2. SEGURIDAD INFORMATICA

2.1 SEGURIDAD INFORMATICA

La seguridad inform?tica es punta principal al iniciar desde un simple proyecto computacional ya sea software o hardware, hasta la implementaci?n de aplicaciones, redes, o cualquier cosa que pueda ser escal?n para atentar contra la seguridad.

La informaci?n es una de las cuestiones principales que resguarda el tema de seguridad inform?tica, asumiendo que toda informaci?n en cualquier cantidad se desee tener a la mano sin importar distancias, esto conlleva a la utilizaci?n de equipos de c?mputo conectados a Internet, donde pueden ser comprometidos sin una previa revisi?n del mismo sistema o red.

Para llevar acabo la implementaci?n de las mejores medidas de seguridad, instalaciones premeditadas y aseguradas, es necesario que cada administrador de red no solo se enfoque en conocer las licencias de un software, o bien en conocer el funcionamiento del mismo software, sino que vaya un poco m?s haya, teniendo conocimiento de las distintas t?cnicas de intrusi?n que pueden dejar colapsado un equipo en momentos donde la informaci?n es demandada a gran escala o donde sea necesario tener una rapidez de la informaci?n dejando como punto principal el conocimiento no solo de t?cnicas de intrusi?n, sino tambi?n de los distintos protocolos que se utilizan para comunicaci?n entre enrutadores (routers) y protocolos utilizados para comunicaci?n entre las aplicaciones de la red.

En el caso de utilizaci?n de motores de c?digo ya programados, es recomendable estar a la vanguardia de las ?ltimas actualizaciones de software que proporcione el creador del mismo, ya que cualquier orificio de seguridad puede ser ocasionado no solo por el sistema operativo, sino que entran en juego las distintas aplicaciones de software con problemas en su c?digo fuente, archivos que se reciben por parte de personas desconocidas o por correo electr?nico (e-mail), que posteriormente son ejecutadas con fines personales y terminan siendo c?digos fraudulentos y da?inos escondidos en cualquier aplicaci?n, imagen, canciones, etc.

Es necesario tomar las medidas necesarias previas al conocimiento obtenido en el ?rea de seguridad inform?tica, ya que esto permitir? tener consciencia plena de cualquier movimiento realizado en equipos de c?mputo, redes de computadoras y hasta servidores que atiende m?ltiples peticiones y que pueden ser comprometidas para fines de robo de la informaci?n.

2.1.1 PUERTOS.

Un puerto es un n?mero de 16 bits que comprende del 0 al 65535, el cual sirve para que las aplicaciones se puedan comunicar e intercambiar informaci?n. Existen dos tipos de puertos que son:

1) Los puertos privados o reservados, son los que est?n establecidos por defecto para un uso definido, el uso definido puede ser una aplicaci?n ya existen con el Sistema Operativo que se utiliza para comunicaci?n entre procesos, otras aplicaciones, protocolos o transportar datos entre capas. Estos puertos comprenden del 0 al 1024.
2) Los puertos libres o sin uso definido, son puertos que comprende aproximadamente del 1205-65535, y est?n disponibles para uso libre por las dem?s aplicaciones, o bien pueden ser establecidos manualmente por el usuario para uso en distintas aplicaciones. Los estados de un puerto est?n indicados en 3 formas, que son:

a) Abierto. Estado que establece un puerto disponible para recepci?n de datos, los datos pueden ser enviados en distintos formatos o tipos, esto depende del protocolo utilizado en dicho puerto.
b) Cerrado. El puerto est? cerrado y por lo tanto los paquetes o informaci?n enviada a dicho puerto ser?n rechazados.
c) Bloqueado o en silencio. El puerto permanecer? activo siempre y cuando la aplicaci?n la habilite para aceptaci?n de paquetes, conexiones o informaci?n de protocolos. Mientras que est? desactivado, el puerto rechazara cualquier intento de conexi?n o envi? de informaci?n.

Es importante destacar que as? como cada m?quina puede tener sus puertos en los distintos estados (dependiendo el uso que le dar? la aplicaci?n), esta misma m?quina debe tener una direcci?n IP (Internet protocol) la cual le servir? de identificaci?n para poder ser accedida o consultada por otros equipos dentro de la red, dicho de una forma m?s simple: “cada m?quina poseer? su direcci?n IP y puerto abierto para intercomunicarse”, t?cnicamente cada m?quina invocara al equipo de la siguiente manera:

10.10.10.10:2020 :: 10.10.10.10 es la direcci?n IP y 2020 el numero de puerto.

En sistemas operativos Linux los puertos pueden ser asignados de una forma m?s r?pida, ya que se tiene a disposici?n los siguientes archivos de configuraci?n:

'/etc/protocols'.
Es donde se guardan los tipos de protocolos a usar, su orden es el siguiente: nombre de protocolo, n?mero de protocolo que le identifica, nombre final del protocolo. De esta forma se tendr? un mejor conocimiento del tipo de protocolo a utilizar en nuestro puerto.

'/etc/inetd.conf'.
En este archivo se configurar? de forma detallada el nombre que se establecer? para el programa a ejecutar, as? el archivo de configuraci?n '/etc/protocols' podr? identificarlo de forma r?pida. El orden de configuraci?n de este archivo es el siguiente: nombre de aplicaci?n, flujo de socket a utilizar, protocolo, bandera, usuario que iniciar? el programa, direcci?n donde est? el programa.

'/etc/services'.
Archivo principal donde estar?n listados los puertos que se tendr?n disponibles para utilizaci?n por las distintas aplicaciones, es aqu? donde se definir? de forma manual los puertos que deseemos usar para nuestros programas o bien de forma personal. De esta forma el sistema podr? asignar la aplicaci?n deseada al puerto establecido y utilizando el protocolo deseado para la comunicaci?n. Su forma de configuraci?n es: nombre de la aplicaci?n, n?mero de puerto, protocolo.

Para sistemas operativos Windows, la configuraci?n de los puertos es de forma m?s visual, utilizado la ventana de configuraci?n de firewall, en el apartado del panel de control, as? mismo los detalles de la configuraci?n se ajustan con simples clicks y la l?gica es la misma, consta de: puerto, programa ejecutable .exe, comentario. El tipo de socket y protocolo a utilizar lo resolver? autom?ticamente el sistema operativo o bien haci?ndole una consulta a la aplicaci?n misma que utilizar? el puerto.

2.1.1.1 ESCANEO DE PUERTOS

El escaneo de puertos es una forma para comprobar el estado de los puertos de una computadora, dependiendo el tipo de protocolo a utilizar es la t?cnica de escaneo a utilizar. Es importante mencionar que se debe tener un conocimiento previo de la constituci?n de cada uno de los paquetes a utilizar en el escaneo, por ejemplo: TCP (Protocolo de Control de Transmisi?n), UDP (Protocolo de Datagrama de Usuario), ICMP (Protocolo de Mensajes de Control en Internet), etc.

Para conocer el escaneo de puertos es indispensable la forma en que un par de computadoras pueden iniciar una conexi?n para intercambio de datos, chat, entre otros, dependiendo el tipo de protocolo a utilizar.

