salvo en circunstancias especficas, sino que lo hace a travs de las cinco regiones en
las que se ha dividido esta red mundial:
RIPE: [Link]
(Rseaux IP Europens - en Francs: "IP para redes Europeas")
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 221 [Link]
AfriNIC: [Link]
(Africa Numbers Internet Community)
APNIC: [Link]
(Asia Pacific Network Information Centre)
ARIN: [Link]
(American Registry for Internet Numbers)
LACNIC: [Link]
(Latin American and Caribean Internet Address Registry)
Dentro de los dominios genricos, existen dos categoras: los patrocinados y los no
patrocinados.
Los primeros reciben el apoyo de organismos privados, mientras que los segundos, por ser
considerados de inters pblico, son mantenidos y regulados directamente por el ICANN y las
entidades internacionales.
Los dominios genricos no patrocinados, como .com, .name, .net, .org, .info, etc. siguen una
estricta poltica y reglamentacin fijada por el ICANN, que de cierta forma permite dar las
mximas garantas de calidad al usuario final.
Los dominios genricos patrocinados, como .aero, siguen una poltica y reglamentacin fijada
de forma compartida entre el ICANN y el organismo patrocinador.
No patrocinados
.com, .net, .org, .biz, .info, .name, .edu, .gov, .int, .mil
Patrocinados
.aero, .asia, .cat, .coop, .eu, .jobs, .mobi, .museum, .pro, .travel, .tel, xxx.
Infraestructuras (Controladas por IANA directamente)
.arpa, .root
En fase de inicio
.post, .mail.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 222 [Link]
En la pgina web:
[Link]
ICANN mantiene actualizado los agentes registradores reconocidos mundialmente
especificando cada uno de los TLD sobre los que pueden operar.
Otra pgina Web que nos puede interesar es:
[Link]
En ella encontraremos la distribucin mundial del primer octeto de los rangos de
direcciones IP y a qu zona geogrfica pertenece.
7.1.2. Componentes principales de DNS.
Para la operacin prctica del sistema DNS se utilizan tres componentes principales:
Los Clientes DNS: Un programa cliente DNS que se ejecuta en la
computadora del usuario y que genera peticiones DNS de resolucin de
nombres a un servidor DNS (Por ejemplo: Qu direccin IP corresponde a
[Link]?);
Los Servidores DNS: Que contestan las peticiones de los clientes. Los
servidores recursivos tienen la capacidad de reenviar la peticin a otro
servidor si no disponen de la direccin solicitada.
Y las Zonas de autoridad, porciones del espacio de nombres de dominio que
almacenan los datos. Cada zona de autoridad abarca al menos un dominio y
posiblemente sus subdominios, si estos ltimos no son delegados a otras
zonas de autoridad.
Dentro de este sistema es que cuando se desea conectar con un determinado ETD,
supongamos una Web, es probable que se conozca su nombre DNS pero casi seguro que no
su direccin IP. En estos casos es que entra en juego el Sistema DNS, en el cual el primer
Servidor DNS al cual el ETD se encuentra conectado, podr conocer o no la direccin IP a la
que se desea llegar, si la conoce, directamente la asocia por medio del sistema llamado
Solucionador de nombres, caso contrario elevar su solicitud en forma jerrquica al servidor
de nombres de dominio inmediatamente superior a este, el cual proceder en forma anloga,
hasta llegar al que posea esta informacin. El conjunto de nombres administrados por un
servidor se llama ZONA, y por cada una de ellas existe un servidor primario y uno secundario
(El cual resulta evidente al configurar un ETD para ingresar a Internet, pues obligatoriamente
el Internet Service Provider al cual se llama deber haberlos notificado para configurar el
ETD correspondiente).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 223 [Link]
Acorde a la solicitud del cliente, un servidor DNS opera en forma recursiva o iterativa
(definidas a travs de un Flag en la solicitud cliente), La primera de ellas se produce cuando
un servidor no conoce la direccin IP solicitada, entonces enva la misma a su Root, el cual
operar de la misma forma hasta resolver la solicitud. Una solicitud Iterativa, es aquella en la
cual ante la ausencia de respuesta, el servidor devuelve la misma al cliente pudiendo indicarle
a que otro servidor recurrir o no, y es el cliente el responsable de ir iterando este pedido hasta
encontrar solucin.
El software ms empleado para estos servidores es el BIND (Berkeley Internet Name
Domain), que es un software de libre distribucin empleado por los sistema Unix.
7.1.3. Tipos de registros DNS.
A = Address (Direccin) Este registro se usa para traducir nombres de hosts a
direcciones IP.
CNAME = Canonical Name (Nombre Cannico) Se usa para crear nombres de
hosts adicionales, o alias, para los hosts de un dominio. Es usado cuando se estan
corriendo multiples servicios (como ftp y web server) en un servidor con una sola
direccion ip. Cada servicio tiene su propia entrada de DNS (como [Link]. y
[Link].). esto tambin es usado cuando corres mltiples servidores http,
con diferente nombres, sobre el mismo host.
NS = Name Server (Servidor de Nombres) Define la asociacin que existe entre un
nombre de dominio y los servidores de nombres que almacenan la informacin de
dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de
servidores de nombres.
MX (registro) = Mail Exchange (Registro de Intercambio de Correo) Asocia un
nombre de dominio a una lista de servidores de intercambio de correo para ese
dominio.
PTR = Pointer (Indicador) Tambin conocido como 'registro inverso', funciona a la
inversa del registro A, traduciendo IPs en nombres de dominio.
SOA = Start of authority (Autoridad de la zona) Proporciona informacin sobre la
zona.
HINFO = Host INFOrmation (Informacin del sistema informtico) Descripcin
del host, permite que la gente conozca el tipo de mquina y sistema operativo al que
corresponde un dominio.
TXT = TeXT - ( Informacin textual) Permite a los dominios identificarse de modos
arbitrarios.
LOC = LOCalizacin - Permite indicar las coordenadas del dominio.
WKS - Generalizacin del registro MX para indicar los servicios que ofrece el
dominio. Obsoleto en favor de SRV.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 224 [Link]
SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC 2782
SPF = Sender Policy Framework - Ayuda a combatir el Spam. En este record se
especifica cual o cuales hosts estn autorizados a enviar correo desde el dominio
dado. El servidor que recibe consulta el SPF para comparar la IP desde la cual le
llega, con los datos de este registro.
7.1.4. Zonas.
Cada servidor de nombres tiene autoridad para cero o ms zonas. Hay tres tipos de servidor de
nombres:
Primario:
Un servidor de nombres primario carga de disco la informacin de una zona, y tiene
autoridad sobre ella.
Secundario:
Un servidor de nombres secundario tiene autoridad sobre una zona, pero obtiene la
informacin de esa zona de un servidor primario utilizando un proceso llamado
transferencia de zona. Para permanecer sincronizado, los servidores de nombres
secundarios consultan a los primarios regularmente (tpicamente cada tres horas) y re
ejecutan la transferencia de zona si el primario ha sido actualizado. Un servidor de
nombres puede operar como primario o secundario para mltiples dominios, o como
primario para unos y secundario para otros. Un servidor primario o secundario realiza
todas las funciones de un servidor cach.
Cach:
Un servidor de nombres que no tiene autoridad para ninguna zona se denomina servidor
cach. Obtiene todos sus datos de servidores primarios o secundarios. Requiere al menos
un registro NS para apuntar a un servidor del que pueda obtener la informacin
inicialmente.
7.1.5. Los nodos raz.
Existen 13 servidores raz en todo Internet, cuyos nombres son de la forma [Link]-
[Link], aunque siete de ellos no son realmente servidores nicos, sino que representan
mltiples servidores distribuidos a lo largo del globo terrqueo (ver tabla siguiente). Estos
servidores reciben miles de consultas por segundo, y a pesar de esta carga la resolucin de
nombres trabaja con bastante eficiencia.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 225 [Link]
Los Servidor Raz (root)
Letra
Direccin
IPv4
Nombre Operador Ubicacin
1 A [Link] [Link] VeriSign Distribuido
empleando
anycast
2 B [Link] [Link] USC-ISI Marina Del Rey,
California, U.S.
3 C [Link] [Link] Cogent
Communications
Distribuido
empleando
anycast
4 D [Link] [Link] University of
Maryland
College Park,
Maryland, U.S.
5 E [Link] [Link] NASA Mountain View,
California, U.S.
6 F [Link] [Link] Internet Systems
Consortium
Distribuido
empleando
anycast
7 G [Link] [Link] Defense
Information
Systems Agency
Distribuido
empleando
anycast
8 H [Link] [Link] U.S. Army
Research Lab
Aberdeen
Proving Ground,
Maryland, U.S.
9 I [Link] [Link] Autonomica Distribuido
empleando
anycast
10 J [Link] VeriSign Distribuido
empleando
anycast
11 K [Link] RIPE NCC Distribuido
empleando
anycast
12 L [Link] ICANN Distribuido
empleando
anycast
13 M [Link] WIDE Project Distribuido
empleando
anycast
Mientras que slo trece nombres se utilizan para los servidores de nombres raz, hay s
servidores fsicos. Los servidores: A, C, F, I, J, K, L y M ya existen en varias ubicaciones en
diferentes continentes, gracias al empleo de direccionamiento "anycast" para proporcionar
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 226 [Link]
de servicios descentralizados. Como resultado hoy, la mayor parte de los servidores raz se
encuentran fsicamente fuera de los Estados Unidos, lo que ha permitido obtener un alto
rendimiento en todo el mundo. Para el que desee pensar mal, tambin significa que no es el
nico Pas que puede ver pasar absolutamente todo el trfico mundial de Internet, pues en
definitiva de eso se trata el control de todo este sistema DNS. Este ser el responsable de
decir a qu direccin IP se asigna cada nombre mundial, y por ser jerrquico, quien controla
las races del rbol, controla todas las rutas......
7.1.6. Formato de su encabezado.
El formato de un mensaje DNS es el siguiente:
16 bit 16 bit
Identificacin Parmetros
Nmero de Solicitud Nmero de respuesta
Nmero de autoridad Numero adicional
Seccin Solicitud
Seccin respuesta
Seccin autoridad
Seccin de informacin adicional
Identificacin: Identifica al mensaje, se emplea para llevar la correspondencia entre
solicitudes y respuestas.
Parmetros:
* bit 1 (Q): Valor 0 = solicitud, valor 1 = respuesta.
* bit 1 a 4 (OpCode) Tipo de consulta: Valor 0 = estndar, valor 1 = Inversa, valor
2 = solicitud de estado de servidor, (existen valor 3 y 4 en desuso).
* bit 5 (A): Seteado si la solicitud es autoritativa (Flag de Autoritativo).
* bit 6 (T): Seteado si el mensaje es truncado, es ms largo de lo que permite el
canal.
* bit 7 (R): Seteado si se requiere recursin (Flag de recursividad).
* bit 8 (V): Seteado si la recursin est disponible el servidor soporta recursin.
* bit 9 a 11 (B): Reservados para uso futuro, su valor debe ser cero.
* bit 12 a 15 (Rcode): (Tipo de respuesta) valor 0 = sin error, valor 1 = Error de
formato en solicitud, valor 2 = falla en servidor, valor 3 = nombre inexistente,
valor 4 = tipo de consulta no soportada, 5 = consulta rechazada.
Numero de...: Lleva la cuenta del nmero de mensajes que se cursan en las secciones
que le siguen en el formato.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 227 [Link]
Seccin solicitud: contiene las consultas deseadas, consta de tres sub-campos:
Nombre de Dominio (longitud variable), Tipo de consulta (Host, mail, etc) y Clase
de consulta (permite definir otros objetos no estndar en Internet).
Seccin respuesta, autoridad e informacin adicional: consisten en un conjunto de
registros que describen nombres y sus mapeos correspondientes.
7.1.7. Conexiones UDP y TCP en DNS:
Los mensajes DNS se transmiten sobre UDP o sobre TCP, en ambos sobre el puerto 53, y la
mecnica a seguir es la siguiente:
Los mensajes transportados por UDP se restringen a 512 bytes. En el caso de TCP el
mensaje va precedido de un campo de 2 bytes que indica la longitud total de la trama.
Un "resolver" del DNS o un servidor que enva una consulta que no supone una
transferencia de zona debe enviar una consulta UDP primero. Si la seccin "answer" de
la respuesta est truncada y el solicitante soporta TCP, debera intentarlo de nuevo
usando TCP. Se prefiere UDP a TCP para las consultas porque UDP tiene un factor de
carga mucho menor, y su uso es esencial para un servidor fuertemente cargado. El
truncamiento de mensajes no suele ser un problema dados los contenidos actuales de la
base de datos del DNS, ya que tpicamente se pueden enviar en un datagrama 15
registros, pero esto podra cambiar a medida que se aaden nuevos tipos de registro al
DNS.
TCP debe usarse para actividades de transferencia de zonas debido a que el lmite de 512
bytes de UDP siempre ser inadecuado para una transferencia de zona.
Los servidores de nombres deben soportar ambos tipos de transporte.
7.1.8. Inundacin recursiva e iterativa:
La metodologa de esta debilidad es la de aprovechar la potencia que tiene este protocolo para
obtener informacin de algn nombre, para generar mayor cantidad de tfico en la red. Si se
alcanzan volmenes importantes, se habla de inundacin, pues puede llegar a dejar fuera de
servicio a una red o servidor, ocupndose nicamente de esta actividad. Todo aquel que haya
desarrollado programas que implementen tcnicas recursivas sabe bien la potencia que estas
poseen (y seguramente los desbordamientos de memoria que sin lugar a dudas alguna vez le
ocasion por error). En el caso de la iteracin, el problema es similar, pues se plantean casos
en los cuales por falta de resolucin se produce la "Iteracin eterna", es decir que nunca dejar
de soicitar un determinado nombre.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 228 [Link]
7.1.9. Herramientas empleadas con este protocolo.
Nslookup: Es un cliente DNS que sirve para obtener direcciones IP a travs del
dominio y viceversa (Ej: nslookup [Link] o nslookup [Link])
Dig: (Domain Information groper) otro comando flexibla para interrogar DNSs
host: Sencilla a rpida resolucin DNS
Pgina Web amigable para resoluciones DNS: [Link]
7.1.10. Vulnerabilidades de DNS.
Las vulnerabilidade sde este protocolo, pueden clasificarse en cuatro grandes familias:
UDP: Entre los servidores se transfieren grandes volmenes de informacin a travs del
puerto UDP 53, el cual por ser no orientado a la conexin lo hace especialmente difcil de
controlar y filtrar, aprovechndose esta debilidad.
Obtencin de Informacin: Los servidores DNS almacenan informacin importante, la
cual es muy buscada y fcilmente obtenible por un intruso.
Texto plano: Toda la infromacin viaja en texto plano.
Falta de autenticacin: El protocolo no ofrece ninguna tcnica de autenticacin.
7.1.11. DNS Spoof.
La tcnica de spoof, ya la hemos presentado y se puede implementar en muchos protocolos y
niveles, en este caso consiste en falsificar unarespuesta DNS, ofreciendo una direccin IP que
no es la que verdaderamente est relacionada con ese nombre. Lo natural sera infectar o
envenenar las tablas de un servidor DNS maesrto, y con ello se propagara y cualquier
consulta hacia el nombre infectado, lo repsondera con la direccin IP falsa. La realidad es
que es relativamente difcil esta tarea, pues los DNS maestros de Internet suelen estar bastante
asegurados y monitorizados como para que esta actividad, inclusive en el caso de lograrla, no
sea detectada de forma bastante rpida y solucionado.
