Aspectos de seguridad del protocolo TCP/IP

[1.1] ¿Cómo estudiar este tema?

[1.2] Introducción

[1.3] Aspectos avanzados de TCP/IP

[1.4] Principales protocolos de TCP/IP

[1.5] Seguridad en redes inalámbricas

[1.6] IP versión 6

1
TEMA
 Aspectos de seguridad del protocolo TCP/IP
Esquema

TEMA 1 – Esquema
Fundamentos arquitectura TCP/IP IP versión 6 Seguridad redes inalámbricas

ARP ESP WEP

ICMP AH WPA

IP WPA2

TCP

UDP

© Universidad Internacional de La Rioja (UNIR)

Seguridad en Redes
 Seguridad en Redes

Ideas clave

1.1. ¿Cómo estudiar este tema?

Para estudiar este tema, además de las Ideas clave, lee el capítulo 2 «A Security
Review of Protocols: Lower Layers» del libro Firewalls and Internet Security:
Repelling the Wily Hacker, de William R. Cheswick, Steven M. Bellovin, y Aviel D.
Rubin. El capítulo está disponible en: http://www.wilyhacker.com/chap02.pdf

A lo largo de esta asignatura trataremos los aspectos de seguridad de las redes de

ordenadores. La gran mayoría de esas redes están basadas en la arquitectura de red
denominada TCP/IP. Esta arquitectura determina cómo se realiza la comunicación
entre las máquinas interconectadas y, por lo tanto, su conocimiento es fundamental
para la oportuna comprensión de los mecanismos de protección pertinentes para
alcanzar redes de ordenadores seguras.

El protocolo TCP/IP posee unas características fundamentales que condicionan

en gran medida las vulnerabilidades asociadas a su funcionamiento. No en vano se
trata de un protocolo que, aunque ha probado durante décadas su buen
funcionamiento, fue diseñado con objetivos para escenarios muy distintos de
los que actualmente afronta la comunicación entre ordenadores. Como se verá a lo
largo de la introducción de este tema, la expansión de Internet ha traído consigo nuevos
escenarios de aplicación y un incremento importantísimo en el número de equipos
conectados a esta red. Todo ello ha hecho aflorar tanto el interés por los ataques a este
tipo de redes, pues cada vez manejan información más atractiva, así como la aparición
de herramientas y mecanismos para su protección.

Los fundamentos de la arquitectura TCP/IP condicionan tanto las vulnerabilidades,

que pueden ser explotadas en diversos ataques, como el tipo de mecanismos y
herramientas que pueden ser utilizados para su protección. Es por ello condición
indispensable para el avance en los conceptos relacionados con la seguridad en redes, la
compresión de los fundamentos de TCP/IP, las protecciones establecidas por la nueva
versión del protocolo IPv6, y por último, pero no menos importante, el surgimiento de
los protocolos inalámbricos de comunicación.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Este tema en concreto tiene como objetivo introducirte en los fundamentos del
funcionamiento de la arquitectura TCP/IP, para después tratar cómo estos
fundamentos condicionan tanto las vulnerabilidades de las redes, como la forma de
protegerlas. Para ello, durante este tema se tratarán tres puntos principales:

» Funcionamiento de los protocolos de la arquitectura TCP/IP.

» La seguridad de la nueva versión 6 del protocolo IP.
» Evolución de las vulnerabilidades y protecciones de los protocolos de red
inalámbricos.

1.2. Introducción

A principios de la década de los 60, varios investigadores intentaban hallar la manera

más eficiente de compartir recursos informáticos. En 1961, Leonard Kleinrock del
Massachusetts Institute of Technology (MIT) publicó una primera teoría sobre la
utilización de la conmutación de paquetes para transferir datos.

El objetivo era la división de los datos en paquetes que permitieran una mejor
comunicación entre los computadores. Un paquete es un grupo de información que
consta de dos partes: los datos propiamente dichos y la información de control, en la
que está especificada la ruta a seguir a lo largo de la red hasta el destino del paquete.

En 1969, en el marco de la guerra fría, la Agencia de Proyectos de Investigación

Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) consideró la
posibilidad de que su red de comunicaciones sufriera ataques y decidió financiar
proyectos de investigación en distintas universidades con la finalidad de desarrollar
una red de ordenadores distribuida. De este modo, no importaba si algún
ordenador se destruía, la red seguiría funcionando. Así nació, de manera experimental,
ARPAnet. Sin embargo, esta red no era tan buena como se pensaba, ya que estaba
sujeta a periódicas caídas del sistema.