Como ejemplo principal se visualiza la forma de iniciaci?n de conexi?n entre dos computadoras utilizando el protocolo TCP, como veremos en este protocolo se hacen uso de sus banderas (flags) para:

* Iniciar una conexi?n.
* Empezar a enviar datos.
* Avisar de finalizaci?n de conexi?n.
* Avisar de finalizaci?n de conexi?n forzosa (desconexi?n del cliente sin previo aviso de bandera).

2.1.1.2 INICIANDO UNA CONEXION

A un intento de conexi?n, el cliente env?a el bit de Bandera SYN activado (1), el cliente recepciona el paquete TCP y visualizaci?n el bit en SYN, el cual indica que se desea realizar una sincronizaci?n de conexi?n, el servidor contesta al cliente con un nuevo paquete activando las banderas de SYN y ACK indicando que se acepta la sincronizaci?n de la conexi?n y este mismo es una Respuesta a la petici?n. El cliente debe contestar a su vez al servidor la respuesta que ha recepcionado los 2 bits (SYN y ACK), para esto solo emite un paquete TCP con el bit activado en la bandera ACK. En este momento ya estamos conectados. Observar la Figura 2.1 como ejemplo del proceso.

FIGURA 2.1: Estableciendo una sincronizaci?n de conexi?n.

Es importante mencionar que cuando se est? intentando sincronizar una conexi?n a un servidor y enviamos un paquete TCP con el bit activado en bandera SYN ?nicamente, este paquete forzar? al servidor asignar un espacio en la pila TCP/IP donde estar? el n?mero de confirmaci?n almacenado, el servidor esperar? algunos segundos a que el cliente le env?e la respuesta de aceptaci?n del paquete, es decir, un paquete TCP con el bit de bandera activado en ACK solamente.

2.1.1.3 FINALIZANDO UNA CONEXION

El cliente debe emitir un paquete TCP con el bit activado en la bandera FIN, el cual indica el deseo de la finalizaci?n de una conexi?n, el servidor al revivir este paquete responder? con un nuevo paquete TCP con el bit de bandera activado en ACK correspondiente a una respuesta exitosa al paquete recepcionado anteriormente (FIN), posteriormente el servidor responde con un paquete TCP con el bit activado en bandera FIN, a su vez el servidor espera a que el cliente le responda con un paquete TCP con el bit activado en bandera ACK, desde este momento la conexi?n ha finalizado. Observar la representaci?n del proceso en la Figura 2.2.

FIGURA 2.2: Finalizaci?n de una conexi?n.

En casos de que se est?n transmitiendo datos, y se emita una paquete FIN, el receptor emitir? una respuesta ACK, esperar? la finalizaci?n de transacci?n de datos y posteriormente se emitir? un paquete FIN por el receptor y un ACK por el emisor.

2.1.2 TECNICAS DE ESCANEO.

Las t?cnicas de escaneo son m?todos para auditar el estado de un puerto en una computadora para posteriormente detectar fallas de funcionamiento con fines de protecci?n de los datos y del programa que utiliza dicho puerto, existen distintas t?cnicas las cuales se especializan en la manipulaci?n del paquete desde lo m?s bajo de la red, explicado de una forma m?s simple: “manipulaci?n del paquete mediante programaci?n, realizando modificaciones en banderas para observar el comportamiento del servidor”.

Muchas de estas t?cnicas son de gran utilidad para comprobar el estado verdadero de un puerto, debido a que muchas aplicaciones utilizan los estados de un puerto de distintas maneras, todas ellas enfocadas en su propia forma de trabajar o de preservaci?n de datos. Es importante destacar este tema, ya que eso no solo puede englobar aplicaciones que utilicen puertos, sino tambi?n para otros tipos de cuestiones que pongan en riego la informaci?n privada o primordial, como pueden ser: servidores para transacciones de cuentas, informaci?n vital para el sistema, transmisi?n de informaci?n importante, etc.

Es imprescindible tener una buena configuraci?n, un buen firewall que cuide los puertos y una aplicaci?n que se ajuste a las necesidades y tenga sus est?ndares de encriptaci?n para asegurar la informaci?n que se manejar?.

2.1.2.1 TCP CONNECT.

Es un modo de escaneo que se logra mediante la llamada a connect() (SYN) en la programaci?n de socket, realizando esta llamada a cada uno de los puertos de una computadora, tomando como respuesta lo siguiente:

* Si se acepta la conexi?n, entonces el puerto esta abierto.
* Si se retorna un aviso de cierre de conexi?n (bit RST), indica que el puerto est? cerrado.
* Si no se tiene respuesta, entonces el puerto est? en estado de silencio.

Este es el tipo de escaneo m?s r?pido, ya que se pueden crear tantos sockets se deseen, donde cada socket ser? un intento de conexi?n a otra computadora.

La desventaja de esta t?cnica es que resulta ser muy delatadora o llamativa, ya que llamar a la funci?n connect() indica realizar una conexi?n completa (v?ase explicaci?n arriba), por lo cual genera un valor en el registro de la computadora y ?sta contendr? nuestros datos de la conexi?n. La Figura 2.3 muestra el proceso.

2.1.2.2 TCP SYN

Esta t?cnica nos permite escanear los puertos de una computadora sin realizar la conexi?n por completo, ya que su funcionamiento es:

1- Enviar un paquete SYN para fingir la conexi?n y espera una respuesta ACK.
2- Si servidor enviara un RST, esto nos indica que el puerto est? cerrado.
3- Si el servidor no contesta, entonces el puerto est? en modo silencio.
4- Si se obtuvo un paquete SYN/ACK o RST, no se dar? una contestaci?n (ACK) como ser?a lo esperado por el servidor.
5- Enviamos directamente un paquete RST, para que el servidor no complete el intento de conexi?n y as? mismo el servidor no registrar? este suceso.

La ventaja es que no genera un registro en la computadora que intentamos conectar, a menos que exista alg?n firewall o IDS cuidando a dicha computadora, mientras ser? indetectable. Como punto importante cabe mencionar que para lanzar un escaneo de este tipo se requiere de privilegios de administrador o root ya que usan sockets RAW, adem?s de ser un poco lento. En la Figura 2.4 se ilustra el proceso.

FIGURA 2.4: Escaneo de tipo TCP SYN.

2.1.2.3 TCP FIN.

Es una de las t?cnicas m?s sigilosas, ya que se apoya en una particularidad de los est?ndares de TCP/IP que dice:

'Al recibir un paquete FIN en un puerto cerrado, se debe responder con un paquete RST'...

Esta t?cnica se realiza enviando un paquete TCP con el bit de bandera FIN activado, a un puerto de una computadora, si ?ste responde con un paquete TCP con el bit de bandera RST activado, quiere decir que el puerto esta cerrado, en caso contrario el puerto puede estar abierto o en silencio. Observar la Figura 2.5 para su comprensi?n.

FIGURA 2.5: Escaneo de tipo TCP FIN.

Un punto muy d?bil de este tipo de t?cnica es que, cierta compa??a de software que ignora en algunas partes los est?ndares de inform?tica, tal como Microsoft ?, por ejemplo en los sistemas operativos Windows un puerto cerrado ignora los paquetes FIN, por lo cual escanear un Sistema Operativo de este tipo nos generara una lista inmensa de puertos abiertos, aunque en realidad est?n cerrados o en silencio.