Pero como suele suceder, a veces existen atajos para estas acciones, en este caso, ms que
infectar al servidor, sera mucho ms sencillo infectar al cliente, e inclusive no es necesario
modificar las direcciones DNS primario y secundario que este tiene configurado, sino
sencillamente modificando su base de datos local, pues al igual que la cach arp, DNS
tambin maneja una tabla dinmica, de forma tal que si cerramos y abrimos nuevamente una
pgina web, no se realice una nueva peticin DNS. Tambin posee una tabla esttica que es
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 229 [Link]
el archivo hosts (tanto en Windows como en Linix), en Windows se encuentra en:
C:\WINDOWS\system32\drivers\etc\hosts, por defecto, viene configurado como lo
mostramos a continuacin:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# ste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una lnea individual. La direccin IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La direccin IP y el nombre de host deben separarse con al menos un espacio.
#
#
# Tambin pueden insertarse comentarios (como ste) en lneas individuales
# o a continuacin del nombre de equipo indicndolos con el smbolo "#"
#
# Por ejemplo:
#
# [Link] [Link] # servidor origen
# [Link] [Link] # host cliente x
[Link] localhost
En el caso de Linux, podemos ver la misma estructura y se encuentra en /etc/hosts.
Fijaros que si se logra insertar una lnea en cualquiera de ellos, no se realizar la peticin
DNS, sino que sencillamente se dirigir hacia la direccin IP que en este archivo figure. Lo
practicaremos en la parte de ejercicios.
Las siguientes son algunas de lar RFC referidas a DNS:
RFC 1032 - Gua de administrador de DNS
RFC 1033 - Gua de las operaciones de administrador de DNS
RFC 1034 - Nombres de dominio - Conceptos y servicios
RFC 1035 - Nombres de dominio - Implementacin y especificacin
RFC 1101 - Codificacin DNS de nombres de red y de otros tipos
RFC 1183 - Nuevas definiciones del DNS RR
RFC 1706 - Registros de recursos DNS NSAP
7.2. Telnet (Terminal remota)(RFC 854, 855 y 857):
7.2.1. Conceptos de telnet.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 230 [Link]
Este protocolo es el que hace posible el acceso a terminales remotas, operando las mismas
como si fueran locales. Los comandos Telnet los usa el protocolo, no los usuarios debido a
que el papel de Telnet es conectar al usuario, y que este se comunique en forma directa.
Estos comandos se envan en un paquete llamado command que contiene 2 o 3 octetos, y son
los que establecen la conexin. Una vez realizada la misma, habitualmente se solicitar un
nombre de usuario y una contrasea, pues se est disponiendo el uso de los recursos de ese
equipo. Era muy comn su empleo para consultas BBS, a terminales en Internet y tambin
para la administracin remota de dispositivos de hardware como suelen ser Hub, Switch,
Router, etc.
TELNET es un protocolo basado en tres ideas:
El concepto de NVT (Network Virtual Terminal: Terminal virtual de red). Una NVT es
un dispositivo imaginario que posee una estructura bsica comn a una amplia gama de
terminales reales. Cada host mapea las caractersticas de su propia terminal sobre las de
su correspondiente NVT, y asume todos los dems hosts harn lo mismo.
Una perspectiva simtrica de las terminales y los procesos.
Negociacin de las opciones de la terminal. El protocolo TELNET usa el principio de
opciones negociadas, ya que muchos host pueden desear suministrar servicios
adicionales, ms all de los disponibles en la NVT. Se pueden negociar diversas
opciones. El cliente y el servidor utilizan una serie de convenciones para establecer las
caractersticas operacionales de su conexin TELNET a travs de los mecanismos "DO,
DON'T, WILL, WON'T"("hazlo, no lo hagas, lo hars, no lo hars").
Opciones negociadas de Telnet
Solicitud Respuesta Interpretacin
WILL
El remitente comienza utilizando la opcin El remitente no debe
utilizar la opcin
DO
WON'T El remitente no debe utilizar la opcin
DO El remitente comienza utilizando la opcin, despus de enviar DO
WILL
DON'T El remitente no debe utilizar la opcin
DON'T WON'T El remitente indica que ha desactivado la opcin
WON'T DON'T El remitente indica que el remitente debe desactivar la opcin
Existen 255 cdigos de opcin. De todas maneras, el protocolo Telnet proporciona un espacio
de direccin que permite describir nuevas opciones.
7.2.2. La nocin de terminal virtual
Cuando surgi Internet, la red (ARPANET) estaba compuesta de equipos cuyas
configuraciones eran muy poco homogneas (teclados, juegos de caracteres, resoluciones,
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 231 [Link]
longitud de las lneas visualizadas). Adems, las sesiones de los terminales tambin tenan su
propia manera de controlar el flujo de datos entrante/saliente.
Por lo tanto, en lugar de crear adaptadores para cada tipo de terminal, para que pudiera haber
interoperabilidad entre estos sistemas, se decidi desarrollar una interfaz estndar denominada
como ya vimos NVT. As, se proporcion una base de comunicacin estndar, compuesta de:
caracteres ASCII de 7 bits, a los cuales se les agrega el cdigo ASCII extendido;
tres caracteres de control;
cinco caracteres de control opcionales;
un juego de seales de control bsicas.
Por lo tanto, el protocolo Telnet consiste en crear una abstraccin del terminal que permita a
cualquier host (cliente o servidor) comunicarse con otro host sin conocer sus caractersticas.
7.2.3. La negociacin.
Como se mencion con anterioridad, este protocolo trabaja sobre TCP, es decir que primero
se establece una sesin TCP y luego la conexin TELNET. Una vez realizada la misma, el
cliente entra en una fase de negociacin dinmica que determina las opciones de cada lado de
la conexin, que justamente por ser dinmicas es que en cualquier momento pueden ser
modificadas. Esta negociacin se lleva a cabo por un conjunto de comandos TELNET, los
cuales son precedidos por un caracter intrprete de comando (IAC) que es un octeto
compuesto por todos unos (FF hex) y luego sigue el cdigo de comando, y en el caso que este
posea opcin continuar un tercer octeto de opcin negociada:
IAC Command Code Option Negotiated
7.2.4. Comandos y cdigos.
A continuacin se incluye la lista de cdigos de comandos:
Comando Dec Hex Descripcin
End subNeg
240
FO End of option subnegotiation command
No Operation 241 F1 No operation command
Data Mark 242 F2 End of urgent data stream.
Break 243 F3 Operator pressed the Break key or the Attention
key.
Int process 244 F4 Interrupt current process
Abort output 245 F5 Cancel output from current process.
You there? 246 F6 Request acknowledgment
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 232 [Link]
Erase char 247 F7 Request that operator erase the previous
character.
Erase line 248 F8 Request that operator erase the previous line.
Go ahead! 249 F9 End of input for half-dplex connections.
SubNegotiate 250 FA Begin option subnegotiation
Will Use 251 FB Agreement to use the specified option
Wont Use 252 FC Reject the proposed option.
Start use 253 FD Request to start using specified option.
Stop Use 254 FE Demand to stop using specified option
IAC 255 FF Interpret as command.
En el caso que los comandos posean opciones negociables, las mismas son identificadas por una
Option ID, la cual sigue inmediatamente despus del comando. Las Option ID son las que se
detallan a continuacin:
Dec Hex Cdigo
de opcin
Descripcin
0 0 Binary Xmit Allows transmission of binary data.
1 1 Echo Data Causes server to echo back all keystrokes.
2 2 Reconnect Reconnects to another TELNET host.
3 3 Suppress GA Disables Go Ahead! command.
4 4 Message Sz Conveys approximate message size.
5 5 Opt Status Lists status of options.
6 6 Timing Mark Marks a data stream position for reference.
7 7 R/C XmtEcho Allows remote control of terminal printers.
8 8 Line Width Sets output line width.
9 9 Page Length Sets page length in lines.
10 A CR Use Determines handling of carriage returns.
11 B Horiz Tabs Sets horizontal tabs.
12 C Hor Tab Use Determines handling of horizontal tabs.
13 D FF Use Determines handling of form feeds.
14 E Vert Tabs Sets vertical tabs.
15 F Ver Tab Use Determines handling of vertical tabs.
16 10 Lf Use Determines handling of line feeds.
17 11 Ext ASCII Defines extended ASCII characters.
1 12 Logout Allows for forced log-off.
19 13 Byte Macro Defines byte macros.
20 14 Data Term Allows subcommands for Data Entry to be
sent.
21 15 SUPDUP Allows use of SUPDUP display protocol.
22 16 SUPDUP Outp Allows sending of SUPDUP output.
23 17 Send Locate Allows terminal location to be sent.
24 18 Term Type Allows exchange of terminal type information.
25 19 End Record Allows use of the End of record code (0xEF).
26 1A TACACS ID User ID exchange used to avoid more than 1
log-in.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 233 [Link]
27 1B Output Mark Allows banner markings to be sent on output.
2 1C Term Loc# A numeric ID used to identify terminals.
29 1D 3270 Regime Allows emulation of 3270 family terminals.
30 1E X.3 PAD Allows use of X.3 protocol emulation.
31 1F Window Size Conveys window size for emulation screen.
32 20 Term Speed Conveys baud rate information.
33 21 Remote Flow Provides flow control (XON, XOFF).
34 22 Linemode Provides linemode bulk character transactions.
255 FF Extended options
list
Extended options list.
7.2.5. Vulnerabilidades:
Si bien posee otras de menor magnitud, la que jams se debe olvidar es que absolutamente todo
bajo este protocolo va como Texto Plano, es decir, que se lee con total libertad.
RFC relacionadas con Telnet:
RFC 854 Especificaciones del protocolo Telnet.
RFC 855 Especificaciones de opciones de Telnet
RFC 856 Transmisin binaria en Telnet
RFC 857 Opcin Eco de Telnet
RFC 858 Opcin de suprimir continuacin en Telnet
RFC 859 Opcin Estado de Telnet
RFC 860 Opcin Marca de tiempo de Telnet
RFC 861 Opcin Lista extendida de opciones de Telnet
7.3. FTP (File Transfer Protocol) (RFC 959).
Este protocolo permite la transferencia remota de archivos sin establecer una sesin Telnet.
7.3.1. Establecimiento de la conexin y empleo de puerto de comando y puerto de datos.
Al igual que Telnet, es un protocolo que est pensado para velocidad y no para seguridad, por
lo tanto toda su transmisin se realiza en texto plano, incluyendo usuario y contrasea. Para
solucionar este problema son de gran utilidad aplicaciones como scp y sftp, incluidas en el
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 234 [Link]
paquete SSH (Secure Shell) que veremos ms adelante, que permiten transferir archivos pero
cifrando todo el trfico.
Servidor FTP:
Un servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente
conectado a Internet (aunque puede estar conectado a otros tipos de redes, LAN, MAN,
etc.). Su funcin es permitir el intercambio de datos entre diferentes servidores/ordenadores.
Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores
personales, por lo que un usuario normalmente utilizar el FTP para conectarse remotamente
a uno y as intercambiar informacin con l.
Cliente FTP:
Cuando un navegador no est equipado con la funcin FTP, o si se quiere cargar archivos en
un ordenador remoto, se necesitar utilizar un programa cliente FTP. Un cliente FTP es un
programa que se instala en el ordenador del usuario, y que emplea el protocolo FTP para
conectarse a un servidor FTP y transferir archivos, ya sea para descargarlos o para subirlos.
Para utilizar un cliente FTP, se necesita conocer el nombre del archivo, el ordenador en que
reside (servidor, en el caso de descarga de archivos), el ordenador al que se quiere transferir
el archivo (en caso de querer subirlo nosotros al servidor), y la carpeta en la que se
encuentra.
Algunos clientes de FTP bsicos en modo consola vienen integrados en los sistemas
operativos, incluyendo Windows, DOS, Linux y Unix. Sin embargo, hay disponibles
clientes con opciones aadidas e interfaz grfica. Aunque muchos navegadores tienen ya
integrado FTP, es ms confiable a la hora de conectarse con servidores FTP no annimos
utilizar un programa cliente.
7.3.2. Tipos de transferencia de archivos en FTP.
Es importante conocer cmo debemos transportar un archivo a lo largo de la red. Si no
utilizamos las opciones adecuadas podemos destruir la informacin del archivo. Por eso, al
ejecutar la aplicacin FTP, debemos acordarnos de utilizar uno de estos comandos (o poner la
correspondiente opcin en un programa con interfaz grfica):
type ascii
Adecuado para transferir archivos que slo contengan caracteres imprimibles
(archivos ASCII, no archivos resultantes de un procesador de texto), por ejemplo
pginas HTML, pero no las imgenes que puedan contener.
type binary
Este tipo es usado cuando se trata de archivos comprimidos, ejecutables para PC,
imgenes, archivos de audio...
Ejemplos de cmo transferir algunos tipos de archivo dependiendo de su extensin:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 235 [Link]
EXTENSION DEL ARCHIVO TIPO DE TRANSFERENCIA
txt (texto) ASCII
html (pgina WEB) ASCII
Doc (documento) Binario
ps (poscript) ASCII
Hqx (comprimido) ASCII
Z (comprimido) Binario
ZIP (comprimido) binario
ZOO (comprimido) binario
Sit (comprimido) binario
pit (comprimido) binario
shar (comprimido) binario
uu (comprimido) binario
ARC (comprimido) binario
tar (empaquetado) binario
7.3.3. Funcionamiento.
Una caracterstica particular de su funcionamiento es que emplea dos puertos (dos canales
TCP), el puerto 20 por medio del cual transfiere datos, llamado Data Transfer Process (DTP),
y el puerto 21 por medio del cual transmite las instrucciones de comando llamado Protocol
Interpreter (PI). Al igual que telnet, los comandos los usa el protocolo y no el usuario; estos
comandos son secuencias en ASCII de cuatro caracteres (QUIT, PASS, PORT, DELE,
LIST, ABORT, etc). Las conexiones FTP se inician de manera similar a Telnet con el nombre
o direccin del Host destino (Ej: ftp [Link]), luego se debe registrar como usuario
vlido (en algunos se suele emplear la cuenta anonymous o guest) y generalmente como
cortesa se emplea como contrasea la cuenta de correo electrnico, para permitirle al
administrador llevar un registro de accesos. Luego se define un directorio de inicio, un modo
de transferencia de datos (ASCII o binario), se inicia la transferencia y por ltimo se detiene.
Las tramas de control FTP, son intercambios TELNET y contienen los comandos y opciones
de negociacin mencionadas en el punto anterior, sin embargo la mayora de los mismos son
simples textos en ASCII y pueden y pueden ser clasificados en comandos y mensajes FTP, los
cuales se detallan a continuacin:
7.3.4. Comandos.
Comando
Descripcin
ABOR Abort data connection process.
ACCT <account> Account for system privileges.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 236 [Link]
ALLO <bytes> Allocate bytes for file storage on server.
APPE <filename> Append file to file of same name on server.
CDUP <dir path> Change to parent directory on server.
CWD <dir path> Change working directory on server.
DELE <filename> Delete specified file on server.
HELP <command> Return information on specified command.
LIST <name> List information if name is a file or list files if name is a
directory.
MODE <mode> Transfer mode (S=stream, B=block, C=compressed).
MKD <directory> Create specified directory on server.
NLST <directory> List contents of specified directory.
NOOP Cause no action other than acknowledgement from
server.
PASS <password> Password for system log-in.
PASV Request server wait for data connection.
PORT <address> IP address and two-byte system port ID.
PWD Display current working directory.
QUIT Log off from the FTP server.
REIN Reinitialize connection to log-in status.
REST <offset> Restart file transfer from given offset.
RETR <filename> Retrieve (copy) file from server.
RMD <directory> Remove specified directory on server.
