universidad de guayaquil -...
Post on 15-Aug-2020
10 Views
Preview:
TRANSCRIPT
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE
INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS
RIESGOS.”
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTORA:
MARÍA LUISA CANSING SALTOS
TUTOR:
ING. FRANCISCO ÁLVAREZ SOLÍS MSc.
GUAYAQUIL – ECUADOR
2019
i
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO:
ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO
UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO DE
UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS
RIESGOS.
AUTOR(ES) (apellidos/nombres): MARÍA LUISA CANSING SALTOS
REVISOR(ES)/TUTOR(ES) (apellidos/nombres):
Ing. Francisco Álvarez M.Sc.
INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL
UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
MAESTRÍA/ESPECIALIDAD: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 103
ÁREAS TEMÁTICAS: Redes, Telecomunicaciones y Seguridad Informática
PALABRAS CLAVES /KEYWORDS:
Seguridad Informática, Redes WAN, LAN y MAN.
En este proyecto de titulación referente al análisis de vulnerabilidades en equipos de enrutamiento de paquetes, se verificó que la
mayoría de los Routers que proveen conexiones remotas a otras redes, estos han sufrido ataques informáticos por parte de piratas
cibernéticos. Estas intrusiones provocan que el equipo se vuelva inutilizable generando grandes pérdidas económicas en las
organizaciones. Para esto se plantea una propuesta tecnológica que conlleva al desarrollo de cuatro escenarios de ataques y
monitoreo de la red en lo cual se aplican herramientas de código abierto que a su vez se las utilizó para ejecutar el proceso de
identificación de vulnerabilidades, análisis de tráfico y detección de riesgos. Después de haber cumplido con todo el análisis de
vulnerabilidades se planifica un marco de protección describiendo los mecanismos de seguridad basados en el estándar ISO 27001
para aumentar la robustez en los dispositivos de enrutamiento. La metodología de proyecto que se empleó para anexar los
resultados del análisis es MAGERIT donde por medio de tres etapas se desarrolló un cronograma de actividades describiendo las
tareas a realizar, se efectuó la ejecución de las fases de análisis y descubrimiento de riesgos detallando pruebas de defensa de la
red. Por último la ejecución los cuatro escenarios que se usaron se los realizó en ambientes de prueba controlado aplicando la
virtualización de sistemas operativos, Routers de capa tres y demás.
ADJUNTO PDF: X SI NO
CONTACTO CON
AUTOR/ES:
Teléfono: 0997085576
E-mail maria.cansings@ug.edu.ec
CONTACTO CON LA
INSTITUCIÓN:
Nombre: Ab. Juan Chávez Atocha, Esp.
Teléfono: 2307724
ii
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación ANÁLISIS DE
VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO
UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL
DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE
SEGURIDAD QUE AYUDEN A MITIGAR LOS RIESGOS. Elaborado por la
Srta María Luisa Cansing Saltos, Alumna no titulados de la Carrera de
Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias
Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención
del Título de Ingeniero en Networking y Telecomunicaciones, me permito
declarar que luego de haber orientado, estudiado y revisado, la Apruebo en
todas sus partes.
Atentamente
ING. FRANCISCO XAVIER ÁLVAREZ SOLÍS M.Sc. TUTOR
iii
DEDICATORIA
Mi proyecto de tesis está dedicado a: A mis padres Luis y Marjorie, hermano Joisang quienes con su amor, paciencia y esfuerzo me han permitido llegar a cumplir hoy un sueño más, gracias por inculcar en mí el ejemplo de esfuerzo y valentía, de no temer las adversidades porque Dios está conmigo siempre. A mi esposo Martín e hija Emilia por su cariño y apoyo incondicional, durante todo este proceso, por estar conmigo en todo momento gracias. A toda mi familia porque con sus oraciones, consejos y palabras de aliento hicieron de mí una mejor persona y de una u otra forma me acompañan en todos mis sueños y metas.
Atentamente:
María Luisa Cansing Saltos
iv
AGRADECIMIENTO
Quiero expresar mi gratitud y mi amor a Dios, quien con su bendición llena siempre mi vida y a toda mi familia por estar siempre presentes. A mis padres, esposo e hija por ser mi pilar fundamental y haberme apoyado siempre, pese a las adversidades e inconvenientes que se presentaron. Agradezco a mi Tutor de tesis Ing. Francisco Álvarez quien, con su experiencia, conocimiento y motivación me oriento en la investigación. Gracias a todas las personas que ayudaron directa e indirectamente en la realización de este proyecto. Atentamente.
María Luisa Cansing Saltos
v
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Gustavo Ramírez Aguirre, M.Sc. DECANO DE LA FACULTAD DE
CIENCIAS MATEMÁTICAS Y FÍSICAS
Ing. Francisco Palacios Ortiz, Mgs DIRECTOR DE LA CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
Ing. Ximena Acaro Chacón, M.Sc. PROFESOR REVISOR DEL
PROYECTO TRIBUNAL
Ing. María Molina Miranda, M.Sc. PROFESOR DEL ÁREA
TRIBUNAL
Ing. Francisco Álvarez Solís, M.Sc, PROFESOR TUTOR DEL PROYECTO
DE TITULACIÓN
Ab. Juan Chávez Atocha, Esp. SECRETARIO (E) DE LA FACULTAD
vi
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este Proyecto de Titulación, me
corresponden exclusivamente; y el patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”
MARÍA LUISA CANSING SALTOS
vii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE
ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE
INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA DE
MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS
RIESGOS.”
Proyecto de Titulación que se presenta como requisito para optar por el
título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTORA: MARÍA LUISA CANSING SALTOS
C.I. 0922379011
TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.
C.I. 0917580300
Guayaquil, abril 2019.
viii
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil.
CERTIFICO: Que he analizado el Proyecto de Titulación presentado por la
estudiante MARÍA LUISA CANSING SALTOS, como requisito previo
para optar por el título de Ingeniero en Networking y Telecomunicaciones
cuyo tema es:
“ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE
ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS
RIESGOS.”
Considero aprobado el trabajo en su totalidad.
Presentado por:
MARÍA LUISA CANSING SALTOS C.C.: 0930043120
TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.
Guayaquil, abril 2019.
ix
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS
MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación en Formato
Digital
1. Identificación del Proyecto de Titulación
Nombre del Alumno: María Luisa Cansing Saltos
Dirección: Av. Antonio José de Sucre y Calle Jaime Roldós
Teléfono: 0997085576
E-mail: maria.cansings@ug.edu.ec
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Título al que opta: Ingeniero en Networking y Telecomunicaciones
Profesor guía: Ing. Francisco Álvarez Solís M.Sc.
Título del Proyecto de Titulación: ANÁLISIS DE VULNERABILIDADES DE
AL MENOS 3 EQUIPOS DE ENRUTAMIENTO UTILIZANDO HERRAMIENTAS
DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA
DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS RIESGOS.
x
x
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de
Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la
versión electrónica de este Proyecto de titulación.
Publicación electrónica:
Inmediata X Después de 1 año
Firma Alumno: María Luisa Cansing Saltos
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como
archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen
pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM
Tema del Proyecto de Titulación: ANÁLISIS DE VULNERABILIDADES
DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO UTILIZANDO
HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO
DE UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE
AYUDEN A MITIGAR LOS RIESGOS.
xi
INDICE GENERAL
Contenido
CARTA DE APROBACIÓN DEL TUTOR ..................................... ii
DEDICATORIA ........................................................................... iii
AGRADECIMIENTO ................................................................... iv
TRIBUNAL PROYECTO DE TITULACIÓN .................................. v
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ........................viii
INDICE GENERAL ..................................................................... xi
INDICE DE TABLAS ..................................................................xiii
INDICE DE FIGURAS ............................................................... xiv
ABREVIATURAS ......................................................................xvii
INTRODUCCIÓN ......................................................................... 1
CAPÍTULO I ................................................................................. 2
EL PROBLEMA ........................................................................ 2
PLANTEAMIENTO DEL PROBLEMA ....................................... 2
UBICACIÓN DE UN PROBLEMA EN UN CONTEXTO ......... 2
SITUACIÓN CONFLICTO. NUDO CRITICO............................. 3
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ................... 4
DELIMITACIÓN DEL PROBLEMA ........................................... 4
FORMULACIÓN DEL PROBLEMA .......................................... 5
ALCANCES DEL PROBLEMA ................................................. 7
OBJETIVOS DE LA INVESTIGACIÓN: .................................... 7
OBJETIVO GENERAL .......................................................... 7
OBJETIVOS ESPECIFICOS ................................................. 7
JUSTIFICACIÓN E IMPORTANCIA ......................................... 8
METODOLOGÍA DEL PROYECTO .......................................... 9
CAPÍTULO II .............................................................................. 10
MARCO TEORÍCO ................................................................. 10
ANTECEDENTES DE ESTUDIO ............................................ 10
FUNDAMENTACIÓN TEÓRICA ............................................. 13
xii
FUNDAMENTACIÓN LEGAL ................................................. 51
PREGUNTA CIENTÍFICA A CONTESTARSE ........................ 54
DEFINICIONES CONCEPTUALES ........................................ 54
CAPÍTULO III ............................................................................. 57
PROPUESTA TECNOLÓGICA............................................... 57
ANÁLISIS DE FACTIBILIDAD ................................................ 63
FACTIBILIDAD OPERACIONAL............................................. 63
FACTIBILIDAD TÉCNICA....................................................... 64
FACTIBILIDAD ECONÓMICA ................................................ 66
ANÁLISIS DEL COSTO Y BENEFICIO DEL PROYECTO .. 67
FACTIBILIDAD LEGAL ........................................................... 68
ETAPAS DE METODOLOGÍA DEL PROYECTO ................... 68
CRONOGRAMA DE ACTIVIDADES ................................... 69
ENTREGABLES DEL PROYECTO ........................................ 82
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA.............. 86
PROCESAMIENTO Y ANÁLISIS ............................................ 87
CAPÍTULO IV ............................................................................ 98
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO ............................................................................................... 98
BIBLIOGRAFÍA ........................................................................ 101
xiii
INDICE DE TABLAS Tabla No. 1 Causas y Consecuencias del Problema ............................................. 4 Tabla No. 2 Delimitación del Problema................................................................... 4 Tabla No. 3 Cuadro Comparativo ......................................................................... 17 Tabla No. 4 Protocolos y Arquitecturas ................................................................ 21 Tabla No. 5 Medios de Transmisión Guiados....................................................... 22 Tabla No. 6 Medios de Transmisión no Guiados ................................................. 23 Tabla No. 7 Formato de paquete de RIP .............................................................. 36 Tabla No. 8 Métodos de la Metodología MAGERIT ............................................. 50 Tabla No. 9 Descripción de Escenarios ................................................................ 57 Tabla No. 10 Recursos de Software ..................................................................... 64 Tabla No. 11 Recursos de Hardware .................................................................... 66 Tabla No. 12 Recursos Económicos ..................................................................... 66 Tabla No. 13 Análisis del Costo y Beneficio del Proyecto .................................... 67 Tabla No. 14 Lista de Actividades......................................................................... 69 Tabla No. 15 Controles ISO 27001 Seguridad de la información ........................ 80 Tabla No. 16 Pregunta 2 ....................................................................................... 89 Tabla No. 17 Pregunta 3 ....................................................................................... 90 Tabla No. 18 Pregunta 4 ....................................................................................... 91 Tabla No. 19 Pregunta 5 ....................................................................................... 92 Tabla No. 20 Pregunta 6 ....................................................................................... 93 Tabla No. 21 Pregunta 8 ....................................................................................... 95 Tabla No. 22 Pregunta 9 ....................................................................................... 96 Tabla No. 23 Matriz de Aceptación del Producto ................................................. 98 Tabla No. 24 Informe de Auditoría de Seguridad Informática ............................123
xiv
INDICE DE FIGURAS
Figura No. 1 Reporte de Incidentes de seguridad ............................................... 13 Figura No. 2 Redes LAN ...................................................................................... 14 Figura No. 3 Redes de Área Metropolitana ......................................................... 15 Figura No. 4 Redes de Área Extensa .................................................................. 17 Figura No. 5 Topología Bus ................................................................................. 19 Figura No. 6 Topología Estrella ........................................................................... 20 Figura No. 7 Topología Anillo .............................................................................. 21 Figura No. 8 Switches de Capa 2 ........................................................................ 24 Figura No. 9 Hub o Concentrador ....................................................................... 25 Figura No. 10 Router de Capa 3.......................................................................... 27 Figura No. 11 Switches Multicapa ....................................................................... 29 Figura No. 12 Enrutamiento Estático ................................................................... 30 Figura No. 13 Protocolo de Enrutamiento OSPF ................................................ 31 Figura No. 14 Protocolo de Enrutamiento Dinámico EIGRP ............................... 32 Figura No. 15 Protocolo de Enrutamiento RIP .................................................... 35 Figura No. 16 Detección de Contraseñas por medio de un Ataque de Fuerza Bruta ....................................................................................................................... 37 Figura No. 17 Diagrama de Ataque de Fuerza Bruta.......................................... 38 Figura No. 18 Ataque de Inundación de SYN ..................................................... 39 Figura No. 19 Ataques Hombre en el Medio ....................................................... 41 Figura No. 20 Categorías de Ataques hombre en el medio................................ 42 Figura No. 21 Listas de Control de Acceso ......................................................... 43 Figura No. 22 Funcionamiento de las IPTABLES ............................................... 45 Figura No. 23 Reglas IPTABLES de la Tabla MANGLE ..................................... 47 Figura No. 24 Funcionamiento de las IPTABLES ............................................... 48 Figura No. 25 Metasploit Framework .................................................................. 49 Figura No. 26 Metodología MAGERIT................................................................. 50 Figura No. 27 Cisco-Auditing-Tool ...................................................................... 54 Figura No. 28 Extracción de Contraseñas a través de Hydra ............................ 55 Figura No. 29 NMAP ............................................................................................ 56 Figura No. 30 Escenario del Ataque de Fuerza Bruta ........................................ 59 Figura No. 31 Escenario de Ataque Hombre en el Medio .................................. 60 Figura No. 32 Escenario de Monitoreo por medio de PRTG .............................. 61 Figura No. 33 Escenario de Escaneo de Vulnerabilidades................................. 62 Figura No. 34 Metodología MAGERIT................................................................. 68 Figura No. 35 Listado de Actividades .................................................................. 70 Figura No. 36 Captura de paquetes del Router R1............................................. 71 Figura No. 37 Captura de Paquetes del Router R2 ............................................ 71 Figura No. 38 Captura de Paquetes del Router R3 ............................................ 72 Figura No. 39 Captura de Paquetes del Router R4 ............................................ 72 Figura No. 40 Escaneo de Puertos al Router Mikrotik ........................................ 73 Figura No. 41 Ataque de fuerza bruta vía FTP ................................................... 73 Figura No. 42 Ataque de Fuerza Bruta vía Telnet .............................................. 74 Figura No. 43 Ataque de fuerza bruta vía SSH ................................................... 74 Figura No. 44 Ingreso de las credenciales en el Mikrotik ................................... 75
xv
