Introduccin

Las redes de ordenadores se encuentran expuestas a ataques informticos con tanta

frecuencia que es necesario imponer una gran cantidad de requisitos de seguridad para la
proteccin de sus recursos. Aunque las deficiencias de estos sistemas se pueden
comprobar mediante herramientas convencionales, no siempre son corregidas. En
general, estas debilidades pueden provocar un agujero en la seguridad de la red y facilitar
entradas ilegales en el sistema.
En este reporte se analizaran algunos servicios de nombres NIS, DNS y LDA los cuales
crean bases de datos de red en varios servidores de red, la red utiliza archivos locales
para proporcionar el servicio de nombres.
El DNS (Domain Name System, Sistema de Nombres de Dominio) es un conjunto de
protocolos y servicios que permite a los usuarios utilizar nombres en vez de tener que
recordar direcciones IP numricas. sta es ciertamente la funcin ms conocida de los
protocolos DNS: la asignacin de nombres a direcciones IP. Por ejemplo, si la direccin IP
de www.ujaen.es es 150.214.170.105, la mayora de la gente llega a este equipo
especificando www.ujaen.es y no la direccin IP. Adems de ser ms fcil de recordar, el
nombre es ms fiable. La direccin numrica podra cambiar por muchas razones, sin que
tenga que cambiar el nombre.
Tambin se realizara un anlisis de los dispositivos que se utilizan en una red para
proveerle la seguridad necesaria, ya que para mantener una red segura es necesario
estar a la vanguardia de los avances tecnolgicos.
Anlisis
Nombres de dominio DNS
El Sistema de nombres de dominio (DNS) se defini originalmente en los RFC 1034 y
1035. Estos documentos especifican elementos comunes a todas las implementaciones
de software relacionadas con DNS, entre los que se incluyen:
a) Un espacio de nombres de dominio DNS, que especifica una jerarqua
estructurada de dominios utilizados para organizar nombres.

Pgina 1 de 14

b) Los registros de recursos, que asignan nombres de dominio DNS a un tipo

especfico de informacin de recurso para su uso cuando se registra o se resuelve
el nombre en el espacio de nombres.
c) Los servidores DNS, que almacenan y responden a las consultas de nombres para
los registros de recursos.
d) Los clientes DNS, tambin llamados solucionadores, que consultan a los
servidores para buscar y resolver nombres de un tipo de registro de recursos
especificado en la consulta.
El espacio de nombres de dominio DNS, como se muestra en la ilustracin siguiente, se
basa en el concepto de un rbol de dominios con nombre. Cada nivel del rbol puede
representar una rama o una hoja del mismo. Una rama es un nivel donde se utiliza ms
de un nombre para identificar un grupo de recursos con nombre. Una hoja representa un
nombre nico que se utiliza una vez en ese nivel para indicar un recurso especfico.

Pgina 2 de 14

DNS tiene un mtodo para anotar e interpretar la ruta de acceso completa de un nombre
de dominio DNS de forma similar a como se anotan o muestran las rutas de acceso
completas de archivos o directorios en el smbolo del sistema.
Por ejemplo, una ruta de acceso del rbol de directorios ayuda a indicar la ubicacin
exacta de un archivo almacenado en el equipo. Para los equipos con Windows, la barra
diagonal inversa (\) indica cada nuevo directorio que dirige a la ubicacin exacta de un
archivo. Para DNS, lo equivalente es un punto (.) que indica cada nuevo nivel de dominio
que se utiliza en un nombre.
Por ejemplo, para un archivo llamado Servicios, la ruta de acceso completa de este
archivo como se muestra en el smbolo del sistema de Windows ser:
C:\Windows\System32\Drivers\Etc\Servicios
Para interpretar la ruta de acceso completa del archivo, el nombre se lee de izquierda a
derecha desde el grupo de informacin ms alto o ms general (unidad C:, la unidad
donde est almacenado el archivo) a su informacin ms especfica, el nombre de archivo
"Servicios". Este ejemplo muestra cinco niveles jerrquicos independientes que conducen
a la ubicacin del archivo Servicios en la unidad C:
1. Carpeta raz de la unidad C (C:\).
2. Carpeta raz del sistema donde est instalado Windows (Windows).
3. Una carpeta del sistema donde estn almacenados los componentes del sistema
(System32).
4. Una subcarpeta donde estn almacenadas las unidades de dispositivos del
sistema (Drivers).
5. Una subcarpeta donde estn almacenados archivos diversos utilizados por el
sistema y los controladores de dispositivos de red (Etc.)
Para DNS, un ejemplo de un nombre de dominio con varios niveles es el siguiente, un
nombre de dominio completo (FQDN):
host-a.ejemplo.microsoft.com.

