Scribd Logo
Importer

Bienvenue sur Scribd !

  • Capitulo 1 Ccna Security

    Transféré par

    Tys Virtualstore
    138 vues35 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    DOC, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    138 vues35 pages

    Capitulo 1 Ccna Security

    Transféré par

    Tys Virtualstore

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 35

    CAPITULO 1 Amenazas modernas a la seguridad de las redes..

    1.0 Introduccin al capitulo


    La seguridad de las redes es ahora una parte integral de las redes informticas. Incluye protocolos, tecnologas, dispositivos, herramientas y tcnicas que aseguran los datos y reducen las amenazas. Las soluciones de seguridad en redes surgieron en los aos 1 !" pero no se convirtieron en un con#unto e$haustivo de soluciones para redes modernas hasta el principio del nuevo milenio. La mayor motivaci%n de la seguridad en redes es el esfuerzo por mantenerse un paso ms adelante de los hac&ers malintencionados. 'el mismo modo que los mdicos intentan prevenir nuevas enfermedades tratando pro(lemas e$istentes, los profesionales de la seguridad en redes intentan prevenir ataques minimizando los efectos de los ataques en tiempo real. La continuidad de los negocios es otro factor impulsor de la seguridad en redes. )e han creado organizaciones de seguridad en redes para esta(lecer comunidades formales de profesionales de la seguridad en redes. *stas organizaciones esta(lecen estndares, fomentan la cola(oraci%n y proveen oportunidades de desarrollo para los profesionales de la seguridad. *s importante que los profesionales de la seguridad en redes estn al tanto de los recursos provistos por estas organizaciones. La comple#idad de la seguridad en redes dificulta dominar todo lo que sta a(arca. +arias organizaciones han creado dominios que su(dividen el mundo de la seguridad en redes en pedazos ms fcilmente mane#a(les. *sta divisi%n facilita a los profesionales concentrarse en reas ms precisas de especializaci%n en su educaci%n, investigaci%n y

    tra(a#o. Las polticas de seguridad en redes son creadas por empresas y organizaciones gu(ernamentales para proveer un marco para que los empleados sigan en su tra(a#o diario. Los profesionales de la seguridad en redes de nivel administrativo son responsa(les de crear y mantener la poltica de seguridad de red. ,odas las prcticas de seguridad en redes estn relacionadas con y guiadas por la poltica de seguridad en redes. ,al como la seguridad en redes est compuesta de dominios, los ataques a las redes son clasificados para hacer ms fcil el aprender de ellos y a(ordarlos apropiadamente. Los virus, los gusanos y los troyanos son tipos especficos de ataques a las redes. -s generalmente, los ataques a las redes se clasifican como de reconocimiento, de acceso o de 'enegaci%n de )ervicio. -itigar los ataques a las redes es el tra(a#o del profesional de seguridad en redes. *n este captulo, el alumno dominar la teora su(yacente de la seguridad en redes, cuya comprensi%n es necesaria antes de profundizar en una prctica de seguridad en redes. .qu se presentan los mtodos de mitigaci%n de ataques de red, y el resto del curso comprende la implementaci%n de estos mtodos. /na prctica de la(oratorio para el captulo, 0erramientas de auditora de seguridad e investigaci%n de ataques de red, guiar al alumno en cuanto a herramientas de auditora de seguridad e investigaci%n de ataques de red. La prctica de la(oratorio se encuentra en el manual de la(oratorio en .cademy 1onnection en cisco.netacad.net.

    1.1 Principios fundamentales de una red segura. 1.1.1 E olucin de la seguridad en redes.
    *n #ulio de 2""1, el gusano 1ode 3ed atac% servidores 4e( glo(almente, infectando a ms de 56".""" hosts. *l gusano no solo interrumpi% el acceso a los servidores infectados, sino que tam(in afect% las redes locales que alo#a(an los servidores, volvindolas muy lentas o inutiliza(les. *l gusano 1ode 3ed caus% una 'enegaci%n de )ervicio 7'o)8 a millones de usuarios. )i los profesionales de seguridad en redes responsa(les de los servidores infectados por el gusano hu(ieran desarrollado e implementado una poltica de seguridad, se ha(ran aplicado parches de seguridad a tiempo. *l gusano 1ode 3ed ha(ra sido detenido y solo ameritara una nota al pie en la historia de la seguridad en redes. La seguridad en redes est directamente relacionada con la continuidad de los negocios de una organizaci%n. /na (recha en la seguridad de la red puede afectar al e9comercio, causar la prdida de datos, amenazar la privacidad de las personas 7con potenciales

    consecuencias legales8, y comprometer la integridad de la informaci%n. *stas vulnera(ilidades pueden resultar en prdidas de ingresos para las compaas, ro(o de propiedad intelectual, demandas e incluso puede amenazar la seguridad p:(lica. -antener una red segura garantiza la seguridad de los usuarios de la red y protege los intereses comerciales. *sto requiere vigilancia de parte de los profesionales de seguridad en redes de la organizaci%n, quienes de(ern estar constantemente al tanto de las nuevas y evolucionadas amenazas y ataques a las redes, as como tam(in de las vulnera(ilidades de los dispositivos y aplicaciones. *sta informaci%n se utiliza para adaptar, desarrollar e implementar tcnicas de mitigaci%n. )in em(argo, la seguridad de la red es, en :ltima instancia, responsa(ilidad de todos los que la usan. ;or esta raz%n, es tra(a#o del profesional de seguridad en redes asegurarse de que todos los usuarios reci(an capacitaci%n so(re concientizaci%n en seguridad. -antener la red segura y protegida ofrece un am(iente de tra(a#o ms esta(le y funcional para todos. <La necesidad es la madre de todos los inventos<. *ste dicho se aplica perfectamente a la seguridad en redes. 1uando surgi% Internet, los intereses comerciales eran insignificantes. La gran mayora de los usuarios eran e$pertos en investigaci%n y desarrollo. Los primeros usuarios raramente se involucra(an en actividades que pudieran daar a los otros usuarios. Internet no era un am(iente seguro porque no necesita(a serlo. *n el comienzo, el prop%sito de las redes era conectar a la gente y a sus mquinas a travs medios de comunicaci%n. *l tra(a#o de un tcnico de redes era conectar dispositivos para me#orar la ha(ilidad de las personas de comunicar informaci%n e ideas. Los primeros usuarios de Internet no pasa(an mucho tiempo pensando si sus actividades en lnea podan amenazar la seguridad de su red o de sus propios datos. 1uando los primeros virus se desataron y tom% lugar el primer ataque de 'o), el mundo cam(i% para los profesionales de redes. ;ara satisfacer las necesidades de los usuarios, los profesionales de redes aprendieron tcnicas para asegurar a sus redes. *l o(#etivo primordial de los profesionales de redes evolucion% de disear, construir y hacer crecer redes a asegurar redes e$istentes. 0oy en da, Internet es una red muy diferente a la que era en sus comienzos en los aos 1 !". *l tra(a#o de un profesional de redes incluye asegurarse de que el personal apropiado est muy versado en herramientas, procesos, tcnicas, protocolos y tecnologas de seguridad en redes. *s crtico que los profesionales de seguridad en redes mantengan una paranoia saluda(le para mane#ar la colecci%n de amenazas a las redes en constante evoluci%n.

    . medida que la seguridad en redes se convirti% en una parte integral de las operaciones diarias, fueron surgiendo dispositivos dedicados a funciones particulares de la seguridad en redes. /na de las primeras herramientas de seguridad de redes fue el sistema de detecci%n de intrusos 7I')8, desarrollado por )3I International en 1 =>. /n I') provee detecci%n en tiempo real de ciertos tipos de ataques mientras estn en progreso. *sta detecci%n permite a los profesionales de redes mitigar ms rpidamente el impacto negativo de estos ataques en los dispositivos de red y los usuarios. . fines de los aos 1 ", el sistema o sensor de prevenci%n de intrusos 7I;)8 comenz% a reemplazar a la soluci%n I'). Los dispositivos I;) permiten detectar actividad maliciosa y tiene la ha(ilidad de (loquear el ataque automticamente en tiempo real. .dems de las soluciones I;) e I'), se desarrollaron los fire4alls para prevenir que trfico no deseado ingresara a ciertas reas sealadas dentro de una red, proporcionando seguridad de permetro. *n 1 ==, 'igital *quipment 1orporation 7'*18 cre% el primer fire4all de red en la forma de un filtro de paquetes. *stos primeros fire4alls inspecciona(an los paquetes para verificar que se correspondieran con con#untos de reglas predefinidas, con la opci%n de for4ardearlos o descartarlos. Los fire4alls de filtrado de paquetes inspeccionan cada paquete aisladamente sin e$aminar si es parte de una cone$i%n e$istente. *n 1 = , .,?, @ell La(oratories desarroll% el primer fire4all de estados 7stateful8. 1omo los fire4alls de filtrado de paquetes, los fire4alls de estados utilizan reglas predefinidas para permitir o denegar trfico. . diferencia de los fire4alls de filtrado de paquetes, los fire4alls de estados hacen seguimiento de las cone$iones esta(lecidas y determinan si un paquete pertenece a un flu#o de datos e$istente, ofreciendo mayor seguridad y procesamiento ms rpido. Los fire4alls originales eran prestaciones de soft4are agregadas a dispositivos de red e$istentes, como routers. 1on el tiempo, varias empresas desarrollaron fire4alls dedicados o aut%nomos, que permiten a los routers y s4itches li(erar la memoria y el procesador de la intensiva actividad de filtrar paquetes. ;ara las organizaciones que no requieren un fire4all dedicado, los routers modernos, como el 3outer de )ervicios Integrados 1isco 7I)38, pueden ser utilizados como sofisticados fire4alls de estados. .dems de encargarse de amenazas que provienen de afuera de la red, los profesionales de redes de(en tam(in estar preparados para amenazas que provengan desde adentro de la misma. Las amenazas internas, ya sean intencionales o accidentales, pueden causar a:n ms dao que las amenazas e$ternas, por el acceso directo y conocimiento de la red y datos corporativos. . pesar de este hecho, el desarrollo de herramientas y tcnicas

