UNIDAD 8:

CONTRAMEDIDAS DE RED/PROTOCOLO
BLOQUE II
ATAQUES Y CONTRAMEDIDAS

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 1

Contenidos
1. Introducción.
2. Lista de control de acceso (ACL)
3. Firewalls y DMZs.
4. Diodos de datos.
5. Otros sistemas asociados a la protección del perímetro.
6. IPSec.
7. Redes Privadas Virtuales (VPN).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 2

1. Introducción
Existen diferentes topologías de red en las organizaciones actuales.
◦ Bus, anillo, estrella, malla, etc.

Sea cual sea la topología escogida, debe incorporar las contramedidas

de red básicas que permitan proteger el perímetro de la organización y
segmentar las diferentes redes internas según su grado de
interconexión con el mundo exterior y el nivel de seguridad deseado.
◦ Teniendo en cuenta el nuevo significado del “perímetro”.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 3

1. Introducción

INTERNET

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 4

1. Introducción
SOA Acceso remoto

Cloud
Mobile y BYOD
IoT e IIoT Big Data y analítica

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 5

2. Listas de control de acceso
Listas de Control de Acceso ( Access Control List (ACL)): Es una forma de
determinar los permisos de acceso apropiados a un determinado
objeto, dependiendo de ciertos aspectos del proceso.
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales
como enrutadores y computadores. Su principal objetivo es filtrar
tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna
condición. Sin embargo, también tienen usos adicionales, como por
ejemplo, distinguir "tráfico interesante" (tráfico suficientemente
importante como para activar o mantener una conexión) en Red digital
de servicios integrados (RDSI).
NOTA: RDSI: conexiones digitales extremo a extremo para proporcionar
una amplia gama de servicios, tanto de voz como de otros tipos, y a la
que los usuarios acceden a través de un conjunto de interfaces
normalizados

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 6

2. Listas de control de acceso
Listas de Control de Acceso ( Access Control List (ACL))

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 7

3. Firewalls y DMZs
La separación/protección de redes se puede implementar con
diferentes mecanismos y dispositivos:

Routers con listas

Tablas de Switches
de control de
encaminamiento inteligentes
acceso

Firewalls DMZs Diodo de datos

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 8

3. Firewalls y DMZs
Firewall

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 9

3. Firewalls y DMZs
DMZ

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 10

 3. Firewalls y DMZs
ACL: Lista de Control de Acceso

INTERNET

ACL

Puerto Puerto
Regla Acción IP origen IP destino Protocolo
origen destino
1 Aceptar [Link] [Link] Any 25 (SMTP) TCP
2 Aceptar [Link]/24 Cualquiera Any 80 (HTTP) TCP
3 Aceptar Cualquiera [Link] Any 80 (HTTP) TCP

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 11

3. Firewalls y DMZs
Un firewall es un dispositivo hardware/ software que
tiene como objetivo proteger una red de otras redes a las
cuales está conectada.
◦ Por lo tanto se debe situar en un punto en el que recoja
todo el tráfico entrante y saliente de la red que deben
proteger.
◦ No basta con la presencia del firewall para garantizar la
protección de la red, este dispositivo además debe
estar correctamente configurado.
◦ Un error muy habitual es dejar las configuraciones por defecto
del dispositivo.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 12

3. Firewalls y DMZs
◦ Un firewall suele funcionar de la siguiente manera:
◦ Monitorizando y controlando el tráfico que fluye hacia/desde la red protegida.
◦ Aplicando filtros que buscan determinados patrones.
◦ Se compara cada unidad de información (paquete, segmento, datagrama o trama) con una
serie de reglas predefinidas para ver si encaja en alguna.
◦ Aplicando reglas de filtrado que especifican las acciones que deben llevarse a cabo cuando se
encuentran estos patrones.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 13

 3. Firewalls y DMZs
Los firewalls se pueden clasificar atendiendo a su nivel de funcionamiento
◦ Firewall a nivel de red/transporte: Se basan en examinar las cabeceras de las unidades
de información para filtrar por puerto, dirección, etc.
▪ Los de red pueden ser Packet filter firewalls o stateful firewalls.
• En el primer caso examinan las unidades de información de una en una, es decir,
individualmente.
• En el segundo caso pueden analizar las relaciones entre unas y otras y se pueden
establecer reglas teniendo en cuenta estas relaciones.
◦ Firewalls DPI: Son los más sofisticados, ya que pueden filtrar por protocolos/tipos de
archivos específicos, como SOAP o XML, por ejemplo.
◦ Firewall a nivel de aplicación (proxy): Se basan en un análisis a un nivel más alto que
tiene en cuenta los parámetros específicos de cada aplicación.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 14

 3. Firewalls y DMZs
Normalmente esta labor de filtrado de paquetes la realiza
principalmente el firewall que es un hardware o software
dedicado específicamente a esa tarea de control e
inspección de los paquetes que pasan por él para decidir si
prosiguen o no su camino. El firewall más simple es el filtro
de paquetes, que sigue el esquema de lista de reglas ACL
que hemos visto en el router frontera

INTERNET

ACL

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 15

 SPI: stateful packet inspection

3. Firewalls y DMZs
SPI

ACL: Lista de Control de Acceso

INTERNET

ACL

IP IP Puerto Puerto
Regla Acción Protocolo
origen destino origen destino
1 Denegar Any Any Any 23 (TELNET) Any
2 Denegar Any Any 23 (TELNET) Any Any
3 Denegar Any Any Any Any Any