Ya en la década de los 70, se empezó a investigar la interconexión de distintas

redes, así como la creación de un conjunto de protocolos que facilitara su uso.
Finalmente, en 1974 se establecieron las bases del desarrollo de la familia de protocolos
que se utilizan en las redes actuales y que conocemos como TCP/IP.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

1.3. Aspectos avanzados de TCP/IP

TCP/IP tiene una estructura basada en capas fundamentada en el estándar de los

protocolos de comunicaciones Open Systems Interconnection (OSI) que diseñó la
Organización Internacional de Normalización (ISO — International Standard
Organization).

El modelo TCP/IP describe una serie de guías generales de diseño e implementación de

protocolos de red específicos para permitir que un conjunto de equipos puedan
comunicarse a través de una red. TCP/IP provee conectividad extremo a extremo
especificando la manera en que los datos deberán ser formateados, direccionados,
transmitidos, encaminados y recibidos por el destinatario. El protocolo TCP/IP permite la
interconexión de computadores de cualquier tamaño, fabricante y/o sistema operativo.

Los protocolos de red normalmente se desarrollan en capas, de manera que

cada capa es la responsable de una parte de la comunicación. Una familia de
protocolos, como TCP/IP, es el resultado de combinar distintos protocolos en las
diferentes capas. TCP/IP consta de cuatro capas: capa de física, capa de red, capa de
transporte y capa de aplicación; frente a las siete capas que forman el modelo OSI, tal y
como podemos ver en la siguiente imagen:

Modelo OSI Modelo TCP/IP

Capa de Aplicación
Se rvicios de red a aplicacione s

Capa de Presentación Capa de Aplicación

Re pre se ntación de los datos Se rvicios de red a aplicacione s

Capa de Sesión
Comunicación e ntre dispositivos de la re d

Capa de Transporte Capa de Transporte

Cone xión e xtre mo a e xtremo y fiabilidad Cone xión e xtre mo a e xtremo y fiabilidad

Capa de Red Capa de Red

De te rminación de ruta De te rminación de ruta

Capa de Enlace
Dire ccionamie nto físico (MAC y LLC) Capa física
Se ñal y transmisión binaria, y
Capa física dire ccionamiento físico (MAC y LLC)
Se ñal y transmisión binaria

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

» Capa física: Se corresponde con la capa de enlace y la capa física del modelo OSI.
Normalmente incluye el driver del dispositivo en el sistema operativo y la
correspondiente tarjeta de interfaz de red del ordenador. Ofrece los recursos
que permiten la transmisión de los datos a través de la red. Ejemplos de
protocolos que compones esta capa son: Ethernet (IEEE 802.3), Wifi (IEEE 802.11),
Address Resolution Protocol (ARP) o Reverse Address Resolution Protocol (RARP).

» Capa de red: Se corresponde con la capa de red del modelo OSI. Permite el
encaminamiento y maneja el movimiento de los paquetes en la red.
Ejemplos de protocolos que compones esta capa son: Internet Protocol (IP),
Internet Control Message Protocol (ICMP) o Internet Group Management Protocol
(IGMP).

» Capa de transporte: Se corresponde con la capa de transporte del modelo OSI.

Provee el flujo de datos entre dos equipos que será utilizado por la capa
superior (capa de aplicación). Los dos protocolos más utilizados en esta capa son
Transmission Control Protocol (TCP) y User Datagram Protocol (UDP) cuyas
principales características podemos ver descritas en la siguiente imagen.

TCP UDP

Protocolo orientado a Protocolo más simple,

conexión que proporciona no orientado a conexión,
un flujo de datos fiable que no garantiza la
entre dos equipos recepción de los datos

» Capa de aplicación: Se corresponde con las capas de sesión, presentación y

aplicación del modelo OSI. Gestiona las características de una aplicación en
particular. Algunas de las aplicaciones más comunes en este nivel son Telnet, File
Transfer Protocol (FTP), Simple Mail Transfer Protocol (SMTP), HyperText
Transfer Protocol (HTTP), Network Time Protocol (NTP), etc.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

1.4. Principales protocolos de TCP/IP

Una vez descritas las diferentes capas que componen la pila TCP/IP se describen a
continuación los principales protocolos que forman esas capas.

ARP - Address Resolution Protocol

El protocolo Address Resolution Protocol (ARP) es un protocolo de la capa física

(capa de enlace en el modelo OSI) responsable de encontrar la dirección
hardware (MAC) que corresponde a una determinada dirección IP. Para ello, se envía
un paquete (ARP request) a la dirección de difusión de la red (broadcast) que contiene
la dirección IP por la que se pregunta, y se espera a que esa máquina responda (ARP
reply) con la dirección Ethernet que le corresponde. También existe el protocolo que
realiza la función inversa, Reverse Address Resolution Protocol (RARP).

