Alvarez Mtz
Anuncio
UNIVERSIDAD VERACRUZANA Facultad de Contaduría y Administración “Estrategias para detectar puntos de acceso no permitidos” MONOGRAFÍA Para obtener el Título de: Licenciado en Sistemas Computacionales Administrativos Presenta: Ausencio Álvarez Martínez Asesor: MTE. Guillermo Leonel Sánchez Hernández Cuerpo Académico: Tecnologías de la Información y las Organizaciones Inteligentes en la Sociedad del Conocimiento Xalapa-Enríquez, Veracruz. Agosto 2009. UNIVERSIDAD VERACRUZANA Facultad de Contaduría y Administración “Estrategias para detectar puntos de acceso no permitidos” MONOGRAFÍA Para obtener el Título de: Licenciado en Sistemas Computacionales Administrativos Presenta: Ausencio Álvarez Martínez Asesor: M.T.E. Guillermo Leonel Sánchez Hernández Coasesor: M.T.E. María Luisa Velasco Ramírez Xalapa-Enríquez, Veracruz. Agosto 2009. Agradecimientos Primero doy gracias a dios por haberme dado esta vida, por lograr una de mis metas, espero que esta sea una de muchas más, por su amor, por la salud, pero en especial por escucharme y ayudarme ante todos mis gritos de auxilio, dándome fuerza y serenidad en aquellos momentos en los que tenía ganas de tirar la toalla, por darme creatividad y por poner en mi vida muchas personas las cuales siempre me ayudaron y apoyaron. Quisiera dar un agradecimiento muy especial a mis padres Rocío Martínez Montano y Magdaleno Álvarez Domínguez a ustedes dedico este logro tan importante en mi vida ya que sin su apoyo y motivación posiblemente no habría logrado esta meta, gracias mamá por siempre estarme recordando el estudiar para sacar buenas calificaciones, gracias papá porque siempre me brindaste tu apoyo en todas mis decisiones también les doy gracias por amarme, comprenderme y orientarme. Ustedes son mi mejor ejemplo a seguir en esta vida, espero sinceramente que algún día se sientan tan orgullosos de mí como yo me siento de ustedes. Hermano: muchas gracias por alentarme en los momentos más difíciles, por tu apoyo, comprensión, ayuda, muestras de afecto y por darme ánimos para alcanzar esta meta tan importante Mi Carrera Profesional. Novia: muchas gracias Yeya por darme ánimos a seguir adelante y a superarme, por estar ahí cada vez que necesitaba de tu apoyo, por orientarme cuando lo requería. También eres parte de esto, muchas gracias por compartir esta etapa a mi lado. Amigos: Guillermo, Uriel, Sergio, Erick, Ángel, Leonardo, entre otros de mis mejores amigos aunque claro no puedo mencionarlos a todos; a ustedes les agradezco por haberme brindado su amistad, por hacer más fácil esta gran travesía y también le doy las gracias a dios por darme la fortuna de conocerlos ya que han dejado una huella muy importante en mi, nunca los olvidare. En forma especial, a mi Asesor Guillermo Leonel Sánchez Hernández, por su valioso apoyo, orientación, confianza y por una muy buena amistad por esto y por muchas cosas más gracias. Gracias por el tiempo dedicado a la realización de este trabajo de investigación. Maestros y Sinodales: gracias a todos por brindarme el conocimiento necesario en el transcurso de esta bonita carrera, por orientarme cada vez que surgía una duda, por la disposición que tenían para transmitir su conocimiento ya que gracias a ello pude llegar a esta meta. ¡Gracias! I ÍNDICE RESUMEN ...................................................................................................................................... 1 INTRODUCCIÓN ............................................................................................................................. 2 CAPÍTULO I .................................................................................................................................... 6 1.1 Definiciones de redes .............................................................................................................. 7 1.2 Clasificación de las redes ....................................................................................................... 10 1.2.1 Redes LAN ................................................................................................................. 10 1.2.2 Redes MAN ................................................................................................................. 12 1.2.3 Redes WAN ................................................................................................................. 13 1.3 Topologías de red .................................................................................................................. 15 1.3.1 Red en estrella ............................................................................................................ 16 1.3.2 Red en bus .................................................................................................................. 17 1.3.3 Red en anillo ............................................................................................................... 18 1.3.3 Red en árbol ................................................................................................................ 20 1.3.4 Red Inalámbrica Wi-Fi ............................................................................................... 21 1.4 Cables para Redes ................................................................................................................ 23 1.4.1 Cable Coaxial .............................................................................................................. 24 1.4.1.1 Tipos de cable coaxial ........................................................................................ 24 1.4.1.2 Modelos de cable coaxial ................................................................................... 25 1.4.2 Par trenzado ................................................................................................................ 27 1.4.2.1 Tipos de cable trenzado ..................................................................................... 28 1.4.3 Fibra óptica .................................................................................................................. 31 1.5 Modelo OSI ............................................................................................................................ 35 1.5.1 Concepto de Modelo OSI .......................................................................................... 36 1.5.2 Las capas del modelo OSI ........................................................................................ 36 1.6 Capas TCP/IP.......................................................................................................................... 39 CAPÍTULO II ................................................................................................................................. 40 2.1 Definición .............................................................................................................................. 42 2.2 Los elementos involucrados en la administración de redes son: ........................... 44 2.3 Operaciones de la administración de red................................................................... 45 2.4 Planeación de una red .................................................................................................. 47 2.4.1 Funciones de administración definidas por OSI. ............................................... 47 2.4.2 El modelo OSI incluye cinco componentes claves en la administración de red: ...................................................................................................................................... 48 II 2.5 Protocolo de administración de red TCP/IP. ............................................................. 49 Monitoreo: .......................................................................................................................... 50 Control ................................................................................................................................ 51 2.6 Seguridad............................................................................................................................... 52 2.7 Firma digital........................................................................................................................... 53 2.8 Criptografía............................................................................................................................ 54 2.8.1 Sistemas de cifrado .................................................................................................... 54 CAPÍTULO III ................................................................................................................................ 57 3.1 Punto de acceso. ................................................................................................................... 58 3.2 Puntos de acceso no permitido. ............................................................................................ 58 3.3 Sistema de detección de intrusos (IDS) ................................................................................. 59 3.4 Firewall .................................................................................................................................. 63 3.4.1 Kernel de Linux ........................................................................................................... 65 3.4.2 Sistema de Detección de Intrusos (Linux) .............................................................. 65 3.5 Red Privada Virtual (Vpn) ...................................................................................................... 66 3.6 Comando Ping ....................................................................................................................... 68 3.7 Comando Arp........................................................................................................................ 72 3.8 Packet Sniffer ........................................................................................................................ 73 3.9 Modo Promiscuo ................................................................................................................... 74 3.9.1 El Modo promiscuo en redes Wi-fi. .......................................................................... 76 3.10 Estrategias para detectar el modo promiscuo .................................................................... 76 3.11 Técnicas de detección de sniffers ....................................................................................... 77 3.11.1 Detección de sniffers en la red............................................................................... 81 CONCLUSIÓN ............................................................................................................................... 85 Referencias Bibliográficas ........................................................................................................... 87 III RESUMEN Durante varios años se ha comprobado que las redes facilitan el trabajo, la comunicación y la coordinación de los diferentes departamentos de una empresa, sin importar su situación geográfica. Por este motivo, y debido a la importancia que han adquirido las redes para el desarrollo empresarial, se hace necesario desarrollar una política de seguridad de las redes en general a toda la estructura empresarial. Es en este contexto donde surgen nuevos conceptos referentes a la seguridad de las redes de computadoras, como la vulnerabilidad y los ataques, tanto internos como externos. La vulnerabilidad es referente a errores de software o de configuración que pueden permitir a un intruso acceder a un sistema obteniendo así puntos de accesos no permitidos. 1 INTRODUCCIÓN Conforme se va avanzando en la historia de la computación se ha demostrado lo útil que es compartir información entre computadoras sin utilizar medios de almacenamiento externos. En estos tiempos ya no es útil procesar datos de forma aislada si no que se ve que la información que se tiene almacenada en una maquina también es necesaria en otras, y es cuando comienza a fluir continuas idas y venidas de memorias o diskettes llevando información de una PC a otra y en muchas ocasiones obteniendo como resultado de esto duplicidad de la información, para dar solución a esto han surgido las redes de computadoras para que se pueda compartir información y otros recursos los cuales hacen más fácil nuestras tareas diarias. A medida que se avanza hacia los últimos años de este siglo, se ha dado una rápida convergencia de estas áreas, y también las diferencias entre la captura, transporte almacenamiento y procesamiento de información en una sola maquina están desapareciendo con rapidez. Organizaciones con centenares de oficinas dispersas en una amplia área geográfica esperan tener la posibilidad de examinar en forma habitual el estado actual de todas ellas, simplemente oprimiendo una tecla. A medida que crece nuestra habilidad para recolectar procesar y distribuir información, la demanda de más sofisticados procesamientos de información crece todavía con mayor rapidez. La industria de las computadoras ha mostrado un progreso espectacular en corto tiempo. El viejo modelo de tener una sola computadora para satisfacer todas las necesidades de cálculo de una organización se está reemplazando con rapidez por otro que considera un número grande de computadoras separadas, pero interconectadas, que efectúan el mismo trabajo. 