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 16

 SPI: stateful packet inspection

3. Firewalls y DMZs
SPI

ACL: Lista de Control de Acceso

INTERNET

ACL

A estos firewall se les añadió la posibilidad de añadir reglas más complejas a la lista de
forma dinámica según el contexto de la conexión a nivel de transporte, como por
ejemplo comprobar si el paquete examinado pertenece o no a una sesión que esté
abierta en ese momento, por lo que se denominaron firewalls dinámicos o stateful
packet inspection (SPI)
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 17
 3. Firewalls y DMZs
DPI

ACL: Lista de Control de Acceso

INTERNET

ACL

Por último tenemos los firewall DPI (Deep Packet Inspection), que realizan una
inspección mucho más minuciosa de los paquetes que atraviesan el firewall,
examinando los datos a nivel de aplicación y pudiendo así detectar troyanos,
spyware, malware, etc.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 19

 3. Firewalls y DMZs
DPI

ACL: Lista de Control de Acceso

INTERNET

ACL

IP IP Puerto Puerto
Regla Acción Protocolo
origen destino origen destino
1 Denegar Any Any Any 23 (TELNET) Any
2 Denegar Any Any 23 (TELNET) Any Any
3 Denegar Any Any Any Any Any

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 20

 3. Firewalls y DMZs
PROXY

INTERNET

ACL

Otra de las opciones que se suele emplear es el firewall proxy o pasarela de aplicaciones
(Application Gateway), que son máquinas que hacen de intermediarias entre la red interna y la
externa (también se denominan Dual-Homed por estar presentes en ambas redes), de forma
que examina y registra todo el tráfico de salida y entrada. Así, si un usuario de la red interna
quisiera utilizar determinados servicios (como por ejemplo navegar) tendrá que solicitarlos al
proxy y será este el que haga las peticiones de páginas web y se las devuelva. Esto permite,
entre otras cosas, el control del uso de estos servicios, dado que al pasar todos por el proxy
podemos llevar un registro o bloquear ciertos usos indebidos, es decir accesos no permitidos.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 21

 3. Firewalls y DMZs

PROXY

INTERNET

ACL

Otra ventaja del proxy es que podemos hacer el filtrado a nivel de aplicación, evitando
contenido malicioso o respuestas mal formadas, que de esta forma no llegarán a nuestra
red interna. El principal inconveniente es el posible cuello de botella y disminución del
rendimiento de esos servicios que pasan por el proxy.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 22

 3. Firewalls y DMZs
PROXY

INTERNET
ACL

Nodos Bastión

Tanto el proxy, como los demás firewall y router frontera que hemos visto, son máquinas que se
encuentran fuera de nuestra red, y por tanto expuestas a ataques. A estas máquinas se las
denomina Nodos Bastión, y debemos tener especial cuidado en su configuración, asegurándola
lo mejor posible (con un sistema operativo actualizado y seguro, eliminando aplicaciones,
protocolos y puertos innecesarios y con todas las medidas de seguridad y actualizaciones
posibles).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 23

3. Firewalls y DMZs
Pero también pueden clasificarse en función de las reglas de filtrado
que aplican por norma general.
◦ Políticas permisivas o restrictivas.
O por el tipo de activo que protegen.
◦ Hemos mencionado el firewall de perímetro o red (hardware) pero
también se utilizan los de sistema o nodo (software).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 24

3. Firewalls y DMZs

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 25

3. Firewalls y DMZs

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 26

3. Firewalls y DMZs
En cuanto a una DMZ (Zona Desmilitarizada) se trata de una red que se
ubica entre la red de computadores interior de una organización y una
red de computadores exterior, generalmente Internet.
◦ La zona desmilitarizada permite que servidores interiores provean la red
exterior de servicios, mientras protege la red interior de intromisiones.

Se puede implementar con un firewall de tres vías o con dos firewalls

(opción más segura pero más costosa).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 27

3. Firewalls y DMZs

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 28

3. Firewalls y DMZs
Otros servicios básicos de cualquier organización, que además son los
que están más expuestos a ataques porque deben ser accesibles desde
el exterior, son el servicio web, el correo electrónico, el DNS, etc.
Estos servicios se deben proteger por un firewall pero deben seguir
siendo accesibles y por tanto vulnerables. Por lo que tampoco es
deseable que estén dentro de nuestra red interna.
Esto los sitúa en un terreno entre la red interna y la externa que se
suele denominar zona desmilitarizada (DMZ) o red perimetral

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 29

 Configuración Three-legs

DMZ
Según la configuración que
elijamos serán estos los
encargados de proteger
tanto a estos equipos de las
amenazas externas como a
la red interna de las posibles
intrusiones en estos equipos
tan expuestos

INTERNET

Firewall de tres vías (tres

tarjetas de red diferentes)

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 30

 Configuración front-end o de las dos vias

3. Firewalls y DMZs
Firewall Front- Firewall Back-
End End

INTERNET

Según la configuración que elijamos

serán estos los encargados de
proteger tanto a estos equipos de
las amenazas externas como a la
red interna de las posibles
intrusiones en estos equipos tan DMZ
expuestos
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 31
4. Diodos de datos
Son dispositivos de protección de perímetro utilizados habitualmente
en interconexiones entre sistemas con diferentes categorías o políticas
de seguridad. Su funcionalidad principal es la de separar redes,
permitiendo el flujo de información en un único sentido y haciendo
inviable la transmisión de información en el sentido opuesto.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 32

 4. Diodos de datos
Proporcionan las siguientes funciones básicas de seguridad:
• Transmisión del tráfico de red de manera unidireccional, siendo la
comunicación de entrada hacia, o salida desde, la red interna.
• Capacidad de interpretar protocolos bidireccionales y convertirlos en
unidireccionales para que luego sean nuevamente bidireccionales en la
segunda red.

