Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Curso: TELEMÁTICA 2
Presentado por:
Arequipa – Perú
2018
Contenido
30.1 Enumere los principales problemas de seguridad en Internet y describa brevemente
cada uno. ................................................................................................................................... 4
30.2 Nombra la técnica utilizada en los ataques de seguridad. ................................................ 4
30.3 Suponga que un atacante encuentra una manera de almacenar un enlace arbitrario en
su servidor DNS local. ¿Cómo puede el atacante usar esa debilidad para obtener la
información de su cuenta bancaria? ......................................................................................... 4
30.4 Los ataques DoS a menudo envían segmentos TCP SYN. ¿Un atacante también puede
crear un ataque DoS al enviar segmentos de datos TCP? Explique. ......................................... 4
30.5 Si una contraseña contiene ocho letras y dígitos en mayúsculas y minúsculas, ¿cuántas
contraseñas posibles podría necesitar un atacante para obtener acceso? .............................. 5
30.6 ¿Por qué es difícil derivar una política de seguridad? ...................................................... 5
30.7 Suponga que una compañía diseña una política de seguridad que especifica que solo el
personal de Recursos Humanos está autorizado para ver los archivos de nómina. ¿Qué tipo
de mecanismo se necesita para implementar la política? Explique. ........................................ 5
30.8 Listar y describir las ocho técnicas básicas de seguridad. ................................................. 5
30.9 ¿Qué es una lista de control de acceso (ACL) y cómo se utiliza una ACL? ........................ 6
30.10. ¿A qué se refiere Criptografía? ...................................................................................... 6
30.11. Leer acerca de la Encriptación de datos estándar (DES). ¿Qué tamaño de clave
debería ser usado para información que es extremadamente importante?............................ 6
30.12. Suponga que su amigo tiene una clave pública y privada para usar con cifrado de
clave pública, ¿Su amigo podría enviarle un mensaje confidencial (por ejemplo: un mensaje
que solo usted puede leer? ¿Por qué si o por qué no?............................................................. 6
30.13. Si usted y su amigo, cada uno, tiene un par de claves públicas y privadas para un
sistema de encriptación de clave pública, ¿Cómo podrían usted y su amigo llevar a cabo una
comunicación diaria, sin ser engañado por un ataque de repetición? ..................................... 7
30.14. ¿Cómo pueden dos partes utilizar una clave de encriptación pública para firmar un
contrato que luego envía a un tercero? .................................................................................... 7
30.15 ¿Qué es un certificado digital? ........................................................................................ 7
30.16 ¿Qué es un firewall y dónde está instalado un firewall? ................................................ 7
30.17 Muchos productos de cortafuegos comerciales permiten que un administrador
especifique paquetes para denegar, así como paquetes para aceptar. ¿Cuál es la desventaja
de una configuración que permite la negación? ....................................................................... 8
30.18 Reescriba la configuración del firewall en la Figura 30.9 para permitir que un intruso
haga ping a cada uno de los tres servidores. ............................................................................ 8
30.19 Reescriba la configuración del firewall en la Figura 30.9 para mover el servidor de
correo electrónico a la computadora que ejecuta el servidor web. ......................................... 8
30.20 Lea sobre los sistemas IDS comerciales y haga una lista de los ataques que los sistemas
pueden detectar. ....................................................................................................................... 8
30.21 Considere un sistema DPI que busque una cadena de K bytes en cada paquete. Si un
paquete contiene 1486 bytes de carga útil, ¿cuál es el número más desfavorable de
comparaciones que se deben realizar para examinar el paquete suponiendo un algoritmo de
comparación directa?................................................................................................................ 9
30.22 ¿Por qué no se utiliza la inspección profunda de paquetes en las redes de mayor
velocidad? ............................................................................................................................... 10
30.23 ¿Cuáles son los dos objetivos de un sistema VPN? ....................................................... 10
30.24 ¿Cuáles son las tres formas en que una VPN puede transferir datos a través de
Internet?.................................................................................................................................. 10
30.25 Cuando una VPN usa un túnel de IP en IP, ¿qué impide que un atacante lea el
encabezado del datagrama original? ...................................................................................... 10
30.26 En algunos sistemas VPN, un remitente agrega un número aleatorio de cero bits a un
datagrama antes del cifrado, y el receptor descarta los bits adicionales después de que el
datagrama haya sido descifrado. Por lo tanto, el único efecto del relleno aleatorio es hacer
que la longitud del datagrama encriptado sea independiente de la longitud de la versión sin
cifrar. ¿Por qué es importante la longitud? ............................................................................ 11
30.27 Enumere ocho tecnologías de seguridad utilizadas en Internet y describa el propósito
de cada una. ............................................................................................................................ 11
30.28 Lea sobre las vulnerabilidades en el protocolo WEP. ¿Cómo el protocolo WPA evita los
problemas?.............................................................................................................................. 12
30.1 Enumere los principales problemas de seguridad en Internet y describa brevemente cada
uno.