Pgina 3 de 14

A diferencia del ejemplo de nombre de archivo, un FQDN de DNS, cuando se lee de

izquierda a derecha, va de la informacin ms especfica (el nombre DNS de un equipo
llamado "host-a") al grupo de informacin ms alto o ms general (el punto final (.) que
indica la raz del rbol de nombres DNS). Este ejemplo muestra los cuatro niveles de
dominio DNS independientes que parten de la ubicacin de host especfica del "host-a":
1. Dominio "ejemplo", que corresponde a un subdominio donde el nombre de equipo
"host-a" est registrado para su uso.
2. Dominio "microsoft", que corresponde al dominio principal que es la raz del
subdominio "ejemplo".
3. Dominio "com", que corresponde al dominio de nivel superior designado para ser
usado por empresas u organizaciones comerciales y es la raz del dominio
"microsoft".
4. Punto final (.), que es un carcter de separacin estndar que se utiliza para
calificar el nombre de dominio DNS completo en el nivel raz del rbol del espacio
de nombres DNS.
Para la instalacin de un sistema de nombres DNS en Microsoft es necesario realizar lo
siguiente.
Instalar Microsoft DNS
Utilice los pasos siguientes para instalar DNS en el servidor de Windows NT 4.0:
1. Haga clic en el botn Inicio, seleccione Configuracin y, a continuacin, haga clic
en Panel de Control. Haga doble clic en el icono de red y, a continuacin, haga clic
en la ficha Servicios.
2. Haga clic en Agregar, seleccione el servidor DNS de Microsoft en el cuadro de
dilogo Seleccionar servicio de red y, a continuacin, haga clic en Aceptar.
3. Escriba la ubicacin de los archivos de origen de Windows NT, haga clic en
Aceptar y, a continuacin, haga clic en Cerrar.
Nota: si tiene algn service Pack instalado, deber volver a aplicar el service pack
antes de reiniciar el equipo.
Pgina 4 de 14

4. Reinicie el equipo.
Configuracin de DNS de Microsoft
Recopilar informacin:
Antes de iniciar la configuracin del servidor DNS, hay cierta informacin bsica que
necesitar. Parte de esta informacin deben ser aprobados por Internic para su uso en
Internet, pero si est configurando este servidor slo para uso interno, puede decidir qu
nombres y direcciones IP a utilizar. Necesitar:
1. El nombre de dominio (aprobado por Internic)
2. La direccin IP de cada servidor para el que desea proporcionar resolucin de
nombres
3. Los nombres de host de cada uno de los servidores en el paso anterior
Nota: los servidores en el paso anterior pueden ser los servidores de correo, los
servidores de acceso pblico, servidores FTP, servidores WWW y as sucesivamente.
Por ejemplo:
Domain Name: <Domain.com>
Servers: 192.168.50.11 <Mail1.domain.com>
192.168.50.12 <Ftp1.domain.com>
192.168.50.12 <WWW.domain.com> (notice the same IP address)
192.168.50.15 <DNS1.domain.com>

Creando el servidor DNS:

Con la informacin anterior, configure el servidor DNS de Microsoft haciendo lo siguiente:
1. Haga clic en el botn Inicio, seleccione programas, seleccione Herramientas
administrativas y, a continuacin, haga clic en Administrador de DNS.
2. En el men DNS, haga clic en nuevo servidor.

Pgina 5 de 14

3. Escriba la direccin IP del servidor DNS en el cuadro de dilogo Agregar servidor

DNS (192.168.58.15 en la informacin del ejemplo) y, a continuacin, haga clic en
Aceptar.
Nota: no es necesario reiniciar el servidor DNS para que las zonas surtan efecto a los
cambios. Todo lo que se requiere es para que los archivos de datos de servidor se
actualicen con el siguiente paso:

En el Administrador de DNS, haga clic derecho en el servidor DNS y haga clic en

archivos de datos del servidor de actualizacin.