La protección tiene lugar a diferentes niveles dentro de las capas

definidas por el modelo OSI, principalmente se centra en el nivel de capa
física limitando el flujo de información en el sentido autorizado y
haciendo imposible la transmisión de señales de comunicación en el
opuesto ya que se encuentra bloqueado, pero también a nivel de las
capas de red, transporte y/o aplicación para habilitar el uso de
protocolos bidireccionales.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 33

4. Diodos de datos
Casos de uso:
1. Entrada de información a la red interna: Se cuenta con dos redes
separadas por un diodo de datos. Una de las redes es la que vamos a
proteger (Interna) mientras que la otra es una red con un nivel de
confianza inferior (externa).
• El diodo de datos en este caso está implementado y configurado para permitir únicamente
el flujo de información desde la red externa hacia la red interna y evitar así cualquier
comunicación en sentido opuesto que posibilite la fuga de información de nuestra
organización.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 34

4. Diodos de datos
Casos de uso:
2. Salida de información: Se cuenta con dos redes separadas por un diodo de
datos. Una de las redes es la que vamos a proteger (Interna) mientras que
la otra es una red con un nivel de confianza inferior (externa).
• El diodo de datos está implementado y configurado para permitir únicamente el flujo de
información desde la red interna hacia la red externa y evitar cualquier comunicación en
sentido opuesto que posibilite introducir información desde la red externa hacia la red
interna.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 35

 4. Diodos de datos
Entorno de uso:
Para poder intégralos en un entorno de trabajo se deben dar:
a) Protección física: El producto deberá instalarse en un área donde el acceso sólo
sea posible para el personal autorizado y con condiciones de seguridad física
adecuadas.
b) Aislamiento de red: Debe ser la única comunicación entre la red interna y la red
externa.
c) Administración confiable: El usuario administrador será confiable y estará
altamente capacitado y carecerá de cualquier intención maliciosa.
d) Protección de las credenciales: Todas las credenciales, en especial la del
administrador, deberán estar correctamente protegidas por parte de la
organización que utilice este producto para sus comunicaciones entre la red
interna y la red externa.
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 36
5. Otros sistemas asociados a
la protección del perímetro
Honeypot: Recurso
relacionado con la
seguridad informática cuyo
valor es ser puesto a
prueba, atacado y/o
comprometido

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 37

 5. Otros sistemas asociados a
la protección del perímetro
Un honeypot permite llevar una traza de los puntos de
origen de los ataques.
Recolectar información sobre las tácticas y herramientas
utilizadas por los atacantes.
Aprender acerca de malware y ataques zero-day e
incluso detectarlos a tiempo.
Desviar o entretener al atacante.
Analizar y comprender vulnerabilidades de mi sistema.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 38

 5. Otros sistemas asociados a
la protección del perímetro
Un honeypot es un sistema “trampa” para observar el comportamiento de un
ciberataque y analizar la intrusión y el método utilizados. Estos sistemas
simulan ser equipos vulnerables para atraer a los atacantes, y nos van a
permitir por tanto:
• Analizar y conocer las vulnerabilidades de nuestro sistema.
• Recoger información sobre nuevos métodos de ataque y herramientas hasta ahora
desconocidos por nosotros.
• Desviar la atención del atacante para salvar el sistema principal, disuadir al atacante
o ganar tiempo para poder reaccionar y tomar las medidas necesarias para rechazar
el ataque.
• Capturar nuevo tipo de malware o zero-days para su estudio.
• Llevar una traza de los puntos de origen de los ataques, obteniendo direcciones IP
de atacantes para incorporarlas a nuestra base de datos.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 39

5. Otros sistemas asociados a
la protección del perímetro
Un poco de sentido común:
◦ Necesitamos que el honeypot sea atacado, tiene que ser un sistema lo más
realista posible conectado a nuestra red real.
◦ Tendremos que generar para él, datos y procesos falsos.
◦ Cuidado con dejar configuraciones por defecto, en unos segundos el atacante sabrá que se trata
de un honeypot..
◦ Debemos separarlo adecuadamente del resto de sistemas para que no se
vean comprometidos.
◦ ¿Hasta qué punto protegemos al honeypot? Depende de cual sea nuestro
objetivo.
◦ Nadie de la organización debe acceder al honeypot, de esta manera todo lo
que llegue a este sistema se clasificará como un potencial ataque.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 40

5. Otros sistemas asociados a
la protección del perímetro
Por ejemplo, si es un IDS (sistema de detección de intrusos ) para zero-
day attacks, lo protegemos al máximo, de manera que sólo un ataque
nuevo pueda comprometerlo.
Pero si queremos recoger información sobre posibles atacantes,
normalmente lo dejaremos algo más expuesto.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 41

5. Otros sistemas asociados a
la protección del perímetro
Honeypots itinerantes:
• Son un mecanismo que permite que las ubicaciones de los honeypots sean
impredecibles, cambien continuamente y se oculten dentro de un grupo de
servidores.
• Es un subconjunto de los servidores activos que cambian continuamente y
brinda servicio, mientras que el resto del grupo de servidores está inactivo y
actúa como honeypots.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 42

 5. Otros sistemas asociados a
la protección del perímetro
Normalmente actúan junto con los IDPS de forma que después de detectar un ataque
se recomponen las trazas del atacante (toda la secuencia de paquetes registrados por
el sensor del honeypot) y se realiza un análisis forense. De esta forma, si se trata de
un nuevo ataque se incorporan las nuevas reglas de detección al IDPS (sistema de
detección de intrusiones)

IDPS

INTERNET

HONEYPOT

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 43

5. Otros sistemas asociados a
la protección del perímetro
En este sentido, suelen distinguirse dos tipos de honeypot:
• Honeypot de producción: Si el honeypot lo empleamos para defender una
red o reducir los daños de los ataques.
• Honeypot de investigación: Si lo utilizamos para recabar información del
atacante, sus estrategias, herramientas, etc.

