ASIR SAD03 Contenidos 2016 VI

Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...
Implantacin de tcnicas de acceso remoto.
Caso prctico
Juan se ha dado cuenta que mantener un sistema informtico
en una empresa es imprescindible, y ms en instalaciones
donde se trabaja con bases de datos como la suya. Le
preocupa ahora como consultar el stock de productos
almacenados en cada momento sin tener para ello que utilizar
el telfono y hablar con el responsable del almacn.
Mara, necesito acceder a la base de datos de nuestro

sistema desde cualquier sitio desde donde se encuentre
nuestro comercial Es posible? S, si se tiene conexin a Internet. Por cable? No, es
posible con cualquier tipo de conexin, inalmbrica o telfono mvil valen. Bueno, pues
quiero que me lo configures. Antes, te har un estudio de los elementos que necesitamos
para que el acceso sea seguro No estars pensando en hacernos trabajar hasta en la
playa?
Mara explicar a su jefe todo lo necesario para que el acceso remoto a la red de la empresa
sea totalmente seguro, sea desde el sitio que sea.
Materiales formativos de FP Online propiedad del Ministerio de Educacin,

Cultura y Deporte.
Aviso Legal
1 de 43 26/8/16 3:02
1. Elementos bsicos de la seguridad perimetral.
Caso prctico
Los elementos bsicos que necesitamos son el router, que
ya lo tenemos, un buen firewall y un antivirus. No
necesitamos ms? Bueno, eso es lo mnimo, pero para
tener una instalacin profesional segura haran falta ms
cosas. Esta instalacin nos ha costado mucho dinero No
sirve para nada? Qu si! Vers.
Mara explicar a Juan cuales son los elementos bsicos en

la seguridad perimetral para que la organizacin sea segura utilizando tcnicas de acceso
remoto.
La seguridad perimetral es el primer obstculo al que hay que enfrentarse cuando se utilizan las tcnicas
de acceso remoto al sistema. Cuando se quiere proteger una red se debe:
Filtrar la informacin que entra en dicha red.

Analizar y prevenir las posibles intrusiones.
Utilizar tcnicas seguras en su funcionamiento.
Se podra definir la seguridad perimetral como:
El conjunto de hardware y software utilizado para proteger una red de otras redes en las que no
se confa.
De igual manera que el permetro de seguridad de una instalacin militar

est protegido por alambradas para impedir el acceso a cualquier persona
ajena al recinto, una instalacin informtica debe protegerse con otro tipo
de elementos que garanticen su seguridad para que no haya intrusiones no
deseadas.
En realidad, la seguridad perimetral es el resultado de llevar a la prctica la

poltica de seguridad implantada en la red a la que se quiere proteger. Entre
las funciones ms importantes se encuentran:
Proteger la informacin ms valiosa de la red.

Rechazar conexiones a servicios que no sean seguros.
Proporcionar un nico punto de conexin con el exterior.
Controlar el trfico que entra en la red.
Para conseguir realizar estas funciones, se utilizan los siguientes elementos:
Routers.
2 de 43 26/8/16 3:02
Firewalls.
Redes virtuales.
Subredes.
3 de 43 26/8/16 3:02
1.1. Router frontera.

El router frontera es el enrutador que se instala en la parte ms externa de la red corporativa, se encarga
de comprobaciones de seguridad en el trfico de entrada y salida de la red, una especie de polica de
trfico entrante y saliente.
Para saber ms
En el siguiente enlace podrs leer una noticia en la que se cuenta como se incomunica a un
pas modificando sus routers frontera.
Routers frontera
Estos routers estn diseados para soportar muchas conexiones en

las grandes organizaciones u operadores, en una instalacin
domstica este papel lo hace un router convencional, que es el que
se encarga de proporcionar tambin acceso a Internet.
Internet es una red de redes compuesta de sistemas autnomos, un

sistema autnomo puede estar compuesto por varias reas,
los routers frontera conectan las distintas reas entre s.
Los protocolos con los que trabajan los router frontera son los EGP, el ms extendido es BGP. Estos
protocolos son necesarios para poder encaminar la informacin en Internet. La ruta ptima escogida por
BGP viene determinada por el nmero de sistemas autnomos atravesados para llegar al destino. Aunque
BGP se utiliza entre sistemas autnomos, tambin se puede utilizar en su interior, en este caso se
denomina (IBGP). Para distinguirlos, el exterior se denomina EBGP.
En la imagen se puede ver la funcin que realiza BGP en el entramado de Internet. Se ha representado
como un sistema autnomo a toda la red que comunica al proveedor de servicios con el cliente (RED).
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre el protocolo BGP.
BGP.
Los protocolos de enrutamiento dinmicos se clasifican en exteriores o interiores, dependiendo de si

actan dentro o fuera de un sistema autnomo, las siglas que suelen emplearse para definir estos dos
grupos son IGP (Interior Gateway Protocol) y EGP (Exterior Gateway Protocol). Protocolos IGP son RIP,
IGRP, EIGRP y OSPF entre otros.
Autoevaluacin
4 de 43 26/8/16 3:02
Qu protocolo de enrutamiento se utiliza para efectuar la comunicacin entre

sistemas autnomos?
RIP.
Ethernet.
IGP.
BGP.
No. Este es un protocolo tipo IGP.
Falso. Este es un protocolo de redes LAN.
No es correcto. Este protocolo se utiliza dentro de los sistemas autnomos.
Si, este protocolo se utiliza para encontrar la ruta ptima entre sistemas autnomos.
Solucin
1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opcin correcta
5 de 43 26/8/16 3:02
1.2. Cortafuegos.
En la seguridad perimetral es comn encontrar un router que acte
como firewall o cortafuegos. Los conceptos de cortafuegos y router
son totalmente diferentes, pero ocurre que muchos routers incorporan
un cortafuegos en su software y por ello no es necesario incorporar
un cortafuegos adicional.
La configuracin del cortafuegos se puede hacer a travs del interfaz

web del router, accediendo con cualquier navegador que incorpore el
sistema operativo.
En la imagen anterior se puede ver como el router, cuya direccin IP

es 192.168.1.254, tiene un interfaz que nos permite configurar un
cortafuegos o firewall sencillo con algunas opciones bsicas, esto es
lgico puesto que la captura pertenece a un router de uso domstico.
Se puede ver como se tiene la opcin de configurar parmetros para
que el router pueda ser atravesado por conexiones VPN.
La palabra que ms se repite entre las opciones del firewall es filtrar,

lo que deja claro cul es su funcin. El cortafuegos ms simple es un filtrado de paquetes, en el que los
routers miran la direccin origen, la direccin destino y el puerto destino. Estos filtros aceptan o deniegan
los paquetes permitiendo al router eliminar o dejar pasar el paquete.
Un ejemplo de este tipo de filtrado son las listas de acceso (ACL), son listados de restricciones o
permisos que se aplican a un router para controlar el trfico de entrada y de salida del mismo. Para crear
una lista de control de acceso se emplea el comando access-list.
SAD03(config)#access-list N permit|deny [direccin IP] [mscara]