3 Estos sistemas, se conocen con el nombre de redes de computadoras. Estas nos dan a entender una colección interconectada de computadoras autónomas. Se dice que las computadoras están interconectadas, si son capaces de intercambiar información. La conexión no necesita hacerse a través de un hilo de cobre, el uso de láser, microondas y satélites de comunicaciones. Al indicar que las computadoras son autónomas, excluimos los sistemas en los que una computadora pueda forzosamente arrancar, parar o controlar a otra, éstos no se consideran autónomos. Así como se muestra un progreso espectacular para las computadoras así también es necesario un progreso en la detección de accesos no permitidos es por esto que también se habla de la seguridad informantica y de algunas herramientas que nos facilitan la detección de ciertos procesos antes de que se obtengan puntos de acceso. Los requerimientos en la seguridad de la información de la organización han sufrido dos cambios importantes en las últimas décadas. Previo a la difusión en el uso de equipo de información la seguridad de la misma era considerada como valiosa para la organización en las áreas administrativas, por ejemplo el uso de gabinetes con candado para el almacenamiento de documentos importantes. Con la introducción de las computadoras la necesidad de herramientas automatizadas para la protección de archivos y otra información almacenada fue evidente, especialmente en el caso de sistemas compartidos por ejemplo sistemas que pueden ser accesados vía telefónica o redes de información. El nombre genérico de las herramientas para proteger la información así como la invasión de hackers es la seguridad informática. El segundo cambio que afectó la seguridad fue la introducción de sistemas distribuidos así como el uso de redes e instalaciones de comunicación para enviar información entre un servidor y una computadora o entre más computadoras. Las medidas de seguridad de redes son necesarias para proteger la información durante su transmisión así como para garantizar que 4 dicha información sea auténtica y de esa forma no obtener puntos de acceso a otros sistemas o programas. La tecnología utilizada para la seguridad de las computadoras y de las redes automatizadas es la encriptación y fundamentalmente se utilizan la encriptación convencional o también conocida como encriptación simétrica, que es usada para la privacidad mediante la autentificación y la encriptación public key, también conocida como asimétrica utilizada para evitar la falsificación de información y transacciones por medio de algoritmos basados en funciones matemáticas, que a diferencia de la encriptación simétrica utiliza dos claves para la protección de áreas como la confidencialidad, distribución de claves e identificación. El uso creciente de la tecnología de la información en la actividad económica ha dado lugar a un incremento sustancial en el número de puestos de trabajo informatizados, con una relación de terminales por empleado que aumenta constantemente en todos los sectores industriales. Ello proviene de la importancia que la información y su gestión poseen en la actividad de cualquier empresa. El éxito de las LAN reside en que cada día es mayor la cantidad de información que se procesa de una manera local, y a su vez mayor el número de usuarios que necesitan estar conectados entre sí, con la posibilidad de compartir recursos comunes. Por ejemplo, acceder a una base de datos general o compartir una impresora de alta velocidad. El crecimiento de las redes locales a mediados de los años ochenta hizo que cambiase nuestra forma de comunicarnos con las computadoras y la forma en que estas se comunicaban entre sí. La importancia de las LAN reside en que en un principio se puede conectar un número pequeño de computadoras que puede ser ampliado a medida que crecen las necesidades. Son de vital importancia para empresas pequeñas puesto que suponen la solución a un entorno distribuido. 5 CAPÍTULO I REDES 1.1 Definiciones de redes Una red es un conjunto de computadoras y dispositivos conectados por medio de cables, ondas o por cualquier otro método de transferencia de datos, los cuales comparten información, recursos como: impresoras, CD-ROM y servicios como: los de impresión, de acceso a internet, juegos, email, chat, entre otros (http://es.wikipedia.org/wiki/Red_de_computadoras). Sistema de interconexión de computadoras que permite compartir información y recursos, supone la unión de varios recursos (computadoras y dispositivos variados, como impresoras, lectoras de Cd, entre otros.) que antes trabajaban de manera aislada. Una red tiene 3 niveles de componentes los cuales son: Software de aplicación Software de red Hardware de red Software de Aplicaciones: El software de aplicaciones está formado por programas informáticos que se comunican con los usuarios de la red y permiten compartir información (como archivos, gráficos o vídeos) y recursos (como impresoras o unidades de disco). Un tipo de software de aplicaciones se denomina cliente-servidor. Las computadoras cliente envían peticiones de información o de uso de recursos a otras computadoras llamadas servidores, los cuales controlan datos y aplicaciones. Otro tipo de software de aplicación se conoce como 'de igual a igual' (peer to peer). En una red de este tipo, las computadoras se envían entre sí mensajes y peticiones directamente sin utilizar un servidor como intermediario. 7 El software de red: consiste en programas informáticos que establecen protocolos, o normas, para que las computadoras se comuniquen entre sí. Estos protocolos se aplican enviando y recibiendo grupos de datos formateados denominados paquetes. Los protocolos indican cómo efectuar conexiones lógicas entre las aplicaciones de la red, dirigir el movimiento de paquetes a través de la red física y minimizar las posibilidades de colisión entre paquetes enviados simultáneamente. El hardware de red: está formado por los componentes materiales que unen las computadoras. Dos componentes importantes son los medios de transmisión que transportan las señales de las computadoras (típicamente cables o fibras ópticas) y el adaptador de red, que permite acceder al medio material que conecta a estas, recibir paquetes desde el software de red y transmitir instrucciones y peticiones a otras computadoras. La información se transfiere en forma de dígitos binarios, o bits (unos y ceros), que pueden ser procesados por los circuitos electrónicos de las pc’s. Conexiones de red una red tiene 2 tipos de conexiones las cuales son: Conexiones físicas y lógicas de las cuales son: Las físicas son las que periten a las computadoras transmitir y recibir señales directamente. Y las lógicas o virtuales son las que permiten intercambiar información a las aplicaciones informáticas, por ejemplo, se podría poner un procesador de textos, las conexiones físicas están definidas por el medio empleado para transmitir la señal, por la disposición geométrica de las computadoras (topología) y por método usado para compartir información. Las conexiones lógicas son creadas por los protocolos de red y permiten compartir datos a través de la red entre aplicaciones correspondientes a pc’s de distintos tipos por ejemplo podría ser unas pc’s con Linux y otras con Windows. Algunas conexiones lógicas emplean software de tipo cliente – servidor y están destinadas principalmente a compartir archivos e impresoras. El conjunto de Protocolos de Control de Transmisión y Protocolo de Internet 8 (TCP/IP, siglas en inglés), desarrollado originalmente por el Departamento de Defensa estadounidense, es el conjunto de conexiones lógicas empleado por Internet, la red de redes planetaria. El TCP/IP, basado en software de aplicación de igual a igual, crea una conexión entre dos computadoras cualesquiera. (http://www.terra.es/personal/lermon/cat/articles/evin0405.htm). Componentes de una red: Una red de computadoras está conectada tanto por hardware como por software (Viloria Jairo, 1999), el hardware incluye tanto las tarjetas de interfaz de red como a los cables que las unen y el software incluye tanto a los controladores (programas que utilizan para gestionar los dispositivos) y al sistema operativo de red que la gestiona. A continuación se enlistan los componentes Servidor Estación de trabajo Placas de interfaz de red Recursos periféricos y compartidos Servidor: este es el encargado de ejecutar el sistema operativo de red y proporciona los servicios de red a las estaciones de trabajo. Estaciones de Trabajo: Cuando una computadora se conecta a una red, la primera se convierte en un nodo de la ultima y se puede tratar como una estación de trabajo o cliente. Las estaciones de trabajos pueden ser computadoras personales con el DOS, Macintosh, Unix, OS/2 o estaciones de trabajos sin discos. Tarjetas o Placas de Interfaz de Red: Toda computadora que se conecta a una red necesita de una tarjeta de interfaz de red que soporte un esquema de red específico, como Ethernet, ArcNet o Token Ring. El cable de red se conectara a la parte trasera de la tarjeta. Sistema de Cableado: El sistema de la red está constituido por el cable utilizado para conectar entre si el servidor y las estaciones de trabajo. 9 Recursos y Periféricos Compartidos: Entre los recursos compartidos se incluyen los dispositivos de almacenamiento ligados al servidor, las unidades de discos ópticos, las impresoras, los trazadores y el resto de equipos que puedan ser utilizados por cualquiera en la red. Medios de transmisión El medio empleado para transmitir información limita la velocidad de la red, la distancia eficaz entre ordenadores y la topología de la red. Los cables bifilares de cobre o los cables coaxiales proporcionan velocidades de transmisión de algunos miles de bps (bits por segundo) a largas distancias y de unos 100 Mbps (millones de bits por segundo) a corta distancia. Las fibras ópticas permiten velocidades de entre 100 y 1.000 Mbps a largas distancias. (http://www.angelfire.com/mi2/Redes/componentes.html). 1.2 Clasificación de las redes Existen 3 tipos importantes de redes los cuales a continuación se mencionarán: Redes de área local (LAN). Redes metropolitanas (MAN). Redes de área amplia (WAN). 1.2.1 Redes LAN Llamadas así por su pronunciación en ingles “Local Área Network” que significa red de área local (Viloria Jairo, 1999), son redes de propiedad privada dentro de un solo edificio o campus de hasta unos cuantos kilómetros de extensión se usan ampliamente para conectar computadoras personales y estaciones de trabajo en oficinas de compañías y fabricas con objeto de compartir recursos e intercambiar información. 10 Las LAN están restringidas en tamaño lo cual significa que el tiempo de transmisión del peor caso está limitado y se conoce de antemano. Las LAN a menudo usan una tecnología de transmisión que consiste un cable sencillo al cual están conectadas todas las maquinas, como las líneas compartidas de compañía telefónica que solían usarse en áreas rurales, estas operan a velocidades de 10 a 100 Mbps, tienen bajo retardo (decimas de microsegundos) y experimentan pocos errores. Elementos de una red de área local En una LAN existen elementos de hardware y software entre los cuales se pueden destacar: (http://www.trucosgratis.net/foro/index.php/topic,121.0.html) El servidor: Es un dispositivo sumamente importante debido a que es el elemento principal de procesamiento, contiene el sistema operativo de red y se encarga de administrar todos los procesos dentro de ella, controla también el acceso a los recursos comunes como son las impresoras y las unidades de almacenamiento. Las estaciones de trabajo: En ocasiones llamadas nodos, pueden ser computadoras personales o cualquier terminal conectada a la red. De esta manera trabaja con sus propios programas o aprovecha las aplicaciones existentes en el servidor. El sistema operativo de red: Es el programa (software) que permite el control de la red y reside en el servidor. Ejemplos de estos sistemas operativos de red son: NetWare, LAN Manager, OS/2, LANtastic y Appletalk. Los protocolos de comunicación: Son un conjunto de normas que regulan la transmisión y recepción de datos dentro de la red. 11 La tarjeta de interface de red: Proporciona la conectividad de la terminal o usuario de la red física, ya que maneja los protocolos de comunicación de cada topología especifica. Ventajas: Una LAN da la posibilidad de que los PC's compartan entre ellos programas, información, recursos entre otros. La máquina conectada (PC) cambian continuamente, así que permite que sea innovador este proceso y que se incremente sus recursos y capacidades. Desventajas: Para que ocurra el proceso de intercambiar la información los PC's deben estar cerca geográficamente. Solo pueden conectar PC's o microcomputadoras. (http:// www.angelfire.com/mi2/Redes/ventajas.html). 1.2.2 Redes MAN Las redes de área metropolitana o MAN (metropolitana rea network). Es básicamente una versión más grande de una LAN y normalmente se basa en una tecnología similar (Tanenbaum Andrews. 2003). Podría abarcar un grupo de oficinas corporativas o una ciudad y podría ser privada o pública. Una MAN puede manejar datos y voz e incluso podría estar relacionado con la red de televisión por cable local. Una man solo tiene uno o dos cables y no contiene elementos de comunicación, los cuales desvían los paquetes por una de varias salidas potenciales. Al no tener que conmutar, se simplifica el diseño. La principal razón para distinguir las MAN como una categoría especial es que se ha adoptado un estándar para ellas y este estándar ya esta implementado. Se llama DQDB (bus dual de cola distribuida) o para las personas que prefieren números y letras el 802.6 (el número de la norma que lo define IEEE) El DQDB consiste en 2 buses (cables) Unidireccionales a los cuales están conectados 12 todas las computadoras, así como se muestra en la figura 1 cada bus tiene una cabeza terminal (head-end), un dispositivo que inicia la actividad de transmisión. El trafico está destinado a una computadora situada a la derecha de emisor usa el bus superior, el tráfico hacia la izquierda usa el de abajo. Figura 1. Arquitectura de la red de área metropolitana DQDB Fuente: Tanenbaum Andrews. (2003). Redes de computadoras 4ta. Edición. México: Pearson. Ventajas: Las WAN pueden utilizar un software especializado para incluir mini y macrocomputadoras como elementos de red. Las WAN no está limitada a espacio geográfico para establecer comunicación entre PC's o mini o macrocomputadoras. Puede llegar a utilizar enlaces de satélites, fibra óptica, aparatos de rayos infrarrojos y de enlaces. Desventajas: Los equipos deben poseer gran capacidad de memoria, si se quiere que el acceso sea rápido. Poca seguridad en las computadoras (infección de virus, eliminación de programas, entre otros). (http://www.angelfire.com/mi2/Redes/ventajas.html). 