UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

“ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE

INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS

RIESGOS.”

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTORA:

MARÍA LUISA CANSING SALTOS

TUTOR:

ING. FRANCISCO ÁLVAREZ SOLÍS MSc.

GUAYAQUIL – ECUADOR

2019

i

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN

TÍTULO Y SUBTÍTULO:

ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO

UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO DE

UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS

RIESGOS.

AUTOR(ES) (apellidos/nombres): MARÍA LUISA CANSING SALTOS

REVISOR(ES)/TUTOR(ES) (apellidos/nombres):

Ing. Francisco Álvarez M.Sc.

INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL

UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA

MAESTRÍA/ESPECIALIDAD: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 103

ÁREAS TEMÁTICAS: Redes, Telecomunicaciones y Seguridad Informática

PALABRAS CLAVES /KEYWORDS:

Seguridad Informática, Redes WAN, LAN y MAN.

En este proyecto de titulación referente al análisis de vulnerabilidades en equipos de enrutamiento de paquetes, se verificó que la

mayoría de los Routers que proveen conexiones remotas a otras redes, estos han sufrido ataques informáticos por parte de piratas

cibernéticos. Estas intrusiones provocan que el equipo se vuelva inutilizable generando grandes pérdidas económicas en las

organizaciones. Para esto se plantea una propuesta tecnológica que conlleva al desarrollo de cuatro escenarios de ataques y

monitoreo de la red en lo cual se aplican herramientas de código abierto que a su vez se las utilizó para ejecutar el proceso de

identificación de vulnerabilidades, análisis de tráfico y detección de riesgos. Después de haber cumplido con todo el análisis de

vulnerabilidades se planifica un marco de protección describiendo los mecanismos de seguridad basados en el estándar ISO 27001

para aumentar la robustez en los dispositivos de enrutamiento. La metodología de proyecto que se empleó para anexar los

resultados del análisis es MAGERIT donde por medio de tres etapas se desarrolló un cronograma de actividades describiendo las

tareas a realizar, se efectuó la ejecución de las fases de análisis y descubrimiento de riesgos detallando pruebas de defensa de la

red. Por último la ejecución los cuatro escenarios que se usaron se los realizó en ambientes de prueba controlado aplicando la

virtualización de sistemas operativos, Routers de capa tres y demás.

ADJUNTO PDF: X SI NO

CONTACTO CON

AUTOR/ES:

Teléfono: 0997085576

E-mail maria.cansings@ug.edu.ec

CONTACTO CON LA

INSTITUCIÓN:

Nombre: Ab. Juan Chávez Atocha, Esp.

Teléfono: 2307724

ii

CARTA DE APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de titulación ANÁLISIS DE

VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO

UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL

DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE

SEGURIDAD QUE AYUDEN A MITIGAR LOS RIESGOS. Elaborado por la

Srta María Luisa Cansing Saltos, Alumna no titulados de la Carrera de

Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias

Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención

del Título de Ingeniero en Networking y Telecomunicaciones, me permito

declarar que luego de haber orientado, estudiado y revisado, la Apruebo en

todas sus partes.

Atentamente

ING. FRANCISCO XAVIER ÁLVAREZ SOLÍS M.Sc. TUTOR

iii

DEDICATORIA

Mi proyecto de tesis está dedicado a: A mis padres Luis y Marjorie, hermano Joisang quienes con su amor, paciencia y esfuerzo me han permitido llegar a cumplir hoy un sueño más, gracias por inculcar en mí el ejemplo de esfuerzo y valentía, de no temer las adversidades porque Dios está conmigo siempre. A mi esposo Martín e hija Emilia por su cariño y apoyo incondicional, durante todo este proceso, por estar conmigo en todo momento gracias. A toda mi familia porque con sus oraciones, consejos y palabras de aliento hicieron de mí una mejor persona y de una u otra forma me acompañan en todos mis sueños y metas.

Atentamente:

María Luisa Cansing Saltos

iv

AGRADECIMIENTO

Quiero expresar mi gratitud y mi amor a Dios, quien con su bendición llena siempre mi vida y a toda mi familia por estar siempre presentes. A mis padres, esposo e hija por ser mi pilar fundamental y haberme apoyado siempre, pese a las adversidades e inconvenientes que se presentaron. Agradezco a mi Tutor de tesis Ing. Francisco Álvarez quien, con su experiencia, conocimiento y motivación me oriento en la investigación. Gracias a todas las personas que ayudaron directa e indirectamente en la realización de este proyecto. Atentamente.

María Luisa Cansing Saltos

v

TRIBUNAL PROYECTO DE TITULACIÓN

Ing. Gustavo Ramírez Aguirre, M.Sc. DECANO DE LA FACULTAD DE

CIENCIAS MATEMÁTICAS Y FÍSICAS

Ing. Francisco Palacios Ortiz, Mgs DIRECTOR DE LA CARRERA DE INGENIERIA EN NETWORKING Y

TELECOMUNICACIONES

Ing. Ximena Acaro Chacón, M.Sc. PROFESOR REVISOR DEL

PROYECTO TRIBUNAL

Ing. María Molina Miranda, M.Sc. PROFESOR DEL ÁREA

TRIBUNAL

Ing. Francisco Álvarez Solís, M.Sc, PROFESOR TUTOR DEL PROYECTO

DE TITULACIÓN

Ab. Juan Chávez Atocha, Esp. SECRETARIO (E) DE LA FACULTAD

vi

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este Proyecto de Titulación, me

corresponden exclusivamente; y el patrimonio intelectual de la misma a la

UNIVERSIDAD DE GUAYAQUIL”

MARÍA LUISA CANSING SALTOS

vii

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

“ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE

ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE

INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA DE

MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS

RIESGOS.”

Proyecto de Titulación que se presenta como requisito para optar por el

título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTORA: MARÍA LUISA CANSING SALTOS

C.I. 0922379011

TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.

C.I. 0917580300

Guayaquil, abril 2019.

viii

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la

Universidad de Guayaquil.

CERTIFICO: Que he analizado el Proyecto de Titulación presentado por la

estudiante MARÍA LUISA CANSING SALTOS, como requisito previo

para optar por el título de Ingeniero en Networking y Telecomunicaciones

cuyo tema es:

“ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE

ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS

RIESGOS.”

Considero aprobado el trabajo en su totalidad.

Presentado por:

MARÍA LUISA CANSING SALTOS C.C.: 0930043120

TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.

Guayaquil, abril 2019.

ix

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS

MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

Autorización para Publicación de Proyecto de Titulación en Formato

Digital

1. Identificación del Proyecto de Titulación

Nombre del Alumno: María Luisa Cansing Saltos

Dirección: Av. Antonio José de Sucre y Calle Jaime Roldós

Teléfono: 0997085576

E-mail: maria.cansings@ug.edu.ec

Facultad: Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Título al que opta: Ingeniero en Networking y Telecomunicaciones

Profesor guía: Ing. Francisco Álvarez Solís M.Sc.

Título del Proyecto de Titulación: ANÁLISIS DE VULNERABILIDADES DE

AL MENOS 3 EQUIPOS DE ENRUTAMIENTO UTILIZANDO HERRAMIENTAS

DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO DE UNA PROPUESTA

DE MECANISMOS DE SEGURIDAD QUE AYUDEN A MITIGAR LOS RIESGOS.

x

x

2. Autorización de Publicación de Versión Electrónica del Proyecto de

Titulación

A través de este medio autorizo a la Biblioteca de la Universidad de

Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la

versión electrónica de este Proyecto de titulación.

Publicación electrónica:

Inmediata X Después de 1 año

Firma Alumno: María Luisa Cansing Saltos

3. Forma de envío:

El texto del proyecto de titulación debe ser enviado en formato Word, como

archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen

pueden ser: .gif, .jpg o .TIFF.

DVDROM CDROM

Tema del Proyecto de Titulación: ANÁLISIS DE VULNERABILIDADES

DE AL MENOS 3 EQUIPOS DE ENRUTAMIENTO UTILIZANDO

HERRAMIENTAS DE TEST DE INTRUSIÓN PREVIO AL DESARROLLO

DE UNA PROPUESTA DE MECANISMOS DE SEGURIDAD QUE

AYUDEN A MITIGAR LOS RIESGOS.

xi

INDICE GENERAL

Contenido

CARTA DE APROBACIÓN DEL TUTOR ..................................... ii

DEDICATORIA ........................................................................... iii

AGRADECIMIENTO ................................................................... iv

TRIBUNAL PROYECTO DE TITULACIÓN .................................. v

CERTIFICADO DE ACEPTACIÓN DEL TUTOR ........................viii

INDICE GENERAL ..................................................................... xi

INDICE DE TABLAS ..................................................................xiii

INDICE DE FIGURAS ............................................................... xiv

ABREVIATURAS ......................................................................xvii

INTRODUCCIÓN ......................................................................... 1

CAPÍTULO I ................................................................................. 2

EL PROBLEMA ........................................................................ 2

PLANTEAMIENTO DEL PROBLEMA ....................................... 2

UBICACIÓN DE UN PROBLEMA EN UN CONTEXTO ......... 2

SITUACIÓN CONFLICTO. NUDO CRITICO............................. 3

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ................... 4

DELIMITACIÓN DEL PROBLEMA ........................................... 4

FORMULACIÓN DEL PROBLEMA .......................................... 5

ALCANCES DEL PROBLEMA ................................................. 7

OBJETIVOS DE LA INVESTIGACIÓN: .................................... 7

OBJETIVO GENERAL .......................................................... 7

OBJETIVOS ESPECIFICOS ................................................. 7

JUSTIFICACIÓN E IMPORTANCIA ......................................... 8

METODOLOGÍA DEL PROYECTO .......................................... 9

CAPÍTULO II .............................................................................. 10

MARCO TEORÍCO ................................................................. 10

ANTECEDENTES DE ESTUDIO ............................................ 10

FUNDAMENTACIÓN TEÓRICA ............................................. 13

xii

FUNDAMENTACIÓN LEGAL ................................................. 51

PREGUNTA CIENTÍFICA A CONTESTARSE ........................ 54

DEFINICIONES CONCEPTUALES ........................................ 54

CAPÍTULO III ............................................................................. 57

PROPUESTA TECNOLÓGICA............................................... 57

ANÁLISIS DE FACTIBILIDAD ................................................ 63

FACTIBILIDAD OPERACIONAL............................................. 63

FACTIBILIDAD TÉCNICA....................................................... 64

FACTIBILIDAD ECONÓMICA ................................................ 66

ANÁLISIS DEL COSTO Y BENEFICIO DEL PROYECTO .. 67

FACTIBILIDAD LEGAL ........................................................... 68

ETAPAS DE METODOLOGÍA DEL PROYECTO ................... 68

CRONOGRAMA DE ACTIVIDADES ................................... 69

ENTREGABLES DEL PROYECTO ........................................ 82

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA.............. 86

PROCESAMIENTO Y ANÁLISIS ............................................ 87

CAPÍTULO IV ............................................................................ 98

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO ............................................................................................... 98

BIBLIOGRAFÍA ........................................................................ 101

xiii

INDICE DE TABLAS Tabla No. 1 Causas y Consecuencias del Problema ............................................. 4 Tabla No. 2 Delimitación del Problema................................................................... 4 Tabla No. 3 Cuadro Comparativo ......................................................................... 17 Tabla No. 4 Protocolos y Arquitecturas ................................................................ 21 Tabla No. 5 Medios de Transmisión Guiados....................................................... 22 Tabla No. 6 Medios de Transmisión no Guiados ................................................. 23 Tabla No. 7 Formato de paquete de RIP .............................................................. 36 Tabla No. 8 Métodos de la Metodología MAGERIT ............................................. 50 Tabla No. 9 Descripción de Escenarios ................................................................ 57 Tabla No. 10 Recursos de Software ..................................................................... 64 Tabla No. 11 Recursos de Hardware .................................................................... 66 Tabla No. 12 Recursos Económicos ..................................................................... 66 Tabla No. 13 Análisis del Costo y Beneficio del Proyecto .................................... 67 Tabla No. 14 Lista de Actividades......................................................................... 69 Tabla No. 15 Controles ISO 27001 Seguridad de la información ........................ 80 Tabla No. 16 Pregunta 2 ....................................................................................... 89 Tabla No. 17 Pregunta 3 ....................................................................................... 90 Tabla No. 18 Pregunta 4 ....................................................................................... 91 Tabla No. 19 Pregunta 5 ....................................................................................... 92 Tabla No. 20 Pregunta 6 ....................................................................................... 93 Tabla No. 21 Pregunta 8 ....................................................................................... 95 Tabla No. 22 Pregunta 9 ....................................................................................... 96 Tabla No. 23 Matriz de Aceptación del Producto ................................................. 98 Tabla No. 24 Informe de Auditoría de Seguridad Informática ............................123

xiv

INDICE DE FIGURAS

Figura No. 1 Reporte de Incidentes de seguridad ............................................... 13 Figura No. 2 Redes LAN ...................................................................................... 14 Figura No. 3 Redes de Área Metropolitana ......................................................... 15 Figura No. 4 Redes de Área Extensa .................................................................. 17 Figura No. 5 Topología Bus ................................................................................. 19 Figura No. 6 Topología Estrella ........................................................................... 20 Figura No. 7 Topología Anillo .............................................................................. 21 Figura No. 8 Switches de Capa 2 ........................................................................ 24 Figura No. 9 Hub o Concentrador ....................................................................... 25 Figura No. 10 Router de Capa 3.......................................................................... 27 Figura No. 11 Switches Multicapa ....................................................................... 29 Figura No. 12 Enrutamiento Estático ................................................................... 30 Figura No. 13 Protocolo de Enrutamiento OSPF ................................................ 31 Figura No. 14 Protocolo de Enrutamiento Dinámico EIGRP ............................... 32 Figura No. 15 Protocolo de Enrutamiento RIP .................................................... 35 Figura No. 16 Detección de Contraseñas por medio de un Ataque de Fuerza Bruta ....................................................................................................................... 37 Figura No. 17 Diagrama de Ataque de Fuerza Bruta.......................................... 38 Figura No. 18 Ataque de Inundación de SYN ..................................................... 39 Figura No. 19 Ataques Hombre en el Medio ....................................................... 41 Figura No. 20 Categorías de Ataques hombre en el medio................................ 42 Figura No. 21 Listas de Control de Acceso ......................................................... 43 Figura No. 22 Funcionamiento de las IPTABLES ............................................... 45 Figura No. 23 Reglas IPTABLES de la Tabla MANGLE ..................................... 47 Figura No. 24 Funcionamiento de las IPTABLES ............................................... 48 Figura No. 25 Metasploit Framework .................................................................. 49 Figura No. 26 Metodología MAGERIT................................................................. 50 Figura No. 27 Cisco-Auditing-Tool ...................................................................... 54 Figura No. 28 Extracción de Contraseñas a través de Hydra ............................ 55 Figura No. 29 NMAP ............................................................................................ 56 Figura No. 30 Escenario del Ataque de Fuerza Bruta ........................................ 59 Figura No. 31 Escenario de Ataque Hombre en el Medio .................................. 60 Figura No. 32 Escenario de Monitoreo por medio de PRTG .............................. 61 Figura No. 33 Escenario de Escaneo de Vulnerabilidades................................. 62 Figura No. 34 Metodología MAGERIT................................................................. 68 Figura No. 35 Listado de Actividades .................................................................. 70 Figura No. 36 Captura de paquetes del Router R1............................................. 71 Figura No. 37 Captura de Paquetes del Router R2 ............................................ 71 Figura No. 38 Captura de Paquetes del Router R3 ............................................ 72 Figura No. 39 Captura de Paquetes del Router R4 ............................................ 72 Figura No. 40 Escaneo de Puertos al Router Mikrotik ........................................ 73 Figura No. 41 Ataque de fuerza bruta vía FTP ................................................... 73 Figura No. 42 Ataque de Fuerza Bruta vía Telnet .............................................. 74 Figura No. 43 Ataque de fuerza bruta vía SSH ................................................... 74 Figura No. 44 Ingreso de las credenciales en el Mikrotik ................................... 75