RNFR <old path> Rename from old path.
RNTO <new path> Rename to new path.
SITE <params> Site specific parameters provided by server.
SMNT <pathname> Mount the specified file structure.
STAT <directory> Return information on current process or directory.
STOR <filename> Store (copy) file to server.
STOU <filename> Store file to server name.
STRU <type> Data structure (F=file, R=record, P=page).
SYST Return operating system used by server.
TYPE <data type> Data type (A=ASCII, E=EBCDIC, I=binary).
USER <username> User name for system log-in.
7.3.5. Mensajes (Son las respuestas a los comandos):
Cdigo Descripcin
110
Restart marker at MARK yyyy=mmmm (new file pointers).
120 Service ready in nnn minutes.
125 Data connection open, transfer starting.
150 Open connection.
200 OK.
202 Command not implemented.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 237 [Link]
211 (System status reply).
212 (Directory status reply).
213 (File status reply).
214 (Help message reply).
215 (System type reply).
220 Service ready.
221 Log off network.
225 Data connection open.
226 Close data connection.
227 Enter passive mode (IP address, port ID).
230 Log on network.
250 File action completed.
257 Path name created.
331 Password required.
332 Account name required.
350 File action pending.
421 Service shutting down.
425 Cannot open data connection.
426 Connection closed.
450 File unavailable.
451 Local error encountered.
452 Insufficient disk space.
500 Invalid command.
501 Bad parameter.
502 Command not implemented.
503 Bad command sequence.
504 Parameter invalid for command.
530 Not logged onto network.
532 Need account for storing files.
550 File unavailable.
551 Page type unknown.
552 Storage allocation exceeded.
553 File name not allowed.
7.3.6. Modos de conexin.
FTP admite dos modos de conexin del cliente. Estos modos se denominan Activo (o
Estndar, o PORT, debido a que el cliente enva comandos tipo PORT al servidor por el canal
de control al establecer la conexin) y Pasivo (o PASV, porque en este caso enva comandos
tipo PASV). Tanto en el modo Activo como en el modo Pasivo, el cliente establece una
conexin con el servidor mediante el puerto 21, que establece el canal de control.
Modo Activo:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 238 [Link]
En modo Activo, el servidor siempre crea el canal de datos en su puerto 20, mientras
que en el lado del cliente el canal de datos se asocia a un puerto aleatorio mayor que el
1024. Para ello, el cliente manda un comando PORT al servidor por el canal de control
indicndole ese nmero de puerto, de manera que el servidor pueda abrirle una
conexin de datos por donde se transferirn los archivos y los listados, en el puerto
especificado.
Lo anterior tiene un grave problema de [Link], y es que la mquina cliente debe
estar dispuesta a aceptar cualquier conexin de entrada en un puerto superior al 1024,
con los problemas que ello implica si tenemos el equipo conectado a una red insegura
como Internet. De hecho, los cortafuegos que se instalen en el equipo para evitar
ataques seguramente rechazarn esas conexiones aleatorias. Para solucionar esto se
desarroll el modo Pasivo.
Modo Pasivo:
Cuando el cliente enva un comando PASV sobre el canal de control, el servidor FTP
abre un puerto efmero (cualquiera entre el 1024 y el 5000) e informa de ello al cliente
FTP para que, de esta manera, sea el cliente quien conecte con ese puerto del servidor
y as no sea necesario aceptar conexiones aleatorias inseguras para realizar la
transferencia de datos.
Antes de cada nueva transferencia, tanto en el modo Activo como en el Pasivo, el
cliente debe enviar otra vez un comando de control (PORT o PASV, segn el modo en
el que haya conectado), y el servidor recibir esa conexin de datos en un nuevo
puerto aleatorio (si est en modo pasivo) o por el puerto 20 (si est en modo activo).
7.3.7. T_FTP (Trivial FTP).
Existe un protocolo de transferencia de archivos diseado para operar en modo No Orientado
a la Conexin que es el TFTP (Trivial) (RFC: 783, 1350), el cual difiere del FTP en que no se
registra en la mquina remota y que opera sobre UDP en lugar de TCP. Se define en el puerto
nmero 69, y es comn su empleo en ETD que no poseen disco rgido para cargar
aplicaciones o programas fuente. Posee un conjunto de comandos y parmetros que se
detallan a continuacin:
Comando Descripcin
Read Request Request to read a file.
Write Request Request to write to a file.
File Data Transfer of file data.
Data
Acknowledge
Acknowledgement of file data.
Error Error indication
Parmetro Descripcin
Filename The name of the file, expressed in quotes,
where the protocol is to perform the read or
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 239 [Link]
write operation.
Mode
Datamode
The format of the file data that the protocol is
to transfer.
[Link].
FTP, es uno de los primeros protocolos de la familia y por esta razn, nace en una poca en la
cual la seguridad no era un problema. Este origen lo hace particularmente vulnerable.
Toda la comunicacin, al igual que Telnet, viaja en texto plano, desde la cuenta de usuario, la
contrasea, hasta los comandos y los datos.
La mejor y ms prctica alternativa en la actualidad es su empleo por medio de SSL/TLS,
como se ver ms adelante.
Como medidas a tomar en el servidor, siempre se debe:
Revisar permanentemente la configuracin del servidor y de ser posible,
emplear software de verificacin de archivos (tipo Tripware).
No colocar contraseas encriptadas en el archivo etc/passw en el rea ftp annimo.
Prestar especial atencin a la configuracin annimo.
Actualizar permanentemente el servidor.
Nunca colocar archivos del sistema en el directorio ~ftp/etc.
Que nunca cincidan los nombres de cuentas del directorio ~/ftp/etc/passwd con el
/etc/passwd.
No activar TFTP si no es estrictamente necesario.
7.4. SSH (Secure SHell)
7.4.1. Presentacin e historia
SSH, o Secure Shell, podramos traducirlo como Intrprete de comandos seguro, recordemos
que el concepto de shell es el de la interfaz de comandos nativa de Linux. Es decir, SSH nos
presenta una metodologa a travs de consola, en la cual podemos trabajar de forma segura, y
veremos que segura desde la autenticacin misma hasta el cierre de la sesin.
Ya hemos visto los dos protocolos bsicos, que podramos decir dieron origen a Internet: FTP
y Telnet, al principio la red fue as, no existan interfases grficas y todo lo necesario para
administrar equipos eran estos dos protocolos, existan tambin los comandos r (remoto) de
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 240 [Link]
Unix, que no los tratamos en este texto, pos su reconocida debilidad. Cuando el tema de la
seguridad comenz a cobrar importancia, se hace evidente que se deba hacer algo y as nace
SSH. Este protocolo lo implementa por primera vez el Finlands Tatu Ylen como SSH versin
1 en el ao 1995 como versin de software libre, pero a fin de ese mismo ao crea la compaa
SSH Communications Security, y la licencia cambia, mantenindose gratuito para uso de
investigacin y particular, pero de pago para empresas. En el ao 1997 se propuso el primer
borrador por parte de IETF, y en 1999 empiezan a aparecer las primeras versiones libres que se
mantienen hasta el da de hoy como OpenBSD, tambin llamada OpenSSH y es con la que
trabajaremos en este texto.
7.4.2. OpenSSH
OpenSSH, no es simplemente un comando, se trata de un conjunto de aplicaciones que
permiten la administracin completa de un equipo remoto de forma segura empleando el
protocolo SSH, su cdigo fuente se distribuye libremente con una licencia BSD (Berkeley
Software Distribution), esta licencia, a diferencia de GPL (General Public License) permite el
uso del cdigo fuente en software no libre. Al tratarse de una aplicacin de comunicacin
abierta entre ordenadores, su objetivo es que pueda ser transparente a la marca, fabricante o
modelo, para ello existe un grupo llamado OpenSSH Portability Team cuya misin es
mantener su cdigo actualizado para que pueda soportar cualquier plataforma.
El conjunto de aplicaciones de OpenSSH comprende:
ssh: reemplaza a telnet y rlogin
scp: reemplaza a rcp
sftp: reemplaza a ftp.
sshd: servidor demonio SSH sshd (del lado servidor)
ssh-keyge: herramienta para inspeccionar y generar claves RSA y DSA que son usadas
para la autenticacin del cliente o usuario.
ssh-agent y ssh-add: herramientas para autenticarse de manera ms sencilla,
manteniendo las claves listas para no tener que volver a introducirlas en cada acceso.
ssh-keyscan: escanea una lista de clientes y recolecta sus claves pblicas.
El proyecto OpenSSH tiene su pgina en Espaol, si deseas consultarla es:
[Link]
7.4.3. Cliente y servidor
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 241 [Link]
La arquitectura de OpenSSH funciona de modo Cliente Servidor, es decir lo primero que se
debe contar es con un servidor al que permita conectarnos, que en nuestro caso es sencillamente
el demonio sshd con una adecuada configuracin, tal cual veremos en la parte de ejercicios.
Una vez configurado este servidor, se podr conectar a l por medio de cualquier cliente SSH,
los cuales pueden ser los comandos que mencionamos en el punto anterior a travs de consola, o
cualquier interfaz grfica de las que abundan en Internet, de las cuales como todo estudiante de
informtica conoce, la ms popular es puTTY, pasos que tambin desarrollaremos en la parte
de ejercicios.
7.4.4. Autenticacin
Este tema lo considero uno de los ms importantes hallazgos en el mundo de la seguridad
informtica. Se trata de la forma de compartir un secreto entre dos personas en un lugar donde
estn todos escuchando... Imaginemos que estamos en una habitacin veinte personas y en voz
alta deseo informarle al que est en el extremo opuesto el secreto es: EPIBERTO... pero sin
que se entere el resto!... Os imaginis cmo podras hacerlo?... difcil no?, bueno la verdad es
que muy difcil! As y todo hubo un par de genios que lo lograron y es lo que hoy se conoce
como el algoritmo o protocolo Diffie-Hellman (debido a Whitfield Diffie y Martin Hellman)
basado en una tcnica de criptografa asimtrica (que veremos ms adelante). Se trata de un
problema matemtico de logaritmos discretos, se presenta como logaritmos discretos, pues se
aplican nicamente nmeros primos en las funciones exponenciales (que son la inversa de las
logartmicas), por lo tanto no hay un continuo entre un valor y otro, sino un salto desde un valor
primo hasta el prximo primo, estos saltos hacen que se trate, no de una escala continua sino
una escala discreta de valores.
Una vez que se entiende el planteo es algo muy sencillo, pero sencillo slo en un sentido. Es
decir, el problema se plantea en que se puede obtener un valor (o resultado) muy sencillamente
conociendo algunos parmetros, pero si intentara, a partir del resultado obtener los parmetros,
debera realizar millones y millones de operaciones, lo que lo transforma en
computacionalmente imposible o que tardara un tiempo que no se justifica para resolverlo.
Este algoritmo, si deseas profundizar est tratado con mximo detalle ms adelante en el
captulo de criptografa, por ahora lo que nos interesa es que comprendas el problema de
compartir un secreto en una red pblica, pues esto justamente es lo que logra hacer SSH en
cada sesin.
A diferencia de FTP o Telnet (que os recordamos que usuario y password viajan en texto plano),
SSH una vez que se establece el triple Handshake TCP desde el cliente al servidor, la primer
trama que enviar ser un conjunto de valores (correspondientes al algoritmo Diffie-Hellman),
acompaado de una serie de versiones y algoritmos que este cliente puede soportar. Con este
conjunto de valores el Servidor calcular su Clave de sesin, y le responder en una segunda
trama, con otro conjunto de valores (producidos en su clculo matemtico) y tambin los
algoritmos que este acepta. Al recibir esta segunda trama, con esos valores, el cliente ya puede
resolver la clave de sesin que ser la misma que resolvi el servidor, y esta clave (o secreto
compartido), ser con la que comenzar a cifrar TODO a partir de la siguiente trama, donde
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 242 [Link]
recin all empezar a enviar su nombre de usuario, contrasea y toda la informacin hasta
cerrar la sesin SSH.
Por lo tanto, sobre lo que debemos prestar atencin, es que nicamente viajaron dos tramas en
texto plano, en las mismas no ha viajado ningn dato privado, y si fueran escuchadas por
cualquier otro ordenador, no le podran haber servido de nada. En la parte de ejercicios podrs
verlo de forma prctica, y luego en el captulo de criptografa se desarrollarn todos los
conceptos tericos de esta tcnica.
7.4.5. Tneles SSH
Al establecerse una conexin SSH queda conformado un tnel entre ambos equipos, este
concepto lo trataremos ms adelante en detalle, pero por ahora nos basta con la sencilla analoga
a un tnel de ferrocarril o de autova, se trata de una camino que posee una nica entrada y una
nica salida, y que desde afuera no se ve su interior, ni se puede entrar o salir por otro acceso
que no sean los mencionados. Un tnel en terminologa informtica es lo mismo, pero se
implementa mediante acciones criptogrficas para que slo entre al mismo quien tenga permiso,
y para que todo aquel que pueda capturar su trfico no tengo forma de interpretarlo, modificarlo,
ni desviarlo de su origen, ni destino. Cuando a travs de una red se crea un tnel queda
conformada una especie de red particular entre ambos, esta idea es lo que en muchos textos
vers como VPN (Virtual Private Network o Red Privada Virtual), pues justamente cumple esta
idea, al final de la teora se trata en detalle este tema.
7.4.6. sftp y scp.
El trmino scp en realidad puede interpretarse de dos formas diferentes, como el programa
scp o como el protocolo scp, el protocolo es una metodologa para transferencia de
mltiples archivos sobre TCP confiando su seguridad y autenticacin en SSH (al igual que
sftp), y el programa scp no es ms que el script cliente que ejecuta los pasos de este
protocolo, en realidad esta diferenciacin no es relevante, pero queramos mencionarla pues tal
vez consultando otra bibliografa te pueda surgir esta duda. Lo que si merece la pena destacar
es la diferencia entre scp y sftp, pues vers que algunas implementaciones cliente de SSH
proveen un programa que llaman scp2 que en realidad no es ms que un enlace simblico a
sftp. El programa scp sencillamente permite copiar archivos sin mayores detalles o
potencialidades, en cambio sftp permite ms operaciones que son tpicas de una conexin por
FTP como mover y borrar ficheros, gestionar permisos, listar directorios, etc...
Las RFC que actualmente regulan SSH son: RFC-4250, RFC-4251, RFC-4252,
RFC-4253, RFC-4254, RFC-4255, RFC-4256, RFC-4335, RFC-4344, RFC-4345,
RFC-4419, RFC-4432, RFC-4462, RFC-4716 y RFC-4819.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 243 [Link]
7.5. SMTP (Simple Mail Transfer Protocol) (RFC: 821, 822, 1869).
7.5.1. Funcionamiento.
Es el mtodo definido por Internet para transferencia de correo electrnico. Emplea el puerto
TCP 25. Trabaja por medio del empleo de colas o spooler donde va almacenando los mensajes
recibidos en los servidores hasta que un usuario se conecte y transfiera su correspondencia, si
esto no sucede en un determinado tiempo (Programable), los mensajes son descartados o
devueltos a su origen. Debe quedar perfectamente claro que su operatoria no es en tiempo real,
sino que depender de la voluntad de sus corresponsales. Una caracterstica particular es que
todo el texto se transfiere en caracteres ASCII de 7 bit. Su conexin se produce por medio de
tramas de comando y respuesta que incluyen instrucciones como mail, RCPT, OK, Texto, etc.
La RFC-821 especifica el protocolo empleado para la transferencia de correo, y la RFC-822
describe la sintaxis que deben seguir las cabeceras y su correspondiente interpretacin, otra RFC
que es conveniente tener en cuenta es la 974 que es la que define el estndar a seguir para el
encaminamiento de correo a travs de DNS.
