1.

1 Fundamentos de la red
Antes de profundizar en cómo proteger una red, explorar lo que son las redes, probablemente sería una
buena idea.

Para muchos de ustedes esta sección será una revisión, pero para algunos podría ser material nuevo. Si
se trata de una revisión para usted, o nueva información, tener una comprensión completa de las redes
básicas antes de intentar estudiar la seguridad de la red es fundamental.

Además, tenga en cuenta que esto es sólo una breve introducción de los conceptos básicos de la red.

Una red es simplemente una forma de que las máquinas / computadoras

se comuniquen.

A nivel físico, consta de todas las máquinas que desea conectar y los dispositivos que utiliza para
conectarlos. Las máquinas individuales están conectadas con una conexión física (un cable de categoría
5 que entra en una tarjeta de interfaz de red o NIC) o de forma inalámbrica. Para conectar varias
máquinas juntas, cada máquina debe conectarse a un concentrador o conmutador y, a continuación,
esos concentradores / conmutadores deben conectarse entre sí. En redes más grandes, cada subred
está conectada a las demás por un router.

1.1.1 Estructura básica de la red

Algunos puntos de conexión deben existir entre la red y el mundo exterior. Se establece una barrera
entre esa red e Internet, por lo general en forma de firewall. La verdadera esencia de las redes es la
comunicación que permite a una máquina comunicarse con otra.
Sin embargo, cada camino de comunicación también es una posibilidad de un ataque.

El primer paso para entender cómo defender una red, es tener una comprensión detallada de cómo los
equipos se comunican a través de una red. Las tarjetas de interfaz de red, conmutadores, enrutadores,
concentradores y firewalls son las piezas físicas fundamentales de una red. La forma en que están
conectados y el formato que utilizan para la comunicación es la arquitectura de red.

1.1.2 Paquetes de datos

Después de haber establecido una conexión con la red (ya sea física o inalámbrica), debe enviar datos.
La primera parte es identificar dónde desea enviarlo. Todos los equipos (así como los routers y los
switches), tienen una dirección IP que es una serie de cuatro números entre 0 y 255 y está separado por
puntos, como [Link].

La segunda parte es formatear los datos para la transmisión. Todos los datos están en forma binaria (1s
y 0s). Estos datos binarios se colocan en paquetes, todos menos de unos 65.000 bytes. Los primeros
bytes son el encabezado. Ese encabezado dice a dónde va el paquete, de dónde vino, y cuántos
paquetes más están viniendo como parte de esta transmisión. En realidad, hay más de un encabezado,
pero por ahora, solo discutiremos el encabezado como una sola entidad. Algunos ataques (suplantación
de IP, por ejemplo) intentan cambiar el encabezado de los paquetes para dar la información falsa. Otros
métodos de ataques simplemente intentan interceptar paquetes y leer el contenido (comprometiendo
así los datos).

Un paquete puede tener varios encabezados. De hecho, la mayoría de los paquetes tendrán al menos
tres encabezados. El encabezado IP tiene información tales como direcciones IP para la fuente y el
destino, así como qué protocolo es el paquete. El encabezado TCP tiene información como el número de
puerto. El encabezado Ethernet tiene información tal como la dirección MAC para la fuente y el destino.
Si un paquete se cifra con Transport Layer Security (TLS), también tendrá un encabezado TLS.

1.1.3 Direcciones IP
El primer problema importante para entender es cómo enviar los paquetes a su destino. Incluso las
redes pequeñas tienen muchos equipos que potencialmente podrían ser el destino final de cualquier
paquete enviado. Internet tiene millones de computadoras repartidas por todo el mundo. ¿Cómo se
asegura de que un paquete llegue a su destino adecuado? El problema no es diferente de abordar una
carta y asegurarse de que llega al destino correcto. Comencemos por mirar el direccionamiento de la
versión 4 de IP porque es el más común en uso hoy en día. Esta sección también discute brevemente la
versión 6 de IP.

Una dirección IP versión 4 es una serie de cuatro números de tres dígitos separados por puntos (un
ejemplo es [Link].) Cada uno de los números de tres dígitos debe estar entre 0 y 255. Una
dirección de [Link] no sería válida. La razón de esta regla es que estas direcciones son en
realidad cuatro números binarios: el equipo simplemente se las muestra en formato decimal.

Table 1-1 IP version 4 Address

Recuerde que 1 byte es 8 bits (1s y 0s), y un número binario de 8 bits convertido a formato decimal
estará entre 0 y 255. El total de 32 bits significa que existen aproximadamente 4.200 millones de
direcciones posibles de la versión 4 de IP.

Table 1-2 Decimal-to-Binary Conversion Example

La dirección IP de un ordenador te dice mucho sobre esa computadora. El primer byte (o el primer
número decimal) de una dirección revela a qué clase de red pertenece esa máquina. El Cuadro 1-3
resume las cinco clases de red.

Table 1-3 Cinco clases de red

Clase IP Range Uso
A 0-126 Se utiliza para redes grandes. Todos ellos han sido utilizados

B 128-191 Grandes redes corporativas y gubernamentales. Todos ellos han sido

utilizados

C 192-223 Grupo más común de direcciones IP.

D 224-247 Reservado para multidifusión

E 248-255 Reservado para uso experimental.

El rango IP de 127 no aparece en la tabla anterior. La dirección IP [Link] designa la máquina en la que
se encuentra, independientemente de la dirección IP asignada a su máquina. Esta dirección se refiere
como la dirección de bucle detrás de la página. Esa dirección se utiliza para probar la máquina y la
tarjeta NIC.

Estas clases particulares son importantes ya que le indican qué parte de la dirección representa la red y
qué parte representa el nodo. Por ejemplo, en una dirección de clase A, el primer octeto representa la
red y los tres restantes representan el nodo. En una dirección de clase B, los dos primeros octetos
representan la red y los dos segundos representan el nodo. Y finalmente, en una dirección de clase C, los
tres primeros octetos representan la red y el último representa el nodo. También hay algunas
direcciones IP muy específicas y rangos de direcciones IP que debe tener en cuenta.

El primero, como se mencionó anteriormente, es [Link], o el loopback Address. Es otra forma de

hacer referencia a la tarjeta de interfaz de red de la máquina en la que se encuentra. Las direcciones IP
privadas son otro problema a tener en cuenta. Se han designado ciertos rangos de direcciones IP para su
uso dentro de las redes.

Estos no se pueden utilizar como direcciones IP públicas, pero se pueden utilizar para Estaciones de
trabajo y servidores. Esas direcciones IP son:

 [Link] to [Link]
 [Link] to [Link]
 [Link] to [Link]

A veces, las personas que son nuevas en las redes, tienen algunos problemas para entender las
direcciones IP públicas y privadas. Un buen ejemplo es un edificio de oficinas. Dentro de un único
edificio de oficinas, cada número de oficina debe ser único. Sólo puedes tener un 101. Y dentro de ese
edificio, si se refiere a la oficina 101 es inmediatamente claro lo que está hablando.
Pero hay otros edificios de oficinas, muchos de los cuales tienen su propia oficina 101. Puede pensar en
direcciones IP privadas como números de oficina. Deben ser únicos dentro de su red, pero puede haber
otras redes con la misma IP privada. Las direcciones IP públicas se parecen más a las direcciones de
correo tradicionales. Esos deben ser únicos en todo el mundo.

Al comunicarse de oficina en oficina puede usar el número de oficina, pero para obtener una carta a
otro edificio que tiene que utilizar la dirección de correo completo. Es muy parecido con las redes.
Puede comunicarse dentro de su red utilizando direcciones IP privadas, pero para comunicarse con
cualquier equipo fuera de su red, debe utilizar direcciones IP públicas.
Uno de los roles de un router de puerta de enlace es realizar lo que se llama traducción de direcciones
de red (NAT). Usando NAT, un router toma la dirección IP privada en los paquetes salientes y la
reemplaza con la dirección IP pública del router de gateway para que el paquete se pueda rutear a
través de Internet.

Ya hemos discutido las direcciones de red IP versión 4. Ahora vamos a dirigir nuestra atención a las
subredes. Las subredes simplemente están dividiendo una red en porciones más pequeñas. Por ejemplo,
si tiene una red que utiliza la dirección IP 192.168.1.X (X es cual sea la dirección que sea para el equipo
específico), ha asignado 255 direcciones IP posibles. ¿Qué pasa si desea dividir eso en dos subredes
separadas? Subredes es cómo se hace eso.

Más técnicamente, la máscara de subred es un número de 32 bits que se asigna a cada host para dividir
la dirección IP binaria de 32 bits en partes de red y nodo. Tampoco puedes simplemente poner cualquier
número que quieras. El primer valor de una máscara de subred debe ser 255; los tres valores restantes
pueden ser 255, 254, 252, 248, 240, 224 o 128. El equipo tomará la dirección IP de red y la máscara de
subred y usará una operación AND binaria para combinarlas.
Puede sorprenderle saber que ya tiene una máscara de subred incluso si no ha utilizado subredes. Si
tiene una dirección IP de clase C, la máscara de subred de red es [Link]. Si tiene una dirección IP
de clase B, la máscara de subred es [Link]. Y finalmente, si es Clase A, la máscara de subred es
[Link].

Ahora piense en estos números en relación con los números binarios. El valor decimal 255 se convierte
en 11111111 en binario. Así que usted está literalmente "enmascarando" la porción de la dirección de
red que se utiliza para definir la red, y la porción restante se utiliza para definir los nodos individuales.
Ahora, si desea menos de 255 nodos en la subred, necesita algo como [Link] para la subred.
Si convierte 240 a binario, es 11110000. Eso significa que los tres primeros octetos y los primeros 4 bits
del último octeto definen la red. Los últimos 4 bits del último octeto definen el nodo. Esto significa que
podría tener hasta 1111 (en binario) o 15 (en decimal) nodos en esta subred. Esta es la esencia básica de
las subredes.
Las subredes solo le permiten utilizar determinadas subredes limitadas. Otro enfoque es CIDR, o
enrutamiento entre dominios sin clases. En su lugar, para definir una máscara de subred, tiene la
dirección IP seguida de una barra diagonal y un número. Ese número puede ser cualquier número entre
0 y 32, que da lugar a direcciones IP como estas:

 [Link]/24 (básicamente una dirección IP de clase C)

 [Link]/31 (al igual que una dirección IP de clase C con una máscara de subred)
Cuando se utiliza esto, en lugar de tener clases con subredes, tiene el enmascaramiento de subred de
longitud variable (VLSM) que proporciona direcciones IP sin clase. Esta es la forma más común de definir
las direcciones IP de red hoy en día.

No debe preocuparse de que probable que las nuevas direcciones IP se agoten pronto. El estándar IP
versión 6 ya está disponible y ya existen métodos para ampliar el uso de direcciones IPv4. Las
direcciones IP vienen en dos grupos: público y privado.

Las direcciones IP públicas son para equipos conectados a Internet. No hay dos direcciones IP públicas
que puedan ser iguales. Sin embargo, una dirección IP privada, como una en una red de empresa
privada, tiene que ser única solo en esa red. No importa si otros ordenadores en el mundo tienen la
misma dirección IP, porque este equipo nunca está conectado a esos otros ordenadores en todo el
mundo.
Los administradores de red suelen utilizar direcciones IP privadas que comienzan con un 10, como
[Link]. Las otras direcciones IP privadas son [Link]–[Link] y [Link]–
[Link].

Además, tenga en cuenta que un ISP a menudo comprará un grupo de direcciones IP públicas y se las
asignará cuando inicie sesión. Por lo tanto, un ISP puede poseer 1.000 direcciones IP públicas y tener
10.000 clientes. Debido a que los 10.000 clientes no estarán en línea al mismo tiempo, el ISP
simplemente asigna una dirección IP a un cliente cuando inicia sesión, y el ISP anula la asignación de la
dirección IP cuando el cliente cierra la sesión.

El IPv6 utiliza una dirección de 128 bits (en vez de 32) y utiliza un método de numeración hexadecimal
para evitar direcciones largas como [Link].[Link].[Link].[Link].
El formato de dirección hexadecimal aparece en forma de [Link], por ejemplo. Esto le da
2128 direcciones posibles (muchos billones de direcciones), por lo que no existe ninguna posibilidad de
quedarse sin direcciones IP en un futuro próximo.

No hay subredes en IPv6. En su lugar, solo utiliza CIDR. La parte de la red se indica mediante una barra
diagonal seguida del número de bits en la dirección que se asignan a la parte de red, como
 /48
 /64

Hay una dirección de bucle de vuelta para IPv6, y se puede escribir como ::/128.
Otras diferencias entre IPv4 e IPv6 se describen aquí:

 Enlace/máquina-local.
 Versión IPv6 de APIPA o Dirección IP privada automática de IPv4. Por lo tanto, si la máquina está
configurada para direcciones asignadas dinámicamente y no puede comunicarse con un servidor
DHCP, se asigna a sí misma una dirección IP genérica. DHCP, o Protocolo de configuración
dinámica de host, se utiliza para asignar dinámicamente direcciones IP dentro de una red.
 Las direcciones IP iPv6 link/machine-local comienzan con fe80::. Así que si su ordenador tiene esta
dirección, eso significa que no pudo llegar a un servidor DHCP y por lo tanto compuso su propia
dirección IP genérica.
  Sitio/red local.
 Versión IPv6 de la dirección privada IPv4. En otras palabras, estas son direcciones IP reales, pero
solo funcionan en esta red local. No son enrutables en Internet.
 Todas las direcciones IP locales del sitio/de la red comienzan con FE y tienen C a F para el tercer
dígito hexadecimal: FEC, FED, FEE o FEF.
 DHCPv6 utiliza el indicador de configuración de dirección administrada (marca M).
 Cuando se establece en 1, el dispositivo debe utilizar DHCPv6 para obtener una dirección IPv6 con
estado.
 Otro indicador de configuración con estado (marca O).
 Cuando se establece en 1, el dispositivo debe utilizar DHCPv6 para obtener otros valores de
configuración de TCP/IP. En otras palabras, debe utilizar el servidor DHCP para establecer cosas
como la dirección IP de la puerta de enlace y los servidores DNS.

1.1.4 Localizador uniforme de recursos (URL)

Para la mayoría de las personas, el propósito principal para entrar en Internet son las páginas web (pero
hay otras cosas como el correo electrónico y la descarga de archivos). Si tuviera que recordar las
direcciones IP y escribirlas, entonces navegar por la red sería difícil. Afortunadamente, no tienes que
hacerlo. Escriba nombres de dominio que tengan sentido para los seres humanos y que se traduzcan en
direcciones IP. Por ejemplo, puede escribir [Link] para ir al sitio web de Microsoft.

El equipo, o el ISP, deben traducir el nombre que escribió (denominado Localizador uniforme de
recursos o URL) en una dirección IP. El protocolo DNS (Domain Name Service), que se introduce junto
con otros protocolos un poco más tarde, controla este proceso de traducción. Por lo tanto, está
escribiendo un nombre que tiene sentido para los seres humanos, pero su equipo está utilizando una
dirección IP correspondiente para conectarse. Si se encuentra esa dirección, el explorador envía un
paquete (mediante el protocolo HTTP) al puerto TCP 80. Si ese equipo de destino tiene software que
escucha y responde a dichas solicitudes (como el software de servidor web como Apache o Microsoft
Internet Information Services), el equipo de destino responderá a la solicitud y se establecerá la
comunicación de su navegador.

Este método es cómo se ven las páginas web. Si alguna vez ha recibido un error 404: Archivo no
encontrado, lo que está viendo es que su navegador recibió un paquete (del servidor web) con el código
de error 404, designando que no se pudo encontrar la página web que solicitó. El servidor web puede
devolver una serie de mensajes de error a su navegador web, indicando diferentes situaciones.

El correo electrónico funciona de la misma manera que visitar sitios web. Su cliente de correo
electrónico buscará la dirección de su servidor de correo electrónico. A continuación, el cliente de
correo electrónico utilizará POP3 para recuperar el correo electrónico entrante o SMTP para enviar el
correo electrónico saliente. Su servidor de correo electrónico (probablemente en su ISP o su empresa)
intentará resolver la dirección a la que está enviando. Si envía algo a johndoe@[Link], su servidor
de correo electrónico traducirá esa dirección de correo electrónico en una dirección IP para el servidor
de correo electrónico en [Link], y luego su servidor enviará su correo electrónico allí. Tenga en
cuenta que los protocolos de correo electrónico más recientes están por ahí; sin embargo, POP3 sigue
siendo el más utilizado.
IMAP es ahora ampliamente utilizado, así. El protocolo de acceso a mensajes de Internet funciona en el
puerto 143. La principal ventaja de IMAP sobre POP3 es que permite al cliente descargar sólo los
encabezados de correo electrónico, y luego el usuario puede elegir qué mensajes para descargar
completamente. Esto es particularmente útil para teléfonos inteligentes.

1.1.5 Direcciones MAC

Las direcciones MAC son un tema interesante. Una dirección MAC es una dirección única para una
tarjeta de interfaz de red (NIC). Cada NIC del mundo tiene una dirección única representada por un
número hexadecimal de seis bytes. El Address Resolution Protocol (ARP) se utiliza para convertir los IP
Addresses a las direcciones MAC. Por lo tanto, cuando escribe una dirección web, el protocolo DNS se
utiliza para traducir eso en una dirección IP. El protocolo ARP entonces traduce esa dirección IP en una
dirección MAC específica de una NIC individual.

IEEE asigna los primeros tres bytes (24 bits) de la dirección MAC a un proveedor. Esta parte de la
dirección se conoce como identificador único organizacional (OUI). La OUI ayuda a los profesionales a
determinar el fabricante de la dirección MAC. Los tres bytes restantes (24 bits) son asignados por el
proveedor. La dirección MAC es igual a 48 bits.

1.1.6 Protocolos
Existen diferentes tipos de comunicaciones para diferentes propósitos. Los diferentes tipos de
comunicaciones de red se denominan protocolos. Un protocolo es, esencialmente, un método de
comunicación acordado. De hecho, esta definición es exactamente cómo se utiliza la palabra protocolo
en el uso estándar, no del equipo. Cada protocolo tiene un propósito específico y funciona normalmente
en un determinado puerto. La siguiente tabla enumera algunos de los protocolos más importantes.