DNS puede configurarse para que se reduzcan los problemas de seguridad. La siguiente
tabla muestra las cinco reas principales que hay que atender al establecer la seguridad
DNS.
Tres niveles de seguridad DNS
Los siguientes tres niveles de seguridad DNS ayudarn a comprender su configuracin
DNS actual y permitirn aumentar la seguridad DNS de su organizacin.
Seguridad de bajo nivel
La seguridad de bajo nivel es una implementacin DNS estndar sin precauciones de
seguridad configuradas. Implemente este nivel de seguridad DNS nicamente en entornos
de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no
existan amenazas de conectividad externa.

La infraestructura DNS de su organizacin est completamente expuesta a

Internet.

Todos los servidores DNS de su red realizan resolucin DNS estndar.

Todos los servidores DNS estn configurados con sugerencias de raz dirigidas a
los servidores raz para Internet.

Todos los servidores DNS permiten transferencias de zona a cualquier servidor.

Todos los servidores DNS estn configurados para atender en todas sus
direcciones IP.

Pgina 6 de 14

La prevencin de contaminacin de la cach se encuentra deshabilitada en todos

los servidores DNS.

La actualizacin dinmica se permite en todas las zonas DNS.

El puerto 53 del Protocolo de datagramas de usuario (UDP, User Datagram

Protocol)

el

Protocolo

de

control

de

transmisin/Protocolo

Internet

(TCP/IP, Transmission Control Protocol/Internet Protocol) est abierto en el

servidor de seguridad de su red tanto para direcciones de origen como de destino.
Seguridad de nivel medio
La seguridad de nivel medio utiliza las caractersticas de seguridad DNS disponibles sin
ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active
Directory.

La infraestructura DNS de su organizacin tiene una exposicin a Internet limitada.

Todos los servidores DNS estn configurados para utilizar reenviadores orientados
a una lista especfica de servidores DNS internos cuando no puedan resolver
nombres de manera local.

Todos los servidores DNS limitan las transferencias de zona a los servidores
indicados en los registros de recursos de servidor de nombres (NS, Name Server)
de sus zonas.

Los servidores DNS estn configurados para atender en las direcciones IP

especificadas.

La prevencin de contaminacin de la cach se encuentra habilitada en todos los

servidores DNS.

La actualizacin dinmica no segura no se permite en ninguna zona DNS.

Los servidores DNS internos se comunican con servidores DNS externos a travs
del servidor de seguridad mediante una lista limitada de las direcciones de origen y
destino permitidas.

Pgina 7 de 14

Los servidores DNS externos que hay delante de su servidor de seguridad estn
configurados con sugerencias de raz dirigidas a los servidores raz para Internet.

Toda la resolucin de nombres de Internet se realiza utilizando servidores proxy y

puertas de enlace.

Seguridad de alto nivel

La seguridad de alto nivel utiliza la misma configuracin que la de nivel medio y adems
utiliza las caractersticas de seguridad disponibles cuando el servicio del Servidor DNS se
est ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active
Directory. Adems, la seguridad de alto nivel elimina por completo la comunicacin DNS
con Internet. Esta no es una configuracin tpica, aunque es la recomendada siempre que
no sea necesaria la conectividad con Internet.

La infraestructura DNS de su organizacin no tiene comunicacin con Internet a

travs de servidores DNS internos.

Su red utiliza una raz y un espacio de nombres DNS internos, en la que toda la
autoridad para zonas DNS es interna.

Los servidores DNS configurados con reenviadores slo utilizan direcciones IP del
servidor DNS interno.

Todos los servidores DNS limitan las transferencias de zona a direcciones IP

especificadas.

Los servidores DNS estn configurados para atender en las direcciones IP

especificadas.

La prevencin de contaminacin de la cach se encuentra habilitada en todos los

servidores DNS.

Los servidores DNS internos estn configurados con sugerencias de raz dirigidas
a los servidores DNS internos que alojan la zona raz para su espacio de nombres
interno.