7.5.2. Texto plano y extensiones:
Como se mencion, el protocolo SMTP trabaja con texto plano (ASCII de 7 bit), lo cual en la
actualidad no es suficiente para las aplicaciones que requieren imgenes, caracteres especiales,
ficheros ejecutables, etc. Para este propsito es que se disearon las RFC 1521 y 1522 que
definen MIME (Multipropose Internet Mail Extension), el cual transforma cadenas de 8 bit en
grupos de siete que son los que viajarn por el canal de comunicaciones, y realizar el proceso
inverso del lado receptor.
7.5.3. Mensajes (cabecera y contenido).
Cada mensaje tiene:
Una cabecera (o sobre) con estructura RFC-822. La cabecera termina con una lnea
nula (una lnea con slo la secuencia <CRLF>).
Contenido: Todo lo que hay tras la lnea nula es el cuerpo del mensaje.
La cabecera es una lista de lneas de la forma:
field-name: field-value
Algunos campos habituales son:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 244 [Link]
To: Receptores primarios del mensaje.
Cc: Receptores Secundario("carbon-copy") del mensaje.
From: Identidad del emisor.
reply-to: El buzn al que se han de enviar las repuestas. Este campo lo aade el
emisor.
return-path: Direccin y ruta hasta el emisor. Lo aade el sistema de transporte
final que entrega el correo.
Subject: Resumen del mensaje. Suele proporcionarlo el usuario.
7.5.4. Comandos y cdigos.
Todos los comandos, rplicas o datos intercambiados son lneas de texto, delimitadas por un
<CRLF>. Todas las rplicas tienen un cdigo numrico el comienzo de la lnea. La secuencia
de envo y recepcin de mensajes es la siguiente:
1) El emisor SMTP establece una conexin TCP con el SMTP de destino y espera a que el
servidor enve un mensaje "220 Service ready" o "421 Service not available" cuando el
destinatario es temporalmente incapaz de responder.
2) Se enva un HELO (abreviatura de "hello"), con el que el receptor se identificar
devolviendo su nombre de dominio. El SMTP emisor puede usarlo para verificar si contact
con el SMTP de destino correcto.
Si el emisor SMTP soporta las extensiones de SMTP definidas inicialmente por la RFC-
1651 que luego qued obsoleta y reemplazada por la RFC-1869, y ahora por la RFC-2821,
puede sustituir el comando HELO por EHLO. Un receptor SMTP que no soporte las
extensiones responder con un mensaje "500 Syntax error, command unrecognized". El
emisor SMTP debera intentarlo de nuevo con HELO, o si no puede retransmitir el mensaje
sin extensiones, enviar un mensaje QUIT.
Si un receptor SMTP soporta las extensiones de servicio, responde con un mensaje multi-
lnea 250 OK que incluye una lista de las extensiones de servicio que soporta.
3) El emisor inicia ahora una transaccin enviando el comando MAIL al servidor. Este
comando contiene la ruta de vuelta al emisor que se puede emplear para informar de errores.
Ntese que una ruta puede ser ms que el par buzn@nombre de dominio del host. Adems,
puede contener una lista de los hosts de encaminamiento. Si se acepta, el receptor replica con
un "250 OK".
4) El segundo paso del intercambio real de correo consiste en darle al servidor SMTP el destino
del mensaje(puede haber ms de un receptor). Esto se hace enviando uno o ms comandos
RCPT TO:<forward-path>. Cada uno de ellos recibir una respuesta "250 OK" si el servidor
conoce el destino, o un "550 No such user here" si no.
5) Cuando se envan todos los comandos rcpt, el emisor enva un comando DATA para notificar
al receptor que a continuacin se envan los contenidos del mensaje. El servidor replica con
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 245 [Link]
"354 Start mail input, end with <CRLF>.<CRLF>". Ntese que se trata de la secuencia de
terminacin que el emisor debera usar para terminar los datos del mensaje.
6) El cliente enva los datos lnea a lnea, acabando con la lnea <CRLF>. <CRLF> que el
servidor reconoce con "250 OK" o el mensaje de error apropiado si cualquier cosa fue mal.
7) Ahora hay varias acciones posibles:
El emisor no tiene ms mensajes que enviar; cerrar la conexin con un comando
QUIT, que ser respondido con "221 Service closing transmission channel".
El emisor no tiene ms mensajes que enviar, pero est preparado para recibir
mensajes (si los hay) del otro extremo. Mandar el comando TURN. Los dos SMTPs
intercambian sus papelees y el emisor que era antes receptor puede enviar ahora
mensajes empezando por el paso 3 de arriba.
El emisor tiene otro mensaje que enviar, y simplemente vuelve al paso 3 para enviar
un nuevo MAIL.
Un aspecto que se coment en el prrafo anterior es la opcin de ESMTP, la cual Extiende las
opciones iniciales de la RFC-821, lo que acabamos de ver estaba relacionado al comando EHLO
(ESMTP) o (HELO) SMTP, es decir en este primer intercambio de datos, tanto el cliente como
el servidor acuerdan qu protocolo soportan. Si ambos soportan ESMTP (que en la actualidad
deberan ser todos segn la RFC que se menciona al final del prrafo) entonces entra en juego la
RFC-1869, la cual tambin ha quedado obsoleta por la RFC-2821, que es la acutal (se pueden
citar algunas ms pero estn en estado experimental), esta cierra con varias mejoras:
Ampliacin del campo de datos a ms de 512 caracteres.
Diferentes o nuevos cdigos de errores (ampliacin de los mismos).
Parmetros adicionales para los comandos MAIL y RCPT.
Reemplazos (opcionales) para algunos comandos.
Una facilidad que ofrece SMTP es la unificacin de mensajes con destino mltiple, los cuales
son grabados como un slo mensaje en los servidores, los que se encargan de distribuirlos a los
n corresponsales. Se detallan a continuacin los comandos y respuestas:
Comando Descripcin
DATA Begins message composition.
EXPN <string> Returns names on the specified mail list.
HELO <domain> Returns identity of mail server.
HELP
<command>
Returns information on the specified command.
MAIL FROM
<host>
Initiates a mail session from host.
NOOP Causes no action, except acknowledgement from
server.
QUIT Terminates the mail session.
RCPT TO <user> Designates who receives mail.
RSET Resets mail connection.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 246 [Link]
SAML FROM
<host>
Sends mail to user terminal and mailbox.
SEND FROM
<host>
Sends mail to user terminal.
SOML FROM
<host>
Sends mail to user terminal or mailbox.
TURN Switches role of receiver and sender.
VRFY <user> Verifies the identity of a user.
Cdigo de
respuesta
Descripcin de la respuesta
211
(Response to system status or help request).
214 (Response to help request).
220 Mail service ready.
221 Mail service closing connection.
250 Mail transfer completed.
251 User not local, forward to <path>.
354 Start mail message, end with <CRLF><CRLF>.
421 Mail service unavailable.
450 Mailbox unavailable.
451 Local error in processing command.
452 Insufficient system storage.
500 Unknown command.
501 Bad parameter.
502 Command not implemented.
503 Bad command sequence.
504 Parameter not implemented.
550 Mailbox not found.
551 User not local, try <path>.
552 Storage allocation exceeded.
553 Mailbox name not allowed.
554
Mail transaction failed.
7.5.5. Pasarelas SMTP.
Una pasarela SMTP es un host con dos conexiones a redes distintas. Las pasarelas SMTP se
pueden implementar de forma que conecten distintos tipos de redes. Se puede prohibir el
acceso a la pasarela a determinados nodos de la red, empleando la sentencia de configuracin
RESTRICT. Alternativamente, la seguridad se puede implementar con un fichero de
autorizacin de accesos, que es una tabla en la que se especifican de quin y a quin se puede
enviar correo por la pasarela.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 247 [Link]
7.5.6. Terminologa.
Algo de terminologa referida al correo electrnico:
Agente de usuario (UA, user agent): programa que se usa como interfaz de usuario para el
correo electrnico (leer, componer, enviar, gestionar, etc.)
Agente de transferencia de mensajes (MTA, message transfer agent): se encarga del
encaminamiento y almacenamiento de los mensajes de correo hasta su destino final.
Protocolo de acceso al correo electrnico: lo usa un UA para acceder a un MTA, y recoger
el correo para un usuario. Ejemplo: POP, IMAP.
Protocolo de envo de correo electrnico: lo usa un MTA para enviar correo a otro MTA
(tambin puede usarlo un UA para enviarlo a un MTA). Ejemplo: SMTP.
7.6. POP (Post Office Protocol) (RFC: 1082, 1725, 1734, 1939).
Este protocolo permite a un usuario conectarse a un sistema y entregar su correo usando su nombre
de usuario y contrasea (muy usado en UNIX) a travs del puerto TCP 110.
7.6.1. Caractersticas.
La metodologa a seguir para descargar correo es la explicada en SMTP, lo cual implica que
cuando un servidor recibe un mail, establece la sesin SMTP con este destino y entrega su
mensaje, esto exigira que el destino final se encuentre siempre encendido y disponga de los
recursos necesarios para desempear la tarea de cliente y Servidor SMTP. Ninguna de las
dos caractersticas son exigibles a un ordenador personal (Recursos y no apagado). Un
mtodo intermedio es descargar la funcin de servidor SMTP de la estacin de trabajo del
usuario final, pero no la funcin de cliente. Es decir, el usuario enva correo directamente
desde la estacin, pero tiene un buzn en un servidor. El usuario debe conectar con el
servidor para recoger su correo.
El POP describe cmo un programa que se ejecuta en una estacin de trabajo final puede
recibir correo almacenado en sistema servidor de correo. POP usa el trmino "maildrop"
para referirse a un buzn gestionado por un servidor POP.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 248 [Link]
7.6.2. Modos.
Existe una gran variedad de clientes de correo que emplean POP cuya ltima versin es la 3
(RFC-1725). Cuando estos clientes emplean POP3, tienen la opcin de dejar sus mensajes
a un servidor y verlos remotamente (modo en lnea), o transferir sus mensajes a un sistema
local y consultarlos (modo fuera de lnea). Cada uno tiene sus ventajas y desventajas, en el
modo en lnea, independientemente de la ubicacin fsica en la que se encuentre el usuario
podr consultar su mail pues este se encuentra almacenado en un servidor, se debe tener en
cuenta que cada vez que se conecte al servidor le sern transferido la totalidad de los
mensajes (si la conexin es lenta, puede demorar mucho); desde el punto de vista del
Administrador, permite centralizar los backup de toda la informacin almacenada, pero tiene
la desventaja que de no controlarse puede llenar fcilmente un disco rgido (inclusive este es
un tipo de ataque de negacin de servicio). El modo fuera de lnea permite organizar en
carpetas locales la informacin histrica acorde a la preferencia del cliente, y este al
conectarse al servidor solamente bajar los mail nuevos, reduciendo el tiempo de conexin.
POP - 3 no soporta el uso de carpetas globales o compartidas, como tampoco el uso de listas
globales de direcciones, por lo tanto no existe forma de ver la totalidad de las cuentas de una
organizacin automticamente (Lo debe organizar manualmente el Administrador).
7.6.3. MIME (Multimedoa Internet Mail Extension).
Una mejora que aparece a POP son las extensiones MIME, ya mencionadas (Multimedia
Internet Mail Extension), las cuales estn estandarizadas por las RFC-2045 a 2049 y su tarea
principal es extender el contenido de los mensajes de correo para poder adjuntar datos de
tipo genricos. Define 5 tipos de cabeceras:
MIME-version: La actual es 1.0
Content-Description: Una descripcin en texto plano del objeto del cuerpo, suele ser
de utilidad cuando el objeto es no legible.
Content-Id: Un valor unvoco especificando el contenido de esta parte del mensaje.
Content-Transfer-Encoding: Indica cmo codificar y decodificar los datos.
Content-Type: Indica con qu aplicacin se tratarn los datos
Tambin propone 8 tipos: Text, Image, Audio, Video, Application, Message, Model y
Multipart. y varios subtipos: Text: html, plain o richtext; Image: gif, jpeg; ...
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 249 [Link]
7.7. IMAP 4 (Internet Message Access Protocol Versin 4) (RFC: 1203, 1730 a 1733, 3501).
7.7.1. Historia.
El protocolo IMAP tiene sus orgenes en el ao 1986, pero la versin actual que es la que nos
interesa est estandarizada por la RFC-3501 (revisin 1) en marzo del 2003. Fue diseado
como una versin moderna de POP3, fundamentalmente basado en una mayor interaccin con
el servidor SMTP para optimizar recursos locales y de red.
7.7.2. Mejoras que ofrece.
Posee las mismas caractersticas que POP3 y agrega algunas ms que permiten escalar el
servicio de correo a entornos de grupo.
Aparte de los modos en lnea y fuera de lnea, IMAP - 4 introduce un tercer modo que se llama
Desconexin. En POP - 3, el cliente al conectarse y autenticarse automticamente comenzaba
a recibir la totalidad de los mail que se encontraban en el Servidor; en IMAP - 4 cuando un
cliente se conecta y autentica en un servidor, este consulta sus "banderas de estado" para
todos los mensajes existentes. Estas banderas permiten identificar a cada mensaje como:
Ledo, borrado o respondido, por lo tanto, puede ser configurado para bajar nicamente los
marcados como no ledos, reduciendo sensiblemente el tiempo de conexin. Este modo
facilita tambin cualquier anomala que puede surgir durante la conexin pues el servidor
IMAP - 4 entrega al cliente slo una copia de sus correos, y mantiene el original hasta la
sincronizacin completa de su cach, por lo tanto si se pierde una conexin durante una
transferencia, al producirse la prxima conexin como primer medida se ver donde se abort
la previa par no reenviar todo, y en segundo lugar no se perder ningn mensaje hasta que se
sincronice el cliente y el servidor
Introduce tambin el concepto de Vista Previa, con lo cual el cliente puede revisar los
encabezados de todos los mensajes y sobre estos decidir cules leer o borrar antes de bajarlos
pues por ejemplo en conexiones dial-up es sumamente desagradable perder gran cantidad de
tiempo en la recepcin de avisos publicitarios forzados a ser recibidos por "no se sabe quien"
Introduce tambin el concepto de carpetas compartidas las cuales pueden ser consultadas por
grupos de usuarios, y tambin el de pizarrones de noticias (semejante al protocolo NNTP:
Network News Transfer Protocol), en los cuales los usuarios pueden "pinchar" sus carteles de
novedades.
7.7.3. Vulnerabilidades del correo electrnico.
Las dos grandes vulnerabilidades que sufre el correo electrnico son referidas a su privacidad y
su seguridad, dentro de ellas existen debilidades concretas que se tratan a continuacin:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 250 [Link]
La privacidad es fcilmente vulnerable pues el correo viaja como texto plano, es decir, que si no
se emplea algn algoritmo criptogrfico, cualquiera puede tener acceso al mismo. En este tema,
la mejor analoga es la del correo postal, en el cual a nadie se le ocurre enviar una carta sin el
sobre.
La seguridad es atacada con dos tcnicas puntuales: las bombas de correo (varias copias de un
mismo mail a un solo destino) y el Spam (Correo no autorizado).
Las herramientas con que se cuenta para defenderse de estas vulnerabilidades son:
S/MIME: Desarrollado por RSA el cual es una especificacin para obtener autenticacin por
medio de firmas digitales. Se lo considera uno de los ms seguros
PGP: Pretty Good Privacy, el cual es un producto completo desarrollado por Phillip
Zimmerman que ofrece que dentro de sus muchas funciones ofrece tambin autenticacin, no
repudio y criptografa siendo soportado por la mayora de los clientes de correo.