1.2.3 Redes WAN Una red de área amplia o WAN (wide area network), se extiende sobre un área geográfica extensa a veces sobre un país o un continente; contiene una colección de maquinas dedicadas a ejecutar programas de usuario (es decir de 13 aplicación) estas maquinas son llamadas hosts, estos están conectados a una subred de comunicación o simplemente subred. El trabajo de la subred es conducir mensajes de un host a otro. Así como el sistema telefónico conduce palabras del que habla al que escucha, la separación de los aspectos exclusivamente de comunicación de la red (la subred) y los aspectos de aplicación (los hosts), simplifica el diseño total de la red. En muchas redes de área amplia, la subred tiene 2 componentes distintos: las líneas de transmisión y los elementos de comunicación. Las líneas de transición (también llamadas circuitos, canales o troncales) mueven bits de una maquina a otra. Los elementos de conmutación son computadoras especializadas que conectan 2 o más líneas de transmisión. Cuando los datos llegan por una línea de entrada, el elemento de conmutación debe escoger una línea de salida para reenviarlos. Desafortunadamente no hay una terminología estándar para designar estas computadoras; se les denomina nodos conmutadores de paquetes, sistemas intermedios y centrales de comunicación de datos entre otras cosas (http://www.dei.uc.edu.py/tai2003-2/interredes/WAN.htm). En casi todas las WAN, la red contiene numerosos cables o líneas telefónicas cada una conectada a un par de enrutadores. Si dos enrutadores que no comparten un cale desean comunicarse, deben hacerlo indirectamente por medio de otros enrutadores intermedios, el paquete se recibe completo en cada enrutador intermedio, se alacena hasta que la línea de salida está libre y a continuación se reenvía. Una sub red basada en este principio se llama red de punto a punto casi todas las redes de área amplia (excepto las que usan satélites) tienen sub redes de almacenar y enviar Ventajas: Las WAN pueden utilizar un software especializado para incluir mini y macrocomputadoras como elementos de red. Las WAN no está limitada a espacio geográfico para establecer comunicación entre PC's o mini o 14 macrocomputadoras. Puede llegar a utilizar enlaces de satélites, fibra óptica, aparatos de rayos infrarrojos y de enlaces. Desventajas: Los equipos deben poseer gran capacidad de memoria, si se quiere que el acceso sea rápido. Poca seguridad en las computadoras (infección de virus, eliminación de programas, entre otros). (http://www.angelfire.com/mi2/Redes/ventajas.html) 1.3 Topologías de red Cuando se habla de topología de una red, se habla de su configuración. Esta configuración recoge tres campos: físico, eléctrico y lógico. El nivel físico y eléctrico se puede entender como la configuración del cableado entre máquinas o dispositivos de control o conmutación. Cuando se comenta de la configuración lógica se tiene que pensar en cómo se trata la información dentro de nuestra red, como se dirige de un sitio a otro o como la recoge cada estación (http://alumno.ucol.mx/al989561/public_html/topo.htm). Así pues, para ver más claro cómo se pueden configurar las redes se comentara de manera sencilla cada una de las posibles formas que pueden tomar. Criterios para elegir una topología de red: Buscar minimizar los costos de encaminamiento (necesidad de elegir los caminos más simples entre el nodo y los demás) Tolerancia a fallos o facilidad de localización a estos. Facilidad de instalación y reconfiguración de la red. 15 1.3.1 Red en estrella Todos los elementos de la red se encuentran conectados directamente mediante un enlace punto a punto al nodo central de la red (Albert, 2009), quien se encarga de gestionar las transmisiones de información por toda la estrella. Evidentemente, todas las tramas de información que circulen por la red deben pasar por el nodo principal, con lo cual un fallo en él provoca la caída de todo el sistema. Por otra parte, un fallo en un determinado cable sólo afecta al nodo asociado a él; si bien esta topología obliga a disponer de un cable propio para cada terminal adicional de la red. La topología de Estrella es una buena elección siempre que se tenga varias unidades dependientes de un procesador, esta es la situación de una típica mainframe, donde el personal requiere estar accesando frecuentemente esta computadora. En este caso, todos los cables están conectados hacia un solo sitio, esto es, un panel central. Equipo como unidades de multiplexaje, concentradores y pares de cables solo reducen los requerimientos de cableado, sin eliminarlos y produce alguna economía para esta topología. Resulta económica la instalación de un nodo cuando se tiene bien planeado su establecimiento, ya que este requiere de un cable desde el panel central, hasta el lugar donde se desea instalarlo. Figura 2. Red de estrella Fuente: http://www.geocities.com/TimesSquare/Chasm/7990/Image13.gif Ventajas: Tiene dos medios para prevenir problemas. Permite que todos los nodos se comuniquen entre sí de manera conveniente 16 Desventajas: Si el nodo central falla, toda la red se desconecta. Es costosa, ya que requiere más cable que la topología Bus y Ring. El cable viaja por separado del hub a cada computadora (http://www.geocities.com/TimesSquare/Chasm/7990/topologi.htm). 1.3.2 Red en bus En esta topología, los elementos que constituyen la red se disponen linealmente, es decir, en serie y conectados por medio de un cable (Albert, 2009), el bus. Las tramas de información emitidas por un nodo (terminal o servidor) se propagan por todo el bus (en ambas direcciones), alcanzado a todos los demás nodos. Cada nodo de la red se debe encargar de reconocer la información que recorre el bus, para así determinar cuál es la que le corresponde, (la destinada a él). Es el tipo de instalación más sencillo y un fallo en un nodo no provoca la caída del sistema de la red. Por otra parte, una ruptura del bus es difícil de localizar (dependiendo de la longitud del cable y el número de terminales conectados a él) y provoca la inutilidad de todo el sistema. Como ejemplo más conocido de esta topología, se encuentra la red Ethernet de Xerox. El método de acceso utilizado es el CSMA/CD, método que gestiona el acceso al bus por parte de los terminales y que por medio de un algoritmo resuelve los conflictos causados en las colisiones de información. Cuando un nodo desea iniciar una transmisión, debe en primer lugar escuchar el medio para saber si está ocupado, debiendo esperar en caso afirmativo hasta que quede libre. Si se llega a producir una colisión, las estaciones reiniciarán cada una su transmisión, pero transcurrido un tiempo aleatorio distinto para cada estación. Esta es una breve descripción del protocolo de acceso CSMA/CD, pues actualmente se encuentran implementadas cantidad de variantes de dicho método con sus respectivas peculiaridades. El bus es la parte básica para la construcción de redes Ethernet y generalmente consiste de 17 algunos segmentos de bus unidos ya sea por razones geográficas, administrativas u otras. Figura 3. Red de bus Fuente: http://www.geocities.com/TimesSquare/Chasm/7990/Image14.gif Ventajas: Facilidad de implementación y crecimiento. Económica. Simplicidad en la arquitectura. Desventajas: Longitudes de canal limitadas. Un problema en el canal usualmente degrada toda la red. El desempeño se disminuye a medida que la red crece. El canal requiere ser correctamente cerrado (caminos cerrados). Altas pérdidas en la transmisión debido a colisiones entre mensajes. (http://www.geocities.com/TimesSquare/Chasm/7990/topologi.htm) 1.3.3 Red en anillo Los nodos de la red se disponen en un anillo cerrado conectado a él mediante enlaces punto a punto (Albert, 2009). La información describe una trayectoria circular en una única dirección y el nodo principal es quien gestiona conflictos entre nodos al evitar la colisión de tramas de información. En este tipo de 18 topología, un fallo en un nodo afecta a toda la red aunque actualmente hay tecnologías que permiten mediante unos conectores especiales, la desconexión del nodo averiado para que el sistema pueda seguir funcionando. La topología de anillo está diseñada como una arquitectura circular, con cada nodo conectado directamente a otros dos nodos. Toda la información de la red pasa a través de cada nodo hasta que es tomado por el nodo apropiado. Este esquema de cableado muestra alguna economía respecto al de estrella. El anillo es fácilmente expandido para conectar mas nodos, aunque en este proceso interrumpe la operación de la red mientras se instala el nuevo nodo. Así también, el movimiento físico de un nodo requiere de dos pasos separados: desconectar para remover el nodo y otra vez reinstalar el nodo en su nuevo lugar. Figura 4. Red de anillo Fuente: http://www.geocities.com/TimesSquare/Chasm/7990/Image15.gif Ventajas: Simplicidad de arquitectura. Facilidad de implementación y crecimiento. Desventajas: Longitudes de canales limitadas. El canal usualmente degradará a medida que la red crece. 19 (http://www.geocities.com/TimesSquare/Chasm/7990/topologi.htm) 1.3.3 Red en árbol Topología de red en la que los nodos están colocados en forma de árbol. Desde una visión topológica, la conexión en árbol es parecida a una serie de redes en estrella interconectadas salvo en que no tiene un nodo central. En cambio, tiene un nodo de enlace troncal, generalmente ocupado por un hub o switch, desde el que se ramifican los demás nodos. Es una variación de la red en bus, la falla de un nodo no implica interrupción en las comunicaciones. Se comparte el mismo canal de comunicaciones. La topología en árbol puede verse como una combinación de varias topologías en estrella. Tanto la de árbol como la de estrella son similares a la de bus cuando el nodo de interconexión trabaja en modo difusión, pues la información se propaga hacia todas las estaciones, solo que en esta topología las ramificaciones se extienden a partir de un punto raíz (estrella), a tantas ramificaciones como sean posibles, según las características del árbol (http://www.slideshare.net/j_ortiz/topologias-de-redes-1149013). Los problemas asociados a las topologías anteriores radican en que los datos son recibidos por todas las estaciones sin importar para quien vayan dirigidos. Es entonces necesario dotar a la red de un mecanismo que permita identificar al destinatario de los mensajes, para que estos puedan recogerlos a su arribo. Además, debido a la presencia de un medio de transmisión compartido entre muchas estaciones, pueden producirse interferencia entre las señales cuando dos o más estaciones transmiten al mismo tiempo. La solución al primero de estos problemas aparece con la introducción de un identificador de estación destino. Cada estación de la LAN está unívocamente identificada. Para darle solución al segundo problema (superposición de señales provenientes de varias estaciones), hay que mantener una cooperación entre todas las estaciones, y para eso se utiliza cierta información de control en las tramas que controla quien transmite en 20 cada momento (control de acceso al medio) se pierde por completo la información si no la utilizas. (http://es.wikipedia.org/wiki/Red_en_árbol) Figura 5. Red de árbol Fuente: http://es.wikipedia.org/wiki/Archivo:Netzwerktopologie_Baum.PNG 1.3.4 Red Inalámbrica Wi-Fi Una red de área local por radio frecuencia o WLAN (Wireless LAN) puede definirse como una red local que utiliza tecnología de radiofrecuencia para enlazar los equipos conectados a la red (Ponce Enrique de Miguel, 2009), en lugar de los cables coaxiales o de fibra óptica que se utilizan en las LAN convencionales cableadas, o se puede definir de la siguiente manera: cuando los medios de unión entre sus terminales no son los cables, sino un medio inalámbrico, como por ejemplo la radio, los infrarrojos o el láser. La tecnología basada en microondas se puede considerar como la más madura, dado que es donde se han conseguido los resultados más claros. La basada en infrarrojos, por el contrario, se encuentra de momento menos desarrollada, las distancias que se cubren son sensiblemente más cortas y existen aún una importante serie de problemas técnicos por resolver. Pese a 21 ello, presenta la ventaja frente a las microondas de que no existe el problema de la saturación del espectro de frecuencias, lo que la hace tremendamente atractiva ya que se basa en un "espacio libre" de actuación (http://www.mitecnologico.com/Main/LanInalambricas). Las WLAN han surgido como una opción dentro de la corriente hacia la movilidad universal en base a una filosofía "seamless" o sin discontinuidades, es decir, que permita el paso a través de diferentes entornos de una manera transparente. Para ser considerada como WLAN, la red tiene que tener una velocidad de transmisión de tipo medio (el mínimo establecido por el IEEE 802.11 es de 1 Mbps, aunque las actuales tienen una velocidad del orden de 2 Mbps), y además deben trabajar en el entorno de frecuencias de 2,45 GHz. La aparición en el mercado de los laptops y los PDA (Personal Digital Assistant), y en general de sistemas y equipos de informática portátiles es lo que ha generado realmente la necesidad de una red que los pueda acoger, o sea, de la WLAN. De esta manera, la WLAN hace posible que los usuarios de ordenadores portátiles puedan estar en continuo movimiento, al mismo tiempo que están en contacto con los servidores y con los otros ordenadores de la red, es decir, la WLAN permite movilidad y acceso simultáneo a la red como se muestra en la figura 6. Figura 6. Red inalámbrica Fuente: http://www.unincca.edu.co/boletin/redes_4.jpg 22 Ventajas: Las principales ventajas que presentan las redes de este tipo son su libertad de movimientos, sencillez en la reubicación de terminales y la rapidez consecuente de instalación. La solución inalámbrica resuelve la instalación de una red en aquellos lugares donde el cableado resulta inviable, por ejemplo en edificios históricos o en grandes naves industriales, donde la realización de canaletas para cableado podría dificultar el paso de transportes, así como en situaciones que impliquen una gran movilidad de los terminales del usuario o la necesidad de disponer de vías alternativas por motivos de seguridad. Desventajas: Los inconvenientes que tienen las redes de este tipo se derivan fundamentalmente de encontrarnos en un periodo transitorio de introducción, donde faltan estándares, hay dudas que algunos sistemas pueden llegar a afectar a la salud de los usuarios, no está clara la obtención de licencias para las que utilizan el espectro radioeléctrico y son muy pocas las que presentan compatibilidad con los estándares de las redes fijas. (http://www.canalayuda.org/a-informatica/inalambrica.htm). 1.4 Cables para Redes Los cables son el componente básico de todo sistema de cableado (García Aníbal Antonio, 2009). Existen diferentes tipos de cables. La elección de uno respecto a otro depende del ancho de banda necesario, las distancias existentes y el coste del medio. Cada tipo de cable tiene sus ventajas e inconvenientes; no existe un tipo ideal. Las principales diferencias entre los distintos tipos de cables radican en la anchura de banda permitida y consecuentemente en el rendimiento máximo de transmisión, su grado de inmunidad frente a interferencias electromagnéticas y la relación entre la amortiguación de la señal y la distancia recorrida. En la actualidad existen básicamente tres tipos de cables factibles de ser utilizados para el cableado en el interior de edificios o entre edificios: 23 Coaxial Par Trenzado Fibra Óptica 1.4.1 Cable Coaxial Este tipo de cable está compuesto de un hilo conductor central de cobre rodeado por una malla de hilos de cobre. El espacio entre el hilo y la malla lo ocupa un conducto de plástico que separa los dos conductores y mantiene las propiedades eléctricas. Todo el cable está cubierto por un aislamiento de protección para reducir las emisiones eléctricas (García Aníbal Antonio, 2009). El ejemplo más común de este tipo de cables es el coaxial de televisión. Originalmente fue el cable más utilizado en las redes locales debido a su alta capacidad y resistencia a las interferencias, pero en la actualidad su uso está en declive. Su mayor defecto es su grosor, el cual limita su utilización en pequeños conductos eléctricos y en ángulos agudos. 1.4.1.1 Tipos de cable coaxial THICK (grueso).Este cable se conoce normalmente como "cable amarillo", fue el cable coaxial utilizado en la mayoría de lasredes. Su capacidad en términos de velocidad y distancia es grande, pero el coste del cableado es alto y su grosor no permite su utilización en canalizaciones con demasiados cables. Este cable es empleado en las redes de área local conformando con la norma 10 Base 2. THIN (fino).Este cable se empezó a utilizar para reducir el coste de cableado de la redes. Su limitación está en la distancia máxima que puede alcanzar un tramo de red sin regeneración de la señal. Sin embargo el cable es mucho más barato y fino que el thick y, por lo tanto, solventa algunas de las desventajas del 24 cable grueso. Este cable es empleado en las redes de área local conformando con la norma 10 Base 5. El cable coaxial en general solo se puede utilizar en conexiones Punto a Punto o dentro de los racks (http://lorna0110.blogspot.com/). 