Aspectos de seguridad del protocolo TCP/IP

[1.1] Cmo estudiar este tema?

[1.2] Introduccin

[1.3] Aspectos avanzados de TCP/IP

[1.4] Principales protocolos de TCP/IP

[1.5] IP versin 6

[1.6] Seguridad en redes inalmbricas

TEMA
 Aspectos de seguridad del protocolo TCP/IP
Esquema

TEMA 1 Esquema
Fundamentos arquitectura TCP/IP IP versin 6 Seguridad redes inalmbricas

ARP ESP WEP

2
ICMP AH WPA

IP WPA2

TCP

UDP

Seguridad en redes
 Seguridad en redes

Ideas clave

1.1. Cmo estudiar este tema?

Para estudiar este tema, adems de las Ideas clave, lee el captulo 2 A Security
Review of Protocols: Lower Layers del libro Firewalls and Internet Security:
Repelling the Wily Hacker, de William R. Cheswick, Steven M. Bellovin, y Aviel D.
Rubin. El captulo est disponible en: http://www.wilyhacker.com/chap02.pdf

A lo largo de esta asignatura trataremos los aspectos de seguridad de las redes de

ordenadores. La gran mayora de esas redes estn basadas en la arquitectura de red
denominada TCP/IP. Esta arquitectura determina cmo se realiza la comunicacin
entre las mquinas interconectadas y, por lo tanto, su conocimiento es fundamental
para la oportuna comprensin de los mecanismos de proteccin pertinentes para
alcanzar redes de ordenadores seguras.

El protocolo TCP/IP posee unas caractersticas fundamentales que condicionan

en gran medida las vulnerabilidades asociadas a su funcionamiento. No en vano se
trata de un protocolo que, aunque ha probado durante dcadas su buen
funcionamiento, fue diseado con objetivos para escenarios muy distintos de
los que actualmente afronta la comunicacin entre ordenadores. Como se ver a lo
largo de la introduccin de este tema, la expansin de Internet ha trado consigo nuevos
escenarios de aplicacin y un incremento importantsimo en el nmero de equipos
conectados a esta red. Todo ello ha hecho aflorar tanto el inters por los ataques a este
tipo de redes, pues cada vez manejan informacin ms atractiva, as como la aparicin
de herramientas y mecanismos para su proteccin.

Los fundamentos de la arquitectura TCP/IP condicionan tanto las vulnerabilidades,

que pueden ser explotadas en diversos ataques, como el tipo de mecanismos y
herramientas que pueden ser utilizados para su proteccin. Es por ello condicin
indispensable para el avance en los conceptos relacionados con la seguridad en redes, la
compresin de los fundamentos de TCP/IP, las protecciones establecidas por la nueva
versin del protocolo IPv6, y por ltimo, pero no menos importante, el surgimiento de
los protocolos inalmbricos de comunicacin.

TEMA 1 Ideas clave 3

 Seguridad en redes

Este tema en concreto tiene como objetivo introducirte en los fundamentos del
funcionamiento de la arquitectura TCP/IP, para despus tratar cmo estos
fundamentos condicionan tanto las vulnerabilidades de las redes, como la forma de
protegerlas. Para ello, durante este tema se tratarn tres puntos principales:

Funcionamiento de los protocolos de la arquitectura TCP/IP.

La seguridad de la nueva versin 6 del protocolo IP.
Evolucin de las vulnerabilidades y protecciones de los protocolos de red
inalmbricos.

1.2. Introduccin

A principios de la dcada de los 60, varios investigadores intentaban hallar la manera

ms eficiente de compartir recursos informticos. En 1961, Leonard Kleinrock del
Massachusetts Institute of Technology (MIT) public una primera teora sobre la
utilizacin de la conmutacin de paquetes para transferir datos.

El objetivo era la divisin de los datos en paquetes que permitieran una mejor
comunicacin entre los computadores. Un paquete es un grupo de informacin que
consta de dos partes: los datos propiamente dichos y la informacin de control, en la
que est especificada la ruta a seguir a lo largo de la red hasta el destino del paquete.

