Seguridad de Redes — Apuntes completos (basado en 08-Network-Security.pdf) Summary & Study Notes

🗂️ Origen y contexto

Descripción: Estos apuntes se elaboran a partir del PDF indicado y resumen los conceptos clave de Seguridad en Redes: propiedades esenciales, vectores de ataque, principios de seguridad, mecanismos defensivos y criptografía.

📌 Agenda y fundamentos

El material cubre qué es la seguridad, las propiedades fundamentales (Confidencialidad, Integridad, Disponibilidad), principios de diseño seguro, ataques fundamentales, y mecanismos de protección: criptografía, autenticación, integridad de mensajes, distribución de claves, firewalls e IDS/IPS.

🔐 Propiedades esenciales (CIA)

• Confidencialidad: sólo el emisor y el receptor deben entender el contenido; se logra cifrando los datos.
• Integridad: garantizar que los datos no han sido alterados sin detección.
• Disponibilidad: los servicios deben estar accesibles cuando los usuarios los requieran.

🧭 Otros objetivos de seguridad

• Autenticación: confirmar la identidad de las partes.
• No repudio: firmezas y acuerdos sobre acciones realizadas.

⚖️ Principios fundamentales de diseño seguro

• Economía de mecanismo (simplicidad): menos complejidad reduce errores y superficie de ataque.
• Fail-safe defaults: denegar por defecto, permitir explícitamente.
• Mediación completa: cada acceso debe verificarse.
• Principio de menor autoridad (POLA): dar sólo los privilegios necesarios.
• Separación de privilegios y mínimos mecanismos comunes: aislar funciones entre dominios.
• Diseño abierto (Kerckhoffs): la seguridad no debe depender del secreto del diseño.
• Aceptabilidad psicológica: mecanismos usables y comprensibles.

🕵️ Fundamentos de los ataques

Las etapas típicas de un atacante incluyen:

• Reconocimiento: cartografiar redes, servicios, topología.
• Escaneo de puertos: conexiones completas, half-open (SYN scan), X-mas, etc.
• Sniffing / Snoop: captura de tráfico, especialmente fácil en medios broadcast (Wi-Fi).
• Suplantación (spoofing): falsificar direcciones (IP, MAC, SMTP, ARP).
• Disrupción (DoS/DDoS): inundación, ataques de complejidad algorítmica, explotación de fallos.

🔬 Técnicas de sniffing y MITM en redes conmutadas

• Los switches pueden ser atacados por MAC cloning, MAC flooding (forzar modo broadcast) y ARP spoofing/poisoning para montar un Man-in-the-Middle (MITM).
• En el MITM el atacante intercepta y reenvía frames para permanecer indetectado.

🌐 Spoofing más allá del enlace

• DNS spoofing / cache poisoning: enviar respuestas UDP falsificadas; ataques tipo birthday (muchas peticiones + muchas respuestas con diferentes IDs) y Kaminsky (envenenamiento por zona) explotan la predicción de campos como el ID de consulta y puerto origen.
• TCP spoofing e hijacking: ataques complejos que requieren adivinar o manipular números de secuencia (ISN), a veces combinados con DoS o ARP poisoning para desincronizar conexiones. Existen ataques off-path que son side-channels sobre estado compartido global.

⚡ Ataques a disponibilidad (DoS/DDoS)

• SYN flooding: crear muchas conexiones medio abiertas; contramedida: SYN cookies (no guardar estado hasta completar handshake).
• Reflection y amplification: aprovechar servicios UDP públicos (DNS, NTP) para reflectar tráfico hacia la víctima y amplificar el volumen (factor de amplificación en bytes/paquetes).
• Defensas: egress/ingress filtering, bloqueo cerca de la fuente, capacidad de reserva, soluciones cloud (scrubbing), WAF, BGP blackholing y rerouting.

🛡️ Firewalls y DMZ

• El firewall actúa como filtro de paquetes, inspeccionando tráfico según reglas. Modelos: stateless (simple) y stateful (rastrea conexiones).
• DMZ: zona desmilitarizada donde se colocan servidores accesibles desde Internet.
• Application-level gateways: inspección profunda (peeking en capas superiores); rompen el modelo de capas y pueden ser frágiles.
• Defensa en profundidad: usar múltiples capas (p. ej. perímetro + firewalls internos + firewalls por host).