Protocol Purpose Port

FTP (File Transfer Para transferir archivos entre ordenadores 20,21
Protocol)
SSH (Secure Shell) Una forma segura de transferir archivos e iniciar sesión 22
de forma remota en un sistema

Telnet Inicie sesión de forma remota en un sistema 23

SMTP (Simple Mail Para enviar correos electrónicos 25
Transfer Protocol)
WhoIS Un comando para consultar un destino para obtener 43
información

DNS (Domain Para traducir direcciones URL a direcciones IP 53

Name Service)
TFTP (Trivial File Servidor FTP rápido pero menos fiable 69
Transfer Protocol)
HTTP (Hypertext Para mostrar páginas web 80
Transfer Protocol)
POP3 (Post Office Recupera el correo electrónico 110
Protocol v3)
NNTP (Network Se utiliza para el grupo de noticias de la red 119
News Transfer
Protocol)
NetBIOS Un antiguo protocolo de Microsoft para nombrar 137,138,139
sistemas en una red local

IRC (Internet Relay Sala de chat 194

Chat)
HTTPS (Secure HTTP cifrado (SSL/TLS) 443
Hypertext Transfer
Protocol)
SMB (Server Utilizado por Microsoft Active Directory 445
message Block)
ICMP (Internet Paquetes simples que contienen mensajes de error, No specific
Control Message mensajes informativos y de control port
Protocol)

Debe tener en cuenta que esta lista no está completa y existen cientos de otros protocolos. Todos estos
protocolos forman parte de un conjunto de protocolos denominados TCP/IP (Protocolo de control de
transmisión/Protocolo de Internet).

Lo más importante para que usted se dé cuenta es que la comunicación en las redes tiene lugar vía los
paquetes, y esos paquetes se transmiten de acuerdo con ciertos protocolos, dependiendo del tipo de
comunicación que esté ocurriendo. Te estarás preguntando qué es un puerto. No confunda este tipo de
puerto con las conexiones de la parte posterior del equipo, como un puerto serie o un puerto paralelo.
Un puerto en términos de red es un identificador, un punto de conexión. Es una designación numérica
para una vía particular de comunicación. Toda la comunicación de red, independientemente del puerto
utilizado, entra en el equipo a través de la conexión en su NIC. Podrías pensar en un puerto como un
canal en tu TV. Probablemente tenga un cable en trando en su televisor, pero puede ver muchos
canales. Tiene un cable entrando en su computadora, pero puede comunicarse en muchos puertos
diferentes.
1.4 Utilidades básicas de la red
Ahora que sabe qué son las direcciones IP y las direcciones URL, debe estar familiarizado con algunas
utilidades de red básicas. Puede ejecutar algunas utilidades de red desde un símbolo del sistema
(Windows) o desde un shell (Unix/Linux). Muchas personas ya están familiarizadas con Windows, por lo
que nos centraremos en cómo ejecutar los comandos desde la perspectiva del símbolo del sistema de
Windows. Sin embargo, estas utilidades están disponibles en todos los sistemas operativos.

1.4.1 Ipconfig
Lo primero que quieres hacer es obtener información sobre tu propio sistema. Para lograr esto, debe
obtener un símbolo del sistema. Para ello, vaya al menú Inicio, seleccione Todos los programas y, a
continuación, elija Accesorios. También puede ir a Inicio, Ejecutar y escribir cmd para obtener un
símbolo del sistema. En Windows 10 vaya a Buscar y escriba cmd. Ahora puede escribir ipconfig. (Puede
introducir el mismo comando en UNIX o Linux escribiendo ipconfig desde el shell.) Después de escribir
en ipconfig (ifconfig en Linux), debería ver algo muy parecido a la siguiente captura de pantalla.

Este comando le proporciona información sobre su conexión a una red (o a Internet). Lo más importante
es que descubra su propia dirección IP. El comando también tiene la dirección IP de la puerta de enlace
predeterminada, que es su conexión con el mundo exterior. Ejecutar el comando ipconfig es un primer
paso para determinar la configuración de red del sistema. La mayoría de los comandos que incluyen
ipconfig tienen una serie de parámetros, o marcas, que se pueden pasar a los comandos para hacer que
el equipo se comporte de una determinada manera. Puede averiguar cuáles son estos comandos
escribiendo en el comando, seguido de un espacio, y luego escribiendo en el signo de interrogación de
guión: -?.

Como puede ver, puede usar una serie de opciones para averiguar diferentes detalles sobre la
configuración de su equipo. El método más utilizado probablemente sería ipconfig/all.
1.4.2 Ping
Otro comando usado común es ping. El ping se utiliza para enviar un paquete de prueba, o paquete de
eco, a una máquina para averiguar si la máquina es accesible y cuánto tiempo tarda el paquete en
alcanzar la máquina. Esta útil herramienta de diagnóstico se puede emplear en técnicas de hacking
elementales. El cuadro 1-3 muestra el comando.

El comando antedicho muestra que un paquete de eco de 32 bytes fue enviado al destino y devuelto. El
TTL significa "tiempo de vida". Esa unidad de tiempo es cuántos pasos intermedios, o saltos, el paquete
debe tomar al destino antes de renunciar. Recuerde que Internet es un vasto conglomerado de redes
interconectadas. Su paquete probablemente no irá directamente a su destino. Tendrá que tomar varios
saltos para llegar allí. Al igual que con ipconfig, puede escribir ping -? para encontrar varias maneras en
las que puede refinar su ping.
1.4.3 Tracert
El siguiente comando es tracert. Este comando es una especie de "ping deluxe." Tracert no sólo le dice si
el paquete llegó allí y cuánto tiempo tomó, sino que también le dice todos los saltos intermedios que
tomó llegar allí. (Este mismo comando se puede ejecutar en Linux o UNIX, pero se llama traceroute en
lugar de tracert.).
Con tracert, puede ver (en milisegundos) el tiempo que las direcciones IP de cada paso intermedio
enumerado y el tiempo que se tardó en llegar a ese paso. Conocer los pasos necesarios para llegar a un
destino puede ser muy importante.
1.4.4 Netstat
Netstat es otro comando interesante. Es una abreviatura de Network Status (Estado de red).
Esencialmente, este comando le indica qué conexiones tiene actualmente su equipo. No se asuste si ve
varias conexiones; eso no significa que un hacker está en su computadora. Verá muchas direcciones IP
privadas. Esto significa que su red tiene comunicación interna en marcha.

Ciertamente, otras utilidades se pueden utilizar cuando se trabaja con comunicaciones de red. Sin
embargo, los cuatro que acabamos de examinar son las utilidades principales. Estos cuatro (ipconfig,
ping, tracert y netstat) son absolutamente esenciales para cualquier administrador de red.
1.6 El modelo OSI
El modelo de interconexión de sistemas abiertos (OSI) describe cómo se comunican las redes (véase el
Cuadro). Describe los diversos protocolos y actividades y establece cómo los protocolos y las actividades
se relacionan entre sí. Este modelo se divide en siete capas. Fue desarrollado originalmente por la
Organización Internacional de Normalización (ISO) en la década de 1980.

Layer Description Protocols

Application (7) Esta capa interactúa directamente con las POP, SMTP, DNS,
aplicaciones y realiza servicios de aplicaciones
FTP, Telnet, HTTP
comunes para los procesos de aplicación

Presentation Alivia la capa de aplicación de preocupación con Network Data

respecto a las diferencias sintácticas en la
(6) Representation
representación de datos dentro de los sistemas de
(NDR), Lightweight
 usuario final. Presentation
Protocol (LPP)
Session (5) Proporciona el mecanismo para administrar el NetBIOS
diálogo entre los procesos de aplicación del usuario
final

Transport (4) Proporciona control de comunicación de extremo a TCP,UDP

extremo

Network (3) Routes information in the network IP,ARP,ICMP

Data Link (2) Describe la organización lógica de los bits de datos SLIP, PPP
transmitidos en un medio determinado. La capa del
link de datos se divide en dos subcapas: la capa de
control de acceso a medios (MAC) y la capa de
control de enlace lógico (LLC)

Physical (1) Describe las propiedades físicas de varios medios IEEE 1394, DSL,
de comunicación, así como las propiedades
ISDN
eléctricas y la interpretación de las señales
intercambiadas. La capa física es la NIC real y el
cable Ethernet.

1.7 Clasificación de amenazas

Su red ciertamente se enfrenta a amenazas de seguridad reales, y estas amenazas pueden manifestarse
en una variedad de formas. Hay diferentes maneras en que uno podría elegir clasificar las diversas
amenazas a su sistema. Podrías elegir clasificarlos por el daño causado, el nivel de habilidad necesario
para ejecutar el ataque, o tal vez incluso por la motivación detrás del ataque. Para nuestros propósitos
categorizamos los ataques por lo que realmente hacen. Basado en esa filosofía, la mayoría de los
ataques se pueden clasificar como una de las tres clases generales:
• Intrusión
• Bloqueo
• Malware

La categoría de intrusión incluye ataques destinados a violar la seguridad y obtener acceso no

autorizado a un sistema. Este grupo de ataques incluye cualquier intento de obtener acceso no
autorizado a un sistema. Esto es generalmente, lo que hacen los hackers. La segunda categoría de
ataque, el bloqueo, incluye ataques diseñados para impedir el acceso legítimo a un sistema. Los ataques
de bloqueo a menudo se denominan ataques de denegación de servicio (o simplemente DoS). En estos
tipos de ataques, el propósito no es realmente entrar en su sistema, sino simplemente bloquear a los
usuarios legítimos de obtener acceso. La tercera categoría de amenazas es la instalación de malware en
un sistema. Malware es un término genérico para el software que tiene un propósito malicioso. Incluye
ataques de virus, troyanos y spyware.
1.7.1 Malware
El malware es probablemente la amenaza más común para cualquier sistema, incluidos los sistemas de
los usuarios domésticos, las redes pequeñas y las grandes redes de área amplia de las empresas. Una
razón es que el malware está diseñado para propagarse por sí mismo, sin que el creador del malware
tenga que estar directamente involucrado. Esto hace que el ataque de malware mucho más fácil de
propagar a través de Internet, y por lo tanto más extendida.

El ejemplo más obvio de malware es el virus informático. Probablemente tengas una idea general de lo
que es un virus. Si consulta diferentes libros de texto, probablemente verá la definición de un virus
redactado de forma ligeramente diferente. Una definición de un virus es "un programa que puede
'infectar' otros programas modificándolos para incluir una copia posiblemente evolucionada de sí
mismo". Un virus informático es análogo a un virus biológico en el que se replican y se propagan. El
método más común para la propagación de un virus es el uso de la cuenta de correo electrónico de la
víctima para propagar el virus a todos en su libreta de direcciones. Algunos virus en realidad no dañan el
sistema en sí, pero todos ellos causan ralentizaciones de red o apagados debido al tráfico de red pesado
causado por la replicación de virus.

Otro tipo de malware, a menudo estrechamente relacionado con el virus, es el caballo de Troya. El
término se toma prestado de la historia antigua. En esta historia, la ciudad de Troya fue sitiada durante
un largo período de tiempo, pero los atacantes no pudieron entrar. Construyeron un enorme caballo de
madera y lo dejaron una noche frente a las puertas de Troya. A la mañana siguiente, los residentes de
Troya vieron el caballo y lo asumieron un regalo, consecuentemente rodando el caballo de madera en la
ciudad. Sin saberlo, varios soldados estaban escondidos dentro del caballo. Esa noche, los soldados
abandonaron el caballo, abrieron las puertas de la ciudad y dejaron entrar a sus compañeros atacantes
en la ciudad.

Un caballo de Troya electrónico funciona de la misma manera, que parece ser un software benigno,
pero descargando en secreto un virus o algún otro tipo de malware en su ordenador. En resumen, tienes
un regalo tentador que instalas en tu ordenador, y luego descubres que ha desatado algo muy diferente
de lo que esperabas. Es un hecho que los caballos de Troya son más propensos a ser encontrados en el
software ilegítimo. Hay muchos lugares en Internet para obtener copias pirateadas de software
comercial. Encontrar que este tipo de software es en realidad parte de un caballo de Troya no es en
absoluto infrecuente.
Los caballos de Troya y los virus son las dos formas más ampliamente encontradas de malware. Una
tercera categoría de malware es el spyware, que está aumentando a un ritmo dramático. Spyware es un
software que literalmente espía spies en lo que haces en tu computadora. Esto puede ser tan simple
como una cookie, un archivo de texto que su navegador crea y almacena en su disco duro.

Las cookies se descargan en su máquina por los sitios web que visita. Este archivo de texto se utiliza para
reconocerle cuando vuelve al mismo sitio. Ese archivo puede permitirle acceder a las páginas más
rápidamente y evitar que tenga que introducir su información varias veces en las páginas que visita con
frecuencia. Sin embargo, para ello, ese archivo debe ser leído por el sitio web; esto significa que también
puede ser leído por otros sitios web. Cualquier dato que guarde el archivo puede ser recuperado por
cualquier sitio web, por lo que todo su historial de navegación por Internet puede ser rastreado.

Otra forma de spyware, llamada registrador de teclas(keylogger), registra todas sus pulsaciones de
teclas. Algunos también toman capturas de pantalla periódicas de su computadora. A continuación, los
datos se almacenan para su recuperación posterior por la parte que instaló el registrador de claves o se
devuelve inmediatamente por correo electrónico. En cualquier caso, todo lo que haces en tu ordenador
se graba para el interesado.

1.7.2 Intrusiones
Las intrusiones son aquellos ataques que en realidad están tratando de invadir el sistema. Son diferentes
de los ataques que simplemente niegan a los usuarios el acceso al sistema (bloqueo), o los ataques que
no se centran en un objetivo en particular, como virus y gusanos (malware). Los ataques de intrusión
están diseñados para obtener acceso a un sistema específico dirigido y comúnmente se conocen como
piratería, aunque ese no es el término que utilizan los hackers. Los hackers llaman a este tipo de ataque
cracking, lo que significa inmiscuirse en un sistema sin permiso, por lo general con intención maliciosa.
Cualquier ataque diseñado para romper la seguridad, ya sea a través de algún defecto del sistema
operativo o cualquier otro medio, se puede clasificar como cracking (agrietamiento).

El uso de vulnerabilidad o configuraciones por defectos de seguridad no es el único método para

inmiscuirse en un sistema. De hecho, algunos métodos pueden ser tecnológicamente mucho más fáciles
de ejecutar. Por ejemplo, un método completamente no basado tecnológicamente para violar la
seguridad de un sistema se llama ingeniería social, que, como su nombre indica, se basa más en la
naturaleza humana que en la tecnología. Este fue el tipo de ataque que el famoso hacker Kevin Mitnick
más utilizado. La ingeniería social utiliza técnicas para conseguir que los usuarios ofrezcan la información
necesaria para obtener acceso a un sistema objetivo. La forma en que funciona este método es bastante
simple.

El autor obtiene información preliminar sobre una organización objetivo, como el nombre de su
administrador del sistema, y la aprovecha para obtener información adicional de los usuarios del
sistema. Por ejemplo, podría llamar a alguien en contabilidad y afirmar que es uno de los técnicos de la
empresa. El intruso podría usar el nombre del administrador del sistema para validar esa notificación. A
continuación, podría hacer varias preguntas para aprender detalles adicionales sobre las
especificaciones del sistema. Un intruso bien informado podría incluso conseguir que una persona
proporcione un nombre de usuario y una contraseña. Como se puede ver, este método se basa en lo
bien que el intruso puede manipular a las personas y en realidad tiene poco que ver con las habilidades
informáticas.

La ingeniería social y la explotación de las configuraciones por defectos de software no son el único
medio de ejecutar un ataque de intrusión. La creciente popularidad de las redes inalámbricas da lugar a
nuevos tipos de ataques. La actividad más obvia y peligrosa es la conducción de guerra. Este tipo de
ataque es una rama del tráfico de guerra. Con el trato de guerra, un hacker configura una computadora
para llamar a los números de teléfono en secuencia hasta que otro equipo responde para tratar de
entrar en su sistema. La conducción de guerra, utilizando el mismo concepto, se aplica a la localización
de redes inalámbricas vulnerables. En este escenario, un hacker simplemente conduce alrededor
tratando de localizar redes inalámbricas. Muchas personas olvidan que su señal de red inalámbrica a
menudo se extiende hasta 100 pies (por lo tanto, paredes pasadas). En DEFCON 2003, la convención
anual de hackers, los concursantes participaron en un concurso de conducción de guerra en el que
condujeron por la ciudad tratando de localizar tantas redes inalámbricas vulnerables como pudieran.

1.7.3 Denegación de servicio

La tercera categoría es el ataque por bloqueo, un ejemplo de los cuales es el ataque de denegación de
servicio (DoS). En este ataque, el atacante no accede realmente al sistema, sino que simplemente
bloquea el acceso al sistema de los usuarios legítimos. En palabras del Centro de Coordinación CERT
(Computer Emergency Response Team) (el primer equipo de respuesta a incidentes de seguridad
informática), "un ataque de "denegación de servicio" se caracteriza por un intento explícito de los
atacantes de impedir que los usuarios legítimos de un servicio utilicen ese servicio". Un método de
bloqueo utilizado a menudo es inundar el sistema de destino con tantas solicitudes de conexión falsas
que no puede responder a solicitudes legítimas. DoS es un método de ataque extremadamente común.

1.8 Terminología de seguridad

Los profesionales de seguridad tienen terminología específica. Las personas o administradores de
sistemas con experiencia en administración de redes probablemente ya están familiarizados con la
mayoría de estos términos. Aunque la mayoría de la terminología de hacking describe la actividad o la
persona que la realiza (phreaking, sneaker, etc.).

El primer y más básico dispositivo de seguridad es el firewall. Un cortafuegos es una barrera entre una
red y el mundo exterior. A veces un firewall es un servidor independiente, a veces un router, y a veces
software que se ejecuta en una máquina. Sea cual sea su forma física, el propósito es el mismo: filtrar el
tráfico que entra y sale de una red. Los firewalls están relacionados con un servidor proxy y se utilizan a
menudo junto con ellos. Un servidor proxy oculta las direcciones IP de la red interna y presenta una
única dirección IP (la suya) al mundo exterior.

Los firewalls y servidores proxy se agregan a las redes para proporcionar seguridad perimetral básica.
Filtran el tráfico de red entrante y saliente, pero no afectan al tráfico de la red. A veces estos dispositivos
son aumentados por un sistema de detección de intrusiones (IDS). Tráfico de un monitor IDS que busca
actividad sospechosa que pueda indicar un intento de intrusión.
El control de acceso es otro término importante de seguridad informática. El control de acceso es el
agregado de todas las medidas adoptadas para limitar el acceso a los recursos. Esto incluye
procedimientos de inicio de sesión, cifrado y cualquier método diseñado para evitar que el personal no
autorizado acceda a un recurso. La autenticación es claramente un subconjunto del control de acceso,
quizás la actividad de seguridad más básica.