    para mitigar amenazas internas ha tardado ms de 2" aos luego de la introducci%n de herramientas y tcnicas para mitigar amenazas e$ternas. /n caso com:n de una amenaza que se origina desde dentro de una red es el de un empleado descontento con ciertas ha(ilidades tcnicas y voluntad de hacer dao. La mayora de las amenazas desde dentro de la red revelan los protocolos y tecnologas utilizados en la red de rea local 7L.A8 o la infraestructura s4itcheada. *stas amenazas internas caen, (sicamente, en dos categorasB falsificaci%n y 'o). Los ataques de falsificaci%n son ataques en los que un dispositivo intenta hacerse pasar por otro falsificando datos. ;or e#emplo, la falsificaci%n de direcciones -.1 ocurre cuando una computadora envia paquetes de datos cuya direcci%n -.1 corresponde a otra computadora que no es la propia. 1omo ste, e$isten otros tipos de ataques de falsificaci%n. Los ataques de 'o) hacen que los recursos de una computadora no estn disponi(les para los usuarios a los que esta(an destinados. Los hac&ers usan varios mtodos para lanzar ataques de 'o). 1omo profesional de seguridad en redes, es importante entender los mtodos diseados especficamente para apuntar a estos tipos de amenazas y asegurar la seguridad de la L.A. .dems de prevenir y denegar trfico malicioso, la seguridad en redes tam(in requiere que los datos se mantengan protegidos. La criptografa, el estudio y prctica de ocultar informaci%n, es ampliamente utilizada en la seguridad de redes moderna. 0oy en da, cada tipo de comunicaci%n de red tiene un protocolo o tecnologa correspondiente, diseado para ocultar esa comunicaci%n de cualquier otro que no sea el usuario al que est destinada. Los datos inalm(ricos pueden ser cifrados 7ocultados8 utilizando varias aplicaciones de criptografa. )e puede cifrar una conversaci%n entre dos usuarios de telfonos I; y tam(in pueden ocultarse con criptografa los archivos de una computadora. *stos son solo algunos e#emplos. La criptografa puede ser utilizada en casi cualquier comunicaci%n de datos. 'e hecho, la tedencia apunta a que todas las comunicaciones sean cifradas. La criptografa asegura la confidencialidad de los datos, que es uno de los tres componentes de la seguridad de la informaci%nB confidencialidad, integridad y disponi(ilidad. La seguridad de la informaci%n comprende la protecci%n de la informaci%n y de los sistemas de informaci%n de acceso, uso, revelaci%n, interrupci%n, modificaci%n o destrucci%n no autorizados.

    *l cifrado provee confidencialidad al ocultar los datos en te$to plano. La integridad de los datos, es decir, el hecho de que los datos sean preservados sin alteraciones durante una operaci%n, se mantiene a travs del uso de mecanismos de hashing. La disponi(ilidad, que es la accesi(ilidad a los datos, est garantizada por los mecanismos de net4or& hardening y sistemas de resguardo de datos.

    1.1.! Impulsores de la seguridad en redes


    La pala(ra hac&ers tiene una variedad de significados. ;ara muchos, significa programadores de Internet que intentan ganar acceso no autorizado a dispositivos en Internet. ,am(in se usa para referirse a individuos que corren programas para prevenir o reducir la velocidad del acceso a las redes por parte de un gran n:mero de usuarios, o corromper o eliminar los datos de los servidores. ;ero para otros, el trmino hac&er tiene una interpretaci%n positiva como un profesional de redes que utiliza ha(ilidades de programaci%n de Internet sofisticadas para asegurarse de que las redes no sean vulnera(les a ataques. @ueno o malo, el hac&ing es una fuerza impulsora de la seguridad en redes. 'esde una perspectiva de negocios, es importante minimizar los efectos de los hac&ers con malas intenciones. Los negocios pierden productividad cuando la red es lenta o no responde. Las ganancias se ven impactadas por la prdida y la corrupci%n de datos. *l tra(a#o del profesional de seguridad en redes es el de estar siempre un paso ms adelante que los hac&ers tomando capacitaciones, participando en organizaciones de seguridad, suscri(indose a canales 4e( 7feeds8 en tiempo real so(re amenazas y visitando sitios 4e( de seguridad diariamente. *l profesional de seguridad en redes tam(in de(e tener acceso a herramientas de seguridad, protocolos, tcnicas y tecnologas de :ltima generaci%n. Los profesionales de la seguridad en redes tienen que tener muchas de las cualidades que se (uscan en el personal de policaB de(en mantenerse al tanto de actividades maliciosas y tener las ha(ilidades y herramientas para minimizar o eliminar las amenazas asociadas con esas actividades. *l hac&ing tiene el efecto accidental de poner a los profesionales de la seguridad en redes al frente en cuanto a posi(ilidades de empleo y remuneraci%n. )in em(argo, en relaci%n con otras profesiones tecnol%gicas, la seguridad en redes tiene la curva de aprendiza#e ms empinada y la mayor demanda de participaci%n constante en desarrollo profesional. *l hac&ing comenz% en la dcada de 1 !" con el phone frea&ing, o phrea&ing, que se refiere al hecho de usar varias frecuencias de radio para manipular los sistemas de telfono. *l phrea&ing comenz% cuando .,?, comenz% a incluir conmutadores

    automticos en sus sistemas telef%nicos. Los conmutadores telef%nicos de .,?, utiliza(an muchos tonos, o marcaci%n por tonos, para indicar diferentes funciones, como el marcado y la terminaci%n de una llamada. .lgunos clientes de .,?, se percataron de que, imitando un tono usando un sil(ato, podan e$plotar los conmutadores telef%nicos para efectuar llamadas a larga distancia gratuitas. . medida que los sistemas de comunicaci%n evolucionaron, los mtodos de hac&ing los fueron siguiendo. *l 4ardialing se populariz% en la dcada de 1 =" con el uso de modems de computadora. Los programas de 4ardialing escanea(an automticamente los n:meros telef%nicos de un rea, marcando cada uno en (:squeda de computadoras, sistemas de ta(l%n de anuncios 7(ulletin (oard systems8 y mquinas de fa$. 1uando se encontra(a un n:mero de telfono, se usa(an programas de crac&ing de contraseas para acceder. *l 4ardriving comenz% en la dcada de 1 " y es popular aun hoy. 1on el 4ardriving, los usuarios acceden sin autorizaci%n a las redes por medio de access points inalm(ricos. *sto se logra en usando un medio de transporte y una computadora o ;'. con acceso inalm(rico. Los programas de pass4ord crac&ing se usan para identificarse, si es necesario, e incluso hay soft4are para descifrar el esquema de cifrado requerido para asociarse al access point. Ctras amenazas han evolucionado desde los aos 1 !", incluyendo herramientas de escaneo como Amap y ).,.A, as como herramientas de hac&ing de administraci%n de sistemas remotos como @ac& Crifice. Los profesionales de la seguridad en redes de(en estar familiarizados con todas estas herramientas. 'iariamente, se transfieren (illones de d%lares a travs de Internet, y el sustento de millones depende del comercio en Internet. ;or esta raz%n, las leyes criminales e$isten para proteger a los individuos y a los (ienes de las empresas. 0ay numerosos casos de individuos que han tenido que enfrentarse al sistema #udicial a causa de estas leyes. *l primer virus por correo electr%nico, el virus -elissa, fue escrito por 'avid )mith de .(erdeen, Ae4 Dersey. *ste virus result% en overflo4s de memoria en servidores de mail de Internet. 'avid )mith fue sentenciado a 2" meses de prisi%n federal y una multa de 6""" d%lares. 3o(ert -orris cre% el primer gusano de Internet con lneas de c%digo. 1uando sali% el gusano -orris, 1"E de los sistemas de Internet se detuvieron. 3o(ert -orris fue acusado y reci(i% tres aos de li(ertad condicional, >"" horas de tra(a#os comunitarios y una multa de 1"""" d%lares. /no de los hac&ers de Internet ms famosos, Fevin -itnic&, fue a prisi%n por cuatro

    aos por hac&ear cuentas de tar#etas de crdito a principios de los aos 1

    ".

    )ea el ataque va spam, un virus, 'o) o simplemente una entrada forzosa a una cuenta, cuando la creatividad de los hac&ers es utilizada para fines maliciosos, generalmente aca(an en prisi%n, pagando grandes multas y perdiendo acceso al mismo am(iente que veneran. 1omo resultado de los e$ploits de los hac&ers, la sofisticaci%n de sus herramientas y la legislaci%n gu(ernamental, las soluciones de seguridad se desarrollaron rpidamente en los aos 1 ". . fines de esa dcada se ha(an desarrollado muchas soluciones sofisticadas para la seguridad de las redes para que las organizaciones desplegaran estratgicamente en sus redes. 1on estas soluciones llegaron nuevas oportunidades de tra(a#o y me#or compensaci%n en el campo de la seguridad en redes. Los ingresos anuales del profesional de la seguridad en redes estn entre los me#ores de las carreras profesionales en tecnologas por la profundidad y amplitud de conocimientos requeridos. Los profesionales de la seguridad en redes de(en actualizar constanteente sus ha(ilidades para mantenerse por encima de las :ltimas amenazas. *l desafo de ganar y mantener el conocimiento necesario generalmente se traduce en una escasez de profesionales de la seguridad en redes. Los profesionales de la seguridad en redes son responsa(les de mantener la seguridad de los datos de una organizaci%n y garantizar la integridad y confidencialidad de la informaci%n. /n profesional de la seguridad en redes puede ser responsa(le de montar fire4alls y sistemas de prevenci%n de intrusos, as como tam(in de asegurar el cifrado de los datos de la compaa. Implementar esquemas de autenticaci%n dentro de una empresa tam(in es una tarea importante. *l tra(a#o implica mantener historiales detallados de actividad sospechosa en la red para usarla para reprender y procesar infractores. 1omo un profesional de la seguridad en redes, tam(in es importante mantener una familiaridad con las organizaciones de seguridad en redes. *stas organizaciones generalmente tienen la informaci%n ms actualizada so(re amenazas y vulnera(ilidades.