Existe un tipo de ataque que se aprovecha del protocolo ARP y que permite a un
atacante suplantar a otro usuario de la red de área local (LAN), teniendo
acceso a los paquetes de datos para él destinados y pudiendo, incluso, modificarlos o
bloquearlos. Esta técnica se conoce como ARP Spoofing o ARP Poisoning y
consiste en enviar falsos mensajes ARP reply a la red para que el atacante reciba los
paquetes destinados al usuario que el atacante quiere suplantar.

IP - Internet Protocol

Internet Protocol (IP), es el principal protocolo de la pila de protocolos TCP/IP y se

encarga de la transmisión y el encaminamiento de los paquetes de datos del origen al
destino. Se encuentra en la capa de red y es un protocolo no orientado a
conexión y no fiable, por lo que la recepción de los paquetes no está asegurada. Para
avisar a los extremos de la comunicación de posibles errores se dispone del protocolo
Internet Control Message Protocol (ICMP).

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

ICMP - Internet Control Message Protocol

Internet Control Message Protocol (ICMP) es un protocolo de control y

notificación de errores a nivel de red (a veces se considera un nivel por encima
debido a que los paquetes ICMP viajan en paquetes IP). Algunos de sus principales usos
son: encontrar las mejores rutas a la hora de transmitir un paquete, notificar
problemas en una determinada ruta o finalizar una conexión debido a problemas de la
red. Además, las herramienta ping y traceroute hacen uso de este protocolo. La
herramienta ping se usa para determinar si un sistema está disponible, mientras que
traceroute permite conocer los sistemas intermedios que atraviesa un paquete hasta su
destino.

TCP

Transmission Control Protocol (TCP) es un protocolo orientado a conexión que

requiere el establecimiento de una conexión entre los extremos que vayan a
comunicarse antes de empezar el intercambio mensajes. TCP también es un
protocolo fiable que se encarga tanto de asegurar la recepción de los paquetes, como
de ensamblar en el orden correcto los paquetes que hayan sido fragmentados. Además,
TCP permite preservar el orden de cada paquete gracias a la inclusión de un número de
secuencia y llevar un control de los paquetes recibidos por el destinatario gracias al uso
de un número de confirmación de recepción (ACK).

Establecimiento de conexión TCP

El procedimiento para establecer una conexión TCP se conoce con el nombre de

three-way handshake:

1. Uno de los extremos (A) envía un mensaje SYN inicial con un número de secuencia
X que es recibido por el otro extremo de la comunicación (B).
2. B responde con un paquete SYN-ACK que incluye su propio número de secuencia Y y
la confirmación de recepción X+1.
3. A responde con un mensaje ACK que incluye la confirmación de recepción (Y+1).

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Establecimiento de conexión en TCP.

Los números de secuencia utilizados en los mensajes tienen, además del papel de
sincronización, la función de evitar que posibles atacantes puedan interferir en
una conexión TCP, ya que, si no saben el número de secuencia correspondiente,
aunque envíen un paquete malicioso, este será descartado al llegar al extremo
correspondiente.

Existe, sin embargo, un tipo de ataque conocido como TCP Sequence Prediction
Attack que podría llevarse a cabo contra el establecimiento de conexiones de TCP si un
atacante es capaz de adivinar el número de secuencia utilizado por el extremo de la
conexión al que quiere engañar. De este modo, un atacante podría responder con una
confirmación de número se secuencia válida (ACK) sin necesidad de recibir el mensaje
correspondiente; pudiendo, por lo tanto, suplantar a cualquiera de los extremos de la
comunicación.

Tipo de conexiones en TCP

La forma más habitual de comunicación se produce entre servidores y

clientes. Los servidores ofrecen un servicio a través de Internet y escuchan a través de
un puerto determinado las peticiones de los clientes. Los clientes usan los servicios
ofrecidos por los servidores. Para poder realizar una petición de servicio, los clientes
deben conocer el puerto por el que escucha el servidor las peticiones de un servicio
específico.

De esta manera, la conexión para un protocolo de transporte determinado (TCP o UDP)

entre un cliente y un servidor queda definida por un socket a través de la 4-tupla
<IP local, puerto local, IP remota, puerto remoto>.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Una vez establecida la conexión, existen dos tipos de conexiones posibles, tal como se
describe en la siguiente imagen:

El flujo de datos puede ir en ambos sentidos pero nunca a la vez, es

Half-Duplex decir, si A envía datos a B y B quiere enviar datos a A, B deberá esperar
a recibir la información enviada por A antes de realizar su envío.

El flujo de datos puede ir en ambos sentidos simultáneamente sin

Full-Duplex
ningún tipo de restricción.