La autenticación es simplemente el proceso de determinar si las credenciales dadas por un usuario u

otro sistema, como un nombre de usuario y una contraseña, están autorizadas para acceder al recurso
de red en cuestión. Cuando un usuario inicia sesión con un nombre de usuario y una contraseña, el
sistema intenta autenticar ese nombre de usuario y contraseña. Si se autentican, se concederá acceso al
usuario.

No repudio es otro término que se encuentra con frecuencia en la seguridad informática. Es cualquier
técnica que se usa para asegurarse de que alguien que realiza una acción en un equipo no puede negar
falsamente que realizó esa acción. La no repudio proporciona registros fiables de lo que el usuario
realizó una acción determinada en un momento específico. En resumen, son métodos para realizar un
seguimiento de las acciones que se realizan por qué usuario. Varios registros del sistema proporcionan
un método para la no repudio. Una de las actividades de seguridad más importantes es la auditoría. La
auditoría es el proceso de revisar registros, registros y procedimientos para determinar si cumplen con
los estándares.

El privilegio mínimo es un concepto que debe tener en cuenta al asignar privilegios a cualquier usuario o
dispositivo. El concepto es que sólo se asignan los privilegios mínimos necesarios para que esa persona
haga su trabajo, no más. Tenga en cuenta este concepto simple pero crítico.
También debe tener en cuenta la tríada de la CIA, o Confidencialidad, Integridad y Disponibilidad. Todas
las medidas de seguridad deben afectar a una o más de estas áreas. Por ejemplo, el cifrado del disco
duro y las buenas contraseñas ayudan a proteger la confidencialidad. Las firmas digitales ayudan a
garantizar la integridad, y un buen sistema de copia de seguridad, o redundancia de servidor de red,
puede admitir la disponibilidad.

1.8.1 Terminología de hacking

Tenga en cuenta que la terminología de piratería no es precisa, y que muchas definiciones se pueden
debatir. No existe ningún vocabulario "oficial" de hackers. Los términos evolucionan a través de su uso
por la comunidad de hackers. Claramente, comenzar este examen definiendo hacker, un término
utilizado en películas y emisiones de noticias, sería sensato.

La mayoría de la gente lo usa para describir a cualquier persona que irrumpe en un sistema informático.
Sin embargo, los propios profesionales de la seguridad y los hackers utilizan este término de manera
diferente. En la comunidad de hacking, un hacker es un experto en un sistema o sistemas en particular
que quiere aprender más sobre el sistema. Los hackers sienten que mirar los defectos de un sistema es
la mejor manera de aprender sobre él.

Por ejemplo, alguien bien avanzado en el sistema operativo Linux que trabaja para entender que el
sistema mediante el aprendizaje de sus debilidades y defectos sería un hacker. Sin embargo, esto a
menudo significa ver si un defecto puede ser explotado para obtener acceso a un sistema. Esta parte
"explotadora" del proceso es donde los hackers se diferencian en tres grupos:

 Los hackers de sombrero blanco, al encontrar vulnerabilidad en un sistema, informarán de la

vulnerabilidad al proveedor de ese sistema. Por ejemplo, si descubrieran algún defecto en Red Hat
Linux, entonces enviarían por correo electrónico a la compañía Red Hat (probablemente de forma
anónima) y explicarían cuál es el defecto y cómo fue explotado.
 Los hackers de sombrero negro son las personas que normalmente se muestran en los medios de
comunicación (por ejemplo, películas y noticias). Después de obtener acceso a un sistema, su
objetivo es causar algún tipo de daño. Pueden robar datos, borrar archivos o desfigurar sitios web.
Los hackers de sombrero negro a veces se conocen como galletas.
 Los hackers de sombrero gris son típicamente ciudadanos respetuosos de la ley, pero en algunos
casos se aventurarán en actividades ilegales. Podrían hacerlo por una amplia variedad de razones.
Comúnmente, hackers sombrero gris llevan a cabo actividades ilegales por razones que sienten
que son éticas, tales como hackear un sistema perteneciente a una corporación que el hacker
siente que está involucrado en actividades poco éticas.

1.9 Enfoques de la seguridad de la red

Las organizaciones pueden elegir entre varios enfoques para la seguridad de la red. Un enfoque o
paradigma particular influirá en todas las decisiones de seguridad posteriores y establecerá el tono para
toda la infraestructura de seguridad de red de la organización. Los paradigmas de seguridad de red se
pueden clasificar por el alcance de las medidas de seguridad tomadas (perímetro, en capas) o por la
proasción del sistema.

1.9.1 Enfoque de seguridad perimetral

En un enfoque de seguridad perimetral, la mayor parte de los esfuerzos de seguridad se centran en el
perímetro de la red. Este enfoque puede incluir firewalls, servidores proxy, directivas de contraseñas y
cualquier tecnología o procedimiento que haga menos probable el acceso no autorizado a la red. Se
hace poco o ningún esfuerzo para asegurar los sistemas dentro de la red. En este enfoque, el perímetro
está asegurado, pero los diversos sistemas dentro de ese perímetro son a menudo vulnerables.

Este enfoque perimetral es claramente defectuoso. Entonces, ¿por qué algunas empresas lo usan? Una
organización pequeña podría utilizar el enfoque perimetral si tiene restricciones presupuestarias o
administradores de red inexpertos. Este método puede ser adecuado para organizaciones pequeñas que
no almacenan datos confidenciales, pero rara vez funciona en un entorno corporativo más grande.

1.9.2 Enfoque de seguridad en capas

Un enfoque de seguridad por capas es aquel en el que no solo se protege el perímetro, sino que también
se protegen los sistemas individuales dentro de la red. Todos los servidores, estaciones de trabajo,
enrutadores y concentradores dentro de la red son seguros. Una manera de lograr esto es dividir la red
en segmentos y proteger cada segmento como si fuera una red separada para que, si la seguridad
perimetral se ve comprometida, no todos los sistemas internos se vean afectados. La seguridad en capas
es el enfoque preferido siempre que sea posible.
También debe medir su enfoque de seguridad por lo proactivo y/o reactivo que es. Para ello, determine
cuánto de la infraestructura y las políticas de seguridad del sistema se dedican a las medidas preventivas
en lugar de cuánto se dedican a simplemente responder a un ataque después de que se haya producido.

Un enfoque de seguridad pasiva toma pocos o ningún paso para evitar un ataque. Por el contrario, un
enfoque de seguridad dinámico, o defensa proactiva, es aquel en el que se toman medidas para prevenir
ataques antes de que ocurran. Un ejemplo de una defensa proactiva es el uso de un IDS, que trabaja
para detectar intentos de eludir las medidas de seguridad. Estos sistemas pueden indicar a un
administrador del sistema que se ha realizado un intento de infringir la seguridad, incluso si ese intento
no se realiza correctamente. Un IDS también se puede utilizar para detectar diversas técnicas que los
intrusos utilizan para evaluar un sistema de destino, alertando así a un administrador de red sobre la
posibilidad de un intento de incumplimiento antes de que se inicie el intento.

1.9.3 Enfoque de seguridad híbrida

En el mundo real, la seguridad de la red rara vez está completamente en un paradigma u otro. Las redes
generalmente caen a lo largo de un continuo con elementos de más de un paradigma de seguridad. Las
dos categorías también se combinan para formar un enfoque híbrido. Uno puede tener una red que es
predominantemente pasiva, pero en capas, o una que es principalmente perimetral, pero proactiva.
Considerar los enfoques de seguridad informática a lo largo de un sistema de coordenadas cartesianas,
con el eje x que representa el nivel de enfoques pasivo-activos y el eje y que representa el rango desde
el perímetro hasta la defensa en capas, puede ser útil. El enfoque híbrido más deseable es un paradigma
en capas que es dinámico.

1.10 Leyes de Seguridad y de Red

Un número cada vez mayor de problemas legales afectan la forma en que los administradores abordan
la seguridad de la red. Si su organización es una empresa que cotiza en bolsa, una agencia
gubernamental o hace negocios con cualquiera de ellas, puede haber restricciones legales para elegir su
enfoque de seguridad. Las restricciones legales incluyen cualquier ley que afecte a la forma en que se
almacena o se accede a la información. Incluso si su red no está legalmente vinculada a estas pautas de
seguridad, es útil revisar las diversas leyes que afectan a la seguridad informática y tal vez derivar ideas
que se pueden aplicar a sus propios estándares de seguridad.

Una de las leyes más antiguas de los Estados Unidos que afectan a la seguridad informática es la Ley de
Seguridad Informática de 1987 (100o Congreso, 1987). Esta ley requiere que las agencias
gubernamentales identifiquen sistemas sensibles, lleven a cabo capacitación en seguridad informática y
desarrollen planes de seguridad informática. Esta ley es un mandato vago que ordena a las agencias
federales en los Estados Unidos establecer medidas de seguridad sin especificar ningún estándar.

Esta legislación estableció un mandato legal para promulgar normas específicas, allanando el camino
para futuras directrices y reglamentos. También ayudó a definir ciertos términos, como qué información
es realmente "sensible", de acuerdo con la siguiente cita que se encuentra en la propia legislación:

La información confidencial es cualquier información, la pérdida, el uso indebido o el acceso no

autorizado o la modificación de los cuales pueda afectar negativamente el interés nacional o la conducta
de los programas federales, o la privacidad a la que las personas tienen derecho bajo el artículo 552a del
título 5, Código de los Estados Unidos (la Ley de Privacidad), pero que no ha sido específicamente
autorizado bajo criterios establecidos por una orden ejecutiva o una Ley del Congreso para mantenerse
en secreto en interés de la defensa nacional o la política exterior.

En República dominicana también tenemos nuestras leyes, tales como 53-07, 172-13, 310-14, y
reglamentos.

Tenga en cuenta esta definición, ya que no es sólo la información del Seguro Social o la historia clínica lo
que debe ser asegurado. Al considerar qué información debe ser segura, simplemente haga la pregunta:
¿El acceso o modificación no autorizado de esta información afectaría negativamente a mi organización?
Si la respuesta es "sí", entonces debe considerar esa información "sensible" y necesita precauciones de
seguridad.