    1.1." Organizaciones de seguridad en redes.


    Los profesionales de la seguridad en redes de(en cola(orar con colegas profesionales ms frecuentemente que en la mayora de las otras profesiones. *sto incluye asistir a 4or&shops y conferencias que generalmente estn asociadas con, patrocinadas u organizadas por organizaciones tecnol%gicas locales, nacionales o internacionales. ,res de las organizaciones de seguridad en redes me#or esta(lecidas sonB )ys.dmin, .udit, Aet4or&, )ecurity 7).A)8 Institute

    1omputer *mergency 3esponse ,eam 71*3,8 International Information )ystems )ecurity 1ertification 1onsortium 77I)182 se dice <I)9 19squared< en ingls8 *$isten varias otras organizaciones de seguridad en redes que tam(in son importantes para los profesionales de la seguridad en redes. Info)ys)ec es una organizaci%n de seguridad en redes que alo#a un portal de novedades de seguridad, proporcionando las :ltimas novedades en cuanto a alertas, e$ploits y vulnera(ilidades. La -itre 1orporation mantiene una lista de las vulnera(ilidades y e$posiciones comunes 71+*8, utilizada por organizaciones de seguridad de redes de gran prestigio. GI3), es una organizaci%n de seguridad que re:ne una variedad de equipos de respuesta a incidentes de seguridad de organizaciones gu(ernamentales, comerciales y educativas, para fomentar la cooperaci%n y coordinaci%n en el intercam(io de informaci%n, la prevenci%n de incidentes y la rpida reacci%n. Ginalmente, el 1enter for Internet )ecurity 71I)8 es un emprendimiento sin fines de lucro que desarrolla puntos de referencia en la configuraci%n de la seguridad a travs de consensos glo(ales para reducir el riesgo de interrupciones en los negocios y el comercio electr%nico. ).A) se esta(leci% en 1 = como una organizaci%n cooperativa de investigaci%n y educaci%n. *l o(#etivo de ).A) es la capacitaci%n y certificaci%n en seguridad de la informaci%n. ).A) desarrolla documentos de investigaci%n so(re varios aspectos de la seguridad de la informaci%n. /n gran rango de individuos, desde auditores y administradores de red hasta directores de seguridad de la informaci%n comparten lecciones aprendidas y soluciones a varios desafos. *n el n:cleo de ).A) estn los practicantes de la seguridad en varias organizaciones glo(ales, desde empresas hasta universidades, tra(a#ando #untos para ayudar a toda la comunidad de la seguridad de la informaci%n. Los recursos de ).A) son mayormente accesi(les (a#o solicitud. *sto incluye el popular Internet )torm 1enter, el sistema de advertencias tempranas de InternetH Ae4s@ites, la pu(licaci%n semanal de noticiasH I3I)F, la pu(licaci%n semanal de vulnera(ilidadesH alertas de seguridad inmediatas y ms de 12"" papers de investigaci%n original que han ganado premios. ).A) desarrolla cursos de seguridad que pueden ser tomados para prepararse para la 1ertificaci%n Jlo(al de )eguridad de la Informaci%n 7Jlo(al Information .ssurance 1ertification 9 JI.18 en auditora, administraci%n, operaciones, asuntos legales, administraci%n de seguridad y seguridad de soft4are. JI.1 certifica las ha(ilidades de los profesionales de la seguridad, que van desde la seguridad de la informaci%n de nivel

    de entrada hasta reas de avanzada como auditora, detecci%n de intrusos, mane#o de incidentes, fire4alls y protecci%n de permetro, perita#e de datos, tcnicas de hac&ing, seguridad de sistemas operativos /AIK y Lindo4s y codificaci%n de aplicaciones y soft4are segura. *l 1*3, es parte del )oft4are *ngineering Institute 7)*I8 en 1arnegie -ellon /niversity, financiado por el go(ierno de los *stados /nidos. *l 1*3, fue creado para tra(a#ar con la comunidad de Internet para detectar y resolver incidentes de seguridad en las computadoras. *l gusano -orris motiv% la formaci%n del 1*3, (a#o la directiva de la 'efense .dvanced 3esearch ;ro#ects .gency 7'.3;.8. *l 1*3, 1oordination 1enter 71*3,M118 tiene por o(#etivo coordinar la comunicaci%n entre los e$pertos durante emergencias de seguridad para ayudar a prevenir futuros accidentes. *l 1*3, responde a incidentes de seguridad serios y analiza las vulnera(ilidades de los productos. *l 1*3, tra(a#a para administrar los cam(ios relacionados con tcnicas progresivas de intrusi%n y con las dificultades en detectar ataques y atrapar a los atacantes. *l 1*3, desarrolla y pomueve el uso de prcticas de administraci%n de sistemas y tecnologas apropiadas para resistir ataques en sistemas en red, para limitar el dao y para garantizar la continuidad de los servicios. *l 1*3, se ocupa de cinco reasB aseguramiento del soft4are, sistemas seguros, seguridad en las organizaciones, respuesta coordinada y educaci%n y capacitaci%n. *l 1*3, difunde informaci%n pu(licando artculos, reportes tcnicos y de investigaci%n y papers en una variedad de temas de seguridad. *l 1*3, tra(a#a con los medios de noticias para crear conciencia so(re los riesgos de Internet y los pasos que los usuarios pueden tomar para protegerse. *l 1*3, tra(a#a on otras organizaciones tecnol%gicas importantes como GI3), e I*,G, para incrementar el compromiso con la seguridad y la ro(ustez. *L 1*3, tam(in aconse#a a las organizaciones del go(ierno de los *stados /nidos, como el Aational ,hreat .ssessment 1enter, el Aational )ecurity 1ouncil, y el 0omeland )ecurity 1ouncil. 7I)182 provee productos y servicios educativos independientes del proveedor en ms de 156 pases. )u mem(resa incluye !"""" profesionales certificados de la industria en todo el mundo. La misi%n de 7I)182 es hacer del ci(ermundo un lugar seguro elevando la seguridad de la informaci%n al dominio p:(lico y soportando y desarrollando profesionales de la seguridad de la informaci%n en todo el mundo. 7I)182 desarrolla el 7I)182 1ommon @ody of Fno4ledge 71@F8. *l 1@F define los estndares glo(ales de la industria, sirviendo como un marco com:n de trminos y

    principios so(re los cuales estn (asadas las credenciales 7I)182. *l 1@F permite a los profesionales de todo el mundo discutir, de(atir y resolver temas pertinentes al campo. 7I)182 es reconocido universalmente por sus cuatro certificaciones de seguridad de la informaci%n, incluyendo una de las certificaciones ms populares en la profesi%n de seguridad en redes, el 1ertified Information )ystems )ecurity ;rofessional 71I));8. *stas credenciales ayudan a garantizar que los empleadores con empleados certificados mantengan la seguridad de los activos e infraestructuras de informaci%n. 7I)182 promueve la e$celencia al mane#ar amenazas de seguridad a travs de sus programas de capacitaci%n y certificaci%n. 1omo miem(ros, las personas tienen acceso a oportunidades de socializaci%n e informaci%n actual de la industria :nicas a esta red de profesionales certificados de la seguridad de la informaci%n. .dems de los sitios 4e( de las organizaciones de seguridad, una de las herramientas ms :tiles para los profesionales de la seguridad en redes es la de los feeds 3eally )imple )yndication 73))8. 3)) es una familia de formatos (asados en K-L utilizados para pu(licar informaci%n frecuentemente actualizada, como entradas de (logs, noticias, audio y video. 3)) utiliza un formato estandarizado. /n canal 3)) incluye te$to completo o resumido y metadatos, como fechas de pu(licaci%n y autoras. 3)) (eneficia a los profesionales que deseen suscri(irse a actualizaciones que lleguen en tiempo y forma de sitios 4e( particulares o agregar canales de varios sitios a un solo lugar. Los canales 3)) pueden ser leidos utilizando un lector 3)) (asado en 4e(, tpicamente incrustado en un navegador 4e(. *l soft4are del lector 3)) revisa regularmente los canales a los que el usuario est suscripto, (uscando nuevas actualizaciones, y provee una interfaz para monitorear y leer los canales. .l utilizar 3)), el profesional de la seguridad en redes puede adquirir informaci%n actualizada diariamente y #untar informaci%n de amenazas en tiempo real para repasar en cualquier otro momento. ;or e#emplo, la pgina 4e( /)91*3, 1urrent .ctivity es un resumen actualizado regularmente que incluye los tipos de incidentes de seguridad ms frecuentes y de mayor impacto que se reportan al /)91*3,. )e encuentra disponi(le un canal 3)) de solo te$to en httpBMM444.us9cert.govMcurrentMinde$.rdf. *ste canal reporta a toda hora del da o la noche, con informaci%n relacionada con conse#os de seguridad, estafas por correo electr%nico, vulnera(ilidades en el resguardo de datos, mal4are que se propaga a travs de redes sociales y otras amenazas potenciales.

    1.1.# $ominios de la seguridad en redes

    *s vital que los profesionales de la seguridad en redes entiendan los motivos de la misma y se familiaricen con las organizaciones dedicadas a sta. ,am(in es importante entender los varios dominios de la seguridad en redes. Los dominios proveen un marco organizado para facilitar el aprendiza#e so(re la seguridad en redes. *$isten 12 dominios de seguridad en redes especificados por la International Crganization for )tandardization 7I)C8MInternational *lectrotechnical 1ommission 7I*18. 'escriptos por I)CMI*1 2N""2, estos 12 dominios sirven para organizar a alto nivel el vasto reino de la informaci%n (a#o el paraguas de la seguridad en redes. *stos dominios tienen algunos paralelismos significativos con los dominios definidos por la certificaci%n 1I));. Los 12 dominios estn diseados para servir como (ase com:n para desarrollar los estndares de seguridad en las organizaciones y las prctidas de admiinistraci%n de seguridad efectiva, as como tam(in para ayudar a construir una confianza en las actividades que toman lugar dentro de la organizaci%n.