PEM: Privacy Enhanced Mail, el cual es una norma para permitir la transferencia de correo
seguro. Con cualidades similares a PGP, siendo el estndar ms reciente de los tres.
7.8. SNMP (Single Network Monitor Protocol).
Este es el protocolo que habilita las funciones que permiten administrar redes no uniformes. Esta
regulado por la RFC 1155, 1156 y 1157, y bsicamente separa dos grupos: Administradores y
Agentes. Los Administradores (NMS: Network Managment Station) son los responsables de la
administracin del dominio ejecutando un determinado Software de monitorizacin. Los agentes
tienen a su vez un Software residente que responde a las solicitudes del administrador con la
informacin guardada en sus bases de datos locales (MIB: Managment Information Base). Estas
consultas en realidad pueden ejecutarse por dos mtodos:
Poll (Sondeo): La estacin administradora sondea uno por uno a los agentes cada un
determinado perodo de tiempo, y estos van informando si apareciera alguna novedad en su
MIB desde el ltimo sondeo.
Interrupcin: Los Agentes al aparecer alguna novedad en su MIB, envan un mensaje
interrumpiendo los procesos del Administrador para notificar sus cambios.
Como puede deducirse cada uno de ellos tiene sus ventajas y desventajas; si una novedad apareciera
inmediatamente despus que un sondeo fue realizado a un agente, el Administrador tomara
conocimiento de este suceso recin en el prximo sondeo, lo cual por ejemplo en una red de Terapia
Intensiva de un Hospital no sera muy saludable. Por el contrario, si se produjera alguna anomala
en el canal de comunicaciones en un sistema por interrupcin, el Administrador nunca volvera a
detectar novedades en un Agente que se encuentre sobre ese vnculo. Estos son algunos ejemplos,
pero en virtud de la cantidad de posibilidades que existen es que se suelen implementar estrategias
mixtas de monitoreo de red, que permitan superar estas contingencias.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 251 [Link]
Otro tema de especial inters en SNMP es la relacin costo / beneficio de mantener la
Administracin absoluta de la red hasta los ltimos recursos, lo cual genera un gran volumen de
trfico en la misma. Se suelen establecer lmites sobre el nivel de importancia de los agentes a
monitorear para reducir la carga que impone este protocolo.
7.8.1. Formato del encabezado:
Versin Comunidad PDU
Versin: Indica el nmero de versin, los valores admitidos son 1, 2 y 3.
Comunidad: Este nombre indica el grupo al cual pertenece el mensaje y es empleado
para la autenticar al administrador antes que pueda ingresar al agente.
PDU (Protocol Data Unit): Existen cinco tipos de PDU: GetRequest,
GetNextRequest, GetResponse, SetRequest y Trap.
La PDU tiene a su vez un formato que es el siguiente:
PDU
Type
Request
ID
Error
Status
Error
Index
Objeto 1
Valor 1
Objeto 2
Valor 2
.
.
PDU type: Especifica el tipo de PDU, sus valores son:
0 GetRequest.
1 GetNextRequest.
2 GetResponse.
3 SetRequest.
Request ID: Valor entero que controla la correspondencia entre agente y
administrador.
Error status: valor entero que indica operacin normal o cinco tipos de error:
0 noError.
1 tooBig: El tamao de la GetResponse PDU requerida, excede lo permitido.
2 noSuchName: El nombre del objeto solicitado no tiene correspondencia con
los nombres disponibles en la MIB.
3 badValue: La SetRequest contiene un tipo inconsistente, longitud o valor
para la variable.
4 readOnly: No definido en la RFC-1157.
5 genErr: Otros errores, los cuales no estn explcitamente definidos.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 252 [Link]
Error index: Identifica la entrada en la lista que ocasion el error.
Object/value: Define el objeto con su valor correspondiente.
Existe tambin otro formato de PDU, que es el de Trap PDU, el cual tiene los siguientes
campos:
PDU
Type
Enterprise Agent
Address
Gen
Trap
Spec
Trap
Time
Stamp
Objeto 1
Valor 1
Objeto 2
Valor 2
.
.
PDU Type: Valor 4.
Enterprise: Identifica al administrador de la empresa que defini la trap.
Agent Address: Direccin IP del agente.
Generic Trap Type: Campo que describe el evento que est siendo reportado, los
siguientes siete valores estn definifdos:
0 coldStart: La entidad ha sido reinicializada, indicando que la
configuracin pudo ser alterada.
1 warmStart: La entidad ha sido reinicializada, pero la configuracin no
fue alterada.
2 linkDown: El enlace ha fallado.
3 linkUp: El enlace ha conectado.
4 authenticationFailure: El agente ha recibido una autenticacin SNMP
indebida desde el administrador.
5 egpNeighborLoss: Un EGP vecino esta cado.
6 enterpriseSpecific: Un trap no genrico ha ocurrido, el cual es
identificado por los campos Specific Trap Type y Enterprise.
Specific Trap Type: Empleado para identificar un Trap no genrico.
Timestamp: Representa el tiempo transcurrido entre la ltima reinicializacin y la
generacin del presente trap.
Combinacin de la variable con su valor.
7.8.2. SNMP Versin 3.
En el mes de enero del ao 1998 IETF propone un conjunto de RFC desde la 2271 a la 2275,
las cuales definen un conjunto de medidas para implementar las tres grandes falencias que
posea el protocolo SNMP, estas son:
Autenticacin.
Seguridad.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 253 [Link]
Control de acceso.
Estos nuevos estndares propuestos son los que definen la nueva versin de este protocolo
denominada versin 3. El propsito es definir una arquitectura modular que de flexibilidad
hacia futuras expansiones.
Luego de un tiempo, en el mes de abril de 1999 aparecen ya como borrador estndar los
mismos conceptos con algunas mejoras, dejando obsoletos los anteriores. Estas son las
recomendaciones 2571 a la 2575, las cuales sientan definitivamente el funcionamiento de
SNMPv3. Estas son:
2571 An Architecture for Describing SNMP Management Frameworks. B. Wijnen, D.
Harrington, R. Presuhn. April 1999. (Format: TXT=139260 bytes) (Obsoletes
RFC2271) (Status: DRAFT STANDARD)
2572 Message Processing and Dispatching for the Simple Network Management Protocol
(SNMP). J. Case, D. Harrington, R. Presuhn, B. Wijnen. April 1999. (Format:
TXT=96035 bytes) (Obsoletes RFC2272) (Status: DRAFT STANDARD)
2573 SNMP Applications. D. Levi, P. Meyer, B. Stewart. April 1999. (Format:
TXT=150427 bytes) (Obsoletes RFC2273) (Status: DRAFT STANDARD)
2574 User-based Security Model (USM) for version 3 of the Simple Network Management
Protocol (SNMPv3). U. Blumenthal, B. Wijnen. April 1999. (Format: TXT=190755
bytes) (Obsoletes RFC2274) (Status: DRAFT STANDARD)
2575 View-based Access Control Model (VACM) for the Simple Network Management
Protocol (SNMP). B. Wijnen, R. Presuhn, K. McCloghrie. April 1999. (Format:
TXT=79642 bytes) (Obsoletes RFC2275) (Status: DRAFT STANDARD)
En estas nuevas RFC aparecen una serie de conceptos que son los que se definen a
continuacin.
Entidad:
El concepto de entidad es una conjunto de mdulos que interactan entre s, cada entidad
implementa una porcin de SNMP y puede actuar como los tradicionales nodo AGENTE, nodo
GESTOR, o combinacin de ambos.
Cada entidad incluye un MOTOR SNMP, siendo ste el encargado de implementar las
funciones de:
Envo de mensajes.
Recepcin de mensajes.
Autenticacin.
Cifrado y descifrado de mensajes.
Control de acceso a los objetos administrados.
Estas funciones son provistas como servicios a una o ms aplicaciones.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 254 [Link]
El conjunto de motor y aplicaciones son definidas como los mdulos de esta entidad.
Gestor tradicional SNMP:
Un Gestor tradicional SNMP interacta con los agentes SNMP a travs del envo de comandos
(get,get next y set) y recepcin de respuestas. Este incluye 3 categoras de Aplicaciones:
Aplicaciones Generadoras de Comandos: Monitorizan y controlan la administracin de
datos de un agente remoto.
Aplicacin Generadora de Notificaciones: Inicia mensajes asincrnicos.
Aplicacin Receptora de Notificaciones: Procesa mensajes entrantes asincrnicos.
Estas tres aplicaciones hacen uso de los servicios del motor SNMP.
Este motor debe contener:
1) Un Despachador: Encargado de administrar el trfico. Para mensajes salientes, recibe las
PDU (Unidad de datos de Protocolo) de las aplicaciones, determina el tipo de procesamiento
requerido (Ej: SNMPv1, SNMPv2 o SNMPv3) y entrega estos datos al mdulo de
procesamiento de mensajes correspondiente. Para mensajes entrantes, acepta mensajes del
nivel de transporte y lo deriva al mdulo de procesamiento de mensajes correspondiente.
Consecuentemente al recibir los mensajes procesados desde el mdulo, los entregar hacia
la aplicacin apropiada o hacia el nivel de transporte segn corresponda.
2) Un Subsistema de Procesamiento de Mensajes: Es el responsable del armado y desarmado
de la PDU de este nivel. Recibe y entrega los mensajes del despachador. Si es necesario
luego de armar la PDU (mensaje saliente) o antes de desarmarla (mensaje entrante), pasara
la misma al Subsistema de Seguridad
3) Un Subsistema de Seguridad: Es quien ejecuta las funciones de autenticacin y cifrado.
Recibe y entrega los mensajes al Subsistema de Procesamiento de Mensajes. Este
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 255 [Link]
subsistema soporta uno o ms modelos distintos de seguridad llamado User-Based
Security Model (USM) y est definido por la RFC-2574.
Agente Tradicional SNMP:
El agente contiene tambin 3 tipos de aplicaciones:
Aplicaciones Respondedoras de Comandos: Provee acceso a los datos administrados.
Aplicacin Generadora de Notificaciones: Inicia mensajes asincrnicos.
Aplicacin Encaminadora Proxy: Encamina mensajes entre entidades.
El Agente tiene los mismos componentes que el Administrador e incluye uno ms denominado:
Subsistema de Control de Acceso: Es el encargado de proveer servicios de autorizacin
para controlar el acceso a las [Link] Agente soporta uno o ms modelos de Control de
Accesos diferentes llamado View-Based Access Control Model (VACM) y se encuentra
definido por la RFC-2575.
Subsistema de procesamiento de mensajes:
Este modelo recibe PDU desde el despachador, tanto salientes como entrantes, las encapsula
o desencapsula y acorde a la existencia de mecanismos de seguridad la entrega o no al USM
para el tratamiento de los parmetros de seguridad (agregado, cifrado o decifrado) y
finalmente las devuelve al despachador para que este las entregue al nivel correspondiente.
Este modelo opera sobre los cinco primeros campos del encabezado SNMP, el cual se
detalla a continuacin:
Msg Version Modelo de
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 256 [Link]
Msg ID
Msg Max Size
Msg FLAGS
Msg Security Model
Msg Autoritative Engine ID
Msg Autoritative Engine Boot
Msg Autoritative Engine Time
Msg User Name
Msg Autentication Parameters
Msg Privacy Parameters
Modelo de seguridad
de usuario
(USM)
Context Engine ID
Context Name
Cifrado
PDU (Aplication)
Espacio de PDU
Msg Version: Corresponde el Nro 3.
Msg ID: Identificador entre las dos entidades para coordinar solicitudes y respuestas
Msg Max Size: Expresa el tamao mximo en octetos que soporta el emisor.
Msg FLAGS: Estn definidos los tres primeros bit y significan lo siguiente:
Bit 1 (bit de reporte): Si est en 1 entonces el receptor debe especificar bajo qu
condiciones este puede causar un reporte. Tambin es empleado en toda solicitud
Get o Set.
Bit 2 (Priv Flag): Indica que se emplea criptografa.
Bit 3 (Aut Flag): Indica que se emplea autenticacin.
Msg Security Model: Indica qu modelo de seguridad se emplea (1 = SNMPv1, 2 =
SNMPv2, 3 = SNMPv3).
Subsistema de seguridad:
El subsistema de seguridad ejecuta funciones de autenticacin y cifrado, para las mismas define uno
o ms distintos Modelos de seguridad de Usuario (USM). Especficamente la RFC-2574 establece
que este modelo protege contra lo siguiente:
Modificacin de Informacin.
Falsificacin de entidad.
Modificacin de mensaje.
Difusin de informacin.
Tambin aclara que no protege contra ataques de negacin de servicio ni anlisis de trfico.
Este modelo se emplea para proveer autenticacin y privacidad, para esto define dos claves, una
clave privada (PrivKey) y otra clave de autenticacin (AutKey). El valor de estas claves no es
accesible va SNMP y se emplean de la siguiente forma:
Autenticacin:
Se definen dos alternativas para esta tarea, HMAC-MD5-96 y HMAC-SHA-96.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 257 [Link]
La mecnica de esta funcin es que a travs de una cadena de bit de entrada de cualquier
longitud finita, generar un nico resumen de salida de longitud fija. Que en el caso de esta
norma es de 20 Byte para SHA o 16 Byte para MD5.
Esta funcin es llamada One Way pues no es posible a travs del resumen de salida obtener
el texto de entrada, tambin resultar computacionalmente imposible obtener un valor de salida
igual a travs de otro valor de entrada, como as tampoco desde un valor de salida ya calculado,
obtener otro valor de entrada diferente al verdadero.
La aplicacin aqu propuesta toma los datos y la clave y produce un resumen:
Resumen = H (clave, datos).
En cualquiera de los dos casos, se toman como vlidos los primeros 96 bit, descartando el
resto.
Esta especificacin soporta el protocolo HMAC [RFC-2104] con la opcin SHA1 (Hash
Message Autentication-Secure Hash Standard Versin 1) [RFC-2404] y MD5 (Messge
Digest Verin 5) [RFC-2403].
Criptografa:
Para esta actividad USM emplea el algoritmo DES (Data encryptation Standard) [ANSI
X3.106] en el modo cifrado encadenado de bloques (CBC). La clave privada (PrivKey)
antes mencionada de longitud 16 byte es empleada aqu dividindola en dos, los primeros 8
Byte, es decir 64 bit son empleados como clave para DES, el cual solo tendr en cuenta 56,
dejando 8 para control de paridad. Los ltimos 8 Byte son empleados como Vector de
Inicializacin (IV) para comenzar con el cifrado en cadena.
Esta tcnica CBC, se basa en tomar el primer bloque de texto plano, y realizar una operacin
XOR con un Vector de inicializacin y luego de esta operacin recin se pasar al cifrado de
ese bloque. En el segundo bloque se realizar nuevamente la operacin XOR, pero esta vez
ser el texto plano de este bloque con el bloque cifrado anteriormente, y luego se cifrar.
Esta mecnica se ir realizando en los sucesivos bloques, es decir XOR con el bloque
cifrado anterior y luego cifrado.
El descifrado se realiza en forma inversa.
cifrado = E (clave, texto).
D (clave, cifrado) = texto.
Campos del encabezado de USM:
Antes de tratar los campos de este modelo se debe tener en cuenta al concepto de
autoritativo:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 258 [Link]
Caso 1: Cuando un mensaje SNMP contiene datos que esperan una respuesta
(Get, GetNext, Get Bulk, Set o Informes), entonces el receptor de ese mensaje es
Autoritativo.
Caso 2: Cuando un mensaje SNMP contiene datos que no imponen respuesta
(Trap, Respuestas o Reportes), entonces el emisor de ese mensaje es Autoritativo.
