1.1.2 Tipos de amenazas cibernéticas

1.1.3 Avatar

Recuerde que el repertorio de los ciberdelincuentes es vasto y está en constante evolución. A veces, pueden combinar dos o más de las tácticas anteriores para aumentar sus posibilidades.
Depende de los profesionales de ciberseguridad crear conciencia y educar a otras personas en una organización sobre estas tácticas para evitar que sean víctimas de tales ataques.

1.1.4 Amenazas Internas vs Externas

Las amenazas pueden originarse tanto dentro como fuera de una organización, con atacantes que buscan acceso a información confidencial valiosa, como registros de personal, propiedad intelectual y datos financieros.
Las amenazas internas generalmente son llevadas a cabo por empleados actuales o anteriores y otros socios contractuales que manipulan accidental o intencionalmente datos confidenciales o amenazan las operaciones de servidores o dispositivos de infraestructura de red conectando medios infectados o accediendo a correos electrónicos o sitios web maliciosos.
Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener acceso.

1.1.5 Avatar

¿Sabía que las amenazas internas tienen el potencial de causar un daño mayor que las amenazas externas? Esto se debe a que los empleados o partners que trabajan en una organización tienen acceso directo a sus instalaciones y dispositivos de infraestructura. También tendrán un conocimiento interno de la red, los recursos y los datos confidenciales de la organización, así como las medidas de seguridad implementadas.

1.1.7 Avatar

Las ciberamenazas pueden propagarse de varias maneras, como a través de los propios usuarios, dispositivos conectados a la red o servicios alojados en una nube pública o privada. Y no olvide la amenaza de un ataque físico si no se aplican las medidas de seguridad adecuadas.
Observemos esto con mayor profundidad.

1.1.8 Vulnerabilidades y amenazas comunes a los usuarios

1.1.9 Amenazas a los dispositivos

• Cualquier dispositivo que quede encendido y desatendido representa el riesgo de que alguien obtenga acceso no autorizado a los recursos de la red.

• La descarga de archivos, fotos, música o vídeos de fuentes poco confiables podría generar la ejecución de código malicioso en los dispositivos.

• Los ciberdelincuentes a menudo aprovechan las vulnerabilidades de seguridad dentro del software instalado en los dispositivos de una organización para lanzar un ataque.

• Los equipos de seguridad de la información de una organización deben intentar mantenerse al día con el descubrimiento diario de nuevos virus, gusanos y otro malware que representa una amenaza para sus dispositivos.

• Los usuarios que insertan unidades USB, CD o DVD no autorizados corren el riesgo de introducir malware o comprometer los datos almacenados en sus dispositivos.

• Las políticas existen para proteger la infraestructura de TI de la organización. Un usuario puede enfrentar serias consecuencias por violar intencionalmente dichas políticas.

• El uso de hardware o software desactualizado hace que los sistemas y los datos de una organización sean más vulnerables a los ataques.

1.1.10 Amenazas a la red de área local

La red de área local (LAN) es un conjunto de dispositivos, generalmente en la misma área geográfica, conectados por cables (cableados) o ondas (inalámbricas). Debido a que los usuarios pueden acceder a los sistemas, aplicaciones y datos de una organización desde el dominio LAN, es fundamental que tenga una seguridad sólida y controles de acceso estrictos.

Entre los ejemplos de amenazas a la LAN se incluyen:

• Acceso no autorizado a los sistemas, los datos, las salas de computadoras y los armarios de cableado.

• Vulnerabilidades de software debido a sistemas operativos o servicios de red anticuados.

• Ataques a los datos en tránsito.

• Tener servidores LAN con hardware o sistemas operativos diferentes hace que administrarlos y solucionarlos sea más difícil.

• Escaneo del puerto y sondeo de redes no autorizados.