1.4.1.2 Modelos de cable coaxial Cable estándar Ethernet, de tipo especial conforme a las normas IEEE 802.3 10 BASE 5. Se denomina también cable coaxial "grueso", y tiene una impedancia de 50 Ohmios. El conector que utiliza es del tipo "N". Cable coaxial Ethernet delgado, denominado también RG 58, con una impedancia de 50 Ohmios. El conector utilizado es del tipo BNC. Cable coaxial del tipo RG 62, con una impedancia de 93 Ohmios. Es el cable estándar utilizado en la gama de equipos 3270 de IBM, y también en la red ARCNET. Usa un conector BNC. Cable coaxial del tipo RG 59, con una impedancia de 75 Ohmios. Este tipo de cable lo utiliza, en versión doble, la red WANGNET, y dispone de conectores DNC y TNC. También están los llamados "TWINAXIAL" que en realidad son 2 hilos de cobre por un solo conducto (http://www.uazuay.edu.ec/estudios/sistemas/teleproceso/apuntes_1/cabcoax.h tm). Figura 7. Tipos de cables coaxiales Fuente: http://395314465.galeon.com/cables_archivos%5Cimage004.jpg 25 1 Coaxial uso rudo 4 Coaxial apantallado 7 Coaxial OWT c/cable 2 Minicoaxial 5 Coaxial para Cable TV 8 Coaxial c/cable c/ARSP 3 Minicoaxial uso rudo c/cable centrall 6 Coaxial c/ doble cable 9 Coaxial para Cable TV Tabla 1. Tipos de cable coaxial Conectores para cable Coaxial 26 Figura 8. Tipos de conectores para cable coaxial Fuente: http://395314465.galeon.com/cables_archivos%5Cimage008.jpg 1.4.2 Par trenzado Es el tipo de cable más común y se originó como solución para conectar teléfonos, terminales y computadoras sobre el mismo cableado. Con anterioridad, en Europa, los sistemas de telefonía empleaban cables de pares no trenzados (http://www.informaticaactual.com.ar/index.php/Comunicacionesy-redes-de-computadoras/Medios-de-Transmision-Par-Trenzado). Cada cable de este tipo está compuesto por una serie de pares de cables trenzados. Los pares se trenzan para reducir la interferencia entre pares adyacentes. Normalmente una serie de pares se agrupan en una única funda de color codificado para reducir el número de cables físicos que se introducen en un conducto. El número de pares por cable son 4, 25, 50, 100, 200 y 300. Cuando el número de pares es superior a 4 se habla de cables multipar. 27 1.4.2.1 Tipos de cable trenzado No apantallado (UTP): Es el cable de par trenzado normal y se le referencia por sus siglas en inglés UTP (Unshield Twiested Pair / Par Trenzado no Apantallado). Las mayores ventajas de este tipo de cable son su bajo costo y su facilidad de manejo. Sus mayores desventajas son su mayor tasa de error respecto a otros tipos de cable, así como sus limitaciones para trabajar a distancias elevadas sin regeneración. Para las distintas tecnologías de red local, el cable de pares de cobre no apantallado se ha convertido en el sistema de cableado más ampliamente utilizado. El estándar EIA-568 en el adendum TSB-36 diferencia tres categorías distintas para este tipo de cables: Categoría 3: Admiten frecuencias de hasta 16 Mhz y se suelen usar en redes IEEE 802.3 10BASE-T y 802.5 a 4 Mbps. Categoría 4: Admiten frecuencias de hasta 20 Mhz y se usan en redes IEEE 802.5 Token Ring y Ethernet 10BASE-T para largas distancias. Categoría 5: Admiten frecuencias de hasta 100 Mhz y se usan para aplicaciones como TPDDI y FDDI entre otras. Los cables de categoría 1 y 2 se utilizan para voz y transmisión de datos de baja capacidad (hasta 4Mbps). Este tipo de cable es el idóneo para las comunicaciones telefónicas, pero las velocidades requeridas hoy en día por las redes necesitan mejor calidad. 28 Las características generales del cable UTP son: Tamaño: El menor diámetro de los cables de par trenzado no apantallado permite aprovechar más eficientemente las canalizaciones y los armarios de distribución. El diámetro típico de estos cables es de 0'52 mm. Peso: El poco peso de este tipo de cable con respecto a los otros tipos de cable facilita el tendido. Flexibilidad: La facilidad para curvar y doblar este tipo de cables permite un tendido más rápido así como el conexionado de las rosetas y las regletas. Instalación: Debido a la amplia difusión de este tipo de cables, existen una gran variedad de suministradores, instaladores y herramientas que abaratan la instalación y puesta en marcha. Integración: Los servicios soportados por este tipo de cable incluyen: Red de Area Local ISO 8802.3 (Ethernet) y ISO 8802.5 (Token Ring) Telefonía analógica Telefonía digital Terminales síncronos Terminales asíncronos Líneas de control y alarmas Apantallado (STP): Cada par se cubre con una malla metálica, de la misma forma que los cables coaxiales, y el conjunto de pares se recubre con una lámina apantallante. Se referencia frecuentemente con sus siglas en inglés STP (Shield Twiested Pair / Par Trenzado Apantallado). El empleo de una malla apantallante reduce la tasa de error, pero incrementa el coste al requerirse un proceso de fabricación más costoso. 29 Uniforme (FTP): Cada uno de los pares es trenzado uniformemente durante su creación. Esto elimina la mayoría de las interferencias entre cables y además protege al conjunto de los cables de interferencias exteriores. Se realiza un apantallamiento global de todos los pares mediante una lámina externa apantallante. Esta técnica permite tener características similares al cable apantallado con unos costes por metro ligeramente inferior. Este es usado dentro de la categoria 5 y 5e (Hasta 100 Mhz). 1 4 pares plano 3 2 4 pares c/ elemento de tracción 4 4 pares redondo 4 pares apantallado Figura 9. Tipos de cables UTP Fuente: http://395314465.galeon.com/cables_archivos%5Cimage016.jpg Conectores para UTP 30 Figura 10. Tipos de conectores para cable UTP Fuente: http://395314465.galeon.com/cables_archivos%5Cimage034.jpg 1.4.3 Fibra óptica Este cable está constituido por uno o más hilos de fibra de vidrio, cada fibra de vidrio consta de: Un núcleo central de fibra con un alto índice de refracción. Una cubierta que rodea al núcleo, de material similar, con un índice de refracción ligeramente menor. Una envoltura que aísla las fibras y evita que se produzcan interferencias entre fibras adyacentes, a la vez que proporciona protección al núcleo. Cada una de ellas está rodeada por un revestimiento y reforzada para proteger a la fibra por un revestimiento y reforzada para proteger a la fibra. La luz producida por diodos o por láser, viaja a través del núcleo debido a la reflexión que se produce en la cubierta, y es convertida en señal eléctrica en el extremo receptor. La fibra óptica es un medio excelente para la transmisión de información debido a sus excelentes características: gran ancho de banda, baja atenuación de la señal, integridad, inmunidad a interferencias electromagnéticas, alta seguridad y larga duración. Su mayor desventaja es su coste de producción superior al resto de los tipos de cable, debido a necesitarse el empleo de vidrio de alta calidad y la fragilidad de su manejo en producción. La terminación de los cables de fibra óptica requiere un tratamiento especial que ocasiona un 31 aumento de los costes de instalación (http://www.csi.map.es/csi/silice/Cablead6.html). Uno de los parámetros más característicos de las fibras es su relación entre los índices de refracción del núcleo y de la cubierta que depende también del radio del núcleo y que se denomina frecuencia fundamental o normalizada; también se conoce como apertura numérica y es adimensional. Según el valor de este parámetro se pueden clasificar los cables de fibra óptica en dos clases: Monomodo. Cuando el valor de la apertura numérica es inferior a 2,405, un único modo electromagnético viaja a través de la línea y por tanto ésta se denomina monomodo. Sólo se propagan los rayos paralelos al eje de la fibra óptica, consiguiendo el rendimiento máximo, en concreto un ancho de banda de hasta 50 GHz. Este tipo de fibras necesitan el empleo de emisores láser para la inyección de la luz, lo que proporciona un gran ancho de banda y una baja atenuación con la distancia, por lo que son utilizadas en redes metropolitanas y redes de área extensa. Por contra, resultan más caras de producir y el equipamiento es más sofisticado. Puede operar con velocidades de hasta los 622 Mbps y tiene un alcance de transmisión de hasta 100 Km. Multimodo. Cuando el valor de la apertura numérica es superior a 2,405, se transmiten varios modos electromagnéticos por la fibra, denominándose por este motivo fibra multimodo. Las fibras multimodo son las más utilizadas en las redes locales por su bajo coste. Los diámetros más frecuentes 62,5/125 y 100/140 micras. Las distancias de transmisión de este tipo de fibras están alrededor de los 2,4 kms y se utilizan a diferentes velocidades: 10 Mbps, 16 Mbps, 100 Mbps y 155 Mbps. 32 Tipos de multimodo: Con salto de índice. La fibra óptica está compuesta por dos estructuras que tienen índices de refracciódistintos. La señal de longitud de onda no visible por el ojo humano se propaga por reflexión. Asi se consigue un ancho de banda de hasta 100 MHz. Con índice gradual. El índice de refracción aumenta proporcionalmente a la distancia radial respecto al eje de la fibra óptica. Es la fibra más utilizada y proporciona un ancho de banda de hasta 1 GHz. Las características generales de la fibra óptica son: Ancho de banda: La fibra óptica proporciona un ancho de banda significativamente mayor que los cables de pares (UTP /STP) y el Coaxial. Aunque en la actualidad se están utilizando velocidades de 1,7 Gbps en las redes públicas, la utilización de frecuencias más altas (luz visible) permitirá alcanzar los 39 Gbps. El ancho de banda de la fibra óptica permite transmitir datos, voz, vídeo, etc. Distancia: Integridad de datos: En condiciones normales, una transmisión de datos por fibra óptica tiene una frecuencia de errores o BER (Bit Error Rate) menor de 10 E-11. Esta característica permite que los protocolos de comunicaciones de alto nivel, no necesiten implantar procedimientos de corrección de errores por lo que se acelera la velocidad de transferencia. Duración: La fibra óptica es resistente a la corrosión y a las altas temperaturas. Gracias a la protección de la envoltura es capaz de soportar esfuerzos elevados de tensión en la instalación. Seguridad: Debido a que la fibra óptica no produce radiación electromagnética, es resistente a las acciones intrusivas de escucha. Para acceder a la señal que circula en la fibra es necesario partirla, con lo cual no hay transmisión durante este proceso, y puede por tanto detectarse. 33 La fibra también es inmune a los efectos electromagnéticos externos, por lo que se puede utilizar en ambientes industriales sin necesidad de protección especial. (http://395314465.galeon.com/cables.htm) Cables de Fibra Óptica Figura 11. Tipos de cables de fibra óptica Fuente: http://395314465.galeon.com/cables_archivos%5Cimage045.jpg 34 Conectores para Fibra Óptica D4 SC SMA ST LC MTP MTRJ VOLITION E2000 ESCON FC FDDI BICONIC APC Figura 12. Tipos de conectores para fibra óptica Fuente: http://395314465.galeon.com/cables_archivos%5Cimage073.jpg 1.5 Modelo OSI El modelo OSI fue desarrollado en 1984 por la organización internacional de estándares, llamada ISO, el cual se trata de una federación global de organizaciones representando a aproximadamente 130 países (http://www.slideshare.net/mario23/modelo-osi-1281404). El núcleo de este estándar es el modelo de referencia OSI, una normativa formada de siete capas que define las diferentes fases por las que 35 deben pasar los datos para viajar de un dispositivo a otro sobre una red de comunicaciones. 1.5.1 Concepto de Modelo OSI El Modelo de Referencia de Interconexión de Sistemas Abiertos, conocido mundialmente como Modelo OSI (Open System Interconnection), fue creado por la ISO (Organización Estándar Internacional) y en él pueden modelarse o referenciarse diversos dispositivos que reglamenta la ITU (Unión de Telecomunicación Internacional), con el fin de poner orden entre todos los sistemas y componentes requeridos en la transmisión de datos, además de simplificar la interrelación entre fabricantes. Así, todo dispositivo de cómputo y telecomunicaciones podrá ser referenciado al modelo y por ende concebido como parte de un sistema interdependiente con características precisas en cada nivel. Esta idea da la pauta para comprender que el modelo OSI existe potencialmente en todo sistema de cómputo y telecomunicaciones, pero que solo cobra importancia al momento de concebir o llevar a cabo la transmisión de datos. (http://elsitiodetelecomunicaciones.iespana.es/modelo_osi.htm) 1.5.2 Las capas del modelo OSI Se piensa en las siete capas que componen el modelo OSI como una línea de ensamblaje de una computadora. En cada una de las capas, ciertas cosas pasan a los datos que se preparan para ir a la siguiente capa. Las siete capas se pueden separar en dos grupos bien definidos, grupo de aplicación y grupo de transporte. 36 Figura 13. Capas y división del Modelo OSI Fuente: http://hosting.udlap.mx/profesores/luisg.guerrero/Cursos/IE454/ApuntesIE454/capitulo2_archivo s/Modelo%20OSI1.JPG En el grupo de aplicación: Capa 7: Aplicación - Esta es la capa que interactúa con el sistema operativo o aplicación cuando el usuario decide transferir archivos, leer mensajes, o realizar otras actividades de red. Por ello, en esta capa se incluyen tecnologías tales como http, DNS, SMTP, SSH, Telnet, etc. Capa 6: Presentación - Esta capa tiene la misión de coger los datos que han sido entregados por la capa de aplicación, y convertirlos en un formato estándar que otras capas puedan entender. En esta capa tiene como ejemplo los formatos MP3, MPG, GIF, etc. Capa 5: Sesión – Esta capa establece, mantiene y termina las comunicaciones que se forman entre dispositivos. Se pueden poner como ejemplo, las sesiones SQL, RPC, NetBIOS, etc. 37 En el grupo de transporte: Capa 4: Transporte – Esta capa mantiene el control de flujo de datos, y provee de verificación de errores y recuperación de datos entre dispositivos. Control de flujo significa que la capa de transporte vigila si los datos vienen de más de una aplicación e integra cada uno de los datos de aplicación en un solo flujo dentro de la red física. Como ejemplos más claros TCP y UDP. Capa 3: Red – Esta capa determina la forma en que serán mandados los datos al dispositivo receptor. Aquí se manejan los protocolos de enrutamiento y el manejo de direcciones IP. En esta capa se habla de IP, IPX, X.25, etc. Capa 2: Datos – También llamada capa de enlaces de datos. En esta capa, el protocolo físico adecuado es asignado a los datos. Se asigna el tipo de red y la secuencia de paquetes utilizada. Los ejemplos más claros son Ethernet, ATM, Frame Relay, etc. Capa 1: Física – Este es el nivel de lo que se llama llanamente hardware. Define las características físicas de la red, como las conexiones, niveles de voltaje, cableado, etc. Como se habrá supuesto, se puede incluir en esta capa la fibra óptica, el par trenzado, cable cruzado, etc. (http://www.ordenadores-yportatiles.com/modelo-osi.html). 