xv

Figura No. 45 Acceso al Router Mikrotik .............................................................. 75 Figura No. 46 Análisis del PING ........................................................................... 76 Figura No. 47 Reporte del PING.......................................................................... 76 Figura No. 48 Análisis del PING mediante graficas ............................................ 77 Figura No. 49 Inicio de Nessus ............................................................................ 77 Figura No. 50 Reporte de Vulnerabilidades en el Mikrotik .................................. 78 Figura No. 51 Reporte de Vulnerabilidades Nessus ........................................... 78 Figura No. 52 Escaneo de Puertos en Nessus ................................................... 79 Figura No. 53 Ataque de Fuerza Bruta por medio de Nessus ............................ 79 Figura No. 54 Access-List configurada en los Routers ....................................... 82 Figura No. 55 Denegación de Servicios a través de Access-List ....................... 83 Figura No. 56 Bloqueo de Puertos ...................................................................... 83 Figura No. 57 Resultados del bloqueo de puertos .............................................. 84 Figura No. 58 Reglas de Firewall Mikrotik ........................................................... 84 Figura No. 59 Reglas de Firewall ........................................................................ 85 Figura No. 60 Procesos del bloqueo de puertos ................................................. 85 Figura No. 61 Resultados de las reglas de Firewall............................................ 86 Figura No. 62 Respuesta de la Pregunta 1 ......................................................... 88 Figura No. 63 Porcentaje de Respuesta de la Pregunta 2 ................................. 89 Figura No. 64 Porcentaje de Respuesta de la Pregunta 3 ................................. 90 Figura No. 65 Porcentaje de Respuesta de la Pregunta 4 ................................. 91 Figura No. 66 Porcentaje de Respuesta de la Pregunta 5 ................................. 92 Figura No. 67 Respuesta de la Pregunta 5 ......................................................... 92 Figura No. 68 Porcentaje de Respuesta de la Pregunta 6 ................................. 93 Figura No. 69 Respuesta de la Pregunta 7 ......................................................... 94 Figura No. 70 Porcentaje de Respuesta de la Pregunta 8 ................................. 95 Figura No. 71 Porcentaje de Respuesta de la Pregunta 9 ................................. 96 Figura No. 72 Pregunta 9..................................................................................... 96 Figura No. 73 Pregunta 10 .................................................................................. 97 Figura No. 74 Preguntas de Encuestas I ..........................................................103 Figura No. 75 Preguntas de Encuestas II .........................................................104 Figura No. 76 Preguntas de Encuesta III ..........................................................105 Figura No. 77 Preguntas de Encuestas IV ........................................................106 Figura No. 78 Preguntas de Encuestas V .........................................................107 Figura No. 79 Preguntas de Encuestas VI ........................................................107 Figura No. 80 Topología de Red del Escenario I ..............................................108 Figura No. 81 Configuraciones de las Interfaces de R1 ...................................108 Figura No. 82 Protocolo de Enrutamiento OSPF en R1 ...................................109 Figura No. 83 Interfaces MPLS en R1...............................................................109 Figura No. 84 Tabla de Vecinos MPLS .............................................................109 Figura No. 85 Tabla MPLS LDP ........................................................................110 Figura No. 86 Protocolo OSPF en R2 ...............................................................111 Figura No. 87 Interfaces MPLS en R2...............................................................111 Figura No. 88 Tabla de etiquetas MPLS en R2 ................................................111 Figura No. 89 Tabla MPLS LDP en R2 .............................................................112 Figura No. 90 Tabla MPLS de Vecinos .............................................................113 Figura No. 91 Tabla de Etiquetas MPLS ...........................................................113 Figura No. 92 Interfaces MPLS .........................................................................113 Figura No. 93 Tabla de Vecinos MPLS en R4 ..................................................114 Figura No. 94 Tabla de Etiquetas MPLS en R4 ................................................114

xvi

Figura No. 95 Interfaces MPLS en R4...............................................................114 Figura No. 96 Tabla MPLS LDP en R4 .............................................................115 Figura No. 97 Enrutamiento OSPF en R4 .........................................................115 Figura No. 98 Inicio de Configuración del Mikrotik ............................................116 Figura No. 99 Asignación de una IP al Mikrotik ................................................116 Figura No. 100 Verificación de la IP en el Mikrotik ...........................................117 Figura No. 101 Asignación de una IP al Host ...................................................117 Figura No. 102 Conectividad al Router Mikrotik ................................................118 Figura No. 103 Conectividad al Host .................................................................118 Figura No. 104 Servicios levantados en el Mikrotik ...........................................119 Figura No. 105 Configuración de Password ......................................................119 Figura No. 106 Configuración de la dirección IP del Kali Linux ........................120 Figura No. 107 Configuración de la puerta de enlace en Kali Linux .................120 Figura No. 108 Conectividad del Router Mikrotik con el Kali Linux ..................121 Figura No. 109 Carta de Juicio de Experto .......................................................122 Figura No. 110 Instalación de Nessus...............................................................124 Figura No. 111 Inicio del Servicio de Nessus....................................................124 Figura No. 112 Inicio de Nessus........................................................................124 Figura No. 113 Ingreso de las Credenciales de Root en Nessus .....................125 Figura No. 114 Ingreso del Código de Activación de Nessus ..........................125 Figura No. 115 Inicialización de Plugins de Nessus .........................................126 Figura No. 116 Plugins compilados completamente .........................................126 Figura No. 117 Inicio de Nessus........................................................................127 Figura No. 118 Escaneo del Sistema Operativo ...............................................127 Figura No. 119 Versión de los servicios de Mikrotik .........................................128 Figura No. 120 Acceso al Mikrotik .....................................................................128 Figura No. 121 Verificación de la IP en el Mikrotik ...........................................129 Figura No. 122 Verificación de las Interfaces de Red Instaladas .....................129 Figura No. 123 Verificar direcciones MAC ........................................................129 Figura No. 124 Verificación de comandos de Mikrotik ......................................130 Figura No. 125 Comandos de Mikrotik ..............................................................131 Figura No. 126 Listado de Comandos en Mikrotik ............................................131 Figura No. 127 Políticas de Firewall ..................................................................132 Figura No. 128 Políticas de Firewall ..................................................................132 Figura No. 129 Políticas de Seguridad ..............................................................133

xvii

ABREVIATURAS

UG: Universidad de Guayaquil

SI: Seguridad Informática

SO: Sistemas Operativos

DJ: Dragón JAR

DoS: Denegación de Servicio

DDoS: Denegación de Servicio Distribuido

VLAN: Red de Área Local Virtual

OSPF: OPEN SHORTEST PATH FIRST

EIGRP: Protocolo de Enrutamiento de Puerta de Enlace Interior Mejorado RIP: ROUTING INFORMATION PROTOCOL

xviii

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y

FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

ANÁLISIS DE VULNERABILIDADES DE AL MENOS 3 EQUIPOS DE

ENRUTAMIENTO UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN

PREVIO AL DESARROLLO DE UNA PROPUESTA DE MECANISMOS DE

SEGURIDAD QUE AYUDEN A MITIGAR LOS RIESGOS.

Autor: María Luisa Cansing Saltos Tutor: Ing. Francisco Álvarez

Resumen En este proyecto de titulación referente al análisis de vulnerabilidades en equipos de

enrutamiento de paquetes, se verificó que la mayoría de los Routers que proveen

conexiones remotas a otras redes, estos han sufrido ataques informáticos por parte de

piratas cibernéticos. Estas intrusiones provocan que el equipo se vuelva inutilizable

generando grandes pérdidas económicas en las organizaciones. Para esto se plantea una

propuesta tecnológica que conlleva al desarrollo de cuatro escenarios de ataques y

monitoreo de la red en lo cual se aplican herramientas de código abierto que a su vez se

las utilizó para ejecutar el proceso de identificación de vulnerabilidades, análisis de tráfico

y detección de riesgos. Después de haber cumplido con todo el análisis de vulnerabilidades

se planifica un marco de protección describiendo los mecanismos de seguridad basados

en el estándar ISO 27001 para aumentar la robustez en los dispositivos de enrutamiento.

La metodología de proyecto que se empleó para anexar los resultados del análisis es

MAGERIT donde por medio de tres etapas se desarrolló un cronograma de actividades

describiendo las tareas a realizar, se efectuó la ejecución de las fases de análisis y

descubrimiento de riesgos detallando pruebas de defensa de la red. Por último la ejecución

los cuatro escenarios que se usaron se los realizó en ambientes de prueba controlado

aplicando la virtualización de sistemas operativos, Routers de capa tres y demás.

xix

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

ANALYSIS OF VULNERABILITIES OF AT LEAST 3 ROUTING TEAMS

USING INTRUSION TEST TOOLS PRIOR TO THE DEVELOPMENT OF A PROPOSAL FOR SECURITY MECHANISMS THAT HELP TO

MITIGATE THE RISKS. Author: María Luisa Cansing Saltos

Tutor: Ing. Francisco Álvarez Abstract

In this project of qualification concerning the analysis of vulnerabilities in packet

routing equipment, it was verified that most of the routers that provide remote

connections to other networks, these have undergone computer attacks by pirates

Cyber. These intrusions cause the team to become unusable causing great

economic losses in organizations. This raises a technological proposal that leads

to the development of four attack scenarios and network monitoring in which open

source tools are applied that in turn were used to execute the process of

identification of vulnerabilities, Traffic analysis and risk detection. After complete

vulnerability analysis, a protection framework is planned describing the ISO 27001

standard-based security mechanisms to increase the robustness of routing

devices. The project methodology that was used to annex the results of the

analysis is magerit where by means of three stages a timetable of activities was

developed describing the tasks to be carried out, the execution of the phases of

analysis and discovery of Risks detailing network defense tests. Finally the

execution of the four scenarios that were used were carried out in controlled test

environments applying the virtualization of operating systems, layer three routers

and others.

1

INTRODUCCIÓN Actualmente los dispositivos de capa de red del modelo OSI y TCP/IP han

sido blanco de intrusiones maliciosas debido a las pocas actualizaciones

del sistema operativo para Routers y Switches que viene embebido en

estos, también la no implementación de mecanismos de seguridad

informática han hecho que los mismos estén expuestos a ataques de

denegación de servicio, fuerza bruta, dispersión de código malicioso

provocando fallas en la conexión a la red de datos, bloqueo de accesos a

los sistemas informáticos y alteración de la configuración de los Routers y

Switches Multicapa, generando usuarios no autorizados a la red de internet.

La seguridad en la red es de vital importancia ya que la existencia de

políticas y controles evita que atacantes obtengan acceso a la información

de carácter confidencial y las empresas pueden mantenerse establemente

protegidas.

A continuación, se explica lo que se desarrolla en cada capítulo del proyecto

de titulación

Capítulo I: Se identifica el planteamiento del problema, causas y

consecuencias, situación y conflicto, además se describen los

alcances del proyecto, los objetivos específicos, la justificación e

importancia y la metodología del proyecto.

Capítulo II: Se detalla la fundamentación teórica, legal, definiciones

conceptuales e hipótesis o pregunta científica a contestarse.

Capítulo III: Se describen los recursos técnicos, operacionales,

económicos y legales culminando con las etapas de metodología del

proyecto, entregables y criterios de juicio de experto.

Capítulo IV: Se elabora una matriz de aceptación del producto o

servicio con sus respectivas conclusiones y recomendaciones

2

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DE UN PROBLEMA EN UN CONTEXTO

Actualmente los malwares o códigos maliciosos se han ido propagando en

todos los equipos de enrutamiento con el objetivo de ejecutar botnets que

cumplan con la función de tomar el control de una red de datos, dando una

puerta abierta a los atacantes maliciosos de acceder a la información

confidencial de los usuarios a través de la captura de tráfico de red, también

estos virus poseen la capacidad de tener el acceso a ordenadores que se

encuentran conectados a los diferentes equipos de enrutamiento.(JAEN,

2018)

Además, según la investigación del Ingeniero en Seguridad Informática

Rafael Camargo Vicepresidente de la compañía PORTAL PLUS, detalla

que más de medio millón de dispositivos CISCO de enrutamiento de redes

en 54 países han sido infectados por un sofisticado malware llamado VPN-

FILTER, donde este código malicioso posee el potencial de tomar el control

de la red de internet provocando una paralización de los servicios

corporativos.(Robinson, 2018)

Según una prueba de investigación de seguridad informática describe la

vulnerabilidad de Backdoor crítica de Winbox (Plataforma de configuración

de equipos MikroTik) con su respectivo código (CVE-2018-14847) en

donde, esta se encontró en enrutadores MikroTik teniendo más de 200,000

accesos a estos dispositivos a través de una puerta trasera en base a la

versión de los Routers o Switches Multicapa. Las campañas de malware

han comprometido más de 210,000 enrutadores del proveedor de hardware

de red letón MikroTik en todo el mundo generando un caos en los

3

Proveedores de Servicios de Internet ya que este agujero de seguridad

provoca fugas de información de usuarios legítimos destruyendo la

confidencialidad e integridad de los datos.(D., 2018)

Los piratas informáticos explotan fácilmente la vulnerabilidad de puerta

trasera en la aplicación Winbox del enrutador MikroTik en donde esta fue

descubierta en el mes de abril del 2018 en lo cual la explotación de dicha

vulnerabilidad provoca grandes pérdidas de información de forma

exorbitante generando incidentes de seguridad en una organización. La

falla de seguridad puede permitir que un atacante obtenga acceso

administrativo no autenticado remotamente a cualquier enrutador de

MikroTik vulnerable.(D., 2018)

Algunas de las empresas que manejan información crítica en el transcurso

del tiempo no han tomado en consideración los programas de

concientización sobre la mitigación de códigos maliciosos debido a esto los

piratas informáticos se han aprovechado de las vulnerabilidades en donde

se ha provocado la pérdida de datos sensibles, daños a la integridad de la

información y también se ha visto afectada la disponibilidad de los registros

lógicos.(Agudelo Salazar, 2015)

SITUACIÓN CONFLICTO. NUDO CRITICO

La problemática sobre las vulnerabilidades de los dispositivos de

enrutamiento surge por la falta de una auditoría de seguridades de redes

que permita dar a conocer sobre los posibles fallos de seguridad que

pueden poseer los Routers y Switches multicapa y en base a esto poder

disminuir el nivel de riesgo identificado o tomar el control del mismo con el

fin de evitar incidentes de seguridad que provoquen daños a la

confidencialidad, integridad y disponibilidad de la información.

Además, el poco conocimiento sobre mecanismos de seguridad ha

generado una puerta grande a los piratas informáticos de obtener el acceso

a una red de datos con el objetivo de tomar el control de los servidores, el

borde del internet y de los datos críticos.

4

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Tabla No. 1 Causas y Consecuencias del Problema

Posibles vulnerabilidades en

dispositivos de enrutamiento.

Genera la posibilidad de que se

perpetúen ataques cibernéticos por

parte de personas malintencionadas

con el fin de provocar incidentes de

seguridad.

En diferentes casos existe poco

conocimiento sobre

mecanismos de protección

(Políticas de Seguridad

deficientes).

Posibilidad de provocar algún acceso

interno o externo no autorizado a la

red de datos de una organización.

En algunas empresas ocurre la

falta de inversión en seguridad

informática.

Produce que la red de datos este

expuesta a riesgos y amenazas

generadas por atacantes maliciosos.

Desactualización de

dispositivos de enrutamiento

Provoca un alto índice de ataques

informáticos.

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

DELIMITACIÓN DEL PROBLEMA

Tabla No. 2 Delimitación del Problema Campo Redes y Telecomunicaciones

Área Seguridad Informática

Aspecto Vulnerabilidades en equipos de enrutamiento

Tema

Análisis de vulnerabilidades de al menos 3 equipos de

enrutamiento utilizando herramientas de test de intrusión

previo al desarrollo de una propuesta de mecanismos de

seguridad que ayuden a mitigar los riesgos.

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

5

FORMULACIÓN DEL PROBLEMA

1. ¿Cree usted que con el análisis de vulnerabilidades en los

Routers y Switches Multicapa las empresas podrán conocer los

fallos de seguridad de esto y poder tomar medidas de

prevención?

EVALUACIÓN DEL PROBLEMA

A continuación, se indicará los siguientes aspectos generales de vital

importancia dentro de la evaluación del problema, los mismos que ayudaran

a definir la situación actual sobre el análisis de vulnerabilidades en los

Routers y Switches Multicapa y en base a esto definir estrategias de

seguridad informática que permitan llegar a la resolución de dicho

problema.