Production Research
honeypot honeypot

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 44

5. Otros sistemas asociados a
la protección del perímetro
Los honeypots de producción son:
• Fáciles de usar, capturan solo información limitada y se utilizan
principalmente por empresas o corporaciones.
• Se colocan dentro de la red de producción con otros servidores de
producción de una organización para mejorar su estado general de
seguridad.
• Añaden valor a la seguridad de una organización específica y ayudar a
mitigar el riesgo.
• Dan menos información sobre los ataques o atacantes que los honeypots de
investigación.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 45

5. Otros sistemas asociados a
la protección del perímetro
Los honeypots de Investigación:
• Suelen ser empleadas por centros de investigación, entornos militares o
gubernamentales.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 46

5. Otros sistemas asociados a
la protección del perímetro
Ya no estamos
pensando sólo en la
prevención basada Prevención
en la segmentación Respuesta por
de redes aprendizaje

Detección

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 47

5. Otros sistemas asociados a
la protección del perímetro
Ya no estamos
pensando sólo en la
prevención basada Prevención
en la segmentación Respuesta por
de redes aprendizaje

Detección

El peso de estas tres funcionalidades depende del honeypot

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 48

5. Otros sistemas asociados a
la protección del perímetro
Existe otra clasificación en función del nivel de interacción del honeypot
con su entorno:

Honeypot de Honeypot de
baja interacción alta interacción

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 49

5. Otros sistemas asociados a
la protección del perímetro
Existe otra clasificación en función del nivel de interacción del honeypot
con su entorno:
• Baja interacción: Emulan una parte de un sistema muy concreto,
normalmente se instalan como una aplicación en un host y sólo sirven para
detectar y recolectar información sobre ataques muy concretos, tipo
sandbox (aislados del resto del sistema), por lo que la información que se
obtiene es muy básica. Lo que produce poco riesgo.
• Alta interacción: Sistemas completos, más realistas, recogen más
información pero dan más trabajo y son más peligrosos (se pueden utilizar
como plataforma para un ataque).
• Últimamente se habla de interacción media cuando es un sistema completo
pero virtualizado, un compromiso entre ventajas e inconvenientes de los
otros dos.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 50

5. Otros sistemas asociados a
la protección del perímetro
Baja interacción: Son sencillos de instalar e implican poco riesgo. Los
honeypots más sencillos y flexibles son los de monitorización de puertos
que mediante aplicaciones o servicios escuchan determinados puertos y
responden simulando a los servicios reales, generando las alertas y logs
correspondientes.
Monitorización de puertos

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 51

 5. Otros sistemas asociados a
la protección del perímetro
Media interacción: Añaden algo de complejidad a los anteriores para poder recoger más
información del ataque, por lo que hay que tener más cuidado a la hora de configurarlo y de
proteger correctamente el resto de la red ya que implican un mayor riesgo.
Un ejemplo podrían ser los honeypot “jaula” (jailed honeypots): que crean un entorno virtual
que simula un sistema operativo real, de forma que el atacante queda confinado en él,
consumiendo tiempo y recursos y sin poder emplearlo como plataforma para atacar otros
sistemas pues se encuentra muy limitado.

Monitorización de puertos

jailed honeypots

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 52

5. Otros sistemas asociados a
la protección del perímetro
Alta interacción: sistemas completos, mucho más realistas, que recogen
toda la información necesaria pero son muy laboriosos de configurar y
analizar, además de ser más peligrosos (un atacante lo podría usar como
plataforma para atacar nuestra red después lanza varios paquetes
maliciosos que entran en nuestra red, por lo que hay que extremar las
precauciones, hacer que el firewall aumente de tamaño).
Un ejemplo de honeypot comercial de media-alta interacción es
ManTrap que permite crear hasta cuatro sistemas operativos virtuales
en los que el atacante tiene completa libertad (con los riesgos que eso
conlleva) pero está siendo observado y sus pasos quedan registrados.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 53

 5. Otros sistemas asociados a
la protección del perímetro
ManTrap

INTERNET

HONEYPOT

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 54

5. Otros sistemas asociados a
la protección del perímetro
Ejemplos de Honeypots:
• Honeytrap: honeypot que observa ataques contra servicios TCP y
UDP.
• Dionaea: honeypot de caracter general diseñado para simular
vulnerabilidades de red y servicios (SMB, HTTP, FTP, MSSQL, VoIP...).
• Cowrie: honeypot que simula un servidor con SSH y Telnet diseñado
para monitorizar los ataques de acceso y la interacción con la Shell.
• Glastopf: honeypot orientado a aplicaciones web (webmail, wikis, etc).
• Conpot: honeypot para ICS que permite simular un entorno industrial
completo.
• EMobility: honeypot para ICS que simula un centro de carga eléctrica
de vehículos (incluso simula usuarios cargando los vehículos).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 55