Como ventaja principal es que muchos firewalls no detectan este tipo de escaneo, a no ser alg?n IDS bien configurado.

2.1.2.4 UDP SCAN.

Esta t?cnica es mucho m?s simple, ya que solo consiste en formar un paquete UDP vac?o y enviarlo al puerto, el servidor contestar? con un paquete UDP de tipo 3 (destino inalcanzable), lo cual indica que el puerto est? cerrado, as? que en caso de que est? abierto o en silencio, el servidor no responder?. En la Figura 2.6 se muestra el proceso.

FIGURA 2.6: Escaneo de tipo UDP SCAN.

Esta t?cnica de escaneo puede ser un poco m?s lenta, dependiendo el Sistema Operativo que posea la computadora a escanear, seg?n el RFC 1812-Reqirements for IP Versi?n 4 recomienda limitar la capacidad de generaci?n de mensajes ICMP de error, en base a esto, en sistemas operativos Linux (/usr/include/Linux/icmp.h) establece un m?ximo de 20 mensajes de error por segundo, y en sistemas operativos Windows no existe una limitaci?n fijada, as? que esta t?cnica es muy r?pida sobre este Sistema Operativo.

2.1.2.5 ACK SCAN.

ACK Scan a diferencia de las dem?s t?cnicas, nos permite detectar con exactitud el puerto que se encuentre en modo silencio, utilizando esta t?cnica como apoyo secundario o utilizaci?n de esta misma despu?s de una t?cnica ya mencionada, resulta ser muy poderosa para determinar si el puerto se encuentra abierto o en silencio. A su vez tambi?n puede ser como apoyo para escanear computadoras que se encuentres tras un Firewall de Router, ya que este no acepta intentos de conexi?n (SYN).

Su funcionamiento es basado en el env?o de paquetes ACK con n?meros de secuencia y confirmaci?n de forma aleatoria, cuando el puerto reciba este paquete y el puerto est? abierto o cerrado responder? con un paquete RST, pero si no se obtiene respuesta entonces el puerto esta en modo silencio. Observar su representaci?n en la Figura 2.7.

FIGURA 2.7: Escaneo de tipo ACK SCAN.

2.1.2.6 NULL SCAN.

Este escaneo es similar al TCP FIN, con la particularidad de que el cliente debe emitir un paquete TCP con todas las banderas desactivadas, as? se debe observar lo siguiente del lado del servidor:

Si el servidor responde con un RST, entonces el puerto est? cerrado.
Si no responde, el puerto est? abierto o en silencio.

La ?nica ventaja que tiene este escaneo, es que ciertos firewalls vigilan los intentos de conexi?n (SYN) y finalizaci?n de conexi?n (FIN), de modo que resulta necesario este escaneo cuando se presente un problema de este tipo. La Figura 2.8 muestra el proceso de una mejor manera.

FIGURA 2.8: Escaneo de tipo NULL SCAN.

2.1.2.7 Xmas SCAN.

En este escaneo se debe activar las banderas FIN/URG/PSH y esperan como respuesta:

Si el servidor responde con un RST, el puerto est? cerrado.
Si no responde, entonces est? abierto o en silencio.

Las desventajas son que el escaneo solo se hace a computadoras que no est?n tras un firewall que vigile paquetes SYN y FIN.

2.1.2.8 SYN/ACK SCAN.

El escaneo SYN/ACK es muy potente frente a equipos que est?n tras un firewall o IDS sencillo, ya que este paquete solo enga?a al servidor avis?ndole que hubo un error en la transacci?n (nunca estuvo conectado), as? mismo surgen estos efectos:

Si el servidor responde con un RST, el puerto est? cerrado.
Si no responde, el puerto est? abierto o en silencio.

2.1.2.9 ZOMBIE SCAN.

Esta t?cnica se realiza para no ser detectada por el servidor que deseemos escanear, o mejor dicho, que nuestra IP no llegue a ser detectada por el servidor, y a cambio de esto se registre un IP que no es la nuestra. Es necesario contar con un Host Zombie, es decir, una computadora conectada a Internet y que su tr?fico sea muy bajo, o en su defecto nulo.

Primero realizamos al Host Zombie un ping que nos permita ver el campo ID de la cabecera IP y el resultado ser?a:

Codigo:

Como se ilustra arriba, el campo ID est? en 1, podemos decir que el tr?fico es nulo.

El siguiente paso es realizar un paquete con el IP falseado (spoofing) que contendr? la IP Origen del Host Zombie, de este modo el intento de conexi?n se realizar? hacia el servidor, con una IP origen del Host Zombie, de modo que surgir?n los siguientes efectos:

Si el servidor env?a un SYN/ACK, indica que el puerto est? abierto en Servidor, y al recibir este paquete el Host Zombie retornar? un paquetes RST, he aqu? donde se genera un peque?o trafico de datos.
Si el servidor env?a un RST/ACK, indica que el puerto est? cerrado y al recibir este paquete el Host Zombie, no realiza ning?na contestaci?n, es decir que el trafico sigue nulo.
Si el servidor no realiza contestaci?n, entonces el puerto estar? en silencio, y el Host Zombie estar? a?n con tr?fico nulo.

Este modo de operar es un est?ndar establecido dentro de la implementaci?n de la pila TCP/IP.

A continuaci?n vemos de nuevo el estado de ID, en el ping que mantuvimos constante despu?s de enviar el paquete falseado.

Codigo:

Como se detalla, el puerto del servidor est? abierto, ya que el Host Zombie (10.10.10.10) tuvo un incremento en el campo ID, esto indica que hubo una interacci?n entre el Servidor y el Host Zombie. En caso que estuviese cerrado o en silencio el puerto del servidor, el estado ID de Host Zombie (10.10.10.10) ser?a 1.

2.1.3 BARRERAS DE PROTECCION

Las barreras de protecci?n son las que nos brindan la seguridad mediante software o hardware, ?stas trabajan cubriendo cierta ?rea de privacidad o enfocadas a resguardar la informaci?n y buscar patrones maliciosos que lleguen a corromper la seguridad del sistema.

Existen barreras de protecci?n enfocadas a cada tipo de problem?tica en cuestiones de seguridad, en redes de cualquier tipo se maneja como protocolo base por lo general el modelo TCP/IP, ya que la comunicaci?n dentro de la red es segmentada y pasada por un flujo, en donde dicho flujo tiene su propio est?ndar de protocolo, dependiendo el tipo de flujo, es el tipo de protocolo a utilizar. Los flujos TCP/IP (son los m?s utilizados) viajan por la red y pueden transportar informaci?n de distintos tipos, esta informaci?n pueden ser desde: archivos segmentados, comandos, ?rdenes para gesti?n de red, passwords, firmas digitales, datos encriptados, entre otros. Esta informaci?n viaja a trav?s de un puerto en espec?fico, donde otra aplicaci?n espera en ese mismo puerto para recibir dichos datos y realizar una actividad.