Delimitado: Algunas de las empresas emplean mecanismos de

seguridad débiles o de nivel bajo, para controlar las intrusiones

maliciosas que puede ejecutar un pirata informático hacia los

Routers y Switches Multicapa en una compañía con diferentes

unidades de negocios, pero esta forma de control no es la más

óptima, debido a la falta de un dispositivo de seguridad informática

como un UTM (Gestión Unificada de Amenazas) o Routers con

Listas de Control de Acceso que cumpla con la función de filtrar

paquetes de datos bloqueando las conexiones no autorizadas.

Claro: Las herramientas de seguridad informática como: NMAP,

METASPLOIT, HYDRA, WIRESHARK y demás serán utilizadas en

la presente propuesta tecnológica y estas definirán claramente los

posibles fallos de seguridad que se pueden presentar en los

6

dispositivos de enrutamiento conectados en una infraestructura de

red.

Evidente: Por medio de este análisis de vulnerabilidades se logrará

detectar el comportamiento de cada uno de los equipos Capa 3 del

modelo OSI y TCP/IP a través de la aplicación de protocolos de

enrutamiento dinámico como: OSPF (Protocolo de Estado de

Enlace), EIGRP (Protocolo de Enrutamiento de Puerta de Enlace

Interior), BGP (Protocolo de Puerta de Enlace) y RIP (Protocolos de

Información de Rutas) frente a las intrusiones maliciosas que son

realizadas a cada uno de los dispositivos de Capa 3 (Routers y

Switches), para evaluar el nivel de seguridad y en base a esto tomar

los correctivos necesarios.

Relevante: La propuesta tecnológica posee un enfoque de estudio

definido y concreto, donde se proyecta para ser un análisis de vital

importancia para determinar los niveles de seguridad en los Routers

y Switches Multicapa, esta auditoría será documentada en un

informe que será anexado en este proyecto.

Concreto: Actualmente los dispositivos de enrutamiento en algunos

casos no cuentan con un análisis periódico de vulnerabilidades,

debido a esto las empresas no poseen conocimiento sobre el estado

de la seguridad en la infraestructura tecnológica donde no perciben

si existe alguna fuga de información en los servidores de

aplicaciones que se encuentran conectados a la red de Internet.

Factible: Las herramientas y los distintos sistemas operativos que

se utilizaran en el proyecto son de software libre por la cual se

denomina factible la propuesta tecnológica.

7

ALCANCES DEL PROBLEMA

Los alcances del problema son los siguientes:

Configurar las interfaces, servicios, métodos de autenticación en

los Routers y Switches Multicapa utilizando las herramientas de

GNS3, CISCO PACKET TRACERT y WINBOX.

Detallar en un informe de auditoría de seguridades de redes los

resultados de las pruebas de test de penetración en los Routers y

Switches Multicapa.

Implementar listas de control de acceso, filtrado de paquetes,

bloqueo de puertos y demás en los dispositivos de enrutamiento.

Acoplar estándares de seguridad de la información para determinar

los controles que ayuden a disminuir los riesgos y amenazas en la

red de datos.

OBJETIVOS DE LA INVESTIGACIÓN:

OBJETIVO GENERAL

Realizar un análisis de vulnerabilidades de Routers y Switches Multicapa

de al menos tres fabricantes de tecnología de la información, para

determinar los niveles de riesgos y amenazas en estos equipos y que

pueden provocar incidentes de seguridad en pequeñas y medianas

empresas.

OBJETIVOS ESPECIFICOS

Realizar un levantamiento de información de Routers y Switches

Multicapa de al menos tres fabricantes de tecnología informática que

existen actualmente en el mercado tecnológico.

8

Realizar pruebas de test de intrusión en Routers y Switches

Multicapa de al menos tres fabricantes de tecnología de la

información aplicando plataformas Linux.

Emplear una tabla describiendo las recomendaciones basadas en

estándares de seguridad de la información para mitigar los riesgos

en el análisis de vulnerabilidades en los Routers y Switches

Multicapa.

Desarrollar una propuesta de seguridad basada en los resultados del

análisis de vulnerabilidades en Routers y Switches Multicapa de al

menos tres fabricantes de tecnología de la información y detallar

dichos resultados a través de informes de Auditoría de Seguridad

Informática.

Realizar configuraciones de seguridad en Routers y Switches

Multicapa de al menos dos de los tres fabricantes de tecnología de

la información aplicando reglas de cortafuego, filtrado de paquetes,

proxy y bloqueo de puertos.

JUSTIFICACIÓN E IMPORTANCIA

La seguridad en los Routers y Switches Multicapa es de vital importancia

para mantener protegida la red de datos, con el fin de evitar ataques

informáticos que permitan tener el control total de la red, la captura de

tráfico de red y el acceso a los ordenadores que se conectan a los equipos

de capa 3. Uno de los métodos de seguridad informática que se puede

emplear es la filtración de puertos con el objetivo de bloquear los accesos

ilícitos a la infraestructura tecnológica.

La importancia del proyecto de titulación a desarrollar es la de identificar y

analizar las vulnerabilidades en los Routers y Switches Multicapa a través

de herramientas de escaneo de puertos y, además, determinar los riesgos

9

que pueden tener estos equipos mediante ataques de fuerza bruta, Hombre

en el Medio y denegación de servicios con el objetivo de tomar medidas de

precaución para salvaguardar la información almacenada en directorios,

base de datos y demás gestores de almacenamiento.

METODOLOGÍA DEL PROYECTO

MÉTODOS

Para el desarrollo del siguiente proyecto de titulación se emplea lo

siguiente:

Método experimental, realización de las pruebas de test de intrusión

en los dispositivos de enrutamiento.

Método de campo, en este método se aplica la técnica de

recolección de información la encuesta para medir el nivel de

viabilidad de la propuesta tecnológica.

Método teórico, en este método se detalla lo siguiente:

o Funcionamiento de los Routers y Switches Multicapa.

o Funcionamiento y descripción de las herramientas de

seguridad informática.

o Diseño de los escenarios para implementar los mecanismos

de seguridad en los dispositivos de enrutamiento.

o Descripción de las herramientas GNS3, WINBOX y CISCO

PACKET-TRACERT.

10

CAPÍTULO II

MARCO TEORÍCO

ANTECEDENTES DE ESTUDIO

Mediante el siguiente estudio que fue realizado por el Ingeniero en Redes

y Telecomunicaciones Daniel Molina, experto de la empresa de Antivirus

Kaspersky en el año 2014, afirma que el 16% de los usuarios de la región

de Sudamérica fueron víctimas de estafas electrónicas ejecutadas en la red

de internet, en donde el índice de fraudes suma 60’090.173 detecciones de

intrusiones maliciosas en ese mismo año.(CARRIEL & PESANTES, 2015)

Actualmente en el Ecuador se sostiene, las cifras de ataques cibernéticos

que podrían ir aumentándose debido al incremento de la economía en el

país, en base a esto los piratas informáticos lo ven como un blanco fácil e

importante para la ejecución de intrusiones maliciosas y por medio de

dichas intrusiones realizar fraudes bancarios provocando incidentes de

seguridad como: pérdida de información confidencial y sustracción de

activos físicos y lógicos.(CARRIEL & PESANTES, 2015)

Además, el Ingeniero Daniel Molina ha indicado que este tipo de incidentes

pueden tomar crecimiento de forma exorbitante sino se toma en

consideración las medidas de protección adecuadas de implementar

políticas y controles de seguridad que permitan disminuir el riesgo o tenerlo

bajo inspección y a su vez para proteger las tecnologías de la información

y comunicación; y así evitar que personas ajenas se apoderen de los

sistemas informáticos que proporcionan luz eléctrica, agua potable,

servicios bancarios y demás.(CARRIEL & PESANTES, 2015)

En los últimos años, las compañías en el Ecuador han tomado fuerza en el

concepto de seguridad informática, debido a los ataques que se han ido

perpetuando en el transcurso del tiempo por parte de usuarios maliciosos

que intentan acceder a la información confidencial. Sin embargo, a medida

del crecimiento de las redes de internet y de los servicios corporativos que

11

se pueden proporcionar mediante la nube, se ha ido incrementando las

vulnerabilidades a nivel tecnológico ya que los atacantes ejecutan

intrusiones para capturar cualquier tipo de dato. Estas vulnerabilidades o

fallos de seguridad afectan netamente el funcionamiento de sistemas

informáticos, así como también a nivel de hardware.(PÁRRAGA, 2018)

Es de vital importancia que en el Ecuador país Sudamericano esté

posicionado en puestos estelares de informática y tecnología a nivel de

América Latina, por lo tanto, es de suma relevancia aportar de varias formas

a la sociedad u organizaciones con proyectos tecnológicos que sirvan de

gran apoyo y catapulten al Ecuador en investigaciones en tendencias y

temas de seguridad informática.(PÁRRAGA, 2018)

Con el pasar de los años, las intrusiones maliciosas ejecutadas por los

piratas informáticos en Colombia país Sudamericano y Caribeño, y país

vecino del Ecuador, se han venido dando en aumento en las corporaciones

bancarias, en donde debido a la actividad de grupos de crackers se

producen pérdidas millonarias principalmente gracias a las vulnerabilidades

que se presentan en los sistemas transaccionales de los bancos, el acceso

a los gestores de bases de datos financieros por medio de personas

malintencionadas y la clonación de tarjetas de crédito de clientes de banco

utilizando tecnologías NFC (Comunicación de Campo Cercano). Unos

ejemplos de los ataques cibernéticos que son realizadas por atacantes en

instituciones financieras se dan en la ciudad de Cali - Colombia, en donde

el delito se presenta por un mismo empleado de la entidad bancaria es decir

se comete un fraude interno, en donde se sustrae dinero de los clientes por

medio de aplicaciones informáticas de hackeo ético duplicando

documentos privados de personas que poseían cuentas bancarias en

algunos bancos de la ciudad de Cali, “En base a la investigación se describe

que el individuo, en su calidad de ejecutivo, tenía el acceso a las cuentas

de los usuarios suplantando su firma y su huella. Así, retiraba el dinero que

éstos poseían en sus cuentas desde cajeros automáticos y realizaba

transacciones en línea. Este evento ocurrió el año 2012 donde los medios

12

de comunicación colombianos describieron que el empleado del banco

sustrajo a los clientes un monto equivalente a $360 millones.”.(PARRA,

2017)

Mediante un estudio realizado por la compañía PWC en el año 2015 reporta

que en los últimos años los incidentes de Seguridad Informática se han ido

incrementando en cifras alarmantes; según esta compañía consultora en

su reporte Global State of Information Security Survey 2015, describe que

42.8 millones de incidentes de seguridad a nivel mundial son equivalentes

a 117,339 ataques cibernéticos por día, con un aumento del 66% respecto

al año 2009, detallando que el promedio de las pérdidas financieras creció

en un 33% a nivel de escala global.(Domínguez, Maya, 2016)

Siguiendo con este estudio se describe que, en el último año, la cifra de

intrusiones maliciosas se incrementó en un 29.27% donde las empresas

ubicadas en países de América del Sur, fueron víctimas de ataques

informáticos con un promedio del 31.59% de éxito, que equivale a cincuenta

o más incidentes de seguridad provocados, de acuerdo al reporte

presentado por la consultora PWC.(Domínguez, Maya, 2016)

13

Figura No. 1 Reporte de Incidentes de seguridad

Fuente: (Domínguez, Maya, 2016) Autor: (Domínguez, Maya, 2016)

FUNDAMENTACIÓN TEÓRICA

REDES DE DATOS

REDES DE ÁREA LOCAL

Las redes de área local LAN son topologías que son instaladas en hogares,

edificios, departamentos, oficinas, Cybers Café y demás con el objetivo de

que sean solamente utilizadas por usuarios de carácter residencial y

pequeñas y medianas empresas, estas redes utilizan como medio de

transmisión guiado el cable UTP donde la distancia de este cable llega

hasta 100 metros aproximadamente. Las redes LAN están compuestas por

Switches no administrables, Switches Multicapa, Routers de capa 3,

Módems entre otros dispositivos de red, para la interconexión de

computadores de escritorio, laptops, impresoras, teléfonos IP, Servidores

Linux y Windows con la finalidad de que los usuarios compartan y accedan

a los recursos e intercambiar información a través de la red de área local.

También estas redes simplifican la administración de la misma por lo cual

14

poseen la ventaja de ser independientes.(Toranzo, Antonio, & Rivas, 2018)

A continuación, se presenta otros componentes que forman parte de una

red local:

PATCH PANEL

Puntos de Datos

Puntos de Voz

Testeadores que verifican el estado de la red local.

Figura No. 2 Redes LAN

Fuente: https://netcloudengineering.com/funcionamiento-redes-lan/

Autor: NET-CLOUD-ENGINEERING

REDES DE ÁREA METROPOLITANA

Las redes de área metropolitana se consideran una versión más extensa

que las redes de área local ya que normalmente son implementadas en

campus académicos (Colegios y Universidades), en ciudades, conjuntos

residenciales y demás, estas redes están compuestas por dispositivos de

capa 3 como Routers o Switches Multicapa en donde estos equipos aplican

protocolos de enrutamiento dinámico para la interconexión de todos los

segmentos y que cada porción de la red tenga acceso a internet con un

ancho de banda dedicado.

15

Las redes MAN también son instaladas en las organizaciones corporativas,

en grupos de oficinas que se encuentren ubicados en una ciudad aplicando

las normas de cableado estructurado correspondientes con el fin de

disminuir los retardos de la red, estas redes no poseen elementos de

conmutación, debido a que cumplen con la función de desviar los paquetes

de datos por una de varias líneas de salida potenciales.

Las redes de área metropolitana, son aquellas que comprenden una

ubicación geográfica determinada "ciudad, municipio", y su distancia de

cobertura es mayor de 4 Kmts aproximadamente. Son redes con dos buses

unidireccionales, cada uno de ellos es independiente del otro en cuanto a

la transferencia de datos.

Figura No. 3 Redes de Área Metropolitana

Fuente: http://sistemasenredes1.blogspot.com/

Autor: Jordy Cruz

REDES DE ÁREA EXTENSA WAN

Las redes WAN son redes de área extensa en donde se expanden sobre

un área geográfica, para establecer canales de comunicación de voz, datos

y video a larga distancia. Estas redes son la unión varias redes LAN por

medio de protocolos de enrutamiento configurados en los Routers y

Switches Multicapa con diferentes segmentos de direccionamiento IP,

además, proporcionan la funcionalidad de que los usuarios pueden

16

interconectarse con servidores como: Videos Conferencias, DNS (Servidor

de Nombres de Domino), Web-Server, aplicaciones móviles que facilitan

servicios de Mensajería Instantánea, Reproducción de contenido

Multimedia, Transacciones en línea y demás donde estas infraestructuras

de red se encuentran ubicadas en otros países.(Toranzo et al., 2018)

Las subredes configuradas en los Routers y Switches Multicapa poseen

varios elementos que se describen a continuación:

• Líneas de comunicación: Transferencias de bits 1 y 0 de un

ordenador a otro a través de la red de internet.

• Elementos de conmutación: Computadores especializados que se

conectan dos o más líneas de transmisión, para la conexión con más

redes mediante el enrutamiento estático o dinámico.