En 1969, en el marco de la guerra fra, la Agencia de Proyectos de Investigacin

Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) consider la
posibilidad de que su red de comunicaciones sufriera ataques y decidi financiar
proyectos de investigacin en distintas universidades con la finalidad de desarrollar
una red de ordenadores distribuida. De este modo, no importaba si algn
ordenador se destrua, la red seguira funcionando. As naci, de manera experimental,
ARPAnet. Sin embargo, esta red no era tan buena como se pensaba, ya que estaba
sujeta a peridicas cadas del sistema.

Ya en la dcada de los 70, se empez a investigar la interconexin de distintas

redes, as como la creacin de un conjunto de protocolos que facilitara su uso.
Finalmente, en 1974 se establecieron las bases del desarrollo de la familia de protocolos
que se utilizan en las redes actuales y que conocemos como TCP/IP.

TEMA 1 Ideas clave 4

 Seguridad en redes

1.3. Aspectos avanzados de TCP/IP

TCP/IP tiene una estructura basada en capas fundamentada en el estndar de los

protocolos de comunicaciones Open Systems Interconnection (OSI) que dise la
Organizacin Internacional de Normalizacin (ISO International Standard
Organization).

El modelo TCP/IP describe una serie de guas generales de diseo e implementacin de

protocolos de red especficos para permitir que un conjunto de equipos puedan
comunicarse a travs de una red. TCP/IP provee conectividad extremo a extremo
especificando la manera en que los datos debern ser formateados, direccionados,
transmitidos, encaminados y recibidos por el destinatario. El protocolo TCP/IP permite la
interconexin de computadores de cualquier tamao, fabricante y/o sistema operativo.

Los protocolos de red normalmente se desarrollan en capas, de manera que

cada capa es la responsable de una parte de la comunicacin. Una familia de
protocolos, como TCP/IP, es el resultado de combinar distintos protocolos en las
diferentes capas. TCP/IP consta de cuatro capas: capa de fsica, capa de red, capa de
transporte y capa de aplicacin; frente a las siete capas que forman el modelo OSI, tal y
como podemos ver en la siguiente imagen:

Modelo OSI Modelo TCP/IP

Capa de Aplicacin
Servicios de red a aplicaciones

Capa de Presentacin Capa de Aplicacin

Re pre sentacin de los datos Servicios de red a aplicaciones

Capa de Sesin
Comunicacin entre dispositivos de la red

Capa de Transporte Capa de Transporte

Cone xin e xtremo a extremo y fiabilidad Conexin extremo a e xtremo y fiabilidad

Capa de Red Capa de Red

De terminacin de ruta Determinacin de ruta

Capa de Enlace
Direccionamie nto fsico (MAC y LLC) Capa fsica
Seal y transmisin binaria, y
Capa fsica direccionamiento fsico (MAC y LLC)
Se al y transmisin binaria

TEMA 1 Ideas clave 5

 Seguridad en redes

Capa fsica: Se corresponde con la capa de enlace y la capa fsica del modelo OSI.
Normalmente incluye el driver del dispositivo en el sistema operativo y la
correspondiente tarjeta de interfaz de red del ordenador. Ofrece los recursos
que permiten la transmisin de los datos a travs de la red. Ejemplos de
protocolos que compones esta capa son: Ethernet (IEEE 802.3), Wifi (IEEE 802.11),
Address Resolution Protocol (ARP) o Address Resolution Protocol (ARP).

Capa de red: Se corresponde con la capa de red del modelo OSI. Permite el
encaminamiento y maneja el movimiento de los paquetes en la red.
Ejemplos de protocolos que compones esta capa son: Internet Protocol (IP), Address
Resolution Protocol (ARP), Internet Control Message Protocol (ICMP), Reverse
Address Resolution Protocol (RARP) o Internet Group Management Protocol
(IGMP).

Capa de transporte: Se corresponde con la capa de transporte del modelo OSI.

Provee el flujo de datos entre dos equipos que ser utilizado por la capa
superior (capa de aplicacin). Los dos protocolos ms utilizados en esta capa son
Transmission Control Protocol (TCP) y User Datagram Protocol (UDP) cuyas
principales caractersticas podemos ver descritas en la siguiente imagen.