Todos los servidores DNS se ejecutan en controladores de dominio. En el servicio

Servidor DNS se configura una lista de control de acceso discrecional
Pgina 8 de 14

(DACL, Discretionary Access Control List) para que slo permita realizar tareas
administrativas en el servidor DNS a usuarios especficos.

Todas las zonas DNS se almacenan en Active Directory. La DACL est configurada
para que slo permita crear, eliminar o modificar zonas DNS a usuarios
especficos.

Las DACL estn configuradas en los registros de recursos DNS para que slo
permitan crear, eliminar o modificar datos DNS a usuarios especficos.

La actualizacin dinmica segura se configura para las zonas DNS, excepto en las
zonas raz y de nivel superior, que no permiten las actualizaciones dinmicas.

Es interesante como se configura un nombre de dominio DMS, ya que as podemos

realizar bsquedas sin complicaciones y ms que nada confiar en la seguridad que brinda
el dominio de nombres DNS. (Microsoft, 2015)
Implementacin de una RED segura
Actualmente al utilizar una computadora es necesaria la implementacin de una red
confiable y segura por lo que la seguridad de la red se encarga de garantizar la
confidencialidad, integridad y disponibilidad de la informacin. Para cumplir estos
objetivos es necesario pensar la seguridad como un proceso, desarrollado a travs de las
siguientes etapas: Prevencin, Deteccin, Respuesta.
Prevencin: Se refiere a prevenir la ocurrencia de infracciones a la seguridad de las
computadoras

informacin,

estas

violaciones

se

conocen

como

incidentes.

Generalmente, un incidente pone de manifiesto el fracaso de un procedimiento de

seguridad.
Deteccin: Se refiere a la identificacin de los incidentes. En muchas situaciones es muy
complicada de realizar, porque involucra, no slo la identificacin de los activos afectados,
sino adems cmo ocurri el ataque, y quin fue el autor. Dependiendo de la naturaleza
del incidente, el proceso de deteccin puede ser llevado a cabo utilizando herramientas
especiales de auditora o un simple anlisis de los archivos de registro de las aplicaciones
(log files). Es recomendable que las actividades de deteccin sean parte de las polticas y
procedimientos de seguridad.

Pgina 9 de 14

Es importante realizar polticas de seguridad para la red que se utilice o pretenda utilizar
para mejorar e implementar las mejores tecnologas que se tienen actualmente en el
mercado como son:
Firewalls, Sistemas de Deteccin de Intrusiones, Routers, VLANs, Sistemas de
Prevencin de Intrusos de red, NetFlow etc.
Firewall
Un Firewall constituye la primera lnea de defensa de una red y es empleado para
restringir el acceso a una red desde otra red. La mayora de las compaas utilizan
Firewalls para restringir el acceso a sus redes desde Internet, aunque tambin pueden ser
usados para restringir trfico interno desde un segmento de red a otro.
El propsito de los Firewall es aislar una red de otra y estn disponibles a travs de
implementaciones de software, como funcionalidad adicional en otro tipo de dispositivo
(funciones de Firewall en un Router) o como hardware dedicado (appliance especfico).
Un Firewall permite aplicar la poltica de seguridad de red de la compaa, inspeccionando
el trfico entrante y saliente a la misma, permitiendo slo los servicios autorizados
mediante el anlisis de las direcciones IP de origen y destino, los puertos de origen y
destino y otros parmetros de inspeccin como ser: nmeros de secuencia, campos de
control, comandos especficos, etc., segn las capacidades del sistema operativo del
Firewall, filtrando los paquetes que no cumplen con la poltica vigente.
Un Firewall puede ser un sistema (software o hardware), es decir, un dispositivo fsico
(hard) que se conecta entre la red y el cable de la conexin a Internet, como en el caso
del CISCO PIX 535, o bien un programa (soft) que se instala en el sistema que tiene el
mdem (u otro dispositivo) que conecta con Internet, como el Firewall-1 de CheckPoint.
Incluso podemos encontrar PCs muy potentes y con softwares especficos que lo nico
que hacen es monitorear en tiempo real las comunicaciones entre redes.
Es posible configurar un Firewall de forma que permita slo trfico de correo, de modo de
proteger de cualquier ataque sobre la red destino. Generalmente, estn configurados para
proteger contra "logins" sin autorizacin expresa desde cualquier parte del mundo. Esto,
ayuda principalmente, a prevenir ataques en mquinas y software de nuestra red.