Tenga en cuenta que cualquier ley que rija la privacidad (como la Ley de Portabilidad y Responsabilidad
del Seguro Médico [HIPAA], para los registros médicos) también tiene un impacto directo en la
seguridad informática. Si un sistema está en peligro y los datos que están cubiertos por cualquier ley de
privacidad están comprometidos, es posible que deba demostrar que ha ejercido la diligencia debida
para proteger esos datos. Una constatación de que no tomó las precauciones adecuadas puede resultar
en responsabilidad civil.
 Terminologías
Brecha de seguridad: Un agujero de seguridad o vulnerabilidad es un fallo en un sistema de
información que se puede explotar para violar la seguridad del sistema.
Amenaza: toda actividad que se puede convertir en delito o una falta, consistente en el anuncio
de un mal futuro que tiene posibilidad de materializarse.
Amenazas
No solamente las amenazas que surgen de la programación y el funcionamiento de un
dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay
otras circunstancias no informáticas que deben ser tomadas en cuenta. Muchas son a menudo
imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias
y la descentralización, por ejemplo, mediante determinadas estructuras de redes en el caso de
las comunicaciones o servidores en clúster para la disponibilidad.
Las amenazas pueden ser causadas por:
Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En
algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es
porque tienen permisos sobredimensionados, no se les han restringido acciones innecesarias,
etc.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los
recursos del sistema. Es instalado en el ordenador, abriendo una puerta a intrusos o bien
modificando los datos. Estos programas pueden ser un virus informático, un gusano
informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos
como malware.
Errores de programación: la mayoría de los errores de programación que se pueden considerar
como una amenaza informática es por su condición de poder ser usados como exploits por los
crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La
actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de
amenazas.
Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están
autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o mala intención derivan en
la pérdida del material o de los archivos.
Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de
desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas,
problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Ingeniería social
La ingeniería social es la práctica de obtener información confidencial a través de la
manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para
obtener información, acceso o privilegios en sistemas de información, con resultados similares
a un ataque a través de la red, saltándose toda la infraestructura creada para combatir
programas maliciosos. Además, es un ataque más eficiente, debido a que es más complejo de
calcular y prever.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil."
Tipos de amenazas
Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de una
clasificación. Por ejemplo, un caso de phishing puede llegar a robar la contraseña de un usuario
de una red social y con ella realizar una suplantación de la identidad para un posterior acoso, o
el robo de la contraseña puede usarse simplemente para cambiar la foto del perfil y dejarlo
todo en una broma (sin que deje de ser delito en ambos casos, al menos en países con
legislación para el caso, como lo es España).
Amenazas por el origen
El hecho de conectar un sistema a un entorno externo nos da la posibilidad de que algún
atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de la red. Sin
embargo el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos
garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San
Francisco, aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados
desde dentro de la misma. Basado en el origen del ataque podemos decir que existen dos tipos
de amenazas:
Amenazas internas: generalmente estas amenazas pueden ser más serias que las externas, por
varias razones como:
Si es por usuarios o personal técnico, conocen la red y saben cómo es su funcionamiento,
ubicación de la información, datos de interés, etc. Además tienen algún nivel de acceso a la red
por las mismas necesidades de su trabajo, lo que les permite mínimos movimientos.
Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos no efectivos en
amenazas internas por no estar, habitualmente, orientados al tráfico interno. Que el ataque sea
interno no tiene que ser exclusivamente por personas ajenas a la red, podría ser por
vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes
inalámbricas desprotegidas, equipos sin vigilancia, etc.
Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener
información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer
qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es
que el administrador de la red puede prevenir una buena parte de los ataques externos.
Amenazas por el efecto
El tipo de amenazas según el efecto que causan a quien recibe los ataques podría clasificarse
en:
Robo de información.
Destrucción de información.
Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de
información, venta de datos personales, etc.
Robo de dinero, estafas...
Amenazas por el medio utilizado
Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser distinto
para un mismo tipo de ataque:
Virus informático: malware que tiene por objeto alterar el normal funcionamiento de la
computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente,
reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en un computadora, aunque también
existen otros más inofensivos, que solo se caracterizan por ser molestos.
Phishing. Ingeniería social. Denegación de servicio. (DOS y DDOS)
Spoofing: de DNS, de IP, de DHCP, etc.
Amenaza informática del futuro
Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas, ahora
las tendencias cibercriminales indican que la nueva modalidad es manipular los certificados que
contienen la información digital. El área semántica, era reservada para los humanos, se
convirtió ahora en el núcleo de los ataques debido a la evolución de la Web 2.0 y las redes
sociales, factores que llevaron al nacimiento de la generación 3.0.
Se dice que “la Web 3.0 otorga contenidos y significados de manera tal que pueden ser
comprendidos por las computadoras, las cuales -por medio de técnicas de inteligencia artificial-
son capaces de emular y mejorar la obtención de conocimiento, hasta el momento reservada a
las personas”. Es decir, se trata de dotar de significado a las páginas web, y de ahí el nombre de
web semántica o sociedad del conocimiento, como evolución de la ya pasada sociedad de la
información.
En este sentido, las amenazas informáticas que viene en el futuro ya no son con la inclusión de
troyanos en los sistemas o softwares espías, sino con el hecho de que los ataques se han
profesionalizado y manipulan el significado del contenido virtual.
“La Web 3.0, basada en conceptos como elaborar, compartir y significar, está representando un
desafío para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que
optan por modificar los significados del contenido digital, provocando así la confusión lógica del
usuario y permitiendo de este modo la intrusión en los sistemas”, La amenaza ya no solicita la
clave de homebanking del desprevenido usuario, sino que directamente modifica el balance de
la cuenta, asustando al internauta y, a partir de allí, sí efectuar el robo del capital”.
Obtención de perfiles de los usuarios por medios, en un principio, lícitos: seguimiento de las
búsquedas realizadas, históricos de navegación, seguimiento con geoposicionamiento de los
móviles, análisis de las imágenes digitales subidas a Internet, etc.
Para no ser presa de esta nueva ola de ataques más sutiles, se recomienda: Mantener las
soluciones activadas y actualizadas.
Evitar realizar operaciones comerciales en computadoras de uso público o en redes abiertas.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.
Riesgos: Posibilidad de que se produzca un contratiempo o una desgracia, de que alguien o algo
sufra perjuicio o daño.
¿Qué son virus informáticos?
La palabra virus viene del latín y significa «veneno» o «baba». Comparablemente desagradable,
ya que estos términos son las consecuencias que ocurren cuando un virus informático infecta tu
propio PC: en el peor de los casos, el virus del PC causa un fallo completo del sistema.
Los orígenes del virus informático se remontan al americano Fred Cohen. Fred programó el
primer virus de PC en 1983, que podía penetrar sin casi ser notado en otras aplicaciones,
programas y propagarse más. Sin embargo, hoy en día, Fred Cohen no es un hacker, sino un
investigador y profesor de seguridad informática en la Universidad de New Haven en West
Haven. Sin embargo, su desarrollo sentó las bases de muchos peligrosos virus informáticos
conocidos hoy en día.
¿Cómo funciona realmente un virus informático?
Técnicamente, un virus informático es un programa informático auto propagado. Lo especial de
los virus, en comparación con otras formas de malware, es que pueden propagarse en el PC sin
el consentimiento del usuario*. El virus informático se infiltra en otros programas informáticos,
se propaga e infecta otros sistemas. El virus informático puede, por lo tanto, causar cambios en
el sistema operativo o daños en otros programas. En el transcurso de esto, el usuario final suele
sufrir pérdidas de datos en su propio PC o incluso daños en el hardware. Estrictamente
hablando, hay que distinguir entre el virus y gusano informático: a diferencia de los llamados
gusanos informáticos, un virus informático suele propagarse sólo localmente, mucho más
lentamente y, por lo tanto, causa menos daños en general.
Virus de Boot: Uno de los primeros tipos de virus conocido, el virus de boot infecta la partición
de inicio del sistema operativo. El virus se activa cuando la computadora es encendida y el
sistema operativo se carga.
Time Bomb o Bomba de Tiempo: Los virus del tipo «bomba de tiempo» son programados para
que se activen en determinados momentos, definido por su creador. Una vez infectado un
determinado sistema, el virus solamente se activará y causará algún tipo de daño el día o el
instante previamente definido. Algunos virus se hicieron famosos, como el «Viernes 13» y el
«Michelangelo».
Lombrices, worm o gusanos: Con el interés de hacer un virus pueda esparcirse de la forma más
amplia posible, sus creadores a veces, dejaron de lado el hecho de dañar el sistema de los
usuarios infectados y pasaron a programar sus virus de forma que sólo se repliquen, sin el
objetivo de causar graves daños al sistema. De esta forma, sus autores tratan de hacer sus
creaciones más conocidas en Internet. Este tipo de virus pasó a ser llamado gusano o worm.
Son cada vez más perfectos, hay una versión que al atacar la computadora, no sólo se replica,
sino que también se propaga por Internet enviándose a los e-mail que están registrados en el
cliente de e-mail, infectando las computadoras que abran aquel e-mail, reiniciando el ciclo.
Tienen la capacidad de hacer copias de sí mismos, al contrario de los virus no necesitan infectar
otros programas para esta tarea. Basta que sean ejecutados en un sistema. Hay varios gusanos
o worms, con muchas funcionalidades diferentes. Algunos son destructivos (borran o dañan
archivos), otros sólo se diseminan en gran cantidad provocando atascos en las redes de
computadoras.
Troyanos o caballos de Troya: Ciertos virus traen en su interior un código aparte, que le
permite a una persona acceder a la computadora infectada o recolectar datos y enviarlos por
Internet a un desconocido, sin que el usuario se de cuenta de esto. Estos códigos son
denominados Troyanos o caballos de Troya.
Inicialmente, los caballos de Troya permitían que la computadora infectada pudiera recibir
comandos externos, sin el conocimiento del usuario. De esta forma el invasor podría leer,
copiar, borrar y alterar datos del sistema. Actualmente los caballos de Troya buscan robar datos
confidenciales del usuario, como contraseñas bancarias.
Los virus eran en el pasado, los mayores responsables por la instalación de los caballos de
Troya, como parte de su acción, pues ellos no tienen la capacidad de replicarse. Actualmente,
los caballos de Troya ya no llegan exclusivamente transportados por virus, ahora son
instalados cuando el usuario baja un archivo de Internet y lo ejecuta. Práctica eficaz debido a
la enorme cantidad de e-mails fraudulentos que llegan a los buzones de los usuarios. Tales e-
mails contienen una dirección en la web para que la víctima baje, sin saber, el caballo de Troya,
en vez del archivo que el mensaje dice que es.
Esta práctica se denomina phishing, expresión derivada del verbo to fish, «pescar» en inglés.
Actualmente, la mayoría de los caballos de Troya simulan webs bancarias, «pescando» la
contraseña tecleada por los usuarios de las computadoras infectadas. Existen distintas formas
para saber si estás infectado con un troyano y cómo eliminarlo de tu PC.
Los trojans puros no tienen capacidad de infectar otros archivos o diseminarse de un ordenador
a otro, como es el caso de los virus y worms. Para que se introduzcan en un sistema, deben ser
deliberadamente enviados a los usuarios, normalmente disfrazados como fotos, juegos y
utilitarios en general. Muchas veces, los caballos de Troya están compuestos de dos partes: un
programa llamado cliente, que queda en la máquina del atacante, y otro llamado servidor, que
queda en la máquina de la víctima. El componente cliente se comunica con el servidor,
posibilitando que un intruso robe contraseñas y otra información privada, o incluso tome
control total del sistema invadido, pudiendo abrir, cerrar, ejecutar o borrar archivos, modificar
la configuración del mouse y del teclado, abrir y cerrar el CD-ROM, etc. Todo eso a distancia.
Hijackers: Los hijackers son programas o scripts que «secuestran» navegadores de
Internet,principalmente el Internet Explorer. Cuando eso pasa, el hijacker altera la página inicial
del navegador e impide al usuario cambiarla, muestra publicidad en pop-ups o ventanas
nuevas, instala barras de herramientas en el navegador y pueden impedir el acceso a
determinadas webs (como webs de software antivirus, por ejemplo).
Keylogger: El KeyLogger es una de las especies de virus existentes, el significado de los términos
en inglés que más se adapta al contexto sería: Capturador de teclas. Luego que son ejecutados,
normalmente los keyloggers quedan escondidos en el sistema operativo, de manera que la
víctima no tiene como saber que está siendo monitorizada. Actualmente los keyloggers son
desarrollados para medios ilícitos, como por ejemplo robo de contraseñas bancarias.
Son utilizados también por usuarios con un poco más de conocimiento para poder obtener
contraseñas personales, como de cuentas de correo electrónico, Skype o WhatsApp, entre
otros. Existen tipos de keyloggers que capturan la pantalla de la víctima, de manera de saber,
quien implantó el keylogger, lo que la persona está haciendo en la computadora.
Se instalan en el sistema de forma oculta y su acción no es percibida por el dueño de la
computadora atacada. Los keyloggers están siendo muy usados últimamente en ataques por e-
mail, disfrazados como si fueran mensajes enviados por empresas legítimas. Los más
sofisticados ya son capaces de grabar también las páginas que el usuario visita y el área del click
del mouse, por eso están siendo llamados de screenloggers (la palabra screen, en inglés, se
refiere a la pantalla del ordenador).
Zombie: El estado zombie en una computadora ocurre cuando es infectada y está siendo
controlada por terceros. Pueden usarlo para diseminar virus , keyloggers, y procedimientos
invasivos en general. Usualmente esta situación ocurre porque la computadora tiene su
Firewall y/o sistema operativo desactualizado. Según estudios, una computadora que está en
Internet en esas condiciones tiene casi un 50% de chances de convertirse en una máquina
zombie, pasando a depender de quien la está controlando, casi siempre con fines criminales.
Backdoors: La palabra significa, literalmente, «puerta trasera» y se refiere a programas
similares al caballo de Troya. Como el nombre sugiere, abren una puerta de comunicación
escondida en el sistema. Esta puerta sirve como un canal entre la máquina afectada y el intruso,
que puede, así, introducir archivos maléficos en el sistema o robar información privada de los
usuarios.
Tales clasificaciones no engloban todos los tipos de virus (malware) y se refieren sólo a los
ejemplares «puros». En la práctica, lo que se observa cada vez más es una mezcla de
características, de tal forma que ya se habla de worm/trojans y otras especies de códigos
maléficos híbridos.
Así, es perfectamente posible que un malware se disemine por e-mail, después de ser
ejecutado, como lo hace un worm, pero ademas también robe contraseñas de la máquina
infectada y las envíe a través de Internet hacia el creador del programa, exactamente como lo
hace un caballo de Troya.
Virus de Macro: Los virus de macro (o macro virus) vinculan sus acciones a modelos de
documentos y a otros archivos de modo que, cuando una aplicación carga el archivo y ejecuta
las instrucciones contenidas en el archivo, las primeras instrucciones ejecutadas serán las del
virus.
Los virus de macro son parecidos a otros virus en varios aspectos: son códigos escritos para
que, bajo ciertas condiciones, este código se «reproduzca», haciendo una copia de él mismo.
Como otros virus, pueden ser desarrollados para causar daños, presentar un mensaje o hacer
cualquier cosa que un programa pueda hacer.
Adware: Es aquel software que ofrece publicidad no deseada o engañosa. Estos anuncios
pueden aparecer en el navegador con pop-ups o ventanas con gran contenido visual, e incluso
audios.
Se reproducen de manera automática con el fin de generar ganancias económicas a los
creadores. En ocasiones este software provoca que el buscador predilecto del usuario sea
cambiado por otro, generando errores en las búsquedas deseadas y entorpeciendo la
experiencia de navegación del usuario.
¿Cómo nos protegemos? Evitemos abrir enlaces de descarga de páginas poco fiables y, cuando
instalemos software, debemos revisar los pasos para que no se nos instale ningún buscador,
programa o complemento sin que nos demos cuenta.
Spyware: Este tipo de virus se encarga de recopilar de manera fraudulenta la información sobre
la navegación del usuario, además de datos personales y bancarios. Un ejemplo de este tipo de
virus son los Keyloggers, los cuales monitorizan toda nuestra actividad con el teclado (teclas
que se pulsan), para luego enviarla al ciberdelincuente.
¿Cómo nos protegemos? El primer paso y más importante será la instalación y actualización de
un buen sistema antivirus. Otra forma de protegernos es evitar conectar dispositivos
desconocidos, como USB o discos duros externos.
Botnets: Son redes de dispositivos infectados que los ciberdelincuentes utilizan para lanzar
ataques, como el envío masivo de correos spam, ataques de denegación de servicio o DDoS,
robos de credenciales, etc. Una vez que un dispositivo está infectado, entrará a formar parte de
la red de botnets cuyo objetivo es seguir expandiéndose.
¿Cómo nos protegemos? Lo principal es hacer un buen uso de los dispositivos cuando nos
conectamos a la red, teniendo un sistema actualizado con programas antivirus instalados,
utilizando credenciales robustas y cambiando las contraseñas regularmente y no entrando en
páginas web que puedan ser poco fiables. Otra fuente de infección son los correos maliciosos.
Apps maliciosas: Cuando instalamos una app en nuestro dispositivo móvil, esta nos pide
concederle una serie de permisos. A veces, estos permisos no tienen relación con la
funcionalidad de la app o descargamos una app poco fiable que acaba por infectar nuestro
dispositivo, tomar control y robar la información que tenemos almacenada en él como
contactos, credenciales, imágenes, vídeos, etc.
¿Cómo nos protegemos? Cuando se trata de descarga de apps, lo primero que debemos tener
en cuenta es utilizar tiendas oficiales. Además, debemos revisar las valoraciones y comentarios
de otros usuarios e información del desarrollador. Al instalarla, nos pedirá aceptar una serie de
permisos, que no debemos dar a no ser que esté relacionado con la función de la app. Por
ejemplo, nunca le daríamos permiso a una app “Linterna” para acceder a nuestros contactos
¿verdad?
Ransomware: “Esta práctica se cree que crecerá en 2015, especialmente enfocada a móviles”,
advierte Félix de Molina, responsable de Consultoría de Seguridad de VASS. Consiste en que el
pirata bloquea el smartphone con un mensaje en el que solicita un rescate para liberarlo. El
usuario debe pagar dicho rescate en la moneda digital Bitcoin, para que no se pueda rastrear y
se mantenga el anonimato del hacker.
Malware: Se trata de códigos diseñados por ciberdelincuentes que tienen por objeto alterar el
normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Este tipo
de virus pueden destruir archivos del disco duro o corromper los archivos que tenemos
albergados con datos inválidos.
Phishing: Se trata de una modalidad de ataque a través de un email. Los hackers son capaces de
adaptarse a ti y/o a tu negocio para convencerte de hacer clic en links o para ingresar datos
confidenciales que terminarán por instalar un código malicioso en tu ordenador. “Educar a los
empleados acerca de los riesgos de abrir esos mails sospechosos puede prevenir un
ciberataque”, advierte de Molina.
Métodos de protección
Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los
denominados activos o pasivos.
Activos
Antivirus: son programas que tratan de descubrir las trazas que ha dejado un software
malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación.
Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de
infección y notificando al usuario de posibles incidencias de seguridad. Por ejemplo, al verse
que se crea un archivo llamado [Link] en la carpeta C:\Windows\%System32%\ en
segundo plano, ve que es comportamiento sospechoso, salta y avisa al usuario.
Filtros de ficheros: Consiste en generar filtros de ficheros dañinos si el computador está
conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o
usando técnicas de firewall. En general, este sistema proporciona una seguridad donde no se
requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente
recursos de forma más selectiva.
Actualización automática: Consiste en descargar e instalar las actualizaciones que el fabricante
del sistema operativo lanza para corregir fallos de seguridad y mejorar el desempeño.
Dependiendo de la configuración el proceso puede ser completamente automático o dejar que
el usuario decida cuándo instalar las actualizaciones.
Pasivos
Para no infectar un dispositivo, hay que:
No instalar software de dudosa procedencia.
No abrir correos electrónicos de desconocidos ni adjuntos que no se reconozcan.
Usar un bloqueador de elementos emergentes en el navegador.
Usar la configuración de privacidad del navegador.
Activar el Control de cuentas de usuario.
Borrar la memoria caché de Internet y el historial del navegador.
No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un ejecutable o incorporar
macros en su interior.
Ataques de denegación de servicio
El primer tipo de ataque a examinar es la denegación de servicio (DoS). Un ataque de denegación de
servicio es cualquier ataque que tiene como objetivo denegar a los usuarios legítimos del uso del
sistema de destino. Esta clase de ataque no intenta realmente infiltrarse en un sistema u obtener
información confidencial. Simplemente tiene como objetivo evitar que los usuarios legítimos accedan a
un sistema determinado.

Este tipo de ataque es una de las categorías de ataque más comunes. Muchos expertos sienten que es
tan común porque la mayoría de las formas de ataques de denegación de servicio son bastante fáciles
de ejecutar. La facilidad con la que se pueden ejecutar estos ataques significa que incluso los atacantes
con habilidades técnicas mínimas a menudo pueden realizar con éxito una denegación de servicio.

El concepto subyacente al ataque de denegación de servicio se basa en el hecho de que cualquier

dispositivo tiene límites operativos. Este hecho se aplica a todos los dispositivos, no sólo a los sistemas
informáticos. Por ejemplo, los puentes están diseñados para mantener el peso hasta un cierto límite, las
aeronaves tienen límites en cuanto a la distancia que pueden viajar sin repostar, y los automóviles sólo
pueden acelerar hasta cierto punto. Todos estos diversos dispositivos comparten un rasgo común: Han
establecido limitaciones a su capacidad para realizar el trabajo. Las computadoras no son diferentes de
estas, o cualquier otra máquina; ellos también tienen límites.

Cualquier sistema informático, servidor web o red solo puede manejar una carga finita.
La forma en que se define una carga de trabajo (y sus límites) varía de una máquina a otra. Una carga de
trabajo para un sistema informático puede definirse de varias maneras diferentes, incluido el número de
usuarios simultáneos, el tamaño de los archivos, la velocidad de transmisión de datos o la cantidad de
datos almacenados. Exceder cualquiera de estos límites impedirá que el sistema responda. Por ejemplo,
si puede inundar un servidor web con más solicitudes de las que puede procesar, se sobrecargará y ya
no podrá responder a más solicitudes. Esta realidad subyace al ataque DoS. Simplemente sobrecargue el
sistema con solicitudes y ya no podrá responder a los usuarios legítimos que intentan acceder al servidor
web.

SYN Flood
Simplemente enviar una avalancha de pings es el método más primitivo para realizar un DoS. Los
métodos más sofisticados utilizan tipos específicos de paquetes. Una versión popular del ataque DoS es
la inundación SYN. Este ataque en particular depende del conocimiento del hacker de cómo se realizan
las conexiones a un servidor. Cuando se inicia una sesión entre el cliente y el servidor en una red
mediante el protocolo TCP, se reserva un pequeño espacio de búfer en la memoria en el servidor para
controlar el intercambio "hand-shaking o apretado de manos" de los mensajes que configura la sesión.
Los paquetes de establecimiento de sesión incluyen un campo SYN que identifica la secuencia en el
intercambio de mensajes.

Una inundación SYN intenta interrumpir este proceso. En este ataque, un atacante envía una serie de
solicitudes de conexión muy rápidamente y, a continuación, no responde a la respuesta que devuelve el
servidor. En otras palabras, el atacante solicita conexiones y, a continuación, nunca sigue con el resto de
la secuencia de conexión. Esto tiene el efecto de dejar las conexiones en el servidor medio abiertas, y la
memoria de búfer asignada para ellas está reservada y no está disponible para otras aplicaciones.
Aunque el paquete en el buffer se cae después de un cierto período de tiempo (generalmente sobre tres
minutos) sin una respuesta, el efecto de muchas de estas peticiones de conexión falsas es hacer difícil
para las peticiones legítimas para una sesión ser establecida.

Smurf Attack
El Smurf attack es un tipo popular de ataque DoS. Fue nombrado después de la aplicación utilizada por
primera vez para ejecutar este ataque. En el ataque Smurf, un paquete ICMP se envía a la dirección de
difusión de una red, pero su dirección de retorno se ha alterado para que coincida con uno de los
equipos de esa red, probablemente un servidor clave. Todos los equipos de la red responderán haciendo
ping en el equipo de destino.

Los paquetes ICMP utilizan el Protocolo de mensajes de control de Internet para enviar mensajes de
error en Internet. Debido a que la dirección de los paquetes se envía a es una dirección de difusión, esa
dirección responde haciendo eco del paquete a todos los hosts de la red, que luego lo envían a la
dirección de origen suplantada.

El envío continuo de estos paquetes hará que la propia red realice un ataque DoS en uno o más de sus
servidores miembros. Este ataque es inteligente y simple. La mayor dificultad es conseguir que los
paquetes comiencen en la red de destino. Esto se puede lograr a través de algún software como un virus
o caballo de Troya que comenzará a enviar los paquetes.

Ping of Death
El Ping of Death (PoD), es quizás la forma más simple y primitiva del ataque DoS y se basa en
sobrecargar el sistema de destino. Los paquetes TCP tienen un tamaño limitado. En algunos casos
simplemente enviando un paquete que es demasiado grande, puede apagar una máquina de destino.

El objetivo de este ataque es sobrecargar el sistema de destino y hacer que deje de responder. El PoD
trabaja para comprometer los sistemas que no pueden tratar con los tamaños de paquetes
extremadamente grandes. Si se realiza correctamente, el servidor se apagará realmente. Por supuesto,
se puede reiniciar.

La única protección real contra este tipo de ataque es asegurarse de que todos los sistemas operativos y
software se parchean rutinariamente. Este ataque se basa en vulnerabilidades en la forma en que un
sistema operativo o aplicación determinado maneja paquetes TCP anormalmente grandes. Cuando se
descubren estas vulnerabilidades, el proveedor libera habitualmente un parche. La posibilidad de PoD es
una de las razones, entre muchas, por las que debe mantener los parches actualizados en todos sus
sistemas.