TCP UDP

Protocolo orientado a Protocolo ms simple,

conexin que proporciona no orientado a conexin,
un flujo de datos fiable que no garantiza la
entre dos equipos recepcin de los datos

Capa de aplicacin: Se corresponde con las capas de sesin, presentacin y

aplicacin del modelo OSI. Gestiona las caractersticas de una aplicacin en
particular. Algunas de las aplicaciones ms comunes en este nivel son Telnet, File
Transfer Protocol (FTP), Simple Mail Transfer Protocol (SMTP), HyperText
Transfer Protocol (HTTP), Network Time Protocol (NTP), etc.

TEMA 1 Ideas clave 6

 Seguridad en redes

1.4. Principales protocolos de TCP/IP

Una vez descritas las diferentes capas que componen la pila TCP/IP se describen a
continuacin los principales protocolos que forman esas capas.

ARP - Address Resolution Protocol

El protocolo Address Resolution Protocol (ARP) es un protocolo de la capa fsica

(capa de enlace en el modelo OSI) responsable de encontrar la direccin
hardware (MAC) que corresponde a una determinada direccin IP. Para ello, se enva
un paquete (ARP request) a la direccin de difusin de la red (broadcast) que contiene
la direccin IP por la que se pregunta, y se espera a que esa mquina responda (ARP
reply) con la direccin Ethernet que le corresponde. Tambin existe el protocolo que
realiza la funcin inversa, Reverse Address Resolution Protocol (RARP).

Existe un tipo de ataque que se aprovecha del protocolo ARP y que permite a un
atacante suplantar a otro usuario de la red de rea local (LAN), teniendo
acceso a los paquetes de datos para l destinados y pudiendo, incluso, modificarlos o
bloquearlos. Esta tcnica se conoce como ARP Spoofing o ARP Poisoning y
consiste en enviar falsos mensajes ARP reply a la red para que el atacante reciba los
paquetes destinados al usuario que el atacante quiere suplantar.

IP - Internet Protocol

Internet Protocol (IP), es el principal protocolo de la pila de protocolos TCP/IP y se

encarga de la transmisin y el encaminamiento de los paquetes de datos del origen al
destino. Se encuentra en la capa de red y es un protocolo no orientado a
conexin y no fiable, por lo que la recepcin de los paquetes no est asegurada. Para
avisar a los extremos de la comunicacin de posibles errores se dispone del protocolo
Internet Control Message Protocol (ICMP).

TEMA 1 Ideas clave 7

 Seguridad en redes

ICMP - Internet Control Message Protocol

Internet Control Message Protocol (ICMP) es un protocolo de control y

notificacin de errores a nivel de red (a veces se considera un nivel por encima
debido a que los paquetes ICMP viajan en paquetes IP). Algunos de sus principales usos
son: encontrar las mejores rutas a la hora de transmitir un paquete, notificar
problemas en una determinada ruta o finalizar una conexin debido a problemas de la
red. Adems, las herramienta ping y traceroute hacen uso de este protocolo. La
herramienta ping se usa para determinar si un sistema est disponible, mientras que
traceroute permite conocer los sistemas intermedios que atraviesa un paquete hasta su
destino.

TCP

Transmission Control Protocol (TCP) es un protocolo orientado a conexin que

requiere el establecimiento de una conexin entre los extremos que vayan a
comunicarse antes de empezar el intercambio mensajes. TCP tambin es un
protocolo fiable que se encarga tanto de asegurar la recepcin de los paquetes, como
de ensamblar en el orden correcto los paquetes que hayan sido fragmentados. Adems,
TCP permite preservar el orden de cada paquete gracias a la inclusin de un nmero de
secuencia y llevar un control de los paquetes recibidos por el destinatario gracias al uso
de un nmero de confirmacin de recepcin (ACK).

Establecimiento de conexin TCP

El procedimiento para establecer una conexin TCP se conoce con el nombre de

three-way handshake:

1. Uno de los extremos (A) enva un mensaje SYN inicial con un nmero de secuencia
X que es recibido por el otro extremo de la comunicacin (B).
2. B responde con un paquete SYN-ACK que incluye su propio nmero de secuencia Y y
la confirmacin de recepcin X+1.
3. A responde con un mensaje ACK que incluye la confirmacin de recepcin (Y+1).

TEMA 1 Ideas clave 8

 Seguridad en redes

Establecimiento de conexin en TCP.

Los nmeros de secuencia utilizados en los mensajes tienen, adems del papel de
sincronizacin, la funcin de evitar que posibles atacantes puedan interferir en
una conexin TCP, ya que, si no saben el nmero de secuencia correspondiente,
aunque enven un paquete malicioso, este ser descartado al llegar al extremo
correspondiente.