38 1.6 Capas TCP/IP Figura 14. Capas TCP/IP Fuente: http://www.textoscientificos.com/imagenes/redes/tcp-ip-osi.gif Capa 1: Red - Esta capa combina la capa física y la capa de enlaces de datos del modelo OSI. Se encarga de enrutar los datos entre dispositivos en la misma red. También maneja el intercambio de datos entre la red y otros dispositivos. Capa 2: Internet – Esta capa corresponde a la capa de red. El protocolo de Internet utiliza direcciones IP, las cuales consisten en un identificador de red y un identificador de host, para determinar la dirección del dispositivo con el que se está comunicando. Capa 3: Transporte – Corresponde directamente a la capa de transporte del modelo OSI, y donde se puede encontrar al protocolo TCP. El protocolo TCP 39 funciona preguntando a otro dispositivo en la red si está deseando aceptar información de un dispositivo local. Capa 4: Aplicación – LA capa 4 combina las capas de sesión, presentación y aplicación del modelo OSI. Protocolos con funciones específicas como correo o transferencia de archivos, residen en este nivel. (http://www.ordenadores-yportatiles.com/modelo-osi.html). 40 CAPÍTULO II Administración de Redes 2.1 Definición La Administración de Redes es un conjunto de técnicas tendientes a mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada. Sus objetivos son: Mejorar la continuidad en la operación de la red con mecanismos adecuados de control y monitoreo, de resolución de problemas y de suministro de recursos. Hacer uso eficiente de la red y utilizar mejor los recursos, como por ejemplo, el ancho de banda. Reducir por medio del control de gastos y de mejores mecanismos de cobro. Hacer la red más segura, protegiéndola contra el acceso no autorizado, haciendo imposible que personas ajenas puedan entender la información que circula en ella. Controlar cambios y actualizaciones en la red de modo que ocasionen las menos interrupciones posibles, en el servicio a los usuarios La administración de la red se vuelve más importante y difícil si se considera que las redes actuales comprendan lo siguiente: Mezclas de diversas señales, como voz, datos, imagen y gráficas. Interconexión de varios tipos de redes, como WAN, LAN y MAN. 42 El uso de múltiples medios de comunicación, como par trenzado, cable coaxial, fibra óptica, satélite, láser, infrarrojo y microondas. Diversos protocolos de comunicación, incluyendo TCP/IP, SPX/IPX, SNA, OSI. El empleo de muchos sistemas operativos, como DOS, Netware, Windows NT, UNÍS, OS/2. Diversas arquitecturas de red, incluyendo Ethernet 10 base T, Fast Ethernet, Token Ring, FDDI, 100vg-Any Lan y Fiber channel. Varios métodos de compresión, códigos de línea, etc... (http://www.megasoft.edu.uy/administracion%20der%20edes.html). Los sistemas de administración de las redes se manejan bajo los siguientes pasos básicos: 1.- Recopilación de información acerca del estado de la red y los componentes del sistema. La información recolectada de los recursos debe incluir: sucesos, atributos y acciones operativas. 2.- Transformación de la información para presentarla en formatos apropiados para el entendimiento del administrador. 3.- Transportación de la información del equipo monitoreado al centro de control. 4.- Almacenamiento de los datos recopilados en el centro de control. 5.- Análisis de parámetros para obtener soluciones que permitan deducir rápidamente lo que pasa en la red. 6.- Actuación para generar acciones rápidas y automáticas en respuesta a un fallo mayor. 43 La principal característica de un sistemas de administración de red es la de ser un sistema abierto, capaz de operar varios protocolos y lidiar con diferentes arquitecturas protocolos de de red. Para obtener soporte red más para los importantes (http://biblioteca.unitecnologica.edu.co/notas/2005-12-12/0032134.pdf). 2.2 Los elementos involucrados en la administración de redes son: A) Objetos: son los elementos de más bajo nivel y constituyen los aparatos administrados. B) Agentes: un programa colecciona información de o conjunto administración del de programas sistema en un que nodo o elemento de la red. El agente genera el grado de administración apropiado para ese nivel y transmite información al administrador central de la red acerca de: Notificación de problemas Datos de diagnóstico. Identificador del nodo. Características del nodo. C) Administrador del sistema: Es un conjunto de programas ubicados en un punto central al cual se dirigen los mensajes que requieren acción o que contienen información solicitada por el administrador al agente. (http://www.scribd.com/doc/15800385/Administrador-de-Red). 44 2.3 Operaciones de la administración de red Las operaciones principales de un sistema de administración de red son las siguientes: Administración de fallas: La administración de fallas maneja las condiciones de error en todos los componentes de la red, en las siguientes fases: a) Detección de fallas. b) Diagnóstico del problema. c) Darle la vuelta al problema y recuperación. d) Resolución. e) Seguimiento y control. Control de fallas: Esta operación tiene que ver con la configuración de la red (incluye dar de alta, baja y reconfigurar la red) y con el monitoreo continuo de todos sus elementos. Administración de cambios: La administración de cambios comprende la planeación, la programación de eventos e instalación. Administración del comportamiento: Tiene como objetivo asegurar el funcionamiento óptimo de la red, lo que incluye: El número de paquetes que se transmiten por segundo, tiempos pequeños de respuesta y disponibilidad de la red. Servicios de contabilidad: Este servicio provee datos concernientes al cargo por uso de la red. Entre los datos proporcionados están los siguientes: Tiempo de conexión y terminación. Número de mensajes transmitidos y recibidos. 45 Nombre del punto de acceso al servicio. Razón por la que terminó la conexión. Control de Inventarios: Se debe llevar un registro de los nuevos componentes que se incorporen a la red, de los movimientos que se hagan y de los cambios que se lleven a cabo. Seguridad: La estructura administrativa de la red debe proveer mecanismos de seguridad apropiados para lo siguiente: Identificación y autentificación del usuario, una clave de acceso y un password. Autorización de acceso a los recursos, es decir, solo personal autorizado. Confidencialidad. Para asegurar la confidencialidad en el medio de comunicación y en los medios de almacenamiento, se utilizan medios de criptografía, tanto simétrica como asimétrica. Un administrador de redes en general, se encarga principalmente de asegurar la correcta operación de la red, tomando acciones remotas o localmente. Se encarga de administrar cualquier equipo de telecomunicaciones de voz, datos y video, así como de administración remota de fallas, configuración rendimiento, seguridad e inventarios. Llave privada: En éste método los datos del transmisor se transforman por medio de un algoritmo público de criptografía con una llave binaria numérica privada solo conocida por el transmisor y por el receptor. El algoritmo más conocido de este tipo es el DES (Data Encription Standard) (http://www.internetporamerica.com/index.php?option=com_content&view=articl e&id=61&Itemid=93). 46 2.4 Planeación de una red Una red proporciona muchas características para mejorar la productividad, reducir costos y permitir el intercambio de información importante. El que la red satisfaga estas necesidades esto lo determinará la planeación previa a su instalación. Las necesidades de redes actuales y futuras determinan lo extenso que debe ser el proceso de planeación. Las redes pequeñas de unos cuantos nodos, ubicados en la misma área física, requieren una planeación mínima. En cambio una planeación más amplia es obligada para aquellas redes de muchos nodos a situarse en diferentes espacios y hasta en distintos pisos, redes que probablemente requerirán nodos adicionales en el futuro. Sin importar cuales son las necesidades de la red, la comprensión y el usos de las siguientes guías de planeación pueden beneficiar su propia planeación e instalación de la red. Para ayudar en la planeación, se debe de trazar un plano de área donde se ubicaran las computadoras. La instalación de una red Abarca desde la solicitud de proyecto hasta la puesta en marcha de la red. Para ello, se debe tener en cuenta lo siguiente: Lo que hay que hacer primero será ver cuáles son las necesidades del cliente por ejemplo cuantos nodos se van a conectar, cual es la topología de red que se va a utilizar, que servicios se van a ofrecer así como los recursos que se van a compartir. Una vez que se estipulo cuales son las necesidades del cliente se inicia un proyecto, la instalación y las pruebas de funcionamiento cuando todo esté trabajando bien se hace la culminación del proyecto. (http://www.scribd.com/doc/15800385/Administrador-de-Red). 2.4.1 Funciones de administración definidas por OSI. OSI define las cinco funciones de administración básicas siguientes: Configuración 47 Fallas Contabilidad Comportamiento Seguridad. La configuración: Comprende las funciones de monitoreo y mantenimiento del estado de la red. La función de fallas: Incluye la detección, el aislamiento y la corrección de fallas en la red. La función de contabilidad: Permite el establecimiento de cargos a usuarios por uso de los recursos de la red. La función de comportamiento: Mantiene el comportamiento de la red en niveles aceptables. La función de seguridad: Provee mecanismos para autorización, control de acceso, confidencialidad y manejo de claves. 2.4.2 El modelo OSI incluye cinco componentes claves en la administración de red: CMIS: Common Management Information Services. Éste es el servicio para la colección y transmisión de información de administración de red a las entidades de red que lo soliciten. CMIP: Common Management Information Protocol. Es el protocolo de OSI que soporta a CMIS, y proporciona el servicio de petición/respuesta que hace 48 posible el intercambio de información de administración de red entre aplicaciones. SMIS: Specific Management Information Services. específicos de administración de red que Define se va los a servicios instalar, como configuración, fallas, contabilidad, comportamiento y seguridad. MIB: Management Information Base. Define un modelo conceptual de la información requerida para tomar decisiones de administración de red. La información en el MIB incluye: número de paquetes transmitidos, número de conexiones intentadas, datos de contabilidad, etc... Servicios de Directorio: Define las funciones necesarias para administrar la información nombrada, como la asociación entre nombres lógicos y direcciones físicas (http://electronicaexilda.blogspot.com/). 2.5 Protocolo de administración de red TCP/IP. El sistema de administración de red de TCP/IP se basa en el protocolo SNMP (Simple Network Management Protocol), que ha llegado a ser un estándar de ipso en la industria de comunicación de datos para la administración de redes de computadora, ya que ha sido por múltiples fabricantes otros instalado de puentes, repetidores, ruteadores, servidores y componentes de red (http://www.udistrital.edu.co/comunidad/profesores/jruiz/jairocd/texto/redes/tem as/admoredest.pdf). Para facilitar la transición de SNMP a CMOT (Common Management Information Services and Protocol Over TCP/IP), los dos protocolos emplean la misma base de administración de objetos MIB (Management information Base). 49 Para hacer más eficiente la administración de la red, la comunidad de TCP/IP divide las actividades en dos partes: 1. Monitoreo. 2. Control. Monitoreo: El monitoreo consiste en observar y recolectar toda la información referente al comportamiento de la red en aspectos como los siguientes: a) Utilización de enlaces Se refiere a las cantidades ancho de banda utilizada por cada uno de los enlaces de área local (Ethernet, Fastethernet, GigabitEthernet, entre otros), ya sea por elemento o de la red en su conjunto. b) Caracterización de tráfico Es la tarea de detectar los diferentes tipos de tráfico que circulan por la red, con el fin de obtener datos sobre los servicios de red, como http, ftp, que son más utilizados. Además, esto también permite establecer un patrón en cuanto al uso de la red. c) Porcentaje de transmisión y recepción de información Encontrar los elementos de la red que más solicitudes hacen y atienden, como servidores, estaciones de trabajo, dispositivos de interconexión, puertos y servicios. d) Utilización de procesamiento Es importante conocer la cantidad de procesador que un servidor está consumiendo para atender una aplicación. Esta propuesta considera importante un sistema de recolección de datos en un lugar estratégico dentro de la red, el cual puede ser desde una solución comercial como Spectrum o la 50 solución propia de la infraestructura de red, hasta una solución integrada con productos de software libre. Control Una vez recolectada la información mediante la actividad de monitoreo, es necesario interpretarla para determinar el comportamiento de la red y tomar decisiones adecuadas que ayuden a mejorar su desempeño. En el proceso de análisis se pueden detectar comportamientos relacionados a lo siguiente: a) Utilización elevada. Si se detecta que la utilización de un enlace es alta, se puede tomar la decisión de incrementar su ancho de banda o de agregar otro enlace para balancear las cargas de tráfico. También, el incremento en la utilización, puede ser el resultado de la saturación por tráfico generado maliciosamente, en este caso de debe contar con un plan de respuesta a incidentes de seguridad. b) Tráfico inusual. El haber encontrado, mediante el monitoreo, el patrón de aplicaciones que circulan por la red, ayudará a poder detectar tráfico inusual o fuera del patrón, aportando elementos importantes en la resolución de problemas que afecten el rendimiento de la red. c) Elementos principales de la red. Un aspecto importante de conocer cuáles son los elementos que más reciben y transmiten, es el hecho de poder identificar los elementos a los cuales establecer un monitoreo más constante, debido a que seguramente son de importancia. Además, si se detecta un elemento que generalmente no se encuentra dentro del patrón de los equipos con más actividad, puede ayudar a la detección de posibles ataques a la seguridad de dicho equipo. 51 d) Calidad de servicio. Otro aspecto, es la Calidad de servicio o QoS, es decir, garantizar, mediante ciertos mecanismos, las condiciones necesarias, como ancho de banda, retardo, a aplicaciones que requieren de un trato especial, como lo son la voz sobre IP (VoIP), el video sobre IP mediante H.323, etc. e) Control de tráfico. El tráfico puede ser reenviado o ruteado por otro lado, cuando se detecte saturación por un enlace, o al detectar que se encuentra fuera de servicio, esto se puede hacer de manera automática si es que se cuenta con enlaces redundantes. Si las acciones tomadas no son suficientes, éstas se deben reforzar para que lo sean, es decir, se debe estar revisando y actualizando constantemente. (http://www.scribd.com/doc/15800385/Administrador-de-Red). 