Este ataque es cada vez menos común, ya que las versiones más recientes de los sistemas operativos
son más capaces de manejar los paquetes demasiado grandes de los que depende Ping of Death. Si el
sistema operativo está correctamente diseñado, caerá cualquier paquete de gran tamaño, negando así
los posibles efectos negativos que un ataque PoD podría tener.
UDP Flood
UDP (User Datagram Protocol) es un protocolo sin conexión y no requiere ningún procedimiento de
configuración de conexión para transferir datos. Los paquetes TCP se conectan y esperan a que el
destinatario confirme la recepción antes de enviar el siguiente paquete. Cada paquete se confirma. Los
paquetes UDP simplemente envían los paquetes sin confirmación. Esto permite que los paquetes se
envíen mucho más rápido, lo que facilita la realización de un ataque DoS.

Un ataque de inundación UDP ocurre cuando un atacante envía un paquete UDP a un puerto aleatorio
en el sistema de la víctima. Cuando el sistema de la víctima recibe un paquete UDP, determinará qué
aplicación está esperando en el puerto de destino. Cuando se da cuenta de que ninguna aplicación está
esperando en el puerto, generará un paquete ICMP de destino inalcanzable a la dirección de origen
falsificada. Si se entregan suficientes paquetes UDP a los puertos de la víctima, el sistema deja de ser
funcional.

Herramientas DoS
Una razón por la que los ataques DoS se están volviendo tan comunes es que hay una serie de
herramientas disponibles para ejecutar ataques DoS. Estas herramientas están ampliamente disponibles
en Internet, y en la mayoría de los casos son de descarga gratuita. Esto significa que cualquier
administrador cauteloso debe ser consciente de ellos. Además de su uso obvio como una herramienta
de ataque, también pueden ser útiles para probar sus medidas de seguridad anti-DoS.

Low Orbit Ion Cannon (LOIC) es probablemente el más bien conocido y una de las herramientas
DoS más simples. Primero debe colocar la dirección URL o la dirección IP en el cuadro de destino. A
continuación, haga clic en el botón Bloquear. Puede cambiar la configuración con respecto al método
que elija, la velocidad, cuántos subprocesos y si desea o no esperar una respuesta. A continuación,
simplemente haga clic en el botón IMMA CHARGIN MAH LAZER y el ataque está en marcha.

High Orbit Ion Cannon (HOIC) es un poco más avanzado que LOIC, pero en realidad más fácil de
ejecutar. Haga clic en el botón + para agregar destinos. Aparecerá una ventana emergente donde se
coloca en la URL, así como algunos ajustes.

Ataques Buffer Overflow

Otra forma de atacar un sistema se denomina ataque de desbordamiento de búfer (o saturación de
búfer). Algunos expertos argumentarían que el desbordamiento del búfer ocurre tan a menudo como el
ataque DoS, pero esto es menos cierto ahora que hace unos años. Un ataque de desbordamiento de
búfer está diseñado para colocar más datos en un búfer de los que el búfer se diseñó para contener.
Esto significa que aunque esta amenaza podría ser menor de lo que era antes, sigue siendo una
amenaza muy real.
Cualquier programa que se comunique con Internet o una red privada debe recibir algunos datos.

Estos datos se almacenan, al menos temporalmente, en un espacio de memoria denominado búfer. Si el

programador que escribió la aplicación fue cuidadoso, el búfer truncará o rechazará cualquier
información que supere el límite de búfer.
Dado el número de aplicaciones que podrían estar ejecutándose en un sistema de destino y el número
de búferes en cada aplicación, la posibilidad de tener al menos un búfer que no se escribió
correctamente es lo suficientemente importante como para causar alguna preocupación cautelosa al
administrador del sistema. Una persona moderadamente capacitada en programación puede escribir un
programa que escribe deliberadamente más datos en el búfer de los que puede contener. Por ejemplo,
si el búfer puede contener 1024 bytes de datos e intenta rellenarlo con 2048 bytes, los 1024 bytes
adicionales se cargan simplemente en la memoria.

Si los datos adicionales son realmente un programa malicioso, entonces se acaba de cargar en la
memoria y se está ejecutando en el sistema de destino. O tal vez el perpetrador simplemente quiere
inundar la memoria de la máquina de destino, sobrescribiendo así otros elementos que están
actualmente en la memoria y haciendo que se bloqueen. De cualquier manera, el desbordamiento del
búfer es un ataque muy grave.

Afortunadamente, los ataques de desbordamiento de búfer son un poco más difíciles de ejecutar que el
DoS o un simple virus de script de MS Outlook. Para crear un ataque de desbordamiento de búfer, un
hacker debe tener un buen conocimiento de trabajo de algún lenguaje de programación (C o C++ se
elige a menudo) y entender el sistema operativo de destino / aplicación lo suficientemente bien como
para saber si tiene una debilidad de desbordamiento de búfer y cómo podría explotar la debilidad.

IP Spoofing
La suplantación de IP es esencialmente una técnica utilizada por los piratas informáticos para obtener
acceso no autorizado a los ordenadores. Aunque esta es la razón más común para la suplantación de IP,
ocasionalmente se hace simplemente para enmascarar los orígenes de un ataque DoS. De hecho, los
ataques DoS a menudo enmascaran la dirección IP real de la que se origina el ataque.

Con la suplantación de IP, el intruso envía mensajes a un sistema informático con una dirección IP que
indica que el mensaje proviene de una dirección IP diferente de la que realmente proviene. Si la
intención es obtener acceso no autorizado, la dirección IP suplantada será la de un sistema que el
destino considera un host de confianza.

Para perpetrar con éxito un ataque de suplantación de IP, el hacker primero debe encontrar la dirección
IP de una máquina que el sistema de destino considera una fuente de confianza. Los hackers podrían
emplear una variedad de técnicas para encontrar una dirección IP de un host de confianza. Después de
que tengan esa dirección IP de confianza, pueden entonces modificar los encabezados de paquetes de
sus transmisiones de modo que parezca que los paquetes vienen de ese host.
La suplantación de IP, a diferencia de muchos otros tipos de ataques, era realmente conocida por los
expertos en seguridad a nivel teórico antes de que se utilizara en un ataque real. El concepto de
suplantación de propiedad intelectual se debatió inicialmente en los círculos académicos ya en la década
de 1980. Aunque el concepto detrás de esta técnica fue conocido durante algún tiempo, fue
principalmente teórico hasta que Robert Morris descubrió una debilidad de seguridad en el protocolo
TCP conocido como predicción de secuencia.
Los ataques de suplantación de IP son cada vez menos frecuentes, principalmente porque los lugares
que utilizan son cada vez más seguros y en algunos casos simplemente ya no se utilizan.

Sin embargo, la suplantación todavía se puede utilizar y todos los administradores de seguridad deben
abordarlo.

Un par de maneras diferentes de abordar la suplantación de IP incluyen:

 No revele ninguna información con respecto a sus direcciones IP internas. Esto ayuda a evitar que
esas direcciones sean "suplantadas".
 Supervise los paquetes IP entrantes en busca de signos de suplantación de IP mediante el
software de supervisión de red. Un producto popular es Netlog. Estos y productos similares
buscan paquetes entrantes a la interfaz externa que tienen las direcciones IP de origen y destino
en su dominio local, lo que significa esencialmente un paquete entrante que dice ser de dentro de
la red, cuando está claramente viniendo de fuera de su red. Encontrar uno significa que un ataque
está en marcha.

El peligro de la suplantación de IP es que algunos Firewall no examinan los paquetes que parecen
provenir de una dirección IP interna. Los paquetes de enrutamiento a través de enrutadores de filtrado
son posibles si no están configurados para filtrar los paquetes entrantes cuya dirección de origen está en
el dominio local.

Algunos ejemplos de configuraciones de enrutador que son potencialmente vulnerables son:

 Routers a redes externas que admiten múltiples interfaces internas
 Firewalls proxy donde las aplicaciones proxy utilizan la dirección IP de origen para la autenticación
 Routers con dos interfaces que admiten subredes en la red interna
 Routers que no filtran paquetes cuya dirección de origen está en el dominio local

Session Hijacking
Otra forma de ataque es la piratería de sesión o el secuestro (hijacking). El secuestro de sesiones TCP es
un proceso en el que un hacker se hace cargo de una sesión TCP entre dos máquinas. Debido a que la
autenticación con frecuencia se realiza sólo al inicio de una sesión TCP, esto permite que el hacker
irrumpta en el flujo de comunicación y tomar el control de la sesión. Por ejemplo, una persona puede
iniciar sesión en un equipo de forma remota. Después de establecer una conexión con el host, el hacker
podría utilizar la piratería de sesión (hijacking) para hacerse cargo de esa sesión y así obtener acceso a la
máquina de destino.

Un método popular para la piratería de sesiones es el uso de paquetes IP enrutados por código fuente.
Esto permite a un hacker en el punto A de la red para participar en una conversación entre B y C al
forzar los paquetes IP a pasar a través de la máquina del hacker.

El tipo más común de piratería de sesión es el "ataque de hombre en el medio (man-in-the-middle)". En

este escenario, un hacker utiliza algún tipo de programa de olfateo de paquetes (packet-sniffing) para
simplemente escuchar las transmisiones entre dos computadoras, tomando cualquier información que
él o ella quiere, pero en realidad no interrumpir la conversación. Un componente común de un ataque
de este tipo es ejecutar un ataque DoS contra un punto final para evitar que responda. Debido a que ese
punto final ya no responde, el hacker ahora puede intervenir su propia máquina para apoyar ese punto
final.

El punto de secuestrar una conexión es explotar la confianza y obtener acceso a un sistema al que de
otro modo no habría acceso.

Qué es un cortafuegos
Un cortafuegos es una valla entre su ordenador o su red interna y el mundo exterior o Internet. Una
implementación de firewall determinada podría utilizar uno o varios de los métodos enumerados aquí
para proporcionar esa barrera.
 Filtrado de paquetes
 Filtrado de paquetes con estado
 Autenticación de usuario
 Autenticación de aplicaciones cliente

Como mínimo, un firewall filtrará los paquetes entrantes en función de parámetros como el tamaño del
paquete, la dirección IP de origen, el protocolo y el puerto de destino.

Como ya sabrás, tanto Linux como Windows (esto incluye todas las versiones de Windows desde XP a
través de Windows 10 y las ediciones de servidor) se suministran con un simple firewall integrado en el
sistema operativo. Tanto Norton como McAfee ofrecen soluciones de firewall personal para equipos
individuales. Estos firewalls están diseñados para máquinas individuales.

Hay soluciones más avanzadas disponibles para redes. En un entorno organizativo, querrá un firewall
dedicado entre su red y el mundo exterior. Esto podría ser un router que también tiene capacidades de
firewall integradas. (Cisco Systems es una empresa que es bien conocida para routers y firewalls de alta
calidad.) Alternativamente, podría ser un servidor que se dedica a ejecutar software de firewall. Hay una
serie de soluciones de firewall que puede examinar. La selección de un firewall es una decisión
importante.

Tipos de cortafuegos
Los firewalls de filtrado de paquetes son el tipo de firewalls más simple y a menudo el menos costoso.
Varios otros tipos de cortafuegos ofrecen sus propias ventajas y desventajas. Los tipos básicos de
firewalls son:
 Filtrado de paquetes
 Puerta de enlace de aplicaciones
 Puerta de enlace de nivel de circuito
 Inspección de paquetes con estado

Firewall de filtrado de paquetes

El firewall de filtrado de paquetes es el tipo más básico de firewall. En un firewall de filtrado de
paquetes, se examina cada paquete entrante. Solamente los paquetes que cumplen los criterios que
usted fija se permiten. Muchos sistemas operativos, como los clientes de Windows (como Windows 8 y
10) y muchas distribuciones de Linux, incluyen software básico de filtrado de paquetes con el sistema
operativo.

Los firewalls de filtrado de paquetes también se conocen como firewalls de detección. Pueden filtrar
paquetes basados en el tamaño del paquete, el protocolo utilizado, la dirección IP de origen y muchos
otros parámetros. Algunos routers ofrecen este tipo de protección de firewall además de sus funciones
de enrutamiento normales.
Los firewalls de filtrado de paquetes funcionan examinando la dirección de origen, la dirección de
destino, el puerto de origen, el puerto de destino y el tipo de protocolo de un paquete. De acuerdo con
estos factores y las reglas que el Firewall se ha configurado para utilizar, permiten o niegan el paso al
paquete. Estos cortafuegos son muy fáciles de configurar y económicos. Algunos sistemas operativos,
como Windows 10 y Linux, incluyen capacidades integradas de filtrado de paquetes.

Hay algunas desventajas de los firewalls de filtrado de paquetes. Una desventaja es que no examinan
realmente el paquete o lo comparan con los paquetes anteriores; por lo tanto, son bastante susceptibles
a una inundación de ping o inundación SYN. Tampoco ofrecen ninguna autenticación de usuario. Porque
este tipo de Firewall mira solamente el encabezado del paquete para la información, no tiene
información sobre el contenido del paquete.

Tampoco realiza un seguimiento de los paquetes, por lo que no tiene información sobre los paquetes
anteriores. Por lo tanto, si miles de paquetes provenían de la misma dirección IP en un corto período de
tiempo, un host no notaría que este patrón es inusual. Tal patrón indica a menudo que la dirección IP en
cuestión está intentando realizar un ataque DoS en la red.

Para configurar un firewall de filtrado de paquetes, simplemente establezca reglas de filtrado

adecuadas. Un conjunto de reglas para un firewall determinado tendría que cubrir lo siguiente:
 Qué tipos de protocolos permitir (FTP, SMTP, POP3, etc.)
 ¿Qué puertos de origen para permitir
 Qué puertos de destino permitir
 Qué direcciones IP de origen debe permitir (puede bloquear ciertas direcciones IP si lo desea)

Estas reglas permitirán al firewall determinar qué tráfico permitir y qué tráfico bloquear. Debido a que
este tipo de firewall utiliza sólo recursos del sistema muy limitados, es relativamente fácil de configurar
y se puede obtener de forma económica o incluso de forma gratuita. Aunque no es el tipo más seguro
de firewall, es probable que lo encuentre con frecuencia.

Inspección de paquetes con estado

El Firewall de inspección de paquetes con estado (SPI) es una mejora en el filtrado de paquetes básico.
Este tipo de firewall examinará cada paquete, negando o permitiendo el acceso basado no sólo en el
examen del paquete actual, sino también en los datos derivados de los paquetes anteriores en la
conversación.

Esto significa que el Firewall es consciente del contexto en el cual se envió un paquete específico. Esto
hace que estos cortafuegos sean mucho menos susceptibles a inundaciones de ping e inundaciones SYN,
además de ser menos susceptibles a la suplantación de aire. Los firewalls SPI son menos susceptibles a
estos ataques por las siguientes razones:
• Pueden decir si el paquete es parte de una secuencia anormalmente grande de paquetes de una
dirección IP determinada, lo que indica un posible ataque DoS en curso.
• Pueden decir si el paquete tiene una dirección IP de origen que parece provenir del interior del
firewall, lo que indica que la suplantación de IP está en curso.
También pueden mirar el contenido real del paquete, lo que permite algunas capacidades de filtrado
muy avanzadas.

La mayoría de los firewalls de calidad hoy en día utilizan el método de inspección de paquetes con
estado; cuando sea posible, este es el tipo recomendado de firewall para la mayoría de los sistemas. De
hecho, la mayoría de los routers domésticos tienen la opción de utilizar la inspección de paquetes con
estado.

La inspección de paquetes con estado de nombre deriva del hecho de que, además de examinar el
paquete, el firewall está examinando el estado del paquete en relación con toda la conversación IP. Esto
significa que el firewall puede hacer referencia a los paquetes anteriores, así como al contenido, la
fuente y el destino de esos paquetes. Como puede sospechar, los firewalls SPI se están volviendo
bastante comunes.

Application Gateway
Una puerta de enlace de aplicaciones (también conocida como proxy de aplicación o proxy de nivel de
aplicación) es un programa que se ejecuta en un firewall. Este tipo de firewall deriva su nombre del
hecho de que funciona negociando con varios tipos de aplicaciones para permitir que su tráfico pase el
firewall. En la terminología de redes, la negociación es un término utilizado para referirse al proceso de
autenticación y verificación. En otras palabras, en lugar de mirar el protocolo y el puerto que está
utilizando el paquete, una puerta de enlace de aplicaciones examinará la aplicación cliente y la
aplicación del lado servidor a la que está intentando conectarse.

A continuación, determinará si se permite el tráfico de esa aplicación cliente en particular a través del
firewall. Esto es significativamente diferente de un firewall de filtrado de paquetes, que examina los
paquetes y no tiene conocimiento de qué tipo de aplicación los envió. Las puertas de enlace de
aplicaciones permiten al administrador permitir el acceso solo a determinados tipos de aplicaciones
especificados, como exploradores web o clientes FTP.

Cuando un programa cliente, como un explorador web, establece una conexión a un servicio de destino,
como un servidor web, se conecta a una puerta de enlace de aplicaciones o proxy. El cliente entonces
negocia con el servidor proxy para obtener acceso al servicio de destino.
En efecto, el proxy establece la conexión con el destino detrás del firewall y actúa en nombre del cliente,
ocultando y protegiendo equipos individuales en la red detrás del firewall.

Este proceso realmente crea dos conexiones. Hay una conexión entre el cliente y el servidor proxy y otra
conexión entre el servidor proxy y el destino.
Una vez que se establece una conexión, la puerta de enlace de aplicaciones toma todas las decisiones
sobre qué paquetes reenviar. Puesto que toda la comunicación se lleva a cabo a través del servidor
proxy, los equipos detrás del firewall están protegidos.
Con una puerta de enlace de aplicaciones, cada programa cliente compatible requiere un programa
único para aceptar datos de aplicación cliente. Este tipo de firewall permite la autenticación de usuarios
individuales, lo que los hace bastante eficaces para bloquear el tráfico no deseado. Sin embargo, una
desventaja es que estos firewalls utilizan una gran cantidad de recursos del sistema. El proceso de
autenticación de aplicaciones cliente utiliza más tiempo de memoria y CPU que el filtrado de paquetes
simple.

Las puertas de enlace de aplicaciones también son susceptibles a varios ataques de inundación
(inundación SYN, inundación de ping, etc.) por dos razones. La primera causa potencial de un ataque de
inundación puede ser el tiempo adicional que tarda una aplicación en negociar la autenticación de una
solicitud. Recuerde que tanto la aplicación cliente como el usuario pueden necesitar autenticarse. Esto
toma más tiempo que simplemente filtrar paquetes basados en ciertos parámetros.