Acorde a la grfica anterior del encabezado SNMPv3, se puede apreciar que USM emplea
los seis campos siguientes al Modelo de Procesamiento de Mensajes. Estos campos se
detallan a continuacin:
Msg Autoritative Engine ID: Identificador de la entidad Autoritativa.
Msg Autoritative Engine Boot: Este valor es un contador montono creciente que
identifica la cantidad de veces que la entidad autoritativa fue inicializada o
reinicializada desde su configuracin inicial.
Msg Autoritative Engine Time: Este valor es un entero que describe el tiempo
transcurrido en segundos desde el momento en que la entidad autoritativa
increment el Msg Autoritative Engine Boot (es decir el tiempo desde la ltima
vez que inici o reinici). Las entidades autoritativas llevan su tiempo exacto en
segundos y las no autoritativas llevarn por cada entidad autoritativa con la que
se comuniquen una apreciacin del mismo, que servir para compararlos en el
momento oportuno (como se ver a continuacin). Este valor son 32 bit, en el
caso de no reinicializarse una entidad se ir acumulando y al llegar al valor
mximo volver a cero (En realidad como es un valor de 32 bit, 2
32
segundos son
en el orden de 68 aos, por lo tanto el sistema debera ser extremadamente slido
para no detenerse nunca en este lapso)
Msg User Name: Nombre del usuario de este mensaje.
Msg Authentication Parameters: Aqu es donde va el cdigo de autenticacin es
decir el valor obtenido por HMAC. En el caso de no emplear autenticacin es
nulo.
Msg Privacy Parameters: El valor aqu expuesto es el que se emplear para
obtener el Vector de Inicializacin (VI) para el algoritmo DES. En el caso de no
emplear criptografa es nulo.
La secuencia de pasos a seguir con estos campos para la transmisin de un mensaje en este
modelo es:
1) Como primera actividad se criptografan los datos en caso de implementar esta
funcin.
2) Si se realiz el paso a. entonces se coloca en el campo Msg Privacy Parameters el
valor correspondiente para generar el IV.
3) Si se emplea autenticacin, la totalidad del mensaje se ingresa para obtener el
resumen HMAC y su resultado es ubicado en el campo Msg Authentication
Parameters.
En el caso de la recepcin sera:
1) Realiza el clculo de HMAC.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 259 [Link]
2) Compara el valor calculado con el correspondiente al campo campo Msg
Authentication Parameters.
3) Si ambos valores son iguales, entonces toma el mensaje como autntico y no
ha sido alterado.
4) Verifica si el mismo est en un tiempo de ventana vlido. Esta actividad se
realiza de la siguiente forma:
a) Toda entidad no autoritativa guarda tres parmetros en forma local de cada
entidad autoritativa con la que se comunica, estos son:
El valor ms reciente de Msg Autoritative Engine Boot recibido en la
ltima comunicacin.
El valor de tiempo estimado que debera tener la entidad autoritativa.
El ltimo valor de tiempo recibido de la entidad autoritativa en el
campo Msg Autoritative Engine Time.
b) Al recibir un mensaje compara los campos del mensaje recibido con estos
parmetros almacenados localmente.
c) Las condiciones para que un mensaje sea considerado no autntico son:
Diferencia de Msg Autoritative Engine Boot.
Diferencia en 150 segundos entre el valor calculado de Msg
Autoritative Engine Time y el recibido en el mensaje.
d) Si un mensaje es considerado no autntico, una indicacin de error es
enviada al mdulo respectivo.
5) Finalmente si est cifrado, descifra el mismo.
Localizacin de claves:
Una clave localizada es un secreto compartido entre un usuario y un motor SNMP
autoritativo.
El problema del empleo de una sola clave por parte del usuario con todos los agentes es que si
se descubriera la misma, sera vulnerable todo el sistema. Si el caso fuera lo contrario es decir
que se deseara emplear una clave distinta para cada agente, entonces el usuario debera
recordar todas las contraseas lo cual en la prctica no es viable.
Para dar solucin a estos problemas la RFC-2574 propone este proceso por el cual una clave
nica de usuario (o pueden ser dos: una para privacidad y otra para autenticacin) es
convertida a mltiples claves nicas tambin, una para cada motor SNMP, este proceso es lo
que se denomina Localizacin de claves. Las caractersticas fundamentales que propone
este proceso son:
Cada agente SNMP tiene su propia clave nica para cada usuario autorizado a
administrarlo, por lo tanto si la clave de uno de ellos es comprometida, no lo sern
las del resto.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 260 [Link]
La clave de un usuario es diferente en cada agente SNMP, por lo tanto si se
compromete la clave de un agente, no comprometer al resto ni a la clave del
usuario.
La administracin de la red, puede realizarse en forma segura remotamente desde
cualquier punto de la red.
Subsistema de Control de Accesos:
Este subsistema se ejecuta en los agentes tradicionales, permitiendo determinar quien est
autorizado a acceder a la MIB de los mismos. El nico modelo definido para esta actividad se
denomina Modelo de Control de Accesos basado en Vistas (VACM: View-Based Access
Control Model) y est definido en la RFC-2575.
VACM tiene dos caractersticas fundamentales:
Determina si un acceso a la MIB local est permitido.
Posee su propia MIB en la cual se definen las polticas de acceso y habilita la
configuracin remota.
Se definen cinco elementos que constituyen la VACM:
1) Grupos: Es un conjunto de cero o ms duplas {Modelo de Seguridad, Nombre de
seguridad} que definen los Objetos que pueden ser administrados por ese Nombre.
2) Nivel de seguridad: Define qu tareas sern permitidas (lectura, escritura o notificacin)
para cada grupo.
3) Contexto: Es un subconjunto de instancias de objetos en la MIB local. Permite agrupar
objetos con distintas polticas de acceso.
4) Vistas de la MIB: Define conjuntos especficos de objetos administrados, los cuales se
pueden agrupar en jerarquas de rboles y familias de manera tal que se pueda, por ejemplo,
restringir su acceso a determinados grupos.
5) Poltica de acceso: VACM permite a un motor SNMP ser configurado para asegurar un
conjunto de accesos correctos, los cuales dependen de los siguientes factores:
Los distintos usuarios pueden tener distintos privilegios de acceso.
El nivel de seguridad para una determinada solicitud.
El modelo de seguridad empleado para procesar las solicitudes de mensajes.
El contexto de la MIB.
La instancia al objeto para el cual fue solicitado el acceso.
Listado de RFCs relacionadas a SNMP.
SNMPv1
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 261 [Link]
RFC 1157 - Simple Network Management Protocol
RFC 1155 - Structure of Management Information
RFC 1212 - Concise MIB Definitions
SNMPv2
RFC 1901 - Community-based SNMPv2
RFC 3416 - Protocol Operations for SNMPv2
RFC 3417 - Transport Mappings for SNMP
RFC 1908 - SNMPv1 and SNMPv2 Coexistence
SNMPv2 Definicin de datos
RFC 2578 - Structure of Management Information
RFC 2579 - Textual Conventions
RFC 2580 - Conformance Statements
SNMPv3
RFC 3411 - Architecture for SNMP Frameworks
RFC 3412 - Message Processing and Dispatching
RFC 3413 - SNMPv3 Applications
RFC 3414 - User-based Security Model
RFC 3415 - View-based Access Control Model
MIBs
RFC 1213 - Management Information Base II
RFC 1573 - Evolution of the Interfaces Group of MIB-II
RFC 1757 - Remote Network Monitoring MIB
RFC 2011 - Internet Protocol MIB
RFC 2012 - Transmission Control Protocol MIB
RFC 2013 - User Datagram Protocol MIB
RFC 3418 - MIB for SNMP
Authentication/Privacy
RFC 1321 - MD5 Message-Digest Algorithm
RFC 2104 - HMAC: Keyed-Hashing for Message Authentication
RFC 2786 - Diffie-Helman USM Key
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 262 [Link]
7.9. HTTP (HiperText Transfer Protocol) (RFC 1945 - 2616 ):
Se trata del protocolo principal que regula todo el sistema de navegacin a travs de pginas
Web.
7.9.1. Conceptos.
Este es el protocolo empleado entre clientes y servidores Web. La diferencia con los dems
protocolos de nivel de aplicacin es que este establece una sesin por cada informacin
requerida (texto, sonido, grficos, etc), esta finaliza al completarse la solicitud. Es normal la
apertura de varias sesiones para bajar una sola pgina.
Desde la versin 1.0 en adelante incorpora MIME (Multimedia Internet Mail Extensions) para
soportar la negociacin de distintos tipos de datos. Hoy ya est vigente la versin 1.2 (RFC-
2774).
El acceso a este protocolo es por medio del puerto TCP 80 por defecto, pero es comn en redes
privadas el empleo de otro para incrementar las medidas de seguridad.
HTTP es un protocolo sin estado, es decir, que no guarda ninguna informacin sobre
conexiones anteriores. El desarrollo de aplicaciones web necesita frecuentemente mantener
estado. Para esto se usan las cookies (ver a continuacin). Esto le permite a las aplicaciones web
instituir la nocin de "sesin", y tambin permite rastrear usuarios ya que las cookies pueden
guardarse en el cliente por tiempo indeterminado.
Una cookie (literalmente galleta) es un fragmento de informacin que se almacena en el disco
duro del visitante de una pgina web a travs de su navegador, a peticin del servidor de la
pgina. Esta informacin puede ser luego recuperada por el servidor en posteriores visitas. En
ocasiones tambin se le llama "huella".
De esta forma, los usos ms frecuentes de las cookies son:
Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y
contrasea, se almacena una cookie para que no tenga que estar introducindolas
para cada pgina del servidor. Sin embargo una cookie no identifica a una persona,
sino a una combinacin de ordenador y navegador.
Conseguir informacin sobre los hbitos de navegacin del usuario, e intentos de
spyware, por parte de agencias de publicidad y otros. Esto puede causar problemas
de privacidad y es una de las razones por la que las cookies tienen sus detractores.
Originalmente, slo podan ser almacenadas por peticin de un CGI desde el servidor, pero
Netscape dio a su lenguaje Javascript la capacidad de introducirlas directamente desde el
cliente, sin necesidad de CGIs. En un principio, debido a errores del navegador, esto dio algunos
problemas de seguridad. Estas vulnerabilidades fueron descubiertas por Esteban Rossi. Pueden
ser borradas, aceptadas o bloqueadas segn desee, para esto slo debe configurar
convenientemente el navegador web.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 263 [Link]
En realidad, las cookies son slo datos, no cdigo, luego no pueden borrar ni leer informacin
del ordenador de los usuarios. Sin embargo, las cookies permiten detectar las pginas visitadas
por un usuario en un sitio determinado o conjunto de sitios. Esta informacin puede ser
recopilada en un perfil de usuario. Estos perfiles son habitualmente annimos, es decir, no
contienen informacin personal del usuario (nombre, direccin, etc). De hecho, no pueden
contenerla a menos que el propio usuario la haya comunicada a alguno de los sitios visitados.
Pero aunque annimos, estos perfiles han sido objeto de algunas preocupaciones relativas a la
privacidad.
7.9.2. Solicitudes y respuestas.
Existen dos tipos de encabezado, el de solicitud y el de respuesta y son los siguientes:
Solicitud
Method Request URI HTTP version
Method: Define el mtodo a ser ejecutado sobre el recurso.
Request URI (Uniform Resource Identifier): Recurso sobre el que se aplica la
solicitud.
HTTP Version: La versin a ser utilizada.
Respuesta
HTTP
version
Status Code Reason phrase
HTTP Version: La versin a ser utilizada.
Status code: Se trata de un entero de 3 dgitos que es el resultado de intentar entender
y satisfacer la respuesta.
Reason phrase: Descripcin textual del status code.
Ejemplo de un dilogo HTTP:
Para obtener un recurso con, por ejemplo en este caso pondramos:
[Link]
1) Se abre una conexin al host [Link], al puerto 80 que es el puerto
por defecto para HTTP.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 264 [Link]
2) Se enva un mensaje en el estilo siguiente:
GET /[Link] HTTP/1.1
Host: [Link]
User-Agent: nombre-cliente
[Lnea en blanco]
La respuesta del servidor est formada por encabezados seguidos del recurso
solicitado, en el caso de una pgina web:
HTTP/1.1 200 OK
Date: Fri, 31 Dec 2003 [Link] GMT
Content-Type: text/html
Content-Length: 1221
<html>
<body>
<h1>Pgina principal</h1>
(Contenido)
.
.
.
</body>
</html>
7.9.3. URL y URI.
(De Wikipedia, la enciclopedia libre)
Una URL comn est compuesta por cuatro partes:
Protocolo: Tambin llamado esquema URL, especifica que protocolo es utilizado
para acceder al documento.
Nombre del ordenador: Especifica su nombre (usualmente un nombre de dominio o
una direccin IP) donde el contenido est alojado.
Directorios: Secuencia de directorios separados por barras ("/") que define la ruta a
seguir para llegar al documento.
Archivo: El nombre del archivo donde el recurso se encuentra ubicado.
De esta forma, podemos analizar cualquier URL dada:
http:// [Link] /reference/ [Link]
Protocol Domain name Directories File
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 265 [Link]
URL significa Uniform Resource Locator, es decir, localizador uniforme de recurso. Es una
secuencia de caracteres, de acuerdo a un formato estndar, que se usa para nombrar recursos,
como documentos e imgenes en Internet, por su localizacin.
Desde 1994, en los estndares de Internet, el concepto de URL ha sido incorporado dentro
del ms general de URI (Uniform Resource Identifier - Identificador Uniforme de Recurso),
pero el trmino URL an se utiliza ampliamente.
El URL es la cadena de caracteres con la cual se asigna una direccin nica a cada uno de
los recursos de informacin disponibles en Internet. Existe un URL nico para cada pgina
de cada uno de los documentos de la World Wide Web.
El URL de un recurso de informacin es su direccin en Internet, la cual permite que el
navegador la encuentre y la muestre de forma adecuada. Por ello el URL combina el nombre
del ordenador que proporciona la informacin, el directorio donde se encuentra, el nombre
del archivo y el protocolo a usar para recuperar los datos.
7.9.4. Esquema URL.
Un URL se clasifica por su esquema, que generalmente indica el protocolo de red que se usa
para recuperar, a travs de la red, la informacin del recurso identificado. Un URL comienza
con el nombre de su esquema, seguida por dos puntos, seguido por una parte especfica del
esquema.
Algunos ejemplos de esquemas URL:
http - recursos HTTP
https - HTTP sobre SSL
ftp - File Transfer Protocol
mailto - direcciones E-mail
ldap - bsquedas LDAP Lightweight Directory Access Protocol
file - recursos disponibles en la computadora local, o en una red local
news - grupos de noticias Usenet (newsgroup)
gopher - el protocolo Gopher (ya en desuso)
telnet - el protocolo telnet
data - el esquema para insertar pequeos trozos de contenido en los documentos
Data: URL
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 266 [Link]
Algunos de los esquemas URL, como los populares "mailto", "http", "ftp" y "file", junto a
los de sintaxis general URL, se detallaron por primera vez en 1994, en la RFC-1630,
sustituido un ao despus por los ms especficos RFC-1738 y RFC-1808.
Algunos de los esquemas definidos en la primera RFC aun son vlidos, mientras que otros
son debatidos o han sido refinados por estndares posteriores. Mientras tanto, la definicin
de la sintaxis general de los URL se ha escindido en dos lneas separadas de especificacin
de URI: RFC-2396 (1998) y RFC-2732 (1999), ambos ya obsoletos pero todava
ampliamente referidos en las definiciones de esquemas URL.