Una red WAN contiene numerosos cables conectados a un par de

encaminadores que cumplen con la función de enrutar la red para que los

usuarios puedan tener acceso a los diferentes servicios. Si dos

encaminadores que no comparten cable o medio de transmisión y desean

establecer un canal de comunicación, el administrador de red configura un

protocolo de enrutamiento de borde BGP para la conexión o envío y

recepción de paquetes de datos de forma adyacente o también proporciona

un enrutamiento dinámico tipo IGP (Protocolo de Gateway Interior) donde

por medio de un Router intermedio existe la comunicación.(Toranzo et al.,

2018)

Las redes WAN también son denominadas redes satelitales donde por

medio de un enlace proveniente del espacio existe un canal de

comunicación para dos redes que se conectan a un satélite especifico, lo

cual este se convierte en un encaminador.(Toranzo et al., 2018)

17

Figura No. 4 Redes de Área Extensa

Fuente: http://www.ejemplos.org/ejemplos-redes-wan.html

Autor: Trabajo de Investigación

COMPARATIVA DE LAS CATEGORIAS DEL CABLEADO

ESTRUCTURADO

Tabla No. 3 Cuadro Comparativo

Comparación entre cables de categoría 5, 5e, 6, 6ª y 7

Especificaciones

técnicas CAT 5 CAT 5E CAT 6 CAT 6ª CAT 7

Frecuencia 100

MHz

100

MHz

250

MHz

500

MHz 600 MHz

Atenuación (mín.

a 100 MHz) 22 dB 22 dB 19.8 dB -- 20.8 dB

Impedancia

característica

100

ohm =

15%

100

ohm =

15%

100

ohm =

15%

-- 100 ohm =

15%

NEXT (mín. a 100

MHz) 32.3 dB 35.3 dB 44.3 dB 27.9 dB 62.1 dB

18

PS-NEXT (mín. a

100 MHz) N/A 32.3 dB 42.3 dB -- 59.1 dB

EL-FEXT (mín. a

100 MHz) N/A 23.8 dB 27.8 dB 9.3 dB

Sin

especificar

PS-ELFEXT

(mín. a 100 MHz) N/A 20.8 dB 24.8 dB --

Sin

especificar

PS-ANEXT (mín.

a 500 MHz) -- -- -- 49.5 dB --

PS-AELFEX

(mín. a 500 MHz) 16 dB 20.1 dB 20.1 dB 23.0 dB 14.1 dB

Pérdida de

retorno (mín. a

100 MHz)

16 dB 20.1 dB 20.1 dB 8 dB 14.1 dB

Delay Skew

(máx. por cada

100 m)

N/A 45 ns 45 ns -- 20 ns

Redes

soportadas

100

BASE-T

1000

BASE-T

1000

BASE-

TX

10

GBASE

Sin

especificar

Fuente: Trabajo de Investigación Autor: María Luisa Cansing

TOPOLOGÍAS DE RED DE DATOS

TOPOLOGÍA BUS: La topología bus es aquella que todos los ordenadores

se encuentran conectados a un circuito común (bus) sin la necesidad de un

dispositivo enrutador. La información dentro de esta topología es enviada

de una computadora a otra en lo cual los paquetes de datos viajan

directamente o indirectamente, si existe un controlador de red estos

paquetes pueden ser enviados al destino correcto. Los datos viajan por un

medio de transmisión guiado en ambos sentidos a una velocidad de 10/100

19

Mbps aproximadamente y contiene en sus dos extremos una resistencia

(terminador). En esta red de datos se conectan una gran cantidad de

computadoras al bus, si un computador falla, la comunicación se mantiene,

caso contrario si la red bus falla el canal de comunicación se congestiona.

El tipo de cableado que se emplea en esta topología es el cable coaxial,

par trenzado o fibra óptica. En la red bus, cada estación de trabajo está

conectada a un segmento común de cable de red, donde el segmento de

red es colocado como un bus lineal, es decir un cable largo que va de un

extremo a otro de la red, y al cual se conecta cada nodo de ésta. El cable

puede ir por el piso, las paredes, el techo o por varios lugares, siempre y

cuando sea un segmento continuo.(ECURED, 2018b)

Figura No. 5 Topología Bus

Fuente:https://sites.google.com/a/galileo.edu/proyectofinal9352/topologias

-de-red/bus Autor: ECURED

TOPOLOGÍA ESTRELLA: En la topología estrella la transmisión es

activada a través de un nodo central activo que normalmente posee la

capacidad y los medios para prevenir problemas relacionados con el eco o

el ruido que distorsionan los datos, está infraestructura es utilizada en redes

de área local donde la mayoría de las redes de área local que están

compuesta por un enrutador (router), un conmutador (switch) o un

20

concentrador (hub) se basan en esta topología estrella. El nodo central en

estas sería el enrutador, el conmutador o el concentrador, por el que pasan

todos los paquetes de datos dirigiéndolos a su destino.(ECURED, 2018b)

VENTAJAS DE LA TOPOLOGÍA ESTRELLA

• Posee los medios para disminuir los problemas presentes en la red.

• Si un ordenador es desconectado solo queda fuera de la red ese

Host.

• Facilidad de agregar y reconfigurar la arquitectura de una PC.

• Facilidad de prevenir daños o conflictos.

• Posee la capacidad de prevenir que todos los nodos se comuniquen

entre sí de forma conveniente.

• El mantenimiento de la red de datos es más económico que la

topología bus.

Figura No. 6 Topología Estrella

Fuente: https://www.ecured.cu/Red_en_estrella

Autor: ECURED

TOPOLOGÍA ANILLO: En este tipo de red la comunicación se establece

por el paso de un token o testigo, que es conceptualizado como un cartero

que circula en la red recolectando y enviando paquetes de información, de

21

esta forma se evitan incidencias sobre la pérdida de datos críticos debido a

los niveles de colisiones provocado por los usuarios. En un anillo doble, dos

anillos cumplen con la función de permitir que los datos se envíen en ambas

direcciones IP Fuente y Destino. Esta configuración crea redundancia

(tolerancia a fallos), con la finalidad de mantener el rendimiento y

disponibilidad de la red de datos.(ECURED, 2018b).

VENTAJAS DE LA TOPOLOGÍA ANILLO

• Simplicidad de Arquitectura.

• Facilidad de configuración.

• Facilidad de fluidez de datos.

Figura No. 7 Topología Anillo

Fuente: https://www.ecured.cu/Red_en_anillo

Autor: ECURED

PROTOCOLOS Y ARQUITECTURAS

En la siguiente tabla se detallan las 7 capas del modelo OSI en donde se

describirán las 3 primeras que se ajustan al proyecto de titulación.

Tabla No. 4 Protocolos y Arquitecturas

22

Aplicación

Presentación

Sesión

Transporte

Red

Enlace de Datos

Física

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Capa Física: En esta capa se detalla los medios de transmisión guiados y

no guiados en donde en la siguiente tabla se describen cuales son cada

uno de ellos.

Tabla No. 5 Medios de Transmisión Guiados MEDIOS DE TRANSMISIÓN GUIADOS

CABLE UTP (DISTANCIA HASTA

100 METROS)

CABLE COAXIAL (DISTANCIA

HASTA 500 METROS)

23

CABLE DE FIBRA ÓPTICA

(DISTANCIA MÁXIMA MÁS DE

100 KM)

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Tabla No. 6 Medios de Transmisión no Guiados

Medios de Transmisión no Guiados

Comunicaciones Satélites

(La distancia depende del

ángulo donde la antena

parabólica se enlaza con el

satélite)

Enlaces Microondas (La

distancia depende de la

zona de fresnel)

Enlaces Inalámbricos (La

distancia depende de la

cantidad de antenas del

Router Inalámbrico)

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

24

Capa de Enlace de Datos: Esta capa comprende la transferencia de

información de manera fiable que es realizada mediante un circuito de

transmisión de datos, la capa de enlace de datos recibe peticiones que son

enviadas por la capa de red utilizando los servicios de la capa física.

A continuación, se detalla los dispositivos que comprenden la capa de

enlace de datos:

Switches de Capa de Enlace de datos: Los Switches son

dispositivos que trabajan bajo la capa de enlace de datos del modelo

OSI y TCP/IP que cumplen con la función de permitir la interconexión

de múltiples segmentos físicos de una red de área local, en una sola

red de gran tamaño, los switches son aquellos que envían y

distribuyen el tráfico basado en direcciones MAC produciendo que

las redes LAN sean más eficientes, a pesar de que la funcionalidad

de conmutación se lleva a cabo en el hardware y no en el software.

Estos dispositivos Switches también utilizan la conmutación para

almacenar y enviar de una forma rápida el tráfico a toda la red

aumentando el rendimiento y escalabilidad de la misma, los switches

se los denomina switches multipuerto, en donde estos poseen varios

puertos de conexión dado que una de sus funciones es la

concentración de conectividad esto quiere decir que admiten que

varios dispositivos se conecten a un punto de la red.(Sulbaran, 2013)

Figura No. 8 Switches de Capa 2

Fuente: https://www.gowifi.co.nz/switches/oms8.html

Autor: Suppliers of Long Range Wireless Network Equipment & Accessories

25

Hub: Los HUB son dispositivos que están compuestos por

repetidores que cumplen con la función de retransmitir señales que

son recibidas por una computadora hacia otros ordenadores sin la

necesidad de alterar la información que circula a través de la red LAN

donde los HUB forman parte. El término concentrador o Hub

describe la forma en que las conexiones de cableado de cada nodo

de una red son centralizadas y conectadas en un único dispositivo.

En una red de HUB, los administradores emplean técnicas de

comunicación vía Ethernet, Token Ring y FDDI (Interfaz de Datos

Distribuida) en donde estas soportan módulos individuales que

poseen la capacidad de concentrar múltiples tipos de aplicaciones

en un sólo dispositivo. Normalmente los concentradores integran

ranuras que son de gran utilidad, para implementar varios módulos

y un panel trasero común que tienen como finalidad establecer

protocolos de enrutamiento, filtrado de paquetes, puertos y conexión

a diferentes medios de transmisión (por ejemplo, Ethernet y Token

Ring). También los equipos HUB poseen una serie de Diodos

Emisores de Luz que indican el estado de conexión de los

usuarios.(Castellanos, 2012)

Figura No. 9 Hub o Concentrador

Fuente: https://www.amazon.com/Netgear-EN-108TP-10-Base-

T-Ethernet-8-Port/dp/B00000J4L6 Autor: AMAZON

26

Capa de red: La capa de red, según la normalización OSI, es un nivel o

capa que proporciona la conectividad y selección de ruta entre dos Routers

que tienen configurado un enrutamiento y que están ubicados en redes

geográficamente distintas o con diferentes segmentos de direccionamiento

IP. Es el tercer nivel del modelo OSI y su objetivo es obtener que los datos

lleguen desde el origen al destino, aunque no tengan conexión directa esto

se puede realizar por medio de la aplicación de protocolos de enrutamiento

dinámico como: OSPF (Open Shortest Path First), EIGRP (Protocolo de

Enrutamiento de Puerta de Enlace Interior), RIP (Protocolo de Información

de Rutas), IS-IS (Intermedia System-Intermedia System) y enrutamiento

estático. También esta capa proporciona servicios al nivel superior (nivel de

transporte) apoyándose en el nivel de enlace de datos, es decir que utiliza

sus funciones, para asignar direcciones de red únicas, interconectando

subredes de distintos rangos, encaminación de paquetes de datos,

utilización de un control de congestión y corrección de errores.(ECURED,

2018a)

A continuación, se describe los dispositivos que trabajan bajo la capa 3 del

modelo OSI.

Router de capa de red: Los Routers son dispositivos de encaminamiento

que pertenecen a la capa tres del modelo OSI, donde estos poseen la

capacidad de saber si el destinatario que recepta un paquete de

información pertenece a una red local o remota. Los Routers incluyen

funciones de enrutamiento, seguridad, VLAN a nivel de capa 3 y demás

donde el administrador de infraestructura configura tales funciones, para

establecer una interconexión entre dos o más redes con distinto rango de

direccionamiento IP. A continuación, se detalla lo siguiente:(TORO, 2018)

Soporte de Protocolo de Enrutamiento Dinámico (BGP, OSPF,

EIGRP, RIP e IS-IS)

Soporte de enrutamiento estático.

27

Soporte de enrutamiento de VLAN.

Soporte de direccionamiento IPV4 e IPV6.

Soporte de Listas de Control de Acceso.

Soporte de Filtrado de Paquetes.

Soporte de Seguridad de Puertos.

Soporte de asignación de Ancho de Banda.

Soporte de Protocolos basado en Etiquetas MPLS, redes privadas

virtuales VPN, enlaces redundantes HSRP y balanceo de carga

GLBP.

Figura No. 10 Router de Capa 3

Fuente: http://www.ingenieriasystems.com/2017/01/Comparacion-de-conmutacion-de-capa-2-y-conmutacion-de-capa-3-y-Cisco-Express-

Forwarding-CCNA1-V5-CISCO-C5.html Autor: Guillermo Benítez

28

Switches Multilayer: Los Switches que operan bajo la capa de enlace de

datos y de red son dispositivos que poseen funciones de conmutación y

enrutamiento basado en hardware dentro de la misma plataforma IOS Un

Switch multicapa es aquel que ejecuta, una trama de paquetes de datos

hacia varios segmentos de red o intercambian sus rutas cuando tienen

configurado un enrutamiento estático o dinámico, interconectando todas las

sucursales, generalmente lo realizan los Switches y routers tradicionales, a

continuación, se describe las funcionalidades de los Switches

Multicapa:(TORO, 2018)

Soporte de Configuración de redes de área local virtuales VLAN.

Soporte de Configuración de Protocolo de Transferencia de VLAN.

Soporte de Configuración de Protocolos de Seguridad Informática a

nivel de capa de enlace de datos y de red.

Soporte de Configuración de Ethernet Channel.

Soporte de Configuración de enlaces redundantes y balaceo de

carga.

Soporte de Configuración de Protocolos de Enrutamiento Dinámico

y Enrutamiento Estático.

Soporte de Configuración de Spanning Tree y enrutamiento de

VLAN.

29

Figura No. 11 Switches Multicapa

Fuente: https://sites.google.com/site/elenamanueljacobo1/unidad-v-

switches-multicapa/1---introduccion-a-los-swtiches-multicapa Autor: Trabajo de Investigación

ENRUTAMIENTO ESTÁTICO

Dentro de una red de datos el enrutamiento estático es aquel que el

administrador define en sus dispositivos de capa tres la dirección de red

destino, su máscara y la IP del próximo salto de esta manera una ruta es

seleccionada para cada segmento de la red identificando el origen y el

destino. También un administrador de red posee la capacidad de configurar

manualmente una ruta estática para llegar a una red específica pero ambos

sectores de las redes deben de conocerse, para que exista conectividad

entre estas. A diferencia de los protocolos de enrutamiento dinámico que

se mencionan más adelante en este proyecto la configuración de estos es

sumamente diferente donde solamente se ingresa las redes que están

directamente conectadas en los routers o switches multicapa y estos

cumplen con la función de intercambiar sus rutas internamente, en caso las

rutas estáticas no se actualizan automáticamente y deben ser

reconfigurados manualmente en momentos que la topología de red varíe

surjan cambios como: la implementación de nuevos equipos, la agregación

de más usuarios y demás.(Valverde, 2016)

30

Figura No. 12 Enrutamiento Estático

Fuente: http://www.seaccna.com/rutas-estaticas-enrutamiento-estatico/

Autor: Rosa Barbosa

PROTOCOLOS DE ENRUTAMIENTO DINÁMICO

OSPF: Es un protocolo de enrutamiento dinámico a nivel jerárquico de tipo

estado de enlace desarrollado para la interconexión de redes con diferentes

rangos de direccionamiento IP donde su métrica es el menor costo de

ancho de banda posible, este protocolo se basa en el algoritmo de primera

vía más corta SPF (Sender Policy Framework).(IBM, 2017)

En una red OSPF, los sistemas que pertenecen a la misma área mantienen

una base de datos de estado de enlace idéntica que describe la topología

del área. Cada sistema autónomo del área genera su propia base de datos

de enlace-estado a partir de los anuncios LSA (Light Summary Algorithm)

que recibe de los demás sistemas de la misma área y de los LSA que él

generado por el protocolo de enrutamiento. El LSA es un paquete que

contiene información sobre los routers vecinos y los costes de cada vía,

enfocándose en la base de datos de enlace-estado, donde cada

direccionador ejecuta un cálculo de un árbol de extensión de vía más corta,

siendo él mismo la raíz, utilizando el algoritmo SPF.(IBM, 2017)

31

Ventajas del protocolo de enrutamiento dinámico OSPF

OSPF posee la capacidad de ser implementado en redes

heterogéneas, con el fin de recalcular las rutas en un corto tiempo

cuando la infraestructura tecnológica de red es escalable.

OSPF cumple con la función de dividir un sistema autónomo en

diferentes áreas en donde estas son separadas para disminuir el

tráfico de direccionamiento OSPF y el tamaño de la base de datos

de estado de enlace.

OSPF proporciona su direccionamiento multivía de coste

equivalente, se pueden agregar rutas duplicadas a la pila TCP

(Protocolo de Control de Transmisión) utilizando distintos saltos.