5. Otros sistemas asociados a
la protección del perímetro
Una honeynet es un conjunto de honeypots de alta interacción que
conforman una red completa con los objetivos de
prevención/detección/respuesta ya mencionados.
Son soluciones costosas de desplegar y mantener, por lo que
normalmente se utilizan para investigación.
◦ Aunque la aparición de honeynets virtuales las han hecho más asequibles
para todo tipo de entornos.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 56

5. Otros sistemas asociados a
la protección del perímetro
Un honeypot o una honeynet pueden formar parte de una solución IDPS
(Intrusion Detection and Prevention System) o alimentarla:
Detection es pasivo y Prevention es reactivo
El host IDPS para sistemas críticos como pueda ser un servidor web o de
base de datos, el de red pretende trabajar con toda una
red/subred/grupo de equipos. Los hay específicos para Wifi.
Detección de anomalías es estadística.
Procesado de eventos simples, complejos, añadiendo inteligencia
artificial, etc.
Si nos centramos en protocolos podemos dejar pasar malware y DoS,
también hay que analizar cantidad de tráfico, segmentos, etc.
Host Network
IDPS IDPS

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 57

 5. Otros sistemas asociados a
la protección del perímetro
Honypot y Honynet:
Con respecto al cortafuegos se pueden optar varias opciones:
• Antes del cortafuegos, detectando un mayor número de ataques, así como
falsos positivos.
• Después del cortafuegos, comprobando sólo los ataques efectivos y
reduciendo los falsos positivos.
• En conjunción con el cortafuegos, lo que nos permite analizar a ambos
niveles, aunque aumentaría los requerimientos del sistema.
• Instalando dos IDS (sistema de detección de intrusos ), antes y después del
cortafuegos, sin sobrecargarlo y obteniendo información más precisa.
Si hay DMZ, los sensores suelen ir a la red sensible (interna), todo lo demás se saca
a la DMZ

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 58

5. Otros sistemas asociados a
la protección del perímetro
Firmas o patrones

Detección de anomalías

Estado de protocolos

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 59

 5. Otros sistemas asociados a
la protección del perímetro
La protección de los Sensores o
sistemas IDPS es agentes
crítica, son los
primeros atacados

Bases de datos (de

Motor de logs y de firmas
Bases de
cómputo y
datos para comparar)
servidores

Motor de cómputo (para hacer el

procesamiento de eventos) y servidores, Consolas
de Se recomienda utilizar
por ejemplo, para gestionar toda la administrac distintos tipos para cubrir
información recogida por los sensores y ión un espectro de ataques
convertirla en útil (gestionar las alarmas,
más amplio
las listas blancas y negras, etc)
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 60
5. Otros sistemas asociados a
la protección del perímetro
Open source: Snort y Suricata
Fabricantes de IDPS en IT:
• Cisco
• DeepNines
• Enterasys Networks
• HP
• IBM
• Juniper Networks
• McAfee
• NitroSecurity
• Radware
• Sourcefire
• StillSecure
• Stonesoft
• Top Layer Security

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 61

6. IPSec
Conjunto de mecanismos de seguridad que se pueden implementar o
utilizar junto con IP versión 4 (optativo) o con IPv6 (soporte nativo).
IPSec provee de la capacidad de asegurar las comunicaciones a través
de LAN, WAN privadas o públicas y a través de Internet
Habilitar IPSec supone que se puede realizar encriptación y
autentificación de la información a nivel de red.
o De manera transparente para los usuarios y las aplicaciones y con una
administración centralizada y flexible.

Como la pila de protocolos TCP/IP, va directamente soportado por el

sistema operativo, en principio no hay que instalar nada.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO |62|

6. IPSec
Servicios:

Autentificación del
Integridad de la
Control de acceso origen de la
conexión
conexión

Rechazo de paquetes
Confidencialidad VPN seguras
ya editados

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO |63|

6. IPSec
IPSec aumenta la seguridad mediante:
◦ La autenticación mutua de dos equipos antes del intercambio de datos.
◦ El cifrado de los datos intercambiados mediante cifrado de datos estándar
(DES, 3DES o AES).
◦ El establecimiento de una asociación de seguridad (SA) entre los dos
equipos.
◦ Una SA es el conjunto de algoritmos y parámetros (como las claves) que se está usando para
cifrar y autenticar un flujo particular de información en una dirección.
◦ Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de
asociaciones de seguridad.
La decisión final de los algoritmos de cifrado y autenticación (de una lista
definida) le corresponde al administrador de IPsec.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO |64|

 6. IPSec

Encapsulating Security Payload Authentication Header

Domain of Interpretation

Internet key exchange

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 65

6. IPSec
AH (Authentication Header):
• Está dirigido a garantizar integridad, sin conexión y autenticación de los
datos de origen de los datagramas IP. Para ello, calcula un Hash Message
Authentication Code (HMAC) a través de algún algoritmo hash operando
sobre una clave secreta, el contenido del paquete IP y las partes inmutables
del datagrama.
• Protege la carga útil IP y todos los campos de la cabecera de un datagrama IP
excepto los campos mutantes, es decir, aquellos que pueden ser alterados en
el tránsito.
ESP (Encapsulating Security Payload):
• El protocolo ESP proporciona autenticidad de origen, integridad y protección
de confidencialidad de un paquete.
• Al contrario que con AH, la cabecera del paquete IP no está protegida por
ESP.
• ESP opera directamente sobre IP.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 66

6. IPSec
DOI Ipsec: Es un documento que contiene definiciones de todos los
parámetros de seguridad necesarios para la correcta negociación de un
túnel VPN
Generalmente el negociado de IKE (Internet key exchange) se realiza
generalmente mediante protocolo UDP y el puerto 500, por lo que
debemos permitir este tráfico en nuestro cortafuegos.
NOTA: IKE emplea un intercambio secreto de claves de tipo Diffie-
Hellman para establecer el secreto compartido de la sesión. Se suelen
usar sistemas de clave pública o clave pre-compartida.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 67