7.9.5. Sintaxis Genrica URL
Todos los URL, independientemente del esquema, deben seguir una sintaxis general. Cada
esquema puede determinar sus propios requisitos de sintaxis para su parte especfica, pero el
URL completo debe seguir la sintaxis general.
Usando un conjunto limitado de caracteres, compatible con el subconjunto imprimible de
ASCII, la sintaxis genrica permite a los URL representar la direccin de un recurso,
independientemente de la forma original de los componentes de la direccin.
Los esquemas que usan protocolos tpicos basados en conexin usan una sintaxis comn
para "URI genricos", definida a continuacin:
esquema://autoridad/ruta?consulta#fragmento
La autoridad consiste usualmente en el nombre o Direccin IP de un servidor, seguido a
veces de dos puntos (":") y un nmero de Puerto TCP. Tambin puede incluir un nombre de
usuario y una clave, para autenticarse ante el servidor.
La ruta es la especificacin de una ubicacin en alguna estructura jerrquica, usando una
barra diagonal ("/") como delimitador entre componentes.
La consulta habitualmente indica parmetros de una consulta dinmica a alguna base de
datos o proceso residente en el servidor.
El fragmento identifica a una porcin de un recurso, habitualmente una ubicacin en un
documento.
7.9.6. Ejemplo: URL en http.
Los URL empleados por HTTP, el protocolo usado para transmitir pginas web, son el tipo
ms popular de URL y puede ser usado para mostrarse como ejemplo. La sintaxis de un
URL HTTP es:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 267 [Link]
esquema://anfitrin:puerto/ruta?parmetro=valor#enlace
esquema, en el caso de HTTP, en la mayora de las veces equivale a http, pero
tambin puede ser https cuando se trata de HTTP sobre una conexin TLS (para
hacer ms segura la conexin).
Muchos navegadores, para autenticacin en http, permiten el uso de
esquema://usuario:contrasea@anfitrin:puerto/.... Este formato ha sido usado
como una "hazaa" para hacer difcil el identificar correctamente al servidor
involucrado. En consecuencia, el soporte para este formato ha sido dejado de lado
por algunos navegadores. La seccin 3.2.1 de RFC 3986 recomienda que los
navegadores deben mostrar el usuario/contrasea de otra forma que no sea en la
barra de direcciones, a causa de los problemas de seguridad mencionados y porque
las contraseas no deben mostrarse nunca como texto plano.
anfitrin, la cual es probablemente la parte que ms sobresale de un URL, es en casi
todos los casos el nombre de dominio de un servidor, [Link].: [Link],
[Link], etc.
La porcin :puerto especifica un nmero de puerto TCP. Usualmente es omitido (en
este caso, su valor por omisin es 80) y probablemente, para el usuario es lo que
tiene menor relevancia en todo el URL.
La porcin ruta es usada por el servidor (especificado en anfitrin) de cualquier
forma en la que su software lo establezca, pero en muchos casos se usa para
especificar un nombre de archivo, posiblemente precedido por nombres de
directorio. Por ejemplo, en la ruta /wiki/Vaca, wiki sera un (seudo-)directorio y
Vaca sera un (seudo-)nombre de archivo.
La parte mostrada arriba como ?parmetro=valor se conoce como porcin de
consulta (o tambin, porcin de bsqueda). Puede omitirse, puede haber una sola
pareja parmetro-valor como en el ejemplo, o pueden haber muchas de ellas, lo cual
se expresa como ?param=valor&otroParam=valor&.... Las parejas parmetro-valor
nicamente son relevantes si el archivo especificado por la ruta no es una pgina
Web simple y esttica, sino algn tipo de pgina automticamente generada. El
software generador usa las parejas parmetro-valor de cualquier forma en que se
establezca; en su mayora transportan informacin especfica a un usuario y un
momento en el uso del sitio, como trminos concretos de bsqueda, nombres de
usuario, etc. (Observe, por ejemplo, de qu forma se comporta el URL en la barra de
direcciones de su navegador durante una bsqueda Google: su trmino de bsqueda
es pasado a algn programa sofisticado en [Link] como un parmetro, y el
programa de Google devuelve una pgina con los resultados de la bsqueda.)
La parte #enlace, por ltimo, es conocida como identificador de fragmento y se
refiere a ciertos lugares significativos dentro de una pgina; por ejemplo, esta pgina
tiene enlaces internos hacia cada cabecera de seccin a la cual se puede dirigir
usando el ID de fragmento. Esto es relevante cuando un URL de una pgina ya
cargada en un navegador permite saltar a cierto punto en una pgina extensa. Un
ejemplo sera este enlace, que conduce a esta misma pgina y al comienzo de esta
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 268 [Link]
seccin. (Observe cmo cambia el URL en la barra de direccin de su navegador
cuando hace clic en el enlace.)
7.9.7. Referencias URI.
El trmino referencia URI se refiere a un caso particular de un URL, o una porcin de ste,
tal como es usada en un documento HTML, por ejemplo, para referirse a un recurso
particular. Una referencia URI habitualmente se parece a un URL o a la parte final de un
URL. Las referencias URI introducen dos nuevos conceptos:
la distincin entre referencias absolutas y relativas,
el concepto de un identificador de fragmento.
Un URL absoluto es una referencia URI que es parecida a los URL definidos arriba;
empieza por un esquema seguido de dos puntos (":") y de una parte especfica del esquema.
Un URL relativo es una referencia URI que comprende slo la parte especfica del esquema
de un URL, o de algn componente de seguimiento de aquella parte. El esquema y
componentes principales se infieren del contexto en el cual aparece la referencia URL: el
URI base (o URL base) del documento que contiene la referencia.
Una referencia URI tambin puede estar seguida de un carcter de numeral ("#") y un
puntero dentro del recurso referenciado por el URI en conjunto. Esto no hace parte del URI
como tal, sino que es pensado para que el "agente de usuario" (el navegador) lo interprete
despus que una representacin del recurso ha sido recuperada. Por tanto, no se supone que
sean enviadas al servidor en forma de solicitudes HTTP.
Ejemplos de URL absolutos:
[Link]
[Link]
Ejemplos de URL relativos:
//[Link]/wiki/Uniform_Resource_Locator
/wiki/URL
URL#Referencias_URI
Diferenciacin entre maysculas/minsculas
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 269 [Link]
De acuerdo al estndar actual, en los componentes esquema y anfitrin no se diferencian
maysculas y minsculas, y cuando se normalizan durante el procesamiento, deben estar en
minsculas. Se debe asumir que en otros componentes s hay diferenciacin. Sin embargo,
en la prctica, en otros componentes aparte de los de protocolo y anfitrin, esta
diferenciacin es dependiente del servidor Web y del sistema operativo del sistema que
albergue al servidor.
7.9.8. URL en el uso diario.
Un HTTP URL combina en una direccin simple los cuatro elementos bsicos de
informacin necesarios para recuperar un recurso desde cualquier parte en la Internet:
El protocolo que se usa para comunicar,
El anfitrin (servidor) con el que se comunica,
El puerto de red en el servidor para conectarse,
La ruta al recurso en el servidor (por ejemplo, su nombre de archivo).
Un URL tpico puede lucir como:
[Link]
Donde:
http es el protocolo,
[Link] es el anfitrin,
80 es el nmero de puerto de red en el servidor (siendo 80 valor por omisin),
/wiki/Special:Search es la ruta de recurso,
?search=tren&go=Go es la cadena de bsqueda; esta parte es opcional.
Muchos navegadores Web no requieren que el usuario ingrese "[Link] para dirigirse a una
pgina Web, puesto que HTTP es el protocolo ms comn que se usa en navegadores Web.
Igualmente, dado que 80 es el puerto por omisin para HTTP, usualmente no se especifica.
Normalmente uno slo ingresa un URL parcial tal como [Link]/wiki/Train.
Para ir a una pgina principal se introduce nicamente el nombre de anfitrin, como
[Link].
Dado que el protocolo HTTP permite que un servidor responda a una solicitud
redireccionando el navegador Web a un URL diferente, muchos servidores adicionalmente
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 270 [Link]
permiten a los usuarios omitir ciertas partes del URL, tales como la parte "www.", o el
carcter numeral ("#") de rastreo si el recurso en cuestin es un directorio. Sin embargo,
estas omisiones tcnicamente constituyen un URL diferente, de modo que el navegador Web
no puede hacer estos ajustes, y tiene que confiar en que el servidor responder con una
redireccin. Es posible para un servidor Web (pero debido a una extraa tradicin) ofrecer
dos pginas diferentes para URL que difieren nicamente en un carcter "#".
7.9.9. Cdigos de estado http.
(De Wikipedia, la enciclopedia libre)
La siguiente es una lista de cdigos de respuesta del HTTP y frases estndar asociadas,
destinadas a dar una descripcin corta del estatus. Estos cdigos de estatus estn
especificados por el RFC-2616, y algunos fragmentos en los estndares RFC-2518, RFC-
2817, RFC-2295, RFC-2774 y RFC-4918; otros no estn estandarizados, pero son
comnmente utilizados.
El cdigo de respuesta est formado por tres dgitos: el primero indica el estado y los dos
siguientes explican la naturaleza exacta de la respuesta, dentro de las cinco clases de
respuesta que estn definidas y se presentan a continuacin.
1xx: Respuestas informativas
Peticin recibida, continuando proceso.
Esta clase de cdigo de estatus indica una respuesta provisional, que consiste
nicamente en la lnea de estatus y en encabezados opcionales, y es terminada por
una lnea vaca. Desde que HTTP/1.0 no defina cdigos de estatus 1xx, los
servidores no deben enviar una respuesta 1xx a un cliente HTTP/1.0, excepto en
condiciones experimentales.
100 Contina
Esta respuesta significa que el servidor ha recibido los encabezados de la
peticin, y que el cliente debera proceder a enviar el cuerpo de la misma (en
el caso de peticiones para las cuales el cuerpo necesita ser enviado; por
ejemplo, una peticin Hypertext Transfer Protocol). Si el cuerpo de la
peticin es largo, es ineficiente enviarlo a un servidor, cuando la peticin ha
sido ya rechazada, debido a encabezados inapropiados. Para hacer que un
servidor cheque si la peticin podra ser aceptada basada nicamente en los
encabezados de la peticin, el cliente debe enviar Expect: 100-continue como
un encabezado en su peticin inicial (vea Plantilla:Web-RFC: Expect header)
y verificar si un cdigo de estado 100 Continue es recibido en respuesta, antes
de continuar (o recibir 417 Expectation Failed y no continuar).[1]
101 Conmutando protocolos
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 271 [Link]
102 Procesando (WebDAV - RFC 2518)
2xx: Peticiones correctas
Esta clase de cdigo de estado indica que la peticin fue recibida correctamente,
entendida y aceptada.
200 OK
Respuesta estndar para peticiones correctas.
201 Creado
La peticin ha sido completada y ha resultado en la creacin de un nuevo
recurso.
202 Aceptada
La peticin ha sido aceptada para procesamiento, pero este no ha sido
completado. La peticin eventualmente pudiere no ser satisfecha, ya que
podra ser no permitida o prohibida cuando el procesamiento tenga lugar.
203 Informacin no autoritativa (desde HTTP/1.1)
204 Sin contenido
205 Recargar contenido
206 Contenido parcial
La peticin servir parcialmente el contenido solicitado. Esta caracterstica
es utilizada por herramientas de descarga como wget para continuar la
transferencia de descargas anteriormente interrumpidas, o para dividir una
descarga y procesar las partes simultneamente.
207 Estado mltiple (Multi-Status, WebDAV)
El cuerpo del mensaje que sigue es un mensaje XML y puede contener
algn nmero de cdigos de respuesta separados, dependiendo de cuntas
sub-peticiones sean hechas.
3xx: Redirecciones
El cliente tiene que tomar una accin adicional para completar la peticin.
Esta clase de cdigo de estado indica que una accin subsiguiente necesita efectuarse
por el agente de usuario para completar la peticin. La accin requerida puede ser
llevada a cabo por el agente de usuario sin interaccin con el usuario si y slo si el
mtodo utilizado en la segunda peticin es GET o HEAD. El agente de usuario no
debe redirigir automticamente una peticin ms de 5 veces, dado que tal
funcionamiento indica usualmente un Bucle infinito.
300 Mltiples opciones
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 272 [Link]
Indica opciones mltiples para el URI que el cliente podra seguir. Esto
podra ser utilizado, por ejemplo, para presentar distintas opciones de formato
para video, listar archivos con distintas extensiones o word sense
disambiguation.
301 Movido permanentemente
Esta y todas las peticiones futuras deberan ser dirigidas a la URI dada.
302 Movido temporalmente
Este es el cdigo de redireccin ms popular, pero tambin un ejemplo de
las prcticas de la industria contradiciendo el estndar. La especificacin
HTTP/1.0 (RFC 1945) requera que el cliente realizara una redireccin
temporal (la frase descriptiva original fue "Moved Temporarily"), pero los
navegadores populares lo implementaron como 303 See Other. Por tanto,
HTTP/1.1 aadi cdigos de estado 303 y 307 para eliminar la ambigedad
entre ambos comportamientos. Sin embargo, la mayora de aplicaciones Web
y libreras de desarrollo an utilizan el cdigo de respuesta 302 como si fuera
el 303.
303 Vea otra (desde HTTP/1.1)
La respuesta a la peticin puede ser encontrada bajo otra URI utilizando el
mtodo GET.
304 No modificado
Indica que la peticin a la URL no ha sido modificada desde que fue
requerida por ltima vez. Tpicamente, el cliente HTTP provee un
encabezado como If-Modified-Since para indicar una fecha y hora contra la
cual el servidor pueda comparar. El uso de este encabezado ahorra ancho de
banda y reprocesamiento tanto del servidor como del cliente.
305 Utilice un proxy (desde HTTP/1.1)
Muchos clientes HTTP (como Mozilla[2] e Internet Explorer) no se apegan
al estndar al procesar respuestas con este cdigo, principalmente por motivos
de seguridad.
306 Cambie de proxy
Esta respuesta est descontinuada.
307 Redireccin temporal (desde HTTP/1.1)
Se trata de una redireccin que debera haber sido hecha con otra URI, sin
embargo an puede ser procesada con la URI proporcionada. En contraste
con el cdigo 303, el mtodo de la peticin no debera ser cambiado cuando
el cliente repita la solicitud. Por ejemplo, una solicitud POST tiene que ser
repetida utilizando otra peticin POST.
4xx Errores del cliente
La solicitud contiene sintaxis incorrecta o no puede procesarse.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 273 [Link]
La intencin de la clase de cdigos de respuesta 4xx es para casos en los cuales el
cliente parece haber errado la peticin. Excepto cuando se responde a una peticin
HEAD, el servidor debe incluir una entidad que contenga una explicacin a la
situacin de error, y si es una condicin temporal o permanente. Estos cdigos de
estado son aplicables a cualquier mtodo de solicitud (como GET o POST). Los
agentes de usuario deben desplegar cualquier entidad al usuario. Estos son
tpicamente los cdigos de respuesta de error ms comnmente encontrados.
400 Solicitud incorrecta
La solicitud contiene sintaxis errnea y no debera repetirse.
401 No autorizado
Similar al 403 Forbidden, pero especficamente para su uso cuando la
autentificacin es posible pero ha fallado o an no ha sido provista. Vea
autentificacin HTTP bsica y Digest access authentication.
402 Pago requerido
La intencin original era que este cdigo pudiese ser usado como parte de
alguna forma o esquema de Dinero electrnico o micropagos, pero eso no
sucedi, y este cdigo nunca se utiliz.