Por esta razón, una avalancha de solicitudes de conexión puede abrumar al firewall, impidiendo que
responda a solicitudes legítimas. Las puertas de enlace de aplicaciones también pueden ser más
susceptibles a ataques de inundación porque una vez que se realiza una conexión, los paquetes no se
comprueban. Si se establece una conexión, esa conexión se puede utilizar para enviar un ataque de
inundación al servidor al que se ha conectado, como un servidor web o un servidor de correo
electrónico.

Esta vulnerabilidad se mitiga un poco mediante la autenticación de los usuarios. Siempre que el método
de inicio de sesión del usuario sea seguro (contraseñas apropiadas, transmisión cifrada, etc.), se reduce
la probabilidad de que alguien pueda utilizar una conexión legítima a través de una puerta de enlace de
aplicaciones para un ataque de inundación.

Circuit Level Gateway

Los firewalls de puerta de enlace de nivel de circuito son similares a las puertas de enlace de
aplicaciones, pero son más seguros y generalmente implementados en equipos de gama alta. Estos tipos
de firewalls también emplean la autenticación de usuario, pero lo hacen antes en el proceso.

Con una puerta de enlace de aplicaciones, primero se comprueba la aplicación cliente para ver si se
debe conceder acceso y, a continuación, se autentica al usuario. Con los gatewayes de nivel de circuito,
autenticar al usuario es el primer paso. Se comprueba el ID de inicio de sesión y la contraseña del
usuario, y se concede acceso al usuario antes de que se establezca la conexión con el enrutador. Esto
significa que cada individuo, ya sea por nombre de usuario o dirección IP, debe ser verificado antes de
que pueda tener lugar cualquier comunicación adicional.

Una vez que se realiza esta verificación y se establece la conexión entre el origen y el destino, el firewall
simplemente pasa bytes entre los sistemas. Existe un "circuito" virtual entre el cliente interno y el
servidor proxy. Las solicitudes de Internet pasan a través de este circuito al servidor proxy, y el servidor
proxy entrega esas solicitudes a Internet después de cambiar la dirección IP. Los usuarios externos solo
ven la dirección IP del servidor proxy.

Las respuestas son entonces recibidas por el servidor proxy y enviadas de nuevo a través del circuito al
cliente. Es este circuito virtual el que hace que el gateway de nivel de circuito sea seguro. La conexión
segura privada entre la aplicación cliente y el firewall es una solución más segura que algunas otras
opciones, como el firewall de filtrado de paquetes simple y la puerta de enlace de aplicaciones.

Mientras que el tráfico se permite a través, los sistemas externos nunca ven los sistemas internos.

Implementación del cortafuegos

Los administradores deben ser capaces de evaluar los problemas de implementación para lograr una
solución de seguridad exitosa para sus sistemas.

Comprender el tipo de firewall significa saber cómo el firewall evaluará el tráfico y decidirá qué permitir
y qué no permitir.

Comprender la implementación del firewall significa comprender cómo se configura ese firewall en
relación con la red que está protegiendo. Las configuraciones más utilizadas incluyen:
 Redes basadas en host
 Dual-homed host
 Router-based firewall
 Screened host

Basado en host
En el escenario basado en host (a veces denominado host de red), el firewall es una solución de
software instalada en una máquina existente con un sistema operativo existente. La preocupación más
importante en este escenario es que, no importa lo buena que sea la solución de firewall, está
supeditada al sistema operativo subyacente. En tal escenario, es fundamental que la máquina que
hospeda el firewall tenga un sistema operativo protegido.

El endurecimiento del sistema operativo se refiere a tomar varias precauciones de seguridad, entre
ellas:
 Asegurarse de que todos los parches se actualizan
 Desinstalación de aplicaciones o utilidades innecesarias
 Cierre de puertos no utilizados
 Apagar todos los servicios no utilizados

En la implementación basada en host de red, instale el software de firewall en un servidor existente. A

veces, el sistema operativo del servidor puede venir con dicho software. No es nada raro que los
administradores utilicen una máquina que ejecute Linux, configuren su firewall integrado y usen ese
servidor como firewall. La principal ventaja de esta opción es el costo. Es mucho más barato
simplemente instalar software de firewall en una máquina existente y usar esa máquina como firewall.

Dual-Homed Hosts
Un dual-homed host es un firewall que se ejecuta en un servidor con al menos dos interfaces de
red. Esta es una metodología más antigua. La mayoría de los firewalls hoy en día se implementan en
enrutadores reales, en lugar de servidores. El servidor actúa como router entre la red y las interfaces a
las que está conectado.

Para hacer este trabajo, la función de ruteo automático está inhabilitada, lo que significa que un
paquete IP de Internet no se enruta directamente a la red. El administrador puede elegir qué paquetes
enrutar y cómo enrutarlos. Los sistemas dentro y fuera del firewall pueden comunicarse con el host de
doble host, pero no pueden comunicarse directamente entre sí.

El dual-homed host configuración es simplemente una versión ampliada de la implementación del

firewall del host de red. Esto significa que también depende de la seguridad del sistema operativo
subyacente. Cada vez que un firewall se ejecuta en un servidor de cualquier tipo, la seguridad del
sistema operativo de ese servidor se vuelve aún más crítica de lo normal.

Esta opción tiene la ventaja de ser relativamente simple y económica. La principal desventaja es su
dependencia del sistema operativo subyacente.

Router-Based Firewall
Los administradores pueden implementar la protección de firewall en un enrutador. De hecho, incluso
los routers más simples y de gama baja hoy en día tienen algún tipo de firewall incluido. En redes más
grandes con múltiples capas de protección, esta es a menudo la primera capa de protección. Aunque
varios tipos de firewalls se pueden implementar en un router, el tipo más común utiliza el filtrado de
paquetes. Los usuarios de una conexión de banda ancha en una casa o una pequeña oficina pueden
obtener un router firewall de filtrado de paquetes para reemplazar el enrutador básico proporcionado
por la compañía de banda ancha.

En muchos casos, esta solución también es ideal para el principiante del firewall. Varios proveedores
proporcionan firewalls basados en enrutadores que el proveedor puede preconfigurar en función de las
necesidades del cliente. A continuación, el cliente puede instalarlo entre la red y la conexión a Internet
externa. Además, la mayoría de las marcas ampliamente conocidas (Cisco, 3Com, etc.) ofrecen
capacitación y certificaciones específicas del proveedor en su hardware, lo que hace que sea
relativamente fácil encontrar administradores calificados o capacitar al personal actual.

Otra forma valiosa de implementar firewalls basados en enrutadores es entre subsecciones de una red.
Si una red se divide en segmentos, cada segmento necesita utilizar un router para conectarse a los otros
segmentos. El uso de un router que también incluye un firewall aumenta significativamente la
seguridad. Si se pone en peligro la seguridad de un segmento de la red, el resto de la red no se incumple
necesariamente.

Tal vez la mejor ventaja de los firewalls basados en router es la facilidad de configuración. En muchos
casos, el proveedor incluso configurará el firewall para usted, y simplemente lo conectará. La mayoría de
los routers basados en el hogar hoy en día, como los de Linksys, Belkin o Netgear, tienen un firewall
incorporado. Y, de hecho, prácticamente todos los routers de gama alta incluyen la capacidad de
firewall.
Screened Hosts
A screened host es realmente una combinación de cortafuegos. En esta configuración, se utiliza una
combinación de un host bastión y un router de detección. La combinación crea una solución de firewall
dual que es eficaz para filtrar el tráfico. Los dos firewalls pueden ser de diferentes tipos. El host bastión
podría ser una puerta de enlace de aplicaciones y el screener de paquetes del enrutador (o viceversa).
Este enfoque ofrece las ventajas de ambos tipos de firewalls y es similar en concepto al host de doble
host.

El screened host tiene algunas ventajas distintas sobre el dual-homed firewall. A diferencia de la dual-
homed firewall, El screened host solo necesita una interfaz de red y no requiere una subred
independiente entre la puerta de enlace de aplicaciones y el enrutador. Esto hace que el firewall sea
más flexible, pero tal vez menos seguro porque su dependencia de una sola tarjeta de interfaz de red
significa que podría configurarse para pasar ciertos servicios de confianza a la parte de la puerta de
enlace de aplicaciones del firewall y directamente a los servidores dentro de la red.

La preocupación más importante al utilizar el host con pantalla es que esencialmente combina dos
firewalls en uno. Por lo tanto, cualquier fallo de seguridad o configuración incorrecta afecta a ambos
firewalls. Cuando usted utiliza una DMZ hay físicamente dos firewalls separados, y la probabilidad de
cualquier falla de seguridad que se propague a ambos es baja.

Servidores proxy
Un servidor proxy se utiliza a menudo con un firewall para ocultar la dirección IP de la red interna y
presentar una sola dirección IP (propia) al mundo exterior. Un servidor proxy es un servidor que se
encuentra entre una aplicación cliente, como un explorador web, y un servidor real. Los servidores
proxy impiden que los piratas informáticos vean las direcciones IP de las máquinas internas, sepan
cuántas máquinas hay detrás del servidor proxy o que aprendan algo sobre la configuración de red.

Los servidores proxy también proporcionan un valioso mecanismo de control porque la mayoría de los
servidores proxy registran todo el tráfico saliente. Esto permite a los administradores de red ver a dónde
van los empleados en Internet. Un servidor proxy normalmente se ejecuta como software en el mismo
equipo que el firewall.

El servidor proxy está configurado para redirigir cierto tráfico. Por ejemplo, el tráfico entrante mediante
el protocolo HTTP normalmente se permite a través del servidor proxy, pero se redirige al servidor web.
Eso significa que todo el tráfico HTTP saliente y entrante pasa primero a través del servidor proxy. Un
servidor proxy se puede configurar para redirigir cualquier tráfico que desee. Si un servidor de correo
electrónico o un servidor FTP está en la red, todo el tráfico entrante y saliente de esa red se ejecutará a
través del servidor proxy.

El uso de un servidor proxy significa que cuando una máquina dentro de la red visita un sitio web, el sitio
web solo detectará que el servidor proxy lo visitó. De hecho, si docenas de equipos diferentes en la red
visitan un sitio que registra las direcciones IP de las conexiones entrantes, todas se registrarán con la
misma dirección IP: la del servidor proxy.
En su mayor parte, este tipo de servidor proxy ha sido sustituido por la traducción de direcciones de red.
Sin embargo, el término servidor proxy todavía se utiliza, pero con una aplicación diferente. Ahora los
servidores proxy funcionan con el firewall para filtrar cosas como el contenido web. Permiten a un
administrador de red bloquear ciertos sitios y registrar todos los sitios web que visita un usuario
determinado.

Esta ocultación de la red es un servicio muy valioso porque el conocimiento de las direcciones IP
internas se puede utilizar para ejecutar ciertas formas de ataque. Por ejemplo, la suplantación de IP está
supeditada a conocer la dirección IP de algún servidor interno. Ocultar esas direcciones IP es un paso
importante en la seguridad de la red. También puede ser muy útil saber dónde van los empleados en
Internet.

Los servidores proxy realizan un seguimiento de dicha información, y muchos administradores de red la
utilizan para restringir a los empleados el uso de la conexión a Internet de la empresa con fines ilícitos.
Esto también puede ser una herramienta útil para detener los ataques. Un empleado que visita sitios
web de hackers podría ser un riesgo potencial para la seguridad. Pueden optar por probar algunas de las
técnicas que leen en la red.

Los administradores también pueden detectar un posible espionaje industrial. Un empleado que pasa
mucho tiempo en el sitio web de un competidor podría estar considerando un cambio de trabajo y
podría considerar llevar datos valiosos con él.

NAT (Network Address Translation)

Para muchas organizaciones, los servidores proxy han sido reemplazados por una tecnología más
reciente conocida como traducción de direcciones de red (NAT). Hoy en día lo que llamamos servidores
proxy no hacen lo que los servidores proxy originalmente hicieron (es decir, traducir una dirección IP
privada en una dirección IP pública). Principalmente, NAT traduce direcciones internas y direcciones
externas para permitir la comunicación entre equipos de red y equipos externos. El exterior solo ve la
dirección de la máquina que ejecuta NAT (a menudo el firewall). Desde esta perspectiva, funciona
exactamente como un servidor proxy.

NAT también proporciona seguridad significativa porque, por abandono, permite solamente las
conexiones que se originan en la red interior. Esto significa que un equipo dentro de la red puede
conectarse a un servidor web externo, pero un equipo externo no puede conectarse a un servidor web
dentro de la red. Puede poner algunos servidores internos a disposición del mundo exterior a través de
la asignación de entrada, que asigna ciertos puertos TCP conocidos (80 para HTTP, 21 para FTP, etc.) a
direcciones internas específicas, haciendo así que servicios como FTP o sitios web estén disponibles para
el mundo exterior. Sin embargo, esta asignación de entrada debe realizarse explícitamente; no está
presente por defecto.

Windows Firewalls
Windows comenzó a usar un firewall primitivo, llamado Firewall de conexión a Internet (ICF), con
Windows 2000. Era muy simple. Cada versión de Windows desde entonces se ha expandido a esta idea.
Windows 10 incluye un firewall totalmente funcional. Este firewall puede bloquear paquetes entrantes y
salientes. Para acceder al firewall de Windows 10, haga clic en el botón Inicio y escriba Firewall.

A partir de Windows Server 2008 y todas las versiones posteriores, los firewalls de Windows son
firewalls de inspección de paquetes con estado. Con el Firewall de Windows 10, puede establecer
diferentes reglas para el tráfico saliente y entrante. Por ejemplo, la estación de trabajo estándar
probablemente permitirá el tráfico HTTP saliente en el puerto 80, pero es posible que no desee permitir
el tráfico entrante (a menos que esté ejecutando un servidor web en esa estación de trabajo).

También puede configurar reglas para un puerto, un programa, una regla personalizada o una de las
muchas reglas predefinidas que Microsoft tiene para que pueda seleccionar. También puede elegir no
solo permitir o bloquear la conexión, sino permitirla solo si está protegida por IPSec. Esto le proporciona
tres opciones para cualquier conexión.

Las reglas permiten o bloquean una aplicación o puerto determinado. También puede tener reglas
diferentes para el tráfico entrante y saliente. Las reglas le permiten decidir si un tipo determinado de
comunicación está bloqueado o permitido. Puede tener diferentes configuraciones para el tráfico
entrante y saliente. Puede establecer reglas para puertos individuales (todos los 65.554 puertos de red
disponibles) y para aplicaciones. Las reglas en el firewall de Windows le dan una gran flexibilidad.

Lo que es más importante, puede aplicar reglas de manera diferente dependiendo de la procedencia del
tráfico. Puede configurar reglas para tres áreas o perfiles:
 Domain: Para los equipos autenticados en su dominio.
 Public: Para equipos de fuera de la red. Tratarías el tráfico externo con más cuidado que el
tráfico procedente de otra máquina de tu dominio.
  Private: Privado se refiere al tráfico desde su propio ordenador, por lo tanto el término privado.

Los administradores siempre deben seguir estas reglas con todos los firewalls de filtrado de paquetes:
• Si no necesita explícitamente un puerto, bloquee. Por ejemplo, si no está ejecutando un servidor web
en ese equipo, bloquee todo el tráfico del puerto de entrada 80. Con las máquinas domésticas,
normalmente puede bloquear todos los puertos. Con estaciones de trabajo individuales en una red, es
posible que deba mantener algunos puertos abiertos para permitir que varias utilidades de red accedan
a la máquina.
• A menos que tenga una razón convincente para no hacerlo, bloquee siempre el tráfico ICMP porque
muchas utilidades como ping, tracert y muchos escáneres de puertos utilizan paquetes ICMP. Si bloquea
el tráfico ICMP, evitará que muchos escáneres de puertos analicen el sistema en busca de
vulnerabilidades.
Ocasionalmente, sugeriría seguir escribiendo acrónimos como ICMP sólo para asegurarse de que esto se
refuerza.

Firewall de Windows también tiene una característica de registro, pero está deshabilitado de forma
predeterminada. Active esta función (cuando configure el firewall verá un lugar para activar el registro).
Compruebe este registro periódicamente. Puede encontrar más detalles sobre el Firewall de Windows
10 en [Link]
firewall/windows-firewall-with-advanced-security.

Linux Firewalls
Linux tiene capacidades de firewall integradas en el sistema operativo. Esto ha sido parte del sistema
operativo Linux durante muchos años, con mejoras ocasionales en la tecnología.

Iptables
El primer firewall linux ampliamente utilizado se llamó ipchains. Era esencialmente una cadena de reglas
para filtrar el tráfico. Se introdujo por primera vez en la versión 2.2 del kernel de Linux y sustituyó al
ipfwadm anterior (que no fue ampliamente utilizado). Los iptables más modernos reemplazaron
ipchains y es el firewall principal para Linux. El servicio iptables se introdujo por primera vez en el kernel
de Linux 2.4.

En la mayoría de los sistemas Linux, iptables se instala como /usr/sbin/iptables. Sin embargo, si no se
incluyó en su instalación de Linux en particular, puede agregarlo más adelante.

Un firewall iptables se compone de tres tipos diferentes de objetos: tablas, cadenas y reglas.
Básicamente, las tablas contienen cadenas de reglas. Dicho de otro modo, iptables es una expansión en
el concepto de ipchains. Cada cadena tiene una serie de reglas que definen cómo filtrar paquetes. En
realidad hay tres tablas y cada una tiene algunas cadenas de reglas estándar en él. Por supuesto, puede
agregar sus propias reglas personalizadas. Las tres tablas y sus cadenas estándar son las siguientes:
 Packet filtering: Esta tabla es la parte esencial del firewall. Es un firewall de filtrado de
paquetes y contiene tres cadenas estándar: INPUT, OUTPUT y Forward. La cadena INPUT procesa
los paquetes entrantes y la cadena OUTPUT procesa el tráfico enviado desde la máquina. Si el
 sistema de firewall también actúa como router, solo la cadena FORWARD se aplica a los paquetes
enrutados.
 Network address translation: Esta tabla se utiliza para realizar la traducción de direcciones
de red en el tráfico saliente que inicia una nueva conexión. Esto solo se utiliza si el equipo actúa
como puerta de enlace o servidor proxy.
 Packet alteration: This table is utilizado sólo para la alteración especializada de paquetes. A
menudo se llama la tabla de mangle porque altera, o destroza, los paquetes. Contiene dos
cadenas estándar. Es posible que esta tabla ni siquiera sea necesaria para muchos firewalls
estándar.

Configuracion de Iptables
Iptables requiere cierta configuración. Puede hacerlo a través de la GUI (KDE, GNOME, etc.) pero los
comandos de shell son comunes a la mayoría de las distribuciones. Echemos un vistazo a una
configuración básica común.