    Los 12 dominios de la seguridad en redes proveen una separaci%n conveniente para los elementos de la seguridad en redes. .unque no es importante memorizarlos, es importante estar al tanto de su e$istencia y declaraci%n formal de parte de la I)C. *stos 12 dominios sirven como referencia :til para avanzar en el tra(a#o como profesional de la seguridad en redes. /no de los dominios ms importantes es el de las polticas de seguridad. /na poltica de seguridad es una declaraci%n formal de las reglas a las cuales de(ern atender las personas que tienen acceso a los (ienes tecnol%gicos y de informaci%n de una organizaci%n. La conceptualizaci%n, el desarrollo y la aplicaci%n de una poltica de seguridad tienen un rol significativo en mantener a la organizaci%n segura. *s responsa(ilidad del profesional de la seguridad en redes hacer cumplir las polticas de seguridad en todos los aspectos de las operaciones de negocios en la organizaci%n.

    1.1.6 ;olticas de seguridad en redes


    La poltica de seguridad en redes es un documento amplio diseado para ser claramente aplica(le a las operaciones de una organizaci%n. La poltica se utiliza para asistir en el diseo de la red, transmitir principios de seguridad y facilitar el despliegue de la red. La poltica de seguridad en redes traza las reglas de acceso a la red, determina c%mo se harn cumplir las polticas y descri(e la arquitectura (sica del am(iente (sico de seguridad de la informaci%n de la empresa. *l documento generalmente consta de varias pginas. ;or su amplitud de co(ertura e impacto, generalmente es un comit el que lo compila. *s un documento comple#o que est diseado para go(ernar temas como acceso a los datos, navegaci%n en la 4e(, uso de las contraseas, criptografa y ad#untos de correo electr%nico. /na poltica de seguridad de(er mantener a los usuarios malintencionados le#os y tener control so(re usuarios potencialmente peligrosos. .ntes de crear una poltica de(e entenderse qu servicios estn disponi(les a cules usuarios. La poltica de seguridad de red esta(lece una #erarqua de permisos de acceso y da a los empleados solo el acceso mnimo necesario para realizar sus tareas. La poltica de seguridad de la red esta(lece cules (ienes de(en ser protegidos y da pautas so(re c%mo de(en ser protegidos. *sto ser luego usado para determinar los dispositivos de seguridad y las estrategias y procedimientos de mitigaci%n que de(ern ser implementados en la red. /na 3ed .utodefensiva de 1isco 71isco )elf9'efending Aet4or& 9 )'A8 utiliza la red para identificar, prevenir y adaptarse a las amenazas. . diferencia de estrategias de

    soluci%n puntuales, en las cuales se compran los productos individualmente sin considereaci%n de cules productos tra(a#an me#or #untos, un enfoque (asado en la red es un enfoque estratgico que est a la altura de los desafos actuales y evoluciona para cu(rir las nuevas necesidades de seguridad. /n )'A de 1isco comienza con una plataforma fuerte, segura y fle$i(le so(re la cual se construye la soluci%n de seguridad. /na topologa )'A de 1isco incluye un .dministrador de )eguridad de 1isco 71isco )ecurity -anager8, un )istema de 3espuesta, .nlisis y -onitoreo 7-onitoring, .nalysis, and 3esponse )ystem 9 -.3)8, uno o ms I;), uno o ms fire4alls, varios routers y concentradores +;A. .lgunos de estos pueden aparecer como (lades en un s4itch 1atalyst !6"" o como m%dulos en un 3outer de )ervicios Integrados 7Integrated )ervices 3outer 9 I)38, quizs incluso como soft4are instalado en servidores o como dispositivos aut%nomos. *l ;ortfolio de )eguridad Integrado de 1isco ha sido diseado para satisfacer los requerimientos y diversos modelos de despliegue de cualquier red y cualquier am(iente. 0ay muchos productos disponi(les para atender a estas necesidades. La mayora de los clientes no adopta todos los componentes del )'A de 1isco de una sola vez. ;or esta raz%n el )'A de 1isco proporciona productos que pueden ser desplegados independientemente y soluciones que pueden enlazar estos productos entre ellos a medida que aumenta la confianza en cada producto y su(sistema. Los elementos de un enfoque de )'A de 1isco pueden integrarse a una poltica de seguridad de redes. .l potenciar el enfoque )'A de 1isco creando y enmendando la poltica de seguridad, puede contri(uirse a crear una estructura #errquica en el documento. .unque la poltica de seguridad de(era ser e$haustiva, tam(in de(e ser lo suficientemente suscinta como para ser utiliza(le por los profesionales de la tecnologa en la organizaci%n. /no de los pasos ms importantes al crear una poltica es el de indentificar los (ienes crticos. *stos pueden incluir (ases de datos, aplicaciones vitales, informaci%n de clientes y empleados, informaci%n comercial clasificada, discos compartidos, servidores de correo electr%nico y servidores 4e(. La poltica de seguridad es un con#unto de o(#etivos para la compaa, reglas de comportamiento para los usuarios y administradores y requerimientos para sistemas y la administraci%n que asegure colectivamente la seguridad de los sistemas informticos y la red de una organizaci%n. *s un <documento vivo< en el sentido de que el documento

    nunca est terminado y continuamente se actualiza a medida que cam(ian los requerimientos de tecnologa, negocios y empleados.

    1.2. +irus, gusanos y troyanos

    1.2.1 +irus
    Las principales vulnera(ilidades de las computadoras de los usuarios finales son los ataques de virus, gusanos y troyanosB /n virus es un soft4are malicioso que se ad#unta a otro programa para e#ecutar una funci%n indeseada especfica en una computadora. /n gusano e#ecuta c%digo ar(itrario e instala copias de s mismo en la memoria de la computadora infectada, que luego infecta a otros hosts. /n troyano es una aplicaci%n escrita para parecerse a otra cosa. 1uando se descarga y e#ecuta un troyano, ataca a la computadora del usuario final desde dentro. ,radicionalmente, el trmino virus se refiere a un organismo infeccioso que requiere de una clula husped para crecer y multiplicarse. /n estudiande de la /niversidad de 1alifornia del )ur llamado Grederic& 1ohen sugiri% el trmino <virus de computadora< en 1 =5. /n virus de computadora, al que llamaremos virus en el resto de este curso, es un programa que puede copiarse a s mismo e infectar una computadora sin el conocimiento del usuario. /n virus es c%digo malicioso que se ad#unta a archivos e#ecuta(les o programas legtimos. La mayora de los virus requiere una activaci%n de parte del usuario final y puede permanecer inactivo por largos perodos de tiempo y luego activarse en una fecha u hora especfica. /n virus simple puede instalarse en la primera lnea de c%digo en un archivo e#ecuta(le. /na vez activado, el virus puede (uscar en el disco otros e#ecuta(les para infectar todos los archivos que a:n no hayan sido infectados. Los virus pueden ser inofensivos, como aquellos que muestran una imagen en la pantalla, pero tam(in pueden ser destructivos, como aquellos que modifican o eliminan los archivos del disco rgido. Los virus tam(in pueden ser programados para mutar con el prop%sito de evitar su detecci%n. *n aos anteriores, los virus generalmente eran diseminados a travs de floppy dis&s y m%dems. 0oy en da, la mayora de los virus se pasan a travs de pendrives, 1's, '+'s, redes compartidas o correo electr%nico. Los virus por correo electr%nico son actualmente el tipo ms com:n de virus.

    1.2.2 Jusanos

    Jusanos Los gusanos son un tipo de c%digo hostil particularmente peligroso. )e multiplican e$plotando vulnera(ilidades en las redes independientemente. Los gusanos generalmente hacen que las redes operen ms lentamente. -ientras que los virus requieren un programa husped para e#ecutarse, los gusanos pueden e#ecutarse solos. Ao requieren la participaci%n del usuario y pueden diseminarse muy rpidamente en la red. Los gusanos son responsa(les de algunos de los ataques ms devastadores de Internet. ;or e#emplo, el )OL )lammer Lorm de enero de 2""5 hizo que el trfico glo(al de Internet fuera ms lento como resultado de un ataque de 'enegaci%n de )ervicio. -s de 26",""" hosts fueron afectados en los primeros 5" minutos. *l gusano e$plot% una vulnera(ilidad de des(ordamiento de (uffer en el servidor )OL de -icrosoft. )e ha(a lanzado un parche para esta vulnera(ilidad a mediados de 2""2, por lo que los servidores que fueron afectados eran aquellos que no ha(an descargado la actualizaci%n que contena el parche. *ste es un (uen e#emplo de por qu es tan importante que la poltica de seguridad de la organizaci%n e$i#a actualizaciones y parches oportunos para los sistemas operativos y aplicaciones. . pesar de las tcnicas de mitigaci%n que han surgido en los :ltimos aos, los gusanos han continuado en su evoluci%n gracias a Internet, y todava representan una amenaza. .unque los gusanos se han vuelto sofisticados con el tiempo, todava tienden a estar (asados en la e$plotaci%n de vulnera(ilidades en las aplicaciones de soft4are. La mayora de los ataques de gusanos tiene tres componentes principalesB /na vulnera(ilidad ha(ilitante 9 Los gusanos se instalan utilizando un mecanismo de e$plotaci%n 7ad#unto de correo electr%nico, archivo e#ecuta(le, troyano8 en un sistema vulnera(le.