Figura No. 45 Acceso al Router Mikrotik .............................................................. 75 Figura No. 46 Análisis del PING ........................................................................... 76 Figura No. 47 Reporte del PING.......................................................................... 76 Figura No. 48 Análisis del PING mediante graficas ............................................ 77 Figura No. 49 Inicio de Nessus ............................................................................ 77 Figura No. 50 Reporte de Vulnerabilidades en el Mikrotik .................................. 78 Figura No. 51 Reporte de Vulnerabilidades Nessus ........................................... 78 Figura No. 52 Escaneo de Puertos en Nessus ................................................... 79 Figura No. 53 Ataque de Fuerza Bruta por medio de Nessus ............................ 79 Figura No. 54 Access-List configurada en los Routers ....................................... 82 Figura No. 55 Denegación de Servicios a través de Access-List ....................... 83 Figura No. 56 Bloqueo de Puertos ...................................................................... 83 Figura No. 57 Resultados del bloqueo de puertos .............................................. 84 Figura No. 58 Reglas de Firewall Mikrotik ........................................................... 84 Figura No. 59 Reglas de Firewall ........................................................................ 85 Figura No. 60 Procesos del bloqueo de puertos ................................................. 85 Figura No. 61 Resultados de las reglas de Firewall............................................ 86 Figura No. 62 Respuesta de la Pregunta 1 ......................................................... 88 Figura No. 63 Porcentaje de Respuesta de la Pregunta 2 ................................. 89 Figura No. 64 Porcentaje de Respuesta de la Pregunta 3 ................................. 90 Figura No. 65 Porcentaje de Respuesta de la Pregunta 4 ................................. 91 Figura No. 66 Porcentaje de Respuesta de la Pregunta 5 ................................. 92 Figura No. 67 Respuesta de la Pregunta 5 ......................................................... 92 Figura No. 68 Porcentaje de Respuesta de la Pregunta 6 ................................. 93 Figura No. 69 Respuesta de la Pregunta 7 ......................................................... 94 Figura No. 70 Porcentaje de Respuesta de la Pregunta 8 ................................. 95 Figura No. 71 Porcentaje de Respuesta de la Pregunta 9 ................................. 96 Figura No. 72 Pregunta 9..................................................................................... 96 Figura No. 73 Pregunta 10 .................................................................................. 97 Figura No. 74 Preguntas de Encuestas I ..........................................................103 Figura No. 75 Preguntas de Encuestas II .........................................................104 Figura No. 76 Preguntas de Encuesta III ..........................................................105 Figura No. 77 Preguntas de Encuestas IV ........................................................106 Figura No. 78 Preguntas de Encuestas V .........................................................107 Figura No. 79 Preguntas de Encuestas VI ........................................................107 Figura No. 80 Topología de Red del Escenario I ..............................................108 Figura No. 81 Configuraciones de las Interfaces de R1 ...................................108 Figura No. 82 Protocolo de Enrutamiento OSPF en R1 ...................................109 Figura No. 83 Interfaces MPLS en R1...............................................................109 Figura No. 84 Tabla de Vecinos MPLS .............................................................109 Figura No. 85 Tabla MPLS LDP ........................................................................110 Figura No. 86 Protocolo OSPF en R2 ...............................................................111 Figura No. 87 Interfaces MPLS en R2...............................................................111 Figura No. 88 Tabla de etiquetas MPLS en R2 ................................................111 Figura No. 89 Tabla MPLS LDP en R2 .............................................................112 Figura No. 90 Tabla MPLS de Vecinos .............................................................113 Figura No. 91 Tabla de Etiquetas MPLS ...........................................................113 Figura No. 92 Interfaces MPLS .........................................................................113 Figura No. 93 Tabla de Vecinos MPLS en R4 ..................................................114 Figura No. 94 Tabla de Etiquetas MPLS en R4 ................................................114
xvi
Figura No. 95 Interfaces MPLS en R4...............................................................114 Figura No. 96 Tabla MPLS LDP en R4 .............................................................115 Figura No. 97 Enrutamiento OSPF en R4 .........................................................115 Figura No. 98 Inicio de Configuración del Mikrotik ............................................116 Figura No. 99 Asignación de una IP al Mikrotik ................................................116 Figura No. 100 Verificación de la IP en el Mikrotik ...........................................117 Figura No. 101 Asignación de una IP al Host ...................................................117 Figura No. 102 Conectividad al Router Mikrotik ................................................118 Figura No. 103 Conectividad al Host .................................................................118 Figura No. 104 Servicios levantados en el Mikrotik ...........................................119 Figura No. 105 Configuración de Password ......................................................119 Figura No. 106 Configuración de la dirección IP del Kali Linux ........................120 Figura No. 107 Configuración de la puerta de enlace en Kali Linux .................120 Figura No. 108 Conectividad del Router Mikrotik con el Kali Linux ..................121 Figura No. 109 Carta de Juicio de Experto .......................................................122 Figura No. 110 Instalación de Nessus...............................................................124 Figura No. 111 Inicio del Servicio de Nessus....................................................124 Figura No. 112 Inicio de Nessus........................................................................124 Figura No. 113 Ingreso de las Credenciales de Root en Nessus .....................125 Figura No. 114 Ingreso del Código de Activación de Nessus ..........................125 Figura No. 115 Inicialización de Plugins de Nessus .........................................126 Figura No. 116 Plugins compilados completamente .........................................126 Figura No. 117 Inicio de Nessus........................................................................127 Figura No. 118 Escaneo del Sistema Operativo ...............................................127 Figura No. 119 Versión de los servicios de Mikrotik .........................................128 Figura No. 120 Acceso al Mikrotik .....................................................................128 Figura No. 121 Verificación de la IP en el Mikrotik ...........................................129 Figura No. 122 Verificación de las Interfaces de Red Instaladas .....................129 Figura No. 123 Verificar direcciones MAC ........................................................129 Figura No. 124 Verificación de comandos de Mikrotik ......................................130 Figura No. 125 Comandos de Mikrotik ..............................................................131 Figura No. 126 Listado de Comandos en Mikrotik ............................................131 Figura No. 127 Políticas de Firewall ..................................................................132 Figura No. 128 Políticas de Firewall ..................................................................132 Figura No. 129 Políticas de Seguridad ..............................................................133
xvii
ABREVIATURAS
UG: Universidad de Guayaquil
SI: Seguridad Informática
SO: Sistemas Operativos
DJ: Dragón JAR
DoS: Denegación de Servicio
DDoS: Denegación de Servicio Distribuido
VLAN: Red de Área Local Virtual
OSPF: OPEN SHORTEST PATH FIRST
EIGRP: Protocolo de Enrutamiento de Puerta de Enlace Interior Mejorado RIP: ROUTING INFORMATION PROTOCOL
xviii
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y
FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE
ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN
PREVIO AL DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE
SEGURIDAD QUE AYUDEN A MITIGAR LOS RIESGOS.
Autor: María Luisa Cansing Saltos Tutor: Ing. Francisco Álvarez
Resumen En este proyecto de titulación referente al análisis de vulnerabilidades en equipos de
enrutamiento de paquetes, se verificó que la mayoría de los Routers que proveen
conexiones remotas a otras redes, estos han sufrido ataques informáticos por parte de
piratas cibernéticos. Estas intrusiones provocan que el equipo se vuelva inutilizable
generando grandes pérdidas económicas en las organizaciones. Para esto se plantea una
propuesta tecnológica que conlleva al desarrollo de cuatro escenarios de ataques y
monitoreo de la red en lo cual se aplican herramientas de código abierto que a su vez se
las utilizó para ejecutar el proceso de identificación de vulnerabilidades, análisis de tráfico
y detección de riesgos. Después de haber cumplido con todo el análisis de vulnerabilidades
se planifica un marco de protección describiendo los mecanismos de seguridad basados
en el estándar ISO 27001 para aumentar la robustez en los dispositivos de enrutamiento.
La metodología de proyecto que se empleó para anexar los resultados del análisis es
MAGERIT donde por medio de tres etapas se desarrolló un cronograma de actividades
describiendo las tareas a realizar, se efectuó la ejecución de las fases de análisis y
descubrimiento de riesgos detallando pruebas de defensa de la red. Por último la ejecución
los cuatro escenarios que se usaron se los realizó en ambientes de prueba controlado
aplicando la virtualización de sistemas operativos, Routers de capa tres y demás.
xix
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
ANALYSIS OF VULNERABILITIES OF AT LEAST 3 ROUTING TEAMS
USING INTRUSION TEST TOOLS PRIOR TO THE DEVELOPMENT OF A PROPOSAL FOR SECURITY MECHANISMS THAT HELP TO
MITIGATE THE RISKS. Author: María Luisa Cansing Saltos
Tutor: Ing. Francisco Álvarez Abstract
In this project of qualification concerning the analysis of vulnerabilities in packet
routing equipment, it was verified that most of the routers that provide remote
connections to other networks, these have undergone computer attacks by pirates
Cyber. These intrusions cause the team to become unusable causing great
economic losses in organizations. This raises a technological proposal that leads
to the development of four attack scenarios and network monitoring in which open
source tools are applied that in turn were used to execute the process of
identification of vulnerabilities, Traffic analysis and risk detection. After complete
vulnerability analysis, a protection framework is planned describing the ISO 27001
standard-based security mechanisms to increase the robustness of routing
devices. The project methodology that was used to annex the results of the
analysis is magerit where by means of three stages a timetable of activities was
developed describing the tasks to be carried out, the execution of the phases of
analysis and discovery of Risks detailing network defense tests. Finally the
execution of the four scenarios that were used were carried out in controlled test
environments applying the virtualization of operating systems, layer three routers
and others.
1
INTRODUCCIÓN Actualmente los dispositivos de capa de red del modelo OSI y TCP/IP han
sido blanco de intrusiones maliciosas debido a las pocas actualizaciones
del sistema operativo para Routers y Switches que viene embebido en
estos, también la no implementación de mecanismos de seguridad
informática han hecho que los mismos estén expuestos a ataques de
denegación de servicio, fuerza bruta, dispersión de código malicioso
provocando fallas en la conexión a la red de datos, bloqueo de accesos a
los sistemas informáticos y alteración de la configuración de los Routers y
Switches Multicapa, generando usuarios no autorizados a la red de internet.
La seguridad en la red es de vital importancia ya que la existencia de
políticas y controles evita que atacantes obtengan acceso a la información
de carácter confidencial y las empresas pueden mantenerse establemente
protegidas.
A continuación, se explica lo que se desarrolla en cada capítulo del proyecto
de titulación
Capítulo I: Se identifica el planteamiento del problema, causas y
consecuencias, situación y conflicto, además se describen los
alcances del proyecto, los objetivos específicos, la justificación e
importancia y la metodología del proyecto.
Capítulo II: Se detalla la fundamentación teórica, legal, definiciones
conceptuales e hipótesis o pregunta científica a contestarse.
Capítulo III: Se describen los recursos técnicos, operacionales,
económicos y legales culminando con las etapas de metodología del
proyecto, entregables y criterios de juicio de experto.
Capítulo IV: Se elabora una matriz de aceptación del producto o
servicio con sus respectivas conclusiones y recomendaciones
2
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DE UN PROBLEMA EN UN CONTEXTO
Actualmente los malwares o códigos maliciosos se han ido propagando en
todos los equipos de enrutamiento con el objetivo de ejecutar botnets que
cumplan con la función de tomar el control de una red de datos, dando una
puerta abierta a los atacantes maliciosos de acceder a la información
confidencial de los usuarios a través de la captura de tráfico de red, también
estos virus poseen la capacidad de tener el acceso a ordenadores que se
encuentran conectados a los diferentes equipos de enrutamiento.(JAEN,
2018)
Además, según la investigación del Ingeniero en Seguridad Informática
Rafael Camargo Vicepresidente de la compañía PORTAL PLUS, detalla
que más de medio millón de dispositivos CISCO de enrutamiento de redes
en 54 países han sido infectados por un sofisticado malware llamado VPN-
FILTER, donde este código malicioso posee el potencial de tomar el control
de la red de internet provocando una paralización de los servicios
corporativos.(Robinson, 2018)
Según una prueba de investigación de seguridad informática describe la
vulnerabilidad de Backdoor crítica de Winbox (Plataforma de configuración
de equipos MikroTik) con su respectivo código (CVE-2018-14847) en
donde, esta se encontró en enrutadores MikroTik teniendo más de 200,000
accesos a estos dispositivos a través de una puerta trasera en base a la
versión de los Routers o Switches Multicapa. Las campañas de malware
han comprometido más de 210,000 enrutadores del proveedor de hardware
de red letón MikroTik en todo el mundo generando un caos en los
3
Proveedores de Servicios de Internet ya que este agujero de seguridad
provoca fugas de información de usuarios legítimos destruyendo la
confidencialidad e integridad de los datos.(D., 2018)
Los piratas informáticos explotan fácilmente la vulnerabilidad de puerta
trasera en la aplicación Winbox del enrutador MikroTik en donde esta fue
descubierta en el mes de abril del 2018 en lo cual la explotación de dicha
vulnerabilidad provoca grandes pérdidas de información de forma
exorbitante generando incidentes de seguridad en una organización. La
falla de seguridad puede permitir que un atacante obtenga acceso
administrativo no autenticado remotamente a cualquier enrutador de
MikroTik vulnerable.(D., 2018)
Algunas de las empresas que manejan información crítica en el transcurso
del tiempo no han tomado en consideración los programas de
concientización sobre la mitigación de códigos maliciosos debido a esto los
piratas informáticos se han aprovechado de las vulnerabilidades en donde
se ha provocado la pérdida de datos sensibles, daños a la integridad de la
información y también se ha visto afectada la disponibilidad de los registros
lógicos.(Agudelo Salazar, 2015)
SITUACIÓN CONFLICTO. NUDO CRITICO
La problemática sobre las vulnerabilidades de los dispositivos de
enrutamiento surge por la falta de una auditoría de seguridades de redes
que permita dar a conocer sobre los posibles fallos de seguridad que
pueden poseer los Routers y Switches multicapa y en base a esto poder
disminuir el nivel de riesgo identificado o tomar el control del mismo con el
fin de evitar incidentes de seguridad que provoquen daños a la
confidencialidad, integridad y disponibilidad de la información.
Además, el poco conocimiento sobre mecanismos de seguridad ha
generado una puerta grande a los piratas informáticos de obtener el acceso
a una red de datos con el objetivo de tomar el control de los servidores, el
borde del internet y de los datos críticos.
4
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Tabla No. 1 Causas y Consecuencias del Problema
Posibles vulnerabilidades en
dispositivos de enrutamiento.
Genera la posibilidad de que se
perpetúen ataques cibernéticos por
parte de personas malintencionadas
con el fin de provocar incidentes de
seguridad.
En diferentes casos existe poco
conocimiento sobre
mecanismos de protección
(Políticas de Seguridad
deficientes).
Posibilidad de provocar algún acceso
interno o externo no autorizado a la
red de datos de una organización.
En algunas empresas ocurre la
falta de inversión en seguridad
informática.
Produce que la red de datos este
expuesta a riesgos y amenazas
generadas por atacantes maliciosos.
Desactualización de
dispositivos de enrutamiento
Provoca un alto índice de ataques
informáticos.
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
DELIMITACIÓN DEL PROBLEMA
Tabla No. 2 Delimitación del Problema Campo Redes y Telecomunicaciones
Área Seguridad Informática
Aspecto Vulnerabilidades en equipos de enrutamiento
Tema
Análisis de vulnerabilidades de al menos 3 equipos de
enrutamiento utilizando herramientas de test de intrusión
previo al desarrollo de una propuesta de mecanismos de
seguridad que ayuden a mitigar los riesgos.
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
5
FORMULACIÓN DEL PROBLEMA
1. ¿Cree usted que con el análisis de vulnerabilidades en los
Routers y Switches Multicapa las empresas podrán conocer los
fallos de seguridad de esto y poder tomar medidas de
prevención?
EVALUACIÓN DEL PROBLEMA
A continuación, se indicará los siguientes aspectos generales de vital
importancia dentro de la evaluación del problema, los mismos que ayudaran
a definir la situación actual sobre el análisis de vulnerabilidades en los
Routers y Switches Multicapa y en base a esto definir estrategias de
seguridad informática que permitan llegar a la resolución de dicho
problema.
Delimitado: Algunas de las empresas emplean mecanismos de
seguridad débiles o de nivel bajo, para controlar las intrusiones
maliciosas que puede ejecutar un pirata informático hacia los
Routers y Switches Multicapa en una compañía con diferentes
unidades de negocios, pero esta forma de control no es la más
óptima, debido a la falta de un dispositivo de seguridad informática
como un UTM (Gestión Unificada de Amenazas) o Routers con
Listas de Control de Acceso que cumpla con la función de filtrar
paquetes de datos bloqueando las conexiones no autorizadas.
Claro: Las herramientas de seguridad informática como: NMAP,
METASPLOIT, HYDRA, WIRESHARK y demás serán utilizadas en
la presente propuesta tecnológica y estas definirán claramente los
posibles fallos de seguridad que se pueden presentar en los
6
dispositivos de enrutamiento conectados en una infraestructura de
red.
