MONOGRAFA

TTULO

Seguridad en redes de banda ancha

Lima - Per
2015

PORTADA
NDICE
CAPTULO I: PLANTEAMIENTO DEL PROBLEMA
1.1 Situacin problemtica
1.2 Definicin del problema
CAPTULO II: SEGURIDAD EN LAS REDES DE BANDA ANCHA
CAPTULO III: DISEO Y MANEJO DE SUBTEMAS Y DEL SISTEMA DE
SEGURIDAD
CAPITULO IV: TECNOLOGIAS
CAPITULO V: CONCLUSIONES
FUENTES DE INFORMACIN
ANEXOS

RESUMEN
La presente investigacin se bas en la investigacin acerca de las
tecnologas, diseo y polticas que se manejan en la seguridad de las redes de
banda ancha.

INTRODUCCIN

La invasin de correos electrnicos masivos indeseados, falsos

mensajes y ciberataques ha puesto de manifiesto la vulnerabilidad de los
usuarios ante los fallos de seguridad y las medidas que se han de adoptar para
protegerse. Si bien los fallos de la seguridad pueden afectar a las conexiones
de marcacin directa y de banda ancha, estas ltimas, que siempre estn
activas, son indudablemente un blanco ms fcil, ya que pueden ser objeto de
ataques y de intrusiones indebidas a cualquier hora del da o de la noche y por
lo tanto son mucho ms vulnerables que las conexiones que slo estn activas
durante breves periodos (vase el recuadro). Por fortuna, se dispone de
numerosas herramientas con las cuales las conexiones de banda ancha
resultan seguras y atractivas para los usuarios.

CAPITULO I: PLANTEAMIENTO DEL PROBLEMA

1.1

Situacin problemtica
Las polticas de seguridad informtica tienen por objeto establecer las
medidas de ndole tcnica y de organizacin, necesarias para garantizar
la seguridad de las tecnologas de informacin (equipos de cmputo,
sistemas de informacin, redes (Voz y Datos)) y personas que
interactan haciendo uso de los servicios asociados a ellos y se aplican
a todos los usuarios de cmputo de las empresas.
1.3 Definicin del problema
Investigacin sobre los recursos a usar para proporcionar de una
seguridad robusta en las redes de banda ancha.

CAPITULO II: SEGURIDAD EN LAS REDES DE BANDA ANCHA

2.1 Qu es seguridad?

La seguridad absoluta es indemostrable. Se habla de

fiabilidad.
Mantener un sistema seguro consiste en garantizar:

Confidencialidad: solo pueden acceder a los recursos de un

sistema a los agentes autorizados.

Integridad los recursos del sistema solo pueden ser modificado

por los agentes autorizados.

Disponibilidad: los recursos del sistema tienen que estar a

disposicin de los agentes autorizados (contrario: denegacin
de servicio).

2.2 Qu queremos proteger?

Los recursos del sistema

Hardware

Software

Datos

Tipos de ataque a los recursos:

Interrupcin: recursos queda inutilizable o no disponible

Intercepcin: captura de un recurso o acceso al mismo
Modificacin o destruccin: intercepcin y manipulacin
del recursos.
Fabricacin: generacin de recursos similares a los
atacados.
2.3 De qu nos queremos proteger?

De todos aquellos agentes que puedan atacar a nuestros recursos

Personas: empleados, ex empleados, curiosos, piratas,
terroristas, intrusos renumerados
Amenazas lgicas: software defectuoso, herramientas de
seguridad, puertas traseras, bombas lgicas, canales
ocultos, virus, gusanos, caballos de Troya, etc.
Catstrofes

2.4 Cmo nos podemos proteger?

Anlisis de amenazas

Evaluacin de posibles prdidas y su probabilidad

Definicin de una poltica de seguridad

Implementacin de la poltica: mecanismo de seguridad

o Prevencin: durante el funcionamiento normal del sistema
o Deteccin : mientras se produce un intento de ataque
o Recuperacin: tras ataque, para retornar a un
funcionamiento correcto: anlisis forense.