Cierre de Conexiones en TCP

El cierre de una conexión TCP es asíncrono por lo que cada extremo debe cerrar
su conexión de manera independiente enviando un mensaje FIN cuya recepción deberá
ser confirmada por el otro extremo con su correspondiente ACK. Una representación de
esta comunicación puede verse en la siguiente imagen (el segundo y tercer mensajes
pueden substituirse por un único mensaje FIN/ACK).

Cierre de conexiones en TCP.

UDP – User Datagram Protocol

User Datagram Protocol (UDP) es un protocolo más sencillo que TCP que no
cuenta con mecanismos que le permitan corregir errores, retransmitir paquetes o la
detección de paquetes perdidos o duplicados. No está orientado a conexión y no
es fiable. Por otro lado, su cabecera es más pequeña, por lo que los paquetes tendrán
un menor tamaño; y no necesita el establecimiento de una conexión, de manera que el
número de paquetes que se tienen que enviar es menor.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

En conexiones que requieren un gran intercambio de paquetes, el comportamiento de

UDP no es satisfactorio, ya que la pérdida de paquetes es probable y si el envío no ha
sido correcto habrá que comenzar la retransmisión desde el inicio.

1.5. Seguridad en redes inalámbricas

Las primeras redes inalámbricas surgieron como un complemento a las redes de área
local cableadas para dotar de mayor movilidad a los usuarios a través de un acceso
inalámbrico de corto alcance para dispositivos electrónicos.

A medida que este tipo de redes fueron evolucionando y ganando aceptación surgió la
necesidad de crear una tecnología inalámbrica que permitiera asegurar la
compatibilidad entre equipos de diversos fabricantes. Con el objetivo de alcanzar esa
meta, en 1999 un grupo de empresas se unió para crear la organización Wireless
Ethernet Compatibility Alliance (WECA), actualmente conocida como WiFi Alliance.

En abril de 2000, WECA certificó la norma IEEE 802.11b, bajo la marca WiFi;
certificando que los equipos que incluyese este sello WiFi podrían interactuar
entre ellos con independencia de su fabricante.

Logo WiFi. Fuente: http://www.wi-fi.org

El estándar utilizado por WiFi, IEEE 802.11, opera en la capa física de la pila TCP/IP y
es análogo al protocolo IEEE 802.3 (Ethernet) para redes locales cableadas. Además, se
diseñó de manera que se mantuviera una completa compatibilidad con el mismo.

Desde la creación del primer estándar IEEE 802.11, esta familia de estándares ha ido
evolucionando y mejorando aspectos como el rango y velocidad de la transferencia de

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

información, la seguridad, etc. a través de la definición de nuevos estándares IEEE

802.11, tales como: IEEE 802.11b, IEEE 802.11g, IEEE 802.11i, IEEE 802.11n, etc.

Este tipo de redes se encuentran disponibles en prácticamente casi todos los ámbitos
(universidades, centros de investigación, aeropuertos, cafeterías e incluso hogares) y se
utilizan para el intercambio de diversos tipos de información. Este uso cada vez más
generalizado y diverso ha motivado la aparición de diversos mecanismos de seguridad
para evitar accesos no deseados a este tipo de redes y proteger la información que en
ellas se encuentra.

WEP - Wired Equivalent Privacy

Wired Equivalent Privacy (WEP) forma parte del estándar IEEE 802.11b y fue creado
con la idea de proporcionar una seguridad a las redes inalámbricas comparable a la de
una red tradicional cableada. Para ello, WEP:

» Utiliza el algoritmo de cifrado Rivest Cipher 4 (RC4) con clave estática

compartida por todos los usuarios de la red de 64 y 128 bits, incluyendo un
vector de inicialización (IV) de 24 bits, para dotar de confidencialidad a las
comunicaciones.
» Hace uso de un código de redundancia cíclica CRC-32 para lograr la integridad
de las comunicaciones.
» Proporciona un mecanismo de autenticación que comprueba la posesión de la
misma clave compartida utilizada para el cifrado.

A partir de 2001 se empezaron a detectar múltiples vulnerabilidades en WEP debido

principalmente a ciertos errores en su diseño, que se enumeran en la siguiente imagen:

1 Uso de una única clave estática que comparten todos los usuarios.

El vector de inicialización usado es de 24 bits lo que provoca colisiones en puntos de

2
acceso muy concurridos.

3 Uso de un control de integridad lineal como es CRC-32.

4 Uso del algoritmo de cifrado RC4.

A través del análisis de las debilidades del protocolo WEP surgieron numerosos ataques
que terminaron en el desarrollo de varias herramientas de dominio público, como

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Airsnort, WEPCrack o Aircrack, que permiten la obtención de la clave compartida

utilizada en este tipo de redes.