403 Prohibido
La solicitud fue legal, pero el servidor se rehsa a responderla. En contraste
a una respuesta 401 No autorizado, la autentificacin no hara la diferencia.
404 No encontrado
Recurso no encontrado. Se utiliza cuando el servidor web no encuentra la
pgina o recurso solicitado.
405 Mtodo no permitido
Una peticin fue hecha a una URI utilizando un mtodo de solicitud no
soportado por dicha URI; por ejemplo, cuando se utiliza GET en una forma
que requiere que los datos sean presentados va POST, o utilizando PUT en
un recurso de slo lectura.
406 No aceptable
407 Autenticacin Proxy requerida
408 Tiempo de espera agotado
El cliente fall al continuar la peticin - excepto durante la ejecucin de
videos Adobe Flash cuando solo significa que el usuario cerr la ventana de
video o se movi a otro. ref
409 Conflicto
410 Ya no disponible
Indica que el recurso solicitado ya no est disponible y no lo estar de
nuevo. Este cdigo debera ser utilizado cuando un recurso haya sido quitado
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 274 [Link]
intencionalmente; sin embargo, en la prctica, un cdigo 404 No encontrado
es expedido en su lugar.
411 Requiere longitud
412 Fall precondicin
413 Solicitud demasiado larga
414 URI demasiado larga
415 Tipo de medio no soportado
416 Rango solicitado no disponible
El cliente ha preguntado por una parte de un archivo, pero el servidor no
puede proporcionar esa parte, por ejemplo, si el cliente pregunt por una parte
de un archivo que est ms all de los lmites del fin del archivo.
417 Fall expectativa
421 Hay muchas conexiones desde esta direccin de Internet
422 Entidad no procesable (WebDAV - RFC 4918)
La solicitud est bien formada pero fue imposible seguirla debido a errores
semnticos.
423 Bloqueado (WebDAV - RFC 4918)
El recurso al que se est teniendo acceso est bloqueado.
424 Fall dependencia (WebDAV) (RFC 4918)
La solicitud fall debido a una falla en la solicitud previa.
425 Coleccin sin ordenar
Definido en los drafts de WebDav Advanced Collections, pero no est
presente en "Web Distributed Authoring and Versioning (WebDAV) Ordered
Collections Protocol" (RFC 3648).
426 Actualizacin requerida (RFC 2817)
El cliente debera cambiarse a TLS/1.0.
449 Reintente con
Una extensin de Microsoft: La peticin debera ser reintentada despus de
hacer la accin apropiada.
5xx Errores de servidor
El servidor fall al completar una solicitud aparentemente vlida.
Los cdigos de respuesta que comienzan con el dgito "5" indican casos en los cuales
el servidor tiene registrado an antes de servir la solicitud, que est errado o es
incapaz de ejecutar la peticin. Excepto cuando est respondiendo a un mtodo
HEAD, el servidor debe incluir una entidad que contenga una explicacin de la
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 275 [Link]
situacin de error, y si es una condicin temporal o permanente. Los agentes de
usuario deben desplegar cualquier entidad incluida al usuario. Estos cdigos de
repuesta son aplicables a cualquier mtodo de peticin.
500 Error interno
Es un cdigo comnmente emitido por aplicaciones empotradas en
servidores Web, mismas que generan contenido dinmicamente, por ejemplo
aplicaciones montadas en IIS o Tomcat, cuando se encuentran con situaciones
de error ajenas a la naturaleza del servidor Web.
501 No implementado
502 Pasarela incorrecta
503 Servicio no disponible
504 Tiempo de espera de la pasarela agotado
505 Versin de HTTP no soportada
506 Variante tambin negocia (RFC 2295)
507 Almacenamiento insuficiente (WebDAV - RFC 4918)
509 Lmite de ancho de banda excedido
Este cdigo de estatus, mientras que es utilizado por muchos servidores, no
es oficial.
510 No extendido (RFC 2774)
7.9.10. Comandos y encabezados HTML
Comandos
Comando Descripcin
GET Solicita el recurso ubicado en la URL especificada
HEAD Solicita el encabezado del recurso ubicado en la URL especificada
POST Enva datos al programa ubicado en la URL especificada
PUT Enva datos a la URL especificada
DELETE Borra el recurso ubicado en la URL especificada
Encabezados de peticin
Nombre del
encabezado
Descripcin
Accept
Tipo de contenido aceptado por el navegador (por ejemplo,
texto/html).
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 276 [Link]
Accept-Charset Juego de caracteres que el navegador espera
Accept-Encoding Codificacin de datos que el navegador acepta
Accept-Language Idioma que el navegador espera (de forma predeterminada, ingls)
Authorization Identificacin del navegador en el servidor
Content-Encoding Tipo de codificacin para el cuerpo de la solicitud
Content-
Language
Tipo de idioma en el cuerpo de la solicitud
Content-Length Extensin del cuerpo de la solicitud
Content-Type
Tipo de contenido del cuerpo de la solicitud (por ejemplo,
texto/html).
Date Fecha en que comienza la transferencia de datos
Forwarded
Utilizado por equipos intermediarios entre el navegador y el
servidor
From Permite especificar la direccin de correo electrnico del cliente
From
Permite especificar que debe enviarse el documento si ha sido
modificado desde una fecha en particular
Link Vnculo entre dos direcciones URL
Orig-URL Direccin URL donde se origin la solicitud
Referer Direccin URL desde la cual se realiz la solicitud
User-Agent
Cadena con informacin sobre el cliente, por ejemplo, el nombre y
la versin del navegador y el sistema operativo
Encabezados de respuesta
Nombre del
encabezado
Descripcin
Content-Encoding Tipo de codificacin para el cuerpo de la respuesta
Content-Language Tipo de idioma en el cuerpo de la respuesta
Content-Length Extensin del cuerpo de la respuesta
Content-Type
Tipo de contenido del cuerpo de la respuesta (por ejemplo,
texto/html).
Date Fecha en que comienza la transferencia de datos
Expires Fecha lmite de uso de los datos
Forwarded
Utilizado por equipos intermediarios entre el navegador y el
servidor
Location
Redireccionamiento a una nueva direccin URL asociada con
el documento
Server Caractersticas del servidor que envi la respuesta
7.9.11. CGI, ISAPI, NSAPI, Servlets y Cold Fusion:
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 277 [Link]
Toda aplicacin Web que posea cierto tipo de interaccin con el cliente debe acceder a las
funciones del servidor. En la actualidad existen dos interfaces que son las ms difundidas en el
mercado CGI (Common Gateway Interface) e ISAPI (Internet Server Application
Programming Interface).
CGI: Es un mtodo estndar de escribir programas para que funcionan en los servidores Web,
a estos programas se los suele llamar "Scripts CGI", los cuales por lo general toman sus datos de
entrada de formas HTML que les permiten luego ejecutar tareas particulares. Estos programas
ofrecen una gran facilidad de desarrollo y como la interfaz con el usuario es HTML, se pueden
acceder desde cualquier navegador. Cada llamada a ejecucin de un scripts consume tiempo de
CPU y recursos del servidor, por esta razn se debe prestar especial atencin a la simultaneidad
de las mismas.
ISAPI: En los casos donde prive la eficiencia, es una buena alternativa el empleo de esta
interfaz, pues a diferencia de la anterior, las aplicaciones que emplean ISAPI, se compilan
dentro de archivos DLL del servidor, siendo sensiblemente ms eficientes. Estos archivos son
el mtodo nativo del ambiente Windows. La desventaja aqu es que un colapso de DLL puede
provocar serios problemas en el servidor.
NSAPI: Es una versin de ISAPI desarrollada por Nestcape, la cual tambin trabaja con
sistemas Unix que soportan objetos compartidos.
Servlets: Se trata de componentes del lado del servidor, que son independientes de las
plataformas pues se ejecutan en una mquina virtual Java (JVM). Por ejecutarse dentro del
servidor, no necesitan una interfaz grfica de usuario, permitiendo una interaccin completa
entre los mismos (usuario y servidor). En el caso de los servlets de Java, estos ofrecen una
solucin para generar contenido dinmico, son objetos de programa que pueden cargarse en
dinmicamente en los servidores Web, ampliando su funcionalidad, desempendose mejor que
las CGI. Estos Servlets a su vez son muy seguros y pueden emplearse sobre protocolos de
seguridad como SSL.
Cold Fusion: Se trata de un producto que integra navegador, servidor y base de datos en
importantes aplicaciones Web. Posee una perfecta integracin con HTML, lo que lo convierte
en una excelente oferta.
7.9.12. Vulnerabilidades:
Uno de los principales agujeros de IIS (Internet Information Server) es debido a la
explotacin de ISAPI, si los programas de ISAPI se ejecutan bajo la cuenta
IUSR_MACHINENAME y se logra invertir la misma, se heredan los permisos de la
misma, a partir de aqu se puede ejecutar cualquier tipo de programas, incluso las
llamadas al sistema.
Autenticacin arbitraria de solicitudes remotas.
Autenticacin arbitraria de servidores Web.
Falta de privacidad de solicitudes y respuestas.
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 278 [Link]
Abusos de caractersticas y recursos del servidor.
Abuso sobre servidores que explotan sus errores y problemas de seguridad.
Abuso sobre la informacin de registro (Robo de direcciones, nombres de dominio,
archivos, etc.).
7.10. NetBIOS over TCP/IP (RFC 1001 y 1002).
NetBIOS es el protocolo nativo de Microsoft y sobre el cual se basan gran parte de las aplicaciones
que operan sobre los niveles de red para las arquitecturas de este fabricante. Inicialmente funcinaba
sin la necesidad del empleo de TCP/IP, pero justamente por prescindir de esta pila, se trataba de un
protocolo que generaba una gran cantidad de Broadcast innecesario. Con la inevitable conexin a
Internet de toda red de rea local, se hizo obligatorio el empleo este modelo de capas, y aparece as
esta nueva metodologa de empleo de NetBIOS sobre TCP/IP, pero manteniendo su estructura
particular de nombres, dominios y puertos, temas que se tratarn a continuacin.
7.10.1. Puertos.
En el caso de las redes Microsoft Windows, es comn el empleo del protocolo NetBIOS sobre
TCP (NetBT), el cual emplea los siguientes puertos:
UDP port 137 (name services)
UDP port 138 (datagram services)
TCP port 139 (session services)
TCP port 445 (Windows 2k en adelante)
7.10.2. mbito.
Una vez que un host ha inicializado su direccin IP en forma esttica o dinmica, el prximo
paso es registrar su nombre NetBIOS. Como ya se analiz, la direccin IP es considerada
como un nivel de red en el modelo de capas, se podra desarrollar perfectamente todo el trfico
de una red a travs del direccionamiento MAC e IP, pero cada usuario debera conocer esta
terminologa de cada recurso ofrecido, lo cual quizs sea ms eficiente pero muy poco prctico.
Para resolver esta situacin es que en redes Microsoft, se emplea el protocolo NetBIOS
(Servicio Bsico de Entradas y Salidas de red), su funcionamiento es similar al BIOS de una
PC, el cual hace de interfaz entre el Hardware de la PC y su sistema operativo; en este caso
hace la misma tarea pero entre el Hardware de red (Tarjeta de red) y el sistema operativo de
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 279 [Link]
red. Proporciona varios servicios de los cuales el que interesa en este anlisis es el Servicio de
Nombres, el cual permite identificar recursos o usuarios por medio de quince Byte, y reserva el
dcimo sexto para reconocer qu tipo de nombre representan los quince anteriores. El
protocolo NetBIOS trabaja en el nivel cinco del modelo OSI. Si recordamos que un nivel es
autrquico, no tiene forma de relacionarse la direccin IP con el Nombre Net BIOS.
Este protocolo se encuentra estandarizado por las RFC: 1001 y 1002. El acceso a este
protocolo lo controla la Interfaz TDI (Transport Driver Interface). Se define una interfaz de
software y una convencin de nombres, por lo tanto siendo rigurosos, en realidad no se trata de
un protocolo en si mismo. El concepto de NetBT nace de las primeras versiones de Microsoft,
que implementaban un protocolo llamado NetBEUI, el cual es muy gil, pero no ruteable, ante
lo cual se sustenta en base a Broadcast, este funcionamiento es inaceptable ante redes que por
su tamao comienzan a emplear switch, y por supuesto no lo soportan los routers. Para
mantener su estrategia de nombres es que en los entornos Windows de Microsoft se emplea hoy
NetBT. Al salir a Internet, este sistema de nombres pierde sentido, pues es reemplazado por
DNS, pero en los entornos locales resuelve los servicios de NT workstation, Server Service,
Browser, messenger y netlogon. Es por esta razn que su mbito est acotado a las redes LAN
y no tiene significado en Internet.
7.10.3. Esquema de nombres.
Este sistema de nombres es plano, es decir que todos los nombres de una red deben ser nicos.
Su longitud mxima es de 16 caracteres, quedando el ltimo de ellos reservado para identificar
el servicio, este ltimo carcter puede tomar los valores que se detallan a continuacin:
<computername>[00h] Workstation Service
<computername>[03h] Messenger Service
<computername>[06h] RAS Server Service
<computername>[1Fh] NetDDE Service
<computername>[20h] Server Service
<computername>[21h] RAS Client Service
<computername>[BEh] Network Monitor Agent
<computername>[BFh] Network Monitor Application
<username>[03] Messenger Service
<domain_name>[1Dh] Master Browser
<domain_name>[1Bh] Domain Master Browser
Group Names
<domain_name>[10h] Domain Name
<domain_name>[1Ch] Domain Controllers
Seguridad por Niveles
Alejandro Corletti Estrada Pgina 280 [Link]
<domain_name>[1Eh] Browser Service Elections
7.10.4. Protocolo nodo.
El mtodo de resolucin de estos nombres respecto de su direccin IP, depende de cmo sea
configurado. El sistema de resolucin se realiza a travs del llamado protocolo nodoy
ofrece las siguientes opciones:
nodo-B: emplea Broadcast para resolver el nombre.
nodo-P: emplea una comunicacin Punto a punto.
nodo-M: emplea primero nodo-B, y si no recibe respuesta usa nodo-P.
nodo-H: emplea primero nodo-P, y si no recibe respuesta usa nodo-B (caso tpico
WINS:Windows Internet Name Service).
Un servidor DNS puede ser configurado con un registro especial (Adicionado puntualmente
como una zona DNS), que le instruye para que pase al servidor WINS todo nombre que no
encuentre en su base de datos.
7.10.5. WINS (Windows Internet Name Services).
Para poder establecer una relacin entre estos niveles, es que debe existir una tabla de entradas
y salidas, que establezca una correspondencia entre ellos. Esta tabla, nuevamente puede ser
esttica o dinmica. Inicialmente se operaba estticamente por medio de un archivo llamado
[Link], el cual se instalaba en cada equipo de la red, y deba ser actualizado
permanentemente en cada cambio en todos los equipos. En la actualidad existen servicios que
en forma dinmica van llevando esta relacin, en el entorno Microsoft se llama Servicio WINS
(Windows Internet Name Service). Este servicio se instala en uno o varios servidores, y
automticamente actualiza las tablas; al comunicarse un host con otro por medio de un nombre
NetBIOS, este previamente solicita su direccin IP al servidor WINS, el cual se lo proporciona
como se ver a continuacin.
a. Trama de Solicitud de registro de nombre: Al iniciar cualquier ETD, necesita registrar
su nombre en el servidor por medio de esta trama que ocupa 110 Byte y es dirigida a la
direccin IP del servidor.
b. Trama de respuesta: El servidor WINS responder con un mensaje satisfactorio o de
error en forma dirigida. Este mensaje ocupar 104 Byte. Si el nombre es nic