Evidente: Por medio de este análisis de vulnerabilidades se logrará
detectar el comportamiento de cada uno de los equipos Capa 3 del
modelo OSI y TCP/IP a través de la aplicación de protocolos de
enrutamiento dinámico como: OSPF (Protocolo de Estado de
Enlace), EIGRP (Protocolo de Enrutamiento de Puerta de Enlace
Interior), BGP (Protocolo de Puerta de Enlace) y RIP (Protocolos de
Información de Rutas) frente a las intrusiones maliciosas que son
realizadas a cada uno de los dispositivos de Capa 3 (Routers y
Switches), para evaluar el nivel de seguridad y en base a esto tomar
los correctivos necesarios.
Relevante: La propuesta tecnológica posee un enfoque de estudio
definido y concreto, donde se proyecta para ser un análisis de vital
importancia para determinar los niveles de seguridad en los Routers
y Switches Multicapa, esta auditoría será documentada en un
informe que será anexado en este proyecto.
Concreto: Actualmente los dispositivos de enrutamiento en algunos
casos no cuentan con un análisis periódico de vulnerabilidades,
debido a esto las empresas no poseen conocimiento sobre el estado
de la seguridad en la infraestructura tecnológica donde no perciben
si existe alguna fuga de información en los servidores de
aplicaciones que se encuentran conectados a la red de Internet.
Factible: Las herramientas y los distintos sistemas operativos que
se utilizaran en el proyecto son de software libre por la cual se
denomina factible la propuesta tecnológica.
7
ALCANCES DEL PROBLEMA
Los alcances del problema son los siguientes:
Configurar las interfaces, servicios, métodos de autenticación en
los Routers y Switches Multicapa utilizando las herramientas de
GNS3, CISCO PACKET TRACERT y WINBOX.
Detallar en un informe de auditoría de seguridades de redes los
resultados de las pruebas de test de penetración en los Routers y
Switches Multicapa.
Implementar listas de control de acceso, filtrado de paquetes,
bloqueo de puertos y demás en los dispositivos de enrutamiento.
Acoplar estándares de seguridad de la información para determinar
los controles que ayuden a disminuir los riesgos y amenazas en la
red de datos.
OBJETIVOS DE LA INVESTIGACIÓN:
OBJETIVO GENERAL
Realizar un análisis de vulnerabilidades de Routers y Switches Multicapa
de al menos tres fabricantes de tecnología de la información, para
determinar los niveles de riesgos y amenazas en estos equipos y que
pueden provocar incidentes de seguridad en pequeñas y medianas
empresas.
OBJETIVOS ESPECIFICOS
Realizar un levantamiento de información de Routers y Switches
Multicapa de al menos tres fabricantes de tecnología informática que
existen actualmente en el mercado tecnológico.
8
Realizar pruebas de test de intrusión en Routers y Switches
Multicapa de al menos tres fabricantes de tecnología de la
información aplicando plataformas Linux.
Emplear una tabla describiendo las recomendaciones basadas en
estándares de seguridad de la información para mitigar los riesgos
en el análisis de vulnerabilidades en los Routers y Switches
Multicapa.
Desarrollar una propuesta de seguridad basada en los resultados del
análisis de vulnerabilidades en Routers y Switches Multicapa de al
menos tres fabricantes de tecnología de la información y detallar
dichos resultados a través de informes de Auditoría de Seguridad
Informática.
Realizar configuraciones de seguridad en Routers y Switches
Multicapa de al menos dos de los tres fabricantes de tecnología de
la información aplicando reglas de cortafuego, filtrado de paquetes,
proxy y bloqueo de puertos.
JUSTIFICACIÓN E IMPORTANCIA
La seguridad en los Routers y Switches Multicapa es de vital importancia
para mantener protegida la red de datos, con el fin de evitar ataques
informáticos que permitan tener el control total de la red, la captura de
tráfico de red y el acceso a los ordenadores que se conectan a los equipos
de capa 3. Uno de los métodos de seguridad informática que se puede
emplear es la filtración de puertos con el objetivo de bloquear los accesos
ilícitos a la infraestructura tecnológica.
La importancia del proyecto de titulación a desarrollar es la de identificar y
analizar las vulnerabilidades en los Routers y Switches Multicapa a través
de herramientas de escaneo de puertos y, además, determinar los riesgos
9
que pueden tener estos equipos mediante ataques de fuerza bruta, Hombre
en el Medio y denegación de servicios con el objetivo de tomar medidas de
precaución para salvaguardar la información almacenada en directorios,
base de datos y demás gestores de almacenamiento.
METODOLOGÍA DEL PROYECTO
MÉTODOS
Para el desarrollo del siguiente proyecto de titulación se emplea lo
siguiente:
Método experimental, realización de las pruebas de test de intrusión
en los dispositivos de enrutamiento.
Método de campo, en este método se aplica la técnica de
recolección de información la encuesta para medir el nivel de
viabilidad de la propuesta tecnológica.
Método teórico, en este método se detalla lo siguiente:
o Funcionamiento de los Routers y Switches Multicapa.
o Funcionamiento y descripción de las herramientas de
seguridad informática.
o Diseño de los escenarios para implementar los mecanismos
de seguridad en los dispositivos de enrutamiento.
o Descripción de las herramientas GNS3, WINBOX y CISCO
PACKET-TRACERT.
10
CAPÍTULO II
MARCO TEORÍCO
ANTECEDENTES DE ESTUDIO
Mediante el siguiente estudio que fue realizado por el Ingeniero en Redes
y Telecomunicaciones Daniel Molina, experto de la empresa de Antivirus
Kaspersky en el año 2014, afirma que el 16% de los usuarios de la región
de Sudamérica fueron víctimas de estafas electrónicas ejecutadas en la red
de internet, en donde el índice de fraudes suma 60’090.173 detecciones de
intrusiones maliciosas en ese mismo año.(CARRIEL & PESANTES, 2015)
Actualmente en el Ecuador se sostiene, las cifras de ataques cibernéticos
que podrían ir aumentándose debido al incremento de la economía en el
país, en base a esto los piratas informáticos lo ven como un blanco fácil e
importante para la ejecución de intrusiones maliciosas y por medio de
dichas intrusiones realizar fraudes bancarios provocando incidentes de
seguridad como: pérdida de información confidencial y sustracción de
activos físicos y lógicos.(CARRIEL & PESANTES, 2015)
Además, el Ingeniero Daniel Molina ha indicado que este tipo de incidentes
pueden tomar crecimiento de forma exorbitante sino se toma en
consideración las medidas de protección adecuadas de implementar
políticas y controles de seguridad que permitan disminuir el riesgo o tenerlo
bajo inspección y a su vez para proteger las tecnologías de la información
y comunicación; y así evitar que personas ajenas se apoderen de los
sistemas informáticos que proporcionan luz eléctrica, agua potable,
servicios bancarios y demás.(CARRIEL & PESANTES, 2015)
En los últimos años, las compañías en el Ecuador han tomado fuerza en el
concepto de seguridad informática, debido a los ataques que se han ido
perpetuando en el transcurso del tiempo por parte de usuarios maliciosos
que intentan acceder a la información confidencial. Sin embargo, a medida
del crecimiento de las redes de internet y de los servicios corporativos que
11
se pueden proporcionar mediante la nube, se ha ido incrementando las
vulnerabilidades a nivel tecnológico ya que los atacantes ejecutan
intrusiones para capturar cualquier tipo de dato. Estas vulnerabilidades o
fallos de seguridad afectan netamente el funcionamiento de sistemas
informáticos, así como también a nivel de hardware.(PÁRRAGA, 2018)
Es de vital importancia que en el Ecuador país Sudamericano esté
posicionado en puestos estelares de informática y tecnología a nivel de
América Latina, por lo tanto, es de suma relevancia aportar de varias formas
a la sociedad u organizaciones con proyectos tecnológicos que sirvan de
gran apoyo y catapulten al Ecuador en investigaciones en tendencias y
temas de seguridad informática.(PÁRRAGA, 2018)
Con el pasar de los años, las intrusiones maliciosas ejecutadas por los
piratas informáticos en Colombia país Sudamericano y Caribeño, y país
vecino del Ecuador, se han venido dando en aumento en las corporaciones
bancarias, en donde debido a la actividad de grupos de crackers se
producen pérdidas millonarias principalmente gracias a las vulnerabilidades
que se presentan en los sistemas transaccionales de los bancos, el acceso
a los gestores de bases de datos financieros por medio de personas
malintencionadas y la clonación de tarjetas de crédito de clientes de banco
utilizando tecnologías NFC (Comunicación de Campo Cercano). Unos
ejemplos de los ataques cibernéticos que son realizadas por atacantes en
instituciones financieras se dan en la ciudad de Cali - Colombia, en donde
el delito se presenta por un mismo empleado de la entidad bancaria es decir
se comete un fraude interno, en donde se sustrae dinero de los clientes por
medio de aplicaciones informáticas de hackeo ético duplicando
documentos privados de personas que poseían cuentas bancarias en
algunos bancos de la ciudad de Cali, “En base a la investigación se describe
que el individuo, en su calidad de ejecutivo, tenía el acceso a las cuentas
de los usuarios suplantando su firma y su huella. Así, retiraba el dinero que
éstos poseían en sus cuentas desde cajeros automáticos y realizaba
transacciones en línea. Este evento ocurrió el año 2012 donde los medios
12
de comunicación colombianos describieron que el empleado del banco
sustrajo a los clientes un monto equivalente a $360 millones.”.(PARRA,
2017)
Mediante un estudio realizado por la compañía PWC en el año 2015 reporta
que en los últimos años los incidentes de Seguridad Informática se han ido
incrementando en cifras alarmantes; según esta compañía consultora en
su reporte Global State of Information Security Survey 2015, describe que
42.8 millones de incidentes de seguridad a nivel mundial son equivalentes
a 117,339 ataques cibernéticos por día, con un aumento del 66% respecto
al año 2009, detallando que el promedio de las pérdidas financieras creció
en un 33% a nivel de escala global.(Domínguez, Maya, 2016)
Siguiendo con este estudio se describe que, en el último año, la cifra de
intrusiones maliciosas se incrementó en un 29.27% donde las empresas
ubicadas en países de América del Sur, fueron víctimas de ataques
informáticos con un promedio del 31.59% de éxito, que equivale a cincuenta
o más incidentes de seguridad provocados, de acuerdo al reporte
presentado por la consultora PWC.(Domínguez, Maya, 2016)
13
Figura No. 1 Reporte de Incidentes de seguridad
Fuente: (Domínguez, Maya, 2016) Autor: (Domínguez, Maya, 2016)
FUNDAMENTACIÓN TEÓRICA
REDES DE DATOS
REDES DE ÁREA LOCAL
Las redes de área local LAN son topologías que son instaladas en hogares,
edificios, departamentos, oficinas, Cybers Café y demás con el objetivo de
que sean solamente utilizadas por usuarios de carácter residencial y
pequeñas y medianas empresas, estas redes utilizan como medio de
transmisión guiado el cable UTP donde la distancia de este cable llega
hasta 100 metros aproximadamente. Las redes LAN están compuestas por
Switches no administrables, Switches Multicapa, Routers de capa 3,
Módems entre otros dispositivos de red, para la interconexión de
computadores de escritorio, laptops, impresoras, teléfonos IP, Servidores
Linux y Windows con la finalidad de que los usuarios compartan y accedan
a los recursos e intercambiar información a través de la red de área local.
También estas redes simplifican la administración de la misma por lo cual
14
poseen la ventaja de ser independientes.(Toranzo, Antonio, & Rivas, 2018)
A continuación, se presenta otros componentes que forman parte de una
red local:
PATCH PANEL
Puntos de Datos
Puntos de Voz
Testeadores que verifican el estado de la red local.
Figura No. 2 Redes LAN
Fuente: https://netcloudengineering.com/funcionamiento-redes-lan/
Autor: NET-CLOUD-ENGINEERING
REDES DE ÁREA METROPOLITANA
Las redes de área metropolitana se consideran una versión más extensa
que las redes de área local ya que normalmente son implementadas en
campus académicos (Colegios y Universidades), en ciudades, conjuntos
residenciales y demás, estas redes están compuestas por dispositivos de
capa 3 como Routers o Switches Multicapa en donde estos equipos aplican
protocolos de enrutamiento dinámico para la interconexión de todos los
segmentos y que cada porción de la red tenga acceso a internet con un
ancho de banda dedicado.
15
Las redes MAN también son instaladas en las organizaciones corporativas,
en grupos de oficinas que se encuentren ubicados en una ciudad aplicando
las normas de cableado estructurado correspondientes con el fin de
disminuir los retardos de la red, estas redes no poseen elementos de
conmutación, debido a que cumplen con la función de desviar los paquetes
de datos por una de varias líneas de salida potenciales.
Las redes de área metropolitana, son aquellas que comprenden una
ubicación geográfica determinada "ciudad, municipio", y su distancia de
cobertura es mayor de 4 Kmts aproximadamente. Son redes con dos buses
unidireccionales, cada uno de ellos es independiente del otro en cuanto a
la transferencia de datos.
Figura No. 3 Redes de Área Metropolitana
Fuente: http://sistemasenredes1.blogspot.com/
Autor: Jordy Cruz
REDES DE ÁREA EXTENSA WAN
Las redes WAN son redes de área extensa en donde se expanden sobre
un área geográfica, para establecer canales de comunicación de voz, datos
y video a larga distancia. Estas redes son la unión varias redes LAN por
medio de protocolos de enrutamiento configurados en los Routers y
Switches Multicapa con diferentes segmentos de direccionamiento IP,
además, proporcionan la funcionalidad de que los usuarios pueden
16
interconectarse con servidores como: Videos Conferencias, DNS (Servidor
de Nombres de Domino), Web-Server, aplicaciones móviles que facilitan
servicios de Mensajería Instantánea, Reproducción de contenido
Multimedia, Transacciones en línea y demás donde estas infraestructuras
de red se encuentran ubicadas en otros países.(Toranzo et al., 2018)
Las subredes configuradas en los Routers y Switches Multicapa poseen
varios elementos que se describen a continuación:
• Líneas de comunicación: Transferencias de bits 1 y 0 de un
ordenador a otro a través de la red de internet.
• Elementos de conmutación: Computadores especializados que se
conectan dos o más líneas de transmisión, para la conexión con más
redes mediante el enrutamiento estático o dinámico.