2.6 Seguridad En redes de computadoras, como en otros sistemas, su propósito es de reducir riesgos a un nivel aceptable, con medidas apropiadas. La seguridad comprende los tópicos siguientes: a) Identificación: (ID) es la habilidad de saber quién es el usuario que solicita hacer uso del servicio. b) Autentificación: Es la habilidad de probar que alguien es quien dice ser; prueba de identidad. Por ejemplo un password secreto que solo el usuario debe conocer. c) Control de Acceso: una vez que se sabe y se puede probar que un usuario es quien es, es sistema decide lo que le permite hacer. 52 d) Confidencialidad: Es la protección de la información para que no pueda ser vista ni entendida por personal no autorizado. e) Integridad: Es la cualidad que asegura que el mensaje es seguro, que no ha sido alterado. La integridad provee la detección del uso no autorizado de la información y de la red. f) No repudiación: La no repudiación es la prevención de la negación de que un mensaje ha sido enviado o recibido y asegura que el emisor del mensaje no pueda negar que lo envió o que el receptor niegue haberlo recibido. La propiedad de no repudiación de un sistema de seguridad de redes de cómputo se basa en el uso de firmas digitales (http://www.scribd.com/doc/15637749/Administrador-de-Red). 2.7 Firma digital Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente este sí puede ser visualizado por otras personas. El procedimiento utilizado para firmar digitalmente un mensaje es el siguiente: el firmante genera mediante una función matemática una huella digital del mensaje. Esta huella digital se encripta con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se enviará adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al documento una marca que es única para ese documento y que sólo él es capaz de producir. El receptor del mensaje podrá comprobar que el mensaje no fue modificado desde su creación y que el firmante es quién dice serlo a través del siguiente procedimiento: en primer término generará la huella digital del 53 mensaje recibido, luego desencriptará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo. (www.isocmex.org.mx/firm_dig.html). 2.8 Criptografía. Es la técnica que hace ininteligible la información cuando es transmitida, convirtiéndola en un texto cifrado. En el receptor se restaura el texto cifrado a la información original o texto claro con el proceso de criptografía inverso. El proceso de encripción se usa un algoritmo que transforma los datos a un texto cifrado empleando una o más llaves de encripción durante el proceso de transformación. El texto cifrado es inentendible para cualquier receptor sin el uso del algoritmo de encripción y de la llave correcta para desencriptar la información (http://electronicaexilda.blogspot.com/). 2.8.1 Sistemas de cifrado Sistemas de cifrado simétrico: Los sistemas de cifrado simétrico son aquellos que utilizan la misma clave para cifrar y descrifrar un documento (Martí José Ramón, 2009). El principal problema de seguridad reside en el intercambio de claves entre el emisor y el receptor ya que ambos deben usar la misma clave. Por lo tanto se tiene que buscar también un canal de comunicación que sea seguro para el intercambio de la clave. Es importante que dicha clave sea difícil de adivinar ya que hoy en día con las computadoras se pueden adivinar las claves rápidamente. 54 Por ejemplo el algoritmo de cifrado DES usa una clave de 56 bits, lo que significa que hay 72 mil billones de claves posibles. Actualmente ya existen computadoras especializadas que son capaces de probar todas ellas en cuestión de horas. Hoy por hoy se están utilizando ya claves de 128 bits que aumentan el "espectro" de claves posibles (2 elevado a 128) de forma que aunque se uniesen todas las computadoras existentes en estos momentos no lo conseguirían en miles de millones de años. Sistemas de cifrado asimétrico: También son llamados sistemas de cifrado de clave pública. Este sistema de cifrado usa dos claves diferentes. Una es la clave pública y se puede enviar a cualquier persona y otra que se llama clave privada, que debe guardarse para que nadie tenga acceso a ella. Para enviar un mensaje, el remitente usa la clave pública del destinatario para cifrar el mensaje. Una vez que lo ha cifrado, solamente con la clave privada del destinatario se puede descifrar, ni siquiera el que ha cifrado el mensaje puede volver a descifrarlo. Por ello, se puede dar a conocer perfectamente la clave pública para que todo aquel que se quiera comunicar con el destinatario lo pueda hacer. Es fácil, con las computadoras de hoy en día, multiplicar dos números grandes para conseguir un número compuesto, pero es algo difícil la operación inversa, Dado ese número compuesto, factorizarlo para conocer cada uno de los dos números. Mientras que 128 bits se considera suficiente en las claves de cifrado simétrico, y dado que la tecnología de hoy en día se encuentra avanzada, se recomienda en este caso que la clave pública tenga un mínimo de 1024 bits. Para un ataque de fuerza bruta, por ejemplo, sobre una clave publica de 512 bits, se debe factorizar un numero compuesto de hasta 155 cifras decimales. Sistemas de cifrado híbridos: Es el sistema de cifrado que usa tanto los sistemas de clave simétrica como el de clave asimétrica. Funciona mediante el cifrado de clave pública para compartir una clave para el cifrado simetrico. En cada mensaje, la clave 55 simétrica utilizada es diferente por lo que si un atacante pudiera descubrir la clave simétrica, solo le valdría para ese mensaje y no para los restantes.Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave simétrica es cifrada con la clave pública, y el mensaje saliente es cifrado con la clave simétrica, todo combinado automáticamente en un sólo paquete. El destinatario usa su clave privada para descifrar la clave simétrica y acto seguido usa la clave simétrica para descifrar el mensaje. (http://www.seguridadenlared.org/es/index25esp.html). 56 CAPÍTULO III ESTRATEGIAS PARA DETECTAR PUNTOS DE ACCESOS NO PERMITIDOS 3.1 Punto de acceso. Los puntos de acceso también llamados APs o wireless access point, son equipos hardware configurados en redes Wifi y que hacen de intermediario entre la computadora y la red externa (local o Internet). El access point o punto de acceso, hace de transmisor central y receptor de las señales de radio en una red Wireless. Los puntos de acceso utilizados en casa o en oficinas, son generalmente de tamaño pequeño, componiéndose de un adaptador de red, una antena y un transmisor de radio. Los puntos de acceso normalmente van conectados físicamente por medio de un cable de pares a otro elemento de red, en caso de una oficina o directamente a la línea telefónica si es una conexión doméstica. En este último caso, el AP estará haciendo también el papel de Router. Son los llamados Wireless Routers los cuales soportan los estándar 802.11a, 802.11b y 802.11g. 3.2 Puntos de acceso no permitido. Un punto de acceso no permitido es producto de la exploración y explotación de vulnerabilidades en el sistema del servidor o en alguna de sus aplicaciones o la utilización de algún otro método para subir privilegios como fuerza bruta, malware, sniffers, Ingeniería social. Es una realidad que hoy en dia existen personas las cuales son capaces de acceder a nuestros sistemas de diferentes formas y en la mayoría de los 58 Casos no somos consientes ni de a que han accedido, ni de quien ha entrado y de qué forma lo ha conseguido. Actualmente hay métodos buenos para localizar ataques que sufren nuestros sistemas y redes, técnicas como el análisis forense pueden ayudarnos a encontrar la causa del ataque, quien y como se ha conseguido el acceso a nuestro sistema, con esta técnica se obtiene un doble beneficio el primero emprender acciones legales contra el atacante y el otro es corregir este fallo para que nadie más aproveche esta puerta que este abierta. 3.3 Sistema de detección de intrusos (IDS) Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados en una computadora o en una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas. Los IDS tienen sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas. (http://stuff.gpul.org/2003_jornadas/doc/deteccion_de_intrusos/node2.html). Existen tres tipos de sistemas de detección de intrusos los cuáles son: HIDS (HostIDS): un IDS vigilando una única computadora y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. 59 DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN). El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal de la computadora y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. (http://nautopia.coolfreepages.com/snort_cap1.htm). Patriot IDS (sistema de detección de intrusos para XP) Es una herramienta anti-spyware/ malware/ troyanos/ dialers/ ataques incluso virus, (Asencio, G. 2006), funciona monitorizando las configuraciones de 60 Windows y alertando en caso de que detecte un cambio que pueda haber sido provocado por cualquier tipo de malware. Patriot es capaz de alertar ante situaciones tales como: Configuración de Internet Explorer: Alerta de cualquier intento de modificación de la configuración de IE, ya que los spyware modifican esto para poder espiarte o bien para cambiarte la página de inicio llevarte a otras páginas web. Modificaciones en las Keys (llaves): del registro relacionado con el inicio de Windows, en el registro hay multitud de configuraciones en ella los virus y troyanos dejan su configuración para arrancar junto con el sistema. (el registro es como el corazón de sistema operativo). Cambios en el acceso telefónico a redes: los llamados diales crean nuevas conexiones a líneas de tarificación especial. Patriot nos avisa de que se ha creado una nueva conexión telefónica y nos permite eliminarla. Nuevos archivos en el directorio del sistema: es capaz de decirnos en tiempo real los archivos que se crean en nuestro sistema. Ataques (Man in the Midle) (cambios en la tabla ARP) estos son complejos de realizar y efectivos, gracias a patriot se podrá estar protegido para estos tipos de ataques. Con esto se tiene el control total de las carpetas compartidas asi se sabe en cualquier momento quien, desde donde y a que recurso se conectan en nuestra computadora. 61 Otro ejemplo típico de los intrusos que obtienen accesos a través de alguna vulnerabilidad, lo que haces es crear usuarios para seguir en el sistema y volver a entrar por medio de ese usuario. Pero patriot es capaz de de avisarnos de la creación de usuarios en nuestro sistema además de que nos da la posibilidad de eliminar a esos usuarios directamente por otra parte nos detecta ataques y avisa de ellos, los corrige y detiene ataques . Otra cosa importante que monitoriza patriot es el archivo HOSTS este archivo es contantemente atacado por virus y por spywares por que es el archivo que se encarga de relacionar las direcciones IP con los nombres, por ejemplo si se escribiera una línea en este archivo la cual fuera www.chencho.com 192.0.0.1, cuando se entre al navegador y se escriba www.chencho.com se irá a nuestra computadora, ya que Windows primero checa este archivo para saber que nombres van asociados a que ip. Sistemas pasivos y sistemas reactivos En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando los cortafuegos para que bloquee tráfico que proviene de la red del atacante. Implementación Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución de hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta. 62 En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red. 3.4 Firewall Un firewall es un dispositivo el cual funciona como cortafuegos entre redes (Asencio, G. 2006), permitiendo o denegando las transferencias de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. 63 Figura 15. Firewall Fuente: http://www.geekwithlaptop.com/wp-content/gallery/anti-virus/firewall-a2.gif De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También se pueden configurar los accesos que se hagan desde Internet hacia la red local y denegarlos todos o permitir algunos servicios como el de la web, (si es que se posee un servidor web y se quiere que sea accesible desde Internet). Dependiendo del firewall con el que se cuente, también permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local. Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso se pueden encontrar computadoras potentes y con software específico que lo único que hacen es monitorizar las comunicaciones entre redes. 64 3.4.1 Kernel de Linux Cuando se configura un firewall en Linux, esta configuración no se realiza en una aplicación que corre en el equipo, sino en el mismo núcleo del sistema operativo. La estabilidad y robustez que caracterizan a Linux la obtiene de su núcleo, este es uno de los pedazos de software mejor programados que existen, por lo tanto utilizando un Linux como firewall se obtienen muchos beneficios. Velocidad - el núcleo es el que tiene mayor prioridad de procesamiento entre todos los procesos Mantenimiento de software hecho por miles de programadores - el núcleo de Linux lo mantienen muchas personas, por lo que las actualizaciones del mismo (potenciales agujeros de seguridad o "puertas traseras") son arregladas y publicadas con gran velocidad. Estabilidad - no es una aplicación ejecutándose en forma paralela y utiliza Pocos requerimientos de hardware 3.4.2 Sistema de Detección de Intrusos (Linux) Solución Snort Snort es un sistema de detección de intrusos a la red capaz de realizar análisis de tráfico e ingreso de paquetes en la red IP en tiempo real. También puede realizar análisis de protocolo y búsquedas de contenido pudiendo ser utilizado para detectar distintos ataques y explorar como moderar shocks de overflow, prever escaneo de puertos, ataques de CGI, huellas de intento de intrusión al sistema operativo, y otras. Snort utiliza reglas flexibles en un lenguaje que describe el tráfico que debería ser admitido y cual no. Tiene además un sistema de alerta en tiempo real incorporando mecanismos de syslog, a un archivo especificado por un usuario, un socket UNIX, o un mensaje popup a los clientes windows utilizando Samba. 65 Tiene también tres usos principales: como detector directo de paquetes como tcdump, como monitoreo de paquetes, o como un potente sistema de detección de intrusión a la red, también tiene la capacidad de ejecutar acciones basadas en eventos de detección. 