WEP hoy en día es considerado inseguro. Su uso no está recomendado, salvo en

casos donde sea la única opción disponible, y debe substituirse por WPA2 (o WPA,
si WPA2 no está disponible).

WPA y WPA2 – WIFI Protected Access (2)

Teniendo en cuenta la inseguridad de WEP, el IEEE comenzó a trabajar en un nuevo

estándar, IEEE 802.11i publicado en 2004, que permitiese mejorar la seguridad de las
comunicaciones inalámbricas. IEEE 802.11i define dos modos de seguridad
diferenciados: WPA y WPA2.

WPA está pensado para ser compatible con el hardware existente y para
permitir a redes ya desplegadas poder migrar de WEP a un estándar más seguro. Para
ello:

» Incorpora un mecanismo de gestión de claves dinámicas Temporal Key Integrity

Protocol (TKIP) al cifrado RC4.

» Usa claves dinámicas (cambian más o menos cada 10.000 paquetes enviados) y
que varían para cada usuario (se combina con la dirección MAC del dispositivo
del usuario); lo que conlleva una mejora significativa de la seguridad de la red.

» Incorpora un nuevo algoritmo de control de integridad conocido como Michael

para generar un Message Integrity Check (MIC).

» Soporta tanto autenticación basada en clave compartida (WPA-Personal)

como con claves diferentes para cada usuario (WPA-Enterprise) basado en
el estándar 802.1X que utiliza un servidor Remote Authentication Dial In User
Service (RADIUS) de autenticación.

WPA2, por su parte, suponía una ruptura con el hardware existente y propone un
modelo de seguridad basado en un algoritmo criptográfico más moderno y seguro como
Advanced Encryption Standard (AES). Para ello:

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

» Usa el modo Counter Cipher Mode with Block Chaining Message Authentication
Code Protocol (CCMP) de AES (AES-CCMP) que provee tanto de confidencialidad
como de integridad y autenticación a los paquetes.

» Usa claves dinámicas (cambian más o menos cada 10.000 paquetes enviados) y
que varían para cada usuario (se combina con la dirección MAC del dispositivo
del usuario); lo que conlleva una mejora significativa de la seguridad de la red.

» Soporta tanto autenticación basada en clave compartida (WPA2-Personal)

como con claves diferentes para cada usuario (WPA2-Enterprise) basado
en el estándar 802.1X que utiliza un servidor Remote Authentication Dial In User
Service (RADIUS) de autenticación.

Se recomienda el uso de WPA2, preferentemente en su versión Enterprise

para el despliegue de una red inalámbrica siempre que sea posible. Para entornos
donde el establecimiento de la arquitectura necesaria para 802.1X no sea posible se
recomienda el uso de WPA2-Personal con una clave compartida segura.

Se desaconseja el uso de cualquiera de las variantes de WPA a no ser que los

dispositivos utilizados no sean compatibles con WPA2.

1.6. IP versión 6

El grandísimo crecimiento que ha experimentado Internet en las últimas décadas

provocó que a principios de 2010 quedaran menos del 10% de direcciones IP sin
asignar. Esto, unido al incremento de dispositivos móviles que requieren una conexión
a la red y la aparición del Internet de las cosas (IoT), ha propiciado el agotamiento de
las direcciones IPv4. Este agotamiento es el principal motivo de la aparición de
IPv6, cuyo objetivo es remplazar a IPv4.

Las direcciones IPv4 tienen 32 bits que posibilitan 4.294.967.296 (232)

direcciones. Por su parte, las direcciones IPv6 tienen 128 bits que permiten
340.282.366.920.938.463.463.374.607.431.768.211.456 (2128) direcciones diferentes.

En muchos aspectos, IPv6 es una extensión de su predecesor y la mayor parte de

los protocolos de transporte y aplicación no necesitan cambios para operar con IPv6.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Algunas excepciones a esta regla, son los protocolos de aplicación que integran
direcciones de capa de red, como FTP o NTP.

IPv6 especifica un nuevo formato de paquete, diseñado para minimizar el

procesamiento del encabezado de paquetes. Debido a que las cabeceras de los paquetes
IPv4 e IPv6 son significativamente distintas, los dos protocolos no son interoperables.
Esta falta de interoperabilidad representa el mayor inconveniente para la transición de
IPv4 a IPv6.

Actualmente, para poder trabajar con ambos tipos de direcciones IP, los sistemas
incorporan una dual-stack que incluye dos pilas, una para cada versión del protocolo,
y que permite la comunicación con todo tipo de equipos y redes. También es posible
que un sistema IPv6 se comunique con sistemas IPv4 si se utilizan herramientas
específicamente diseñadas para ello como 6to4 o Teredo.