    )istema de propagaci%n9 Luego de acceder a un dispositivo, el gusano se mmultiplica y localiza nuevos o(#etivos. 1arga 9 1ualquier c%digo malicioso que resulta en alguna acci%n. La mayora de las veces esto se usa para crear una puerta trasera en el host infectado. Los gusanos son programas autocontenidos que atacan a un sistema para e$plotar una vulnera(ilidad conocida. Luego de una e$plotaci%n e$itosa, el gusano se copia del host atacante al sistema recientemente e$plotado y el ciclo vuelve a comenzar. .l e$plorar los principales ataques de gusanos y virus de los :ltimos 2" aos se vuelve evidente que las varias fases de los mtodos de ataque empleados por los hac&ers son en general similares. 0ay cinco fases (sicas de ataque, ya sea un virus o un gusano el que se contagie. %ase de e&ploracin 9 )e identifican los o(#etivos vulnera(les. )e (uscan computadoras que puedan ser e$plotadas. )e usan escaneos de ping de ;rotocolo de -ensa#es de 1ontrol de Internet 7Internet 1ontrol -essage ;rotocol 9 I1-;8 para hacer mapas de la red. Luego la aplicaci%n escanea e identifica sistemas operativos y soft4are vulnera(le. Los hac&ers pueden o(tener contraseas utilizando ingenera social, ataques de diccionario, ataques de fuera (ruta o sniffing de redes. %ase de penetracin 9 )e transfiere c%digo de e$plotaci%n al o(#etivo vulnera(le. )e (usca e#ecutar el c%digo de e$plotaci%n a travs de un vector de ataque como un des(ordamiento de (uffer, vulnera(ilidades de .ctiveK o Interfaz de *ntrada 1om:n 71ommon Jate4ay Interface 9 1JI8 o un virus de correo electr%nico. %ase de persistencia 9 Luego de que el ataque haya sido e$itosamente lanzado en la memoria, el c%digo trata de persistir en el sistema vctima. *l o(#etivo es asegurar que el c%digo atacante est e#ecutndose y disponi(le al atacante incluso si el sistema se reinicia. *sto se logra modificando archivos del sistema, efectuando cam(ios en el registro e instalando nuevo c%digo. %ase de propagacin 9 *l atacante intenta e$tender el ataque a otros o(#etivos (uscando mquinas vecinas vulnera(les. Los vectores de propagaci%n incluyen mandar copias del ataque por correo electr%nico a otros sistemas, su(ir archivos a otros sistemas utilizando servicios de G,; o de compartici%n de archivos, cone$iones 4e( activas y transferencias de archivos a travs del Internet 3elay 1hat 7I318. %ase de paralizacin 9 )e hace dao real al sistema. )e pueden (orar archivos, el sistema puede colapsar, se puede ro(ar informaci%n y se pueden lanzar ataques distri(uidos de 'o) 7''o)8. Las cinco fases (sicas de ataque permiten a los e$pertos de seguridad descri(ir a los

    virus y gusanos convenientemente de acuerdo a su mecanismo de implementaci%n particular para cada fase. *sto facilita la categorizaci%n de los virus y los gusanos. Los virus y los gusanos son dos mtodos de ataque. Ctro mtodo es el troyano, que impulsa a los virus o gusanos con el elemento agregado de hacerse pasar por un programa (enigno.

    1.2.5 ,royanos
    ,royano *l trmino troyano proviene de la mitologa griega. Los guerreros griegos ofrecieron al pue(lo de ,roya 7troyanos8 un ca(allo gigante hueco como regalo. Los troyanos llevaron el ca(allo gigante adentro de su ciudad amurallada, sin sosechar que ste contena muchos guerreros griegos. 'urante la noche, cuando la mayora de los troyanos dorma, los guerreros salieron del ca(allo y tomaron la ciudad. /n troyano, en el mundo de la computaci%n, es mal4are que realiza operaciones maliciosas (a#o el disfraz de una funci%n deseada. /n virus o gusano puede llevar consigo un troyano. Los troyanos contienen c%digo malicioso oculto que e$plota los privilegios del usuario que lo e#ecuta. Los #uegos suelen llevar un troyano ad#unto. 1uando el #uego se est e#ecutando, funciona, pero, en segundo plano, el troyano ha sido instalado en el sistema del usuario y contin:a e#ecutndose luego de que el #uego ha sido cerrado. *l concepto de troyano es fle$i(le. ;uede causar dao inmediato, proveer acceso remoto

    al sistema 7una puerta trasera8, o llevar a ca(o acciones instrudas remotamente, como <envame el archivo de la contrasea una vez por semana<. Los troyanos personalizados, como aquellos que tienen un o(#etivo especfico, son difciles de detectar. Los troyanos generalmente se clasifican de acuerdo al dao que causan o la manera en que violan el sistemaB ,royanos de acceso remoto 7permiten el acceso remoto no autorizado8 ,royano de envo de datos 7provee al atacante de datos sensi(les como contraseas8 ,royano destructivo 7corrompe o elimina archivos8 ,royano pro$y 7la computadora del usuario funciona como un servidor pro$y8 ,royano G,; 7a(re el puerto 218 ,royano inha(ilitador de soft4are de seguridad 7detiene el funcionamiento de programas antivirus yMo fire4alls8 ,royano de denegaci%n de servicio 7reduce la velocidad o detiene la actividad en la red8

    1.2.> -itigaci%n de virus, gusanos y troyanos


    La mayora de las vulnera(ilidades descu(iertas en el soft4are tienen relaci%n con el des(ordamiento del (uffer. /n (uffer es un rea de la memoria alocada utilizada por los procesos para almacenar datos temporariamente. /n des(ordamiento en el (uffer ocurre cuando un (uffer de longitud fi#a llena su capacidad y un proceso intenta almacenar datos ms all de ese lmite m$imo. *sto puede dar por resultado que los datos e$tra so(reescri(an localizaciones de memoria adyacntes o causen otros comportamientos inesperados. Los des(ordamientos de (uffer son generalmente el conducto principal a travs del cual los virus, gusanos y troyanos hacen dao. 'e hecho, hay informes que sugieren que un tercio de las vulnera(ilidades de soft4are identificadas por el 1*3, estn relacionadas con des(ordamientos de (uffer. Los virus y troyanos tienden a aprovecharse de los des(ordamientos de (uffer de root locales. /n des(ordamiento de (uffer de root es un des(ordamiento de (uffer que (usca o(tener privilegios de root en un sistema. Los des(ordamientos de (uffer de root locales requieren que el sistema o usuario final efect:e alg:n tipo de acci%n. /n des(ordamiento de (uffer de root local se inicia tpicamente cuando un usuario a(re un ad#unto de un correo electr%nico, visita un sitio 4e( o intercam(ia un archivo a travs de mensa#era instantnea. Los gusanos como )OL )lammer y 1ode 3ed e$plotan los des(ordamientos de (uffer de root locales. Los des(ordamientos de (uffer de root remotos son similares a los des(ordamientos de (uffer de root locales, con la diferencia de que no se requiere

    intervenci%n de usuario final o sistema. Los virus, gusanos y troyanos pueden causar serios pro(lemas a las redes y sistemas finales. Los administradores de red tiene varias maneras de mitigar estos ataques. A%tese que las tcnicas de mitigaci%n generalmente se consideran en la comunidad de seguridad como contramedidas. *l principal recurso para la mitigaci%n de ataques de virus y troyanos es el soft4are antivirus. *l soft4are antivirus ayuda a prevenir a los hosts de ser infectados y diseminar c%digo malicioso. 3equiere mucho ms tiempo limpiar computadoras infectadas que mantener al soft4are antivirus y a las definiciones de virus actualizados en las mismas mquinas. *l soft4are antivirus es el producto de seguridad ms ampliamente desplegado en el mercado de hoy en da. -uchas compaas que crean soft4are antivirus, como )ymantec, 1omputer .ssociates, -c.fee y ,rend -icro han estado en el negocio de detectar y eliminar virus por ms de una dcada. -uchas empresas e instituciones educativas compran licencias al por mayor para sus usuarios. Los usuarios pueden identificarse en un sitio con su cuenta y descargar el soft4are antivirus en sus computadoras de escritorio, note(oo&s o servidores. Los productos antivirus tienen opciones de automatizaci%n de actualizaciones para que las nuevas definiciones de virus y actualizaciones de soft4are puedan ser descargadas automticamente o a petici%n. *sta prctica es el requisito ms esencial para mantener una red li(re de virus y de(era ser formalizada en una poltica de seguridad de red. Los productos antivirus son (asados en host. *stos productos son instalados en las computadoras y los servidores para detectar y eliminar virus. )in em(argo, no pueden detener a los virus de entrar a la red, por lo que el profesional de la seguridad en redes de(e mantenerse al tanto de los virus principales y de las actualizaciones en cuanto a virus emergentes. Los gusanos dependen ms de la red que los virus. La mitigaci%n de gusanos requiere diligencia y coordinaci%n de parte de los profesioales de la seguridad en redes. La respuesta a una infecci%n de un gusano puede separarse en cuatro fasesB contenci%n, inoculaci%n, cuarentena y tratamiento. La fase de contenci%n consiste en limitar la difusi%n de la infecci%n del gusano de reas de la red que ya estn infectadas. *sto requiere compartimentizaci%n y segmentaci%n de la red para hacer ms lento o detener al gusano y prevenir que los hosts actualmente infectados infecten a otros sistemas. La contenci%n requiere el uso de .1Ls tanto entrantes como salientes en los routers y fire4alls de los puntos de control de la red.

    La fase de inoculaci%n corre en paralelo o su(secuente a la fase de contenci%n. 'urante la fase de inoculaci%n todos los sistemas no infectados reci(en un parche del vendedor apropiado para la vulnera(ilidad. *l proceso de inoculaci%n priva a:n ms a los gusanos de o(#etivos disponi(les. /n escner de red puede ayudar a identificar hosts potencialmente vulnera(les. *l am(iente m%vil prevaleciente en las redes modernas postula desafos significativos. *s com:n que las laptops se saquen del am(iente de red segura y se conecten a am(ientes potencialmente inseguros, tales como las redes caseras. )in parches apropiados en el sistema, una laptop puede ser infectada por un gusano o virus y traerlo al am(iente seguro de la red de la organizaci%n donde puede infectar otros sistemas. La fase de cuarentena incluye el rastreo y la identificaci%n de mquinas infectada dentro de las reas contenidas y su descone$i%n, (loqueo o eliminaci%n. *sto aisla estos sistemas apropiadamente para la fase de tratamiento. 'urante la fase de tratamiento, los sistemas activamente infectados son desinfectados del gusano. *sto puede significar terminar el proceso del gusano, eliminar archivos modificados o configuraciones del sistema que el gusano haya introducido e instalar un parche para la vulnera(ilidad que el gusano usa(a para e$plotar el sistema. *n casos ms severos, esto puede requerir la reinstalaci%n completa del sistema para asegurarse de que el gusano y sus productos derivados sean removidos. *n el caso del gusano )OL )lammer, el trfico malicioso fue detectado en el puerto /'; 1>5>. *ste puerto normalmente de(era ser (loqueado por un fire4all en el permetro. )in em(argo, la mayora de las infecciones entra por una puerta trasera y no pasa por el fire4allH por lo tanto, para prevenir la diseminaci%n de este gusano sera necesario (loquear este puerto en todos los dispositivos de la red interna. *n algunos casos, el puerto a travs del cual se disemina el gusano puede ser crtico para la operaci%n de negocios. ;or e#emplo, cuando se propaga(a el )OL )lammer, algunas organizaciones no podan (loquear el puerto /'; 1>5> porque era necesario para acceder al servidor )OL para transacciones de negocios legtimas. *n una situaci%n como esa de(en considerarse alternativas. )i se conocen los dispositivos de red que usan el servicio del puerto afectado, se puede permitir acceso selectivo. ;or e#emplo, si solo un pequeo n:mero de clientes utiliza el servidor )OL, una opci%n podra ser a(rir el puerto /'; 1>5> solo a dispositivos crticos. Ao se garantiza que el acceso selectivo resuelva el pro(lema, pero ciertamente disminuye la pro(a(ilidad de una infecci%n. /na opci%n integradora para mitigar ls efectos de los virus, gusanos y troyanos es un