SAD03(config-if)#ip access-group N in|out
Donde N representa un nmero entre 0 y 99 que identifica a la lista, permit o deny se emplean para
permitir o denegar, direccin IP representa a las direcciones que se van a filtrar o no y la mscara se
utiliza para que el router sepa cuantos bits de la direccin especificada deben coincidir con los de la
direccin del paquete analizado.
Donde N es el nmero que representa a la lista y los parmetros in|out especifican si el trfico es de
entrada o de salida.
SAD03(config)#access list 2 deny 192.168.1.0 0.0.0.255

SAD03(config-if)#ip access-group 2 in
Con estas ltimas rdenes se deniega el trfico entrante a la red 192.168.1.0.
Adems de las listas de control, otra solucin es un proxy firewall, cuando una conexin llega al proxy, el
proxy completa la conexin, y crea una nueva desde el proxy hasta el destino, el proxy no enruta el trafico,
guarda informacin y realiza o no la conexin. El proxy es un intermediario entre los equipos de la red
corporativa e Internet.
6 de 43 26/8/16 3:02
1.3. Redes privadas virtuales.

Una Red Privada Virtual (VPN) es una tecnologa que permite
establecer una conexin similar a la de una red LAN sobre una red
pblica como Internet. Para conseguir esto utiliza mecanismos de
encapsulacin o tunelizacin y a veces encriptacin.
En la imagen se puede ver una representacin de una conexin VPN,

en ella deben existir un servidor VPN (el que acepta las conexiones) y
un cliente VPN (el que se conecta).
El tnel representa como la informacin viaja ajena al trnsito restante

de Internet. Cuando un cliente establece una conexin VPN con un
servidor, aparentemente, no ocurre ningn cambio en su equipo.
Los sistemas operativos incorporan asistentes para generar
conexiones de este tipo, una vez generada, al conectarse al servidor
VPN se puede observar en el sistema una situacin como la que
refleja la siguiente figura:
En la imagen se muestra como se est estableciendo una conexin del tipo VPN denominada
DISTANCIA2011-2012 con el servidor www.infoalisal.com, tambin se puede ver entre parntesis que el
protocolo utilizado en la conexin es el PPTP.
En la seguridad perimetral, las VPN encuentran como primer obstculo al router frontera, para que este
tipo de conexin pueda atravesarlo es necesario especificar en la configuracin que se permita esta
conexin.
Autoevaluacin
Una red privada virtual VPN:
Encapsula la informacin.
Se da en las LAN.
Atraviesa los routers sin dificultad.
Utiliza el protocolo PTP.
Si. Encapsula la informacin que quiere transmitir para que solamente el destinatario
pueda extraerla.
Falso. Permite la conexin segura con una red LAN desde una red que puede no ser de
tipo LAN.
No es correcto. Para que pueda pasar a travs de un router es necesario permitir dicha
conexin en la configuracin del router.
No. Uno de los protocolos utilizados es el PPTP.
Solucin
1. Opcin correcta
2. Incorrecto
7 de 43 26/8/16 3:02
3. Incorrecto
4. Incorrecto
8 de 43 26/8/16 3:02
1.4. Permetros de red. Zonas desmilitarizadas.

El permetro de red se implanta para separar el trfico entre las redes internas y externas, en el permetro
de red se puede:
Controlar el trfico.
Clasificar el trfico.
Poner en cuarentena.
Denegar conexiones.
El concepto de permetro no es exclusivo para separar redes

diferentes, tambin se puede utilizar para separar segmentos dentro
de una misma red fsica (uso de VLAN). Cuando se utiliza un
permetro de red, en lugar de defender la red corporativa con un solo
elemento, como en el caso del router frontera, se emplea una red
entre la red interna e Internet y una de las tcticas es el uso de las
zonas DMZ.
La zona desmilitarizada de una red, tambin denominada DMZ, es una zona de seguridad en la que los
equipos tienen una relacin de comunicacin bidireccional con la red WAN pero no con la red LAN. Es
decir, un equipo situado en la WAN podr conectarse con un equipo de la zona DMZ y viceversa, pero un
equipo de la zona DMZ no podr conectarse hacia un equipo de la red LAN y si el paso inverso.
Para un intruso que provenga de la zona WAN, entrar a la zona desmilitarizada no le permitir saltar a la
parte LAN.
Las zonas DMZ se emplean para situar los dispositivos que proporcionan servicios pblicos como
alojamientos de pginas Web (servidores Web), servidores de correo o servidores DNS. En la zona DMZ se
dejan los equipos que se quiere tener expuestos a la red.
Si un atacante lograra entrar a alguno de los servidores de la red permetro, an estara el router interno
protegiendo la red privada interna. Las DMZ seran una especie de antesala donde se examina a los
visitantes.
Para saber ms
En el enlace siguiente puedes ver ms detalles de DMZ:
DMZ
Autoevaluacin
Una DMZ:
Est formada por aquellos elementos de la red corporativa que se quieren exponer a
Internet.
Est formada por varios router frontera.
9 de 43 26/8/16 3:02
Puede comunicarse con la red interna pero no viceversa.

Acta junto con el permetro de red.
Si. Es la zona en la que se pueden poner servidores web o de correo.
Falso. El router frontera se sita entre la DMZ e Internet.
No es correcto. Desde la DMZ se puede acceder a Internet pero no a la red interna.
No es correcto. Lo correcto sera decir que est en el permetro de red.
Solucin
1. Opcin correcta
2. Incorrecto
3. Incorrecto
4. Incorrecto
10 de 43 26/8/16 3:02
1.5. Arquitectura dbil de subred protegida.

Una subred protegida dbil es aquella que establece la proteccin de la red interna empleando una zona
DMZ por detrs de un firewall de permetro.
En esta disposicin, el equipo que acta como firewall debe tener al menos tres interfaces para poder
conectar con la DMZ, el exterior y la red interna.
Un fallo en el cortafuegos puede desproteger a la red interna.
La subred protegida aloja servicios que se pretenda sean accesibles desde Internet, pero eso no implica
que no deba ser segura. Los equipos que forman esta subred se denominan bastin, es un elemento
ms adelantado que la red interna y est ms en contacto con el peligro.
Los bastiones son equipos donde se han fortalecido tanto los sistemas operativos como las aplicaciones
para que sean lo ms seguro posibles. Estos equipos son el objetivo de todos los ataques puesto que son
los que ms contacto tienen con la red exterior.
11 de 43 26/8/16 3:02
1.6. Arquitectura fuerte de subred protegida.