Tanto los paquetes, como los puertos juegan un papel importante en la comunicaci?n entre redes, ya que el medio principal para comunicaci?n es un puerto y ?ste se encuentra disponible a transportar informaci?n sin ninguna limitaci?n, a su vez se tienen dos grandes desventajas que pueden quebrantar la seguridad en una red entera o un equipo, y ?stas ser?an:

1- Los puertos transportan informaci?n que puede haber sido falseada, adem?s cada aplicaci?n puede abrir un puerto sin dar aviso al usuario.
2- Las aplicaciones que abren puertos para comunicarse, pueden tener errores de programaci?n que al ejecutar alg?n comando, l?nea o un simple exceso de informaci?n (desbordamiento de buffer), pueden dejar un hueco en el sistema para poder realizar operaciones ilegales en un sistema de c?mputo o una red entera.

As? que tanto las aplicaciones como los puertos son parte importante a vigilar para cerrar la entrada a intrusos en la red, he aqu? donde aplicaciones de software o hardware cumplen el objetivo de monitorear, revisar, analizar, tapar, controlar y alertar sobre cuestiones que lleguen a comprometer a un sistema o red.

Estas aplicaciones de software o hardware son los firewalls, IDSs y proxys, donde cada uno cumple una tarea distinta y dependiendo el tama?o de una red, es la forma en que se implementa, de una forma m?s simple, es a libre decisi?n si se implementa en equipos particulares o en equipos que realizan otras actividades en la red. Cada tipo de barrera de protecci?n cumple una tarea espec?fica o trabajan en cooperaci?n mutua para mantener una red segura donde la informaci?n sea privada y no exista el m?nimo error en la inseguridad de la red.

2.1.3.1 FIREWALLS

Los firewalls son barreras que act?an principalmente como centinelas de seguridad, regulando el tr?fico entre los puertos estableciendo reglas, las cuales son: aceptar tr?fico en puertos determinados, ignorar tr?fico en puertos establecidos, redirigir el tr?fico que llegue a puertos establecidos y restringir servicios que los usuarios deseen acceder mediante la red. Un firewall proporciona pocas ventajas de seguridad para redes corporativas/empresariales, ya que solo act?a como una alarma para el tr?fico de la red, generando registros de informaci?n sobre sucesos ocurridos en los puertos.

Estos firewalls est?n conformados como tipo software o hardware, visto de una mejor forma un firewall puede ser un router, una computadora que mantiene la red (servidor) o una computadora en espec?fico (host), ambas con el fin de mantener una informaci?n al d?a sobre los movimientos o sucesos obtenidos en la comunicaci?n entre equipos mediante sus puertos. Observar la Figura 2.9 para una mejor comprensi?n.

FIGURA 2.9: Implementaci?n de un firewall, ilustrando trafico protegido y no protegido.

Es importante conocer algunos conceptos que se manejan dentro de las configuraciones de firewalls, donde se puede implementar tres tipos sobre una red, las cuales son:

1) Zona Desmilitarizada. Es la configuraci?n de un firewall con sus respectivas denegaciones de servicios para los usuarios, y estableciendo un conjunto de redes o un solo host que tendr? privilegiado el tr?fico libre, el cual actuar? como un buffer de recepci?n para no comprometer la Intranet. De este modo se establecer? una zona desmilitarizada o libre para paquetes de entrada y salida en un host o red espec?fica.
2) Host Bastion. Es un equipo de computadora que se sit?a entre el router de la red corporativa e Internet, este host bastion recibir? los paquetes de entrada y examinar? sus puertos de destino, consultando con sus reglas de redireccionamiento tomar? las desiciones necesarias para aceptar, denegar o redirigir el tr?fico entre la Intranet e Internet.
3) Gateway o Puerta de Enlace. Es un router el cual se encarga de aceptar, denegar y redireccionar el trafico de la red, tambi?n posee sus directivas para denegaci?n de servicios en puertos espec?ficos El router como ventaja principal lo posee integrado ya por defecto.

Para implementar el firewall se puede hacer en tres formas:

1) Firewall de red basado en host. Es un equipo que actuar? como firewall entre la Intranet e Internet.
2) Firewall basado en host. Es un firewall que actuar? por equipos, y estar? instalado en cada equipo. Ejm: ZoneAlarm, Kerio, etc.
3) Firewall basado en routers. Es el firewall del router.
4) Firewall de equipos. Es el firewall interno que tienen los dispositivos de hardware y son configurables mediante el mismo sistema operativo o bien el software que proporciona el fabricante al instalar el controlador.

Es recomendable posicionar un firewall en el modo que m?s convenga para tenerlo como centinela para nuestros paquetes de entrada y salida, obteniendo una mejor seguridad en los puertos que deseemos cuidar o deseemos ocupar para nuestras aplicaciones, ya que manteniendo bloqueadas las entradas por puertos se delimitaran a los usuarios a utilizar solamente las aplicaciones que utilicen dichos puertos asignados en el firewall de: router, equipos, host o la red mediante un host. Teniendo en cuenta que un firewall no ser? punto principal para preservar a un 99% la seguridad, sino que se estar?n resguardando los puertos, vigilando los paquetes y evitando miradas o intrusiones indiscretas, ya que un firewall no podr? detectar ni atacar a los que est?n intentando acceder ilegalmente mediante los puertos abiertos, de este modo resultar?a in?til un firewall. Observar la Figura 2.10.

FIGURA 2.10: Implementaci?n de Firewall con DMZ.

2.1.3.2 IDS

Un IDS como sus siglas indican, es un sistema para detecci?n de intrusos. Los IDS son una variante de los firewalls, los cuales sirven como refuerzo para los paquetes que entran por los puertos abiertos o permitidos por el firewall, asumiendo que dichos paquetes entrantes tienen c?digo o configuraciones inyectadas en el paquete, los cuales pueden realizar efectos da?inos al software que se encuentra recibiendo los paquetes, o bien pueden ser c?digos que permitan abrir agujeros de seguridad (bugs) para permitir la entrada ilegal o vista indiscreta, dejando as? al sistema indefenso y comprometido. A continuaci?n en la Figura 2.11 se aprecia un ejemplo.

FIGURA 2.11: Implementaci?n de IDS (sistema para detecci?n de intrusos).

La tarea de un IDS es detectar patrones sospechosos o c?digos maliciosos en los paquetes que est?n circulando por la red o bien entrando a un host, en base a estos patrones manda un alerta y realiza una acci?n para suprimir el problema, posteriormente realizar la protecci?n del equipo lo cual puede llegar a desconectar de la red el equipo o bien la red entera, esto dependiendo de la magnitud del problema, tambi?n contrarresta el ataque y da aviso detallado sobre las huellas o ubicaci?n del intruso para tomar medidas legales a dicha intrusi?n ilegal.

Para que un IDS realice todas las actividades mencionadas, ?ste posee un modo de configuraci?n basado por reglas (parecido al firewall) donde estas reglas indican los patrones que deben ser cumplidos en paquetes y si encontrase patrones distintos se le indica la acci?n a realizar, posteriormente se generar? un registro detallado de las anomal?as detectadas en el transcurso del d?a o conforme se desee revisar el registro, un IDS tambi?n posee el modo de aviso como alerta, para evitar estar visualizando el registro por sucesos sospechosos, el IDS alertar? sobre los problemas que encuentre conforme sucedan.