Pgina 10 de 14

Tambin, permiten bloquear el trfico "desde Internet hacia la empresa", admitiendo que
los usuarios del interior, se comuniquen libremente con los usuarios del exterior. Pueden
protegernos de cualquier tipo de ataque a la red, siempre y cuando se configuren para
ello. Esto proporciona un sistema simple para auditar la red.
Siempre que disponga de una red privada que vaya a conectarse a una red pblica, se
necesita la proteccin que este recurso ofrece. Incluso en el caso de los usuarios
particulares que se conectan a Internet mediante un mdem resulta recomendable, ya que
permite estar protegido contra los ataques que se puedan sufrir, as como moverse por la
red de forma annima. De esta manera, los datos estarn a salvo y la privacidad quedar
asegurada.
IDS
Un Intrusin Detection System (Sistema de Deteccin de Intrusos) cumple una funcin
diferente a un Firewall, debido a que son diseados para detectar anormalidades de
seguridad, como ser el uso no autorizado o abuso de un recurso, o bien un intento de
ataque sobre los mismos. Estos recursos pueden ser computadoras (servidores), redes o
infraestructura de comunicaciones.
Un IDS est diseado para ayudar a mitigar el dao que puede causar a los recursos un
incidente de seguridad. Su funcin consiste en detectar trfico sospechoso y reaccionar
enviando alarmas o reconfigurando dispositivos con el objeto de finalizar conexiones.
Las herramientas generales de IDS pueden implementarse, al igual que los Firewalls,
sobre dispositivos dedicados (appliance) o mediante software. Aunque existen diferentes
tipos de productos, la mayora tienen en comn tres componentes:
a) Sensores
b) Analizadores
c) Interface de administracin
Los sensores se encargan de recolectar el trfico y los datos propios de la actividad de los
usuarios, enviando esta informacin al analizador. ste controla el trfico recolectado en
busca de actividades sospechosas. Si detecta una actividad programada como maliciosa,
enva inmediatamente una alarma a la pantalla de la interface de administracin, a fin de
alertar en forma oportuna al administrador de seguridad, sobre la ejecucin de un posible
ataque.
Pgina 11 de 14

Router
El Router es un dispositivo de capa 3 (Red). Toma sus decisiones de encaminamiento
analizando las direcciones de red de los paquetes (PDU de capa 3). Los routers pueden
conectar distintas tecnologas de Capa 2. La funcin de un Router es examinar los
paquetes que recibe en una interface, leer la direccin de destino de capa 3, elegir cul es
la mejor ruta y conmutar el paquete hacia el puerto de salida adecuado. Los routers no
reenvan los broadcast, por esto, se dice que "dividen" los dominios de broadcast.
Generalmente, los routers tienen una o ms interfaces de LAN y una o ms interfaces de
WAN. Los routers poseen todas las capacidades indicadas antes. Los routers pueden
regenerar seales, concentrar mltiples conexiones, convertir formatos de transmisin de
datos, y manejar transferencias de datos. Tambin pueden conectarse a una WAN, lo que
les permite conectar LAN que se encuentran separadas por grandes distancias. Ninguno
de los dems dispositivos puede proporcionar este tipo de conexin.
VLANs
Puede definirse como una serie de dispositivos conectados en red que a pesar de estar
conectados en diferentes equipos de interconexin (hubs o switches), zonas geogrficas
distantes, diferentes pisos de un edificio e, incluso, distintos edificios, pertenecen a una
misma Red de rea Local.
Con los switchs, el rendimiento de la red mejora en los siguientes aspectos:
a) Asla los dominios de colisin por cada uno de los puertos.
b) Dedica el ancho de banda a cada uno de los puertos y, por lo tanto, a cada
computadora.
c) Asla los dominios de broadcast, en lugar de uno solo, se puede configurar el
switch para que existan ms dominios.
d) Proporciona seguridad, ya que si se quiere conectar a otro puerto del switch que
no sea el suyo, no va a poder realizarlo, debido a que se configuraron cierta
cantidad de puertos para cada VLAN.
e) Controla ms la administracin de las direcciones IP. Por cada VLAN se
recomienda asignar un bloque de IPs, independiente uno de otro, as ya no se
podr configurar por parte del usuario cualquier direccin IP en su mquina y se
f)

evitar la repeticin de direcciones IP en la LAN.