La subred protegida fuerte establece la proteccin de la red interna con una zona DMZ situada entre dos
firewall.
En esta disposicin el cortafuegos externo (de acceso) bloquea y controla el trfico no deseado desde la
red externa a DMZ. El cortafuegos interno (de contencin) bloquea y controla el trfico no deseado de DMZ
a red interna.
Un fallo en el cortafuegos externo desprotege solamente la DMZ.
Una de las medidas recomendables es tener dos proveedores diferentes para cada uno de los dos
servidores que funcionan como firewall. Cada proveedor puede tener una poltica de seguridad diferente
por lo que si un intruso es capaz de saltar las medidas de seguridad de uno de ellos, en el mejor de los
casos, tendr que emplear un mtodo diferente para atravesar el otro.
Autoevaluacin
Un permetro de red:
Incluye solamente a la DMZ.

Incluye, entre otros, dispositivos VPN.
No incluye firewall.
No incluye subredes protegidas.
No, deberas volver a leer el apartado anterior.
Muy bien, es la correcta. Es la zona donde se implantan medidas de seguridad entre las
que se encuentra la implantacin de VPN.
No es correcto. En el permetro de seguridad, uno de los elementos principales es el

firewall.
Respuesta incorrecta. El trmino subred protegida es anlogo a DMZ.
12 de 43 26/8/16 3:02
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
13 de 43 26/8/16 3:02
2. Polticas de defensa en profundidad.
Caso prctico
Pues ya que tenemos todos los elementos instalados, ya se
puede trabajar tranquilo. No, Juan, es necesario establecer
los permisos de acceso sobre los recursos de nuestro
sistema. Para qu? Pues para que no sea un caos y
todo el mundo pueda cambiar cosas donde no debe, es
conveniente que en cada zona tengamos distintos permisos.
Mara debe hacer comprender a su jefe las distintas polticas

de seguridad que se deben llevar a la prctica en las distintas
zonas de acceso a la red.
La defensa en profundidad se refiere a una estrategia militar, que tiene como finalidad hacer que el
atacante se desanime al interponerle varios obstculos en su camino hacia el objetivo.
La seguridad total no existe como tal, es imposible afirmar que un sistema es totalmente seguro. Lo nico
que puede asegurarse es que se pueden establecer una serie de polticas de seguridad para conseguir:
Reducir las posibilidades de que el sistema sea atacado.

Minimizar los daos causados por un incidente.
Existen muchas ideas y protocolos de actuacin para establecer una defensa de un sistema pero todas se
podran resumir en dos maneras de actuar:
Permitir todo lo que no est especficamente prohibido.

Prohibir todo lo que no est explcitamente permitido.
La segunda de las opciones es la ms segura y restrictiva, aunque no siempre la ms adecuada, se

especifica solamente lo que est permitido, tambin se denomina negociacin preestablecida.
En la primera se especifica solamente lo prohibido, se denomina permiso establecido.
Para tener una idea clara de estas dos posturas, basta imaginar que en un parque se pueda leer uno de los
14 de 43 26/8/16 3:02
siguientes mensajes:
No se permite jugar al ftbol.

Solamente se permite jugar al tenis.
Est claro que es mucho ms restrictivo el segundo mensaje (se prohbe todo lo que no est
explcitamente permitido), ya que el primer mensaje no dice que no se pueda jugar al tenis, voleibol,
baloncesto o cualquier otro deporte.
Autoevaluacin
Si el router frontera solamente deja pasar las conexiones que utilicen el puerto 80:
Se est prohibiendo lo que no est especficamente prohibido.

Se prohbe todo lo que no est permitido.
Se permite todo lo que no est especficamente prohibido.
Es lo mismo que decir que se prohben las conexiones por el puerto 25.
No, deberas leer de nuevo el apartado.
Muy bien, es la correcta. Se especifica solamente lo que est permitido.
No es correcto. No se especifica ninguna prohibicin.
Respuesta incorrecta. Permitir solamente el puerto 80 implica que se prohben todas las
dems, el 25 es solamente una de las opciones posibles.
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
15 de 43 26/8/16 3:02
2.1. Defensa perimetral.

La defensa perimetral establecen una poltica de seguridad entre una red segura y otra insegura (Internet) y
establecen los servicios que sern accesibles desde el exterior y a los que se puede acceder desde el
interior.
Las polticas de defensa perimetral se centran en conseguir:
Filtrar el trfico de la red.

Redirigir el trfico hacia mquinas seguras.
Administrar el contenido del trfico.
Para conseguir esto es necesario contemplar que esta defensa debe valorar que:
Las amenazas pueden venir del interior, no siempre desde el exterior.

Extremar las medidas de seguridad puede provocar limitaciones en el funcionamiento.
En el filtrado del trfico se siguen tres polticas:
Aceptar. Se permite el trfico.

Denegar. Se prohbe el trfico y no hay mensaje de error.
Rechazar. Se prohbe el trfico y se enva un mensaje de error al emisor.
Es recomendable el uso de la opcin denegar frente a rechazar puesto que de esa manera se disminuye
el trfico y adems el atacante tiene menos informacin del sistema de defensa.
Para llevar a cabo este tipo de defensa en el permetro se utilizan:
Sistemas de deteccin de intrusos (IDS).

Firewall.
Conexiones VPN.
16 de 43 26/8/16 3:02
2.2. Defensa interna.

La defensa en profundidad consiste en realizar el proceso de
seguridad de manera segmentada, crear varias lneas de defensa,
una de estas lneas es la que se crea en la red interna, para poder
llegar a la lnea de defensa de la red interna se ha tenido que
atravesar la lnea de defensa perimetral.
En la imagen se pueden observar las distintas lneas de defensa y en

los recuadros, las herramientas utilizadas en cada una de ellas.
La poltica de defensa en la red interna tiene como objetivo principal, establecer los parmetros de
funcionamiento interno para que la red funcione con seguridad, puesto que con la defensa perimetral ya ha
habido un filtro del trfico entrante a la red.
La red interna es lo ms valioso, si se tiene acceso a ella se tendr acceso a los datos, que es lo que se
est protegiendo.
Para conseguir cumplir las normas anteriores, en la red interna se pueden emplear en los servidores y
dispositivos de interconexin:
Listas de control de acceso (ACL).

Conexiones SSH.
Auditoras de seguridad.
VLAN.
En el interior de la red interna se establecen ms lneas de defensa en cada uno de los host y en el interior
de estos host en cada una de las aplicaciones.
Contraseas.
Anti-malware.
Programacin segura.
Deteccin de intrusiones.
17 de 43 26/8/16 3:02
2.3. Factor humano.

Finalmente, el factor ms imprevisible y difcil de controlar, el humano. Todas las medidas de defensa
establecidas son intiles si el personal las utiliza mal o no las utiliza adecuadamente.
Compromiso con los objetivos de seguridad establecidos.
La clave para que una red funcione de manera segura es que los usuarios estn comprometidos con la
poltica de seguridad de la organizacin, para ello son clave las prcticas seguras en:
El uso de carpetas personales.