Algunas ventajas que ofrece IDS se enuncian a continuaci?n:

* Asegura la red mediante un sofisticado mecanismo basado por reglas, patrones de comportamiento y alertas.
* Detecci?n de intrusos y contraataque a estos mismos.
* Exploraci?n de puertos en busca de aperturas no establecidas previamente por el usuario o administrador del sistema.
* Alertas sobre desbordamientos de memorias surgidos repentinamente ocasionado por el software mismo instalado y que puede ser puerta de entrada para intrusos.
* Los ataques detectados son registrados y congelados, esto puede llegar hasta desconectar el equipo, los equipos o la red entera, dependiendo como lo determine el IDS.

Como se puede observar los IDS son sistemas sofisticados que pueden realizar b?squedas indeterminadas sobre anomal?as y brindar servicios de seguridad, privacidad y detecci?n de forma confiable, es por eso que los IDS se dividen en tres tipos:

1) HIDS :: IDS en host. Es un IDS que se encuentra vigilando a un ?nico equipo de c?mputo, es decir que solo vigilar? y analizar? los paquetes que van dirigidos y que provengan de ese mismo equipo. La Figura 2.12 repsenta un ejemplo.

FIGURA 2.12: Implementaci?n de un IDS basado en Host.

2) NIDS :: IDS en red. Es un IDS que por defecto es el servidor y se encontrar? vigilando todo el segmento de la red en busca de patrones distintos para procesar un an?lisis en todos los paquetes que viajan hacia los equipos o provenientes de ellos mismos. Observar la Figura 2.13 para su comprensi?n.

FIGURA 2.13: Implementaci?n de IDS basado en Red.

3) DIDS :: IDS Distribuido. En particular es una de las mejores formas de montar un IDS, m?s amplio, m?s confiable y ajustable a las distintas necesidades que surgen en la empresa/corporativo, ya que este tipo de IDS est? conformado por un sistema Cliente-Servidor. Esto se lleva acabo asignando equipos de c?mputo ?nicamente para trabajar como IDS cliente en distintas partes de la red (en caso que sea muy grande), posteriormente estableciendo un equipo de c?mputo como base principal (servidor) donde se almacenar?n todas las alertas, acciones anormales, detecciones, registros, etc. Cada uno de los clientes se encargar? de vigilar sus equipos o su segmento de red, y cada suceso visualizado es volcado hacia la base central que contendr? toda la informaci?n sobre los dem?s IDSs. Este m?todo se acomoda tambi?n para redes del tipo VPN (Virtual Private Network, Red Privada Virtual)

En conclusi?n se recomienda montar sistemas de firewall por router o por host, para proteger los puertos y solo establecer los puertos que se van a utilizar, posteriormente optar por la implementaci?n de alg?n tipo de IDS que m?s convenga para tener mejor resguardada la red, evitando que la informaci?n sea usurpada o se vea en peligro de ser observada por personas no deseadas. Observar la Figura 2.14.

FIGURA 2.14: Implementaci?n de IDS Distribuido.

2.1.3.3 PROXY

Es un servicio que brinda una computadora, ya sea cliente o servidor (como se desee implementar) con el fin de interponerse entre nosotros y la computadora a la que deseemos conectarnos, mandar informaci?n o visitar, a su vez se puede establecer que sirve como pasarela para llegar a un lugar. En la actualidad un proxy no solo puede servir como pasarela, sino que puede ser un buen firewall que se interpone entre nosotros y puede tomar una decisi?n (dependiendo su configuraci?n) para poder hacernos llegar al destino o no, y lo mismo viceversa.

Existen dos tipos de proxys, los proxys que se especializan en recibir y contestar peticiones del tipo web y del tipo informaci?n, que sirven para transportar informaci?n de un sitio a otro. Esto con sus respectivas limitaciones que vendr?a conformando una forma de filtro para saber que informaci?n podr? pasar por alto y cual no.

A diferencia de un navegador normal, los proxys utilizan un puerto adicional (distinto al 80, puerto de Internet), por donde se manejar?n para pasar informaci?n y determinan la forma en que se contestar?, claro est?, dependiendo el tipo de servicio que se proporcione por el proxy.

Un Proxy es una buena barrera de protecci?n a nivel website (enviar p?ginas web) y nivel acceso a recursos compartidos de forma an?nima o utilizando una sola direcci?n IP como salida.

2.1.3.3.1 PROXY WEB.

Los proxy web son aplicaciones que proporcionan servicio de filtraje de sitios web, son utilizados para poder filtrar cierto contenido permitido por la configuraci?n que se le haya dado al servidor proxy web. El filtro act?a conforme a un conjunto de cadenas de caracteres que deseemos omitir, en dado caso nos regula el tipo de p?ginas que se podr?n visualizar y se delimita al usuario el acceso a sitios web restringidos, o bien, que el proxy web tenga configurado apto para el usuario.

Un proxy web tiene un uso mayor bajo instituciones educativas donde se proporciona acceso a internet de forma “libre”, de esta forma se controla el acceso a las p?ginas los alumnos entran, poniendo reglas donde no se permitan contenidos del tipo pornogr?fico, hacking, contenido no educativo o cualquier cosa que genere tr?fico in?til en la red.

La configuraci?n de un proxy no es solo para delimitar contenido dentro de una consulta a sitios web, sino tambi?n genera registros de acceso a sitios donde es casi imposible obtener informaci?n sobre sus contenidos, es decir que es imposible realizar las comparaciones de los filtros/reglas establecidas previamente. En base a ese registro el administrador puede visualizar las p?ginas con mayor acceso por los usuarios y poder tomar una decisi?n determinante conforme al contenido que se muestra en dicho sitio web con mayor acceso.

El funcionamiento de un proxy web es el siguiente:

1- El usuario pide al servidor una consulta de visualizaci?n de p?gina web.
2- El servidor realiza la consulta al sitio web y espera que se le devuelva como respuesta dicha p?gina.
3- El servidor pasa por un filtro el contenido de la p?gina que se le dio como respuesta y toma una decisi?n
4- Si el contenido fue aceptado por el servidor, la p?gina es visualizada. En caso contrario se muestra el mensaje que se configure, este puede ser: “P?gina no encontrada” o “P?gina censurada”.

Como forma din?mica, el servidor proxy web tambi?n resguarda las cookies sobre consultas a paginas web ya realizadas por otros usuarios de la red, en caso que otro usuario consulte el mismo web que otro, el servidor proxy web no perder? tiempo ni recursos de la red para enviar una petici?n de pagina web, sino que de forma autom?tica le env?a al usuario el contenido del sitio web o en su defecto la censuracion de dicha pagina. Este m?todo es muy recomendable para evitar saturaci?n o uso in?til de la red cuando los usuarios desean realizar peticiones o consultas a sitios web iguales.

Por el lado de la privacidad y seguridad, un proxy web no solo sirve tanto para filtrar, delimitar, sino que a su vez puede estar configurado de dos maneras:

a) An?nimo. El servidor proxy web enviar? peticiones de p?ginas web y ocultar? la direcci?n IP de la m?quina cliente que realiz? la consulta al servidor proxy y este a su vez al sitio web. Este m?todo resguarda la identidad (direcci?n IP) del cliente.
b) No an?nimo. El servidor proxy web enviar? la petici?n de la p?gina web y cuando el sitio web desee obtener informaci?n de la m?quina que lo est? consultando, el servidor proxy web contestar? con los datos de la direcci?n del cliente que realiz? la petici?n original. Este m?todo tiene la desventaja de no resguardar la privacidad del cliente.