Para hacer que iptables funcionar como un firewall básico de filtrado de paquetes, usted necesita estos
comandos:
 iptables -F
 iptables -N block
 iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
Obviamente, esa es la configuración iptables más básica y esencial. Sin embargo, aquí hay algunos otros.
Para enumerar las reglas iptables actuales, utilice:
 iptables –L
Para permitir la comunicación en un puerto específico, ssh Port 22 y HTTP Port 80 por ejemplo, utilice:
 iptables –A INPUT –p tcp –dport ssh –j ACCEPT
 iptables –A INPUT –p tcp –dport 80 –j ACCEPT
También hay varios indicadores que se pueden pasar al comando iptables. A continuación se enumeran
las opciones más comunes y lo que hacen. Existen varias otras opciones, pero no aparecen en la lista.

-A: Anexar esta regla a una cadena de reglas

-L: Enumerar las reglas de filtro actuales
-p: El protocolo de conexión utilizado
--dport: El puerto de destino necesario para la regla. Se puede dar un solo puerto o un rango.
-i: permita la conexión solamente si el paquete está viniendo adentro en la interfaz especificada.
-v: Salida detallada
-s, --source: especificación de la dirección de origen
-d, --destination: especificación de la dirección de destino
Virtual Private Networks (VPN)
¿Cómo puede conectar dos redes en ubicaciones geográficamente separadas sin instalar una
conexión privada entre ellos? ¿Cómo puede proporcionar servicios remotos para permitir a los
usuarios acceder a los servicios corporativos que necesitan permanecer protegidos de las
miradas indiscretas del público en Internet?

La respuesta a ambas preguntas es utilizar una red privada virtual (VPN). Las Vpns
proporcionar vínculos de red virtual basados en el cifrado y el aislamiento del tráfico en el nivel
de paquete sobre el uso de servicios de Internet como transporte. Los dos usos más comunes
de VPN son vincular las sucursales o los sitios remotos (llamada tunelización de LAN a LAN, o
L2L) y para proporcionar acceso remoto a los entornos de oficina (llamado acceso remoto [RA]
VPN).

Los túneles L2L se utilizan extensamente para las comunicaciones privadas entre las redes
corporativas y otras redes de confianza, que podrían ser oficinas remotas u otras empresas
controladas por las redes, o de terceros (por ejemplo, para la externalización o los datos de
empresa a empresa [B2B] llamados también intercambio). El túnel L2L se puede pensar como
el enfoque de VPN de "fuerza industrial", se utiliza típicamente de la misma manera que un
circuito punto a punto o un link de red privad. Las VPN son un enfoque predeterminado para
las comunicaciones seguras entre dos partes, porque las condiciones y el tráfico permitidos en
el VPN se pueden controlar estrictamente de cualquiera extremo del túnel. Los VPN L2L
requieren típicamente un dispositivo en ambos lados de la conexión que puede admitir las
mismas características y capacidades, ya que todas las configuraciones deben ser idénticas en
ambos puntos finales de una VPN para que se cree un túnel. Si bien no hay forma de
proporcionar calidad de servicio (QoS) con VPN basadas en Internet, ya que el enrutamiento
del tráfico todavía está a discreción de la ruta de la capa 3, son rápidas, convenientes y
seguras.

Los servicios de RA VPN permiten a los usuarios trabajar desde una ubicación remota como si
estuvieran físicamente en una oficina. Por razones de conveniencia y costo, los servicios de RA
VPN son cada vez más prolíficos como el teletrabajo y el acceso al sistema de terceros son
cada vez más importantes para una variedad de negocios.

Cómo funciona una VPN

El objetivo de una VPN es proporcionar un canal de comunicación seguro a través de una red,
la mayoría de las vpn son comúnmente un túnel privado a través de Internet. Para ello, el
tráfico se encapsula con un encabezado que proporciona información de enrutamiento que
ayuda al tráfico a llegar al destino.

El tráfico también se cifra, que proporciona la integridad, la confidencialidad, y la autenticidad.

Una VPN se conoce como un Túnel porque el cliente no conoce o se preocupa por el ruta real
entre los dos extremos. Hay muchos tipos de túneles no cifrados disponible hoy en día, como
los túneles de encapsulación de enrutamiento genérico (GRE), que hacen que dos lugares en
una red aparecen más cerca. Mientras que una VPN topográficamente hace la mismo cosa, el
componente privado de VPN se refiere al cifrado. Por ejemplo, supongamos que una sucursal
está vinculada a la red corporativa por una VPN.
Protocolos VPN
Varias compañías de computación empezaron a desarrollar tecnologías VPN a mediados de la
década de 1990, y sus protocolos eran específicos del proveedor. Hacia finales de la década de
1990, las VPN convergieron hacia el estándar IPSec. Hoy en día, la mayoría de los proveedores
de VPN utilizan IPSec como protocolo básico en sus productos.

RFC 6040. Especifica cómo deben funcionar las VPN entre plataformas, logrando así la
interoperabilidad de los proveedores. La norma no prohíbe funcionalidad más avanzada de ser
añadido por cualquier proveedor en particular, pero se establece estándares mínimos por los
cuales los dispositivos compatibles serán capaces de comunicarse para formar VPNs.

Es necesario que la configuración de ambos lados de una VPN coincida exactamente. Los
protocolos VPN más comunes en uso hoy en día son IPSec, PPTP, L2TP a través de IPSec y SSL
VPN.

IPSec
IPSec fue lanzado en 1998, después de años de diseño y debate entre los especialistas en
seguridad y fabricantes de productos. Representa una especie de compromiso entre diferentes
Intereses. IPSec se diseñó para proporcionar confidencialidad mediante cifrado, autenticación
de puntos de conexión y la administración de claves segura. Proporciona diferentes maneras
de hacer estas cosas, en gran parte debido a los debates de diseño que precedieron a su
lanzamiento. Los parámetros de IPSec que se han utilizados por los puntos finales se negocian
en la Asociación de seguridad (SA). Con dos incorporados protocolos de seguridad y dos
"modos" de operación, cuatro combinaciones diferentes de protocolos, y es mejor asegurarse
de que coincidan en ambos extremos o su VPN no funcionará.

Hay dos tipos de configuraciones al usar IPSec VPN: modo de transporte y modo de túnel.

El modo de transporte solo cifra los datos de carga. Aunque el modo de transporte podría ser
considerado "más rápido" dependiendo de qué protocolos de criptografía está utilizando
(porque hay menos descifrado necesario con el modo de transporte), la mayoría de hardware
hoy en día procesa en silicio y es lo suficientemente rápido como para no diferenciar entre el
modo de túnel y modo de transporte, excepto en entornos muy exigentes/de alta carga o
extremadamente sencible de latencia. Por esa razón, el modo de transporte no es muy común
con equipos de alta velocidad de hoy en día.

El modo del túnel IPSec se utiliza a menudo para las conexiones del Gateway-a-Gateway L2L
tales como vínculos de socios comerciales y conexiones de sucursales. Esto se debe a su
flexibilidad, optimización y compatibilidad de proveedores, y también porque los parámetros
de la conexión no cambian a menudo, a diferencia de otros tipos de conexiones de cliente. A
menudo la conexión y los parámetros para construir el túnel entre los dispositivos se deben
crear manualmente, y Aunque esto funciona bien al vincular los sitios, sería poco práctico
apoyar este para los clientes cuyos detalles de conexión (como la dirección IP del punto final)
cambian con frecuencia.

Proveedores que han elegido esta solución de protocolo de tunelización han trabajado en
torno a la necesidad de una configuración configuración en una variedad de maneras, pero
para cualquier tipo de túnel no estático, las implementaciones son específicos de la plataforma
tecnológica y no son interoperables entre proveedores.

Los clientes de VPN también usan el modo de túnel IPSec, pero normalmente requieren el
cliente para cargar el software de conexión, como un cliente VPN o un paquete de instalación
local que crea un adaptador de red virtual, que se puede precargar con la configuración del
lado cliente, requisitos como opciones de autenticación y pertenencia a grupos.

PPTP
Hay un número de otros protocolos que se han desarrollado a lo largo de los años y sigue
siendo parte de muchos productos hoy en día. El más común de estos protocolos es el de
Microsoft protocolo de tunelización de punto a punto (PPTP). PPTP todavía se utiliza bastante
en la industria porque es fácil de implementar, flexible y compatible con la mayoría de los
sistemas operativos actuales. PPTP fue inicialmente desplegado en 1998 como parte de
Windows NT 4,0 y fue inmediatamente abalanzada por la prensa debido a su horrible modelo
de seguridad inicial.

Esto se ha corregido en gran medida en Windows 2000 y 2003, pero la reputación de PPTP
probablemente estará siempre empinada por los errores iniciales.

Al menos a través de Windows 2008 R2, Microsoft todavía tiene capacidades PPTP, y algunas
personas recomiendan usarlo como una manera "rápida y sucia" para obtener acceso remoto
a una red, pero en general es menos seguro que otros métodos y sólo debe utilizarse, con
precaución, para permitir acceso a redes que no lleven datos de misión crítica o confidenciales.

L2TP over IPSec

L2TP a través de IPSec es el resultado de combinar las mejores partes de PPTP de Microsoft y
Layer Protocolo de reenvío de dos (L2F) de Cisco. L2TP a través de IPSec utiliza IPSec modo de
transporte y tiene la ventaja de ser un túnel basado en PPP, que permite que dos cosas: los
protocolos que no sean TCP/IP pueden ser fácilmente soportados en el túnel, y los sistemas
operativos pueden crear un objeto de conexión conocido que se puede utilizar para abordar el
túnel (esto es particularmente importante en los sistemas operativos de Microsoft). Estas
opciones son significativo si el diseño del sistema operativo permite el uso de varios
protocolos.
Aunque L2TP a través de IPSec proporciona más flexibilidad tanto al cliente como al servidor,
crea sobrecarga en el entorno del túnel que podría argumentarse que es innecesario,
especialmente si el entorno sólo utiliza TCP/IP. Sin embargo, muchas organizaciones que
implementan VPNs consideran el soporte nativo de Windows de L2TP a través de IPSec es una
ventaja significativa. Normalmente, L2TP sobre IPSec se utiliza para la conectividad de cliente a
servidor porque los parámetros de conexión pueden controlar dinámicamente los clientes que
cambian. Si su entorno de red requiere el uso de protocolos que no sean TCP/IP, L2TP también
se puede utilizar para conexiones Gateway-Gateway.

Puesto que el IPSec y el L2TP se definen dentro del estándar IETF, hay más proveedores que
soportan esta solución, aunque todavía hay muchos más soportando por el modo del túnel
IPSec.

SSL VPNs
Las implementaciones modernas de VPN SSL pueden igualar (o exceder) exactamente la
funcionalidad de una VPN basada en cliente de software para el acceso remoto. Cuando se
trata de acceso remoto de usuario, muchos productos aprovechan los enlaces protegidos con
SSL a las aplicaciones corporativas a través de algún tipo de portales de acceso autenticado,
que se denominan comúnmente "enlaces publicados." Este enfoque tiene tres grandes
ventajas:

• Casi todos los clientes tienen el software necesario cargado por defecto: el navegador de
Internet. No se necesita software adicional.

• La mayoría de los firewalls admiten SSL y no es necesario abrir protocolos ni puertos

adicionales para admiten este tipo de conexión.

• En muchos casos, los usuarios remotos simplemente necesitan realizar tareas predecibles,
como comprobar su correo electrónico o ejecutar una aplicación específica, y muchos de ellos
son ya basada en Web.

Muchas organizaciones han vuelto a las VPN SSL para el acceso remoto porque el cliente base
IPSec tienen una amplia sobrecarga informática (requieren la carga administrativa de crear,
distribuir y mantener un archivo de conexión local para el PC), se pueden volver costosas, y
muchos vendedores tienen problemas con sus extensiones propietarias.

Remote Access VPN Security

Al permitir que los sitios y los clientes remotos se conecten a la red corporativa a través de
redes, la seguridad de los dispositivos en el otro extremo del túnel VPN es importante, porque
pueden acceder a la red interna.

Los siguientes problemas de seguridad deben tenerse en cuenta al diseñar una RA VPN.

• A menos que la organización proporcione todos los sistemas remotos y mandatos que solo
estos pueden ser utilizado, es imposible predecir el historial o los ajustes en los clientes. Para
administrar y mantener la seguridad de la red de una organización, todas las entidades
conectadas en la red necesitan ser administrados, soportados, y aseguradas según las políticas,
los estándares y los procedimientos de la organización. Los sistemas que no son propiedad y
gestionada por la organización no permiten la gestión de parches, antivirus, cortafuegos y
otras medidas de seguridad. Incluso si un tercero en particular es diligente en mantener
limpios sus sistemas, la falta de gestión empresarial hace que estos sistemas sean un riesgo en
la red. Es posible que los sistemas remotos de terceros no sean capaz de "llamar a wsus" para
las actualizaciones y correcciones de seguridad, los sistemas de terceros no pueden recibir
actualizaciones y cambios para ajustarse a los nuevos estándares proporcionados por la
organización, y el malware pueden introducirse en la red por sistemas externos.

Authentication Process
Muchos procesos de autenticación para clientes remotos se basan en un nombre de usuario y
una contraseña, incluso aquellos que están utilizando el intercambio de certificados como el
mecanismo para asegurar la conexión.

Los nombres de usuario y las contraseñas se siguen utilizando hoy en día porque son fáciles de
implementar y usar, y este tipo de autenticación ha existido durante tanto tiempo que está
muy bien apoyado en casi todas las implementaciones de los sistemas operativos cliente.

En la industria de ti, los métodos de acceso remoto de empresa se mueven hacia el proceso de
2 factores de autenticación. Los criterios para estas soluciones son los que el usuario debe
tener, conocer o ser algo único.

Para entornos basados en Windows, este normalmente implica una tarjeta inteligente basada
en certificados. Otras soluciones van desde la base de tokens sistemas de contraseña de una
sola vez (OTP) a escáneres biométricos.

Para los clientes de VPN que utilizan la compatibilidad nativa con L2TP a través de IPSec en
Microsoft Windows (independientemente del servidor back-end), el comportamiento
predeterminado es requerir un certificado para iniciar la Asociación de seguridad entre el
cliente y el servidor. Esto suele ser un IPSec specifico certificado (normalmente para usuarios
que no son de dominio) o un certificado de máquina (normalmente para equipos que son
miembros del dominio). Los sistemas Windows también admiten el uso de un secreto
compartido (también llamada clave preshared) para construir la Asociación de seguridad.

El objetivo final de la autenticación en un entorno VPN es doble:

• Identificando la Máquina El certificado de la máquina (o el secreto compartido, a un menor

extensión) identifica el sistema como un sistema válido para establecer la seguridad IPSec
Asociación. (Este paso no ocurre con PPTP y algunas otras soluciones VPN.)

• Identificando el Usuario El usuario demuestra quiénes se basan en el nombre de usuario,

certificado, o algún otro mecanismo, pero la función básica es determinar Si el usuario tiene
permiso para establecer una conexión.
La mayoría de los proveedores de acceso remoto tienen métodos para autenticar al usuario y,
a continuación, comprobar la configuración de cliente antes de dar acceso completo. Esto se
denomina validación de la postura (PV).

Configuración de cliente
En casi todos los ataques, los puntos finales del túnel son las víctimas. Si bien es posible atacar
el tráfico en ruta cuando pasa a través de un túnel VPN, pero esto nos llevaría mucho tiempo,
requerirá un alto nivel de sofisticación y requiere la captura de tráfico en ubicaciones de red
específicas. Más los ataques no molestan o interfieren con el tráfico, pero se dirigen en lugar a
los puntos finales del túnel. Es mucho más fructífero lanzar ataques simples en servidores o
clientes en un esfuerzo por comprometer tanto el tráfico como la propia red corporativa. Por
lo tanto, la condición del túnel extremos es fundamental en cualquier plan de acceso remoto.

La estrategia de seguridad sólo se refería a si un usuario tenía los derechos para conectarse al
servicio de acceso remoto, pero en estos días, es común requerir ciertas configuraciones de los
sistemas cliente. Este es un movimiento necesario debido al número de seguridad, parches y
actualizaciones de software que deben implementarse en el sistema cliente para endurecerlos
contra los ataques de punto final.

Al implementar soluciones de acceso remoto, muchas organizaciones toman el curso lógico de

tratar de comprar una solución VPN para todo tipo de clientes. Si la organización ha limitado
los tipos de clientes, esto es relativamente fácil, pero puede ser un desafío para las
organizaciones que tienen un amplio base de clientes. Aunque idealmente se puede encontrar
una solución unificada para todos los clientes, es a menudo el caso de que sólo algunos
clientes pueden ser compatibles, o algunos son compatibles mejor que Otros. El arquitecto de
acceso remoto tendrá que evaluar estos problemas y cómo afectan a la organización, y luego
decidir sobre el mejor curso de acción.

En los primeros días, las VPN normalmente estaban destinadas a permitir que los sistemas
Windows se conecten entre sí, pero hoy en día la proliferación de diferentes sistemas
operativos de usuario final y dispositivos (incluyendo dispositivos móviles) ha complicado la
imagen. Normalmente, una organización queriere tres cosas de un cliente remoto antes de
permitir una conexión:

• Los parches de seguridad y los Service Packs deben estar a un nivel específico.

• Un firewall de software basado en host debe estar instalado.

• El software antivirus con las definiciones de virus actuales debe estar presente.

Entorno de red de cliente

Otra preocupación para el factor en un diseño de acceso remoto es cómo el cliente se
configura para manejar la conexión de red para el túnel virtual. Cuando el cliente se puede
conectar a más de una red remota a la vez, esto se conoce comúnmente como túnel dividido.
El ruteo del túnel dividido causa la preocupación por dos razones. La primera razón es que
cuando un enrutamiento del cliente sabe cómo hablar directamente a la red corporativa e
Internet, tráfico no autorizado se puede enrutar a través del cliente a la red corporativa. El
segundo razón es que si un troyano se instaló en el cliente, un atacante podría tomar el control
de los clientes y, a continuación, acceder a la red corporativa. Esta táctica es comúnmente
explotada por los atacantes, por lo que el caso de túnel dividido debe evaluarse seriamente
antes de permitir su uso.

Cualquier cliente con una configuración del túnel dividido se debe tener una buena
configuración de seguridad y políticas estrictas que garanticen todas las redes y equipos que
están en contacto o pudieran estar en contacto con este.