No importa en donde nos encontremos conectados dentro del edificio de oficinas,
si estamos configurados en una VLAN, nuestros compaeros de rea, direccin,
Pgina 12 de 14

sistemas, administrativos, etc., estarn conectados dentro de la misma VLAN, y

quienes se encuentren en otro edificio, podrn vernos como una Red de rea
Local independiente a las dems.
Sistemas de Prevencin de Intrusos de red (Externo):
Los sistemas de prevencin de intrusos (IPS) son dispositivos ubicados en puntos claves
de una red interna, los cuales analizan continuamente el trfico de la misma en bsqueda
de patrones conocidos, guardados en una base de datos, para poder avisar y ejecutar
acciones a tiempo para combatir actividades potencialmente maliciosas. En captulos
posteriores se describirn con ms detalle diferentes herramientas de este tipo.
NetFlow (Analizadores de trfico de alto nivel):
Se utiliza para identificar determinados parmetros de una conexin y ubicar patrones
conocidos, guardados en una base de datos, de actividades potencialmente anmalas.
Los parmetros de conexin que generalmente se apartan son:
a)
b)
c)
d)
e)
f)

Direccin IP Origen.
Direccin IP Destino.
Puerto Origen.
Puerto Destino.
Protocolo.
Cantidad de Datos Transmitidos.

Como se ha planteado, para poder determinar que una red es segura, se necesitan
complementar, cada uno de los recursos o dispositivos antes mencionados, pero es
importante el anlisis de los problemas que se tuvieron con anterioridad para poder
realizar una poltica de seguridad, como inicio de la conformacin de la red con un grado
de seguridad alto. (Gil, 2014, pg. 40)
Actualmente las redes estn formadas por un gran conjunto de dispositivos. Los
diferentes niveles de seguridad que se quieran implementar en una red (desde el acceso
a sta hasta la verificacin de la integridad de los datos que circulan) dependen, en gran
medida, de la seguridad de esos dispositivos.
Las debilidades en la seguridad de las redes van a estar originadas en gran medida por
las vulnerabilidades de los dispositivos presentes en la red. Una vulnerabilidad representa
el punto o aspecto del sistema que es susceptible de ser atacado. Equivale al conjunto de
debilidades del sistema.
Pgina 13 de 14

Un analista de seguridad, debe mantenerse constantemente al tanto de las

vulnerabilidades ms recientes en los dispositivos que forman su red. De esto depende
que se comprometa la seguridad de los dispositivos y, por ende, de la red.
Conclusin
Como bien sabemos al construir una red con las mejores tecnologas del mercado actual,
si empre se tendr una debilidad la cual se pueden evitar y controlar al analizar
detalladamente las fallas obtenidas en nuestra red, pero al contar con dispositivos fsicos
como son: Firewalls, Sistemas de Deteccin de Intrusiones, Routers, VLANs, Sistemas de
Prevencin de Intrusos de red, NetFlow, estos necesitan de una configuracin experta y
eficaz, ya que aqu es donde nace nuestra seguridad. Se puede hablar de software al
utilizar todos estos dispositivos, ya que son necesarios para la configuracin de todos
estos, como es el antivirus.
Tambin es imprescindible tener en cuenta la utilizacin de contraseas en cada uno de
los dispositivos y cambiar constantemente estas, para as mejorar la seguridad lgica del
sistema.
Algo muy interesante es la utilizacin de un servicio de nombres o directorios, ya que aqu
se puede mejorar por un simple nmero a un nombre complejo facilitando las bsquedas
en el sistema. Que fabulosa es la tecnologa en la actualidad.

Bibliografa
Gil, M. A. (2014). Procesos y herramientas para la seguridad de redes. Espaa: Editorial
UNED.
Microsoft. (4 de enero de 2015). Microsoft Developer Network. Recuperado el 2 de
Octubre de 2015, de Microsoft Developer Network: https://msdn.microsoft.com/eses/library/cc783606(v=ws.10).aspx

Pgina 14 de 14