    sistema de prevenci%n de intrusos (asado en el host 7host9(ased intrusion prevention system 9 0I;)8. *l .gente de )eguridad de 1isco 71isco )ecurity .gent 9 1).8 es un sistema de prevenci%n de intrusos (asado en el host que pueden ser integrado con soft4are antivirus de varios vendedores. *l 1). protege al sistema operativo de amenazas en la red. *l 1). proporciona una soluci%n ms integradora y centralizada que no depende de que los usuarios finales vigilen las actualizaciones del soft4are antivirus y usen fire4alls (asados en el host. Ctra soluci%n para mitigar las amenazas es el 1ontrol de .dmisi%n a la 3ed de 1isco 71isco Aet4or& .dmission 1ontrol 9 A.18. La aplicaci%n A.1 de 1isco es una soluci%n llave9en9mano para controlar el acceso a la red. )olo admite hosts que se hayan identificado y cuya seguridad haya sido e$aminada y apro(ada para la red. *sta soluci%n es particularmente :til para orgaizaciones con redes de tamao medio que necesitan un seguimiento del sistema operativo, parches de antivirus y actualizaciones de vulnera(ilidades simplificado e integrado. La aplicaci%n A.1 de 1isco no necesita ser parte de una red 1isco para funcionar. *l )istema de 3espuesta, .nlisis y -onitoreo 7-.3)8 proporciona monitoreo de seguridad para dispositivos de seguridad de red y aplicaciones de host creadas por 1isco y otros proveedores. -.3) efect:a recomendaciones precisas para remoci%n de amenazas, incluyendo la ha(ilidad de visualizar el camino de la amenaza e identificar la fuente de la amenaza con grficos topol%gicos detallados que simplifican la respuesta de seguridad. Los virus, gusanos y troyanos pueden hacer lentas a las redes o detenerlas completamente y corromper o destruir datos. 0ay opciones de hard4are y soft4are disponi(les para mitigar estas amenazas. Los profesionales de la seguridad en redes de(en estar constantemente alerta. Ao es suficiente con reaccionar a las amenazas. /n (uen profesional de la seguridad en redes e$amina toda la red en (usca de vulnera(ilidades y las arregla antes de que tome lugar un ataque.

    1.5 -etodologas de ataque


    1.5.1 .taques de reconocimiento
    0ay varios tipos diferentes de ataques de red que no son virus, gusanos o troyanos. ;ara mitigar los ataques, es :til tener a los varios tipos de ataques categorizados. .l categorizar los ataques de red es posi(le a(ordar tipos de ataques en lugar de ataques individuales. Ao hay un estndar so(re c%mo categorizar los ataques de red. *l mtodo utilizado en este curso clasifica los ataques en tres categoras principales.

    .taques de reconocimiento Los ataques de reconocimiento consisten en el descu(rimiento y mapeo de sistemas, servicios o vulnera(ilidades sin autorizaci%n. Los ataques de reconocimiento muchas veces emplean el uso de sniffers de paquetes y escners de puertos, los cuales estn ampliamente disponi(les para su descarga gratuita en Internet. *l reconocimiento es anlogo a un ladr%n vigilando un vecindario en (usca de casas vulnera(les para ro(ar, como una residencia sin ocupantes o una casa con puertas o ventanas fciles de a(rir. .taques de acceso Los ataques de acceso e$plotan vulnera(ilidades conocidas en servicios de autenticaci%n, G,; y 4e( para ganar acceso a cuentas 4e(, (ases de datos confidenciales y otra informaci%n sensi(le. /n ataque de acceso puede efectuarse de varias maneras. /n ataque de acceso generalmente emplea un ataque de diccionario para adivinar las contraseas del sistema. ,am(in hay diccionarios especializados para diferentes idiomas. .taques de 'enegaci%n de )ervicio Los ataques de 'enegaci%n de )ervicio envan un n:mero e$tremadamente grande de solicitudes en una red o Internet. *stas solicitudes e$cesivas hacen que la calidad de funcionamiento del dispositivo vctima sea inferior. 1omo consecuencia, el dispositivo atacado no est disponi(le para acceso y uso legtimo. .l e#ecutar e$plotaciones o com(inaciones de e$plotaciones, los ataques de 'o) desaceleran o colapsan aplicaciones y procesos. .taques de reconocimiento *l reconocimiento tam(in se conoce como recolecci%n de informaci%n y, en la mayora de los casos, precede un ataque de acceso o de 'o). *n un ataque de reconocimiento, el intruso malicioso tpicamente comienza por llevar a ca(o un (arrido de ping en la red o(#etivo para determinar qu direcciones I; estn siendo utilizadas. *l intruso entonces determina qu servicios o puertos estn disponi(les en las direcciones I; activas. Amap es la aplicaci%n ms popular para escanear puertos. . partir de la informaci%n de puertos o(tenida, el intruso interroga al puerto para determinar el tipo y la versi%n de la aplicaci%n y el sistema operativo que est corriendo so(re el host o(#etivo. *n muchos casos, los intrusos (uscan servicios vulnera(les que puedan ser e$plotados luego, cuando hay menos pro(a(ilidad de ser atrapados. Los ataques de reconocimiento utilizan varias herramientas para ganar acceso a una redB )niffers de paquetes @arridos de ping

    *scaneo de puertos @:squedas de informaci%n en Internet /n sniffer de paquetes es una aplicaci%n de soft4are que utiliza una tar#eta de red en modo promiscuo para capturar todos los paquetes de red que se transmitan a travs de una L.A. *l modo promiscuo es un modo mediante el cual la tar#eta de red enva todos los paquetes que se reci(en a una aplicaci%n para procesarlos. .lgunas aplicaciones de red distri(uyen paquetes de red en te$to plano sin cifrar. 1omo los paquetes de red no estn cifrados, pueden ser entendidos por cualquier aplicaci%n que pueda levantarlos de la red y procesarlos. Los sniffers de paquetes solo funcionan en el mismo dominio de colosi%n que la red (a#o ataque, salvo que el atacante tenga acceso a los s4itches intermedios. 0ay numerosos sniffers de paquetes disponi(les, tanto free4are como share4are. *stos no requieren que el usuario tenga entendimiento de los protocolos que operan detrs. 1uando se usan como herramientas legtimas, las aplicaciones de (arrido de ping y escaneo de puertos efect:an una serie de prue(as en los hosts y dispositivos para identificar servicios vulnera(les. La informaci%n se recolecta e$aminando el direccionamiento I; y datos de puerto o (anner de los puertos ,1; y /';. /n atacante usa (arridos de ping y escaneos de puerto para adquirir informaci%n para comprometer el sistema. *l (arrido de ping es una tcnica de escaneo de redes (sica que determina qu rango de direcciones I; corresponde a los hosts activos. /n solo ping indica si un host especfico e$iste en la red. *l (arrido de ping consiste en solicitudes de eco I1-; enviadas a varios hosts. )i una direcci%n dada est activa, la direcci%n devuelve una respuesta de eco I1-;. Los (arridos de ping estn entre los mtodos ms vie#os y lentos utilizados para escanear una red. 1ada servicio de un host est asociado con un n:mero de puerto (ien conocido. *l escaneo de puertos es un escaneo de un rango de n:meros de puerto ,1; o /'; en un host para detectar servicios a(iertos. 1onsiste en el envo de un mensa#e a cada puerto de un host. La respuesta reci(ida indica si el puerto es utilizado. Las (:squedas de informaci%n en Internet pueden revelar informaci%n so(re quin es el dueo de un dominio particular y qu direcciones han sido asignadas a ese dominio. ,am(in pueden revelar quin es el dueo de una direcci%n de I; particular y qu dominio est asociado con la direcci%n. Los (arridos de ping so(re direcciones reveladas por (:squedas de informaci%n en Internet pueden dar una imagen de los hosts activos en un am(iente en particular. Luego

    de que se ha generado esa lista, las herramientas de escaneo de puertos pueden pasar por todos los puertos (ien conocidos para proporcionar una lista completa de todos los servicios que estn corriendo en los hosts que el (arrido de ping descu(ri%. Los hac&ers pueden entonces e$aminar las caractersticas de las aplicaciones activas, de donde pueden e$traer informaci%n especfica :til para un hac&er cuya intenci%n es comprometer ese servicio. *s necesario tener en consideraci%n que los ataques de reconocimiento son generalmente precursores a ataques posteriores con la intenci%n de ganar acceso no autorizado a una red o interrumpir el funcionamiento de la misma. /n profesional de la seguridad en redes puede detectar un ataque de reconocimiento en proceso mediante alarmas que se disparan cuando ciertos parmetros se e$ceden, por e#emplo, las solicitudes I1-; por segundo. /n I)3 de 1isco soporta la tecnologa de seguridad que permite que estas alarmas se disparen. *sto est disponi(le por medio de funcionalidad de prevenci%n de intrusos (asada en la red soportada por las imgenes IC) de seguridad de 1isco que corren so(re los I)3s. Los sistemas de prevenci%n de intrusos (asados en host y los sistemas independientes de detecci%n de intrusos (asados en red tam(in pueden ser utilizados para notificar un ataque de reconocimiento en proceso.