El uso de carpetas compartidas.
La realizacin de copias de seguridad.
El uso de la red.
La modificacin de archivos comunes.
La utilizacin de archivos personales en la red interna.
La manipulacin de equipos y aplicaciones de la red.
Para llegar a tener un buen nivel de comportamiento global en el plano del proceso de seguridad, es
indispensable, aparte de las buenas conductas y la concienciacin:
Adquirir y mantener una buena formacin.

Gestionar adecuadamente los incidentes que se produzcan.
18 de 43 26/8/16 3:02
3. Redes privadas virtuales. VPN.
Caso prctico
Juan, se puede mejorar nuestra seguridad si creamos
redes privadas virtuales. Cmo virtuales? Si, creamos
redes privadas sobre la red pblica para poder esconder lo
que transmitimos al acceder de manera remota a nuestra red.
Tenemos que pagar ms a nuestro operador? No, no es
necesario, nos vale con utilizar una serie de protocolos fciles
de instalar, que cifran la informacin.
Juan aprender cuales son los beneficios de las redes

privadas virtuales y lo accesibles que son en la actualidad.
Las redes privadas virtuales (VPN) surgen como una solucin para garantizar la
privacidad en el intercambio de informacin. Las VPN proveen de mecanismos para
que la comunicacin entre dos puntos prximos o lejanos sea privada entre el emisor
y el receptor, utiliza la palabra virtual porque la comunicacin se lleva a cabo
generalmente sobre una lnea pblica de comunicaciones (comunicacin privada
sobre lnea pblica).
En ocasiones se denomina tambin tnel porque las tcnicas empleadas para crear
una VPN crean una especie de paredes que hacen que no haya transferencia de
informacin entre los datos transmitidos y el canal por el que viajan. La separacin
de la informacin se hace mediante tcnicas de encriptacin, siendo un proceso
totalmente transparente a los usuarios y aplicaciones.
Una VPN garantiza la confidencialidad, la confiabilidad, la disponibilidad y el no repudio modificando los

paquetes IP:
Cifrando para garantizar la confidencialidad.

Firmando para garantizar la autenticidad, integridad y no repudio.
Las VPN pueden ser tiles para:
Separar en una intranet la informacin confidencial para que sea accesible solamente por
los usuarios autorizados.
Comunicar de manera segura dos puntos distantes utilizando una red pblica como
Internet.
Establecer comunicaciones inalmbricas seguras.
Una VPN se puede crear por:
Hardware.
Software.
19 de 43 26/8/16 3:02
Las creadas por hardware dependen de los fabricantes de los dispositivos con esa capacidad y por lo
tanto, estn ms limitadas. Las creadas por software son las ms comunes y flexibles en su implantacin,
se hace referencia a ellas por los protocolos utilizados.
IPSec.
PPTP.
L2TP.
SSL/TLS.
20 de 43 26/8/16 3:02
3.1. Beneficios y desventajas con respecto a las

lneas dedicadas.
Las lneas dedicadas son lneas alquiladas a los diferentes ISP, que garantizan una comunicacin segura
punto a punto entre dos sitios diferentes de una misma organizacin, con esto se consigue extender la red
LAN fuera de los lmites de la organizacin. Utilizar VPN permite tambin una comunicacin segura con las
siguientes ventajas respecto a una lnea dedicada:
Ahorro de costos en el alquiler de lneas a ISP.

Facilidad de manejo en la conexin.
Proceso transparente para el usuario.
Los datos viajan encriptados.
Facilita la movilidad de los usuarios.
Rapidez en la implementacin.
Entre las desventajas de las VPN frente a lneas dedicadas se encuentran:
Fiabilidad.
Velocidad.
Escalabilidad.
La principal desventaja de las VPN es la fiabilidad, puesto que es una

tecnologa que se utiliza sobre Internet y esta no es del todo fiable en
sus conexiones.
Tambin se produce una ralentizacin en las transmisiones respecto a

las lneas dedicadas puesto que el cliente VPN debe encapsular los
datos y estos saltar de nodo en nodo a travs de Internet. Si adems
del encapsulado, se encriptan los datos, la ralentizacin es mayor en
cada paso de nodo de Internet.
En cuanto a la ampliacin de la red, es necesaria una lnea privada por cada punto que se quiera agregar,
esto supone lentitud en la implantacin y dificultades de cobertura.
En la imagen se puede ver una Intranet entre tres ciudades diferentes y la combinacin de lneas dedicadas
que necesita para poder interconectar las tres redes LAN.
En este caso, las lneas dedicadas son Lneas T (T1 en la conexin LAN-MAN y T3 en la conexin
MAN-MAN). En Europa se denominan lneas E.
Autoevaluacin
La diferencia entre una VPN y una lnea dedicada E es que:
Las VPN se implantan en Amrica y las lneas dedicadas en Europa.

Las VPN no necesitan de una lnea fsica nueva para cada nodo que se incorpore a la
red.
21 de 43 26/8/16 3:02
Las lneas dedicadas se construyen por software y las VPN por hardware.
Las lneas dedicadas permiten que usuarios ajenos a la red intervengan en la
comunicacin.
Respuesta incorrecta. VPN es un trmino utilizado en Europa y en Amrica.
Es la correcta. Es una de las ventajas, una lnea dedicada necesita que se instale una
lnea fsica de conexin por cada nodo nuevo.
No es correcto. Una VPN se puede construir por software tambin.
Incorrecta. Tanto las VPN como las lneas dedicadas permiten la comunicacin
solamente a los usuarios pertenecientes a la Intranet.
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
22 de 43 26/8/16 3:02
3.2. Tcnicas de cifrado en VPN.

Las tcnicas de cifrado encapsulan los datos en paquetes seguros. Bsicamente se utilizan dos tcnicas:
Simtrica o de clave secreta.

Asimtrica o de clave pblica.
La tcnica de clave secreta utiliza una sola clave para encriptar y

desencriptar la informacin, esta clave se comparte con todos los
participantes en la comunicacin.
La tcnica de clave pblica utiliza dos claves, una secreta y otra

pblica. Para encriptar la informacin se utiliza la clave secreta del
emisor y la pblica del receptor, el receptor utiliza su propia clave
secreta junto con la pblica para desencriptar el mensaje que recibe.
En las conexiones VPN las encriptaciones se hacen en tiempo real, con claves que valen solamente para
esa sesin de conexin.
En la tcnica de cifrado simtrica se emplean principalmente los algoritmos:
Debes conocer
DES. IDEA. 3DS.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre la criptografa simtrica.
Simtrica
En la tcnica de cifrado asimtrica el algoritmo de encriptacin ms empleado es:
Debes conocer
En el siguiente enlace podrs aprender ms sobre RSA:
RSA
23 de 43 26/8/16 3:02
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre la criptografa asimtrica.
Asimtrica
24 de 43 26/8/16 3:02
3.3. VPN a nivel de enlace.