2.5 Vulnerabilidad
Vulnerabilidad de una organizacin depende de:
El grado de publicidad de la organizacin
El costo de los ataques
La exposicin de la organizacin a los ataques externos
La exposicin de la organizacin ante ataques Internos, o
ante la facilitacin de servicios (Involuntaria o consciente)
desde el interior.
En definitiva, depende de la:

 Motivacin: Qu ventaja o provecho se puede sacar por

obtener o destruir informacin?
Confianza: En qu medida se puede contar con los
usuarios?
2.6 Amenazas
Una amenaza es cualquier circunstancia o evento que
potencialmente puede causar un dao a una organizacin
mediante la exposicin, modificacin o destruccin de
informacin, o mediante la denegacin de servicios crticos.

los malos van a tratar de actuar sobre mi sistema?

puede ocurrir que elementos no deseados accedan (leyendo o

modificando) informacin importante para mi organizacin?

puede ocurrir que la reputacin de mi organizacin se vea

comprometidas?

2.7 Tipos de amenazas

Fallo de componentes (hardware o software). Ejemplo cada de

los cortafuegos, fallos de un protocolo.

Exposicin de la informacin: correo mal enrutador, salida de una

empresa, grupos o listas de acceso, mal configuradas.

Utilizacin de la in formacin para usos no previstos: puede venir

del exterior o del interior.

Borrado o modificacin de la informacin: puede conllevar

prdidas de integridad o confidencialidad.

Penetracin: ataques por personas o sistemas no autorizados:
caballos de Troya, virus, puertas traseras, gusanos, denegacin

de servicio.
Suplantacin: intentos de confundirse con un usuario legitimo
para sustraer servicios, informacin, o para iniciar transacciones
que comprometen a la organizacin.

2.8 Servicios que pueden comprometer la seguridad

Acceso remoto
o Especfico (p. ej. e-mail con POP o IMAP). El menos
vulnerable

o Control remoto (terminales). Usualmente dentro de la

misma red
o Nodo remoto (estacin de trabajo). El ms vulnerable
El acceso remoto se puede realizar por distintos procedimientos:
o Conexin telefnica: Control de los nmeros de acceso, pares
username/password, mdems dial-back, claves de un solo
uso, control de acceso basado en la localizacin.
o Telnet/Xwindow. Bastante inseguro
o Mobile computing. Inseguro
2.9 Servicios que pueden comprometer la seguridad

Correo electrnico. Problemas:

o Direcciones fciles de suplantar
o Contenidos fciles de modificar
o El mensaje pasa por muchos puntos durante el envo
o No existe garanta de entrega

Distribucin de informacin
o Listas de correo, grupos de noticias, FTP, WWW, BBS,
Gopher.

2.10 Ejemplos de signos de ataque

El sistema para Discrepancias en la informacin sobre las cuentas (p.
ej. /usr/admin/lastlog disminuye a veces)
Intentos de escritura en los archivos del sistema.
Algunos archivos desaparecen
Denegacin de servicio (el sistema pasa a monousuario, y ni siquiera
el administrador puede entrar)
El desempeo del sistema es inexplicablemente bajo.
2.11 Contramedidas

Identificacin y Autenticacin (I&A). Proceso por el que se

reconocen y verifican identidades vlidas de usuarios y procesos.
Tres tipos:
o Esttica (username/password)
o Robusta (claves de un solo uso, firmas electrnicas)
o Continua (firmas electrnicas aplicadas a todo el contenido de
la sesin.
Control de la adquisicin de software. Previene contra los
virus, caballos de Troya, el software interactivo (Java, ActiveX), y
el robo de licencias
Cifrado: Proporciona confidencialidad, autenticidad e integridad
Actuaciones en el nivel de arquitectura: Redes virtuales
privadas, Sistemas de acceso remoto, acceso a bases de datos,
etc.
Gestin de incidentes: Deteccin de ataques, histricos, control
de integridad, etc.
Acciones administrativas: Identificacin de responsables de
seguridad, poltica de sanciones, polticas de privacidad, definicin
de buenas prcticas de uso, etc.
Formacin: Informacin a los usuarios de las amenazas y cmo
prevenirlas, polticas de la empresa frente a fallos de seguridad,
etc.