    1.5.2 .taques de acceso


    .taques de acceso Los hac&ers utilizan los ataques de acceso en las redes o sistemas por tres razonesB para o(tener datos, para ganar acceso y para escalar privilegios de acceso. Los ataques de acceso generalmente emplean ataques de contrasea para adivinar las contraseas del sistema. Los ataques de contrasea pueden ser implementados utilizando varios mtodos, incluyendo ataques de fuerza (ruta, programas troyanos, falsificaci%n de I;s y sniffers de paquetes. )in em(argo, la mayora de los ataques es por fuerza (ruta, es decir, repetidos intentos (asados en un diccionario incorporado para identificar una cuenta de usuario o contrasea. /n ataque de fuerza (ruta generalmente se lleva a ca(o usando un programa que corre a travs de la red e intenta ingresar a un recurso compartido, como un servidor. Luego de que un atacante gana acceso a un recurso, tiene los mismos derechos que el usuario cuya cuenta comprometi%. )i esta cuenta tiene suficientes privilegios, el atacante puede crear una puerta trasera para acceso futuro sin preocuparse por cam(ios de contrasea o de estado en relaci%n a la cuenta de usuario comprometida. . modo de e#emplo, un usuario puede e#ecutar la aplicaci%n L"pht1rac&, o L16, para

    efectuar un ataque de fuerza (ruta para o(tener una contrasea de un servidor Lindo4s. 1uando se o(tiene la contrasea, el atacante puede instalar un &eylogger, que enva una copia de todas las pulsaciones de teclas a un destino deseado. ,am(in se puede instalar un troyano que enve una copia de todos los paquetes enviados y reci(idos por el o(#etivo a un destino particular, permitiendo as el monitoreo del trfico desde y hacia ese servidor. 0ay cinco tipos de ataques de accesoB Ata'ues de contrase(a 9 *l atacante intenta adivinar las contraseas del sistema. /n e#emplo com:n es un ataque de diccionario. E&plotacin de la confianza 9 *l atacante usa privilegios otorgados a un sistema en una forma no autorizada, posi(lemente causando que el o(#etivo se vea comprometido. )edireccin de puerto 9 )e usa un sistema ya comprometido como punto de partida para ataques contra otros o(#etivos. )e instala una herramienta de instrusi%n en el sistema comprometido para redirecci%n de sesiones. Ata'ue *an in t+e *iddle 9 *l atacante se u(ica en el medio de una comunicaci%n entre dos entidades legtimas para leer o modificar los datos que pasan entre las dos partes. /n ataque -an in the -iddle popular involucra a una laptop actuando como un punto de acceso no autorizado 7rogue access point8 para capturar y copiar todo el trfico de red de un usuario o(#etivo. Grecuentemente el usuario est en un lugar p:(lico conectado a un punto de acceso inalm(rico. $es,ordamiento de ,uffer 9 *l programa escri(e datos ms all de la memoria de (uffer alocada. Los des(ordamientos de (uffer surgen generalmente como consecuencia de un error en un programa 1 o 1PP. /n resultado del des(ordamiento es que los datos vlidos se so(reescri(en o e$plotan para permitir la e#ecuci%n de c%digo malicioso.

    Los ataques de acceso en general pueden ser detectados revisando los registros, el uso del ancho de (anda y la carga de los procesos. La poltica de seguridad de la red de(era especificar que los registros se mantienen formalmente para todos los servidores y dispositivos de la red. .l revisar los registros, el personal de seguridad puede determinar si ha ocurrido un n:mero inusual de intentos fallidos de autenticaci%n. Los paquetes de soft4are como el -otor de .nlisis de *ventos o el )ervidor de 1ontrol de .cceso )eguro de 1isco 71isco )ecure .ccess 1ontrol )erver 9 1).1)8 mantienen informaci%n relativa a los intentos fallidos de autenticaci%n en dispositivos de red. Los servidores /AIK y Lindo4s tam(in

    mantienen un registro de los intentos fallidos de autenticaci%n. Los routers y dispositivos fire4all de 1isco pueden ser configurados para prevenir intentos de autenticaci%n de una fuente particular por un tiempo dado luego de un n:mero preesta(lecido de fallos en un perodo especfico de tiempo. Los ataques -an in the -iddle generalmente consisten en la replicaci%n de datos. /n ndice de un ataque como ste es una cantidad inusual de actividad en la red y uso del ancho de (anda, como lo puede indicar alg:n soft4are de monitoreo de red. .simismo, un ataque de acceso que tenga como resultado un sistema comprometido pro(a(lemente ser delatado por la lentitud de la actividad, producto de ataques de des(ordamiento de (uffer en proceso, como indicado por las cargas de proceso activas visi(les en un sistema Lindo4s o /AIK.

    1.5.5.taques de denegaci%n de servicio


    .taques de 'enegaci%n de )ervicio *l ataque de 'o) es un ataque de red que resulta en alg:n tipo de interrupci%n en el servicio a los usuarios, dispositivos o aplicaciones. -uchos mecanismos pueden generar un ataque de 'o). *l mtodo ms simple es generar grandes cantidades de lo que simula ser trfico de red vlido. *ste tipo de ataque de 'o) satura la red para que el trfico de usuario vlido no pueda pasar. *l ataque de 'o) se aprovecha del hecho de que los sistemas o(#etivo como los servidores de(en mantener informaci%n de estado. Las aplicaciones pueden depender de los tamaos de (uffer esperados y el contenido especfico de los paquetes de red. /n ataque de 'o) puede e$plotar esto enviando tamaos de paquetes o valores de datos que no son esperados por la aplicaci%n receptora. 0ay dos razones principales por las cuales puede ocurrir un ataque de 'o)B /n host o aplicaci%n no puede mane#ar una condici%n esperada, como datos de entrada formateados maliciosamente, una interacci%n inesperada entre componentes del sistema, o un simple agotamiento de los recursos. /na red, host o aplicaci%n es incapaz de mane#ar una cantidad enorme de datos, haciendo que el sistema colapse o se vuelva e$tremadamente lento. Los ataques de 'o) intentan comprometer la disponi(ilidad de una red, un host o una aplicaci%n. )e los considera un riesgo importante porque pueden interrumpir fcilmente un proceso de negocios y causar prdidas significativas. *stos ataques son relativamente sencillos de llevar a ca(o, incluso por un atacante ine$perto. /n e#emplo de ataque de 'o) es el envo de un paquete malicioso. /n paquete malicioso es un paquete cuyo formato es inapropiado, diseado para hacer que el

    dispositivo receptor procese el paquete de manera inapropiada. *l paquete malicioso hace que el dispositivo receptor colapse o funcione muy lentamente. *ste ataque puede hacer que todas las comunicaciones desde y hacia el dispositivo se interrumpan. *n otro e#emplo, un atacante enva una seguidilla de paquetes continuos que colman el ancho de (anda de enlaces de red disponi(le. *n la mayora de los casos, es imposi(le diferenciar entre el atacante y el trfico legtimo para rastrear un ataque rpidamente hasta su fuente. )i muchos sistemas en el n:cleo de Internet estn comprometidos, el atacante puede aprovecharse de un ancho de (anda prcticamente ilimitado para desatar tormentas de paquetes hacia o(#etivos deseados. /n ataque 'istri(uido de 'enegaci%n de )ervicio 7''o)8 es similar en intenci%n al ataque de 'o), e$cepto en que el ataque ''o) se origina en varias fuentes coordinadas. .dems de aumentar la cantidad de trfico en la red originado en m:ltiples atacantes distri(uidos, un ataque ''o) tam(in presenta el desafo de requerir que la defensa de la red identifique y detenga a cada atacante distri(uido. 1omo e#emplo, un ataque ''o) podra proceder como sigue. /n hac&er escanea (uscando sistemas accesi(les. Luego de que el hac&er accede a varios sistemas <handler<, el hac&er instala soft4are zom(ie en ellos. Los zom(ies luego escanean e infectan a sistemas agente. 1uando el hac&er accede a los sistemas agentes, el hac&er carga soft4are de ataque por control remoto para que lleve a ca(o el ataque ''o). )er :til detallar tres ataques de 'o) comunes para entender me#or c%mo funcionan. *l ping de la muerte *n un ataque de ping de la muerte, un hac&er enva una solicitud de eco en un paquete I; ms grande que el tamao de paquete m$imo de !6656 (ytes. *nviar un ping de este tamao puede colapsar la computadora o(#etivo. /na variante de este ataque es colapsar el sistema enviando fragmentos I1-;, que llenen los (uffers de reensam(lado de paquetes en el o(#etivo. .taque )murf *n un ataque smurf, el atacante enva un gran n:mero de solicitudes I1-; a direcciones (roadcast, todos con direcciones de origen falsificadas de la misma red que la vctima. )i el dispositivo de ruteo que enva el trfico a esas direcciones de (roadcast reenva los (roadcast, todos los host de la red destino enviarn respuestas I1-;, multiplicando el trfico por el n:mero de hosts en las redes. *n una red (roadcast multiacceso, cientos de mquinas podran responder a cada paquete. Inundaci%n ,1;M)QA *n un ataque de inundaci%n ,1;M)QA, se enva una inundaci%n de paquetes )QA ,1;,