Las VPN son una forma de proporcionar comunicaciones privadas sobre una red pblica. Con las VPN a
nivel 2 (enlace en la arquitectura OSI), se elimina la necesidad de utilizar routers en los extremos que se
encarguen del enrutado VPN.
El objetivo de las VPN a nivel 2 es construir una comunicacin segura independiente del protocolo utilizado
en el nivel 3 (red en la arquitectura OSI), pudiendo ser IP o cualquier otro. Se basa en extender la red LAN a
travs de una MAN o WAN.
Los protocolos utilizados en este tipo de VPN son:
MPLS.
L2TP.
VPLS.
MPLS aade etiquetas a los paquetes que circulan por la red para poder enrutarlos en cada nodo de
comunicacin. Cada etiqueta define un camino diferente en la comunicacin y se inserta entre la
informacin correspondiente a la capa 2 y la informacin de la capa 3.
L2TP surge a partir de PPTP de Microsoft y L2F de Cisco Systems. Este protocolo encapsula los datos
utilizando PPP y necesita de un protocolo a nivel 3 para ser completamente seguro.
Tanto MPLS como L2TP crean conexiones punto a punto, mientras que VPLS es capaz de crear
conexiones multipunto a multipunto. Cuando se utiliza VPLS, la red del ISP emula el comportamiento de un
conmutador o un puente creando una LAN compartida por todas las LAN situadas en diferentes sitios con
un nico dominio de difusin.
En la imagen se puede ver una simulacin de lo que hace la tecnologa VPLS, a cada uno de los tneles
creados en las conexiones punto a punto entre las redes LAN (FastEthernet en este caso) se les denomina
tambin pseudo-cables .
Debes conocer
En el siguiente enlace aprenders ms cosas sobre el protocolo L2TP.
L2TP
25 de 43 26/8/16 3:02
3.4. VPN a nivel de red. SSL, IPSec.

Las redes VPN SSL y VPN IPSec se han convertido en las tecnologas VPN principales para
conectar LAN remotas o usuarios a LAN remotas. Ms que tecnologas en competencia, son
complementarias:
IPSec es mejor para conexiones sitio a sitio.

SSL es ideal para el acceso remoto.
En la imagen se puede ver un dispositivo que ofrece la posibilidad de

utilizar ambas tecnologas SSL e IPSec. En la actualidad es la opcin
que utilizan casi todos los fabricantes.
Comparando las dos tecnologas se podran extraer las siguientes

ventajas e inconvenientes:
Ventajas de SSL frente a IPSec:
No utiliza clientes especficos, utiliza navegadores Web estndar.

Facilita el acceso remoto.
Requiere menor administracin.
Desventajas de SSL frente a IPSec:
No soporta trfico de voz.

No favorece las conexiones sitio a sitio.
Dificulta el acceso a estaciones de trabajo individuales.
La conexin a travs de SSL limita el acceso a travs del puerto TCP 443 y utiliza cifrado de puerto a
travs de los exploradores Web. En la mayora de los casos, el puerto 443 (HTTPS) est abierto y est
permitido a travs del firewall, por lo que es mucho ms fcil garantizar la conectividad de los usuarios
finales. La tecnologa SSL no tiene los problemas con NAT que IPSec y PPTP a veces se encuentran.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre IPSec.
IPSec
Autoevaluacin
26 de 43 26/8/16 3:02
Desde el punto de vista de un usuario inexperto.
Las VPN con IPSec son ms sencillas de utilizar.

Las VPN con SSL son ms sencillas de utilizar.
SSL implica instalar software cliente que dificulta la administracin.
IPSec posibilita que un usuario se conecte desde cualquier equipo sin importar el
software instalado.
No. IPSec implica utilizar software cliente.
Es la correcta. Bastara con tener un navegador web.
No es correcto. No es necesario, basta con un navegador web.
No es correcto. Esta es precisamente una de las desventajas respecto a SSL.
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
27 de 43 26/8/16 3:02
3.5. VPN a nivel de aplicacin. SSH.

SSH es un protocolo a nivel aplicacin utilizado para establecer una comunicacin remota con un
servidor de manera segura debido a que encripta los datos y garantiza la integridad. SSH soporta varios
mtodos de autenticacin, uno ellos es el basado en clave pblica/clave privada (publica para encriptar y
privada para desencriptar).
En un sistema Linux, por ejemplo, solamente podrn acceder al servidor, las claves pblicas que aparezcan
en el fichero del servidor:
$tomas/.ssh/authorized_keys
El cliente y el servidor deben ponerse de acuerdo en el sistema

criptogrfico que van a utilizar, intercambindose la clave pblica para
generar un clave de cifrado que se utilice en la transmisin, esta clave
cambia en cada conexin SSH.
En la imagen id_rsa e id_rsa.pub
En este proceso, el usuario genera su par de claves ejecutando:
ssh-keygen
Las claves pblica y privada generadas, se almacenan respectivamente en:
$tomas/.ssh/identity.pub
$tomas/.ssh/identity
SSH se puede considerar como una VPN a nivel aplicacin para asegurar las transacciones entre cliente y
servidor. Se utiliza en muchas ocasiones para administrar servidores de forma remota, pero adems,
soporta cualquier protocolo TCP/IP por debajo del nivel aplicacin, por lo que puede ser empleado para
muchas aplicaciones.
Autoevaluacin
Para que se pueda establecer una comunicacin con SSH:
El receptor debe tener la clave privada del emisor.

El receptor debe conocer la clave pblica del emisor
El emisor debe conocer la clave privada del receptor.
El receptor debe conocer la clave privada del emisor y la pblica.
No. La clave privada del emisor solamente la conoce el emisor.
Es la correcta. El emisor debe dar a conocer la clave pblica al receptor.
No es correcto. La clave privada del receptor solamente debe conocerla el receptor.
28 de 43 26/8/16 3:02
No es correcto. Solamente debe conocer la clave pblica.
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
29 de 43 26/8/16 3:02
3.6. Intrprete de comandos SSH.

SSH es un protocolo pero tambin recibe el mismo nombre el programa
que es capaz de ejecutarlo. Para poder ejecutar SSH es necesario tener
instalado los servicios SSH en el servidor y un cliente SSH en el equipo
desde el que se quiera realizar la conexin. Existen muchos clientes SSH,
uno de ellos es PuTTY .
En la imagen se puede ver como es la aplicacin PuTTY, se puede

configurar para que acte como cliente en protocolos como Telnet o SSH.
Tambin es posible que los sistemas operativos incluyan el cliente como

una de sus aplicaciones.
En la imagen se puede ver el resultado de ejecutar SSH en una distribucin de Linux, en este caso el
usuario es MSO y el servidor al que se conecta es el 192.168.1.1.
En el servidor debe instalarse el servicio servidor SSH, para ello existe diferente software que es capaz de
realizar esta funcin. En distribuciones Linux se puede instalar openssh-server.
Para realizar la instalacin primero se descarga:
root@linux-tomas:/# aptitude install openssh-server
Una vez que se ha instalado hay que configurar el servidor para seleccionar los usuarios que deben tener
permiso. El archivo de configuracin puede estar en rutas como las siguientes:
/etc/ssh/sshd_conf
/etc/ssh/sshd_config
Editando el fichero se aadir una lnea como:
AllowUsers usuario
Para que los cambios en la configuracin del servidor surtan efecto se emplea la orden:
/etc/init.d/ssh restart
30 de 43 26/8/16 3:02
3.7. Conexin SSH mediante lnea de comandos.