3.5 Red Privada Virtual (Vpn) Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra red. VPN logra este objetivo mediante la conexión de los usuarios de distintas redes a través de un túnel que se construye sobre internet o sobre cualquier red pública. Figura 16. Red Privada Virtual Fuente: http://dis.um.es/~barzana/Informatica/img/VPN2.jpg VPN habilita a los usuarios para trabajar en sus hogares o en sus compañías conectadas de una forma segura con el servidor corporativo usando la infraestructura provista por la red pública (como internet). Desde el punto de vista del usuario, la VPN es una conexión entre el usuario y el servidor corporativo. La naturaleza de la interconexión que está en el medio de los dos es transparente para el usuario ya que los datos le aparecen como si fueran enviados a través de su red LAN, como si estuviera en la empresa. También habilita a las empresas a tener conectadas oficinas centrales con sus sucursales sobre cualquier red pública (como internet), mientras se 66 mantienen conexiones seguras. La VPN se conecta a través de la red internet, formando una red WAN (Wide Area Network) entre los sitios conectados. En ambos casos, la seguridad de la conexión a través de la red internet de forma lógica, aparece en el usuario como si fuera virtualmente una red privada tipo LAN. Pero trabajando sobre una red pública. Lo que genera el nombre de red privada virtual. Requerimientos de equipamiento para la implementación: Para implementar la solución se requerirá instalar un equipo en la Casa Central que genere el túnel y actúe como firewall. En la sucursal se requerirá instalar un equipo que actúe como firewall y genere túneles encriptados para permitir establecer los vínculos de la red privada virtual. (http://dis.um.es/~barzana/Informatica/IAGP/VPN_Worldcom.html) Descripción del servicio: La misma, está relacionada a la configuración para accesos encriptados que permite que equipos remotos, que se encuentran fuera de la red local, puedan conectarse a un servidor central, siempre a través de Internet, pero haciéndolo de un modo seguro y privado. La instalación de este paquete incluye las siguientes configuraciones: * Armado de núcleo para soporte de PPTP y/o IPSec * Armado de núcleo para soporte de túneles * Configuración de seguridad básica * Configuración de redirecciones * Documentación para la configuración de los equipos remotos (en Windows). Servicios de Red Dado que Linux es un sistema operativo orientado a redes, se lo puede configurar para que trabaje con múltiples protocolos y que ofrezca servicios de red de los más variados. 67 Pueden realizarse cualquiera de estas configuraciones y poner a funcionar un servidor con cualquiera de todos los servicios que el sistema operativo ofrece. Estos son algunos de los servicios de red "tradicionales" que soporta Linux: Servidor web Servidor de impresión Servidor de archivos (para compartir archivos entre Windows, Mac, Novell, Unix y Linux) Servidor de correo Firewall Servidor de fax Servidor IRC Servidor FTP Servidor de bases de datos (Oracle, MySQL, etc) Servidor de desarrollo 3.6 Comando Ping La utilidad ping comprueba el estado de la conexión con uno o varios equipos remotos por medio de los paquetes de solicitud de eco y de respuesta de eco para determinar si un sistema IP específico es accesible en una red. Es útil para diagnosticar los errores en redes o enrutadores IP. Muchas veces se utiliza para medir la latencia o tiempo que tardan en comunicarse dos puntos remotos, y por ello, se utiliza entre los aficionados a los juegos en red el término PING para referirse al lag o latencia de su conexión. (http://es.wikipedia.org/wiki/Ping) 68 Figura 17. Comando Ping Fuente: http://www.integrared.cl/cursos/imagenes/ping.JPG Este comando tiene una serie de modificadores para ejecutar una serie de acciones concretas. Estos modificadores son: /all Muestra toda la información de configuración. /allcompartments Muestra información para todos los compartimientos. /release Libera la dirección IP para el adaptador específicado (IPv4 e IPv6). /renew Renueva la dirección IPv4 para el adaptador específicado. /renew6 Renueva la dirección IPv6 para el adaptador específicado. /flushdns Purga la caché de resolución de DNS. 69 /registerdns Actualiza todas las concesiones DHCP y vuelve a registrar los nombres DNS. /displaydns Muestra el contenido de la caché de resolución DNS. /showclassid Muestra todas los id. de clase DHCP permitidas para este adaptador. /setclassid Modifica el id. de clase DHCP. Al igual que ocurre con otros comandos el comando PING tiene también una serie de modificadores que en un momento dado nos pueden ser de utilidad. Estos modificadores son: -t Hacer ping al host especificado hasta que se detenga. -a Resolver direcciones en nombres de host. -n cuenta Número de solicitudes de eco para enviar. -l tamaño Enviar tamaño del búfer. -f Establecer marcador No fragmentar en paquetes (sólo en IPv4). -i TTL Tiempo de vida. 70 -v TOS Tipo de servicio (sólo en IPv4). -r cuenta Registrar la ruta de saltos de cuenta (sólo en IPv4). -s cuenta Marca de tiempo de saltos de cuenta (sólo en IPv4). -j lista-host Ruta de origen no estricta para lista-host (sólo en IPv4). -k lista-host Ruta de origen estricta para lista-host (sólo en IPv4). -w tiempo de espera Tiempo de espera en milisegundos para esperar cada respuesta. -R Usar encabezado de enrutamiento para probar también la ruta inversa (sólo en IPv6). -S srcaddr Dirección de origen que se desea usar (sólo en IPv6). -4 Forzar el uso de IPv4. -6 Forzar el uso de IPv6. 71 3.7 Comando Arp Muestra y modifica las tablas de conversión de direcciones IP en direcciones físicas que utiliza el protocolo de resolución de direcciones (ARP). ARP -s inet_addr eth_addr [if_addr] ARP -d inet_addr [if_addr] ARP -a [inet_addr] [-N if_addr] -a Pide los datos de protocolo actuales y muestra las entradas ARP actuales. Si se especifica inet_addr, sólo se muestran las direcciones IP y física del equipo especificado. Si existe más de una interfaz de red que utilice ARP, se muestran las entradas de cada tabla ARP. -g -N if_addr Igual que -a. inet_addr Especifica una dirección de Internet. Muestra las entradas ARP para la interfaz de red especificada por if_addr. -d Elimina el host especificado por inet_addr. este puede incluir el carácter comodín * (asterisco) para eliminar todos los hosts. -s Agrega el host y asocia la dirección de Internet, inet_addr con la dirección física eth_addr. La dirección física se indica como 6 bytes en formato hexadecimal, separados por guiones. La entrada es permanente. eth_addr Especifica una dirección física. 72 if_addr Si está presente, especifica la dirección de Internet de la interfaz para la que se debe modificar la tabla de conversión de direcciones. Si no está presente, se utilizará la primera interfaz aplicable. Ejemplo: > arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Agrega una entrada estática > arp -a .... Muestra la tabla arp. 3.8 Packet Sniffer Un packet sniffer es un programa de captura de las tramas de red .Generalmente se usa para gestionar la red con una finalidad por bien, aunque también puede ser utilizado con fines maliciosos. Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que una computadora capture las tramas de información no destinadas a ella. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la MAC address de la tarjeta; así se puede obtenerse todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mails, conversaciones o cualquier otro tipo de información personal (por lo que son usados por crackers, aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal). La cantidad de tramas que puede obtener un sniffer depende de la topología de red, del nodo donde esté instalado y del medio de transmisión. Para redes con topologías en estrella, el mismo se podría instalar en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe a todos los nodos. Sin embargo en las redes modernas, en las que solo 73 lo retransmite al nodo destino, el único lugar donde se podría ponerlo para que capturara todas las tramas sería el nodo central. Para topologías en anillo y bus, el sniffer se podría instalar en cualquier nodo, ya que todos tienen acceso al medio de transmisión compartido. Para las topologías en árbol, el nodo con acceso a más tramas sería el nodo raíz, aunque con los switches más modernos, las tramas entre niveles inferiores de un nodo viajarían directamente y no se propagarían al nodo raíz. Es importante remarcar el hecho de que los sniffers sólo tienen efecto en redes que compartan el medio de transmisión como en redes sobre cable coaxial, cables de par trenzado (UTP, FTP o STP), o redes WiFi. El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas únicamente a sus correspondientes destinatarios. A éste pueden darle usos cómo: Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por hackers para atacar sistemas a posteriori. (http://labs.dragonjar.org/laboratorios-hacking-tecnicas-y-contramedidassniffing-i). 3.9 Modo Promiscuo El modo promiscuo es aquel en el que una computadora conectada a una red compartida, tanto cableada como inalámbrica, captura todo el tráfico que circula por ella. Este modo está relacionado con los sniffers que se basan en este modo para realizar su tarea. En las redes, la información se transmite en una serie de paquetes con la dirección (o dirección MAC) del que lo envía y el que lo tiene que recibir, de 74 manera que cuando se transmite un fichero, este se divide en varios paquetes con un tamaño predeterminado y el receptor es el único que captura los paquetes leyendo si llevan su dirección. En el modo promiscuo una máquina intermedia captura todos los paquetes, que normalmente desecharía, incluyendo los paquetes destinados a él mismo y al resto de las máquinas. Resulta a destacar que dependiendo de las topologías y el hardware que se use para comunicar las redes, influye en su funcionamiento, ya que las redes en bus, redes en anillo, así como todas las redes que obliguen a que un paquete circule por un medio compartido, al cual todos tienen acceso, los modos promiscuos capturarán muchos más paquetes que si están en una red con topología en árbol Para completar el modo, las máquinas en modo promiscuo suelen simplemente copiar el paquete y luego volverlo a poner en la red para que llegue a su destinatario real (en el caso de topologías que requieran de retransmisión). Este modo nos sirve para ver que paquetes atraviesan tu red. Su utilidad se basa en que todos los paquetes que pasan por una red tiene la información de a que protocolo perteneces y las opciones de reensamblado. Incluso si no están cifrados, tienen la información en claro, es decir, que se puede saber que contiene el paquete. Es especialmente útil en los routers que unen varias redes, ya que con herramientas que analizan los paquetes logrando detectar errores, ataques, pérdida de paquetes, sobrecargas, etc. Al capturar todo el tráfico que atraviesa un router, se pueden determinar también, usos, servicios que tienen que recibir ancho de banda prioritario, accesos no permitidos a equipos o protocolos, etc. También es usado en el lado contrario: para realizar ataques contra redes. Últimamente, este término es usado para tratar de atacar redes WIFI cifradas así como el Wardriving que es la detección de redes WIFI. (http://es.wikipedia.org/wiki/Modo_promiscuo). 75 3.9.1 El Modo promiscuo en redes Wi-fi. Las redes Wifi se basan en el envío de tramas en el espectro radio-eléctrico, lo cual se asemeja a las redes de cable con topología hub, ya que todas las tramas son capturables por cualquier equipo que se encuentre conectado a la red. Esto resulta especialmente útil para determinar los rangos de ips de las máquinas de la red, o realizar ataques contra los cifrados WEP que se basan en capturar, básicamente, todos los paquetes necesarios para romper el cifrado. Gran parte de las tarjetas Wi-Fi tiene la posibilidad de capturar tráfico, es decir, poner el modo promiscuo. 3.10 Estrategias para detectar el modo promiscuo Existen herramientas para la detección de interfaces de red que se encuentren en modo promiscuo. Se basan en el envío de paquetes que nadie responderá, salvo por equipos en modo promiscuo. Detección de Latencia en paquetes ICMP: Este método lanza muchas peticiones, TCP erróneas para que ningún equipo las tenga en consideración. Tras esto, se manda ping a todas las máquinas. La máquina en modo promiscuo tardará en responder ya que está ocupando procesando los paquetes. (El atacante podría bloquear la entrada de peticiones ICMP en el cortafuegos de su equipo para evitar ser descubierto). 76 Detección mediante paquetes ping ICMP: Se lanza un ping a una máquina sospechosa, con la MAC del paquete erronea. Si la máquina está en modo promiscuo, responderá sin comprobar que la MAC es errónea. (El atacante podría bloquear la entrada de peticiones ICMP en el cortafuegos de su equipo para evitar ser descubierto). Detección mediante paquetes ARP: Se envía un paquete de petición ARP con destino a la IP de la máquina sospechosa y a una dirección MAC inexistente. Si el equipo está en modo promíscuo, procesará dicha consulta ARP y responderá. Este proceso se suele repetir para todas las IPs válidas en el rango de la red local para comprobar todos los equipos. (El atacante podría usar una distribución de Linux modificada para que no responda a este tipo de consultas y evitar así ser descubierto por este método). Detección en base a resoluciones DNS: Muchos programas de captura de tramas de red que funcionan en modo promíscuo suelen tener por defecto activada la opción de resolver las IP de los equipos remitentes y destinatarios de los paquetes capturados. Un programa de detección puede enviar paquetes desde una IP inexistente a otra para comprobar si posteriormente se realizan las correspondientes resoluciones DNS. (El atacante podría deshabilitar las resoluciones DNS en el programa de captura de tramas para evitar ser descubierto). 3.11 Técnicas de detección de sniffers Las técnicas de detección de sniffers se basan en la búsqueda del problema que varía según se tenga acceso local a la computadora o haya que descubrirlo de algúna otra de forma remota, esta última es la variante más usual aunque la más compleja. El objetivo de la mayoría de pruebas es conseguir que la máquina que tiene la tarjeta de red en modo promiscuo se 77 traicione a sí misma, revelando que ha tenido acceso a información que no iba dirigida a ella y que, por tanto, tiene un sniffer, lamentablemente es un objetivo que puede llegar a ser imposible por su complejidad. Si la búsqueda es una consulta directa sobre una computadora, lo que se tiene que hacer es mirar el estado de las diferentes interfaces de redes que tengan en dicho equipo, la forma más habitual es utilizar el comando ipconfig. En el caso de que no se pueda acceder y consultar el estado de las interfaces de red, entonces utilizarían algún defecto en la implementación concreta del protocolo TCP/IP por algún programa/comando, las técnicas de búsqueda de sniffer en este caso se dividen en dos: las dependientes del sistema operativo y las que no lo son. La ventaja de las técnicas que dependen del sistema operativo es su excelente rendimiento cuando explora máquinas que tienen el mismo sistema operativo del que la técnica obtiene partido, la principal desventaja es el gran número de falsos negativos que ocasiona debido a que en muchos casos las implementaciones de la pila TCP/IP varían entre versiones del mismo sistema operativo. Como ejemplos destacar el filtrado de paquetes en kernels de Linux. En condiciones normales, los paquetes son aceptados o rechazados a nivel hardware por la tarjeta de red según la MAC address de destino que aparezca en el frame Ethernet. Sólo si esa MAC address es la de la propia máquina o la de broadcast, el paquete es aceptado (copiado) y procesado (se pasa al kernel); en caso contrario, se rechaza (se ignora). Para cada PC del segmento de red que se desee analizar se crea un paquete con una MAC address de destino que no exista en el segmento, cualquier máquina con la tarjeta de red en modo no promiscuo rechazará directamente un paquete que tiene como destino una que no es la suya ni la de broadcast, y no procesará el paquete, mientras que una tarjeta en modo promiscuo pasará el paquete al kernel, este analizará el paquete exclusivamente según los datos del paquete IP que encapsule, el paquete es un ping completamente normal que es contestado por la máquina que tiene el sniffer revelando así su estado. 