Tanto el modo an?nimo y no an?nimo, proporcionan un servicio r?pido y confiable cuando el Servidor proxy web tiene con anterioridad el contenido de dicho web solicitado. La Figura 2.15 muestra un mejor ejemplo.

FIGURA 2.15: Ilustracion de Porxy Web.

2.1.3.3.2 PROXY SERVER

Los proxy server son de forma parecida al proxy Web, solo que el proxy Web se enfoca al servicio de p?gina web, los proxy server no solo pueden alimentar el servicio de p?ginas web, sino que tambi?n sirven para proporcionar m?s recursos a los que se deseen acceder o conectar otro cliente de la red, de esta forma poder realizar una respuesta m?s r?pida a un recurso ya solicitado con anterioridad.

Los proxy server son intermediario entre el cliente e Internet, y sirven para cuando dentro de la red solo se cuenta con una direcci?n a Internet para salir, y todas las aplicaciones o recursos que requiere obtener est?n en una computadora fuera de la compa??a o bien dentro de ella, el servidor proxy puede alimentar las peticiones y permitir acceso a Internet a los equipos con una sola conexi?n

Las ventajas de un servidor proxy es que puede limitar los accesos a Internet a los clientes deseados y solo dar acceso a los que se configuren aptos para este servicio, as? mismo se puede denegar la ejecuci?n de aplicaciones que requieren conectar a otros servidores, ejemplo claro es: MSN Messenger, un proxy server puede denegar el acceso hacia Internet a aplicaciones previamente establecidas.

El ahorro de trabajo de carga en los clientes disminuye, ya que se puede utilizar como almacenador de datos, los cuales van a ser llamados por la aplicaci?n directamente al proxy server. Esto sin ocupar recursos del cliente y dejando m?s recursos para trabajar con otras aplicaciones.

As? como el proxy server realice las tareas m?s pesadas, esto puede ser contrario a lo que se desea obtener, ya que el exceso de trabajo realizado, o bien la carga de peticiones en la red y procesamiento de datos pueden disminuir el rendimiento del mismo proxy server. La Figura 2.16 ilustra la explicaci?n.

FIGURA 2.16: Proxy Server con servicio variado.

2.1.4 Routers y enrutamiento.

El router es un dispositivo de hardware utilizado para la comunicaci?n entre: routers y/o hosts. A diferencia de los otros dispositivos de hardware para redes el router posee las siguientes caracter?sticas:

* Entrada WAN para el servicio de Internet y posteriormente los equipos conectados ser?n capaces de acceder a dicho servicio, esto tambi?n dependiendo de la configuraci?n que tenga el router.
* Entrada LAN, consiste en un n?mero espec?fico de puertos ethernet para la conexi?n de los clientes. Panel de configuraci?n del router, el administrador podr? configurar o limitar los servicios a como sea necesario.
* Firewall incluido, la mayor?a de los routers poseen su propio firewall en donde se puede configurar equipos de forma particular o bien zonas desmilitarizadas (DMZ).
* Posee una tabla de enrutamiento, mostrando los equipos que se encuentran activos o pasivos en la red.
* Log de conexiones y desconexiones como estad?sticas para un mayor conocimiento sobre equipos que est?n trabajando o acceden al router de una u otra forma.
* Configuraciones de administrador para implementar puentes de red hacia otros puntos.

En la Figura 2.17 se puede apreciar un router para un mejor conocimeitno.

FIGURA 2.17: Descripci?n de Router D-Link.

El enrutamiento es la forma en que se transportar? un paquete de un nodo a otro dentro o fuera de la red. La tarea principal es tomar el paquete a enrutar, encapsularlo dentro del router utilizando el protocolo de ruteo que se requiera y realizar el env?o del paquete al equipo o bien al router siguiente.

El fin de la comunicaci?n entre routers es para actualizar sus tablas de direcciones seg?n los equipos que se tenga en cada LAN, de este modo utilizando alg?n protocolo de enrutamiento se realizan los env?os de paquetes de forma m?s directa, tratando de evitar contratiempos o peticiones de b?squeda en otros puntos de la red.

Existen dos tipos de enrutamiento para lograr acabo la actualizaci?n de tablas de ruteo entre routers, estos son:

1) Ruteo est?tico. El administrador debe actualizar su propia lista de direcciones cada vez que la topolog?a de la red o los equipos conectados al routers cambien, as? mismo el modo est?tico especifica que los equipos se conectar?n mediante una direcci?n IP est?tica, la cual debe ser establecida a su vez por el administrador. Esto resulta muy dif?cil si la red fuese muy amplia y estuviera en crecimiento constante, pero es una buena t?cnica para preservar la seguridad y saber el conocimiento exacto de equipos conectados y que se pueden conectar a la red, en base a esto poder realizar an?lisis de fallos en busca de problemas dentro de la red.
2) Ruteo din?mico. El administrador configura el router para que actualice su tabla de enrutamiento de forma autom?tica, de este modo los equipos pueden obtener su direcci?n IP de forma autom?tica (dhcp) sin problema alguno. Este m?todo es muy eficaz y evita contratiempos en caso que la red estuviese en crecimiento constante, pero reduce el rendimiento de la red ya que el router realizar? trabajo extra al realizar actualizaciones constantemente.

Una vez especificada la forma de enrutamiento se contin?a con la configuraci?n del tipo de protocolo para el ruteo de paquetes en la red. Los tipos de protocolos para el enrutamiento son:

RIP :: Protocolo de Ruteamiento por Vector Distancia. Determina la direcci?n (vector) y la distancia a cualquier enlace de la red.

IGRP :: Protocolo de Ruteamiento de Gateway Interior. Protocolo de enrutamiento patentado por Cisco.

OSPF :: Protocolo de Ruteamiento de Estado del Enlace. Obtenci?n de la ruta m?s corta, recreando la topolog?a de la red e implementando un algoritmo para la obtenci?n de la ruta m?s corta.

EIGRP :: Protocolo de Ruteamiento de Gateway Interior Mejorado. Combina aspectos de RIP y OSPF para determinar el env?o del paquete, tambi?n patentado por Cisco.

En la Figura 2.18 se ilustra un ejemplo.

FIGURA 2.18: lustraci?n de una red con utilizaci?n de Router.

2.1.5 NAT Y PAT.

La NAT (Network Adress Traduction) que significa traducci?n de direcciones de red, permite el enmascaramiento de las direcciones IP bajo una ?nica direcci?n IP, que ser?a la direcci?n asignada por el proveedor de servicio de Internet (ISP, Proveedor del Servicio de Internet). Esto es de gran utilidad ya que permite salir a Internet con una ?nica IP p?blica y tener la IP de la red Internet segura.

A continuaci?n un ejemplo de 2 computadoras realizando una b?squeda en google en la Tabla 1:

En el ejemplo se visualiza que tanto el equipo PC1 y PC2 realizan una misma consulta a google.com, enviando su consulta por el puerto 1010 y 1011 respectivamente, el servidor de google recibe dos consultas de una misma direcci?n IP (200.68.100.78), y revisando la tabla NAT visualiza que son consultas realizadas por distintos puertos, el servidor de google.com contesta a la petici?n por el puerto donde se origino actualmente la consulta y de este modo varios equipos pueden realizar consultas al mismo servidor sin que este se confunda.