Existe, sin embargo, un tipo de ataque conocido como TCP Sequence Prediction
Attack que podra llevarse a cabo contra el establecimiento de conexiones de TCP si un
atacante es capaz de adivinar el nmero de secuencia utilizado por el extremo de la
conexin al que quiere engaar. De este modo, un atacante podra responder con una
confirmacin de nmero se secuencia vlida (ACK) sin necesidad de recibir el mensaje
correspondiente; pudiendo, por lo tanto, suplantar a cualquiera de los extremos de la
comunicacin.

Tipo de conexiones en TCP

La forma ms habitual de comunicacin se produce entre servidores y

clientes. Los servidores ofrecen un servicio a travs de Internet y escuchan a travs de
un puerto determinado las peticiones de los clientes. Los clientes usan los servicios
ofrecidos por los servidores. Para poder realizar una peticin de servicio, los clientes
deben conocer el puerto por el que escucha el servidor las peticiones de un servicio
especfico.

De esta manera, la conexin para un protocolo de transporte determinado (TCP o UDP)

entre un cliente y un servidor queda definida por un socket a travs de la 4-tupla
<IP local, puerto local, IP remota, puerto remoto>.

TEMA 1 Ideas clave 9

 Seguridad en redes

Una vez establecida la conexin, existen dos tipos de conexiones posibles, tal como se
describe en la siguiente imagen:

El flujo de datos puede ir en ambos sentidos pero nunca a la vez, es

Half-Duplex decir, si A enva datos a B y B quiere enviar datos a A, B deber esperar
a recibir la informacin enviada por A antes de realizar su envo.

El flujo de datos puede ir en ambos sentidos simultneamente sin

Full-Duplex
ningn tipo de restriccin.

Cierre de Conexiones en TCP

El cierre de una conexin TCP es asncrono por lo que cada extremo debe cerrar
su conexin de manera independiente enviando un mensaje FIN cuya recepcin deber
ser confirmada por el otro extremo con su correspondiente ACK. Una representacin de
esta comunicacin puede verse en la siguiente imagen (el segundo y tercer mensajes
pueden substituirse por un nico mensaje FIN/ACK).

Cierre de conexiones en TCP.

UDP User Datagram Protocol

User Datagram Protocol (UDP) es un protocolo ms sencillo que TCP que no

cuenta con mecanismos que le permitan corregir errores, retransmitir paquetes o la
deteccin de paquetes perdidos o duplicados. No est orientado a conexin y no
es fiable. Por otro lado, su cabecera es ms pequea, por lo que los paquetes tendrn
un menor tamao; y no necesita el establecimiento de una conexin, de manera que el
nmero de paquetes que se tienen que enviar es menor.

TEMA 1 Ideas clave 10

 Seguridad en redes

En conexiones que requieren un gran intercambio de paquetes, el comportamiento de

UDP no es satisfactorio, ya que la prdida de paquetes es probable y si el envo no ha
sido correcto habr que comenzar la retransmisin desde el inicio.

1.5. IP versin 6

El grandsimo crecimiento que ha experimentado Internet en las ltimas dcadas

provoc que a principios de 2010 quedaran menos del 10% de direcciones IP sin
asignar. Esto, unido al incremento de dispositivos mviles que requieren una conexin
a la red y la aparicin del Internet de las cosas (IoT), ha propiciado el agotamiento de
las direcciones IPv4. Este agotamiento es el principal motivo de la aparicin de
IPv6, cuyo objetivo es remplazar a IPv4.

Las direcciones IPv4 tienen 32 bits que posibilitan 4.294.967.296 (232)

direcciones. Por su parte, las direcciones IPv6 tienen 128 bits que permiten
340.282.366.920.938.463.463.374.607.431.768.211.456 (2128) direcciones diferentes.

En muchos aspectos, IPv6 es una extensin de su predecesor y la mayor parte de

los protocolos de transporte y aplicacin no necesitan cambios para operar con IPv6.
Algunas excepciones a esta regla, son los protocolos de aplicacin que integran
direcciones de capa de red, como FTP o NTP.