6. IPSec
Componentes de IPSec:
◦ Protocolos ESP (Encapsulating Security Payload) (cifra + [autentica]) y AH
(Authentication Header) (autentica).
◦ Protocolo Asociación de seguridad en Internet y administración de claves
(ISAKMP):
◦ Administración automática de claves (intercambio con Diffie-Hellman).
◦ Negociación automática de requisitos de seguridad.
◦ Directivas de seguridad.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 68

6. IPSec
Directivas de seguridad:
◦ La utilización de IPSec se configura mediante directivas.
◦ Las directivas son las reglas de seguridad que definen el nivel de seguridad
deseado, el algoritmo de hash, el algoritmo de cifrado y la longitud de la
clave.
◦ Estas reglas también definen las direcciones, protocolos, nombres DNS,
subredes o tipos de conexión a los que se aplica la configuración de
seguridad.
◦ Las directivas de IPSec se pueden configurar de acuerdo con los requisitos de
seguridad de un usuario, grupo, aplicación, dominio, sitio o empresa global.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 69

6. IPSec
Las reglas gobiernan cómo y cuándo se invoca una directiva de IPSec.
◦ Una regla proporciona la capacidad para iniciar y controlar una
comunicación segura en función del origen, el destino y el tipo de
tráfico IP.
Cada directiva de IPSec puede contener una o varias reglas; una o todas
ellas pueden estar activas de forma simultánea.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 70

6. IPSec
Para explicar el protocolo IPSec vamos a suponer que queremos
comunicar una sucursal de nuestra empresa con la central, de forma
que el tráfico entre ambas oficinas viaje seguro. Para ello construiremos
un túnel IPSec entre los routers de las dos localizaciones y emplearemos
el protocolo ESP en lugar de AH, para garantizar la confidencialidad de
los datos.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 71

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 72
Lo primero que haremos será crear dos Asociaciones de Seguridad, una por sentido del tráfico,
que definen un conjunto de parámetros para una sesión segura.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 73

La SA1 de R1 a R2 tendremos que identificarla mediante un número de 32 bits (Security
Parameter Index (SPI), Interfaz de origen (R1) y Interfaz de destino (R2).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 74

Los parámetros de seguridad que elijamos para SA1 (cifrado simétrico a usar, su clave, algoritmo
de integridad y clave de autenticación) los guardaremos en R1 en su base de datos con todas las
asociaciones de seguridad (Security Association Database, SAD).

SA1

IPSec
R1
R2

SA2
SAD SPD

R1 almacena para la SA1:

• Security Parameter Index (SPI), identificador de SA (32bit)
• Interfaz origen de la SA (R1)
• Interfaz destino de la SA (R2)
• Protocolo: ESP
• Cifrado a usar (ej. AES)
• Clave de cifrado
• Algoritmo de integridad (ej. HMAC con SHA256)
• Clave de autenticación
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 75
Estos mismos parámetros los deberá tener el otro extremo (R2) en su base de datos SAD para
poder descifrar el contenido. Para comunicar de forma segura esos parámetros a R2 se empleará
IKE (Internet key Exchange).

SA1

IPSec
R1
R2

SA2
SAD SPD

R1 almacena para la SA1:

• Security Parameter Index (SPI), identificador de SA (32bit)
• Interfaz origen de la SA (R1)
• Interfaz destino de la SA (R2)
• Protocolo: ESP
• Cifrado a usar (ej. AES)
• Clave de cifrado
• Algoritmo de integridad (ej. HMAC con SHA256)
• Clave de autenticación
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 76
En R1 también tendremos otra base de datos (Security Policy Database, SPD) con todas las
políticas de seguridad a aplicar. Es decir, cuando llega un datagrama al router, miraremos ciertos
valores del mismo (IP origen, IP destino, puerto origen, puerto destino, etc.), y buscaremos en la
SPD qué hacer con el datagrama: descartarlo, dejarlo pasar tal cual o protegerlo con IPSec, en
cuyo caso me indicará la SA que tendré que aplicar.

SA1

IPSec
R1
R2

SA2
SAD SPD

R1 almacena para la SA1:

• Security Parameter Index (SPI), identificador de SA (32bit)
• Interfaz origen de la SA (R1)
• Interfaz destino de la SA (R2)
• Protocolo: ESP
• Cifrado a usar (ej. AES)
• Clave de cifrado
• Algoritmo de integridad (ej. HMAC con SHA256)
• Clave de autenticación

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 77

Una vez R1 conoce la SA que debe aplicar al datagrama, le añade al final del mismo un
campo “cola ESP” para rellenar y poder así aplicar el algoritmo de cifrado y clave que
indique la SA en la base de datos SAD.

SA1

IPSec
R1
R2

SA2
SAD SPD

cifrado
cabec IP carga útil del datagrama cola
original IP original ESP

long sig
relleno
relleno cabec
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 78
Una vez tenemos el datagrama original cifrado, se le añade la cabecera ESP donde se
incluye el identificador SPI de la SA utilizada y un número de secuencia incremental para
evitar ataques por reproducción.