Una red WAN contiene numerosos cables conectados a un par de
encaminadores que cumplen con la función de enrutar la red para que los
usuarios puedan tener acceso a los diferentes servicios. Si dos
encaminadores que no comparten cable o medio de transmisión y desean
establecer un canal de comunicación, el administrador de red configura un
protocolo de enrutamiento de borde BGP para la conexión o envío y
recepción de paquetes de datos de forma adyacente o también proporciona
un enrutamiento dinámico tipo IGP (Protocolo de Gateway Interior) donde
por medio de un Router intermedio existe la comunicación.(Toranzo et al.,
2018)
Las redes WAN también son denominadas redes satelitales donde por
medio de un enlace proveniente del espacio existe un canal de
comunicación para dos redes que se conectan a un satélite especifico, lo
cual este se convierte en un encaminador.(Toranzo et al., 2018)
17
Figura No. 4 Redes de Área Extensa
Fuente: http://www.ejemplos.org/ejemplos-redes-wan.html
Autor: Trabajo de Investigación
COMPARATIVA DE LAS CATEGORIAS DEL CABLEADO
ESTRUCTURADO
Tabla No. 3 Cuadro Comparativo
Comparación entre cables de categoría 5, 5e, 6, 6ª y 7
Especificaciones
técnicas CAT 5 CAT 5E CAT 6 CAT 6ª CAT 7
Frecuencia 100
MHz
100
MHz
250
MHz
500
MHz 600 MHz
Atenuación (mín.
a 100 MHz) 22 dB 22 dB 19.8 dB -- 20.8 dB
Impedancia
característica
100
ohm =
15%
100
ohm =
15%
100
ohm =
15%
-- 100 ohm =
15%
NEXT (mín. a 100
MHz) 32.3 dB 35.3 dB 44.3 dB 27.9 dB 62.1 dB
18
PS-NEXT (mín. a
100 MHz) N/A 32.3 dB 42.3 dB -- 59.1 dB
EL-FEXT (mín. a
100 MHz) N/A 23.8 dB 27.8 dB 9.3 dB
Sin
especificar
PS-ELFEXT
(mín. a 100 MHz) N/A 20.8 dB 24.8 dB --
Sin
especificar
PS-ANEXT (mín.
a 500 MHz) -- -- -- 49.5 dB --
PS-AELFEX
(mín. a 500 MHz) 16 dB 20.1 dB 20.1 dB 23.0 dB 14.1 dB
Pérdida de
retorno (mín. a
100 MHz)
16 dB 20.1 dB 20.1 dB 8 dB 14.1 dB
Delay Skew
(máx. por cada
100 m)
N/A 45 ns 45 ns -- 20 ns
Redes
soportadas
100
BASE-T
1000
BASE-T
1000
BASE-
TX
10
GBASE
Sin
especificar
Fuente: Trabajo de Investigación Autor: María Luisa Cansing
TOPOLOGÍAS DE RED DE DATOS
TOPOLOGÍA BUS: La topología bus es aquella que todos los ordenadores
se encuentran conectados a un circuito común (bus) sin la necesidad de un
dispositivo enrutador. La información dentro de esta topología es enviada
de una computadora a otra en lo cual los paquetes de datos viajan
directamente o indirectamente, si existe un controlador de red estos
paquetes pueden ser enviados al destino correcto. Los datos viajan por un
medio de transmisión guiado en ambos sentidos a una velocidad de 10/100
19
Mbps aproximadamente y contiene en sus dos extremos una resistencia
(terminador). En esta red de datos se conectan una gran cantidad de
computadoras al bus, si un computador falla, la comunicación se mantiene,
caso contrario si la red bus falla el canal de comunicación se congestiona.
El tipo de cableado que se emplea en esta topología es el cable coaxial,
par trenzado o fibra óptica. En la red bus, cada estación de trabajo está
conectada a un segmento común de cable de red, donde el segmento de
red es colocado como un bus lineal, es decir un cable largo que va de un
extremo a otro de la red, y al cual se conecta cada nodo de ésta. El cable
puede ir por el piso, las paredes, el techo o por varios lugares, siempre y
cuando sea un segmento continuo.(ECURED, 2018b)
Figura No. 5 Topología Bus
Fuente:https://sites.google.com/a/galileo.edu/proyectofinal9352/topologias
-de-red/bus Autor: ECURED
TOPOLOGÍA ESTRELLA: En la topología estrella la transmisión es
activada a través de un nodo central activo que normalmente posee la
capacidad y los medios para prevenir problemas relacionados con el eco o
el ruido que distorsionan los datos, está infraestructura es utilizada en redes
de área local donde la mayoría de las redes de área local que están
compuesta por un enrutador (router), un conmutador (switch) o un
20
concentrador (hub) se basan en esta topología estrella. El nodo central en
estas sería el enrutador, el conmutador o el concentrador, por el que pasan
todos los paquetes de datos dirigiéndolos a su destino.(ECURED, 2018b)
VENTAJAS DE LA TOPOLOGÍA ESTRELLA
• Posee los medios para disminuir los problemas presentes en la red.
• Si un ordenador es desconectado solo queda fuera de la red ese
Host.
• Facilidad de agregar y reconfigurar la arquitectura de una PC.
• Facilidad de prevenir daños o conflictos.
• Posee la capacidad de prevenir que todos los nodos se comuniquen
entre sí de forma conveniente.
• El mantenimiento de la red de datos es más económico que la
topología bus.
Figura No. 6 Topología Estrella
Fuente: https://www.ecured.cu/Red_en_estrella
Autor: ECURED
TOPOLOGÍA ANILLO: En este tipo de red la comunicación se establece
por el paso de un token o testigo, que es conceptualizado como un cartero
que circula en la red recolectando y enviando paquetes de información, de
21
esta forma se evitan incidencias sobre la pérdida de datos críticos debido a
los niveles de colisiones provocado por los usuarios. En un anillo doble, dos
anillos cumplen con la función de permitir que los datos se envíen en ambas
direcciones IP Fuente y Destino. Esta configuración crea redundancia
(tolerancia a fallos), con la finalidad de mantener el rendimiento y
disponibilidad de la red de datos.(ECURED, 2018b).
VENTAJAS DE LA TOPOLOGÍA ANILLO
• Simplicidad de Arquitectura.
• Facilidad de configuración.
• Facilidad de fluidez de datos.
Figura No. 7 Topología Anillo
Fuente: https://www.ecured.cu/Red_en_anillo
Autor: ECURED
PROTOCOLOS Y ARQUITECTURAS
En la siguiente tabla se detallan las 7 capas del modelo OSI en donde se
describirán las 3 primeras que se ajustan al proyecto de titulación.
Tabla No. 4 Protocolos y Arquitecturas
22
Aplicación
Presentación
Sesión
Transporte
Red
Enlace de Datos
Física
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Capa Física: En esta capa se detalla los medios de transmisión guiados y
no guiados en donde en la siguiente tabla se describen cuales son cada
uno de ellos.
Tabla No. 5 Medios de Transmisión Guiados MEDIOS DE TRANSMISIÓN GUIADOS
CABLE UTP (DISTANCIA HASTA
100 METROS)
CABLE COAXIAL (DISTANCIA
HASTA 500 METROS)
23
CABLE DE FIBRA ÓPTICA
(DISTANCIA MÁXIMA MÁS DE
100 KM)
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Tabla No. 6 Medios de Transmisión no Guiados
Medios de Transmisión no Guiados
Comunicaciones Satélites
(La distancia depende del
ángulo donde la antena
parabólica se enlaza con el
satélite)
Enlaces Microondas (La
distancia depende de la
zona de fresnel)
Enlaces Inalámbricos (La
distancia depende de la
cantidad de antenas del
Router Inalámbrico)
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
24
Capa de Enlace de Datos: Esta capa comprende la transferencia de
información de manera fiable que es realizada mediante un circuito de
transmisión de datos, la capa de enlace de datos recibe peticiones que son
enviadas por la capa de red utilizando los servicios de la capa física.
A continuación, se detalla los dispositivos que comprenden la capa de
enlace de datos:
Switches de Capa de Enlace de datos: Los Switches son
dispositivos que trabajan bajo la capa de enlace de datos del modelo
OSI y TCP/IP que cumplen con la función de permitir la interconexión
de múltiples segmentos físicos de una red de área local, en una sola
red de gran tamaño, los switches son aquellos que envían y
distribuyen el tráfico basado en direcciones MAC produciendo que
las redes LAN sean más eficientes, a pesar de que la funcionalidad
de conmutación se lleva a cabo en el hardware y no en el software.
Estos dispositivos Switches también utilizan la conmutación para
almacenar y enviar de una forma rápida el tráfico a toda la red
aumentando el rendimiento y escalabilidad de la misma, los switches
se los denomina switches multipuerto, en donde estos poseen varios
puertos de conexión dado que una de sus funciones es la
concentración de conectividad esto quiere decir que admiten que
varios dispositivos se conecten a un punto de la red.(Sulbaran, 2013)
Figura No. 8 Switches de Capa 2
Fuente: https://www.gowifi.co.nz/switches/oms8.html
Autor: Suppliers of Long Range Wireless Network Equipment & Accessories
25
Hub: Los HUB son dispositivos que están compuestos por
repetidores que cumplen con la función de retransmitir señales que
son recibidas por una computadora hacia otros ordenadores sin la
necesidad de alterar la información que circula a través de la red LAN
donde los HUB forman parte. El término concentrador o Hub
describe la forma en que las conexiones de cableado de cada nodo
de una red son centralizadas y conectadas en un único dispositivo.
En una red de HUB, los administradores emplean técnicas de
comunicación vía Ethernet, Token Ring y FDDI (Interfaz de Datos
Distribuida) en donde estas soportan módulos individuales que
poseen la capacidad de concentrar múltiples tipos de aplicaciones
en un sólo dispositivo. Normalmente los concentradores integran
ranuras que son de gran utilidad, para implementar varios módulos
y un panel trasero común que tienen como finalidad establecer
protocolos de enrutamiento, filtrado de paquetes, puertos y conexión
a diferentes medios de transmisión (por ejemplo, Ethernet y Token
Ring). También los equipos HUB poseen una serie de Diodos
Emisores de Luz que indican el estado de conexión de los
usuarios.(Castellanos, 2012)
Figura No. 9 Hub o Concentrador
Fuente: https://www.amazon.com/Netgear-EN-108TP-10-Base-
T-Ethernet-8-Port/dp/B00000J4L6 Autor: AMAZON
26
Capa de red: La capa de red, según la normalización OSI, es un nivel o
capa que proporciona la conectividad y selección de ruta entre dos Routers
que tienen configurado un enrutamiento y que están ubicados en redes
geográficamente distintas o con diferentes segmentos de direccionamiento
IP. Es el tercer nivel del modelo OSI y su objetivo es obtener que los datos
lleguen desde el origen al destino, aunque no tengan conexión directa esto
se puede realizar por medio de la aplicación de protocolos de enrutamiento
dinámico como: OSPF (Open Shortest Path First), EIGRP (Protocolo de
Enrutamiento de Puerta de Enlace Interior), RIP (Protocolo de Información
de Rutas), IS-IS (Intermedia System-Intermedia System) y enrutamiento
estático. También esta capa proporciona servicios al nivel superior (nivel de
transporte) apoyándose en el nivel de enlace de datos, es decir que utiliza
sus funciones, para asignar direcciones de red únicas, interconectando
subredes de distintos rangos, encaminación de paquetes de datos,
utilización de un control de congestión y corrección de errores.(ECURED,
2018a)
A continuación, se describe los dispositivos que trabajan bajo la capa 3 del
modelo OSI.
Router de capa de red: Los Routers son dispositivos de encaminamiento
que pertenecen a la capa tres del modelo OSI, donde estos poseen la
capacidad de saber si el destinatario que recepta un paquete de
información pertenece a una red local o remota. Los Routers incluyen
funciones de enrutamiento, seguridad, VLAN a nivel de capa 3 y demás
donde el administrador de infraestructura configura tales funciones, para
establecer una interconexión entre dos o más redes con distinto rango de
direccionamiento IP. A continuación, se detalla lo siguiente:(TORO, 2018)
Soporte de Protocolo de Enrutamiento Dinámico (BGP, OSPF,
EIGRP, RIP e IS-IS)
Soporte de enrutamiento estático.
27
Soporte de enrutamiento de VLAN.
Soporte de direccionamiento IPV4 e IPV6.
Soporte de Listas de Control de Acceso.
Soporte de Filtrado de Paquetes.
Soporte de Seguridad de Puertos.
Soporte de asignación de Ancho de Banda.
Soporte de Protocolos basado en Etiquetas MPLS, redes privadas
virtuales VPN, enlaces redundantes HSRP y balanceo de carga
GLBP.
Figura No. 10 Router de Capa 3
Fuente: http://www.ingenieriasystems.com/2017/01/Comparacion-de-conmutacion-de-capa-2-y-conmutacion-de-capa-3-y-Cisco-Express-
Forwarding-CCNA1-V5-CISCO-C5.html Autor: Guillermo Benítez
28
Switches Multilayer: Los Switches que operan bajo la capa de enlace de
datos y de red son dispositivos que poseen funciones de conmutación y
enrutamiento basado en hardware dentro de la misma plataforma IOS Un
Switch multicapa es aquel que ejecuta, una trama de paquetes de datos
hacia varios segmentos de red o intercambian sus rutas cuando tienen
configurado un enrutamiento estático o dinámico, interconectando todas las
sucursales, generalmente lo realizan los Switches y routers tradicionales, a
continuación, se describe las funcionalidades de los Switches
Multicapa:(TORO, 2018)
Soporte de Configuración de redes de área local virtuales VLAN.
Soporte de Configuración de Protocolo de Transferencia de VLAN.
Soporte de Configuración de Protocolos de Seguridad Informática a
nivel de capa de enlace de datos y de red.
Soporte de Configuración de Ethernet Channel.
Soporte de Configuración de enlaces redundantes y balaceo de
carga.
Soporte de Configuración de Protocolos de Enrutamiento Dinámico
y Enrutamiento Estático.
Soporte de Configuración de Spanning Tree y enrutamiento de
VLAN.
29
Figura No. 11 Switches Multicapa
Fuente: https://sites.google.com/site/elenamanueljacobo1/unidad-v-
switches-multicapa/1---introduccion-a-los-swtiches-multicapa Autor: Trabajo de Investigación
ENRUTAMIENTO ESTÁTICO
Dentro de una red de datos el enrutamiento estático es aquel que el
administrador define en sus dispositivos de capa tres la dirección de red
destino, su máscara y la IP del próximo salto de esta manera una ruta es
seleccionada para cada segmento de la red identificando el origen y el
destino. También un administrador de red posee la capacidad de configurar
manualmente una ruta estática para llegar a una red específica pero ambos
sectores de las redes deben de conocerse, para que exista conectividad
entre estas. A diferencia de los protocolos de enrutamiento dinámico que
se mencionan más adelante en este proyecto la configuración de estos es
sumamente diferente donde solamente se ingresa las redes que están
directamente conectadas en los routers o switches multicapa y estos
cumplen con la función de intercambiar sus rutas internamente, en caso las
rutas estáticas no se actualizan automáticamente y deben ser
reconfigurados manualmente en momentos que la topología de red varíe
surjan cambios como: la implementación de nuevos equipos, la agregación
de más usuarios y demás.(Valverde, 2016)
30
Figura No. 12 Enrutamiento Estático
Fuente: http://www.seaccna.com/rutas-estaticas-enrutamiento-estatico/
Autor: Rosa Barbosa
PROTOCOLOS DE ENRUTAMIENTO DINÁMICO
OSPF: Es un protocolo de enrutamiento dinámico a nivel jerárquico de tipo
estado de enlace desarrollado para la interconexión de redes con diferentes
rangos de direccionamiento IP donde su métrica es el menor costo de
ancho de banda posible, este protocolo se basa en el algoritmo de primera
vía más corta SPF (Sender Policy Framework).(IBM, 2017)
En una red OSPF, los sistemas que pertenecen a la misma área mantienen
una base de datos de estado de enlace idéntica que describe la topología
del área. Cada sistema autónomo del área genera su propia base de datos
de enlace-estado a partir de los anuncios LSA (Light Summary Algorithm)
que recibe de los demás sistemas de la misma área y de los LSA que él
generado por el protocolo de enrutamiento. El LSA es un paquete que
contiene información sobre los routers vecinos y los costes de cada vía,
enfocándose en la base de datos de enlace-estado, donde cada
direccionador ejecuta un cálculo de un árbol de extensión de vía más corta,
siendo él mismo la raíz, utilizando el algoritmo SPF.(IBM, 2017)
31
Ventajas del protocolo de enrutamiento dinámico OSPF
OSPF posee la capacidad de ser implementado en redes
heterogéneas, con el fin de recalcular las rutas en un corto tiempo
cuando la infraestructura tecnológica de red es escalable.
OSPF cumple con la función de dividir un sistema autónomo en
diferentes áreas en donde estas son separadas para disminuir el
tráfico de direccionamiento OSPF y el tamaño de la base de datos
de estado de enlace.
OSPF proporciona su direccionamiento multivía de coste
equivalente, se pueden agregar rutas duplicadas a la pila TCP
(Protocolo de Control de Transmisión) utilizando distintos saltos.