Los pasos para conectar un cliente con un servidor SSH y evitar que se requiera el uso de contraseas en
conexiones sucesivas, son los siguientes:
Generar las claves de cifrado asimtrico.

Colocar la clave pblica del cliente en el servidor.
Conectar con el servidor.
Las claves de cifrado se generan con el comando ssh-keygen:
Para generar estas claves se utiliza el algoritmo RSA, para proteger las claves creadas se pide una
contrasea y adems para poder generarlas tambin debemos introducir una palabra. Las claves se
almacenan en un fichero al cual podemos dar nombre, en el caso de la figura en distancia. Se generarn
los ficheros distancia y distancia.pub (clave privada y clave pblica).
Si se editan estos dos ficheros tienen el siguiente aspecto:
Obviamente son ininteligibles porque son las claves con las que se cifrar la informacin. El siguiente paso
es colocar la clave pblica junto con las dems claves autorizadas del servidor (se copian al fichero
authorized-keys), con ello se consigue que en sucesivas conexiones no se requiera una contrasea y la
conexin sea segura. Para ello, se utiliza el comando scp.
scp distancia.pub tomas@10.10.10.2:/tmp
Con la orden anterior se copia la clave pblica a un fichero temporal del servidor SSH cuya direccin IP es
10.10.10.2.
ssh tomas@10.10.10.2
cd /etc/ssh
cat /tmp/distancia.pub >> authorized-keys
Estos comandos permiten conectarse con SSH al servidor 10.10.10.2, situarse en el directorio donde est
instalado el servidor SSH y copiar la clave pblica en el fichero donde se almacenan las claves autorizadas.
31 de 43 26/8/16 3:02
3.8. Gestin de archivos SSH.

SSH puede proporcionar un sistema de archivos en red que realice las mismas funciones que NFS de
manera segura. Para poder utilizar este sistema de archivos es necesario:
Servidor SSH en el equipo que acta como servidor.

Cliente SSHFS en el equipo cliente.
SSHFS permite montar en el equipo local un directorio que est situado en un equipo remoto usando
SSH.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre SSHFS:
SSHFS
Para montar ficheros remotos en el equipo local se utiliza una sintaxis similar a:
sshfs tomas@infoalisal.com:/examenes/sad /home/sad01/micarpeta/examenes/sad
Con la orden anterior, el usuario tomas se conecta al servidor infoalisal.com y monta el directorio sad que
est en el directorio exmenes, en el directorio sad que est en el directorio /micarpeta/examenes del
equipo local.
32 de 43 26/8/16 3:02
4. Servidores de acceso remoto.
Caso prctico
Juan, despus de estar preparando todo para que
podamos acceder de manera remota se nos ha olvidado lo
ms importante.
Es caro?
No te preocupes, que creo que lo podemos solucionar sin

gastarnos nada.
Qu es?
Tenemos que habilitar el servicio de acceso remoto en el servidor, ser el nico camino de
entrada a nuestro servidor.
Entrada?
Si, es necesario habilitar un camino, solamente accesible para los usuarios autorizados e
imposible de sobrepasar para los desconocidos.
Mara explicar a su jefe Juan cul es el software necesario para poder habilitar en un
servidor el servicio de acceso remoto, as como los diferentes protocolos de autenticacin
necesarios para que la conexin remota sea segura.
Un servidor remoto es un equipo que permite que otro equipo se conecte a l, se denominan tambin
RAS . Se encarga de mltiples llamadas entrantes de los usuarios remotos que necesitan acceso a
recursos de red, tambin lo utilizan los proveedores de Internet para proporcionar acceso a Internet.
Los servidores de acceso remoto hacen las funciones de puerta de enlace entre el cliente de acceso
remoto y la red local. Antes de establecerse la conexin hay una autenticacin de los clientes de acceso
remoto.
El uso de servidores de acceso remoto facilita la conexin incluso si no se dispone de Internet, y si de una
conexin mvil a travs de la lnea telefnica pblica bsica utilizando el protocolo PPTP.
En el siguiente video puedes ver cmo montar un servidor de Acceso Remoto en Windows Server 2012
Como montar un servidor d...
La imagen anterior muestra como puede ser la interfaz de conexin de un servidor de tipo RAS
empresarial. Un servidor RAS puede actuar en redes Microsoft, Netware y Unix, as como con varios
protocolos entre los que destaca PPP y el casi obsoleto SLIP .
33 de 43 26/8/16 3:02
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre SLIP:
SLIP
34 de 43 26/8/16 3:02
4.1. Protocolos de autenticacin.

La autenticacin es un proceso de validacin de una identidad de usuario o dispositivo, necesaria para
acceder a un determinado recurso.
Entre los protocolos de autenticacin ms comunes se encuentran:
PAP.
CHAP .
TACACS .
RADIUS.
SPAP.
PAP es un protocolo inseguro, ya que no cifra el usuario y la contrasea en la comunicacin con el

servidor, se empleaba con servidores Unix.
CHAP es un protocolo que se puede utilizar en comunicaciones remotas o inalmbricas. La caracterstica

ms relevante es que obliga al cliente a verificar su identidad cada cierto intervalo de tiempo. Una variante
de este protocolo es MSCHAP implementado por Microsoft.
TACACS permite que el servidor de acceso remoto utilice un servidor de autenticacin para verificar si un
usuario tiene acceso o no. La evolucin de TACACS es TACAS+. Este protocolo acta de manera similar a
RADIUS. Este tipo de protocolos se denominan de tipo AAA puesto que realizan tres funciones:
Autenticacin.
Autorizacin.
Contabilizacin.
RADIUS es un protocolo de tipo AAA y se utiliza en combinacin con

protocolos como PAP o CHAP. Una de las caractersticas ms
importantes es la capacidad para manejar sesiones, determinando o
limitando el tiempo de conexin de cada usuario. Se emplea en la
seguridad en redes inalmbricas, sobre todo en redes inalmbricas
abiertas.
El proceso seguido en la autenticacin RADIUS sera el que se representa en la figura y se podra resumir
en los siguientes pasos:
El usuario llama al RAS y le comunica nombre de usuario y password, iniciando las

negociaciones PPP.
RAS acta slo como intermediario, pasando la informacin de autenticacin al servidor
RADIUS.
RADIUS autentica al usuario y emite una respuesta de aceptacin, si no puede autenticar
al usuario, le enva una notificacin.
Con la informacin remitida por RADIUS, RAS completa la negociacin PPP, permitiendo
la conexin a la red o denegando el acceso.
SPAP es un protocolo en el que el cliente de acceso remoto enva una contrasea cifrada con un
35 de 43 26/8/16 3:02
algoritmo de cifrado bidireccional al servidor de acceso remoto. El servidor de acceso remoto descifra la
contrasea y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto. Es ms seguro que
PAP pero menos que CHAP.
36 de 43 26/8/16 3:02
4.2. Configuracin de parmetros de acceso.