• Suplantación de identidad. Enmascararse como un sitio conocido como un banco para
obtener la información personal de un usuario, generalmente el número de cuenta y el
código de acceso.
• Tergiversación. Hacer declaraciones falsas o exageradas sobre servicios de bienes, o
entregar productos falsos o inferiores
• Estafas. Diversas formas de trucos para engañar a los usuarios ingenuos para que
inviertan dinero o inciten a un crimen
• Negación de servicio. Bloqueo intencional de un sitio de Internet en particular para
evitar u obstaculizar las actividades comerciales y el comercio
• Pérdida de control. Un intruso obtiene el control de un sistema informático y lo utiliza
para cometer un delito.
• Pérdida de datos. Pérdida de propiedad intelectual u otra información comercial valiosa
de propiedad
30.3 Suponga que un atacante encuentra una manera de almacenar un enlace arbitrario en su
servidor DNS local. ¿Cómo puede el atacante usar esa debilidad para obtener la información
de su cuenta bancaria?
para enviar rutas incorrectas, el envío de un mensaje DNS que almacena un enlace incorrecto
en un servidor DNS y el uso de un ligero error ortográfico en un nombre de dominio conocido
para dar a un usuario la impresión de que ha llegado un sitio web de confianza.
30.4 Los ataques DoS a menudo envían segmentos TCP SYN. ¿Un atacante también puede
crear un ataque DoS al enviar segmentos de datos TCP? Explique.
La inundación SYN es una técnica específica que se utiliza para denegar el servicio a TCP: cada
paquete entrante contiene un mensaje SYN TCP que solicita una nueva conexión TCP. Un
receptor asigna un bloque de control TCP para la conexión, envía un SYN + ACK y espera una
respuesta. Finalmente, todos los bloques de control se asignan y no se pueden abrir más
conexiones.
30.5 Si una contraseña contiene ocho letras y dígitos en mayúsculas y minúsculas, ¿cuántas
contraseñas posibles podría necesitar un atacante para obtener acceso?
Sabemos que hay 26 letras en el abecedario, pero como son minúsculas y mayúsculas seria 52
letras mas 10 números que van del 0 al 9 entonces seria:
628 =2.183401056x1014 ≈ 218 billones
30.7 Suponga que una compañía diseña una política de seguridad que especifica que solo el
personal de Recursos Humanos está autorizado para ver los archivos de nómina. ¿Qué tipo de
mecanismo se necesita para implementar la política? Explique.
La compañía debe tener un mecanismo de control de acceso y contraseñas. a cada usuario
(personal de recursos humanos) se le asigna una contraseña para cada recurso protegido.
Cuando un usuario necesita acceder a un recurso protegido, se le pide que ingrese la contraseña.
• Cifrado. Intimidad.
La criptografía es una herramienta fundamental en la seguridad porque el cifrado puede
garantizar la confidencialidad de los datos (a veces llamada privacidad), la autenticidad
del mensaje, la integridad de los datos y puede prevenir los ataques de reproducción.
30.9 ¿Qué es una lista de control de acceso (ACL) y cómo se utiliza una ACL?
Lista de control de acceso (ACL) para cada objeto que especifica quién tiene permiso para
acceder al objeto. En algunos sistemas, a cada usuario se le asigna una contraseña para cada
recurso protegido. Cuando un usuario necesita acceder a un recurso protegido, se le pide que
ingrese la contraseña.
30.11. Leer acerca de la Encriptación de datos estándar (DES). ¿Qué tamaño de clave debería
ser usado para información que es extremadamente importante?