Hay realmente sólo algunas ventajas de un entorno de túnel dividido:

• Cuando la tabla de ruteo permite una conexión directa a un destino en lugar de tener el flujo
de conexión a través de los firewalls corporativos y servidores proxy, en los clientes remotos
potencialmente pueden tener más capacidades. Por ejemplo, la organización, las reglas de
Firewall podrían no permitir el tráfico del servidor terminal desde el exterior, pero desde el
tráfico de cliente no se filtraría por el firewall, podría conectarse al destino con tráfico de
servicio de terminal directamente.

• Las conexiones directas pueden proporcionar un aumento de velocidad para los sitios web
de Internet. La velocidad dependerá realmente del diseño de la red y del conducto al Servicios
VPN.

Muchos diseñadores utilizan servidores de almacenamiento en caché para ayudar con este
problema, y en muchos casos no sólo pueden aumentar la velocidad para que coincida con la
conexión directa, pero puede aprovechar los grandes vínculos de Internet de una organización
para mejorar el Rendimiento.

• Algunos programas de VPN deshabilitan la capacidad de imprimir o acceder a los recursos

locales en cualquier subredes, por lo que si tiene una LAN de oficina pequeña detrás de un
dispositivo de conexión compartida, podría no ser capaz de transferir archivos o imprimir
cuando el túnel está conectado. Éste crea problemas para los usuarios que desean imprimir en
una impresora local.

• Por último, es posible que los usuarios domésticos que utilizan sus propios sistemas no
quieran que la organización tengan pista de a donde van. Esto es comprensible, pero en su
lugar deben desconectar de los recursos corporativos cuando quieren trabajar en material
personal.

Como arquitecto de acceso remoto, tendrá que establecer lo que considera un cliente bien
protegido. Por ejemplo, consideremos un cliente típico de Windows y comencemos a compilar
sobre los criterios para el proceso de inicio de sesión. Supongamos que la Directiva de acceso
remoto dicta el siguiente requisitos de autenticación:

• Debe establecer la Asociación de seguridad IPSec con un certificado válido de una raíz de
confianza

• Debe proporcionar inicio de sesión de tarjeta inteligente basada en certificado a través de la

autenticación extensible Protocolo (EAP)

Una vez hecho esto, el cliente se coloca en una red de cuarentena virtual, y podemos forzar al
cliente continuar con las siguientes comprobaciones:

• Debe estar ejecutando Windows 7 o superior

• Debe tener instalado un Service Pack definido (normalmente el más reciente)

• Debe tener todos los parches de seguridad críticos instalados (o al menos hasta una fecha
determinada, o parches específicos en función de las necesidades y requisitos de la
organización)

• Debe estar ejecutando el escáner de virus corporativo estándar con el último archivo de
firma

• Debe estar ejecutando el software de Firewall corporativo (gestionado centralmente)

Si el cliente está ejecutando los tres primeros elementos, pero no está ejecutando el escáner
de virus corporativo y cortafuegos, podemos dar al cliente un mensaje explicando los
resultados del escaneo, iniciar una applet para supervisar el entorno de enrutamiento y, a
continuación, sacar al cliente de la cuarentena.

Una vez que el cliente cargue los dos últimos elementos (que también podrían automatizarse
para no requieren la intervención manual del usuario), entonces podrían comenzar a utilizar el
ruteo más flexible. Los únicos elementos de configuración de cliente que estamos exigir con el
fin de tomar el sistema fuera de cuarentena son la versión del sistema operativo, los Service
Packs y los parches.
Hay varias maneras en que el cliente puede ser puesto en cuarentena desde el resto de la
empresa:

• Terminar la conexión Algunos proveedores han elegido simplemente para enviar al cliente
un mensaje que explica el problema con el cliente y simplemente suelta la conexión. Esto es
prevenir posibles infecciones.

• Establezca un límite de tiempo en la conexión En esta situación, se envía al usuario un

mensaje que explica el problema y, a continuación, se le da una cierta cantidad de tiempo para
solucionar el problema antes de que se desconecte la sesión. Esto introduce un problema
potencial cuando son grandes parches y conexiones lentas, y tiende a ser más difícil de
soportar.

• Cree listas de control de acceso (ACL) en la sesión para "sandbox" que el cliente en este caso
de que el cliente recibirá un mensaje explicando el problema y, a continuación, el sesión de
conexión tendrá filtros aplicados que pueden restringir el tráfico a ciertos puertos o destinos
internos. Esto es ideal, ya que le da al cliente la oportunidad para solucionar el problema
utilizando recursos internos sin plantear un gran riesgo para el resto de la Corporación. Esto
puede ser bastante complejo de configurar y mantener, por lo que el equipo de acceso remoto
debe ser muy claro sobre los requisitos mínimos del cliente, tanto inicialmente como cambios
y mejoras son necesarios.

Site-to-Site VPN Security

La popularidad de Internet y la disponibilidad de VPNs han conducido a organizaciones
reemplazar las líneas arrendadas o las conexiones permanentes cableadas entre sitios y socios.

Esto es porque las conexiones VPN tienden a ser una fracción del costo de las líneas
arrendadas o de conexiones MPLS. Mientras que el rendimiento de la VPN es en gran parte un
factor del ancho de banda, latencia, la gran mayoría de los casos de uso para los VPN no
requieren un nivel de rendimiento que requiera una red privada real (incluso el streaming de
medios de comunicación, como lo demuestra la consumerización de la transmisión de vídeo
bajo demanda a través de la Internet).

Varios de los problemas descritos en este capítulo se relacionan con el uso de clientes de
acceso remoto como los puntos finales no son problemas para L2L VPN. Esto se debe
principalmente a que una organización normalmente posee y controla ambos extremos del
túnel para conexiones de sitio a sitio, aunque las implementaciones de negocio a negocio
(B2B) son generalizadas y comunes. Además, la mayoría de las sucursales las oficinas están
conectadas con enrutadores o dispositivos en lugar de clientes que operan sistemas, pero
tenga en cuenta que hoy en día muchos dispositivos de red están ejecutando algún sabor de
un sistema operativo de productos básicos (normalmente una variante de UNIX) bajo el capó,
que requiere parches y actualizaciones como cualquier otro sistema. Puesto que los usuarios
no inician sesión al routers y navegan Internet, instalar aplicaciones desconocidas o hacer
doble clic en archivos adjuntos de correo electrónico, de sitio a sitio conexiones tienden a ser
más seguras.

Las conexiones B2B mencionadas anteriormente son enlaces de sitio a sitio donde la
Corporación posee solo un lado de la conexión. Esto se encuentra típicamente en situaciones
donde el redes de la organización están vinculadas con las de los socios comerciales. No hay
ningún quarantinetype solución que comprobará este tipo de conexión todavía, por lo que
depende del acceso remoto arquitecto para definir los requisitos mínimos para el punto final
del túnel del Partner, o para traer la conexión a través de un lugar en la red donde está aislado
y hay visibilidad en lo que está teniendo lugar. Es importante monitorear el tráfico del link y, si
es posible, restringirlo solo a los destinos internos necesarios.
 Hoja1

Puerto/protocolo Nombre Descripción

n/d / GRE gre GRE (protocolo IP 47) Enrutamiento y acceso remoto

n/d / ESP IPSec ESP (protocolo IP 50) Enrutamiento y acceso remoto

n/d / AH IPSec AH (protocolo IP 51) Enrutamiento y acceso remoto
1/tcp tcpmux Multiplexor TCP
5/tcp rje Entrada de trabajo remota
Protocolo Echo (Eco) Responde con eco a llamadas
7/tcp echo remotas
Protocolo Discard, elimina cualquier dato que recibe, sirve
9/tcp discard para la evaluación de conexiones
11/tcp systat Servicio del sistema para listar los puertos conectados
13/tcp daytime Protocolo Daytime, envía la fecha y hora actuales
17/tcp qotd Quote of the Day, envía la cita del día
18/tcp msp Protocolo de envío de mensajes
Protocolo Chargen o Generador de caracteres, envía flujos
19/tcp chargen infinitos de caracteres
FTP File Transfer Protocol (Protocolo de Transferencia de
20/tcp ftp-data Ficheros) - datos
FTP File Transfer Protocol (Protocolo de Transferencia de
21/tcp ftp Ficheros) - control
22/tcp ssh SSH, scp, SFTP
23/tcp telnet Telnet manejo remoto de equipo, inseguro
SMTP Simple Mail Transfer Protocol (Protocolo Simple de
25/tcp smtp Transferencia de Correo)
37/tcp time Time Protocol. Sincroniza hora y fecha
39/tcp rlp Protocolo de ubicación de recursos
42/tcp nameserver Servicio de nombres de Internet
43/tcp nickname Servicio de directorio WHOIS
Terminal Access Controller Access Control System
49/tcp tacacs para el acceso y autenticación basado en TCP/IP
50/tcp re-mail-ck Protocolo de verificación de correo remoto
DNS Domain Name System (Sistema de Nombres de
53/tcp and udp domain Dominio), por ejemplo BIND
53/udp FaceTime
63/tcp whois++ Servicios extendidos de WHOIS (WHOIS++)
Software de red que permite acceso remoto
66/tcp and udp Oracle SQLNet entre los programas y la base de datos Oracle.
BOOTP BootStrap Protocol (servidor), también usado por
67/udp bootps DHCP
BOOTP BootStrap Protocol (cliente), también usado por
68/udp bootpc DHCP
TFTP Trivial File Transfer Protocol (Protocolo Trivial de
69/udp tftp Transferencia de Ficheros)
70/tcp gopher Gopher
79/tcp finger Finger
HTTP HyperText Transfer Protocol (Protocolo de
80/tcp http Transferencia de HiperTexto) (WWW)
88/tcp kerberos Kerberos Agente de autenticación
95/tcp supdup Extensión del protocolo Telnet
101/tcp hostname Servicios de nombres de host en máquinas SRI-NIC
107/tcp rtelnet Telnet remoto
109/tcp pop2 POP2 Post Office Protocol (E-mail)
110/tcp pop3 POP3 Post Office Protocol (E-mail)

Página 1
 Hoja1

111/tcp sunrpc sunrpc

113/tcp auth ident (auth) antiguo sistema de identificación
115/tcp sftp SFTP Protocolo de transferencia de archivos seguros
117/tcp uupc-path Servicios de rutas de Unix-to-Unix Copy Protocol (UUCP)
119/tcp nntp NNTP usado en los grupos de noticias de usenet
123/udp ntp NTP Protocolo de sincronización de tiempo
135/tcp epmap epmap
137/udp netbios-ns NetBIOS Servicio de nombres
138/udp netbios-dgm NetBIOS Servicio de envío de datagramas
139/tcp netbios-ssn NetBIOS Servicio de sesiones
143/tcp imap IMAP4 Internet Message Access Protocol (E-mail)
161/udp snmp SNMP Simple Network Management Protocol
162/udp snmptrap SNMP-trap
174/tcp mailq Cola de transporte de correos electrónicon MAILQ
177/tcp xdmcp XDMCP Protocolo de gestión de displays en X11
178/tcp nextstep Servidor de ventanas NeXTStep
179/tcp bgp Border Gateway Protocol
194/tcp irc Internet Relay Chat
199/tcp smux SNMP UNIX Multiplexer
201/tcp at-rtmp Enrutamiento AppleTalk
202/tcp at-nbp Enlace de nembres AppleTalk
204/tcp at-echo Echo AppleTalk
206/tcp at-zis Zona de información AppleTalk
209/tcp qmtp Protocolo de transferencia rápida de correo (QMTP)
210/tcp z39.50 Base de datos NISO Z39.50
213/tcp ipx El protocolo de intercambio de paquetes entre redes (IPX)
220/tcp imap3 IMAP versión 3
245/tcp link Servicio LINK / 3-DNS iQuery
347/tcp fatserv Servicio de administración de cintas y archivos FATMEN
363/tcp rsvp_tunnel Túnel RSVP
369/tcp rpc2portmap Portmapper del sistema de archivos Coda
370/tcp codaauth2 Servicios de autenticación del sistema de archivos Coda
372/tcp ulistproc UNIX LISTSERV
389/tcp ldap LDAP Protocolo de acceso ligero a Bases de Datos
427/tcp svrloc Protocolo de ubicación de servicios (SLP)
434/tcp mobileip-agent Agente móvil del Protocolo Internet
435/tcp mobilip-mn Gestor móvil del Protocolo Internet
HTTPS/SSL usado para la transferencia segura de páginas
443/tcp https web
444/tcp snpp Protocolo simple de Network Pagging
Microsoft-DS (Active Directory,
compartición en Windows, gusano Sasser, Agobot)
o también es usado por Microsoft-DS compartición de
445/tcp microsoft-ds ficheros
SMTP Sobre SSL. Utilizado para el envío de correo
465/tcp smtps electrónico (E-mail)
500/udp IPSec ISAKMP, Autoridad de Seguridad Local
512/tcp exec
513/tcp Rlogin
514/udp syslog usado para logs del sistema
515/tcp usado para la impresión en windows
RIP Routing Information Protocol (Protocolo de Información
520/udp rip de Enrutamiento)
587/tcp smtp SMTP Sobre TLS

Página 2
 Hoja1

591/tcp FileMaker 6.0 (alternativa para HTTP, ver puerto 80)

631/tcp CUPS sistema de impresión de Unix
666/tcp identificación de Doom para jugar sobre TCP
VATP (Velneo Application Transfer Protocol) Protocolo de
690/tcp comunicaciones de Velneo
993/tcp imaps IMAP4 sobre SSL (E-mail)
995/tcp POP3 sobre SSL (E-mail)
1080/tcp SOCKS Proxy
1337/tcp suele usarse en máquinas comprometidas o infectadas
1352/tcp IBM Lotus Notes/Domino RCP
1433/tcp Microsoft-SQL-Server
1434/tcp Microsoft-SQL-Monitor
1494/tcp Citrix MetaFrame Cliente ICA
1512/tcp WINS Windows Internet Naming Service
1521/tcp Oracle puerto de escucha por defecto
1701/udp Enrutamiento y Acceso Remoto para VPN con L2TP.
1720/udp H.323
1723/tcp Enrutamiento y Acceso Remoto para VPN con PPTP.
1761/tcp Novell Zenworks Remote Control utility
1863/tcp MSN Messenger
1935/tcp FMS Flash Media Server
2049/tcp NFS Archivos del sistema de red
2082/tcp cPanel puerto por defecto
2083/tcp CPanel puerto por defecto sobre SSL
2086/tcp Web Host Manager puerto por defecto
2427/udp Cisco MGCP
3030/tcp and udp NetPanzer
3074/tcp Xbox Live
3074/udp Xbox Live

3128/tcp HTTP usado por web caches y por defecto en Squid cache
3128/tcp NDL-AAS
3306/tcp MySQL sistema de gestión de bases de datos
3389/tcp RDP (Remote Desktop Protocol) Terminal Server
3396/tcp Novell agente de impresión NDPS
3690/tcp Subversion (sistema de control de versiones)
4443/tcp and udp AOL Instant Messenger (sistema de mensajería) 2​
4662/tcp eMule (aplicación de compartición de ficheros)
4672/udp eMule (aplicación de compartición de ficheros)
RAdmin (Remote Administrator),
herramienta de administración remota (normalmente
4899/tcp troyanos)
5000/tcp Universal plug-and-play
5001/tcp Agente v6 Datadog3​
5060/udp Session Initiation Protocol (SIP)
5190/tcp AOL y AOL Instant Messenger
5222/tcp Jabber/XMPP conexión de cliente
Jabber/XMPP puerto por defecto para conexiones de
5223/tcp cliente SSL
5269/tcp Jabber/XMPP conexión de servidor
5432/tcp PostgreSQL sistema de gestión de bases de datos
5517/tcp Setiqueue proyecto SETI@Home
5631/tcp PC-Anywhere protocolo de escritorio remoto
5632/udp PC-Anywhere protocolo de escritorio remoto

Página 3
 Hoja1

5400/tcp VNC protocolo de escritorio remoto (usado sobre HTTP)

5500/tcp VNC protocolo de escritorio remoto (usado sobre HTTP)
5600/tcp VNC protocolo de escritorio remoto (usado sobre HTTP)
5700/tcp VNC protocolo de escritorio remoto (usado sobre HTTP)
5800/tcp VNC protocolo de escritorio remoto (usado sobre HTTP)
5900/tcp VNC protocolo de escritorio remoto (conexión normal)
6000/tcp X11 usado para X-windows
6112/udp Blizzard
6129/tcp Dameware Software conexión remota
6346/tcp Gnutella compartición de ficheros (Limewire, etc.)
6347/udp Gnutella
6348/udp Gnutella
6349/udp Gnutella
6350/udp Gnutella
6355/udp Gnutella
6667/tcp IRC IRCU Internet Relay Chat
6881/tcp BitTorrent puerto por defecto
6969/tcp BitTorrent puerto de tracker
7100/tcp Servidor de Fuentes X11
7100/udp Servidor de Fuentes X11
iRDMI por lo general, usado erróneamente en sustitución
de 8080.
8000/tcp También utilizado en el servidor de streaming ShoutCast.
HTTP HTTP-ALT ver puerto 80. Tomcat lo usa como
8080/tcp puerto por defecto.
8118/tcp privoxy
9009/tcp Pichat peer-to-peer chat server
9898/tcp Gusano Dabber (troyano/virus)
10000/tcp Webmin (Administración remota web)
Panda Security Puerto de comunicaciones de Panda
19226/tcp Agent.
12345/tcp NetBus en:NetBus (troyano/virus)
Minecraft Puerto por defecto usado por servidores del
25565/tcp juego.
Back Orifice herramienta de administración remota (por lo
31337/tcp general troyanos)
41121/tcp tentacle Protocolo de transferencia utilizado por Pandora FMS.4​
Utilizado por Percona Monitoring Management para recoger
42000/tcp métricas generales.5​
Utilizado por Percona Monitoring Management para
42001/tcp recabar datos de desempeño.5​
Utilizado por Percona Monitoring Management para
42002/tcp recabar métricas de MySQL.5​
Utilizado por Percona Monitoring Management para
42003/tcp recabar métricas de MongoDB.5​
Utilizado por Percona Monitoring Management para
42004/tcp recabar métricas de ProxySQL.5​
Calivent herramienta de administración remota SSH con
análisis de paquetes.
45003/tcp smb /tcp/udp 137-19,445

Página 4