Los servicios de acceso remoto se crearon en principio para gestionar
mltiples llamadas a travs de la red telefnica y los modem, por ello,
los parmetros de configuracin de este servicio son parmetros
como puertos de comunicaciones, protocolos de red o sistemas de
codificacin.
En la actualidad casi todos los sistemas operativos incorporan una interfaz grfica, con la que es posible
configurar el acceso remoto utilizando la red de cable sin usar los modem. An as, el acceso va modem
todava es muy til en el caso de servidores que no disponen de pantalla, o que tienen el interfaz de red
daado. Es comn encontrarse con situaciones como:
"Necesito configurar mgetty+PPP para conectar con un servidor Ubuntu a travs de un modem
serie que est en el puerto ttyS0 del servidor"
En distribuciones Linux se puede usar mgetty para gestionar las conexiones entrantes en el servidor. Una
vez instalado, la configuracin se debe hacer en:
/etc/inittab
/etc/mgetty/login.config
/etc/ppp/pap-secrets
En inittab se configuran parmetros para escuchar las conexiones entrantes y establecer el modo
automtico o manual de operacin en el modem. En login.config se especifican los usuarios que acceden
al servidor RAS y en pap-secrets es donde se declaran los usuarios que se pueden autenticar en el RAS.
Un ejemplo de configuracin de innit.tab en el que se especifica la velocidad de respuesta del modem,
sera el siguiente:
S0:234:respawn:/sbin/mgetty -n2 -s 57600 -D /dev/ttyS0
En el login.config
Cambiar la lnea:
#/AutoPPP/ -a_ppp/usr/sbin/pppd auth -chap +pap login debug
Por esta:
/AutoPPP/ - a_ppp /usr/sbin/pppd file /etc/ppp/options
En el pap-secrets se establecen los usuarios y contraseas para poder autenticar en el RAS de la manera
siguiente:
# Every regular user can use PPP and has to use passwords from /etc/passwd
#* hostname "" *
ASIR01 * "alisal2012" *
37 de 43 26/8/16 3:02
ASIR02 * "alisal2012" *
Para saber ms
En el siguiente enlace podrs ver un ejemplo de configuracin de mgetty.
mgetty
38 de 43 26/8/16 3:02
4.3. Servidores de autenticacin. Ataques y

contramedidas en sistemas personales.
Un servidor de autenticacin es un dispositivo que controla quien puede
acceder a una red informtica, por software, por hardware o por una
combinacin de ambos.
Los ataques contra los servidores de autenticacin tienen como objetivo

engaar al sistema para entrar en el mismo, generalmente aduendose de
las sesiones ya establecidas por la vctima y/u obteniendo su nombre de
usuario y password.
Uno de los agujeros de seguridad est en los navegadores utilizados para el envo de las claves de usuario,
sobre todo cuando se utiliza HTML y JavaScript. Esta debilidad puede dar lugar a ataques Http
Request Splitting
Un ataque del tipo Http Request Splitting o divisin de respuesta HTTP, permite al atacante enviar una
nica peticin HTTP al servidor, de tal manera que obligue a ste a responder de manera duplicada,
controlando una de las respuestas.
Este tipo de ataque funciona de manera similar al Cross-Site Scripting (XSS) y de la misma manera,
para combatirlo la solucin est en validar las entradas de los formularios donde se escriben los usuarios y
las contraseas, ya que es en estos formularios donde se puede incluir cdigo interpretable por el servidor
y que es el causante de las respuestas duplicadas.
Autoevaluacin
Un servidor RADIUS es:
Es un cliente de autenticacin.
Es un RAS de autenticacin.
Servicio de Linux Ubuntu.
Servidor Windows.
No. RADIUS acta como servidor autenticador.
Muy bien, es la correcta. Servidor que comprueba la identidad de un usuario de manera

local o remota.
No es correcto. Aunque se puede configurar Linux para que acte como servidor
RADIUS.
No es correcto. RADIUS se puede implementar en diversas plataformas.
39 de 43 26/8/16 3:02
Solucin
1. Incorrecto
2. Opcin correcta
3. Incorrecto
4. Incorrecto
40 de 43 26/8/16 3:02
Anexo.- Licencias de recursos.

Licencias de recursos utilizados en la Unidad de Trabajo.
Recurso Recurso
Datos del recurso (1) Datos del recurso (2)
(1) (2)
Autora: vanz Autora: Adam Melancom

Licencia: CC by sa Licencia: CC by nc sa
Procedencia: http://www.flickr.com Procedencia: http://www.flickr.com
/photos/vanz/33425466/ /photos/melancon/3347983206/sizes
sizes/m/in/photostream/ /m/in/photostream/
Autora: Ivan Pepelnjak

Autora: Alfonso Benayas Licencia: Copyright (cita)
Licencia: CC by Procedencia:
Procedencia: http://www.flickr.com http://searchtelecom.techtarget.com
/photos/alfonso015/ /tip/Border-Gateway-Protocol-
233153154/sizes/m/in/photostream/ BGP-troubleshooting-Advanced-
approach
Autora: Microsoft y Cisco Systems

Licencia: Copyright (Cita)
Autora: Harald Mhlbck
Procedencia: Captura de pantalla de
Licencia: CC by sa
Windows XP propiedad
Procedencia: http://es.wikipedia.org
de Microsoft e interfaz de
/wiki/Archivo:Gateway_firewall.svg
configuracin de un router Linksys
propiedad de Cisco Systems
Autora: Microsoft
Autora: Universitat de Valncia
Licencia: Copyright (cita)
Procedencia: Captura de pantalla
Procedencia: http://www.uv.es/siuv/cas
hecha en Windows XP propiedad de
/zxarxa/vpn.htm#quees
Microsoft
Autora: iWebGate Technology

Autora: Benj
Licencia: Dominio pblico
Procedencia:
Procedencia: http://es.wikipedia.org
http://www.dmzinabox.com/support
/wiki/
/faqs/showfaq.php?item=
Archivo:Demilitarized_Zone_Diagram.png
How%20does%20a%20DMZ%20work
Autora: iWebGate Technology

Autora: Cristian Borghello Licencia: Copyright (cita)
Licencia: Copyright (cita) Procedencia:
Procedencia: http://www.segu- http://www.dmzinabox.com/support
info.com.ar/firewall/screenedsubnet.htm /faqs/showfaq.php?item=
How%20does%20a%20DMZ%20work
Autora: Paula The Destroyer Autora: mkl20