Figura No. 13 Protocolo de Enrutamiento OSPF

Fuente: https://ccieblog.co.uk/ospf/ospf-capability-transit

Autor: CCIE

EIGRP: El protocolo de enrutamiento dinámico EIGRP (Protocolo de

Enrutamiento de Puerta de Enlace Interior Mejorado) es propietario de

CISCO y una versión mejorada de IGRP (Protocolo de Enrutamiento de

Puerta de Enlace Interior) donde se pueden verificar algunas mejoras como

el soporte de Subnetting, VLSM (Máscara de Longitud Variable)

32

convergencia con otras tecnologías y demás. La tecnología de vector de

igual distancia que se emplea en IGRP también es aplicada en EIGRP, lo

cual la información de la distancia subyacente no presenta cambios. Las

propiedades de convergencia y la eficacia de operación de este protocolo

han mejorado de forma significativa llegando al aumento del rendimiento en

redes que tienen configurado este protocolo en sus dispositivos de

enrutamiento. Esto permite una arquitectura mejorada y, a la vez, retiene la

inversión existente en IGRP.(CISCO, 2013)

La tecnología de convergencia del protocolo EIGRP es aquella que se

enfoca en una investigación realizada por la compañía informática SRI

International, donde se determinó que el algoritmo difusor de actualización

(DUAL) es el algoritmo utilizado por dicho protocolo de enrutamiento, para

obtener la loop-libertad de forma inmediata de cada router vecino. Esto les

permite a todos los dispositivos de capa tres conectados en una topología

la sincronización con todos los servicios de la red de datos al mismo tiempo.

Los routers que no se ven afectados por los cambios de topología no se

incluyen en el recálculo, el tiempo de convergencia con DUAL compite con

el de cualquier otro protocolo de ruteo existente.(CISCO, 2013)

Figura No. 14 Protocolo de Enrutamiento Dinámico EIGRP

Fuente: https://www.astorinonetworks.com/2011/06/14/eigrp-stub-routing/

Autor: Joe Astorino

33

Funcionamiento del protocolo de enrutamiento EIGRP

El protocolo de enrutamiento dinámico EIGRP consta de las siguientes

funciones que se mencionan a continuación:

Recuperación y detección del vecino.

Protocolo de transporte confiable.

Máquina de estados finitos DUAL.

Módulos dependientes del protocolo.

La detección o recuperación de vecinos consiste en ejecutar procesos que

son aplicados en los routers con el objetivo de que estos aprendan de

manera dinámica las rutas de otros routers conectados directamente a sus

redes. Los routers también cumplen con la función de detectar cuando sus

vecinos se vuelven inalcanzables o se quedan fuera de la red de datos por

el congestionamiento de los enlaces WAN. Los dispositivos de capa 3

cuando se encuentran operativo determinan que routers están activos o en

funcionamiento, con la finalidad de intercambiar su información de las

tablas de rutas.(CISCO, 2013)

El transporte confiable es aquel que posee la responsabilidad de garantizar,

las entregas ordenadas de paquetes EIGRP a todos los routers vecinos

manteniendo así la interconexión con todos los servicios de la red de datos.

Este protocolo de enrutamiento tiene la funcionalidad de soportar la

transmisión de multicast o los paquetes de unidifusión entremezclados,

donde algunos de los paquetes EIGRP son transmitidos de manera

confiable, mientras que para otros esto no es necesario. Por ejemplo, en

una red de acceso múltiple que tiene capacidades de multidifusión, tal como

Ethernet, no es necesario enviar saludos confiables a todos los vecinos en

individualmente. Entonces, EIGRP envía un saludo de multidifusión único

con una indicación en el paquete que informa a los receptores que dicho

34

paquete no necesita ser reconocido. Otros tipos de paquetes, como las

actualizaciones, requieren reconocimiento y eso se indica en el paquete. El

transporte confiable obtiene una disposición de enviar los paquetes de

multidifusión velozmente cuando existe trama de información sin acuse de

recibo pendiente.(CISCO, 2013)

La máquina de estados finitos DUAL son aquellas que contienen el proceso

de decisión de todos los cálculos de rutas, donde se rastrea todas las rutas

anunciadas por todos los vecinos. La información de distancia, conocida

como métrica, es utilizada mediante DUAL que permite la selección de

trayectorias eficientes sin loops. DUAL contiene la función de seleccionar

las rutas que se insertarán en una tabla de ruteo configuradas en los

dispositivos de capa tres, según los sucesores factibles. Un sucesor es un

router vecino empleado para el reenvío de paquetes de datos con el fin de

obtener un trayecto de menor costo a un destino que no pertenece a un

loop de ruteo.(CISCO, 2013)

RIP: Routing Information Protocol (RIP), es uno de los protocolos de

enrutamiento dinámico y de vector distancia empleado para redes de datos

homogéneas y sumamente pequeñas en donde estas son implementadas

en microempresas. RIP también es utilizado por los dispositivos de capa

tres del modelo OSI y TCP/IP con el fin de intercambiar información de rutas

topológicas de forma periódica, mediante el envío de paquetes de datos de

la tabla de enrutamiento a los routers vecinos en un tiempo límite de 30

segundos. Los routers vecinos, a su vez transmiten la información a otros

enrutadores logrando así la convergencia de redes con diferente rango de

direccionamiento IP. La métrica de este protocolo es el número de saltos

con un máximo de 15 saltos, generando que solo sea aplicado en

infraestructuras tecnológicas pequeñas y medianas.(Valverde, 2016)

35

Figura No. 15 Protocolo de Enrutamiento RIP

Fuente: http://blog.ragasys.es/ejemplo-protocolos-de-enrutamiento-rip-

bgp Autor: José Ramón Ramos

RIPv1 VS RIPv2

En las redes de datos existen dos versiones del protocolo de enrutamiento

RIP que es la RIP versión 1 que aplica un enrutamiento con clase y no

incluye información de subredes con distintas máscaras y RIPv2 es sin

clases e incluye la información de subred de apoyo Clase-Inter Domain

Routing (CIDR). A diferencia de RIP versión 1, versión 2 envía en

multidifusión las actualizaciones de enrutamiento a los routers adyacentes

utilizando la dirección 224.0.0.9. La convergencia de red pasa mucho más

rápida en RIPv2 que en la versión anterior, es decir que el protocolo V2

soporta Subnetting y VLSM para el enrutamiento de redes con diferentes

rangos de direccionamiento. Existe también el protocolo RIPng (new

generation) que es el mismo protocolo RIPv2, pero de forma extendida para

la aplicación de direcciones IPv6.(Valverde, 2016)

36

Tabla No. 7 Formato de paquete de RIP Comando Versión Debe ser cero (no utilizado)

Identificador de familia de

dirección Etiqueta de ruta

Dirección de Subred

Máscara de Subred

Métrica

Próximo Salto

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

ATAQUES A LOS DISPOSITIVOS DE ENRUTAMIENTO

Ataque de fuerza bruta

Los ataques de fuerza bruta son aquellos que permiten probar todas las

posibles combinaciones hasta identificar la contraseña o palabra legible que

fue cifrada por medio de mecanismos de encriptación. Para realizar un

ataque de fuerza bruta debe constar de los siguientes elementos que se

muestran a continuación:(Domínguez, Maya, 2016)

CHARSET o alfabeto utilizado para obtener todas las posibles

combinaciones.

Una longitud de palabra, la cual nos determina todas las posibles

combinaciones de la siguiente manera: #Combinaciones = longitud

palabra ^ longitud_charset; esto quiere decir que por una palabra de

2 letras con un alfabeto de 26 letras obtenemos 67’108,864

combinaciones posibles. Esto es 226= 67’108,864. Entre más grande

es la palabra o el charset, mayor es el número de combinaciones y

mayor es el tiempo invertido en obtener una posible respuesta.

Palabra cifrada, la cual va a ser utilizada, para romper el ciclo de

iteraciones en caso de encontrar la palabra legible.

37

Algoritmo o función de cifrado, ya que sin esta no es posible realizar

el ataque de fuerza bruta.

Ataque por archivo diccionario

Un ataque por archivo diccionario es una técnica de violación de

contraseñas, donde se prueban de forma consecutiva diferentes palabras

con el objetivo de validar una clave correcta, para este tipo de intrusiones

los piratas informáticos cuentan con un listado de posibles contraseñas y

combinaciones de números y letras.(Domínguez, Maya, 2016)

Figura No. 16 Detección de Contraseñas por medio de un Ataque de Fuerza Bruta

Fuente: https://mundo-hackers.weebly.com/servicio-telnet.html

Autor: MUNDO-HACKER

38

DIAGRAMA DE ATAQUE DE FUERZA BRUTA

Figura No. 17 Diagrama de Ataque de Fuerza Bruta

Fuente: (Carvajal, 2015) Autor: (Carvajal, 2015)

Ataques denegación de servicio

Los ataques de Denegación de Servicio (Denial of Service -DoS-) son

aquellos que tienen como objetivo evitar que el usuario legítimo o

autorizado por una organización haga uso de un recurso o servicio

específico de red o un host. Entre las variantes de este tipo de ataque se

mencionar las siguientes:(Fuertes, Rodas, & Toscano, 2013)

La inundación de la red por medio de la inyección de paquetes que

provocan el consumo excesivo de ancho de banda; la inanición de

recursos y la saturando la memoria.

Los errores de programación, que colapsan el procesador.

39

Los ataques DNS y enrutamiento, que convencen a los usuarios

mediante direcciones falsas y suplantación de identidad.

En este caso se describe el ataque DoS UDP Flood, que es denominado

una intrusión que provoca la pérdida de la conectividad de la red por la

saturación del ancho de banda y congestionamiento de los servicios; este

ataque ocurre cuando un atacante envía paquetes IP con datagramas UDP,

con el propósito de colapsar el procesamiento de la máquina víctima, hasta

el punto de no permitir manejar conexiones legítimas; debido a la naturaleza

sin conexión del protocolo UDP, este tipo de ataques suele venir

acompañado de técnicas de suplantación de identidad.(Fuertes et al., 2013)

Figura No. 18 Ataque de Inundación de SYN

Fuente: https://sites.google.com/site/materiasisoperativo/unidad-6-

proteccion-y-seguridad/6-7-validacion-y-amenazas-al-sistema?tmpl=%2Fsystem%2Fapp%2Ftemplates%2Fprint%2F&showPrint

Dialog=1 Autor: Google

40

Tipos de ataques de denegación de servicio

A continuación, se presentan los tipos de ataques de denegación de

servicios estos son los siguientes:

Ataques a nivel de dispositivo de red: Estos ataques son

provocados por medio del aprovechamiento de los errores o

vulnerabilidades de los sistemas de información y comunicación o

también de equipos como: Servidores, Computadoras, Routers,

Switches y demás con el objetivo de agotar los recursos de los

dispositivos de red produciendo filtros de fugas de

información.(Fuertes et al., 2013)

Ataques a nivel de Sistema Operativo: Estas intrusiones

maliciosas son aquellas que toman forma sobre los protocolos de

internet con el fin de consumir los recursos del sistema operativo

logrando que el usuario se tome un tiempo en ejecutar una

tarea.(Fuertes et al., 2013)

Ataques a nivel de aplicaciones: Son aquellos que aprovechan los

errores de las aplicaciones de red sobre el host mediante el uso de

programa informáticos, logrando consumir los recursos

computacionales de la víctima.(Fuertes et al., 2013)

Ataque de inundación de datos: Los piratas informáticos utilizan

estos ataques para consumir el ancho de banda disponible de una

red o un dispositivo en su mayor extensión mediante el envío de

grandes cantidades de datos por procesar.(Fuertes et al., 2013)

Ataques basados en las características de los protocolos: Estos

ataques toman ventaja sobre las características de los

protocolos.(Fuertes et al., 2013)

41

Ataque hombre en el medio

Los ataques MITM son aquellos que interceptan un canal de comunicación

establecido entre dos usuarios con el objetivo de filtrar los paquetes de

datos que son enviados de un nodo de la red a otro. A continuación, se

detallará el tipo de información que se puede capturar a través de ataque

hombre en el medio.(Cisneros, Caiza, 2017)

Usuario y Contraseña de sistemas informáticos que utilicen el

protocolo HTTP.

Direcciones IP origen y destino.

Conversaciones de voz establecidas en un sistema de telefonía IP o

sistemas de comunicación móvil.

Figura No. 19 Ataques Hombre en el Medio

Fuente: https://security.stackexchange.com/questions/183723/i-started-to-

learn-about-mitm-attacks-and-i-cant-figure-out-few-things Autor: Trabajo de Investigación

42

Tipos de ataques hombre en el medio

Figura No. 20 Categorías de Ataques hombre en el medio

Fuente: (Cisneros, Caiza, 2017) Autor: (Cisneros, Caiza, 2017)

METODOS DE PROTECCIÓN EN LOS DISPOSITIVOS DE

ENRUTAMIENTO

ACL (Listas de Control de Acceso)

Las listas de control de acceso (ACL) son denominadas reglas de seguridad

informática que se configuran en los dispositivos de enrutamiento como:

Routers y Switches Multicapa con el objetivo de denegar tráfico o permitir

el mismo en una red de datos configurada con un protocolo de enrutamiento

dinámico, también las ACL permiten definir permisos de accesos a servicios

empleando control parental y definiendo las escalas de privilegios de los

usuarios según las políticas de seguridad establecidas por la organización

y gestionadas por el administrador de la infraestructura

tecnológica.(HERNANDEZ, 2017)

Las ACL solamente se configuran en los dispositivos de capa tres de

CISCO, donde estas cumplen con la función de permitir o denegar paquetes

de datos según el criterio encontrado en el encabezado del mismo, las ACL

seleccionan los tipos de tráfico para después ser analizados, y reenviarlos

o procesarlos .(HERNANDEZ, 2017)

43

Figura No. 21 Listas de Control de Acceso

Fuente: https://telematica2.wordpress.com/2011/03/25/cuestionario-acl-

listas-de-control-de-acceso/ Autor: Andrés Suarez

Tipos de ACL

Dentro de las ACL existen dos tipos que se detallan a continuación:

ACL Estándar.

ACL Extendida.

Características de las ACL Estándar

Rango numérico de 1 hasta 99 y de 1300 a 1999.

Filtrado de paquetes por medio de la dirección IP origen.

Utilización de máscaras WILCARD.

Las ACL se encuentran cerca de la fuente de origen.

Características de las ACL Extendida

Rango numérico de 100 hasta 199 y de 2000 a 2699.

Fuente de destino enviando una sola dirección IP.

Número de protocolo de capa 4 (Telnet y FTP).

Las ACL están cerca de la fuente de origen y van en modo entrada.

44

Es aplicado a servicios o puertos que trabajan bajo la capa 4 del

modelo OSI y TCP/IP.

Reglas IPTABLES

Las IPTABLES son módulos que se encuentran vinculados al kernel de

Linux, donde estas se encargan de filtrar los paquetes de datos que

provienen de otras redes con diferente rango de direccionamiento IP, esto

quiere decir, que las reglas IPTABLES cumplen con la función de

determinar qué paquetes tienen acceso al servidor de aplicaciones y cuáles

son los denegados. Las IPTABLES se las puedes configurar en sistemas

operativos Linux como: CentOS, Fedora, Red Hat, Debían entre otros y

Cortafuegos a nivel de Hardware y Software.(Movistar, 2016)

Además, las IPTABLES funcionan a través de la aplicación de reglas que

filtran los paquetes de datos o comandos que son soportados por los

sistemas operativos Linux. Es decir, que el usuario mediante sencillas

instrucciones indica a los cortafuegos el tipo de paquetes que debe permitir

y denegar, y que puertos deben estar bloqueados o filtrados con el objetivo

de evitar ataques informáticos que provoquen accesos ilícitos a los

servidores.(Movistar, 2016)

45

Figura No. 22 Funcionamiento de las IPTABLES

Fuente: http://www.codercaste.com/2009/09/28/n-a-t-network-address-

translation-and-port-forwarding-explained/ Autor: Trabajo de Investigación

Tablas y cadenas

En las reglas IPTABLES existen tres grandes grupos de tablas o cadenas,

dentro de estas se definen una serie de cadenas predefinidas donde

cualquier paquete de dato tendrá el acceso a circular por la red empleando

cualquier tipo de cadena. A continuación, se presentan los tres grupos de

IPTABLES:(Movistar, 2016)

Reglas de filtrado o filter

Dentro de esta tabla se indican las reglas de filtrado determinando que

paquetes serán permitidos o denegados por el cortafuego.