Algunas de las nuevas características que implementa IPv6 son:

» Ampliación considerable de la capacidad de direccionamiento: Utilización

de direcciones IP de 128 bits frente a los 32 bits utilizados en IPv4.

» Autoconfiguración de hosts con Neighbor Discovery Protocol (NDP): Los

nodos IPv6 pueden configurarse a sí mismos automáticamente cuando son
conectados a una red IPv6, usando mensajes de descubrimiento de routers de
ICMPv6. Si esta autoconfiguración no es adecuada para una aplicación es también
posible utilizar protocolos a nivel de aplicación como Dynamic Host Configuration
Protocol para IPv6 (DHCPv6) o realizar una configuración estática de los nodos.

» Multicast: Mejora la capacidad de envío de un paquete único a destinos múltiples

incluyendo las comunicaciones multicast como parte de la especificación base de
IPv6.

» Seguridad a nivel de red: Internet Protocol Security (IPSec), el protocolo

que permite dotar de confidencialidad, integridad y autenticación a IP forma
parte integral del protocolo base en IPv6 y su utilización es obligatoria en
la mayoría de los casos (salvo en dispositivos con un hardware muy limitado o un
propósito muy específico y cuya seguridad se puede proveer al nivel de aplicación

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

para la que fueron diseñados). IPSec está formado por dos subprotocolos
principales, Authentication Header (AH) que proporciona integridad y
autenticación a los datagramas IP y Encapsulating Security Payload (ESP)
que proporciona integridad, autenticación y confidencialidad. Además,
IPSEC provee un mecanismo para el intercambio de las claves utilizadas por
estos subprotocolos conocido como Internet Key Exchange (IKE).

» Procesamiento simplificado en los routers: El encabezado de IPv6 es más

simple, se eliminan algunos campos como el checksum, lo cual facilita el
procesamiento de los routers. Además, se reducen algunas de las funciones de los
routers, en IPv6 no realizan fragmentación (esta debe llevarse a cabo en el
origen de la comunicación), lo cual reduce su sobrecarga. Otros campos han
cambiado de nombre como el Time To Live (TTL) que pasa a llamarse Hop
Limit (límite de saltos).

» Soporte mejorado para las extensiones y opciones: Los cambios en la

manera en que se codifican las opciones de la cabecera IP permiten límites menos
rigurosos en la longitud de opciones y mayor flexibilidad para introducir nuevas
opciones en el futuro.

» Uso de jumbogramas: IPv4 limita los paquetes a 64 KiB de carga útil. IPv6 tiene
soporte opcional para que los paquetes puedan superar este límite, los llamados
jumbogramas, que pueden ser de hasta 4 GiB.

» Quality of Sevice (QoS): Mejora de la implementación dentro del protocolo del

etiquetado de paquetes para alcanzar una mejor calidad de servicio.

» IP Móvil: Mejora del soporte para IP móvil.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Lo + recomendado

Lecciones magistrales

Aspectos de seguridad en el protocolo TCP/IP

El profesor José María Sierra analiza cómo el funcionamiento del protocolo de

Internet TCP/IP condiciona los aspectos de seguridad de las redes de ordenadores.

La clase magistral está disponible en el aula virtual.

No dejes de leer…

Análisis de seguridad de la familia de protocolos TCP/IP y sus servicios

asociados

Este documento ofrece un análisis de la seguridad de la familia de protocolos TCP/IP,

incluyendo sus principales vulnerabilidades y mecanismos de protección.

El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

http://es.tldp.org/Manuales-LuCAS/doc-seguridad-tcpip/Seguridad_en_TCP-
IP_Ed1.pdf

TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Wi-Fi, Cómo construir una red inalámbrica

Carballar, J. A. (2005). Wi-Fi, Cómo construir una red inalámbrica. Madrid: Editorial
Rama.

En el quinto capítulo de este libro se describen aspectos

representativos que tienen que ver con la protección de redes
inalámbricas.

Introduction to 802.11 (Extended Web Edition)

Cache, J. y Wright, J. (2015). Introduction to 802.11 (Extended Web Edition). Hacking

exposed wireless: wireless security secrets & solutions. EE.UU.: McGraw Hill.

En el primer capítulo de este libro de referencia, disponible online de forma gratuita, se

describen los conceptos básicos de las redes inalámbricas.

El capítulo está disponible en la siguiente dirección web:

http://www.hackingexposedwireless.com/chapters/ch01.pdf

TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

No dejes de ver…

Learn how TCP sessions are created

Este vídeo presenta una explicación

sobre el funcionamiento del
establecimiento de conexiones
TCP/IP en tres pasos.