Figura No. 13 Protocolo de Enrutamiento OSPF
Fuente: https://ccieblog.co.uk/ospf/ospf-capability-transit
Autor: CCIE
EIGRP: El protocolo de enrutamiento dinámico EIGRP (Protocolo de
Enrutamiento de Puerta de Enlace Interior Mejorado) es propietario de
CISCO y una versión mejorada de IGRP (Protocolo de Enrutamiento de
Puerta de Enlace Interior) donde se pueden verificar algunas mejoras como
el soporte de Subnetting, VLSM (Máscara de Longitud Variable)
32
convergencia con otras tecnologías y demás. La tecnología de vector de
igual distancia que se emplea en IGRP también es aplicada en EIGRP, lo
cual la información de la distancia subyacente no presenta cambios. Las
propiedades de convergencia y la eficacia de operación de este protocolo
han mejorado de forma significativa llegando al aumento del rendimiento en
redes que tienen configurado este protocolo en sus dispositivos de
enrutamiento. Esto permite una arquitectura mejorada y, a la vez, retiene la
inversión existente en IGRP.(CISCO, 2013)
La tecnología de convergencia del protocolo EIGRP es aquella que se
enfoca en una investigación realizada por la compañía informática SRI
International, donde se determinó que el algoritmo difusor de actualización
(DUAL) es el algoritmo utilizado por dicho protocolo de enrutamiento, para
obtener la loop-libertad de forma inmediata de cada router vecino. Esto les
permite a todos los dispositivos de capa tres conectados en una topología
la sincronización con todos los servicios de la red de datos al mismo tiempo.
Los routers que no se ven afectados por los cambios de topología no se
incluyen en el recálculo, el tiempo de convergencia con DUAL compite con
el de cualquier otro protocolo de ruteo existente.(CISCO, 2013)
Figura No. 14 Protocolo de Enrutamiento Dinámico EIGRP
Fuente: https://www.astorinonetworks.com/2011/06/14/eigrp-stub-routing/
Autor: Joe Astorino
33
Funcionamiento del protocolo de enrutamiento EIGRP
El protocolo de enrutamiento dinámico EIGRP consta de las siguientes
funciones que se mencionan a continuación:
Recuperación y detección del vecino.
Protocolo de transporte confiable.
Máquina de estados finitos DUAL.
Módulos dependientes del protocolo.
La detección o recuperación de vecinos consiste en ejecutar procesos que
son aplicados en los routers con el objetivo de que estos aprendan de
manera dinámica las rutas de otros routers conectados directamente a sus
redes. Los routers también cumplen con la función de detectar cuando sus
vecinos se vuelven inalcanzables o se quedan fuera de la red de datos por
el congestionamiento de los enlaces WAN. Los dispositivos de capa 3
cuando se encuentran operativo determinan que routers están activos o en
funcionamiento, con la finalidad de intercambiar su información de las
tablas de rutas.(CISCO, 2013)
El transporte confiable es aquel que posee la responsabilidad de garantizar,
las entregas ordenadas de paquetes EIGRP a todos los routers vecinos
manteniendo así la interconexión con todos los servicios de la red de datos.
Este protocolo de enrutamiento tiene la funcionalidad de soportar la
transmisión de multicast o los paquetes de unidifusión entremezclados,
donde algunos de los paquetes EIGRP son transmitidos de manera
confiable, mientras que para otros esto no es necesario. Por ejemplo, en
una red de acceso múltiple que tiene capacidades de multidifusión, tal como
Ethernet, no es necesario enviar saludos confiables a todos los vecinos en
individualmente. Entonces, EIGRP envía un saludo de multidifusión único
con una indicación en el paquete que informa a los receptores que dicho
34
paquete no necesita ser reconocido. Otros tipos de paquetes, como las
actualizaciones, requieren reconocimiento y eso se indica en el paquete. El
transporte confiable obtiene una disposición de enviar los paquetes de
multidifusión velozmente cuando existe trama de información sin acuse de
recibo pendiente.(CISCO, 2013)
La máquina de estados finitos DUAL son aquellas que contienen el proceso
de decisión de todos los cálculos de rutas, donde se rastrea todas las rutas
anunciadas por todos los vecinos. La información de distancia, conocida
como métrica, es utilizada mediante DUAL que permite la selección de
trayectorias eficientes sin loops. DUAL contiene la función de seleccionar
las rutas que se insertarán en una tabla de ruteo configuradas en los
dispositivos de capa tres, según los sucesores factibles. Un sucesor es un
router vecino empleado para el reenvío de paquetes de datos con el fin de
obtener un trayecto de menor costo a un destino que no pertenece a un
loop de ruteo.(CISCO, 2013)
RIP: Routing Information Protocol (RIP), es uno de los protocolos de
enrutamiento dinámico y de vector distancia empleado para redes de datos
homogéneas y sumamente pequeñas en donde estas son implementadas
en microempresas. RIP también es utilizado por los dispositivos de capa
tres del modelo OSI y TCP/IP con el fin de intercambiar información de rutas
topológicas de forma periódica, mediante el envío de paquetes de datos de
la tabla de enrutamiento a los routers vecinos en un tiempo límite de 30
segundos. Los routers vecinos, a su vez transmiten la información a otros
enrutadores logrando así la convergencia de redes con diferente rango de
direccionamiento IP. La métrica de este protocolo es el número de saltos
con un máximo de 15 saltos, generando que solo sea aplicado en
infraestructuras tecnológicas pequeñas y medianas.(Valverde, 2016)
35
Figura No. 15 Protocolo de Enrutamiento RIP
Fuente: http://blog.ragasys.es/ejemplo-protocolos-de-enrutamiento-rip-
bgp Autor: José Ramón Ramos
RIPv1 VS RIPv2
En las redes de datos existen dos versiones del protocolo de enrutamiento
RIP que es la RIP versión 1 que aplica un enrutamiento con clase y no
incluye información de subredes con distintas máscaras y RIPv2 es sin
clases e incluye la información de subred de apoyo Clase-Inter Domain
Routing (CIDR). A diferencia de RIP versión 1, versión 2 envía en
multidifusión las actualizaciones de enrutamiento a los routers adyacentes
utilizando la dirección 224.0.0.9. La convergencia de red pasa mucho más
rápida en RIPv2 que en la versión anterior, es decir que el protocolo V2
soporta Subnetting y VLSM para el enrutamiento de redes con diferentes
rangos de direccionamiento. Existe también el protocolo RIPng (new
generation) que es el mismo protocolo RIPv2, pero de forma extendida para
la aplicación de direcciones IPv6.(Valverde, 2016)
36
Tabla No. 7 Formato de paquete de RIP Comando Versión Debe ser cero (no utilizado)
Identificador de familia de
dirección Etiqueta de ruta
Dirección de Subred
Máscara de Subred
Métrica
Próximo Salto
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
ATAQUES A LOS DISPOSITIVOS DE ENRUTAMIENTO
Ataque de fuerza bruta
Los ataques de fuerza bruta son aquellos que permiten probar todas las
posibles combinaciones hasta identificar la contraseña o palabra legible que
fue cifrada por medio de mecanismos de encriptación. Para realizar un
ataque de fuerza bruta debe constar de los siguientes elementos que se
muestran a continuación:(Domínguez, Maya, 2016)
CHARSET o alfabeto utilizado para obtener todas las posibles
combinaciones.
Una longitud de palabra, la cual nos determina todas las posibles
combinaciones de la siguiente manera: #Combinaciones = longitud
palabra ^ longitud_charset; esto quiere decir que por una palabra de
2 letras con un alfabeto de 26 letras obtenemos 67’108,864
combinaciones posibles. Esto es 226= 67’108,864. Entre más grande
es la palabra o el charset, mayor es el número de combinaciones y
mayor es el tiempo invertido en obtener una posible respuesta.
Palabra cifrada, la cual va a ser utilizada, para romper el ciclo de
iteraciones en caso de encontrar la palabra legible.
37
Algoritmo o función de cifrado, ya que sin esta no es posible realizar
el ataque de fuerza bruta.
Ataque por archivo diccionario
Un ataque por archivo diccionario es una técnica de violación de
contraseñas, donde se prueban de forma consecutiva diferentes palabras
con el objetivo de validar una clave correcta, para este tipo de intrusiones
los piratas informáticos cuentan con un listado de posibles contraseñas y
combinaciones de números y letras.(Domínguez, Maya, 2016)
Figura No. 16 Detección de Contraseñas por medio de un Ataque de Fuerza Bruta
Fuente: https://mundo-hackers.weebly.com/servicio-telnet.html
Autor: MUNDO-HACKER
38
DIAGRAMA DE ATAQUE DE FUERZA BRUTA
Figura No. 17 Diagrama de Ataque de Fuerza Bruta
Fuente: (Carvajal, 2015) Autor: (Carvajal, 2015)
Ataques denegación de servicio
Los ataques de Denegación de Servicio (Denial of Service -DoS-) son
aquellos que tienen como objetivo evitar que el usuario legítimo o
autorizado por una organización haga uso de un recurso o servicio
específico de red o un host. Entre las variantes de este tipo de ataque se
mencionar las siguientes:(Fuertes, Rodas, & Toscano, 2013)
La inundación de la red por medio de la inyección de paquetes que
provocan el consumo excesivo de ancho de banda; la inanición de
recursos y la saturando la memoria.
Los errores de programación, que colapsan el procesador.
39
Los ataques DNS y enrutamiento, que convencen a los usuarios
mediante direcciones falsas y suplantación de identidad.
En este caso se describe el ataque DoS UDP Flood, que es denominado
una intrusión que provoca la pérdida de la conectividad de la red por la
saturación del ancho de banda y congestionamiento de los servicios; este
ataque ocurre cuando un atacante envía paquetes IP con datagramas UDP,
con el propósito de colapsar el procesamiento de la máquina víctima, hasta
el punto de no permitir manejar conexiones legítimas; debido a la naturaleza
sin conexión del protocolo UDP, este tipo de ataques suele venir
acompañado de técnicas de suplantación de identidad.(Fuertes et al., 2013)
Figura No. 18 Ataque de Inundación de SYN
Fuente: https://sites.google.com/site/materiasisoperativo/unidad-6-
proteccion-y-seguridad/6-7-validacion-y-amenazas-al-sistema?tmpl=%2Fsystem%2Fapp%2Ftemplates%2Fprint%2F&showPrint
Dialog=1 Autor: Google
40
Tipos de ataques de denegación de servicio
A continuación, se presentan los tipos de ataques de denegación de
servicios estos son los siguientes:
Ataques a nivel de dispositivo de red: Estos ataques son
provocados por medio del aprovechamiento de los errores o
vulnerabilidades de los sistemas de información y comunicación o
también de equipos como: Servidores, Computadoras, Routers,
Switches y demás con el objetivo de agotar los recursos de los
dispositivos de red produciendo filtros de fugas de
información.(Fuertes et al., 2013)
Ataques a nivel de Sistema Operativo: Estas intrusiones
maliciosas son aquellas que toman forma sobre los protocolos de
internet con el fin de consumir los recursos del sistema operativo
logrando que el usuario se tome un tiempo en ejecutar una
tarea.(Fuertes et al., 2013)
Ataques a nivel de aplicaciones: Son aquellos que aprovechan los
errores de las aplicaciones de red sobre el host mediante el uso de
programa informáticos, logrando consumir los recursos
computacionales de la víctima.(Fuertes et al., 2013)
Ataque de inundación de datos: Los piratas informáticos utilizan
estos ataques para consumir el ancho de banda disponible de una
red o un dispositivo en su mayor extensión mediante el envío de
grandes cantidades de datos por procesar.(Fuertes et al., 2013)
Ataques basados en las características de los protocolos: Estos
ataques toman ventaja sobre las características de los
protocolos.(Fuertes et al., 2013)
41
Ataque hombre en el medio
Los ataques MITM son aquellos que interceptan un canal de comunicación
establecido entre dos usuarios con el objetivo de filtrar los paquetes de
datos que son enviados de un nodo de la red a otro. A continuación, se
detallará el tipo de información que se puede capturar a través de ataque
hombre en el medio.(Cisneros, Caiza, 2017)
Usuario y Contraseña de sistemas informáticos que utilicen el
protocolo HTTP.
Direcciones IP origen y destino.
Conversaciones de voz establecidas en un sistema de telefonía IP o
sistemas de comunicación móvil.
Figura No. 19 Ataques Hombre en el Medio
Fuente: https://security.stackexchange.com/questions/183723/i-started-to-
learn-about-mitm-attacks-and-i-cant-figure-out-few-things Autor: Trabajo de Investigación
42
Tipos de ataques hombre en el medio
Figura No. 20 Categorías de Ataques hombre en el medio
Fuente: (Cisneros, Caiza, 2017) Autor: (Cisneros, Caiza, 2017)
METODOS DE PROTECCIÓN EN LOS DISPOSITIVOS DE
ENRUTAMIENTO
ACL (Listas de Control de Acceso)
Las listas de control de acceso (ACL) son denominadas reglas de seguridad
informática que se configuran en los dispositivos de enrutamiento como:
Routers y Switches Multicapa con el objetivo de denegar tráfico o permitir
el mismo en una red de datos configurada con un protocolo de enrutamiento
dinámico, también las ACL permiten definir permisos de accesos a servicios
empleando control parental y definiendo las escalas de privilegios de los
usuarios según las políticas de seguridad establecidas por la organización
y gestionadas por el administrador de la infraestructura
tecnológica.(HERNANDEZ, 2017)
Las ACL solamente se configuran en los dispositivos de capa tres de
CISCO, donde estas cumplen con la función de permitir o denegar paquetes
de datos según el criterio encontrado en el encabezado del mismo, las ACL
seleccionan los tipos de tráfico para después ser analizados, y reenviarlos
o procesarlos .(HERNANDEZ, 2017)
43
Figura No. 21 Listas de Control de Acceso
Fuente: https://telematica2.wordpress.com/2011/03/25/cuestionario-acl-
listas-de-control-de-acceso/ Autor: Andrés Suarez
Tipos de ACL
Dentro de las ACL existen dos tipos que se detallan a continuación:
ACL Estándar.
ACL Extendida.
Características de las ACL Estándar
Rango numérico de 1 hasta 99 y de 1300 a 1999.
Filtrado de paquetes por medio de la dirección IP origen.
Utilización de máscaras WILCARD.
Las ACL se encuentran cerca de la fuente de origen.
Características de las ACL Extendida
Rango numérico de 100 hasta 199 y de 2000 a 2699.
Fuente de destino enviando una sola dirección IP.
Número de protocolo de capa 4 (Telnet y FTP).
Las ACL están cerca de la fuente de origen y van en modo entrada.
44
Es aplicado a servicios o puertos que trabajan bajo la capa 4 del
modelo OSI y TCP/IP.
Reglas IPTABLES
Las IPTABLES son módulos que se encuentran vinculados al kernel de
Linux, donde estas se encargan de filtrar los paquetes de datos que
provienen de otras redes con diferente rango de direccionamiento IP, esto
quiere decir, que las reglas IPTABLES cumplen con la función de
determinar qué paquetes tienen acceso al servidor de aplicaciones y cuáles
son los denegados. Las IPTABLES se las puedes configurar en sistemas
operativos Linux como: CentOS, Fedora, Red Hat, Debían entre otros y
Cortafuegos a nivel de Hardware y Software.(Movistar, 2016)
Además, las IPTABLES funcionan a través de la aplicación de reglas que
filtran los paquetes de datos o comandos que son soportados por los
sistemas operativos Linux. Es decir, que el usuario mediante sencillas
instrucciones indica a los cortafuegos el tipo de paquetes que debe permitir
y denegar, y que puertos deben estar bloqueados o filtrados con el objetivo
de evitar ataques informáticos que provoquen accesos ilícitos a los
servidores.(Movistar, 2016)
45
Figura No. 22 Funcionamiento de las IPTABLES
Fuente: http://www.codercaste.com/2009/09/28/n-a-t-network-address-
translation-and-port-forwarding-explained/ Autor: Trabajo de Investigación
Tablas y cadenas
En las reglas IPTABLES existen tres grandes grupos de tablas o cadenas,
dentro de estas se definen una serie de cadenas predefinidas donde
cualquier paquete de dato tendrá el acceso a circular por la red empleando
cualquier tipo de cadena. A continuación, se presentan los tres grupos de
IPTABLES:(Movistar, 2016)
Reglas de filtrado o filter
Dentro de esta tabla se indican las reglas de filtrado determinando que
paquetes serán permitidos o denegados por el cortafuego.
46
INPUT: Hace referencia a los paquetes de datos que ingresan al
sistema operativo.
OUTPUT: Se emplea el filtrado de paquetes que salen de la red de
datos.