🕵️ IDS vs IPS

• HIDS: agente en el host; NIDS: sensor en la red.
• Detección basada en firmas (conocidas) vs anomalías (comportamiento inesperado).
• IPS: detecta y bloquea (glorificado firewall).
• Métricas críticas: Precisión (P) = TP/(TP+FP), Recall (R) = TP/(TP+FN), F-measure = 2PR/(P+R), Accuracy = (TP+TN)/total. Hay trade-offs entre falsos positivos y falsos negativos.

🔑 Criptografía: conceptos básicos

• Dos familias: clave simétrica (misma clave para cifrar/descifrar) y clave pública (clave pública para cifrar, clave privada para descifrar).
• Reglas prácticas: incluir redundancia en mensajes y mecanismos para asegurar frescura (prevenir replay).
• Notación: $C = E_K(P)$ y $P = D_K(C)$ con $D_K(E_K(P)) = P$.

🔁 Cifrado simétrico y ejemplos

• Elementos básicos: S-boxes (sustitución) y P-boxes (permutación). Los cifrados en bloque combinan múltiples rondas (product ciphers).
• Cifrado por sustitución: análisis por frecuencia; ataques estadísticos.
• Cifrado por transposición: reordena letras; se detecta porque frecuencias se mantienen.
• One-time pad: seguridad perfecta si la clave es verdaderamente aleatoria, tan larga como el mensaje, y usada una sola vez; impráctico en muchos escenarios.

⚛️ Criptografía cuántica (BB84)

• Protocolo BB84 usa polarización de fotones y bases rectilíneas/diagonales para distribuir claves cuánticas.
• Bob mide en bases aleatorias; Alice y Bob comparan bases por un canal público para quedarse con los bits donde coinciden.
• Presencia de un intruso (Trudy) introduce errores detectables; técnicas como privacy amplification reducen la información que el atacante pudo haber obtenido.

🔐 Estándares y modos de operación

• DES: clave de 56 bits (obsoleto por tamaño de clave); variantes: 3DES (más seguro, más lento).
• AES (Rijndael): bloques y claves de 128/192/256 bits; rondas según tamaño; eficiente en HW y SW.
• Modos de operación para cifrados por bloque: ECB (malo para patrones repetidos), CBC (encadena bloques usando IV), CFB (feedback para cifrado por bytes), stream (convertir bloque en flujo para minimizar efecto de errores).
• Problemas prácticos: en ECB bloques iguales producen textos cifrados iguales (filtrado de patrones), CBC necesita bloque completo antes de descifrar, etc.

✅ Resumen práctico y recomendaciones

• Aplicar defensa en profundidad: filtrado de perímetro, segmentación (DMZ), IDS/IPS, control de acceso y cifrado fuerte.
• En redes internas, mitigar ARP poisoning, usar DHCP/ARP hardening, y monitorizar tráfico para detección temprana.
• Para servicios expuestos, proteger contra reflexión/amplificación (bloquear fuentes spoofed, cerrar servicios UDP innecesarios) y usar proveedores de mitigación DDoS.
• Usar AES y modos adecuados (p. ej. CBC con IV aleatorio y MAC/AEAD) y proteger gestión de claves.

Estos apuntes condensan los conceptos centrales del capítulo sobre seguridad de redes; sirven como base para repasar ataques, principios de diseño y contramedidas operacionales.

📝 Petición del usuario (contexto)

Entrada: "hazme un examen sobre el contenido de ese pdf". A partir de esa solicitud, se generaron estos apuntes para preparar preguntas de examen y repaso.

🔎 Alcance de los apuntes generados

Los apuntes cubren los temas que deberían figurar en un examen: propiedades CIA, modelos y principios de seguridad, vectores y técnicas de ataque (sniffing, spoofing, ARP/DNS/TCP, DoS/DDoS), defensas (firewalls, IDS/IPS, métricas) y criptografía (simétrica, asimétrica, AES/DES, modos, OTP, BB84).

🎯 Sugerencia para preparar un examen

Estudiar cada sección clave (principios, ataques, defensas, criptografía), entender ejemplos prácticos (SYN flood, ARP spoofing, DNS poisoning, Kaminsky), y practicar análisis de escenarios: identificar la propiedad comprometida (confidencialidad/integridad/disponibilidad), vectores usados y contramedidas aplicables.

Estos puntos resumen la petición original y justifican la estructura de los apuntes principales.