    generalmente con una direcci%n de origen falsa. 1ada paquete se mane#a como una solicitud de cone$i%n, causando que el servidor genere una cone$i%n a medio a(rir devolviendo un paquete )QA9.1F ,1; y esperando un paquete de respuesta de la direcci%n del remitente. )in em(argo, como la direcci%n del remitente es falsa, la respuesta nunca llega. *stas cone$iones a medio a(rir saturan el n:mero de cone$iones disponi(les que el servidor puede atender, haciendo que no pueda responder a solicitudes legtimas hasta luego de que el ataque haya finalizado. La inundaci%n ,1;M)QA, el ping de la muerte y los ataques smurf demuestran cun devastante puede ser un ataque de 'o). 0asta la fecha, cientos de ataques de 'o) han sido documentados. 0ay cinco maneras (sicas en las que los ataques de 'o) pueden hacer daoB 1onsumo de los recursos, como ancho de (anda, espacio en el disco o tiempo de procesador -odificaci%n de la informaci%n de configuraci%n, como la informaci%n de ruteo -odificaci%n de la informaci%n de estado, como el reinicio de las sesiones ,1; -odificaci%n de los componentes fsicos de la red C(strucci%n de las comunicaciones entre la vctima y otros. Jeneralmente no es difcil determinar si est ocurriendo un ataque de 'o). /n gran n:mero de que#as so(re no poder acceder a los recursos es un primer indicio de un ataque de 'o). ;ara minimizar el n:mero de ataques, un paquete de soft4are de utilizaci%n de red de(era estar corriendo todo el tiempo. *sto tam(in de(e ser requerido por la poltica de seguridad de la red. /n grfico de utilizaci%n de la red que muestre actividad inusual puede indicar un ataque de 'o). *s necesario tener en consideraci%n que los ataques de 'o) pueden ser una parte de un ataque mayor. Los ataques de 'o) pueden acarrear pro(lemas en los segmentos de la red de las computadoras (a#o ataque. ;or e#emplo, la capacidad de paquetes por segundo de un router entre Internet y una L.A puede ser e$cedido por el ataque, comprometiendo no solo el sistema o(#etivo sino tam(in toda la red. )i el ataque es llevado a ca(o en una escala suficientemente grande, regiones geogrficas enteras de conectividad a Internet podran ser comprometidas. Ao todos los fallos de servicios, incluso aquellos que son resultado de actividades maliciosas, son necesariamente ataques de 'o). 'e cualquier modo, los ataques de 'o) estn entre los tipos ms peligrosos de ataques, y es crtico que el profesional de la seguridad en redes act:e rpidamente para mitigar los efectos de tales ataques.

    1.5.> -itigaci%n de ataques de red


    0ay un gran n:mero de ataques de red, metodologas de ataques de red y categorizaciones de ataques de red. La pregunta importante es <R1%mo puedo mitigar los ataques de redS<. *l tipo de ataque, como especificado por la categorizaci%n que distingue entre ataques de reconocimiento, de acceso o de 'o), determina la manera de mitigar una amenaza a una red. Los ataques de reconocimiento pueden ser mitigados de varias maneras. /tilizar una autenticaci%n fuerte es una primera opci%n para la defensa contra sniffers de paquetes. La autenticaci%n fuerte es un mtodo de identificar a los usuarios que no puede ser fcilmente (urlados. /na contrasea de una sola vez 7Cne9,ime ;ass4ord 9 C,;8 es una forma de autenticaci%n fuerte. Las C,;s utilizan una autenticaci%n de dos factores. La autenticaci%n de dos factores com(ina algo que uno ya tiene, como una tar#eta de to&en, con algo que uno conoce, como un ;IA. Los ca#eros automticos 7.utomated teller machines 9 .,-s8 utilizan la autenticaci%n de dos factores. *l cifrado tam(in es efectivo en la mitigaci%n de ataques de sniffers de paquetes. )i el trfico est cifrado, es prcticamente irrelevante si un sniffer de paquetes est siendo utilizado, ya que los datos capturados no son legi(les. *l soft4are antisniffer y las herramientas de hard4are detectan cam(ios en el tiempo de respuesta de los hosts para determiar si los hosts estn procesando ms trfico del que sus propias cargas de trfico indicara. .unque esto no elimina completamente la amenaza, puede reducir el n:mero de ocurrencias de la amenaza como parte de un sistema englo(ador de mitigaci%n. /na infraestructura s4itcheada es la norma hoy en da, lo cual dificulta la captura de datos que no sean los del dominio de colisi%n inmediato, que pro(a(lemente contenga solo un host. /na infraestructura s4itcheada no elimina la amenaza de los sniffers de paquetes, pero puede reducir enormemente la efectividad del sniffer. *s imposi(le mitigar el escaneo de puertos. )in em(argo, el uso de un I;) y un fire4all puede limitar la informaci%n que puede ser descu(ierta con un escner de puerto, y los (arridos de ping pueden ser detenidos si se desha(ilitan el eco y la respuesta al eco I1-; en los routers de (orde. )in em(argo, cuando estos servicios se desha(ilitan, los datos de diagn%stico de la red se pierden. .dems, los escaneos de puerto pueden correr sin (arridos de ping enteros. Los escaneos simplemente toman ms tiempo porque las direcciones I; sin actividad tam(in son escaneadas. Los I;) (asados en red y los (asados en host pueden notificar al administrador cuando

    est tomando lugar un ataque de reconocimiento. *sta advertencia permite al administrador prepararse me#or para el ataque o notificar al I); so(re el lugar desde donde se est lanzando el reconocimiento. ,am(in hay varias tcnicas disponi(les para mitigar los ataques de acceso. /n n:mero sorprendente de ataques de acceso se lleva a ca(o a travs de simples averiguaciones de contraseas o ataques de diccionario de fuerza (ruta contra las contraseas. *l uso de protocolos de autenticaci%n cifrados o de hash, en con#unci%n con una poltica de contraseas fuerte, reduce enormemente la pro(a(ilidad de ataques de acceso e$itosos. 0ay prcticas especficas que ayudan a asegurar una poltica de contraseas fuerteB 'esha(ilitar cuentas luego de un n:mero especfico de autenticaciones fallidas. *sta prctica ayuda a prevenir los intentos de contrasea continuos. Ao usar contraseas en te$to plano. /sar o una contrasea de una sola vez 7C,;8 o una contrasea cifrada. /sar contraseas fuertes. Las contraseas fuertes tienen por lo menos seis caracteres y contienen letras may:sculas y min:sculas, n:meros y caracteres especiales. *l principio de confianza mnima tam(in de(era disearse e implementarse en la estructura de red. *sto significa que los sistemas no de(eran usarse entre ellos innecesariamente. ;or e#emplo, si una organizaci%n tiene un servidor utilizado por dispositivos no confia(les, como servidores 4e(, el dispositivo confia(le 7servidor8 no de(era confiar en dispositivos no confia(les 7servidores 4e(8 incondicionalmente. La criptografa es un componente crtico de una red segura moderna. )e recomienda utilizar cifrado para el acceso remoto a una red. .dems, el trfico del protocolo de ruteo tam(in de(era estar cifrado. 1uanto ms cifrado est el trfico, menos oportunidad tendrn los hac&ers de interceptar datos con ataques -an in the -iddle. Las empresas con presencia de alto perfil en Internet de(eran planear con anticipaci%n c%mo responder a ataques potenciales de 'o). 0ist%ricamente, muchos ataques de 'o) tenan como fuente direcciones de origen falsificadas. *ste tipo de ataque puede ser truncado usando tecnologas antifalsificaci%n 7antispoofing8 en routers y fire4alls de permetro. 0oy en da, muchos ataques de 'o) son ataques distri(uidos de 'o) llevados a ca(o por hosts comprometidos en varias redes. -itigar los ataques ''o) requiere diagn%stico y planeamiento cuidadoso, as como tam(in cooperaci%n de los I);. Los elementos ms importantes para mitigar los ataques de 'o) son los fire4alls y los I;). )e recomiendan fuertemente los I;) tanto (asados en host como (asados en red.

    Los routers y s4itches 1isco soportan algunas tecnologas antifalsificaci%n como seguridad de puerto, snooping de '01;, I; )ource Juard, inspecci%n de .3; dinmico y .1Ls. ;or :ltimo, aunque la 1alidad de )ervicio 7Ouality of )ervice 9 Oo)8 no ha sido diseada como una tecnologa de seguridad, una de sus aplicaciones, la implementaci%n de polticas de trfico 7traffic policing8, puede ser utilizada para limitar el trfico ingresante de cualquier cliente dado en un router de (orde. *sto limita el impacto que puede tener una sola fuente so(re el uso del ancho de (anda de ingreso. 'efender su red de ataques requiere vigilancia y educaci%n constantes. 0ay 1" (uenas prcticas que representan la me#or aseguraci%n de su red. 1. -antener parches actualizados, instalndolos cada semana o da si fuera posi(le, para prevenir los ataques de des(ordamiento de (uffer y la escalada de privilegios. 2. 1errar los puertos innecesarios y desha(ilitar los servicios no utilizados. 5. /tilizar contraseas fuertes y cam(iarlas seguido. >. 1ontrolar el acceso fsico a los sistemas. 6. *vitar ingresos innecesarios en pginas 4e(. .lgunas pginas 4e( permiten a sus usuarios ingresar nom(re de usuario y contraseas. /n hac&er puede ingresar algo ms que solo un nom(re de usuario. ;or e#emplo, ingresar <#doeH rm 9rf M< puede permitir a un atacante remover el archivo del sistema raz de un servidor /AIK. Los programadores de(en limitar la cantidad de caracteres de ingreso y no aceptar caracteres como T H U V. !. 3ealizar copias de resguardo y pro(ar los archivos resguardados regularmente. N. *ducar a los empleados en cuanto a los riesgos de la ingeniera social y desarrollar estrategias para validar las entidades a travs del telfono, del correo electr%nico y en persona. =. 1ifrar y poner una contrasea a datos sensi(les. . Implementar hard4are y soft4are de seguridad como fire4alls, I;)s, dispositivos de red privada virtual 7virtual private net4or& 9 +;A8, soft4are antivirus y filtrado de contenidos. 1". 'esarrollar una poltica de seguridad escrita para la compaa. *stos mtodos son tan solo un punto de partida para una gesti%n de seguridad ro(usta. La organizaciones de(en estar siempre alerta para defenderse de amenazas en constante evoluci%n. .l usar estos mtodos pro(ados para asegurar una red y aplicar el conocimiento ganado en este captulo, el alumno est preparado para comenzar a desplegar soluciones de

    seguridad en redes. /na de las primeras consideraciones del despliegue tiene que ver con la seguridad en el acceso a dispositivos de red.

    3esumen

    Vous aimerez peut-être aussi