FORDWARD: Referencia al tráfico que los dispositivos de capa tres
reenvía a los otros equipos.
Tabla NAT
Dentro de la tabla NAT se mencionan las reglas que realizan el
enmascaramiento de la dirección IP, redirección de puertos, cambios en la
dirección IP origen y el destino de los paquetes.(Movistar, 2016)
PREROUTING: En esta cadena se indica que se realice una
determinada acción sobre el paquete antes que sea enrutado a otras
redes de datos.
POSTROUTING: En esta cadena se realiza una determinada acción
antes de que el paquete salga del cortafuego.
OUTPUT: Esta cadena es aquella que permite modificar los
paquetes de datos en el propio cortafuego antes de que sean
enrutados a otras redes de datos.
Tabla MANGLE
Dentro de la tabla MANGLE se recogen las distintas reglas que actúan
sobre los flags de los paquetes de datos. Todo el tráfico de red pasa por la
tabla MANGLE.(Movistar, 2016)
47
Figura No. 23 Reglas IPTABLES de la Tabla MANGLE
Fuente: (Movistar, 2016) Autor: (Movistar, 2016)
Acciones de las reglas IPTABLE
A continuación, se presentan las acciones presentadas en las reglas
IPTABLES:
ACCEPT: A través de esta acción se indica que el paquete de dato
es aceptado.
DROP: En esta acción se elimina el paquete y no se envía el
mensaje de respuesta al equipo cliente que se hizo la petición.
REJECT: Similar a la acción anterior, pero en esta ocasión se envía
un paquete ICMP al dispositivo cliente que hiso la petición indicando
que la solicitud no es permitida.
DNAT: Esta acción utiliza la cadena PREROUTING de la tabla NAT,
para modificar la IP destino.
SNAT: Esta acción está asociada con la cadena POSTROUTING
para modificar la dirección IP origen.
MASQUERADE: Acción equivalente a SNAT, pero es utilizada
cuando tenemos una dirección IP dinámica en la interfaz de salida.
48
REDIRECT: Se utiliza en la cadena PREROUTING para modificar la
dirección IP que tenga la interfaz de red de entrada.
Figura No. 24 Funcionamiento de las IPTABLES
Fuente: Andrés J. Díaz Autor: Andrés J. Díaz
METASPLOIT
El Metasploit es considerada una estructura basada en el lenguaje de
programación RUBY, que proporciona toda la infraestructura necesaria
para automatizar las tareas triviales, rutinarias y complejas, esta
herramienta es de código abierto, que cumple con la función de ejecutar
exploits creados por atacantes maliciosos que poseen un objetivo que es la
de acceder a sistemas remotos. Metasploit contiene una amplia base de
datos de exploits públicos y que son probados, con el fin de ser utilizados
en las auditorías de seguridad informática detectando y analizando las
vulnerabilidades de las plataformas de software que trabajan bajo la red de
internet, en base a los resultados de un pentesting se deben de aplicar
métodos de protección y políticas de seguridad que ayuden a proteger los
sistemas de información y comunicación, o hacer uso de las
vulnerabilidades identificadas mediante un hackeo ético obteniendo de esta
manera una conexión remota a los servidores de aplicaciones ya sean de
Linux o de Windows.(Santos, 2017)
Metasploit es un conjunto de herramientas que proporciona la
infraestructura necesaria para poder explotar sistemas que cumplen con la
función de realizar tareas contables, financieras, mercadeo y salud, también
49
detectar vulnerabilidades dentro de las plataformas informáticas en el
momento que se esté realizando una Auditoría de Seguridad
Informática.(Santos, 2017)
Figura No. 25 Metasploit Framework
Fuente: https://widrogo.wordpress.com/tag/metasploit/
Autor: Trabajo de Investigación
METODOLOGÍA DE ANÁLISIS DE RIESGOS
MAGERIT Es una metodología de análisis y gestión de riesgos elaborada por el
consejo superior de administración electrónica como respuesta a la
apreciación de que la Administración y toda la Sociedad de manera
creciente es dependiente de las tecnologías de la información para el
cumplimiento de su misión.
El objetivo principal de esta metodología de análisis y gestión de riesgos es
relacionado con la generalización del uso de las tecnologías de la
información y comunicación suponiendo beneficios que son evidentes para
los ciudadanos, esta metodología da a lugar a ciertos riesgos que deben
ser minimizados con medidas de seguridad informática confiables.
MAGERIT está orientado al usuario que maneja información digital y
50
sistemas informáticos implementados en empresas del sector público y
privado.
Figura No. 26 Metodología MAGERIT
Fuente:https://administracionelectronica.gob.es/pae_Home/pae_Documen
tacion/pae_Metodolog/pae_Magerit.html Autor: Consejo Superior de Administración Electrónica
Métodos de la metodología MAGERIT
Tabla No. 8 Métodos de la Metodología MAGERIT
Métodos Descripción
Enmarcación de Actividades
Listado de todas las actividades que
conlleven al tratamiento dentro de un
proceso integral de gestión de
riesgos.
Formalización de actividades
del análisis de riesgos
Ejecución de actividades del análisis
de riesgos de forma ordenada
Criterios de tratamientos de los
riesgos
Descripción de alternativas de
solución para la protección de los
activos
Formalización de actividades
en base a planes de seguridad
Ejecución de planes de seguridad de
forma ordenada
51
Desarrollo de los sistemas de
información y comunicación en
base a un análisis de riesgos
Implementación de sistemas seguros
mejorando la calidad del producto
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
FUNDAMENTACIÓN LEGAL
CÓDIGO ORGÁNICO INTEGRAL PENAL SECCIÓN TERCERA
Delitos contra la seguridad de los activos de los sistemas de información y comunicación
Artículo 229.- Revelación ilegal de base de datos. - La persona que, en
provecho propio o de un tercero, revele información registrada, contenida
en ficheros, archivos, bases de datos o medios semejantes, a través o
dirigidas a un sistema electrónico, informático, telemático o de
telecomunicaciones; materializando voluntaria e intencionalmente la
violación del secreto, la intimidad y la privacidad de las personas, será
sancionada con pena privativa de libertad de uno a tres años.
Si esta conducta se comete por una o un servidor público, empleadas o
empleados bancarios internos o de instituciones de la economía popular y
solidaria que realicen intermediación financiera o contratistas, será
sancionada con pena privativa de libertad de tres a cinco años.
Artículo 231.- Transferencia electrónica de activo patrimonial. - La
persona que, con ánimo de lucro, altere, manipule o modifique el
funcionamiento de programa o sistema informático o telemático o mensaje
de datos, para procurarse la transferencia o apropiación no consentida de
un activo patrimonial de otra persona en perjuicio de esta o de un tercero,
será sancionada con pena privativa de libertad de tres a cinco años.
52
Con igual pena, será sancionada la persona que facilite o proporcione datos
de su cuenta bancaria con la intención de obtener, recibir o captar de forma
ilegítima un activo patrimonial a través de una transferencia electrónica
producto de este delito para sí mismo o para otra persona.
Artículo 232.- Ataque a la integridad de sistemas informáticos. - La
persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe,
cause mal funcionamiento, comportamiento no deseado o suprima datos
informáticos, mensajes de correo electrónico, de sistemas de tratamiento
de información, telemático o de telecomunicaciones a todo o partes de sus
componentes lógicos que lo rigen, será sancionada con pena privativa de
libertad de tres a cinco años.
Con igual pena será sancionada la persona que: custodia o utilización
legítima de la información que sin la autorización correspondiente revele
dicha información, será sancionado con pena privativa de libertad de siete
a diez años y la inhabilitación para ejercer un cargo o función pública por
seis meses, siempre que no se configure otra infracción de mayor
gravedad.
Artículo 234.- Acceso no consentido a un sistema informático,
telemático o de telecomunicaciones.- La persona que sin autorización
acceda en todo o en parte a un sistema informático o sistema telemático o
de telecomunicaciones o se mantenga dentro del mismo en contra de la
voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente
el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico
de datos o voz u ofrecer servicios que estos sistemas proveen a terceros,
sin pagarlos a los proveedores de servicios legítimos, será sancionada con
la pena privativa de la libertad de tres a cinco años.
53
LEY DE COMERCIO ELECTRONICO
Art. 5.- Confidencialidad y reserva. - Se establecen los principios de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su
forma, medio o intención. Toda violación a estos principios, principalmente
aquellas referidas a la intrusión electrónica, transferencia ilegal de
mensajes de datos o violación del secreto profesional, será sancionada
conforme a lo dispuesto en esta Ley y demás normas que rigen la materia.
Art. 9.- Protección de datos. - Para la elaboración, transferencia o
utilización de bases de datos, obtenidas directa o indirectamente del uso o
transmisión de mensajes de datos, se requerirá el consentimiento expreso
del titular de éstos, quien podrá seleccionar la información a compartirse
con terceros.
La recopilación y uso de datos personales responderá a los derechos de
privacidad, intimidad y confidencialidad garantizados por la Constitución
Política de la República y esta ley, los cuales podrán ser utilizados o
transferidos únicamente con autorización del titular u orden de autoridad
competente.
No será preciso el consentimiento para recopilar datos personales de
fuentes accesibles al público, cuando se recojan para el ejercicio de las
funciones propias de la administración pública, en el ámbito de su
competencia, y cuando se refieran a personas vinculadas por una relación
de negocios, laboral, administrativa o contractual y sean necesarios para el
mantenimiento de las relaciones o para el cumplimiento del contrato.
54
PREGUNTA CIENTÍFICA A CONTESTARSE
2. ¿Cree usted que con el análisis de vulnerabilidades en los
Routers y Switches Multicapa las empresas podrán conocer los
fallos de seguridad de esto y poder tomar medidas de
prevención?
DEFINICIONES CONCEPTUALES
CISCO-AUDITING-TOOL (CAT): Es una herramienta de auditoría de
seguridades de redes que cumple con la función de analizar las
vulnerabilidades más comunes de los dispositivos de enrutamiento de
CISCO, como por ejemplo esta aplicación de Linux realiza ataques de
fuerza bruta para extraer las contraseñas por defecto, las cadenas de
comunidad SNMP y algunos de los errores de IOS.
Figura No. 27 Cisco-Auditing-Tool
Fuente: https://delfirosales.blogspot.com/2011/12/password-brute-force-
con-cisco-auditing.html Autor: Delfino Rosales
Hydra: Esta herramienta es una aplicación de prueba de concepto el cual
suministra a los investigadores y consultores de seguridad la posibilidad de
acceder a un sistema informático de forma sencilla.
Actualmente Hydra soporta los siguientes protocolos que se mencionan a
continuación:
Asterisk.
Cisco AAA.
55
Cisco Auth.
Cisco Enable.
MYSQL.
ORACLE SID.
LDAP.
HTTPS-FORM-GET.
HTTPS-FORM-POST.
HTTP-GET.
HTTP-HEAD.
HTTP-PROXY
Figura No. 28 Extracción de Contraseñas a través de Hydra
Fuente: https://buffercode.in/hack-crack-web-form-passwords-using-
hydra-burpsuite-kali-linux/ Autor: Kushagra Sharma
NMAP: Es una herramienta de código abierto que es utilizada por los
consultores de seguridad informática para el escaneo de puertos, detección
de servicios, versiones del sistema operativo y demás. Esta aplicación
también determina si un dominio especifico se encuentra protegido por un
cortafuego y permite saltar ciertos esquemas de seguridad con el objetivo
de establecer una conexión remota con algún sistema informático.
56
Figura No. 29 NMAP
Fuente: https://www.cyberciti.biz/security/nmap-command-examples-
tutorials/ Autor: Comu
57
CAPÍTULO III
PROPUESTA TECNOLÓGICA
En la propuesta tecnológica se emplean tres escenarios virtuales sobre la
realización de un test de intrusión a los equipos de enrutamiento como:
Routers y Switches Multicapa, la implementación de estos ambientes de
simulación serán de gran ayuda para las organizaciones que manejan
información de vital importancia con el fin de evitar incidentes de seguridad
informática que a su vez estos son provocados por atacantes maliciosos.
También en el presente capítulo se demuestran los escenarios de técnicas
de intrusión que se realizaran en este proyecto de titulación en desarrollo
con su respectiva plantilla de prueba que se muestra de la siguiente
manera:
Tabla No. 9 Descripción de Escenarios
Escenarios
Tipo de escaneo
de puertos y
servicios y/o
Ataques
Herramientas a
utilizar
Escenario de Fuerza Bruta Fuerza Bruta HYDRA Y
NMAP
Monitoreo de tráfico de red de
datos
Hombre en el
Medio WIRESHARK
Monitoreo de Ancho de banda,
estado de interfaces de red y
operatividad del protocolo de
enrutamiento
Hombre en el
Medio PRTG
Escaneo de vulnerabilidades Escaneo de
puertos y servicios NESSUS
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
58
Uno de los aspectos de vital importancia que se consideró para el desarrollo
de la propuesta tecnológica, es la utilización de diferentes herramientas de
hackeo ético que se ejecutan en plataformas Windows y Linux como:
NMAP, HYDRA, WIRESHARK, PRTG y NESSUS que son aplicaciones de
auditoría de seguridad informática que serán participes en el proyecto de
análisis de vulnerabilidades en equipos de enrutamiento, de esta manera
demostrando que, con un excelente uso de los sistemas operativos Kali
Linux y Windows se puede realizar un test de intrusión de forma eficiente a
los dispositivos de capa tres exponiendo cuan vulnerables son estos y
determinando el nivel de riesgos de dichos equipos.
A través del desarrollo de este proyecto las organizaciones podrán conocer
los tipos de vulnerabilidades informáticas que pueden estar expuestas a
cualquier atacante malicioso ya sea interno o externo, de esta forma se
intente que se tome conciencia y que las compañías del sector público y
privado empiecen a invertir en seguridad informática para verificar el estado
de la red de datos de forma constante.
A continuación, se demuestran los escenarios de ataque que serán
utilizados para la presentación de los resultados técnicos referente al
análisis de vulnerabilidades en los equipos de enrutamiento:
59
Figura No. 30 Escenario del Ataque de Fuerza Bruta
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
60
Figura No. 31 Escenario de Ataque Hombre en el Medio
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
61
Figura No. 32 Escenario de Monitoreo por medio de PRTG
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
62
Figura No. 33 Escenario de Escaneo de Vulnerabilidades
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
63
ANÁLISIS DE FACTIBILIDAD
En esta etapa de la propuesta tecnológica se describe el nivel de
importancia que posee el proyecto de titulación, empezando a detallar la
factibilidad operacional donde se determina la existencia de un apoyo por
parte de las empresas en el momento de desarrollar el proyecto y los
beneficiarios, una vez culminado con este proceso se indica los recursos
técnicos informáticos de hardware y software que serán participes en la
propuesta tecnológica, para después establecer los costos estratégicos
que se pueden presentar en dicho proyecto sobre el análisis de
vulnerabilidades en los equipos de enrutamiento como Routers y Switches
Multicapa y también verificar el cumplimiento de las leyes, normas y
estatutos creados en la República del Ecuador.
FACTIBILIDAD OPERACIONAL
En esta etapa los beneficiarios del proyecto de titulación en desarrollo
enfocado en el análisis de vulnerabilidades en los equipos de capa de red
del modelo OSI y TCP/IP serán las organizaciones como:
Gubernamentales, Telecomunicaciones, Salud, Financieras y
Supermercados y demás que poseen grandes infraestructuras tecnológicas
de red de datos donde estas empresas emplean protocolos de
enrutamiento como: OSPF, EIGRP, IS-IS y BGP, además, aplican un
sistema de enrutamiento basado en etiquetas con el objetivo de mantener
interconectada toda la red informática instalada en la matriz corporativa y
en las diferentes sucursales. También las organizaciones de los sectores
públicos y privados podrán utilizar herramientas de seguridad informática
para un respectivo monitoreo de paquetes de datos con el fin de tomar los
controles adecuados que eviten que personas malintencionadas apliquen
técnicas de ataques pasivos que a su vez le permitan establecer escuchas
o detección de tramas de información confidencial.