Aunque la clave de entrada para DES es de 64 bits, el clave real utilizado por DES solo tiene 56
bits de longitud. A pesar del crecimiento de las preocupaciones sobre su vulnerabilidad, el DES
es todavía ampliamente utilizado por servicios financieros y otras industrias en todo el mundo
para proteger aplicaciones sensibles en línea.
30.12. Suponga que su amigo tiene una clave pública y privada para usar con cifrado de clave
pública, ¿Su amigo podría enviarle un mensaje confidencial (por ejemplo: un mensaje que solo
usted puede leer? ¿Por qué si o por qué no?
Sí, porque un mensaje cifrado con la clave pública de un destinatario no puede ser descifrado
por nadie (incluyendo al que lo cifró), excepto un poseedor de la clave privada correspondiente,
presumiblemente su propietario y la persona asociada con la clave pública utilizada. Su función
es garantizar la confidencialidad del mensaje.
30.13. Si usted y su amigo, cada uno, tiene un par de claves públicas y privadas para un sistema
de encriptación de clave pública, ¿Cómo podrían usted y su amigo llevar a cabo una
comunicación diaria, sin ser engañado por un ataque de repetición?
Existen varias formas de evitar estos ataques de repetición, como el de utilizar claves que
expiran luego de su primer uso o luego de un lapso de tiempo muy pequeño, asi como también
se pueden utilizar tokens de sesión, los cuales transforman la clave antes de enviarla, de esta
manera se puede verificar la identidad del cliente, estos tokens son enviados con números
aleatorios, así que si un atacante intentara un ataque de repetición, el servidor le enviaría un
token diferente.
30.14. ¿Cómo pueden dos partes utilizar una clave de encriptación pública para firmar un
contrato que luego envía a un tercero?
Podrían utilizar la misma clave pública, de tal manera que la tercera parte sería capaz de
descifrar el contrato utilizando cualquiera de las dos claves.
Normalmente cuando se habla de certificado digital se está hablando de los certificados de clave
pública que son un tipo de certificado digital.
Los cortafuegos informáticos pueden presentarse de dos maneras: por un lado, físicamente
(hardware), y, por otro, de forma intangible (software).
30.18 Reescriba la configuración del firewall en la Figura 30.9 para permitir que un intruso
haga ping a cada uno de los tres servidores.
Dir Frame Tye IP Src IP Dest IP Type Src Port Dst Port
in 0800 * 192.5.48.1 ICMP * 80
in 0800 * 192.5.48.2 ICMP * 25
In 0800 * 192.5.48.3 ICMP * 53
In 0800 * 192.5.48.3 ICMP * 53
out 0800 192.5.48.1 * ICMP 80 *
out 0800 192.5.48.2 * ICMP 25 *
out 0800 192.5.48.3 * ICMP 53 *
out 0800 192.5.48.3 * ICMP 53 *
30.19 Reescriba la configuración del firewall en la Figura 30.9 para mover el servidor de correo
electrónico a la computadora que ejecuta el servidor web.
Dir Frame Tye IP Src IP Dest IP Type Src Port Dst Port
in 0800 * 192.5.48.1 TCP * 80
in 0800 * 192.5.48.2 TCP * 80
In 0800 * 192.5.48.3 TCP * 53
In 0800 * 192.5.48.3 UDP * 53
out 0800 192.5.48.1 * TCP 80 *
out 0800 192.5.48.2 * TCP 80 *
out 0800 192.5.48.3 * TCP 53 *
out 0800 192.5.48.3 * UDP 53 *
30.20 Lea sobre los sistemas IDS comerciales y haga una lista de los ataques que los sistemas
pueden detectar.
Un sistema de detección de intrusos (IDS) supervisa todos los paquetes que llegan a un sitio y
notifica al administrador del sitio si se detecta una violación de seguridad.
La mayoría de los IDS se pueden configurar para observar tipos específicos de ataques, lo cuales
son:
30.21 Considere un sistema DPI que busque una cadena de K bytes en cada paquete. Si un
paquete contiene 1486 bytes de carga útil, ¿cuál es el número más desfavorable de
comparaciones que se deben realizar para examinar el paquete suponiendo un algoritmo de
comparación directa?