46

INPUT: Hace referencia a los paquetes de datos que ingresan al

sistema operativo.

OUTPUT: Se emplea el filtrado de paquetes que salen de la red de

datos.

FORDWARD: Referencia al tráfico que los dispositivos de capa tres

reenvía a los otros equipos.

Tabla NAT

Dentro de la tabla NAT se mencionan las reglas que realizan el

enmascaramiento de la dirección IP, redirección de puertos, cambios en la

dirección IP origen y el destino de los paquetes.(Movistar, 2016)

PREROUTING: En esta cadena se indica que se realice una

determinada acción sobre el paquete antes que sea enrutado a otras

redes de datos.

POSTROUTING: En esta cadena se realiza una determinada acción

antes de que el paquete salga del cortafuego.

OUTPUT: Esta cadena es aquella que permite modificar los

paquetes de datos en el propio cortafuego antes de que sean

enrutados a otras redes de datos.

Tabla MANGLE

Dentro de la tabla MANGLE se recogen las distintas reglas que actúan

sobre los flags de los paquetes de datos. Todo el tráfico de red pasa por la

tabla MANGLE.(Movistar, 2016)

47

Figura No. 23 Reglas IPTABLES de la Tabla MANGLE

Fuente: (Movistar, 2016) Autor: (Movistar, 2016)

Acciones de las reglas IPTABLE

A continuación, se presentan las acciones presentadas en las reglas

IPTABLES:

ACCEPT: A través de esta acción se indica que el paquete de dato

es aceptado.

DROP: En esta acción se elimina el paquete y no se envía el

mensaje de respuesta al equipo cliente que se hizo la petición.

REJECT: Similar a la acción anterior, pero en esta ocasión se envía

un paquete ICMP al dispositivo cliente que hiso la petición indicando

que la solicitud no es permitida.

DNAT: Esta acción utiliza la cadena PREROUTING de la tabla NAT,

para modificar la IP destino.

SNAT: Esta acción está asociada con la cadena POSTROUTING

para modificar la dirección IP origen.

MASQUERADE: Acción equivalente a SNAT, pero es utilizada

cuando tenemos una dirección IP dinámica en la interfaz de salida.

48

REDIRECT: Se utiliza en la cadena PREROUTING para modificar la

dirección IP que tenga la interfaz de red de entrada.

Figura No. 24 Funcionamiento de las IPTABLES

Fuente: Andrés J. Díaz Autor: Andrés J. Díaz

METASPLOIT

El Metasploit es considerada una estructura basada en el lenguaje de

programación RUBY, que proporciona toda la infraestructura necesaria

para automatizar las tareas triviales, rutinarias y complejas, esta

herramienta es de código abierto, que cumple con la función de ejecutar

exploits creados por atacantes maliciosos que poseen un objetivo que es la

de acceder a sistemas remotos. Metasploit contiene una amplia base de

datos de exploits públicos y que son probados, con el fin de ser utilizados

en las auditorías de seguridad informática detectando y analizando las

vulnerabilidades de las plataformas de software que trabajan bajo la red de

internet, en base a los resultados de un pentesting se deben de aplicar

métodos de protección y políticas de seguridad que ayuden a proteger los

sistemas de información y comunicación, o hacer uso de las

vulnerabilidades identificadas mediante un hackeo ético obteniendo de esta

manera una conexión remota a los servidores de aplicaciones ya sean de

Linux o de Windows.(Santos, 2017)

Metasploit es un conjunto de herramientas que proporciona la

infraestructura necesaria para poder explotar sistemas que cumplen con la

función de realizar tareas contables, financieras, mercadeo y salud, también

49

detectar vulnerabilidades dentro de las plataformas informáticas en el

momento que se esté realizando una Auditoría de Seguridad

Informática.(Santos, 2017)

Figura No. 25 Metasploit Framework

Fuente: https://widrogo.wordpress.com/tag/metasploit/

Autor: Trabajo de Investigación

METODOLOGÍA DE ANÁLISIS DE RIESGOS

MAGERIT Es una metodología de análisis y gestión de riesgos elaborada por el

consejo superior de administración electrónica como respuesta a la

apreciación de que la Administración y toda la Sociedad de manera

creciente es dependiente de las tecnologías de la información para el

cumplimiento de su misión.

El objetivo principal de esta metodología de análisis y gestión de riesgos es

relacionado con la generalización del uso de las tecnologías de la

información y comunicación suponiendo beneficios que son evidentes para

los ciudadanos, esta metodología da a lugar a ciertos riesgos que deben

ser minimizados con medidas de seguridad informática confiables.

MAGERIT está orientado al usuario que maneja información digital y

50

sistemas informáticos implementados en empresas del sector público y

privado.

Figura No. 26 Metodología MAGERIT

Fuente:https://administracionelectronica.gob.es/pae_Home/pae_Documen

tacion/pae_Metodolog/pae_Magerit.html Autor: Consejo Superior de Administración Electrónica

Métodos de la metodología MAGERIT

Tabla No. 8 Métodos de la Metodología MAGERIT

Métodos Descripción

Enmarcación de Actividades

Listado de todas las actividades que

conlleven al tratamiento dentro de un

proceso integral de gestión de

riesgos.

Formalización de actividades

del análisis de riesgos

Ejecución de actividades del análisis

de riesgos de forma ordenada

Criterios de tratamientos de los

riesgos

Descripción de alternativas de

solución para la protección de los

activos

Formalización de actividades

en base a planes de seguridad

Ejecución de planes de seguridad de

forma ordenada

51

Desarrollo de los sistemas de

información y comunicación en

base a un análisis de riesgos

Implementación de sistemas seguros

mejorando la calidad del producto

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

FUNDAMENTACIÓN LEGAL

CÓDIGO ORGÁNICO INTEGRAL PENAL SECCIÓN TERCERA

Delitos contra la seguridad de los activos de los sistemas de información y comunicación

Artículo 229.- Revelación ilegal de base de datos. - La persona que, en

provecho propio o de un tercero, revele información registrada, contenida

en ficheros, archivos, bases de datos o medios semejantes, a través o

dirigidas a un sistema electrónico, informático, telemático o de

telecomunicaciones; materializando voluntaria e intencionalmente la

violación del secreto, la intimidad y la privacidad de las personas, será

sancionada con pena privativa de libertad de uno a tres años.

Si esta conducta se comete por una o un servidor público, empleadas o

empleados bancarios internos o de instituciones de la economía popular y

solidaria que realicen intermediación financiera o contratistas, será

sancionada con pena privativa de libertad de tres a cinco años.

Artículo 231.- Transferencia electrónica de activo patrimonial. - La

persona que, con ánimo de lucro, altere, manipule o modifique el

funcionamiento de programa o sistema informático o telemático o mensaje

de datos, para procurarse la transferencia o apropiación no consentida de

un activo patrimonial de otra persona en perjuicio de esta o de un tercero,

será sancionada con pena privativa de libertad de tres a cinco años.

52

Con igual pena, será sancionada la persona que facilite o proporcione datos

de su cuenta bancaria con la intención de obtener, recibir o captar de forma

ilegítima un activo patrimonial a través de una transferencia electrónica

producto de este delito para sí mismo o para otra persona.

Artículo 232.- Ataque a la integridad de sistemas informáticos. - La

persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe,

cause mal funcionamiento, comportamiento no deseado o suprima datos

informáticos, mensajes de correo electrónico, de sistemas de tratamiento

de información, telemático o de telecomunicaciones a todo o partes de sus

componentes lógicos que lo rigen, será sancionada con pena privativa de

libertad de tres a cinco años.

Con igual pena será sancionada la persona que: custodia o utilización

legítima de la información que sin la autorización correspondiente revele

dicha información, será sancionado con pena privativa de libertad de siete

a diez años y la inhabilitación para ejercer un cargo o función pública por

seis meses, siempre que no se configure otra infracción de mayor

gravedad.

Artículo 234.- Acceso no consentido a un sistema informático,

telemático o de telecomunicaciones.- La persona que sin autorización

acceda en todo o en parte a un sistema informático o sistema telemático o

de telecomunicaciones o se mantenga dentro del mismo en contra de la

voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente

el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico

de datos o voz u ofrecer servicios que estos sistemas proveen a terceros,

sin pagarlos a los proveedores de servicios legítimos, será sancionada con

la pena privativa de la libertad de tres a cinco años.

53

LEY DE COMERCIO ELECTRONICO

Art. 5.- Confidencialidad y reserva. - Se establecen los principios de

confidencialidad y reserva para los mensajes de datos, cualquiera sea su

forma, medio o intención. Toda violación a estos principios, principalmente

aquellas referidas a la intrusión electrónica, transferencia ilegal de

mensajes de datos o violación del secreto profesional, será sancionada

conforme a lo dispuesto en esta Ley y demás normas que rigen la materia.

Art. 9.- Protección de datos. - Para la elaboración, transferencia o

utilización de bases de datos, obtenidas directa o indirectamente del uso o

transmisión de mensajes de datos, se requerirá el consentimiento expreso

del titular de éstos, quien podrá seleccionar la información a compartirse

con terceros.

La recopilación y uso de datos personales responderá a los derechos de

privacidad, intimidad y confidencialidad garantizados por la Constitución

Política de la República y esta ley, los cuales podrán ser utilizados o

transferidos únicamente con autorización del titular u orden de autoridad

competente.

No será preciso el consentimiento para recopilar datos personales de

fuentes accesibles al público, cuando se recojan para el ejercicio de las

funciones propias de la administración pública, en el ámbito de su

competencia, y cuando se refieran a personas vinculadas por una relación

de negocios, laboral, administrativa o contractual y sean necesarios para el

mantenimiento de las relaciones o para el cumplimiento del contrato.

54

PREGUNTA CIENTÍFICA A CONTESTARSE

2. ¿Cree usted que con el análisis de vulnerabilidades en los

Routers y Switches Multicapa las empresas podrán conocer los

fallos de seguridad de esto y poder tomar medidas de

prevención?

DEFINICIONES CONCEPTUALES

CISCO-AUDITING-TOOL (CAT): Es una herramienta de auditoría de

seguridades de redes que cumple con la función de analizar las

vulnerabilidades más comunes de los dispositivos de enrutamiento de

CISCO, como por ejemplo esta aplicación de Linux realiza ataques de

fuerza bruta para extraer las contraseñas por defecto, las cadenas de

comunidad SNMP y algunos de los errores de IOS.

Figura No. 27 Cisco-Auditing-Tool

Fuente: https://delfirosales.blogspot.com/2011/12/password-brute-force-

con-cisco-auditing.html Autor: Delfino Rosales

Hydra: Esta herramienta es una aplicación de prueba de concepto el cual

suministra a los investigadores y consultores de seguridad la posibilidad de

acceder a un sistema informático de forma sencilla.

Actualmente Hydra soporta los siguientes protocolos que se mencionan a

continuación:

Asterisk.

Cisco AAA.

55

Cisco Auth.

Cisco Enable.

MYSQL.

ORACLE SID.

LDAP.

HTTPS-FORM-GET.

HTTPS-FORM-POST.

HTTP-GET.

HTTP-HEAD.

HTTP-PROXY

Figura No. 28 Extracción de Contraseñas a través de Hydra

Fuente: https://buffercode.in/hack-crack-web-form-passwords-using-

hydra-burpsuite-kali-linux/ Autor: Kushagra Sharma

NMAP: Es una herramienta de código abierto que es utilizada por los

consultores de seguridad informática para el escaneo de puertos, detección

de servicios, versiones del sistema operativo y demás. Esta aplicación

también determina si un dominio especifico se encuentra protegido por un

cortafuego y permite saltar ciertos esquemas de seguridad con el objetivo

de establecer una conexión remota con algún sistema informático.

56

Figura No. 29 NMAP

Fuente: https://www.cyberciti.biz/security/nmap-command-examples-

tutorials/ Autor: Comu

57

CAPÍTULO III

PROPUESTA TECNOLÓGICA

En la propuesta tecnológica se emplean tres escenarios virtuales sobre la

realización de un test de intrusión a los equipos de enrutamiento como:

Routers y Switches Multicapa, la implementación de estos ambientes de

simulación serán de gran ayuda para las organizaciones que manejan

información de vital importancia con el fin de evitar incidentes de seguridad

informática que a su vez estos son provocados por atacantes maliciosos.

También en el presente capítulo se demuestran los escenarios de técnicas

de intrusión que se realizaran en este proyecto de titulación en desarrollo

con su respectiva plantilla de prueba que se muestra de la siguiente

manera:

Tabla No. 9 Descripción de Escenarios

Escenarios

Tipo de escaneo

de puertos y

servicios y/o

Ataques

Herramientas a

utilizar

Escenario de Fuerza Bruta Fuerza Bruta HYDRA Y

NMAP

Monitoreo de tráfico de red de

datos

Hombre en el

Medio WIRESHARK

Monitoreo de Ancho de banda,

estado de interfaces de red y

operatividad del protocolo de

enrutamiento

Hombre en el

Medio PRTG

Escaneo de vulnerabilidades Escaneo de

puertos y servicios NESSUS

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

58

Uno de los aspectos de vital importancia que se consideró para el desarrollo

de la propuesta tecnológica, es la utilización de diferentes herramientas de

hackeo ético que se ejecutan en plataformas Windows y Linux como:

NMAP, HYDRA, WIRESHARK, PRTG y NESSUS que son aplicaciones de

auditoría de seguridad informática que serán participes en el proyecto de

análisis de vulnerabilidades en equipos de enrutamiento, de esta manera

demostrando que, con un excelente uso de los sistemas operativos Kali

Linux y Windows se puede realizar un test de intrusión de forma eficiente a

los dispositivos de capa tres exponiendo cuan vulnerables son estos y

determinando el nivel de riesgos de dichos equipos.

A través del desarrollo de este proyecto las organizaciones podrán conocer

los tipos de vulnerabilidades informáticas que pueden estar expuestas a

cualquier atacante malicioso ya sea interno o externo, de esta forma se

intente que se tome conciencia y que las compañías del sector público y

privado empiecen a invertir en seguridad informática para verificar el estado

de la red de datos de forma constante.

A continuación, se demuestran los escenarios de ataque que serán

utilizados para la presentación de los resultados técnicos referente al

análisis de vulnerabilidades en los equipos de enrutamiento:

59

Figura No. 30 Escenario del Ataque de Fuerza Bruta

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

60

Figura No. 31 Escenario de Ataque Hombre en el Medio

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

61

Figura No. 32 Escenario de Monitoreo por medio de PRTG

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

62

Figura No. 33 Escenario de Escaneo de Vulnerabilidades

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

63

ANÁLISIS DE FACTIBILIDAD

En esta etapa de la propuesta tecnológica se describe el nivel de

importancia que posee el proyecto de titulación, empezando a detallar la

factibilidad operacional donde se determina la existencia de un apoyo por

parte de las empresas en el momento de desarrollar el proyecto y los

beneficiarios, una vez culminado con este proceso se indica los recursos

técnicos informáticos de hardware y software que serán participes en la

propuesta tecnológica, para después establecer los costos estratégicos

que se pueden presentar en dicho proyecto sobre el análisis de

vulnerabilidades en los equipos de enrutamiento como Routers y Switches

Multicapa y también verificar el cumplimiento de las leyes, normas y

estatutos creados en la República del Ecuador.

FACTIBILIDAD OPERACIONAL

En esta etapa los beneficiarios del proyecto de titulación en desarrollo

enfocado en el análisis de vulnerabilidades en los equipos de capa de red

del modelo OSI y TCP/IP serán las organizaciones como:

Gubernamentales, Telecomunicaciones, Salud, Financieras y

Supermercados y demás que poseen grandes infraestructuras tecnológicas

de red de datos donde estas empresas emplean protocolos de

enrutamiento como: OSPF, EIGRP, IS-IS y BGP, además, aplican un

sistema de enrutamiento basado en etiquetas con el objetivo de mantener

interconectada toda la red informática instalada en la matriz corporativa y

en las diferentes sucursales. También las organizaciones de los sectores

públicos y privados podrán utilizar herramientas de seguridad informática

para un respectivo monitoreo de paquetes de datos con el fin de tomar los

controles adecuados que eviten que personas malintencionadas apliquen

técnicas de ataques pasivos que a su vez le permitan establecer escuchas

o detección de tramas de información confidencial.