PAT (Port Adress Traduction) que significa traducci?n de direcciones de puerto, este se utiliza cuando m?s de un equipo realiza una consulta al mismo servidor, brinda la traducci?n del puerto a otro (cambiando el puerto de recepci?n), env?a la consulta por un puerto y espera respuesta por otro puerto especificado en la tabla NAT, de esta forma se sigue preservando la direcci?n Interna del equipo, se realiza su petici?n y tanto el servidor como el router podr?n dirigir los paquetes de un sitio a otro.

A continuaci?n un ejemplo de implementaci?n de PAT, cuando ambos equipos realizan consultas a un mismo servidor utilizando un mismo puerto.

Al realizar la consulta y generar el paquete, el router realiza una revisi?n de la tabla NAT y se toma con la generaci?n de dos paquetes que tienen un mismo puerto de origen y que van a una misma direcci?n IP (google.com), es aqu? donde el router implementa PAT sobre la NAT, para traducir el puerto a un nuevo puerto, esto lo realiza modificando el paquete directamente y cambiando su puerta de origen a una nueva que encuentre disponible, este suceso se registra en su tabla NAT y env?a la consulta.

2.1.6 AUDITORIA DE LA RED

En toda red de comunicaciones se requiere una total seguridad, privacidad y confiabilidad de los datos, bien sea datos existentes en una computadora, o que se encuentren viajando por la red, estableciendo as? un sistema de c?mputo o una red, casi segura. Cada administrador de red debe tener en cuenta que la seguridad no se basa principalmente a nivel de sistema operativo, sino que influyen varios factores los cuales pueden poner en riesgo el equipo de c?mputo, la red o parte de ella, esto recae principalmente en las aplicaciones de software que se tiene trabajando a nivel de sistema operativo, es decir aplicaciones fuera del alcance o administraci?n del sistema operativo, he aqu? principalmente donde recaen los problemas de seguridad o tambi?n llamados 'bugs'.

Para tomar las medidas primordiales para brindar seguridad en la red, es necesario conocer las virtudes y debilidades tanto del sistema operativo, software que se tenga trabajando, protocolos que se utilicen para comunicaci?n, protocolos que se utilicen para ruteo, t?cnicas de escaneo, formas de falseo para visualizar el comportamiento que se tiene en el equipo comprometido (en forma de prueba) o bien la red entera.

Estos conocimientos forman parte de la auditoria de la red, posicion?ndose as? como una forma de comprobar la estabilidad, fiabilidad y rendimiento de la red.

Para iniciar con la auditoria de la red es primordial conocer de manera intermedia el funcionamiento de los distintos protocolos de ruteamiento que pueden ser objetivo principal para ataques iniciales, captura de paquetes e intervenciones a equipos o redes, las cuales son sostenidas, encaminadas y reconocidas por los distintos Routers establecidos en distintos puntos de la red.

2.1.6.1 SPOOFING

Consiste en falsear informaci?n de paquetes, inyectando informaci?n al paquete formado o paquetes capturados con el fin de enga?ar a un objetivo (v?ctima), la t?cnica de spoofing tiene a su vez fines interesantes para auditar la capacidad de seguridad que posee un servidor. Ya que utilizando alguna t?cnica de spoofing se puede comprobar la fidelidad de la red o alguna IDS (sistema de detecci?n de intrusos).

Las distintas t?cnicas de spoofing se basan en los protocolos que m?s se suelen utilizar en la red, en una comunicaci?n host a host, host a router y de router a router. Estos protocolos suelen ser ARP (protocolo de resoluci?n de direcciones), ICMP (protocolo de mensajes de control de Internet), RARP (protocolo de resoluci?n de direcciones inversa).

A continuaci?n se explican los protocolos para un mejor entendimiento en las t?cnicas de spoofing:

a) ARP (Protocolo de resoluci?n de direcciones). “Establece las direcciones IP y MAC de la estaci?n destino para y se almacenan en la tabla ARP para ser utilizada en la encapsulaci?n de datos y env?os a dicho destino”[1]. El Protocolo ARP consiste en establecer la direcci?n IP y direcci?n MAC dentro de la tabla ARP para realizar env?os de informaci?n a dicha direcci?n establecida en la tabla ARP, en caso que no se tenga una direcci?n dentro de la tabla ARP el dispositivo de red enviar? un paquete de petici?n de ARP para descubrir la direcci?n MAC hacia donde se encapsular?n los paquetes y ser?n enviados. Al enviar dicho paquete de petici?n ARP, todos los equipos de la red recibir?n esta petici?n y responder? solo el equipo destino que se le est? requiriendo su direcci?n MAC.

b) RARP (Protocolo de resoluci?n de direcciones inversa). “Protocolo que se utiliza para resolver la direcci?n IP a partir de una direcci?n MAC” [4]. Este protocolo tiene un funcionamiento parecido a ARP, solo que la diferencia es que resuelve la direcci?n IP apartir de una direcci?n MAC, de este modo se puede realizar b?squedas de direcciones IP teniendo a mano las direcciones MAC de equipos de la red. Como desventajas, todas las peticiones de difusi?n para resolver direcciones IP, se realizan mediante el env?o de direcciones MAC, pero estas son enviadas directamente a un servidor y no a los routers ni equipos de la red, por lo tanto es necesario contar con un servidor RARP para obtener este servicio [8].

c) ICMP (Protocolo de control de mensajes de Internet). “Se transportan en datagramas y se utilizan para enviar mensajes de error y de control” [1]. Los paquetes ICMP son utilizados de forma constante y excesiva por toda la red, ya que son muy r?pidos y proporcionan informaci?n r?pida sobre el suceso a alguna actividad, suspensi?n de alg?n servicio, error en alg?n proceso, desconexi?n, etc. Los distintos mensajes ICMP est?n descritos en la secci?n 4.2 Protocolo de Mensajes de Control en Internet (ICMP), se explica tanto los tipos de mensajes y su estructura para fines de programaci?n. Por mencionar alg?n tipo de mensaje importante, los ICMP se suelen utilizar cuando alg?n equipo est? fuera de la red, en alguna interrupci?n o al realizar ping a alg?n equipo, la direcci?n de alg?n router no se localiza, petici?n de cambio de direcci?n, los mensajes ICMP de este tipo proporcionan un mensaje siguiente: “Destino Inalcanzable”, “Eco”, “Respuesta de Eco”, “Redireccionar”, “Apagado del Origen”, “Respuesta de Informaci?n”, etc.

2.1.6.1.1. SPOOFING ARP.

Este tipo de falsificaci?n (spoofing) es el que nos lleva a ser un intermediario entre los datos de una computadora origen y una computadora destino, es decir que toda informaci?n que se env?en entre ellos pasar? primero por nosotros, es lo que con lleva como muchos dicen: “Hombre dentro del Medio” (Man in the middle).