64
FACTIBILIDAD TÉCNICA
Dentro de la factibilidad técnica se describen los recursos técnicos
informáticos de hardware y software que serán participes en el desarrollo
del proyecto de titulación, estos son los siguientes:
Tabla No. 10 Recursos de Software
Recursos de Software
Recurso Descripción
Sistema Operativo basado en
Linux que utilizan los
consultores de seguridad para
la realización de test de
intrusión y auditorías
aplicando las fases de un
hackeo ético.
Herramienta que es utilizada
para el monitoreo de redes de
datos donde por medio de
esta se verifican interfaces,
ancho de banda, tipo de
enrutamiento y demás.
Herramienta para establecer
intercepción de paquetes de
datos que circulan en toda
una red ya se local o WAN.
Herramienta para emular
redes de datos que son
instaladas realmente en
pequeñas y medianas
empresas y grandes
corporaciones.
65
Aplicación de Linux y
Windows que es utilizada para
el escaneo de puertos,
versión de los sistemas
operativos, tipos de servicios
y demás.
Herramienta que es utilizada
para realizar ataques de
fuerza bruta con el fin de
verificar credenciales de
usuarios de sistemas
informáticos, dispositivos de
comunicación de capa de
enlace de datos y de red.
Herramienta para la
configuración de equipos
MIKROTIK.
Herramienta para realizar
escaneo de vulnerabilidades
en equipos de comunicación y
servicios.
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
66
Tabla No. 11 Recursos de Hardware
Recursos de Hardware
Equipo Descripción
Laptop con procesador Core I5, 6
Gigas de Memoria RAM y Disco
Duro de 1 Terabyte.
Router de Capa tres que posee la
capacidad de enrutar enlaces
punto a punto y multipunto.
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
FACTIBILIDAD ECONÓMICA
En la factibilidad económica del proyecto de titulación en desarrollo se
describe los gastos generados en la propuesta tecnológica, mediante la
siguiente tabla se indica lo siguiente:
Tabla No. 12 Recursos Económicos
Descripción Cantidad Costo Total
Servicio de Internet 1 $ 35
Router Mikrotik 1 $ 200
Laptop Core I5 1 $ 1200
Otros Gastos
(Alimentación y
Transporte)
1 $ 200
67
Total 4 $ 1635
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
ANÁLISIS DEL COSTO Y BENEFICIO DEL PROYECTO
Tabla No. 13 Análisis del Costo y Beneficio del Proyecto
Situación Actual Solución Propuesta Beneficios
Vulnerabilidades
expuestas en los
dispositivos de
enrutamiento.
Filtrado de puertos,
implementación de
listas de control de
acceso.
Reducción del índice
de amenazas internas
y externas.
Posibles ataques de
fuerza bruta y hombre
en el medio.
Aplicación de
credenciales de
usuario fuertes,
cifrado en la
información y listas de
control de acceso.
Disminución de los
posibles riesgos que
pueden exponer la
información
confidencial
públicamente.
Servicios
desactualizados que
convergen a posibles
ataques informáticos.
Actualización e
implementación de
parches en sistemas
operativos de
dispositivos de capa
3.
Incremento de los
niveles de seguridad
informática en las
empresas que
manejan grandes
infraestructuras
tecnológicas.
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
68
FACTIBILIDAD LEGAL
Dentro de la factibilidad legal del proyecto de titulación en desarrollo, esta
propuesta tecnológica no infringe las leyes vigentes establecidas por el
Estado Ecuatoriano ya que se va a implementar un ambiente de simulación
controlado donde por medio de este escenario se realizarán todas las
pruebas de ataques informáticos y monitoreo de redes de datos utilizando
herramientas de código abierto que a su vez estas se ejecutan en sistemas
operativos Windows y Linux de esta manera se declara que el proyecto es
factible legalmente.
ETAPAS DE METODOLOGÍA DEL PROYECTO
Para el desarrollo de esta propuesta tecnológica se aplica la metodología
MAGERIT donde en el siguiente gráfico se muestran las fases de esta.
Figura No. 34 Metodología MAGERIT
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Dueño del Producto: Carrera de Ingeniería en Networking y
Telecomunicaciones.
Líder MAGERIT: Ing. Francisco Álvarez Solís.
Equipo de trabajo MAGERIT: María Luisa Cansing.
69
Planificación
En esta fase se anexa el cronograma de actividades del proyecto de
titulación con sus respectivas tareas y responsables.
CRONOGRAMA DE ACTIVIDADES
Una vez planteada la propuesta tecnológica se procede a diseñar un
cronograma de actividades donde se programan los tiempos de realización
de cada tarea con el transcurso del proyecto.
Tabla No. 14 Lista de Actividades
N° ACTIVIDAD FECHA INICIO FECHA FIN DURACIÓN
DÍAS PERSONAS
INVOLUCRADAS
Actividad 1 Capítulo I, Tutorías
05/11/2018 09/11/2018 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 2 Correcciones del Capítulo I e Inicio del Capítulo II, Tutorías
12/11/2018 16/11/2018 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 3 Avances del Capítulo II, Tutorías
19/11/2018 23/11/2018 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 4 Avance Final del Capítulo II, Tutorías
26/11/2018 30/11/2018 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 5 Correcciones del Capítulo II e Inicio del Capítulo III, Tutorías
03/12/2018 07/12/2018 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 6 Avances del Capítulo III, Tutorías
10/12/2018 14/12/2018 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 7 Avances y Corrección del Capítulo III, Tutorías
17/12/2018 21/12/2018 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 8 Culminación del Capítulo III, Tutorías
26/12/2018 28/12/2018 2 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 9 Corrección del Capítulo III e Inicio del Capítulo IV, Tutorías
02/01/2019 04/01/2019 2 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 10 Avances del Capítulo IV, Tutorías
07/01/2019 11/01/2019 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 11 Avances y Correcciones del Capítulo IV, Tutorías
14/01/2019 18/01/2019 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Actividad 12 Corrección del Capítulo IV
21/01/2019 25/01/2019 4 Ma. Luisa Cansing
Ing. Francisco Álvarez
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
70
Figura No. 35 Listado de Actividades
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
71
Análisis de Riesgo
En esta fase se anexan las pruebas de ataque hombre en el medio, fuerza
bruta a los equipos de enrutamiento, a continuación, se presenta lo
siguiente.
En este caso se anexan las capturas de paquetes que transmiten los
routers que forman parte de una red MPLS.
Captura de paquetes del Router R1
Figura No. 36 Captura de paquetes del Router R1
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Captura de paquetes del Router R2
Figura No. 37 Captura de Paquetes del Router R2
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
72
Captura de paquetes del Router R3
Figura No. 38 Captura de Paquetes del Router R3
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Captura de paquetes del Router R4
Figura No. 39 Captura de Paquetes del Router R4
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
73
Escaneo de puertos al Router Mikrotik
Para realizar un ataque de fuerza bruta en un router Mikrotik se realiza un
escaneo de puertos por medio del comando NMAP.
Figura No. 40 Escaneo de Puertos al Router Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Una vez realizado el escaneo de puertos por medio de la herramienta
NMAP se procede a realizar el ataque de fuerza bruta vía FTP, SSH y
Telnet.
Figura No. 41 Ataque de fuerza bruta vía FTP
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
74
Figura No. 42 Ataque de Fuerza Bruta vía Telnet
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 43 Ataque de fuerza bruta vía SSH
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Después de haber tenido la contraseña del Router Mikrotik y se accede al
dispositivo desde un navegador web.
75
Figura No. 44 Ingreso de las credenciales en el Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 45 Acceso al Router Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
76
Análisis de la red con PRTG
En este caso se realiza un análisis del PING por medio de la herramienta
PRTG.
Figura No. 46 Análisis del PING
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 47 Reporte del PING
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
77
Figura No. 48 Análisis del PING mediante graficas
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Análisis de la red por medio de Nessus Mediante el análisis de vulnerabilidades por medio de Nessus al router
Mikrotik se demuestra los siguientes fallos de seguridad en el dispositivo
analizado tal como se demuestra en el grafico No. 50, No. 51 y No. 53.
Figura No. 49 Inicio de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
78
Figura No. 50 Reporte de Vulnerabilidades en el Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 51 Reporte de Vulnerabilidades Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
79
Figura No. 52 Escaneo de Puertos en Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 53 Ataque de Fuerza Bruta por medio de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Gestión de Riesgos
En la fase de gestión de riesgos de la metodología MAGERIT se detalla en
un cuadro los controles basados en la ISO 27001 seguridad de la
información.
80
Tabla No. 15 Controles ISO 27001 Seguridad de la información Número
de
control
Control Descripción del Control
A.6.1.1
Funciones y
responsabilidades de la
seguridad de la información
Se debe definir y asignar todas las
responsabilidades de la seguridad
de la información
A.6.1.5 Seguridad de la información
en la gestión del proyecto
La seguridad de la información
debe adaptarse a la gestión del
proyecto independientemente del
tipo de proyecto
A.7.2.2
Concientización, educación y
capacitación sobre la
seguridad de la información
Todos los trabajadores de la
organización y los contratistas, si
así lo requiriesen, deben recibir
una adecuada educación de
concientización y capacitación, así
como actualizaciones regulares
sobre las políticas y
procedimientos organizacionales
de acuerdo a las funciones de
trabajo que desempeñen
A.8.2.1 Clasificación de la
información
La información debe ser clasificada
en términos de los requisitos y
valores legales, siendo crítica y
sensible ante la divulgación y
modificación no autorizada
A.9.1.1 Política de control de acceso
Se debe establecer, documentar y
revisar la política de control del
acceso en base a los requisitos del
negocio y de la seguridad de la
información
A.9.1.2 Acceso a las redes y a los
servicios de las redes
Los usuarios deben tener acceso
únicamente a la red o a los
81
servicios de red a los que han sido
autorizados a usar
A.12.6.1 Gestión de las
vulnerabilidades técnicas
Se debe obtener de manera
oportuna, información sobre las
vulnerabilidades técnicas de los
sistemas de la información a ser
utilizados; evaluar la exposición de
la organización a dichas
vulnerabilidades y tomar las
medidas adecuadas para manejar
los riesgos asociados
A.12.7.1
Controles de la auditoría
sobre los sistemas de
información
Se debe planificar cuidadosamente
los requisitos y actividades de la
auditoría que involucren la
verificación de los sistemas
operacionales; y acordar minimizar
las alteraciones a los procesos del
negocio
A.13.1.1 Controles en las redes
Se debe administrar y controlar las
redes para proteger la información
de los sistemas y las aplicaciones
A.13.1.2 Seguridad de los servicios de
las redes
Se debe identificar los mecanismos
de seguridad, los niveles del
servicio y los requisitos de todos
los servicios de redes e incluirlos
en los acuerdos de servicios de
redes ya sea que los servicios
sean proporcionados por la misma
organización o por un tercero
A.13.1.3 Segregación en las redes
Se debe segregar grupos de
servicios de información, usuarios
y sistemas de información
82
A.13.2.1
Políticas y procedimientos de
la transferencia de la
información
Se debe dar lugar a las políticas,
procedimientos y controles
formales de transferencia a través
del uso de todo tipo de equipos de
comunicación.
A.18.2.2
Cumplimiento de las políticas
y normas de seguridad de la
información
Los gerentes deben revisar
regularmente el cumplimiento de
los procedimientos y del
procesamiento de la información
dentro de su área de
responsabilidad, de acuerdo a las
políticas, normas de seguridad
adecuadas y a los otros requisitos
de seguridad
A.18.2.3 Revisión del cumplimiento
técnico
Se debe revisar regularmente los
sistemas de la información con
respecto al cumplimiento de las
políticas y normas de seguridad de
la información de la organización
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Listas de control de Acceso
En este caso se procede a configurar las listas de control de acceso en los
Routers utilizando el simulador Cisco-Packet Tracert como se muestra en
los gráficos No. 54 y 55.
Figura No. 54 Access-List configurada en los Routers
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
83
Figura No. 55 Denegación de Servicios a través de Access-List
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Seguridad en el Mikrotik
En este proceso se bloquean los puertos que permiten a los atacantes
acceder al router a través de una intrusión de fuerza bruta.
Figura No. 56 Bloqueo de Puertos
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
A través del escaneo de puertos por medio de la herramienta NMAP se
observa que ha sido resuelto el problema de seguridad que presento el
router Mikrotik.
84
Figura No. 57 Resultados del bloqueo de puertos
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
En este proceso se asignan las reglas de Firewall al router Mikrotik para
disminuir los índices de riesgos y amenazas a la red de datos.
Figura No. 58 Reglas de Firewall Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing Una vez creadas las reglas de Firewall en el Mikrotik se las puede visualizar en la
sección de IP del mismo router.
85
Figura No. 59 Reglas de Firewall
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
En este caso se verifica actividad de bloqueo de puertos en el router
Mikrotik.
Figura No. 60 Procesos del bloqueo de puertos
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Una vez aplicadas las reglas de Firewall en el router Mikrotik se realiza un
escaneo de puertos a la dirección IP del mismo se demuestra que la regla
ha sido efectiva.
86
Figura No. 61 Resultados de las reglas de Firewall
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
ENTREGABLES DEL PROYECTO
Los entregables del proyecto son los siguientes:
Preguntas de encuestas VER ANEXO I.
Configuraciones de los dispositivos de enrutamiento VER ANEXO II.
Recomendaciones de seguridad informática basadas en la norma
ISO 27001.
Carta de Juicio de Experto VER ANEXO III
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Para la validación del proyecto de titulación se tomó en consideración el
criterio de juicio de experto, además, de la investigación de campo que se
emplea para recabar información utilizando técnicas de recolección de
datos como la encuesta que se encuentra dirigida a personas con
conocimientos de informática con el objetivo de demostrar el máximo nivel
de aceptabilidad de la propuesta tecnológica llegando a que las empresas
tomen en cuenta este proyecto para evaluar la seguridad de sus
dispositivos de comunicación de capa de red.
87
En caso del juicio de experto se estableció un dialogo con el Ing. Christian
Picón perito en el área de redes y seguridad donde el indica que la
propuesta tecnológica presenta los recursos necesarios para una
implementación a largo plazo. Además, se detalla que este proyecto es de
gran ayuda para la mayoría de las compañías ubicadas en la ciudad de
Guayaquil debido a que algunas de estas no poseen conocimiento de las
vulnerabilidades expuestas en los equipos de enrutamiento.
PROCESAMIENTO Y ANÁLISIS
Para dar inicio al proceso de recolección de datos se tomó en consideración
la técnica de investigación de campo la encuesta que se la realizo a un total
de 60 personas del área de redes y seguridad informática.
Procesos de la encuesta
Planteamiento total de 10 preguntas.
Gráficos de pastel y barra para la tabulación de los resultados.
Selección de la herramienta Google Form para el desarrollo de las
encuestas.
Total, de encuestados 60 personas.
88
Análisis de las encuestas
1. ¿Considera usted que es de vital importancia invertir en
seguridad informática en base a la información que maneja la
organización?
Figura No. 62 Respuesta de la Pregunta 1
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 78.3% de las
personas encuestadas consideran de vital importancia invertir en
seguridad informática en base a la información que maneja la
organización.
89
2. ¿Usted como empresa ha sufrido algún ataque cibernético
que haya logrado comprometer su información?
Tabla No. 16 Pregunta 2
Alternativas Cantidad Porcentaje
Si 26 43.3%
No 22 36.7%
Desconozco 12 20%
Total 60 100%
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 63 Porcentaje de Respuesta de la Pregunta 2
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 43.3% de las
personas encuestadas han recibido algún ataque informático.
90
3. ¿En qué estándar de seguridad de la información usted se basa
para la implementación de controles en su red de datos?
Tabla No. 17 Pregunta 3
Alternativas Cantidad Porcentaje
ISO 31 52.5%
COBIT 7 11.9%
PCI 4 6.8%
Ninguna de las
anteriores 17 28.8%
Total 60 100%
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 64 Porcentaje de Respuesta de la Pregunta 3
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 52.5% de las
personas encuestadas se basan en el estándar de seguridad informática
ISO para implementar controles en su red de datos.
91
4. ¿Estaría usted interesado en realizar una auditoría de seguridad
informática en sus equipos de enrutamiento tales como Routers
y Switches Multicapa?