64

FACTIBILIDAD TÉCNICA

Dentro de la factibilidad técnica se describen los recursos técnicos

informáticos de hardware y software que serán participes en el desarrollo

del proyecto de titulación, estos son los siguientes:

Tabla No. 10 Recursos de Software

Recursos de Software

Recurso Descripción

Sistema Operativo basado en

Linux que utilizan los

consultores de seguridad para

la realización de test de

intrusión y auditorías

aplicando las fases de un

hackeo ético.

Herramienta que es utilizada

para el monitoreo de redes de

datos donde por medio de

esta se verifican interfaces,

ancho de banda, tipo de

enrutamiento y demás.

Herramienta para establecer

intercepción de paquetes de

datos que circulan en toda

una red ya se local o WAN.

Herramienta para emular

redes de datos que son

instaladas realmente en

pequeñas y medianas

empresas y grandes

corporaciones.

65

Aplicación de Linux y

Windows que es utilizada para

el escaneo de puertos,

versión de los sistemas

operativos, tipos de servicios

y demás.

Herramienta que es utilizada

para realizar ataques de

fuerza bruta con el fin de

verificar credenciales de

usuarios de sistemas

informáticos, dispositivos de

comunicación de capa de

enlace de datos y de red.

Herramienta para la

configuración de equipos

MIKROTIK.

Herramienta para realizar

escaneo de vulnerabilidades

en equipos de comunicación y

servicios.

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

66

Tabla No. 11 Recursos de Hardware

Recursos de Hardware

Equipo Descripción

Laptop con procesador Core I5, 6

Gigas de Memoria RAM y Disco

Duro de 1 Terabyte.

Router de Capa tres que posee la

capacidad de enrutar enlaces

punto a punto y multipunto.

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

FACTIBILIDAD ECONÓMICA

En la factibilidad económica del proyecto de titulación en desarrollo se

describe los gastos generados en la propuesta tecnológica, mediante la

siguiente tabla se indica lo siguiente:

Tabla No. 12 Recursos Económicos

Descripción Cantidad Costo Total

Servicio de Internet 1 $ 35

Router Mikrotik 1 $ 200

Laptop Core I5 1 $ 1200

Otros Gastos

(Alimentación y

Transporte)

1 $ 200

67

Total 4 $ 1635

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

ANÁLISIS DEL COSTO Y BENEFICIO DEL PROYECTO

Tabla No. 13 Análisis del Costo y Beneficio del Proyecto

Situación Actual Solución Propuesta Beneficios

Vulnerabilidades

expuestas en los

dispositivos de

enrutamiento.

Filtrado de puertos,

implementación de

listas de control de

acceso.

Reducción del índice

de amenazas internas

y externas.

Posibles ataques de

fuerza bruta y hombre

en el medio.

Aplicación de

credenciales de

usuario fuertes,

cifrado en la

información y listas de

control de acceso.

Disminución de los

posibles riesgos que

pueden exponer la

información

confidencial

públicamente.

Servicios

desactualizados que

convergen a posibles

ataques informáticos.

Actualización e

implementación de

parches en sistemas

operativos de

dispositivos de capa

3.

Incremento de los

niveles de seguridad

informática en las

empresas que

manejan grandes

infraestructuras

tecnológicas.

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

68

FACTIBILIDAD LEGAL

Dentro de la factibilidad legal del proyecto de titulación en desarrollo, esta

propuesta tecnológica no infringe las leyes vigentes establecidas por el

Estado Ecuatoriano ya que se va a implementar un ambiente de simulación

controlado donde por medio de este escenario se realizarán todas las

pruebas de ataques informáticos y monitoreo de redes de datos utilizando

herramientas de código abierto que a su vez estas se ejecutan en sistemas

operativos Windows y Linux de esta manera se declara que el proyecto es

factible legalmente.

ETAPAS DE METODOLOGÍA DEL PROYECTO

Para el desarrollo de esta propuesta tecnológica se aplica la metodología

MAGERIT donde en el siguiente gráfico se muestran las fases de esta.

Figura No. 34 Metodología MAGERIT

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Dueño del Producto: Carrera de Ingeniería en Networking y

Telecomunicaciones.

Líder MAGERIT: Ing. Francisco Álvarez Solís.

Equipo de trabajo MAGERIT: María Luisa Cansing.

69

Planificación

En esta fase se anexa el cronograma de actividades del proyecto de

titulación con sus respectivas tareas y responsables.

CRONOGRAMA DE ACTIVIDADES

Una vez planteada la propuesta tecnológica se procede a diseñar un

cronograma de actividades donde se programan los tiempos de realización

de cada tarea con el transcurso del proyecto.

Tabla No. 14 Lista de Actividades

N° ACTIVIDAD FECHA INICIO FECHA FIN DURACIÓN

DÍAS PERSONAS

INVOLUCRADAS

Actividad 1 Capítulo I, Tutorías

05/11/2018 09/11/2018 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 2 Correcciones del Capítulo I e Inicio del Capítulo II, Tutorías

12/11/2018 16/11/2018 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 3 Avances del Capítulo II, Tutorías

19/11/2018 23/11/2018 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 4 Avance Final del Capítulo II, Tutorías

26/11/2018 30/11/2018 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 5 Correcciones del Capítulo II e Inicio del Capítulo III, Tutorías

03/12/2018 07/12/2018 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 6 Avances del Capítulo III, Tutorías

10/12/2018 14/12/2018 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 7 Avances y Corrección del Capítulo III, Tutorías

17/12/2018 21/12/2018 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 8 Culminación del Capítulo III, Tutorías

26/12/2018 28/12/2018 2 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 9 Corrección del Capítulo III e Inicio del Capítulo IV, Tutorías

02/01/2019 04/01/2019 2 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 10 Avances del Capítulo IV, Tutorías

07/01/2019 11/01/2019 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 11 Avances y Correcciones del Capítulo IV, Tutorías

14/01/2019 18/01/2019 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Actividad 12 Corrección del Capítulo IV

21/01/2019 25/01/2019 4 Ma. Luisa Cansing

Ing. Francisco Álvarez

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

70

Figura No. 35 Listado de Actividades

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

71

Análisis de Riesgo

En esta fase se anexan las pruebas de ataque hombre en el medio, fuerza

bruta a los equipos de enrutamiento, a continuación, se presenta lo

siguiente.

En este caso se anexan las capturas de paquetes que transmiten los

routers que forman parte de una red MPLS.

Captura de paquetes del Router R1

Figura No. 36 Captura de paquetes del Router R1

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Captura de paquetes del Router R2

Figura No. 37 Captura de Paquetes del Router R2

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

72

Captura de paquetes del Router R3

Figura No. 38 Captura de Paquetes del Router R3

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Captura de paquetes del Router R4

Figura No. 39 Captura de Paquetes del Router R4

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

73

Escaneo de puertos al Router Mikrotik

Para realizar un ataque de fuerza bruta en un router Mikrotik se realiza un

escaneo de puertos por medio del comando NMAP.

Figura No. 40 Escaneo de Puertos al Router Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Una vez realizado el escaneo de puertos por medio de la herramienta

NMAP se procede a realizar el ataque de fuerza bruta vía FTP, SSH y

Telnet.

Figura No. 41 Ataque de fuerza bruta vía FTP

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

74

Figura No. 42 Ataque de Fuerza Bruta vía Telnet

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 43 Ataque de fuerza bruta vía SSH

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Después de haber tenido la contraseña del Router Mikrotik y se accede al

dispositivo desde un navegador web.

75

Figura No. 44 Ingreso de las credenciales en el Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 45 Acceso al Router Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

76

Análisis de la red con PRTG

En este caso se realiza un análisis del PING por medio de la herramienta

PRTG.

Figura No. 46 Análisis del PING

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 47 Reporte del PING

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

77

Figura No. 48 Análisis del PING mediante graficas

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Análisis de la red por medio de Nessus Mediante el análisis de vulnerabilidades por medio de Nessus al router

Mikrotik se demuestra los siguientes fallos de seguridad en el dispositivo

analizado tal como se demuestra en el grafico No. 50, No. 51 y No. 53.

Figura No. 49 Inicio de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

78

Figura No. 50 Reporte de Vulnerabilidades en el Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 51 Reporte de Vulnerabilidades Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

79

Figura No. 52 Escaneo de Puertos en Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 53 Ataque de Fuerza Bruta por medio de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Gestión de Riesgos

En la fase de gestión de riesgos de la metodología MAGERIT se detalla en

un cuadro los controles basados en la ISO 27001 seguridad de la

información.

80

Tabla No. 15 Controles ISO 27001 Seguridad de la información Número

de

control

Control Descripción del Control

A.6.1.1

Funciones y

responsabilidades de la

seguridad de la información

Se debe definir y asignar todas las

responsabilidades de la seguridad

de la información

A.6.1.5 Seguridad de la información

en la gestión del proyecto

La seguridad de la información

debe adaptarse a la gestión del

proyecto independientemente del

tipo de proyecto

A.7.2.2

Concientización, educación y

capacitación sobre la

seguridad de la información

Todos los trabajadores de la

organización y los contratistas, si

así lo requiriesen, deben recibir

una adecuada educación de

concientización y capacitación, así

como actualizaciones regulares

sobre las políticas y

procedimientos organizacionales

de acuerdo a las funciones de

trabajo que desempeñen

A.8.2.1 Clasificación de la

información

La información debe ser clasificada

en términos de los requisitos y

valores legales, siendo crítica y

sensible ante la divulgación y

modificación no autorizada

A.9.1.1 Política de control de acceso

Se debe establecer, documentar y

revisar la política de control del

acceso en base a los requisitos del

negocio y de la seguridad de la

información

A.9.1.2 Acceso a las redes y a los

servicios de las redes

Los usuarios deben tener acceso

únicamente a la red o a los

81

servicios de red a los que han sido

autorizados a usar

A.12.6.1 Gestión de las

vulnerabilidades técnicas

Se debe obtener de manera

oportuna, información sobre las

vulnerabilidades técnicas de los

sistemas de la información a ser

utilizados; evaluar la exposición de

la organización a dichas

vulnerabilidades y tomar las

medidas adecuadas para manejar

los riesgos asociados

A.12.7.1

Controles de la auditoría

sobre los sistemas de

información

Se debe planificar cuidadosamente

los requisitos y actividades de la

auditoría que involucren la

verificación de los sistemas

operacionales; y acordar minimizar

las alteraciones a los procesos del

negocio

A.13.1.1 Controles en las redes

Se debe administrar y controlar las

redes para proteger la información

de los sistemas y las aplicaciones

A.13.1.2 Seguridad de los servicios de

las redes

Se debe identificar los mecanismos

de seguridad, los niveles del

servicio y los requisitos de todos

los servicios de redes e incluirlos

en los acuerdos de servicios de

redes ya sea que los servicios

sean proporcionados por la misma

organización o por un tercero

A.13.1.3 Segregación en las redes

Se debe segregar grupos de

servicios de información, usuarios

y sistemas de información

82

A.13.2.1

Políticas y procedimientos de

la transferencia de la

información

Se debe dar lugar a las políticas,

procedimientos y controles

formales de transferencia a través

del uso de todo tipo de equipos de

comunicación.

A.18.2.2

Cumplimiento de las políticas

y normas de seguridad de la

información

Los gerentes deben revisar

regularmente el cumplimiento de

los procedimientos y del

procesamiento de la información

dentro de su área de

responsabilidad, de acuerdo a las

políticas, normas de seguridad

adecuadas y a los otros requisitos

de seguridad

A.18.2.3 Revisión del cumplimiento

técnico

Se debe revisar regularmente los

sistemas de la información con

respecto al cumplimiento de las

políticas y normas de seguridad de

la información de la organización

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Listas de control de Acceso

En este caso se procede a configurar las listas de control de acceso en los

Routers utilizando el simulador Cisco-Packet Tracert como se muestra en

los gráficos No. 54 y 55.

Figura No. 54 Access-List configurada en los Routers

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

83

Figura No. 55 Denegación de Servicios a través de Access-List

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Seguridad en el Mikrotik

En este proceso se bloquean los puertos que permiten a los atacantes

acceder al router a través de una intrusión de fuerza bruta.

Figura No. 56 Bloqueo de Puertos

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

A través del escaneo de puertos por medio de la herramienta NMAP se

observa que ha sido resuelto el problema de seguridad que presento el

router Mikrotik.

84

Figura No. 57 Resultados del bloqueo de puertos

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

En este proceso se asignan las reglas de Firewall al router Mikrotik para

disminuir los índices de riesgos y amenazas a la red de datos.

Figura No. 58 Reglas de Firewall Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing Una vez creadas las reglas de Firewall en el Mikrotik se las puede visualizar en la

sección de IP del mismo router.

85

Figura No. 59 Reglas de Firewall

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

En este caso se verifica actividad de bloqueo de puertos en el router

Mikrotik.

Figura No. 60 Procesos del bloqueo de puertos

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Una vez aplicadas las reglas de Firewall en el router Mikrotik se realiza un

escaneo de puertos a la dirección IP del mismo se demuestra que la regla

ha sido efectiva.

86

Figura No. 61 Resultados de las reglas de Firewall

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

ENTREGABLES DEL PROYECTO

Los entregables del proyecto son los siguientes:

Preguntas de encuestas VER ANEXO I.

Configuraciones de los dispositivos de enrutamiento VER ANEXO II.

Recomendaciones de seguridad informática basadas en la norma

ISO 27001.

Carta de Juicio de Experto VER ANEXO III

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA

Para la validación del proyecto de titulación se tomó en consideración el

criterio de juicio de experto, además, de la investigación de campo que se

emplea para recabar información utilizando técnicas de recolección de

datos como la encuesta que se encuentra dirigida a personas con

conocimientos de informática con el objetivo de demostrar el máximo nivel

de aceptabilidad de la propuesta tecnológica llegando a que las empresas

tomen en cuenta este proyecto para evaluar la seguridad de sus

dispositivos de comunicación de capa de red.

87

En caso del juicio de experto se estableció un dialogo con el Ing. Christian

Picón perito en el área de redes y seguridad donde el indica que la

propuesta tecnológica presenta los recursos necesarios para una

implementación a largo plazo. Además, se detalla que este proyecto es de

gran ayuda para la mayoría de las compañías ubicadas en la ciudad de

Guayaquil debido a que algunas de estas no poseen conocimiento de las

vulnerabilidades expuestas en los equipos de enrutamiento.

PROCESAMIENTO Y ANÁLISIS

Para dar inicio al proceso de recolección de datos se tomó en consideración

la técnica de investigación de campo la encuesta que se la realizo a un total

de 60 personas del área de redes y seguridad informática.

Procesos de la encuesta

Planteamiento total de 10 preguntas.

Gráficos de pastel y barra para la tabulación de los resultados.

Selección de la herramienta Google Form para el desarrollo de las

encuestas.

Total, de encuestados 60 personas.

88

Análisis de las encuestas

1. ¿Considera usted que es de vital importancia invertir en

seguridad informática en base a la información que maneja la

organización?

Figura No. 62 Respuesta de la Pregunta 1

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 78.3% de las

personas encuestadas consideran de vital importancia invertir en

seguridad informática en base a la información que maneja la

organización.

89

2. ¿Usted como empresa ha sufrido algún ataque cibernético

que haya logrado comprometer su información?

Tabla No. 16 Pregunta 2

Alternativas Cantidad Porcentaje

Si 26 43.3%

No 22 36.7%

Desconozco 12 20%

Total 60 100%

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 63 Porcentaje de Respuesta de la Pregunta 2

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 43.3% de las

personas encuestadas han recibido algún ataque informático.

90

3. ¿En qué estándar de seguridad de la información usted se basa

para la implementación de controles en su red de datos?

Tabla No. 17 Pregunta 3

Alternativas Cantidad Porcentaje

ISO 31 52.5%

COBIT 7 11.9%

PCI 4 6.8%

Ninguna de las

anteriores 17 28.8%

Total 60 100%

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 64 Porcentaje de Respuesta de la Pregunta 3

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 52.5% de las

personas encuestadas se basan en el estándar de seguridad informática

ISO para implementar controles en su red de datos.