CAPTULO III: DISEO Y MANEJO DE SUBTEMA Y DEL SISTEMA DE

SEGURIDAD
El creciente uso y popularizacin de Internet ha ofrecido nuevas
oportunidades a operadores, empresas y usuarios finales, que han visto
la proliferacin de nuevos servicios y aplicaciones basadas en el
protocolo IP. Al mismo tiempo, los operadores estn ofreciendo servicios
de conectividad cada vez ms rpidos y asequibles, desde los accesos

ADSL, Cable o Wireless, hasta conectividad Ethernet en redes

metropolitanas, gracias al uso de infraestructuras de fibra ptica.
Esta nueva situacin y disponibilidad de ancho de banda favorece la
aparicin de nuevas aplicaciones y servicios ricos en contenido
multimedia, que abren un amplio abanico de servicios de valor aadido.
Pero, cmo encaja la seguridad en este nuevo ecosistema? Las
necesidades tradicionales de seguridad siguen vigentes: control de
acceso, autenticacin, autorizacin y confidencialidad e integridad de la
informacin. Sin embargo, la aparicin de accesos y redes MAN de
banda ancha y la demanda de nuevos servicios ricos en contenido,
consumidores de ancho de banda y sensibles a retardo hace que surjan
nuevos matices en las necesidades de seguridad.
Estos matices se centran en evitar que la seguridad penalice a los
nuevos servicios que se ofrecern gracias a la banda ancha. De qu
sirve contratar un acceso o conectividad de banda ancha si el firewall no
rinde lo suficiente? Por qu las aplicaciones corporativas no funcionan
a travs de una VPN? La respuesta est en que tambin los sistemas de
seguridad deben adaptarse a esta nueva situacin. Los sistemas de
control de acceso han de tener un rendimiento acorde al crecimiento en
ancho de banda, del mismo modo que el cifrado de datos ni debe
penalizar el rendimiento ni debe introducir retardos inaceptables para
determinadas aplicaciones.
Otro aspecto a destacar en entornos de VPNs basadas en IPSec es la
conveniencia de hacer un tratamiento del trfico. Si el trfico se
encuentra cifrado en el transcurso de la red, el nico tratamiento de
dicho trfico que se puede realizar sera en ambos extremos del tnel.
Esto permite hacer una gestin del ancho de banda en la frontera LANMAN.
2.1 Diseo de la seguridad de una red de banda ancha

La arquitectura de una red empresarial requiere un diseo que permita la

separacin entre los usuarios, servidores internos y los servidores
perimetrales o DMZ. Un diseo bsico inicial consiste en un cortafuegos
principal que separa el trfico que va a la red perimetral del que va al
resto de redes, existiendo un segundo cortafuegos de distinto fabricante
en la entrada de la red de servidores internos, y entre ambos el servidor
de VPN. Un esquema resumido sera el siguiente:

Un diseo de red como el expuesto suele acarrear una mayor dificultad

a la hora de obtener ventaja de vulnerabilidades existentes en la DMZ,
as como, para saltarse las restricciones de acceso a internet por parte
de los usuarios (y por tanto de los empleados) sin pasar por el proxy
web con filtrado de acceso y contenidos.
Asimismo nuestra red deber contar con las siguientes caractersticas
para dar seguridad a la red de banda ancha:

Instalar un firewall separando la red interna de Internet.

Si se instala algn tipo de proxy (como AnalogX, WinGate,

WinProxy, etc), configurarlo para que slo responda a

peticiones que surjan de la red interna.

Si es necesario, compartir recursos como el disco o la
impresora entre computadoras de la red interna, se deben
tomar los cuidados debidos para que el firewall no permita que
esta comparticin sea visible por Internet.

CAPTULO IV: POLITICAS DE SEGURIDAD

4.1 Objetivo
Definir cmo se va a proteger una organizacin ante los ataques. Tiene
dos partes:
4.2 Poltica general: define el enfoque general:
o Anlisis de vulnerabilidad
o Identificacin de las amenazas
Reglas especficas: definen las caractersticas y acciones concretas,
para cada servicio o sistema, orientadas a cumplir los objetivos de la
poltica general.