Para conocer esta t?cnica es necesario saber los pasos que realiza una computadora para enviar un paquete a un destino bajo el protocolos de ruteo y Ethernet, sabiendo que el protocolo ARP es el encargado de traducir la direcci?n MAC apartir de la direcci?n IP que se tenga y Ethernet es un protocolo basado ?nicamente en direcciones MAC. A continuaci?n una explicaci?n muy simple:

La computadora origen env?a una petici?n ARP-Request a la direcci?n Broadcast pidiendo la MAC de la direcci?n IP que tenemos para enviarle los datos.
El router recibe la petici?n ARP-Request y se la env?a a todas las computadoras.
La computadora poseedora de la direcci?n IP responder? con un paquete ARP-Replay, la cual tendr? su direcci?n MAC.
Posteriormente tanto routers como hosts generan una tabla ARP haciendo relaci?n IP-MAC para env?os de paquetes de forma futura.
Finalmente cuando se desee enviar un paquete a un equipo que ya este registrado en nuestra tabla ARP, se realiza el env?o empaquetando la direcci?n mac.

Conociendo la forma establecida como trabaja el protocolo ARP y sus tablas ARP en routers y/o host's, las m?quinas atacantes pueden hacer env?os masivos de paquetes ARP-Replay, estableciendo su propia MAC como direcci?n valida y segura para env?o de paquetes, de esta forma se logra posicionar entre el atacante y la m?quina destino. La Figura 2.19 ilustra la explicaci?n.

FIGURA 2.19: Ilustraci?n de Ataque Spoofing ARP “Man inthe Middle”.

2.1.6.1.2 SPOOFING RARP.

De la misma forma que el spoofing ARP, RARP es un protocolo que se basa en la traducci?n de direcciones IP a partir de una direcci?n MAC conocida, pero con la desventaja que es necesario el montaje de un servidor RARP para implementaci?n de este protocolo.

Por lo tanto un atacante puede hacer mal utilizaci?n del protocolo rarp para realizar spoofing RARP con solo enviar paquetes mal formados RARP especificando su direcci?n IP, de esta forma la tabla RARP se llenar? de esta direcci?n IP y la tomar? como una direcci?n IP fiable y confiable, por lo tanto el tr?fico se ver? redireccionado a la computadora del atacante. A partir de ah? el atacante spoofer puede decidir realizar el sniffeo de los datos y reenviar los datos a su origen verdadero o no hacerlo.

2.1.6.1.3 SPOOFING ICMP.

El protocolo ICMP es un protocolo para control de errores e informaci?n sobre consultas y respuestas a distintas actividades o sucesos en la red, una de las actividades que ser?a muy interesante observar es cuando el router realiza los cambios de ruta en su direcci?n para que los equipos puedan enviar sus paquetes, en este momento de forma autom?tica el router puede hacer env?o de paquetes ICMP para que los equipos de la red actualicen su tabla ARP y obtengan la direcci?n de la nueva ruta hacia d?nde enviar?n sus paquetes. En este proceso el ruter env?a una petici?n de cambio de ruta, en este momento la direcci?n m?quina realiza sus cambios de ruta de forma normal.

El atacante para realizar spoofing ICMP, realiza un paquete ICMP mal formado con informaci?n falsa, en donde le avisa a un equipo de la red sobre el cambio de ruta para env?o de paquetes, como si el mismo equipo atacante fuese el router, el host realiza los cambios en su tabla y todo el trafico que salga del host sera enviado al atacante.

2.1.6.2 SNIFFER.

Sniffer es un derivado de snif (oler), que es una peculiaridad de los animales por oler cosas, o seguir el rastro de algo mediante su olfato, teniendo en cuenta que puede olfatear cualquier cosa todo esto delimitado por la capacidad de su nariz. En t?rmino inform?tico sniffer se denomina al enfoque de la visualizaci?n de paquetes que transitan en la red para poder observar y tomar alguno de ellos (equivalente a disparar), posteriormente el tr?fico sniffeado (capturado) puede ser desmantelado y observado cuidadosamente, as? mismo capturar m?s hasta formar el paquete original.

Para realizar sniffer es necesario tener en cuenta 2 cosas muy importantes:

1- Para realizar sniffing se puede establecer la tarjeta de red o cualquier dispositivo de red en modo promiscuo, de esta forma se puede capturar el tr?fico de la red. De forma contraria a esto, algunos fabricantes impiden el modo promiscuo a algunos dispositivos, dejando casi imposible el sniffeo de paquetes.

2- Para realizar sniffing se puede utilizar la programaci?n de sockets, los cuales dan acceso al nivel m?s bajo para la captura de tr?fico mediante funciones m?s amigables y permite implementar estas funciones en aplicaciones visuales las cuales pueden ser como una forma de detecci?n de tramas para fines de informaci?n de datos sospechosos o bien comprobaci?n de la red.

Un sniffer no solo es una forma de atentar la privacidad de la informaci?n que viaja por la red, sino tambi?n es una forma educativa de como viaja la informaci?n, como se forma un paquete, como se desarma un paquete, pensando as? en la realizaci?n de aplicaciones m?s dedicadas a la seguridad, como puede ser un sistema de detecci?n de intrusos, que analice los paquetes en busca de patrones o reglas sospechosas previamente establecidas por el usuario y nos ayude a determinar en dado caso la intrusi?n de c?digo o false de direcciones con fines de robo de la informaci?n [9].

2.1.6.3 DoS.

DoS o denegaci?n de servicios (Denied Of Services) consiste en atacar los puertos de un servidor o computadora, satur?ndolos de flujos de informaci?n y ocupando de forma r?pida todo su ancho de banda, acortando los recursos y servicio del servidor mismo, ya que mediante este ataque el servidor no tendr? el espacio ni el tiempo necesario de atender a los usuarios (prestarles el servicio que proporcione) de este modo se llega acabo la denegaci?n de un servicio.

Los ataques DoS son una herramienta muy ?til para comprobar la capacidad de conexiones que puede soportar un servidor, brindando una forma estad?stica de la cantidad de flujo que puede permitir y hasta que nivel de pueden ver colapsados los distintos servicios que brinde dicho servidor.

Los DoS's tienen como principal objetivo iniciar una sincronizaci?n de conexi?n con un servidor a un determinado servicio que proporcione, posteriormente esta petici?n formar? parte de la pila TCP/IP del servidor (ocupando desde aqu? un espacio), posteriormente el servidor esperar? a la respuesta del usuario (sobre aceptaci?n de la conexi?n), el servidor puede esperar de 1, 2 o 3 minutos a que el usuario responda, en caso que se sobrepase el tiempo, el servidor rechaza la conexi?n y libera el espacio de la pila. Mediante aplicaciones maliciosas o de auditor?a de red, se pueden falsear (spoofear) las direcci?n IP de origen, haciendo m?ltiples intentos de conexi?n desde un mismo equipos, as? mismo el servidor esperar las respuestas de direcciones falseadas (spoofeadas), esto realizado en mayor escala llega a saturar el ancho de banda y colapsar los servicios que brinda el servidor.

Existe un ataque en mejor capacidad llamado DDoS, Denegaci?n de Servicios Distribuido, es igual que el DoS pero desde este punto el usuario auditor (o atacante) utiliza varios equipos remotos para realizar m?ltiples intentos de conexiones utilizando direcciones falseadas (spoofeadas) desde cada uno de los equipos [10].