El numero mas desfavorable de comparaciones se halla con la siguiente formula:
K= cadena de bytes
M= carga útil
C=comparaciones
𝐶 =𝑀−𝐾+1
𝑪 = 𝟏𝟒𝟖𝟕 − 𝒌
Supongamos que K =4
𝐶 = 1487 − 4 = 1483
𝑪 = 𝟏𝟒𝟖𝟑
30.22 ¿Por qué no se utiliza la inspección profunda de paquetes en las redes de mayor
velocidad?
La principal desventaja de DPI surge de la sobrecarga computacional. Debido a que la carga útil
de un paquete en una trama Ethernet puede ser más de veinte veces más grande que un
encabezado de paquete, el DPI puede requerir veinte veces más procesamiento que la
inspección de encabezado. Además, no están organizados en campos fijos lo que significa que
los mecanismos de Inspección profunda de paquetes se limitan a las redes de menor velocidad.
El objetivo básico de una VPN es hacer que algunos, o todos, las comunicaciones dentro de una
organización virtual, sean invisible para los usuarios externos, por lo que la organización puede
tomar ventaja de los sistemas de comunicación públicos sin los riesgos de seguridad típicamente
asociados con tales sistemas.
Otro de los objetivos de la tecnología VPN es para ahorrar dinero. Los sistemas de comunicación
modernos se caracterizan por un alto costos fijos, por lo que tiene sentido económico "agrupar
" los servicios de comunicaciones juntos en una única plataforma de alta capacidad.
30.24 ¿Cuáles son las tres formas en que una VPN puede transferir datos a través de Internet?
• Cifrado de carga útil. Para mantener el contenido de un datagrama confidencial, el
enfoque de cifrado de la carga útil encripta el área de carga útil de un datagrama, pero
deja el encabezado sin tocar.
• Tunelización IP en IP. Algunas VPN utilizan un enfoque de túnel de IP en IP que mantiene
la información del encabezado oculta cuando los datagramas pasan a través de Internet
de un sitio a otro.
• Tunelización IP en TCP. para mantener la confidencialidad de los datos implica el uso de
un túnel TCP. Es decir, dos partes establecen una conexión TCP y luego usan la conexión
para enviar datagramas cifrados.
30.25 Cuando una VPN usa un túnel de IP en IP, ¿qué impide que un atacante lea el encabezado
del datagrama original?
Lo que impide a un atacante que lea el encabezado del datagrama original es que el software de
VPN cifra el datagrama completo. Cuando encuentra un datagrama saliente, el software de VPN
de envío cifra el datagrama completo, incluido el encabezado, y coloca el resultado dentro de
otro datagrama para su transmisión.
30.26 En algunos sistemas VPN, un remitente agrega un número aleatorio de cero bits a un
datagrama antes del cifrado, y el receptor descarta los bits adicionales después de que el
datagrama haya sido descifrado. Por lo tanto, el único efecto del relleno aleatorio es hacer
que la longitud del datagrama encriptado sea independiente de la longitud de la versión sin
cifrar. ¿Por qué es importante la longitud?
Es importante en el caso de que se haya interceptado el paquete y se halla modificado el
contenido de este, de esta forma se podrá detectar mediante el encabezado si el paquete fue
vulnerado y modificado.
• PGP (Pretty Good Privacy). Un sistema criptográfico que las aplicaciones pueden usar
para cifrar datos antes de la transmisión. PGP fue desarrollado en MIT, y es
especialmente popular entre los científicos informáticos.
• SSH (Secure Shell). Un protocolo de nivel de aplicación para el inicio de sesión remoto
que garantiza la confidencialidad cifrando los datos antes de la transmisión a través de
Internet.
• SSL (Secure Socket Layer). Una tecnología originalmente diseñada por Netscape
Communications que utiliza cifrado para proporcionar autenticación y confidencialidad.
El software SSL se ajusta entre una aplicación y la API de socket, y encripta los datos
antes de transmitirlos a través de Internet. SSL se usa en una conexión web para permitir
a los usuarios realizar transacciones financieras de forma segura (por ejemplo, enviar un
número de tarjeta de crédito a un servidor web).
A diferencia de WEP, WPA utiliza en la cabecera de la trama 48 bits para cada paquete
transmitido, lo que le permite ser menos vulnerable que su antecesor.