4.3 Caractersticas de una buena poltica de seguridad (RFC 2196)

Se tiene que poder poner en prctica mediante procedimientos
concretos de administracin de sistemas, mediante la publicacin de
guas sobre el uso aceptable de los recursos informticos, o mediante
otros mtodos prcticos apropiados.
No debe ser una entelequia.
Debe ser implementable
Se debe obligar su cumplimiento mediante herramientas de
seguridad, donde sea posible, y mediante sanciones, donde la
prevencin no sea posible tcnicamente.
No debe tener agujeros, y si los tiene hay que poder detectarlos
Debe definir claramente las reas de responsabilidad de los usuarios,
los administradores y la direccin.
Tiene que haber un responsable para toda situacin posible
4.4 Componentes de una buena poltica de seguridad (RFC 2196)
Gua de compra de hardware y software, donde se especifique las
funciones relacionadas con la seguridad requeridas o deseadas.

Una poltica de privacidad que asegure un nivel mnimo de privacidad en

cuanto a acceso a correo electrnico, ficheros de usuario, ficheros de

traza, etc.
Una poltica de acceso que defina los niveles de seguridad, los derechos
y privilegios, caractersticas de las conexiones a las redes internas y

externas, mensajes de aviso y notificacin, etc.

Una poltica de responsabilidad que defina las responsabilidades de los
usuarios, y del personal tcnico y de gestin. Debe definir los
procedimientos de auditora y de gestin de incidentes (a quin avisar,

cundo y cmo, etc.)

Una poltica de autenticacin que establezca un esquema de claves o
palabras de paso (passwords), que especifique modelos para la
autenticacin remota o el uso de dispositivos de autenticacin.

Una declaracin de disponibilidad, que aclare las expectativas de los

usuarios en cuanto a la disponibilidad de los recursos. Debe definir
temas como la redundancia, la recuperacin ante intrusiones,
informacin de contacto para comunicar fallos en los sistemas y/o en la

red, etc.
Una poltica de mantenimiento que describa cmo se lleva a cabo el
mantenimiento interno y externo, si se permite mantenimiento remoto y/o

mantenimiento por contratas externas, etc.

Una poltica de comunicacin de violaciones que defina qu tipos de

amenazas, y cmo y a quin se deben comunicar.

Informacin de apoyo que indique a los usuarios, personal tcnico y
administracin cmo actuar ante cualquier eventualidad, cmo discutir
con elementos externos los incidentes de seguridad, qu tipo de
informacin se considera confidencial o interna, referencias a otros
procedimientos de seguridad, referencias a legislacin de la compaa y
externa, etc.

CAPITULO V: TECNOLOGIAS DE SEGURIDAD, PRODUCTOS Y

SOLUCIONES
La habilidad de los crackers, la simplicidad de los protocolos de
comunicaciones y la debilidad de, muchas sistemas operativos pueden causar
serios problemas de seguridad a las organizaciones, aunque ya se dispone de
un importante nmero de soluciones para luchar contra todo tipo de ataques.
5.1 PRODUCTOS
1. Red firewall
-

Red firewall (cortafuegos) una red firewall es cualquier de las formas

de proteger una red que deseamos asegurar de otras redes de las
que desconfiamos. Los mecanismos actuales de cortafuegos son
bastante complejos aunque pueden resumirse en un par de
variantes: un mecanismo que consiste en bloquear el trfico de red y
otro considera el mximo caudal de trfico.

2. TCP-WRAPER

Es un sistema para definir los puntos autorizados a acceder

remotamente a nodos de donde esta instalado el wraper. Permite
elegir tambin el servicio internet al que se permite acceder
( ftp,telnet,rlogin,finger.etc)

3. COPS (Computer Oracle And Password System)

-

Es un chequeador de seguridad de sistemas UNIX. Comprueba

varios ficheros y configuraciones de software que hayan podido ser
violados. Existen otros sistemas de este estilo como MIRO Y AUDIT.

4. SOCKS
-

Es otra manera de implementar un TCP Wraper, pero SOCKS no esa

pensando para hacer ms seguro un sistema, sino para centralizar
(firewall) todos los servicios externos de internet.

5. CAP (Controlled Acceso Point)

-

Es mas un mtodo o definicin de protocolo que un producto. CAP

es, esencialmente un router con funcionalidades para detectar
peticiones de conexin externas, interceptar el proceso de
comprobacin de usuario y llama a un servidor de comprobacin de
usuarios.