SA1

IPSec
R1
R2

SA2
SAD SPD

“enchilada” autenticada
cifrado
cabec cabec IP carga útil del datagrama cola
ESP original IP original ESP

núm long sig

SPI relleno
seq relleno cabec
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 79
De esta forma, cuando R2 reciba el nuevo datagrama podrá con esta cabecera buscar en su
SAD la SA que corresponda con el SPI enviado, y comprobar también que el número de
secuencia está dentro de la ventana de recepción esperada y que no se trata por tanto de
un replay. Al datagrama cifrado con la cabecera ESP se le denomina a menudo “enchilada”.

SA1

IPSec
R1
R2

SA2
SAD SPD

“enchilada” autenticada
cifrado
cabec cabec IP carga útil del datagrama cola MAC
ESP original IP original ESP ESP

núm long sig

SPI relleno
seq relleno cabec
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 80
Llega el momento de autenticar la enchilada, para lo cual R1 consulta el algoritmo y clave
de autenticación especificados para esa SA y genera un MAC que añade al final del
paquete, formando así la nueva carga útil del datagrama.

SA1

IPSec
R1
R2

SA2
SAD SPD

“enchilada” autenticada
cifrado
cabec cabec IP carga útil del datagrama cola MAC
ESP original IP original ESP ESP

núm long sig

SPI relleno
seq relleno cabec
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 81
Crea una cabecera IP nueva con todos los campos típicos de IPv4, y la añade al principio del
todo. En la nueva cabecera IP el destino será R2, que es el equipo al final del túnel, y que
será este el que al descifrar el datagrama original podrá leer el destinatario final en la
cabecera IP de ese datagrama original cifrado.

SA1

IPSec
R1
R2

SA2
SAD SPD

“enchilada” autenticada
cifrado
nueva cabec cabec IP carga útil del datagrama cola MAC
cabec IP ESP original IP original ESP ESP

núm long sig

SPI relleno
seq relleno cabec
SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 82
Resumen de servicios IPsec
Supongamos que Intruso intenta un ataque man-in-the-middle entre R1
y R2 (sin conocer claves)
¿Será capaz de ver el contenido del datagrama original? ¿Y las
direcciones IP de origen o destino, el protocolo de transporte o el
puerto de aplicación?
¿Puede intercambiar bits sin ser detectado?
¿Y suplantar a R1 utilizando la dirección IP de R1?
¿Y reproducir un datagrama?

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 83

Resumen de servicios IPsec
Supongamos que Intruso intenta un ataque man-in-the-middle entre R1
y R2 (sin conocer claves)
¿Será capaz de ver el contenido del datagrama original? ¿Y las
direcciones IP de origen o destino, el protocolo de transporte o el
puerto de aplicación?
¿Puede intercambiar bits sin ser detectado?
¿Y suplantar a R1 utilizando la dirección IP de R1?
¿Y reproducir un datagrama?

La respuesta es no a todo

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 84

6. IPSec
IPsec puede proporcionar seguridad trabajando en dos modos:
◦ Modo transporte o extremo a extremo: Son los extremos finales de la
comunicación (origen y destino) los que se encargan de realizar el
procesamiento necesario de la información.
◦ Modo túnel (a veces denominado puerta a puerta): La seguridad es
proporcionada por un único nodo central a uno o varios sistemas (incluso a
una red de área local completa).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 85

6. IPSec
En el modo túnel, todo el paquete IP (datos + cabeceras del mensaje) es
cifrado o autenticado. Debe ser entonces encapsulado en un nuevo
paquete IP para que funcione el enrutamiento. El modo túnel se utiliza
para comunicaciones red a red (túneles seguros entre routers, p.e.
para VPNs) o comunicaciones ordenador a red u ordenador a otros
ordenador a través de Internet.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 86

IPSec utiliza formatos estándar de paquete IP, de manera que los
dispositivos de red intermedios no distinguen entre paquetes IP y
paquetes IPSec.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 87

 6. IPSec
Modo transporte Modo túnel
Autentifica la información útil del Autentifica todo el datagrama,
AH
datagrama IP, las porciones de la las porciones externas de la
Authentication
cabecera previamente seleccionadas y la cabecera IP y las extensiones
Header
cabecera IPv6 de la cabecera IPv6

ESP
Cifra la información útil del datagrama IP
Encapsulating Cifra todo el datagrama
y las extensiones de la cabecera IPv6
Security Payload

Cifra la información útil del datagrama IP

ESP + Cifra y autentifica todo el
y las extensiones de la cabecera IPv6
autentificación datagrama
Autentifica sólo la información útil

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 88

6. IPSec
IPsec fue proyectado para proporcionar seguridad en modo
transporte (extremo a extremo) del tráfico de paquetes, en el que los
ordenadores de los extremos finales realizan el procesado de seguridad,
o en modo túnel (puerta a puerta) en el que la seguridad del tráfico de
paquetes es proporcionada a varias máquinas (incluso a todas).
Authentication Header (AH) proporciona integridad, autenticación y no
repudio si se eligen los algoritmos criptográficos apropiados.
Encapsulating Security Payload (ESP) proporciona confidencialidad y la
opción -altamente recomendable- de autenticación y protección de
integridad.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 89

7. Redes Privadas Virtuales (VPN)
Red privada
Muy costosa

VPN
=

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 90

7. Redes Privadas Virtuales (VPN)

Tipos de VPN:
◦ VPN de acceso remoto
◦ VPN intranet
◦ VPN extranet
◦ VPN abierta/cerrada

Protocolos que implementan VPN:

◦ SSL/TLS, IPSec, PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2
Tunneling Protocol), MPPE (Microsoft Point-to-Point Encryption), SSTP
(Microsoft Secure Socket Tunneling Protocol), SSH (Secure Shell), etc.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 91