Licencia: CC by nc sa Licencia: CC by sa
/photos/queenofholland/ /photos/mkl20/3231952100/sizes
2043923782/sizes/m/in/photostream/ /m/in/photostream/
41 de 43 26/8/16 3:02
Autora: sentinel
Autora: Matti Mattila Licencia: Copyright (cita)
Licencia: CC by nc sa Procedencia:
Procedencia: http://www.flickr.com http://www.sentineldr.com
/photos/mattimattila/4846012583/sizes /post/estrategias-basicas-de-
/m/in/photostream/ seguridad-informatica-defensa-
en-profundidad
Autora: Guerrera Autora: Holster

Licencia: CC by nc nd Licencia: CC by nc nd
/photos/guerrera/3676304211/sizes /photos/holster/195031415/sizes
/m/in/photostream/ /m/in/photostream/
Autora: Timothy V. Kelly

Autora: Ministerio de Fomento
Licencia: CC by nc nd
Procedencia:
Procedencia: http://www.flickr.com
http://www.dummies.com/how-to
/photos/fomentogob/5631964972/sizes
/content/taking-voip-to-
/m/in/photostream/
the-wimax.html
Autora: contratacionpublicacp Autora: Lancy Lobo

Licencia: CC by nc sa Licencia: Copyright (cita)
Procedencia: http://www.flickr.com Procedencia: http://fengnet.com
/photos/contratacionpublicacp/ /book/ios_mpls
5186270045/sizes/m/in/photostream/ /ch13lev1sec6.html#ch13fig16
Autora: By K.H.Huang ZyXEL

Autora: ehusfera
Headquarters
Licencia: CC by nc sa
Procedencia: http://www.ehu.es
Procedencia: http://www.zyxel.es
/ehusfera/ghym/
/epaper/43/
Autora: Putty - Simon Tatham

Autora: Ubuntu
Licencia: Copyright (Cita)
Licencia: GNU
Procedencia: Captura de pantalla del
programa Putty,
Linux Ubuntu
propiedad de Simon Tathan
Autora: Ubuntu Autora: Ubuntu

Licencia: GNU Licencia: GNU
Procedencia: Captura de pantalla de Procedencia: Captura de pantalla de
Linux Ubuntu Linux Ubuntu
Autora: f_r_e Autora: WanderingTheWorld

Licencia: CC by nc nd Licencia: CC by nc
/photos/garrulus/ /photos/chrisschoenbohm/
100073069/sizes/m/in/photostream/ 5574501064/sizes/m/in/photostream/
Autora: Altura XL
Autora: Virusprot
Procedencia: http://www.alturaxl.com
Procedencia: http://www.virusprot.com
/spanish_cton/
/Amzsolup.html
sp_products/sp_ras2000.html
Autora: Element2048 Autora: Antonio Nicols Pina

Licencia: CC by Licencia: CC BY-NC-ND 2.0
42 de 43 26/8/16 3:02
/photos/12206416@N07/ /photos/antonionicolaspina
1670327649/sizes/m/in/photostream/ /285604411/
Autora: Ubuntu
Licencia: GNU
Linux Ubuntu
43 de 43 26/8/16 3:02

ASIR SAD03 Contenidos 2016 VI

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ASIR SAD03 Contenidos 2016 VI

Uploaded by

Copyright:

Available Formats

Implantacin de tcnicas de acceso remoto. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_8czE...

Implantacin de tcnicas de acceso remoto.

Mara, necesito acceder a la base de datos de nuestro

Materiales formativos de FP Online propiedad del Ministerio de Educacin,

1. Elementos bsicos de la seguridad perimetral.

Mara explicar a Juan cuales son los elementos bsicos en

Filtrar la informacin que entra en dicha red.

Se podra definir la seguridad perimetral como:

De igual manera que el permetro de seguridad de una instalacin militar

En realidad, la seguridad perimetral es el resultado de llevar a la prctica la

Proteger la informacin ms valiosa de la red.

Para conseguir realizar estas funciones, se utilizan los siguientes elementos:

1.1. Router frontera.

Estos routers estn diseados para soportar muchas conexiones en

Internet es una red de redes compuesta de sistemas autnomos, un

Los protocolos de enrutamiento dinmicos se clasifican en exteriores o interiores, dependiendo de si

Qu protocolo de enrutamiento se utiliza para efectuar la comunicacin entre

No. Este es un protocolo tipo IGP.

Falso. Este es un protocolo de redes LAN.

No es correcto. Este protocolo se utiliza dentro de los sistemas autnomos.

La configuracin del cortafuegos se puede hacer a travs del interfaz

En la imagen anterior se puede ver como el router, cuya direccin IP

La palabra que ms se repite entre las opciones del firewall es filtrar,

SAD03(config)#access-list N permit|deny [direccin IP] [mscara]

SAD03(config)#access list 2 deny 192.168.1.0 0.0.0.255

Con estas ltimas rdenes se deniega el trfico entrante a la red 192.168.1.0.

1.3. Redes privadas virtuales.

En la imagen se puede ver una representacin de una conexin VPN,

El tnel representa como la informacin viaja ajena al trnsito restante

No. Uno de los protocolos utilizados es el PPTP.

1.4. Permetros de red. Zonas desmilitarizadas.

El concepto de permetro no es exclusivo para separar redes

Puede comunicarse con la red interna pero no viceversa.

Si. Es la zona en la que se pueden poner servidores web o de correo.

Falso. El router frontera se sita entre la DMZ e Internet.

No es correcto. Desde la DMZ se puede acceder a Internet pero no a la red interna.

No es correcto. Lo correcto sera decir que est en el permetro de red.

1.5. Arquitectura dbil de subred protegida.

Un fallo en el cortafuegos puede desproteger a la red interna.

1.6. Arquitectura fuerte de subred protegida.

Un fallo en el cortafuegos externo desprotege solamente la DMZ.

Incluye solamente a la DMZ.

No, deberas volver a leer el apartado anterior.

No es correcto. En el permetro de seguridad, uno de los elementos principales es el

Respuesta incorrecta. El trmino subred protegida es anlogo a DMZ.

2. Polticas de defensa en profundidad.

Mara debe hacer comprender a su jefe las distintas polticas

Reducir las posibilidades de que el sistema sea atacado.

Permitir todo lo que no est especficamente prohibido.

La segunda de las opciones es la ms segura y restrictiva, aunque no siempre la ms adecuada, se

En la primera se especifica solamente lo prohibido, se denomina permiso establecido.

No se permite jugar al ftbol.

Se est prohibiendo lo que no est especficamente prohibido.

No, deberas leer de nuevo el apartado.

Muy bien, es la correcta. Se especifica solamente lo que est permitido.

No es correcto. No se especifica ninguna prohibicin.

2.1. Defensa perimetral.

Las polticas de defensa perimetral se centran en conseguir:

Filtrar el trfico de la red.

Las amenazas pueden venir del interior, no siempre desde el exterior.

En el filtrado del trfico se siguen tres polticas:

Aceptar. Se permite el trfico.

Para llevar a cabo este tipo de defensa en el permetro se utilizan:

Sistemas de deteccin de intrusos (IDS).