91

4. ¿Estaría usted interesado en realizar una auditoría de seguridad

informática en sus equipos de enrutamiento tales como Routers

y Switches Multicapa?

Tabla No. 18 Pregunta 4

Alternativas Cantidad Porcentaje

Si 52 86.7%

No 2 3.3%

Indiferente 6 10%

Total 60 100%

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 65 Porcentaje de Respuesta de la Pregunta 4

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 86.7% de las

personas están de acuerdo en realizar una auditoría de seguridad

informática en sus Routers y Switches Multicapa.

92

5. ¿Usted cuenta con dispositivos de seguridad informática

dentro de su organización?

Tabla No. 19 Pregunta 5

Alternativas Cantidad Porcentaje

Si, especifique cuales: 39 65%

No 8 13.3%

Indiferente 13 21.70%

Total 60 100%

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 66 Porcentaje de Respuesta de la Pregunta 5

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 67 Respuesta de la Pregunta 5

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 65% de las personas

encuestadas cuentan con dispositivos de seguridad informática dentro de la organización.

93

6. ¿Usted tiene definido planes de contingencia para casos de

incidentes de seguridad?

Tabla No. 20 Pregunta 6

Alternativas Cantidad Porcentaje

Si, especifique cuales: 60 100%

No 0 0%

Indiferente 0 0%

Total 60 100%

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 68 Porcentaje de Respuesta de la Pregunta 6

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 100% de las

personas encuestadas poseen planes de contingencia.

94

7. Si su respuesta fue si en la pregunta anterior, seleccione los

siguientes planes de contingencia para casos de incidentes de

seguridad.

Figura No. 69 Respuesta de la Pregunta 7

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 46.7% de las

personas encuestadas tienen como plan de contingencia realizar

copias de seguridad informática en archivos y base de datos.

95

8. ¿En su empresa poseen un departamento de ciberseguridad

para la protección de los activos de información?

Tabla No. 21 Pregunta 8

Alternativas Cantidad Porcentaje

Si 20 33.3%

No 37 61.7%

No, es necesario 3 5%

Total 60 100%

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 70 Porcentaje de Respuesta de la Pregunta 8

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 61.7% de las

personas encuestadas no poseen un departamento de Ciberseguridad en

su organización.

96

9. ¿Cree usted que con la aplicación de mecanismos de seguridad

propios de los equipos de comunicación Multicapa su red de

datos estaría protegida?

Tabla No. 22 Pregunta 9

Alternativas Cantidad Porcentaje

Si, especifique cuales: 37 63.80%

No 14 24.10%

Indiferente 7 12.10%

Total 60 100%

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Figura No. 71 Porcentaje de Respuesta de la Pregunta 9

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 63.80% de las personas encuestadas cree

que en la implementación de los equipos de comunicación Multicapa su red de datos estaría

protegida.

Figura No. 72 Pregunta 9

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

97

10. ¿Considera usted importante actualizar los FIRMWARE de sus

dispositivos de enrutamiento proporcionando de esta manera

las medidas de protección adecuadas?

Figura No. 73 Pregunta 10

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Análisis: Durante la encuesta realizada se verifico que el 61.70% de las

personas encuestadas consideran importante actualizar los FIRMWARE de

sus dispositivos de enrutamiento proporcionando medidas de protección

adecuadas.

98

CAPÍTULO IV

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO

Tabla No. 23 Matriz de Aceptación del Producto

CRITERIOS O ALCANCES CUMPLE NO

CUMPLE INDIFERENTE

Configuración de la red de

datos en GNS3 para capturar

paquetes a través de un ataque

hombre en el medio

✔

Escaneo de puertos en el

Router Mikrotik y acceso al

mismo vía FTP

✔

Monitoreo de las interfaces de

red y ancho de banda ✔

Escaneo de vulnerabilidades

con NESSUS ✔

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

CONCLUSIONES

Por medio de un levantamiento de información sobre los dispositivos

de capa de red se verifico que algunos de los fabricantes no realizan

actualizaciones constantes en estos equipos exponiéndolos a

cualquier ataque informático provocando que en algunas empresas

su productividad se vea afectada.

Mediante la realización de pruebas de test de intrusión a través de

plataformas Linux se determinó que los dispositivos de capa de red

son vulnerables a intrusiones de fuerza bruta por medio de los

99

puertos 21 (FTP), 22 (SSH) y 23 (TELNET) ya que en algunos de los

fabricantes estos puertos se encuentran habilitados.

A través de una tabla comparativa basada en la ISO 27001 se

dictaminan controles que son de gran ayuda para mitigar los riesgos

que se pueden perpetuar en una red de datos y que a su vez

provocan daños en la confidencialidad, integridad y disponibilidad de

la información.

Mediante un informe de Auditoría de Seguridad Informática se

detallan los resultados obtenidos en el test de intrusión y se

establece un análisis de que medidas de protección se deben de

llevar a cabo para mantener la red de datos altamente segura

aumentando los niveles de dificultad de acceso ilícito.

Los equipos de capa de red del modelo OSI adaptables a

implementar medidas de seguridad son los routers ya que estos

poseen funciones de Firewall donde se les puede aplicar reglas de

seguridad en base a bloqueo de conexiones no autorizadas, proxy,

re direccionamiento de servidores y filtrado de puertos.

RECOMENDACIONES

Verificar constantemente las actualizaciones que se les puede

aplicar a los dispositivos de capa de red para parchar posibles

vulnerabilidades y que estas no sean una puerta de acceso a piratas

informáticos que tienen como objetivo provocar daños en la

información.

Realizar pruebas de test de intrusión para conocer el estado de

seguridad de la red actual con el objetivo de robustecer dicha red

evitando de esta manera que sea blanco de intrusiones maliciosas.

100

Diseñar tablas de políticas y controles de seguridad basados en la

norma ISO 27001 para armar planes de contingencia que permitan

disminuir incidentes de seguridad.

Establecer informes sobre cada vulnerabilidad y riesgo detectado

para asignar medidas de protección que sean de gran ayuda con el

objetivo de controlar los riesgos y amenazas expuestas en la red de

datos aumentando de esta manera los niveles de seguridad de la

información.

Implementar routers como Firewall con el objetivo de disminuir

costos de adquisición de equipos de seguridad informática ya que

estos cumplen con la función de asignar reglas de seguridad,

bloqueo de puertos y servidor proxy.

101

BIBLIOGRAFÍA Agudelo Salazar, A. (2015). Plan de respuesta a un incidente de malware

en nuestra organización, 1–6. CARRIEL, Á. R., & PESANTES, F. C. (2015). ANÁLISIS Y DETECCIÓN DE

VULNERABILIDADES EN LOS SERVIDORES PÚBLICOS DEL CENTRO DE CÓMPUTO DE LA EMPRESA INTERMEDIARIA DE VENTAS UTILIZANDO LA METODOLOGÍA INTERNACIONAL OSSTMM.

Carvajal, C. (2015). Extracción de reglas de clasificación sobre repositorio

de incidentes de seguridad informática mediante programación genética Extracting.

Castellanos, I. R. (2012). HUB O CONCENTRADOR. CISCO. (2013). Introducción a EIGRP. Cisneros, Caiza, M. y V. (2017). Implementación de un prototipo como

sistema detector de intrusos para ataques dirigidos al protocolo IPv6 Implementation of a prototype as an intrusion detector system for attacks directed to the IPv6 protocol, 3, 9–16.

D., M. (2018). El hacker de la vulnerabilidad 200, 00 de MikroTik Router

inyecta Crypto Mining Malware. Retrieved from https://www.linkedin.com/pulse/mikrotik-routeros-vulnerability-hacker-inject-crypto-mining-darmandi

Domínguez, Maya, P. y C. (2016). Aplicación de Técnicas de Fuerza Bruta

con Diccionario de Datos , para vulnerar servicios con métodos de autenticación simple “ Contraseñas ”, pruebas de concepto con software libre y su, (December).

ECURED. (2018a). CAPA 3. Retrieved from

https://www.ecured.cu/Capa_de_red ECURED. (2018b). TOPOLOGÍA BUS, ANILLO Y ESTRELLA. Retrieved from https://www.ecured.cu/Topología_de_bus Fuertes, W., Rodas, F., & Toscano, D. (2013). Evaluación de ataques UDP

Flood utilizando escenarios virtuales como plataforma experimental UDP Inundation Attacks ’ Evaluation , Using Virtual Environment as an Experimental Platform, 20(31), 37–53.

102

HERNANDEZ, S. y S. (2017). Sistema inteligente para validar una lista de control de acceso (ACL) en una red de comunicaciones, 1(2), 24–31.

IBM. (2017). OSPF. Retrieved from

https://www.ibm.com/support/knowledgecenter/es/ssw_ibm_i_73/rzajw/rzajwospf.htm

JAEN, U. de. (2018). Guias de seguridad uja. Movistar, T. (2016). Iptables , herramienta para controlar el tráfico de un

servidor. PARRA, E. Y.-M. (2017). “ANÁLISIS DE VULNERABILIDADES EN LA

INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN.”

PÁRRAGA, C. L. A. C. J. A. P. (2018). IMPLEMENTACION DE UN

LABORATORIO DE SEGURIDAD DE INFORMATICA PARA LA REALIZACION DE TECNICAS DE ATAQUE Y DEFENSA (PENTESTING) EN UN AMBIENTE REAL CONTROLADO, UTILIZANDO UNA DISTRIBUCION DE KALI LINUX DENTRO DE LA EMPRESA INDUSTRIAL SIDERURGICA ANDEC S.A. .

Robinson, A. (2018). Hackers infectan 500,000 routers en todo el mundo.

Retrieved from https://www.cnet.com/es/noticias/hackers-infectan-500000-routers-en-

todo-el-mundo-malware/ Santos, Y. (2017). Introducción de una Prueba de Penetración, (February). Sulbaran, Y. (2013). EVALUACIÓN DE LOS DISPOSITIVOS A NIVEL DE

LA CAPA 2, 3 y 4 DEL MODELO OSI. Toranzo, F. R., Antonio, J., & Rivas, R. (2018). Redes de área local. TORO, A. (2018). PROPUESTA DE DISEÑO DE RED CONSIDERANDO

LA PROTECCION DE ACTIVOS LOGICOS PARA EL COLEGIO PARTICULAR “SAN AGUSTIN” DE LA CIUDAD DE GUAYAQUIL.

Valverde, B. (2016). ANÁLISIS COMPARATIVO DE LOS PROTOCOLOS

DE ENRUTAMIENTO DINÁMICO DE UNA RED DE TRANSPORTE PARA LA UNIVERSIDAD DE GUAYAQUIL.

103

ANEXOS

Anexo I: Preguntas de Encuesta

Figura No. 74 Preguntas de Encuestas I

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 75 Preguntas de Encuestas II

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 76 Preguntas de Encuesta III

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 77 Preguntas de Encuestas IV

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 78 Preguntas de Encuestas V

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 79 Preguntas de Encuestas VI

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Anexo II: Configuraciones de los dispositivos de enrutamiento

Figura No. 80 Topología de Red del Escenario I

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Configuraciones del Router R1

Figura No. 81 Configuraciones de las Interfaces de R1

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Configuración del Protocolo de Enrutamiento OSPF en R1

Figura No. 82 Protocolo de Enrutamiento OSPF en R1

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Interfaces MPLS en R1 Figura No. 83 Interfaces MPLS en R1

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Tablas MPLS en R1

Figura No. 84 Tabla de Vecinos MPLS

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 85 Tabla MPLS LDP

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Configuración del Protocolo de Enrutamiento OSPF en R2

Figura No. 86 Protocolo OSPF en R2

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Interfaces MPLS en R2

Figura No. 87 Interfaces MPLS en R2

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Tablas MPLS en R2

Figura No. 88 Tabla de etiquetas MPLS en R2

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 89 Tabla MPLS LDP en R2

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Tablas MPLS en R3

Figura No. 90 Tabla MPLS de Vecinos

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 91 Tabla de Etiquetas MPLS

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 92 Interfaces MPLS

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Tablas MPLS en R4

Figura No. 93 Tabla de Vecinos MPLS en R4

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 94 Tabla de Etiquetas MPLS en R4

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 95 Interfaces MPLS en R4

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 96 Tabla MPLS LDP en R4

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Enrutamiento OSPF en R4

Figura No. 97 Enrutamiento OSPF en R4

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Anexo III: Configuración del Router Mikrotik

En este caso se accede a la pantalla principal del Winbox para dar inicio

con las configuraciones del Mikrotik.

Figura No. 98 Inicio de Configuración del Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Una vez accedida a la pantalla del Mikrotik se dirige a la opción IP Address

y se asigna una IP al Router Mikrotik.

Figura No. 99 Asignación de una IP al Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Después de asignar la IP al Mikrotik se verifica que realmente este

configurada. Además, se asigna una IP al host cliente.

Figura No. 100 Verificación de la IP en el Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 101 Asignación de una IP al Host

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Una vez asignadas las direcciones IP en el host y en el Router Mikrotik se

procede a realizar las respectivas pruebas de conectividad a través del

comando PING.

Figura No. 102 Conectividad al Router Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 103 Conectividad al Host

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 104 Servicios levantados en el Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

En este caso se procede a configurar una contraseña en el router Mikrotik

Figura No. 105 Configuración de Password

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Anexo IV: Configuración de una dirección IP al Kali Linux y conectividad

del Router Mikrotik.

Figura No. 106 Configuración de la dirección IP del Kali Linux

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 107 Configuración de la puerta de enlace en Kali Linux

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Una vez configurada la dirección IP en el Kali Linux se procede a probar

conectividad con el Router Mikrotik

Figura No. 108 Conectividad del Router Mikrotik con el Kali Linux

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Anexo IV: Carta de juicio de experto

Figura No. 109 Carta de Juicio de Experto

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Anexo V: Informe de Auditoría de Seguridad Informática

Tabla No. 24 Informe de Auditoría de Seguridad Informática

REPORTE DE VULNERABILIDADES

Encargada de la Auditoría: María Luisa Cansing Saltos Ciudad o Cantón: Guayaquil

Amenaza Vulnerabilidades

Encontradas Gravedad

Dispositivos

Afectados

Tipo de

Vulnerabilidad

Soluciones

Provisionales

Fuerza Bruta Puertos 21, 22 y 23 abiertos

(FTP, TELNET y SSH) ALTO Router Mikrotik Fuerza Bruta

Bloqueo de los puertos y

del escaneo de

vulnerabilidades a través

del Firewall Mikrotik.

Monitoreo de la red

Acceso a la red de forma

pasiva a través de

herramientas de análisis de

tráfico

MEDIA Router Cisco Hombre en el Medio

Implementación de listas

de control de acceso en la

red de datos.

Contraseña de

longitud corta

configurada en el

Router Mikrotik

Contraseña de longitud corta

configurada en el Router

Mikrotik

ALTA Router Mikrotik Fuerza Bruta

Asignación de contraseñas

con caracteres

alfanuméricos y de longitud

larga.

Fuente: Trabajo de Investigación Autora: María Luisa Cansing

Anexo VI: Instalación de Nessus

Figura No. 110 Instalación de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 111 Inicio del Servicio de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 112 Inicio de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 113 Ingreso de las Credenciales de Root en Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 114 Ingreso del Código de Activación de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 115 Inicialización de Plugins de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 116 Plugins compilados completamente

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 117 Inicio de Nessus

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Anexo VII: Parámetros NMAP

Figura No. 118 Escaneo del Sistema Operativo

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 119 Versión de los servicios de Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing Anexo VIII: Acceso al Mikrotik mediante SSH En este caso se accede al MIKROTIK mediante el puerto SSH para verificar

las configuraciones del equipo tal como se demuestra en los gráficos No.

120, 121, 122, 123, 124, 125, 126, 127, 128 y 129

Figura No. 120 Acceso al Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 121 Verificación de la IP en el Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 122 Verificación de las Interfaces de Red Instaladas

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 123 Verificar direcciones MAC

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 124 Verificación de comandos de Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 125 Comandos de Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 126 Listado de Comandos en Mikrotik

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 127 Políticas de Firewall

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 128 Políticas de Firewall

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing

Figura No. 129 Políticas de Seguridad

Fuente: Trabajo de Investigación

Autora: María Luisa Cansing