El vídeo completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.youtube.com/watch?v=3Q0ZvjBljJo

TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

+ Información

A fondo

Envenenamiento ARP

El envenenamiento ARP es un ataque basado en el funcionamiento del protocolo ARP.

Este protocolo es usado en numerosas redes de área local. Mediante este ataque es
posible capturar los mensajes enviados a cualquiera de los equipos que comparten el
medio físico.

El artículo está disponible en el aula virtual o en la siguiente dirección web:

http://blackspiral.org/docs/arp_spoofing.html

How to Crack a Wi-Fi Network’s WEP Password with BackTrack

La seguridad del protocolo inalámbrico WEP está claramente en entredicho desde hace
años. De hecho, y aunque existen algunas redes inalámbricas que aún lo utilizan, está
completamente desaconsejado su empleo (salvo en casos excepcionales donde no exista
la posibilidad de utilizar un mecanismo más seguro). Para aquellos alumnos
interesados en comprender la capacidad técnica necesaria para comprometer WEP
puede ser interesante revisar este artículo.

El artículo está disponible en el aula virtual o en la siguiente dirección web:

http://lifehacker.com/5305094/

Ataques contra WPS (Wi-Fi Protected Setup)

En este artículo y en el vídeo podemos ver ataques contra el protocolo WPS que
permiten obtener las credenciales de acceso a una red inalámbrica WPA/WPA2 del
personal que tenga este servicio activo. Este ataque es independiente de la fortaleza de
clave compartida utilizada como contraseña de acceso a la red.

TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

El artículo y vídeo completo están disponibles en la siguiente dirección web:

https://null-byte.wonderhowto.com/how-to/hack-wpa-wpa2-wi-fi-passwords-with-
pixie-dust-attack-using-airgeddon-0183556/

Ataque KRACK (Key Reinstallation Attack) contra WPA2

En este artículo y en el vídeo podemos ver ataques contra el protocolo WPA2.

El artículo y vídeo completo están disponibles en la siguiente dirección web:

https://www.krackattacks.com/

Ataques a WPA3

En este artículo se describen los ataques descubiertos recientemente contra WPA3.

El artículo está disponible en la siguiente dirección web:

https://unaaldia.hispasec.com/2019/04/wpa3-vulnerable-a-ataques-por-diccionario-
filtrado-de-contrasena-y-denegacion-de-servicio.html

IPv6: Challenge Accepted

En esta charla se hace una introducción a IPv6 y se describe como montar un entorno
de pruebas para estudiar su seguridad.

El vídeo está disponible en la siguiente dirección web:

https://www.youtube.com/watch?v=8siY6bfJQVk

TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Dual – Stack o cómo dejarse la puertda del garaje abierta

En esta charla de la conferencia Cybercamp se describen algunos de los problemas de

seguridad que aparecen cuando se activa el direccionamiento IPv6 sin protegerlo
convenientemente.

El vídeo está disponible en la siguiente dirección web:

https://cybercamp.es/cybercamp2016/videos/dual-stack-o-como-dejarse-la-puerta-
del-garaje-abierta.html

Demystifying the IPsec puzzle

Frankel, Sheila (2001). Demystifying the IPsec puzzle. Norwood, Massachusetts:

Artech House computer security series.

Aunque se trata de un libro principalmente centrado en los aspectos de

seguridad de los protocolos IPSEC, también repasa muchos de los
fundamentos tecnológicos que hacen vulnerable a la actual versión 4
del protocolo IP.

Webgrafía

Slashdot

Se trata de un sitio web reconocido a través de cuya lectura se puede estar al día tanto
de las vulnerabilidades que aparecen en las redes de ordenadores, como de los
mecanismos de protección que pueden ser empleados para protegerlas

TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

http://slashdot.org/

Atenea CTF

Plataforma de seguridad del CCN-CERT que permite enfrentarse a diferentes desafíos

CTF (Capture The Flag) de seguridad.

https://atenea.ccn-cert.cni.es

TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Actividades

Trabajo: Redes inalámbricas

Preparación del entorno

Para facilitar la realización de esta actividad podéis hacer uso de la máquina virtual de
Kali Linux a la que podéis acceder a través del escritorio virtual y de las herramientas
de auditoría de la seguridad de redes inalámbricas en ella contenidas que se han visto
en clase.

Desarrollo y pautas de la actividad

La empresa para la que trabajas ha decidido contratar a una tercera empresa, Coherer,
para que despliegue una red inalámbrica segura dentro de sus instalaciones. Sin
embargo, antes del despliegue en producción, el responsable de seguridad de tu
empresa ha pedido que desplieguen un piloto para poder evaluarlo. Quiere asegurarse
antes de que la red es segura. Sabe que tú eres un experto en seguridad en redes
inalámbricas, has estudiado el Máster en Seguridad Informática de la UNIR, y ha
decidido encargarte que analices la seguridad de la misma.