IPv6 especifica un nuevo formato de paquete, diseado para minimizar el

procesamiento del encabezado de paquetes. Debido a que las cabeceras de los paquetes
IPv4 e IPv6 son significativamente distintas, los dos protocolos no son interoperables.
Esta falta de interoperabilidad representa el mayor inconveniente para la transicin de
IPv4 a IPv6.

Actualmente, para poder trabajar con ambos tipos de direcciones IP, los sistemas
incorporan una dual-stack que incluye dos pilas, una para cada versin del protocolo,
y que permite la comunicacin con todo tipo de equipos y redes. Tambin es posible
que un sistema IPv6 se comunique con sistemas IPv4 si se utilizan herramientas
especficamente diseadas para ello como 6to4 o Teredo.

TEMA 1 Ideas clave 11

 Seguridad en redes

Algunas de las nuevas caractersticas que implementa IPv6 son:

Ampliacin considerable de la capacidad de direccionamiento: Utilizacin

de direcciones IP de 128 bits frente a los 32 bits utilizados en IPv4.

Autoconfiguracin de hosts con Neighbor Discovery Protocol (NDP): Los

nodos IPv6 pueden configurarse a s mismos automticamente cuando son
conectados a una red IPv6, usando mensajes de descubrimiento de routers de
ICMPv6. Si esta autoconfiguracin no es adecuada para una aplicacin es tambin
posible utilizar protocolos a nivel de aplicacin como Dynamic Host Configuration
Protocol para IPv6 (DHCPv6) o realizar una configuracin esttica de los nodos.

Multicast: Mejora la capacidad de envo de un paquete nico a destinos mltiples

incluyendo las comunicaciones multicast como parte de la especificacin base de
IPv6.

Seguridad a nivel de red: Internet Protocol Security (IPSec), el protocolo

que permite dotar de confidencialidad, integridad y autenticacin a IP forma
parte integral del protocolo base en IPv6 y su utilizacin es obligatoria en
la mayora de los casos (salvo en dispositivos con un hardware muy limitado o un
propsito muy especfico y cuya seguridad se puede proveer al nivel de aplicacin
para la que fueron diseados). IPSec est formado por dos subprotocolos
principales, Authentication Header (AH) que proporciona integridad y
autenticacin a los datagramas IP y Encapsulating Security Payload (ESP)
que proporciona integridad, autenticacin y confidencialidad. Adems,
IPSEC provee un mecanismo para el intercambio de las claves utilizadas por
estos subprotocolos conocido como Internet Key Exchange (IKE).

Procesamiento simplificado en los routers: El encabezado de IPv6 es ms

simple, se eliminan algunos campos como el checksum, lo cual facilita el
procesamiento de los routers. Adems, se reducen algunas de las funciones de los
routers, en IPv6 no realizan fragmentacin (sta debe llevarse a cabo en el
origen de la comunicacin), lo cual reduce su sobrecarga. Otros campos han
cambiado de nombre como el Time To Live (TTL) que pasa a llamarse Hop
Limit (lmite de saltos).

TEMA 1 Ideas clave 12

 Seguridad en redes

Soporte mejorado para las extensiones y opciones: Los cambios en la

manera en que se codifican las opciones de la cabecera IP permiten lmites menos
rigurosos en la longitud de opciones y mayor flexibilidad para introducir nuevas
opciones en el futuro.

Uso de jumbogramas: IPv4 limita los paquetes a 64 KiB de carga til. IPv6 tiene
soporte opcional para que los paquetes puedan superar este lmite, los llamados
jumbogramas, que pueden ser de hasta 4 GiB.

Quality of Sevice (QoS): Mejora de la implementacin dentro del protocolo del

etiquetado de paquetes para alcanzar una mejor calidad de servicio.

IP Mvil: Mejora del soporte para IP mvil.

1.6. Seguridad en redes inalmbricas

Las primeras redes inalmbricas surgieron como un complemento a las redes de rea
local cableadas para dotar de mayor movilidad a los usuarios a travs de un acceso
inalmbrico de corto alcance para dispositivos electrnicos.

A medida que este tipo de redes fueron evolucionando y ganando aceptacin surgi la
necesidad de crear una tecnologa inalmbrica que permitiera asegurar la
compatibilidad entre equipos de diversos fabricantes. Con el objetivo de alcanzar esa
meta, en 1999 un grupo de empresas se uni para crear la organizacin Wireless
Ethernet Compatibility Alliance (WECA), actualmente conocida como WiFi Alliance.

En abril de 2000, WECA certific la norma IEEE 802.11b, bajo la marca WiFi;
certificando que los equipos que incluyese este sello WiFi podran interactuar
entre ellos con independencia de su fabricante.

TEMA 1 Ideas clave 13

 Seguridad en redes

Logo WiFi. Fuente: http://www.wi-fi.org

El estndar utilizado por WiFi, IEEE 802.11, opera en la capa fsica de la pila TCP/IP y
es anlogo al protocolo IEEE 802.3 (Ethernet) para redes locales cableadas. Adems, se
dise de manera que se mantuviera una completa compatibilidad con el mismo.

Desde la creacin del primer estndar IEEE 802.11, esta familia de estndares ha ido
evolucionando y mejorando aspectos como el rango y velocidad de la transferencia de
informacin, la seguridad, etc. a travs de la definicin de nuevos estndares IEEE
802.11, tales como: IEEE 802.11b, IEEE 802.11g, IEEE 802.11i, IEEE 802.11n, etc.

Este tipo de redes se encuentran disponibles en prcticamente casi todos los mbitos
(universidades, centros de investigacin, aeropuertos, cafeteras e incluso hogares) y se
utilizan para el intercambio de diversos tipos de informacin. Este uso cada vez ms
generalizado y diverso ha motivado la aparicin de diversos mecanismos de seguridad
para evitar accesos no deseados a este tipo de redes y proteger la informacin que en
ellas se encuentra.

WEP - Wired Equivalent Privacy

Wired Equivalent Privacy (WEP) forma parte del estndar IEEE 802.11b y fue creado
con la idea de proporcionar una seguridad a las redes inalmbricas comparable a la de
una red tradicional cableada. Para ello, WEP:

Utiliza el algoritmo de cifrado Rivest Cipher 4 (RC4) con clave esttica

compartida por todos los usuarios de la red de 64 y 128 bits, incluyendo un
vector de inicializacin (IV) de 24 bits, para dotar de confidencialidad a las
comunicaciones.
Hace uso de un cdigo de redundancia cclica CRC-32 para lograr la integridad
de las comunicaciones.

TEMA 1 Ideas clave 14

 Seguridad en redes

Proporciona un mecanismo de autenticacin que comprueba la posesin de la

misma clave compartida utilizada para el cifrado.

A partir de 2001 se empezaron a detectar mltiples vulnerabilidades en WEP debido

principalmente a ciertos errores en su diseo, que se enumeran en la siguiente imagen:

1 Uso de una nica clave esttica que comparten todos los usuarios.

El vector de inicializacin usado es de 24 bits lo que provoca colisiones en puntos de

2
acceso muy concurridos.

3 Uso de un control de integridad lineal como es CRC-32.

4 Uso del algoritmo de cifrado RC4.

A travs del anlisis de las debilidades del protocolo WEP surgieron numerosos ataques
que terminaron en el desarrollo de varias herramientas de dominio pblico, como
Airsnort, WEPCrack o Aircrack, que permiten la obtencin de la clave compartida
utilizada en este tipo de redes.

WEP hoy en da es considerado inseguro. Su uso no est recomendado, salvo en

casos donde sea la nica opcin disponible, y debe substituirse por WPA2 (o WPA,
si WPA2 no est disponible).

WPA y WPA2 WIFI Protected Access (2)

Teniendo en cuenta la inseguridad de WEP, el IEEE comenz a trabajar en un nuevo

estndar, IEEE 802.11i publicado en 2004, que permitiese mejorar la seguridad de las
comunicaciones inalmbricas. IEEE 802.11i define dos modos de seguridad
diferenciados: WPA y WPA2.

WPA est pensado para ser compatible con el hardware existente y para
permitir a redes ya desplegadas poder migrar de WEP a un estndar ms seguro. Para
ello:

Incorpora un mecanismo de gestin de claves dinmicas Temporal Key Integrity

Protocol (TKIP) al cifrado RC4.

TEMA 1 Ideas clave 15

 Seguridad en redes

Usa claves dinmicas (cambian ms o menos cada 10.000 paquetes enviados) y

que varan para cada usuario (se combina con la direccin MAC del dispositivo
del usuario); lo que conlleva una mejora significativa de la seguridad de la red.

Incorpora un nuevo algoritmo de control de integridad conocido como Michael

para generar un Message Integrity Check (MIC).

Soporta tanto autenticacin basada en clave compartida (WPA-Personal)

como con claves diferentes para cada usuario (WPA-Enterprise) basado en
el estndar 802.1X que utiliza un servidor Remote Authentication Dial In User
Service (RADIUS) de autenticacin.

WPA2, por su parte, supona una ruptura con el hardware existente y propone un
modelo de seguridad basado en un algoritmo criptogrfico ms moderno y seguro como
Advanced Encryption Standard (AES). Para ello:

Usa el modo Counter Cipher Mode with Block Chaining Message Authentication
Code Protocol (CCMP) de AES (AES-CCMP) que provee tanto de confidencialidad
como de integridad y autenticacin a los paquetes.

Usa claves dinmicas (cambian ms o menos cada 10.000 paquetes enviados) y

que varan para cada usuario (se combina con la direccin MAC del dispositivo
del usuario); lo que conlleva una mejora significativa de la seguridad de la red.

Soporta tanto autenticacin basada en clave compartida (WPA2-Personal)

como con claves diferentes para cada usuario (WPA2-Enterprise) basado
en el estndar 802.1X que utiliza un servidor Remote Authentication Dial In User
Service (RADIUS) de autenticacin.

Se recomienda el uso de WPA2, preferentemente en su versin Enterprise

para el despliegue de una red inalmbrica siempre que sea posible. Para entornos
donde el establecimiento de la arquitectura necesaria para 802.1X no sea posible se
recomienda el uso de WPA2-Personal con una clave compartida segura.

Se desaconseja el uso de cualquiera de las variantes de WPA a no ser que los

dispositivos utilizados no sean compatibles con WPA2.

TEMA 1 Ideas clave 16

 Seguridad en redes

Lo + recomendado

Lecciones magistrales

Aspectos de seguridad en el protocolo TCP/IP

El profesor Jos Mara Sierra analiza cmo el funcionamiento del protocolo de

Internet TCP/IP condiciona los aspectos de seguridad las redes de ordenadores.

La clase magistral est disponible en el aula virtual.

No dejes de leer

Anlisis de seguridad de la familia de protocolos TCP/IP y sus servicios

asociados

Este documento ofrece un anlisis de la seguridad de la familia de protocolos TCP/IP,

incluyendo sus principales vulnerabilidades y mecanismos de proteccin.

El artculo completo est disponible en el aula virtual o en la siguiente direccin web:

http://es.tldp.org/Manuales-LuCAS/doc-seguridad-tcpip/Seguridad_en_TCP-
IP_Ed1.pdf

TEMA 1 Lo + recomendado 17
 Seguridad en redes

Wi-Fi, Cmo construir una red inalmbrica

Carballar, J. A. (2005). Wi-Fi, Cmo construir una red inalmbrica. Madrid: Editorial
Rama.

En el quinto captulo de este libro se describen aspectos

representativos que tienen que ver con la proteccin de redes
inalmbricas.

No dejes de ver

Learn how TCP sessions are created

Este vdeo presenta una explicacin

sobre el funcionamiento del
establecimiento de conexiones
TCP/IP en tres pasos.

El vdeo completo est disponible en el aula virtual o en la siguiente direccin web:

http://www.youtube.com/watch?v=3Q0ZvjBljJo

TEMA 1 Lo + recomendado 18
 Seguridad en redes

+ Informacin

A fondo

Envenenamiento ARP

El envenenamiento ARP es un ataque basado en el funcionamiento del protocolo ARP.

Este protocolo es usado en numerosas redes de rea local. Mediante este ataque es
posible capturar los mensajes enviados a cualquiera de los equipos que comparten el
medio fsico.

El artculo est disponible en el aula virtual o en la siguiente direccin web:

http://blackspiral.org/docs/arp_spoofing.html

How to Crack a Wi-Fi Networks WEP Password with BackTrack

La seguridad del protocolo inalmbrico WEP est claramente en entredicho desde hace
aos. De hecho, y aunque existen algunas redes inalmbricas que an lo utilizan, est
completamente desaconsejado su empleo (salvo en casos excepcionales donde no exista
la posibilidad de utilizar un mecanismo ms seguro). Para aquellos alumnos
interesados en comprender la capacidad tcnica necesaria para comprometer WEP
puede ser interesante revisar este artculo.

El artculo est disponible en el aula virtual o en la siguiente direccin web:

http://lifehacker.com/5305094/

TEMA 1 + Informacin 19
 Seguridad en redes

Demystifying the IPsec puzzle

Frankel, Sheila (2001). Demystifying the IPsec puzzle. Norwood, Massachusetts:

Artech House computer security series.

Aunque se trata de un libro principalmente centrado en los aspectos

de seguridad de los protocolos IPSEC, tambin repasa muchos de
los fundamentos tecnolgicos que hacen vulnerable a la actual
versin 4 del protocolo IP.

Webgrafa

Slashdot

Se trata de un sitio web reconocido a travs de cuya lectura se puede estar al da tanto
de las vulnerabilidades que aparecen en las redes de ordenadores, como de los
mecanismos de proteccin que pueden ser empleados para protegerlas

http://slashdot.org/

TEMA 1 + Informacin 20
 Seguridad en redes

Test

1. Las direcciones que aparecen en la cabecera IP de un paquete representan:

A. El nmero de las tarjetas de red.
B. El nmero de las interfaces de red.
C. El nmero que permite encaminar el paquete a travs de Internet.
D. Ninguna de las anteriores.

2. La direccin MAC (o de interfaz) permite:

A. Determinar el nombre de dominio de una mquina de Internet.
B. Determinar la direccin web de una mquina de Internet.
C. Completar una comunicacin extremo a extremo.
D. Ninguna de las anteriores.

3. Si una de las capas TCP/IP ofrece un servicio no orientado a conexin:

A. Tiene que ofrecer control de flujo y errores extremo a extremo.
B. Solo tiene que ofrecer control de errores extremo a extremo.
C. Debe delegar los servicios de control de flujo y errores a alguna capa de nivel
superior.
D. Debe delegar los servicios de control de flujo y errores a alguna capa de nivel
inferior.

4. Un datagrama UDP se encapsula:

A. En la parte de datos de un segmento TCP.
B. En la parte de datos de un paquete IP.
C. En la cabecera de una trama Ethernet.
D. En la parte de datos de una trama SMTP.

5. El campo checksum de un paquete IPv4:

A. No existe.
B. Se calcula sobre todo el paquete.
C. Se calcula solo sobre la cabecera.
D. Se calcula solo sobre la parte de datos.

TEMA 1 Test 21
 Seguridad en redes

6. En una arquitectura de red determinada:

A. Si el nivel de enlace proporciona un servicio orientado a la conexin, el nivel de
red necesariamente proporcionar un servicio orientado a la conexin.
B. Si el nivel de enlace proporciona un servicio no orientado a la conexin, el nivel
de red necesariamente proporcionar un servicio no orientado a la conexin.
C. Las respuestas A y B son verdaderas.
D. Las respuestas A y B son falsas.

7. El protocolo WEP para proteccin de comunicaciones inalmbricas:

A. Puede ser usado siempre que la clave utilizada supere los 8 caracteres.
B. Puede ser usado siempre que la clave utilizada supere los 16 caracteres.
C. Poseen vulnerabilidades todas sus variantes y no debe ser usado nunca.
D. Ninguna de las anteriores.

8. El protocolo IPSEC:
A. Puede ser usado con la versin de IPv4.
B. Solo puede ser usado junto con la versin IPv6.
C. Solo puede ser usado junto con la versin IPv4.
D. Ninguna de las anteriores.

9. El protocolo WPA:
A. Utiliza el algoritmo de cifrado RC4 para proteger la confidencialidad de las
comunicaciones.
B. Utiliza el algoritmo de cifrado AES para proteger la confidencialidad de las
comunicaciones.
C. Utiliza el algoritmo de cifrado Michael para proteger la confidencialidad de las
comunicaciones.
D. Ninguna de las anteriores.

10. El campo TTL (Time to Live) es sustituido en la nueva versin del protocolo IP
(IPv6):
A. Hop Limit.
B. Jumps to destination (JtD).
C. Time to Live v6 (TTLv6).
D. Ninguna de las anteriores.

TEMA 1 Test 22