SISTEMA DE ANALISIS SNIFFER DE DATA GENERAL

6. SNIFFERS
-

No son herramientas para luchar contra la inseguridad sino al

contrario, ya que son programas usados por los crackers para

escuchar los paquetes que viajan por las redes (Ethernet ,por
ejemplo) para poder averiguar los password de cuentas.
7. CRACK
-

ESTE ES UN PROGRAMA que utiliza para los instalaciones de los

administradores de sistemas pueden usarlos para detectar password
dbiles de los usuarios .

8. XWATCH
-

Producto con fines docentes que permite capturar las seciones de X

Windows remotas para seguir diversas actividades. Tambin puede
ser empleado por los administradores de sistemas para auditar a
posibles sospechosos aunque usado por los usuarios maiIntesinados
es una serie amenaza contra la seguridad de la red y de los sistemas
que la forman al violar la intimidad de la persona monitorizada.

5.2 SOLUCIONES
1. CRIPTOSISTEMA DE LA CLAVE SECRETA
-

Los dos usuarios de la criptografa conoce la clave secreta que es

generalizada por un algoritmo conocido. El criptosistema de clave
secreta mas usado es el DES (data encryption Standart desarrollado
por IBM y adopto por las oficinas gubernamentales estadounidenses
para proteges los datos desde 1977 y tambin como algoritmo de
cifrado-descifrado de UNIX.

HUB ETHERTNET OLICOM con sistema de gestin SNMP.

2. CRIPTOSISTEMA DE CLAVE PUBLICA

-

El ms popular es el RSA implementado en el MIT en 1977. Cada

usuario tiene dos claves, una secreta y otra pblica. Las clave
pblica se usa para encriptar el mensaje para destinatario del mismo,
y propietario de esa clave pblica. El cual ser el nico que podr
descifrar dicho mensaje cuando indique su clave secreta. Si el
mensaje es interceptado, aunque el intruso conozca la clave pblica
no podr descifrarlo por desconocer la clave secreta.

CAPITULO VI: CONCLUSIONES

Se puede concluir que es necesario tener en cuenta las tecnologas de
seguridad perimetral en una red de banda ancha para evitar problemas
de malwares que puedan traer mayores costos de reparacin a la
empresa.

FUENTES DE INFORMACIN
Cabral, M., I. Almeida, C. Melo, A. Klautau, 2009. Low-cost gsm telephony in
the amazon regin based on open-source / open-hardware projects. IEEE
Latin-American Conference on Communications (LATINCOM '09), 6 pp.
El Comercio, 2015. OSIPTEL-Telefona mvil y su penetracin en hogares
pera el 91% de la expansin en zonas rurales. Descargado de:
http://elcomercio.pe/economia/peru/osiptel-telefonia-movil-penetracionhogares-supera-91-expansion-zonas-rurales-noticia-1837649?
ref=flujo_tags_514725&ft=nota_4&e=titulo el 21 de octubre 2015.
Garcia, J. (2002) Seguridad y banda ancha. Recuperado el 01 de diciembre,
en: http://www.networkworld.es/archive/seguridad-y-banda-ancha
Union Nacional de Telecomunicaciones UIT (2003) Banda ancha seguridad
para la red, recuperdo el 01 de diciembre, en:
https://www.itu.int/osg/spu/spunews/2003/oct-dec/security-es.html
Forn, J. (2009) Seguridad en redes de banda ancha: contribucin al diseo
evaluacin de un sistema de seguridad para la RDSI-BA. Recuperado en
pdf, el 01 de diciembre, en:
http://www.researchgate.net/publication/277743187
ANEXOS
1. Cuadro comparativo entre seis marcas de Firewall para una red
estructurada:

A partir del cuadro podemos apreciar que el FotiGate-310B es una muy buena
opcin para ser implementada en una red de banda ancha. Sin embargo
tambin es necesario ver la aplicacin que se le va a dar y la factibilidad. En
este caso, el Firewall antes mencionado est costando $1,199.00 mientras que
el NOKIA IP390 est constando alrededor de $185.55.