Tabla No. 18 Pregunta 4
Alternativas Cantidad Porcentaje
Si 52 86.7%
No 2 3.3%
Indiferente 6 10%
Total 60 100%
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 65 Porcentaje de Respuesta de la Pregunta 4
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 86.7% de las
personas están de acuerdo en realizar una auditoría de seguridad
informática en sus Routers y Switches Multicapa.
92
5. ¿Usted cuenta con dispositivos de seguridad informática
dentro de su organización?
Tabla No. 19 Pregunta 5
Alternativas Cantidad Porcentaje
Si, especifique cuales: 39 65%
No 8 13.3%
Indiferente 13 21.70%
Total 60 100%
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 66 Porcentaje de Respuesta de la Pregunta 5
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 67 Respuesta de la Pregunta 5
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 65% de las personas
encuestadas cuentan con dispositivos de seguridad informática dentro de la organización.
93
6. ¿Usted tiene definido planes de contingencia para casos de
incidentes de seguridad?
Tabla No. 20 Pregunta 6
Alternativas Cantidad Porcentaje
Si, especifique cuales: 60 100%
No 0 0%
Indiferente 0 0%
Total 60 100%
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 68 Porcentaje de Respuesta de la Pregunta 6
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 100% de las
personas encuestadas poseen planes de contingencia.
94
7. Si su respuesta fue si en la pregunta anterior, seleccione los
siguientes planes de contingencia para casos de incidentes de
seguridad.
Figura No. 69 Respuesta de la Pregunta 7
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 46.7% de las
personas encuestadas tienen como plan de contingencia realizar
copias de seguridad informática en archivos y base de datos.
95
8. ¿En su empresa poseen un departamento de ciberseguridad
para la protección de los activos de información?
Tabla No. 21 Pregunta 8
Alternativas Cantidad Porcentaje
Si 20 33.3%
No 37 61.7%
No, es necesario 3 5%
Total 60 100%
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 70 Porcentaje de Respuesta de la Pregunta 8
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 61.7% de las
personas encuestadas no poseen un departamento de Ciberseguridad en
su organización.
96
9. ¿Cree usted que con la aplicación de mecanismos de seguridad
propios de los equipos de comunicación Multicapa su red de
datos estaría protegida?
Tabla No. 22 Pregunta 9
Alternativas Cantidad Porcentaje
Si, especifique cuales: 37 63.80%
No 14 24.10%
Indiferente 7 12.10%
Total 60 100%
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Figura No. 71 Porcentaje de Respuesta de la Pregunta 9
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 63.80% de las personas encuestadas cree
que en la implementación de los equipos de comunicación Multicapa su red de datos estaría
protegida.
Figura No. 72 Pregunta 9
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
97
10. ¿Considera usted importante actualizar los FIRMWARE de sus
dispositivos de enrutamiento proporcionando de esta manera
las medidas de protección adecuadas?
Figura No. 73 Pregunta 10
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Análisis: Durante la encuesta realizada se verifico que el 61.70% de las
personas encuestadas consideran importante actualizar los FIRMWARE de
sus dispositivos de enrutamiento proporcionando medidas de protección
adecuadas.
98
CAPÍTULO IV
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO
Tabla No. 23 Matriz de Aceptación del Producto
CRITERIOS O ALCANCES CUMPLE NO
CUMPLE INDIFERENTE
Configuración de la red de
datos en GNS3 para capturar
paquetes a través de un ataque
hombre en el medio
✔
Escaneo de puertos en el
Router Mikrotik y acceso al
mismo vía FTP
✔
Monitoreo de las interfaces de
red y ancho de banda ✔
Escaneo de vulnerabilidades
con NESSUS ✔
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
CONCLUSIONES
Por medio de un levantamiento de información sobre los dispositivos
de capa de red se verifico que algunos de los fabricantes no realizan
actualizaciones constantes en estos equipos exponiéndolos a
cualquier ataque informático provocando que en algunas empresas
su productividad se vea afectada.
Mediante la realización de pruebas de test de intrusión a través de
plataformas Linux se determinó que los dispositivos de capa de red
son vulnerables a intrusiones de fuerza bruta por medio de los
99
puertos 21 (FTP), 22 (SSH) y 23 (TELNET) ya que en algunos de los
fabricantes estos puertos se encuentran habilitados.
A través de una tabla comparativa basada en la ISO 27001 se
dictaminan controles que son de gran ayuda para mitigar los riesgos
que se pueden perpetuar en una red de datos y que a su vez
provocan daños en la confidencialidad, integridad y disponibilidad de
la información.
Mediante un informe de Auditoría de Seguridad Informática se
detallan los resultados obtenidos en el test de intrusión y se
establece un análisis de que medidas de protección se deben de
llevar a cabo para mantener la red de datos altamente segura
aumentando los niveles de dificultad de acceso ilícito.
Los equipos de capa de red del modelo OSI adaptables a
implementar medidas de seguridad son los routers ya que estos
poseen funciones de Firewall donde se les puede aplicar reglas de
seguridad en base a bloqueo de conexiones no autorizadas, proxy,
re direccionamiento de servidores y filtrado de puertos.
RECOMENDACIONES
Verificar constantemente las actualizaciones que se les puede
aplicar a los dispositivos de capa de red para parchar posibles
vulnerabilidades y que estas no sean una puerta de acceso a piratas
informáticos que tienen como objetivo provocar daños en la
información.
Realizar pruebas de test de intrusión para conocer el estado de
seguridad de la red actual con el objetivo de robustecer dicha red
evitando de esta manera que sea blanco de intrusiones maliciosas.
100
Diseñar tablas de políticas y controles de seguridad basados en la
norma ISO 27001 para armar planes de contingencia que permitan
disminuir incidentes de seguridad.
Establecer informes sobre cada vulnerabilidad y riesgo detectado
para asignar medidas de protección que sean de gran ayuda con el
objetivo de controlar los riesgos y amenazas expuestas en la red de
datos aumentando de esta manera los niveles de seguridad de la
información.
Implementar routers como Firewall con el objetivo de disminuir
costos de adquisición de equipos de seguridad informática ya que
estos cumplen con la función de asignar reglas de seguridad,
bloqueo de puertos y servidor proxy.
101
BIBLIOGRAFÍA Agudelo Salazar, A. (2015). Plan de respuesta a un incidente de malware
en nuestra organización, 1–6. CARRIEL, Á. R., & PESANTES, F. C. (2015). ANÁLISIS Y DETECCIÓN DE
VULNERABILIDADES EN LOS SERVIDORES PÚBLICOS DEL CENTRO DE CÓMPUTO DE LA EMPRESA INTERMEDIARIA DE VENTAS UTILIZANDO LA METODOLOGÍA INTERNACIONAL OSSTMM.
Carvajal, C. (2015). Extracción de reglas de clasificación sobre repositorio
de incidentes de seguridad informática mediante programación genética Extracting.
Castellanos, I. R. (2012). HUB O CONCENTRADOR. CISCO. (2013). Introducción a EIGRP. Cisneros, Caiza, M. y V. (2017). Implementación de un prototipo como
sistema detector de intrusos para ataques dirigidos al protocolo IPv6 Implementation of a prototype as an intrusion detector system for attacks directed to the IPv6 protocol, 3, 9–16.
D., M. (2018). El hacker de la vulnerabilidad 200, 00 de MikroTik Router
inyecta Crypto Mining Malware. Retrieved from https://www.linkedin.com/pulse/mikrotik-routeros-vulnerability-hacker-inject-crypto-mining-darmandi
Domínguez, Maya, P. y C. (2016). Aplicación de Técnicas de Fuerza Bruta
con Diccionario de Datos , para vulnerar servicios con métodos de autenticación simple “ Contraseñas ”, pruebas de concepto con software libre y su, (December).
ECURED. (2018a). CAPA 3. Retrieved from
https://www.ecured.cu/Capa_de_red ECURED. (2018b). TOPOLOGÍA BUS, ANILLO Y ESTRELLA. Retrieved from https://www.ecured.cu/Topología_de_bus Fuertes, W., Rodas, F., & Toscano, D. (2013). Evaluación de ataques UDP
Flood utilizando escenarios virtuales como plataforma experimental UDP Inundation Attacks ’ Evaluation , Using Virtual Environment as an Experimental Platform, 20(31), 37–53.
102
HERNANDEZ, S. y S. (2017). Sistema inteligente para validar una lista de control de acceso (ACL) en una red de comunicaciones, 1(2), 24–31.
IBM. (2017). OSPF. Retrieved from
https://www.ibm.com/support/knowledgecenter/es/ssw_ibm_i_73/rzajw/rzajwospf.htm
JAEN, U. de. (2018). Guias de seguridad uja. Movistar, T. (2016). Iptables , herramienta para controlar el tráfico de un
servidor. PARRA, E. Y.-M. (2017). “ANÁLISIS DE VULNERABILIDADES EN LA
INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN.”
PÁRRAGA, C. L. A. C. J. A. P. (2018). IMPLEMENTACION DE UN
LABORATORIO DE SEGURIDAD DE INFORMATICA PARA LA REALIZACION DE TECNICAS DE ATAQUE Y DEFENSA (PENTESTING) EN UN AMBIENTE REAL CONTROLADO, UTILIZANDO UNA DISTRIBUCION DE KALI LINUX DENTRO DE LA EMPRESA INDUSTRIAL SIDERURGICA ANDEC S.A. .
Robinson, A. (2018). Hackers infectan 500,000 routers en todo el mundo.
Retrieved from https://www.cnet.com/es/noticias/hackers-infectan-500000-routers-en-
todo-el-mundo-malware/ Santos, Y. (2017). Introducción de una Prueba de Penetración, (February). Sulbaran, Y. (2013). EVALUACIÓN DE LOS DISPOSITIVOS A NIVEL DE
LA CAPA 2, 3 y 4 DEL MODELO OSI. Toranzo, F. R., Antonio, J., & Rivas, R. (2018). Redes de área local. TORO, A. (2018). PROPUESTA DE DISEÑO DE RED CONSIDERANDO
LA PROTECCION DE ACTIVOS LOGICOS PARA EL COLEGIO PARTICULAR “SAN AGUSTIN” DE LA CIUDAD DE GUAYAQUIL.
Valverde, B. (2016). ANÁLISIS COMPARATIVO DE LOS PROTOCOLOS
DE ENRUTAMIENTO DINÁMICO DE UNA RED DE TRANSPORTE PARA LA UNIVERSIDAD DE GUAYAQUIL.
103
ANEXOS
Anexo I: Preguntas de Encuesta
Figura No. 74 Preguntas de Encuestas I
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 75 Preguntas de Encuestas II
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 76 Preguntas de Encuesta III
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 77 Preguntas de Encuestas IV
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 78 Preguntas de Encuestas V
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 79 Preguntas de Encuestas VI
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Anexo II: Configuraciones de los dispositivos de enrutamiento
Figura No. 80 Topología de Red del Escenario I
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Configuraciones del Router R1
Figura No. 81 Configuraciones de las Interfaces de R1
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Configuración del Protocolo de Enrutamiento OSPF en R1
Figura No. 82 Protocolo de Enrutamiento OSPF en R1
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Interfaces MPLS en R1 Figura No. 83 Interfaces MPLS en R1
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Tablas MPLS en R1
Figura No. 84 Tabla de Vecinos MPLS
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 85 Tabla MPLS LDP
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Configuración del Protocolo de Enrutamiento OSPF en R2
Figura No. 86 Protocolo OSPF en R2
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Interfaces MPLS en R2
Figura No. 87 Interfaces MPLS en R2
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Tablas MPLS en R2
Figura No. 88 Tabla de etiquetas MPLS en R2
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 89 Tabla MPLS LDP en R2
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Tablas MPLS en R3
Figura No. 90 Tabla MPLS de Vecinos
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 91 Tabla de Etiquetas MPLS
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 92 Interfaces MPLS
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Tablas MPLS en R4
Figura No. 93 Tabla de Vecinos MPLS en R4
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 94 Tabla de Etiquetas MPLS en R4
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 95 Interfaces MPLS en R4
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 96 Tabla MPLS LDP en R4
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Enrutamiento OSPF en R4
Figura No. 97 Enrutamiento OSPF en R4
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Anexo III: Configuración del Router Mikrotik
En este caso se accede a la pantalla principal del Winbox para dar inicio
con las configuraciones del Mikrotik.
Figura No. 98 Inicio de Configuración del Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Una vez accedida a la pantalla del Mikrotik se dirige a la opción IP Address
y se asigna una IP al Router Mikrotik.
Figura No. 99 Asignación de una IP al Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Después de asignar la IP al Mikrotik se verifica que realmente este
configurada. Además, se asigna una IP al host cliente.
Figura No. 100 Verificación de la IP en el Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 101 Asignación de una IP al Host
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Una vez asignadas las direcciones IP en el host y en el Router Mikrotik se
procede a realizar las respectivas pruebas de conectividad a través del
comando PING.
Figura No. 102 Conectividad al Router Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 103 Conectividad al Host
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 104 Servicios levantados en el Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
En este caso se procede a configurar una contraseña en el router Mikrotik
Figura No. 105 Configuración de Password
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Anexo IV: Configuración de una dirección IP al Kali Linux y conectividad
del Router Mikrotik.
Figura No. 106 Configuración de la dirección IP del Kali Linux
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 107 Configuración de la puerta de enlace en Kali Linux
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Una vez configurada la dirección IP en el Kali Linux se procede a probar
conectividad con el Router Mikrotik
Figura No. 108 Conectividad del Router Mikrotik con el Kali Linux
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Anexo IV: Carta de juicio de experto
Figura No. 109 Carta de Juicio de Experto
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Anexo V: Informe de Auditoría de Seguridad Informática
Tabla No. 24 Informe de Auditoría de Seguridad Informática
REPORTE DE VULNERABILIDADES
Encargada de la Auditoría: María Luisa Cansing Saltos Ciudad o Cantón: Guayaquil
Amenaza Vulnerabilidades
Encontradas Gravedad
Dispositivos
Afectados
Tipo de
Vulnerabilidad
Soluciones
Provisionales
Fuerza Bruta Puertos 21, 22 y 23 abiertos
(FTP, TELNET y SSH) ALTO Router Mikrotik Fuerza Bruta
Bloqueo de los puertos y
del escaneo de
vulnerabilidades a través
del Firewall Mikrotik.
Monitoreo de la red
Acceso a la red de forma
pasiva a través de
herramientas de análisis de
tráfico
MEDIA Router Cisco Hombre en el Medio
Implementación de listas
de control de acceso en la
red de datos.
Contraseña de
longitud corta
configurada en el
Router Mikrotik
Contraseña de longitud corta
configurada en el Router
Mikrotik
ALTA Router Mikrotik Fuerza Bruta
Asignación de contraseñas
con caracteres
alfanuméricos y de longitud
larga.
Fuente: Trabajo de Investigación Autora: María Luisa Cansing
Anexo VI: Instalación de Nessus
Figura No. 110 Instalación de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 111 Inicio del Servicio de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 112 Inicio de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 113 Ingreso de las Credenciales de Root en Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 114 Ingreso del Código de Activación de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 115 Inicialización de Plugins de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 116 Plugins compilados completamente
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 117 Inicio de Nessus
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Anexo VII: Parámetros NMAP
Figura No. 118 Escaneo del Sistema Operativo
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 119 Versión de los servicios de Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing Anexo VIII: Acceso al Mikrotik mediante SSH En este caso se accede al MIKROTIK mediante el puerto SSH para verificar
las configuraciones del equipo tal como se demuestra en los gráficos No.
120, 121, 122, 123, 124, 125, 126, 127, 128 y 129
Figura No. 120 Acceso al Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 121 Verificación de la IP en el Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 122 Verificación de las Interfaces de Red Instaladas
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 123 Verificar direcciones MAC
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 124 Verificación de comandos de Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 125 Comandos de Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 126 Listado de Comandos en Mikrotik
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 127 Políticas de Firewall
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 128 Políticas de Firewall
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
Figura No. 129 Políticas de Seguridad
Fuente: Trabajo de Investigación
Autora: María Luisa Cansing
top related