78 Filtrado de paquetes broadcast en algunos drivers de Windows: La idea es la misma que en el filtrado de paquetes en kernels de Linux, la característica a considerar en este caso es cómo el driver del sistema operativo decide cuándo un paquete va dirigido a la dirección broadcast ff:ff:ff:ff:ff:ff, cuando la tarjeta de red está en modo no promiscuo, se verifican los seis octetos mientras que en estado promiscuo sólo se verifica el primero de ellos, este hecho facilita mucho la detección de sniffers. Se crea un paquete dirigido a la MAC address ff:00:00:00:00:00, cualquier tarjeta en modo no promiscuo lo va a rechazar automáticamente, mientras que una tarjeta en modo promiscuo con un sistema operativo Windows que use el driver afectado confundirá ese paquete con uno dirigido a broadcast, y lo procesará. Las técnicas no dependientes del sistema operativo son menos fiables y menos concluyentes, suelen basarse en suposiciones del comportamiento de determinados sniffers, convirtiendo estas técnicas inútiles en determinados ambientes. A destacar como ventaja no suelen provocar falsos negativos. El Test DNS: En este método, la herramienta de detección en sí misma está en modo promiscuo. Se crean numerosas conexiones TCP/IP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar esas conexiones y resolver la dirección IP de los inexistentes host. Algunos sniffers realizan búsquedas inversas DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS, una utilidad de detección de sniffers huele la petición de las operaciones de búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente. El Test del Ping: Este método confía en un problema en el núcleo de la máquina receptora. Se puede construir una petición tipo "ICMP echo" con la dirección IP de la máquina sospechosa de hospedar un sniffer, pero con una dirección MAC 79 deliberadamente errónea. Enviando un paquete "ICMP echo" al objetivo con la dirección IP correcta, pero con una dirección de hardware de destino distinta. La mayoría de los sistemas desatenderán este paquete ya que su dirección MAC es incorrecta. Pero en algunos sistemas Linux, NetBSD y NT, puesto que el NIC está en modo promiscuo, el sniffer analizará este paquete de la red como paquete legítimo y responderá por consiguiente. Si el blanco en cuestión responde a nuestra petición, descubriendo que está en modo promiscuo. Un atacante avanzado puede poner al día sus sniffers para filtrar tales paquetes para que parezca que el NIC no hubiera estado en modo promiscuo. El Test ICMP: Ping de Latencia. En éste método, se hace ping al blanco y anotando el Round Trip Time (RTT, retardo de ida y vuelta o tiempo de latencia) Creando centenares de falsas conexiones TCP en nuestro segmento de red en un período de tiempo corto. Esperando que el sniffer esté procesando estos paquetes a razón de que el tiempo de latencia incremente. Entonces se hace un ping otra vez, y comparamos el RTT esta vez con el de la primera vez. Después de una serie de tests y medias, se puede concluir o no si un sniffer está realmente funcionando en el objetivo o no. El Test ARP: Se envía una petición ARP a nuestro objetivo con toda la información rápida excepto con una dirección hardware de destino errónea. Una máquina que no esté en modo promiscuo nunca verá este paquete, puesto que no era destinado a ellos, por lo tanto no contestará. Si una máquina está en modo promiscuo, la petición ARP sería considerada y el núcleo la procesaría y contestaría. Por la máquina que contesta, sabremos que la máquina está en modo promiscuo. 80 El Test Etherping: Enviamos un ping al host a testear con una IP de destino correcto y dirección MAC falseada. Si el host responde, es que su interfaz está en modo promiscuo, es decir, existe un sniffer a la escucha y activo. 3.11.1 Detección de sniffers en la red La herramienta Promqry ha sido desarrollada para detectar los sistemas que tienen tarjetas de red funcionando en modo promiscuo (lo que suele utilizarse para activar sniffers y capturar todo tipo de tráfico, aunque en especial claves y usuarios de acceso). En un puesto en el que no esté justificado por alguna razón concreta, puede resultar sospechoso que se de esa circunstancia, por lo que una revisión de vez en cuando con una herramienta de este tipo puede ahorrar más de un disgusto. Desde luego, esta no es la única herramienta de este tipo disponible, pero su sencillez y fácil acceso puede hacer que algunos administradores que no hayan tenido en cuenta un problema así se animen a cuidar también ese aspecto de la seguridad. Veamos cómo llevar a cabo el proceso de uso de la herramienta Promqry para la detección de un sniffer. “La detección de sniffers es una de las múltiples tareas, y una de las más desconocidas, que todos los administradores de seguridad tienen que realizar para garantizar que la seguridad de sus redes no se vea comprometida. Si bien hay un buen número de herramientas que facilitan esta tarea, es importante conocer en profundidad cómo funcionan para poder interpretar y relativizar sus resultados, ya que estos programas tienen un buen número de limitaciones y pueden ser engañados con facilidad para producir falsos positivos y falsos negativos“. (http://labs.dragonjar.org/laboratorios-hacking-tecnicas-y-contramedidassniffing-iii) 81 Luego de instalar la herramienta procedemos a realizar una sencilla configuración. Para ello asignaremos un pequeño rango de IP’s de nuestra red. (En mi caso lo haré solo para 10 IP’s, incluyendo la IP del equipo desde el cual ejecutaré un sniffer - WireShark) Figura 18. Configuración para rangos de IP’s Desde otra máquina de mi red (pueden utilizar la máquina virtual) ejecutaré el sniffer por excelencia WireShark. 82 Figura 19. Ejecución de sniffer WireShark Después de dejar en marcha el sniffer capturando los datos de la red, procedemos a ejecutar la consulta con la herramienta Promqry Figura 20. Promqry escanea en las IP’s 83 Terminadas las consultas de la herramienta vemos como en la pantalla principal aparece el resultado de las mismas. En este caso: positivo. Y analizando los resultados se pueden ver las características de la máquina atacante que se está ejecutando en modo promiscuo. Figura 21. Promqry encuentra atacantes Una vez detectada la maquina en modo promiscuo procedemos a denegarle el servicio para que esta no obtenga accesos a diferentes sistemas o bases de datos que en esos momentos se estén utilizando. 84 CONCLUSIÓN Como se ha visto la seguridad en las redes se ha convertido en un factor importante en el diseño e implementación de las redes. El administrador de la red debe estar constantemente implementando medidas de seguridad en la red con el fin de tener una red confiable, estable y libre de accesos no permitidos. Es por esto que es indispensable contar con un software que ayude a la detección de accesos no permitidos para contar con una seguridad en la información que se tenga. Por este motivo la investigación que se realiza se trata del proceso a grandes rasgos de la obtención de herramientas sumamente útiles para la detección de puntos de accesos no permitidos, para tener unas redes seguras. La investigación se realizo cuestionando de qué forma se pueden detectar los accesos no permitidos a las redes. Como se ha visto existen diversas herramientas para la detección de accesos no permitidos, uno de ellos es el Promqry el cual ha sido desarrollado para detectar los sistemas que tienen tarjetas de red funcionando en modo promiscuo lo que suele utilizarse para activar sniffers y capturar todo tipo de tráfico en la red, aunque en especial claves y usuarios de acceso a los sistemas. Promqry es un software gratuito, se ejecuta sobre Windows, tiene diversas opciones de detección. Existen diversas formas de detectar puntos de acceso, desde comandos hasta software especializado, el cual se encargue de detectar cambios en los archivos del sistema, en las configuraciones de red o que realicen chequeos en los logs. 85 Desde mi punto de vista la mejor opción para detectar puntos de accesos no permitidos es tomar diferentes medidas las cuales serian en la red hacer constantes chequeos, si hay snifers que se estén ejecutando y si hay tarjetas de red que estén en modo promiscuo esto lo podríamos hacer en modo comandos o verificando los nodos o de forma grafica con Promqry, teniendo un buen firewall ya sea interno o externo para estar protegidos de otros tipos de ataques y de manera interna (en la computadora) utilizando software los cuales nos ayuden a detectar cambios en nuestras computadoras, esto lo podríamos checar con patriot ya que este nos sirve como anti-spyware/ malware/ troyanos/ dialers/ ataques incluso antivirus, teniendo las actualizaciones necesarias. Aun con las medidas de seguridad que se implanten, siempre habrá amenazas en contra de las redes. 86 Referencias Bibliográficas *Albert (2009).http://www.geocities.com/TimesSquare/Chasm/7990/topologi.htm Fecha de consulta: 12 de mayo de 2009. *Asencio Gonzales (2006) Seguridad en Internet Spain: Imprenta Fareso, S.A. *García Aníbal Antonio (2009). http://395314465.galeon.com/cables.htm Fecha de consulta: 26 de mayo de 2009. *http://alumno.ucol.mx/al989561/public_html/topo.htm Fecha de consulta: 7 de mayo de 2009. *http://biblioteca.unitecnologica.edu.co/notas/2005-12-12/0032134.pdf de consulta: 12 de junio de 2009. *http://dis.um.es/~barzana/Informatica/IAGP/VPN_Worldcom.html consulta: 20 de junio de 2009. *http://elsitiodetelecomunicaciones.iespana.es/modelo_osi.htm consulta: 2 de junio de 2009. Fecha Fecha Fecha de de *http://es.wikipedia.org/wiki/Modo_promiscuo Fecha de consulta: 23 de junio de 2009. *http://es.wikipedia.org/wiki/Ping Fecha de consulta: 21 de junio de 2009. *http://es.wikipedia.org/wiki/Red_de_computadoras Fecha de consulta: 4 de mayo de 2009. *http://es.wikipedia.org/wiki/Red_en_árbol Fecha de consulta: 18 de mayo de 2009. *http://labs.dragonjar.org/laboratorios-hacking-tecnicas-y-contramedidassniffing-i Fecha de consulta: 22 de junio de 2009. *http://lorna0110.blogspot.com/ Fecha de consulta: 24 de mayo de 2009 *http://nautopia.coolfreepages.com/snort_cap1.htm Fecha de consulta: 19 de junio de 2009. *http://stuff.gpul.org/2003_jornadas/doc/deteccion_de_intrusos/node2.html Fecha de consulta: 18 junio de 2009. *http://www.angelfire.com/mi2/Redes/ventajas.html Fecha de consulta: 7 de mayo de 2009 87 *http://www.csi.map.es/csi/silice/Cablead6.html Fecha de consulta: 26 de mayo de 2009. *http://www.dei.uc.edu.py/tai2003-2/interredes/WAN.htm Fecha de consulta: 26 de mayo de 2009. *http://www.isocmex.org.mx/firm_dig.html Fecha de consulta: 11 de junio de 2009. *http://www.megasoft.edu.uy/administracion%20der%20edes.htm consulta: 6 de junio de 2009. Fecha de *http://www.mitecnologico.com/Main/LanInalambricas Fecha de consulta: 22 de mayo de 2009 *http://www.ordenadores-y-portatiles.com/modelo-osi.html Fecha de consulta: 4 junio de 2009. *http://www.scribd.com/doc/15800385/Administrador-de-Red consulta: 10 de junio de 2009. *http://www.slideshare.net/j_ortiz/topologias-de-redes-1149013 consulta: 7 de mayo de 2009 Fecha Fecha de de *http://www.slideshare.net/mario23/modelo-osi-1281404 Fecha de consulta: 3 junio de 2009. *http://www.terra.es/personal/lermon/cat/articles/evin0405.htm consulta: 4 de mayo del 2009. Fecha de *http://www.uazuay.edu.ec/estudios/sistemas/teleproceso/apuntes_1/cabcoax.h tm Fecha de consulta: 25 de mayo de 2009. *http://www.udistrital.edu.co/comunidad/profesores/jruiz/jairocd/texto/redes/tem as/admoredest.pdf Fecha de consulta: 10 de junio de 2009. *Martí José R. (2009). http://www.seguridadenlared.org/es/index25esp.html Fecha de consulta: 13 de junio de 2009. *Ponce Enrique de Miguel (2009). http://www.canal-ayuda.org/ainformatica/inalambrica.htm Fecha de consulta: 22 de mayo de 2009. *Tanenbaum Andrews. (2003). Redes de computadoras 4ta. Edición. México: Pearson Educación. 3-48. 88 * Viloria Jairo (1999). http://www.angelfire.com/mi2/Redes/componentes.html Fecha de consulta: 5 de mayo de 2009. 89 Índice de figuras Figura 1. Arquitectura de la red de área metropolitana DQDB ......................... 13 Figura 2. Red de estrella .................................................................................. 16 Figura 3. Red de bus ........................................................................................ 18 Figura 4. Red de anillo ..................................................................................... 19 Figura 5. Red de árbol ...................................................................................... 21 Figura 6. Red inalámbrica ................................................................................ 22 Figura 7. Tipos de cables coaxiales ................................................................. 25 Figura 8. Tipos de conectores para cable coaxial ............................................ 27 Figura 9. Tipos de cables UTP ......................................................................... 30 Figura 10. Tipos de conectores para cable UTP .............................................. 31 Figura 11. Tipos de cables de fibra óptica ........................................................ 34 Figura 12. Tipos de conectores para fibra óptica ............................................. 35 Figura 13. Capas y división del Modelo OSI .................................................... 37 Figura 14. Capas TCP/IP ................................................................................. 39 Figura 15. Firewall ............................................................................................ 64 Figura 16. Red Privada Virtual ......................................................................... 66 Figura 17. Comando Ping................................................................................. 69 Figura 18. Configuración para rangos de IP’s .................................................. 82 Figura 20. Promqry escanea en las IP’s ........................................................... 83 Figura 21. Promqry encuentra atacantes ......................................................... 84 90 Índice de Tablas Tabla 1. Tipos de cable .................................................................................... 26 91