7. Redes Privadas Virtuales
(VPN)
VPN de acceso remoto: Por ejemplo, para personal de la empresa que
necesita acceder de forma segura a recursos de la red corporativa desde
fuera de esta, normalmente a través de Internet.
VPN intranet: Para conectar de forma segura, por ejemplo, distintas
sedes de la empresa, aprovechando Internet como red más económica.
VPN extranet: Para dar acceso de forma segura a terceros, como un
proveedor o un cliente, a nuestra red corporativa.
VPN cerrada, cuando todo el tráfico entre los nodos implicados debe
pasar por el túnel VPN
VPN abierta, si puede haber tráfico entre los nodos que no pase
por el túnel VPN.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 92

7. Redes Privadas Virtuales
(VPN)
El objetivo principal por tanto es garantizar la seguridad de la comunicación
(confidencialidad, autenticación e integridad) en un canal que no
controlamos y que es potencialmente inseguro.
Para ello podemos emplear diversos mecanismos de seguridad para crear
túneles:
• SSL/TLS
• IPSec
• PPTP (Point-to-Point Tunneling Protocol)
• L2TP (Layer 2 Tunneling Protocol)
• MPPE (Microsoft Point-to-Point Encryption)
• SSTP (Microsoft Secure Socket Tunneling Protocol)
• SSH (Secure Shell), etc.
Uno de los más empleados al principio fue PPTP, que proporcionaba una
razonable seguridad mediante túneles GRE (ahora en desuso) y métodos de
autenticación simples como MS-CHAP.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 93

 7. Redes Privadas Virtuales (VPN)

La principal diferencia es que SSL e IPSec actúan a diferentes niveles: mientras que IPSec
proporciona un canal seguro en la capa de red para todo el tráfico de todas las
aplicaciones de forma transparente al usuario, SSL proporciona seguridad en la capa de
aplicación, por lo que la mayoría de soluciones SSL VPN pasan por ser ejecutadas desde
un navegador web.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO

94
7. Redes Privadas Virtuales (VPN)

IPSec VPN:
◦ Funciona en la capa de red.
◦ Comunica de forma segura todos los datos entre los dos extremos, sin estar asociado a una
aplicación en concreto.
◦ Una vez lograda la conexión, el equipo remoto tendrá acceso total a la red corporativa.
◦ La negociación de los parámetros de seguridad y la configuración de los extremos es
compleja.
◦ A menudo necesita de software especializado que debe instalarse en los equipos.
◦ Los nodos intermedios deben permitir el paso de tráfico IPSec.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 95

7. Redes Privadas Virtuales (VPN)
portátil
Cabec Cabec Carga útil con IPsec
Internet IP IPsec segura

Comercial
en hotel

Router con Router con

IPv4 e IPsec IPv4 e IPsec

Central
Sucursal

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 96

7. Redes Privadas Virtuales (VPN)

SSL VPN:
◦ Funciona en la capa de aplicación.
◦ Comunica de forma segura datos enviados vía web.
◦ Emplea el navegador web como cliente, por lo que es más flexible y puede usarse desde
más equipos (no requiere instalación de SW específico).
◦ Control de acceso más detallado que con IPSec, (especifica recursos a los que se tiene
acceso).
◦ Más simple que IPSec (su paso por nodos intermedios está generalmente aceptado, puerto
443).

Tres modos de funcionamiento en SSL VPN:

◦ Clientless / Thin client / Tunnel mode

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 97

7. Redes Privadas Virtuales
(VPN)
Con la proliferación de las SSL VPN se han ido implementando
soluciones para que aplicaciones que no son accesibles desde el
navegador puedan utilizarse desde equipos remotos. De esta forma han
surgido tres modos de funcionamiento en SSL VPN:
◦ Clientless: Es el más extendido, pues únicamente requiere de un
navegador web y da acceso a casi toda la información que el usuario
necesita habitualmente.
◦ Thin client: Mediante la instalación de algún Applet de Java o plug-in en el
navegador web, se ofrece la posibilidad de soportar aplicaciones o
protocolos que necesite el usuario y que no soportaba el navegador por
defecto.
◦ Tunnel mode: Mediante la instalación de una aplicación en el equipo (por
ejemplo Cisco AnyConnect VPN Client) se le ofrece al usuario un túnel SSL
que protege cualquier aplicación o protocolo que utilice (como hace
IPSec).

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 98

 7. Redes Privadas Virtuales (VPN)

Como hemos visto, tanto IPSec como SSL tienen sus ventajas e inconvenientes, por lo que se
trata de métodos complementarios que pueden implementarse de forma conjunta, cada una
sirviendo un propósito. Con IPSec tendremos una conexión permanente en la que tendremos
un control de acceso inicial, pero una vez accedan a nuestra red es como si estuvieran
físicamente en ella. Se emplea por tanto para dar acceso a entornos y equipos controlados
como una oficina o sede remota. Y con SSL deberíamos dar acceso a los usuarios en
movilidad, que se pueden conectar desde cualquier sitio o equipo que no tenemos
controlado y que, por tanto, deberemos controlar a qué aplicaciones y datos se conecta y no
dar acceso a toda nuestra red. Se emplea para dar servicio, por ejemplo, a agentes
comerciales, clientes o proveedores.

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 99

7. Redes Privadas Virtuales (VPN)

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 100

 UNIDAD 8:
CONTRAMEDIDAS DE RED/PROTOCOLO
BLOQUE II
ATAQUES Y CONTRAMEDIDAS

SI – UNIDAD8 CONTRAMEDIDAS DE RED/PROTOCOLO 101