Te reúnes con el responsable de seguridad que, tras facilitarte una captura de tráfico de
la red que debes analizar, te explica cual quiere que sea el alcance del análisis de
seguridad que debes llevar a cabo:

» Identificar cual es nombre de la red (SSID o ESSID).

» Identificar cual es el BSSID.
» Canal utilizado por la red.
» Identificar los clientes conectados de la red por su dirección MAC.
» Identificar el tipo de seguridad utilizado por la red (protocolo y modo).
» Obtener las credenciales de acceso a la red.
» Descifrar el tráfico e identificar la IP y recurso al que se accede en el paquete
74.

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Ya has llevado a cabo el análisis de seguridad y crees que has terminado el trabajo…,
pero no es así. El responsable de seguridad de tu empresa es de la vieja escuela y quiere
toda la información que has obtenido documentada. Además, es muy quisquilloso y
solo aceptará la documentación si se la entregas en un formato concreto. Debes rellenar
la «Tabla 1» con los resultados de tu análisis de seguridad, generar un PDF y hacer
entrega de este a través de la plataforma facilitada dentro del plazo establecido…
¡Suerte!

Notas:

» La evaluación de la práctica se llevará a cabo únicamente evaluando la tabla de

reglas que entreguéis.

Acción Regla

1. Nombre de la red

2. BSSID

3. Canal utilizado

4. Clientes conectados

5. Tipo de Seguridad

6. Credenciales de Acceso

7. IP y recurso accedido en paquete

74

Tabla 1. Seguridad Redes Inalámbricas.

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Test

1. Las direcciones que aparecen en la cabecera IP de un paquete representan:

A. El número de las tarjetas de red.
B. El número de las interfaces de red.
C. El número que permite encaminar el paquete a través de Internet.
D. Ninguna de las anteriores.

2. La dirección MAC (o de interfaz) permite:

A. Determinar el nombre de dominio de una máquina de Internet.
B. Determinar la dirección web de una máquina de Internet.
C. Completar una comunicación extremo a extremo.
D. Ninguna de las anteriores.

3. Si una de las capas TCP/IP ofrece un servicio no orientado a conexión:

A. Tiene que ofrecer control de flujo y errores extremo a extremo.
B. Solo tiene que ofrecer control de errores extremo a extremo.
C. Debe delegar los servicios de control de flujo y errores a alguna capa de nivel
superior.
D. Debe delegar los servicios de control de flujo y errores a alguna capa de nivel
inferior.

4. Un datagrama UDP se encapsula:

A. En la parte de datos de un segmento TCP.
B. En la parte de datos de un paquete IP.
C. En la cabecera de una trama Ethernet.
D. En la parte de datos de una trama SMTP.

5. El campo checksum de un paquete IPv4:

A. No existe.
B. Se calcula sobre todo el paquete.
C. Se calcula solo sobre la cabecera.
D. Se calcula solo sobre la parte de datos.

TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

6. En una arquitectura de red determinada:

A. Si el nivel de enlace proporciona un servicio orientado a la conexión, el nivel de
red necesariamente proporcionará un servicio orientado a la conexión.
B. Si el nivel de enlace proporciona un servicio no orientado a la conexión, el nivel
de red necesariamente proporcionará un servicio no orientado a la conexión.
C. Las respuestas A y B son verdaderas.
D. Las respuestas A y B son falsas.

7. El protocolo WEP para protección de comunicaciones inalámbricas:

A. Puede ser usado siempre que la clave utilizada supere los 8 caracteres.
B. Puede ser usado siempre que la clave utilizada supere los 16 caracteres.
C. Poseen vulnerabilidades todas sus variantes y no debe ser usado nunca.
D. Ninguna de las anteriores.

8. El protocolo IPSEC:
A. Puede ser usado con la versión de IPv4.
B. Solo puede ser usado junto con la versión IPv6.
C. Solo puede ser usado junto con la versión IPv4.
D. Ninguna de las anteriores.

9. El protocolo WPA:
A. Utiliza el algoritmo de cifrado RC4 para proteger la confidencialidad de las
comunicaciones.
B. Utiliza el algoritmo de cifrado AES para proteger la confidencialidad de las
comunicaciones.
C. Utiliza el algoritmo de cifrado Michael para proteger la confidencialidad de las
comunicaciones.
D. Ninguna de las anteriores.

10. El campo TTL (Time to Live) es sustituido en la nueva versión del protocolo IP
(IPv6):
A. Hop Limit.
B. Jumps to destination (JtD).
C. Time to Live v6 (TTLv6).
D. Ninguna de las anteriores.

TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR)