SEGURIDAD DE REDES DE TELECOMUNICACIONES

ELEGIR MECANISMOS Y SERVICIOS DE SEGURIDAD

DEISY DANELLY LEGUIZAMON SUAREZ

YESID FERNEY LOZANO SUELTA
BRIAN
CESAR GIOVANNY BRIÑEZ

GRUPO: 208060_36

OMAR ALBEIRO TREJO

TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

CIENCIAS BASICAS TECNOLOGIA E INGENIERIA
INGENIERIA DE TELECOMUNIACIONES
TUNJA
 2018

ACTIVIDADES A DESARROLLAR

Para el desarrollo de la Tarea 3 - Elegir Mecanismos y servicios de seguridad, es

necesario que el estudiante revise el material de estudio correspondiente a la unidad 3
ubicado en el entorno de conocimiento.

Actividad Individual

Cada estudiante debe resolver:

1. Elaborar una tabla con las diferencias entre los protocolos de seguridad para
redes inalámbricas definidos por la IEEE.

PROTOCOLO DIFERENCIAS
WEP (Wired  Una sola clave simétrica y estática
Equivalent Privacy),  Distribución manual de claves
mecanismo de  No autentifica usuarios Algoritmo de encriptación: RC4
seguridad incluido en  Claves de 64 bits (40 fijos + 24 cambiantes)
la especificación IEEE  Los 24 bits son el vector de inicialización (IV). Se envía
802.11 al destino sin encriptar.
 Encriptación El keystream lo produce el algoritmo RC4
en función de la clave (40 bits) y el IV (24 bits). Aunque
se utilice una clave de más bits, el IV siempre será de
24 bits (p. ej. 128 = 104 + 24).
 El IV se transmite sin cifrar. Para desencriptar:
mensaje cifrado XOR keystream. XOR mensaje
cifradoIV datos transmitidos mensaje en claroCRC
Clave IV keystream RC4
 Existen 2^24 combinaciones de claves diferentes: no
son tantas y además unas pocas se utilizan a menudo.
 Suele repetirse la misma secuencia de IVs cada vez
que se reinicia la tarjeta.
 La claveIV 24 bits Dependiendo de la carga de la red
y la implementación de WEP, podrían encontrarse IVs
repetidos incluso en cuestión de minutos. 0clave
1clave 2clave.
 Debilidad del IV keystream.
  debido a una debilidad de RC4 cuando se conoce
parte de la clave (el IV) y sus keystreams, se puede
deducir la clave total usada. keystream n IV n clave.
 Debido a que no dispone de un mecanismo de
distribución de claves automático, la clave no suele
cambiarse nunca.
 La misma clave se almacena tanto en el punto de
acceso como en todas las estaciones.
 WEP carece de mecanismos de protección contra
paquetes falsificados o repetidos (replay).
 El CRC se incluyó como un mecanismo de integridad,
pero se ha demostrado que no sirve.
 Alternativas WEP2 utiliza claves de 104+24 bits. No
está estandarizado.
 El uso de claves mayores no resuelve los problemas
de WEP. WEP dinámico incluye distribución de claves
mediante 802.1x/EAP/RADIUS.
 Utilización de VPNs (p. ej. IPSec) para todas las
comunicaciones con hosts inalámbricos solución
segura, elegida por numerosas empresas.
WPA (Wi-Fi Protected  Problemas de WEP resueltos Debilidad de IV de WEP
Access) liderado por IV de 48 bits.
Wi-Fi Alliance. No es  WPA 802.1X control de acceso basado en puertos.
un estándar, sino un  EAP protocolo de autentificación extensible.
subconjunto de lo que  TKIP claves temporales (dinámicas).
será IEEE 802.11i.  MIC integridad de mensajes.
 Se especifica cómo debe cambiarse.
 Integridad débil (CRC) de WEP Códigos MIC.
 Claves estáticas y manuales Claves generadas
dinámicamente y distribución automática.
 Autentificación mínima Autentificación fuerte de
usuarios a través de 802.1X/EAP/RADIUS.
 WPA resuelve todos los problemas conocidos de
WEP.
 Con servidor (RADIUS).
 Con clave inicial compartida (PSK) Esta clave sólo se
usa para la autent. no para la encriptación
WPA2 (IEEE 802.11i)  WEP y WPA2 utilizan RC4.
Estándar del IEEE  WPA2 incluye el algoritmo de encriptación AES.
para mejorar la  AES (Advanced Encryption Standard), algoritmo
seguridad de las redes simétrico de bloque con claves de 128 bits.
WLAN  Requerirá HW más potente.
 Protocolo Counter-Mode/CBC-MAC (CCMP) Incluye
soporte para redes ad-hoc (WPA es válido sólo para
BSS).
 2. Para el desarrollo de este punto el estudiante retoma la red TCP/IP de la Tarea-
Presaberes.

Descripción de la red: Corresponde a una empresa de seguros a nivel nacional, cuya

oficina principal se encuentra en la ciudad de Bogotá, donde el pc7 es el equipo del
gerente de la empresa, pc6 es el equipo de la asistente ejecutiva del gerente. Por
otro lado, el servidor web se encuentra en la ciudad de Medellín y corresponde al
pc2, el servidor de bases de datos se encuentra en la misma ciudad; pc3.
La empresa brinda los servicios de ventas y asesorías en seguros en las ciudades
de Ibagué y Santa Martha, por tanto, los equipos terminales de estas ciudades
corresponden a equipos para gestionar los trámites requeridos, para ellos se
conectan a los servidores y a su vez al equipo del gerente, el cual tiene una aplicación
software para las autorizaciones.
Por último, los empleados de Ibagué y Santa Martha suelen sacar información de la
empresa en memorias USB o pendrives para trabajo en casa. La empresa requiere
implementar mecanismos y servicios de seguridad, así como las políticas necesarias
para garantizar la seguridad de la red empresarial.

A partir de la red anterior desarrollar los siguientes puntos:

 En base a la Recomendación ITU X.800 seleccionar los mecanismos y

servicios más adecuados, de acuerdo a la descripción del escenario de red,
para reducir sus vulnerabilidades.

Servicios de seguridad:
Autenticación
Estos servicios proporcionan la autenticación de una entidad par comunicante y de la
fuente de dato.

Autenticación de entidad par

Este servicio se utiliza en el establecimiento de la fase de transferencia de datos de una
conexión, o a veces durante ésta, para confirmar la identidad de una o varias entidades
conectadas a una o varias otras entidades. Este servicio da confianza, en el momento
de utilización solamente, en que una entidad no está tratando de usurpar otra identidad
o la reproducción no autorizada de una conexión anterior.

Control de acceso
Este servicio proporciona protección contra el uso no autorizado de recursos accesibles
mediante ISA. Este servicio de protección puede aplicarse a diversos tipos de acceso a
un recurso (por ejemplo, el uso de un recurso de comunicaciones, la lectura, la escritura,
o la supresión de un recurso de información; la ejecución de un recurso de
procesamiento) o a todos los accesos a un recurso.

Confidencialidad de los datos

Estos servicios proporcionan la protección de los datos contra la revelación no
autorizada.

Confidencialidad del flujo de tráfico

Este servicio proporciona la protección de la información que pudiera derivarse de la
observación de los flujos
de tráfico.

Integridad de los datos

Estos servicios contrarrestan las amenazas activas. El uso del servicio de autenticación
de la entidad par al comienzo de la conexión y del servicio de integridad de los datos
mientras dura la conexión puede confirmar conjuntamente la fuente de todas las
unidades de datos transferidas a la conexión, la integridad de estas unidades de datos y
puede además proporcionar la detección de duplicación de unidades de datos, por
ejemplo, mediante el uso de números de secuencia.

Integridad en modo sin conexión

Este servicio proporciona la integridad de una sola UDS en modo sin conexión y puede
adoptar la forma de una indicación que permite saber si una UDS recibida ha sido
modificada. Además, puede proporcionarse una forma limitada de detección de
reproducción.

No repudio con prueba de la entrega

Se proporciona al expedidor de los datos la prueba de la entrega de los datos. Esto lo
protegerá contra
cualquier tentativa ulterior del destinatario de negar que ha recibido los datos o su
contenido

Mecanismos de seguridad:

Cifrado
El cifrado puede proporcionar la confidencialidad de la información de datos o del flujo
de tráfico y puede desempeñar una función en varios otros mecanismos de seguridad o
complementarlos

Mecanismos de firma digital

La característica esencial del mecanismo de firma es que la firma sólo puede producirse
utilizando la información privada del firmante. De este modo, cuando se verifica la firma,
puede probarse subsiguientemente a una tercera parte (por ejemplo, a un juez o árbitro),
en cualquier momento, que sólo el poseedor único de la información privada pudo haber
producido la firma.

Mecanismos de control de acceso

Estos mecanismos pueden utilizar la identidad autenticada de una entidad o información,
si la entidad intenta utilizar un recurso no autorizado, o un recurso autorizado con un tipo
impropio de acceso, la función de control de acceso rechazará la tentativa y puede
informar además el incidente a los efectos de generar una alarma y/o anotarlo en el
registro de auditoría de seguridad.

Mecanismo de intercambio de autentificación

Algunas de las técnicas que pueden aplicarse a los intercambios de autenticación son:
a) utilización de información de autenticación, como contraseñas, suministradas por una
entidad expedidora y verificadas, por la entidad receptora;
b) técnicas criptográficas; y
c) uso de características y/o propiedades de la entidad.

Mecanismo de control de encaminamiento

Las rutas pueden elegirse dinámicamente o por acuerdo previo con el fin de utilizar sólo
subredes, relevadores o enlaces físicamente seguros.

Detección de eventos
La detección de eventos relativos a la seguridad comprende la detección de violaciones
aparentes de seguridad y puede incluir también la detección de eventos «normales»
tales como el acceso logrado (o «log on»). Los eventos relativos a la seguridad pueden
ser detectados por entidades, dentro de la ISA.

Registro de auditoría de seguridad

Los registros de auditoría de seguridad proporcionan un mecanismo de seguridad
valioso dado que hacen posible detectar e investigar potencialmente las violaciones de
seguridad permitiendo una auditoría de seguridad posterior.

 Definir las políticas necesarias para la red, teniendo en cuenta la descripción

del contexto de red.

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los
procedimientos de seguridad que serán la guía para la realización de las actividades. La
política de seguridad comprende todas las reglas de seguridad que sigue una
organización.
La seguridad informática de una compañía depende de que los empleados (usuarios)
aprendan las reglas a través desesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir
las siguientes áreas:

 Definir qué es seguridad de la información, cuáles son sus objetivos principales y

su importancia dentro de la organización.
 Mostrar el compromiso de sus altos cargos con la misma.
 Definir la filosofía respecto al acceso a los datos.
 Establecer responsabilidades inherentes al tema.

Establecer la base para poder diseñar normas y procedimientos referidos a:

 Organización de la seguridad.
 Clasificación y control de los datos.
 Seguridad de las personas.
 Plan de contingencia.
 Prevención y detección de virus.
 Administración de los computadores
 Un mecanismo de seguridad física y lógica que se adapte a las necesidades de
la compañía y al uso de los empleados.
 Un procedimiento para administrar las actualizaciones.
 Una estrategia de realización de copias de seguridad planificada adecuadamente.
 Un plan de recuperación luego de un incidente.
 Un sistema documentado actualizado.

 Crear una lista de control de acceso, definiendo las siguientes reglas: para el
host del gerente: bloqueo de tráfico ICMP y conexiones en puerto 21 (ftp), para
los hosts PC0 y PC5: bloqueo de tráfico web.

A continuación se adjunta el pantallazo de la simulación, Se anexa el archivo en la misma

carpeta del desarrollo de trabajo:
Referencias Bibliográficas

Protocolos de seguridad en redes inalámbricas Universidad Carlos III de Madrid

Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun ppt descargar.
(s. f.). Recuperado 24 de noviembre de 2018, de https://slideplayer.es/slide/1609901/

Políticas de seguridad informática en las empresas | Diseño web Málaga - Páginas web ::
grafitto - Vélez-Málaga. (s. f.). Recuperado 28 de noviembre de 2018, de
https://www.grafitto.es/politicas-de-seguridad-informatica-en-las-empresas/