1.1.11 Amenazas a la nube privada

El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados disponibles para los miembros de la organización a través de Internet. Si bien muchas organizaciones consideran que sus datos están más seguros en una nube privada, este dominio aún presenta amenazas de seguridad significativas, que incluyen:

• Escaneo de puertos y sondeo de redes no autorizados

• Acceso no autorizado a los recursos

• Vulnerabilidad del software del sistema operativo de los dispositivos de red, firewall o router

• Error de configuración del router, firewall o dispositivo de red

• Usuarios remotos que acceden a la infraestructura de la organización y descargan datos confidenciales.

Si bien los proveedores de servicios de nube pública implementan controles de seguridad para proteger el entorno de la nube, las organizaciones son responsables de proteger sus propios recursos en la nube. Por lo tanto, algunas de las amenazas más comunes al dominio de nube pública incluyen:

• Violaciones de datos

• Pérdida o robo de propiedad intelectual

• Credenciales comprometidas o secuestro de cuenta.

• Ataques de ingeniería social

• Violación del cumplimiento.

1.1.16 Complejidad de las amenazas

Las vulnerabilidades de software actualmente tienen como base los errores de programación, las vulnerabilidades de protocolo o las configuraciones erróneas del sistema. Los ciberdelincuentes buscan aprovechar dichas vulnerabilidades y se están volviendo cada vez más sofisticados en sus métodos de ataque.
Desplace hacia abajo para obtener más información.

Una amenaza persistente avanzada (APT) es un ataque continuo que utiliza tácticas de espionaje elaboradas que involucran a múltiples actores y/o malware sofisticado para obtener acceso a la red de un objetivo y analizarla. Los atacantes operan bajo el radar y permanecen sin ser detectados durante un largo período de tiempo, con consecuencias potencialmente devastadoras. Las APT generalmente apuntan a gobiernos y organizaciones de alto nivel y generalmente están bien organizadas y bien financiadas.

Como su nombre indica, los ataques de algoritmos aprovechan los algoritmos de un software legítimo para generar comportamientos no deseados. Por ejemplo, los algoritmos utilizados para rastrear e informar cuánta energía consume una computadora se pueden utilizar para seleccionar objetivos o activar alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a usar memoria o a trabajar demasiado su unidad de procesamiento central.

1.1.17 Avatar

Muchas organizaciones confían en los datos de inteligencia de amenazas para comprender su riesgo general, a fin de poder formular y aplicar medidas preventivas y de respuesta eficaces.
Algunos de estos datos son de código cerrado y requieren una suscripción paga para acceder. Otros datos se consideran inteligencia de código abierto (OSINT) y se puede acceder desde fuentes de información disponibles al público. De hecho, compartir datos de inteligencia de amenazas es cada vez más popular, con gobiernos, universidades, organizaciones del sector de la salud y empresas privadas trabajando juntos para mejorar la seguridad de todos.

1.2.2 Tácticas de ingeniería social

Recuerde que el repertorio de los ciberdelincuentes es vasto y está en constante evolución. A veces, pueden combinar dos o más de las tácticas anteriores para aumentar sus posibilidades.
Depende de los profesionales de ciberseguridad crear conciencia y educar a otras personas en una organización sobre estas tácticas para evitar que sean víctimas de tales ataques.

1.2.5 Avatar

La mayoría de los ataques cibernéticos implican algún tipo de engaño. Echemos un vistazo a algunos de los tipos más comunes.

La navegación de hombro

Es un ataque simple que implica observar o literalmente mirar por encima del hombro de un objetivo para obtener información valiosa, como PIN, códigos de acceso o detalles de tarjetas de crédito. Los delincuentes no siempre tienen que estar cerca de la víctima para navegar por el hombro; pueden usar binoculares o cámaras de seguridad para obtener esta información. Este es un motivo por el que una persona solo puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la técnica de espiar por encima del hombro mucho más difícil.

Dumpster Diving

Es posible que haya oído hablar de la frase "la basura de un hombre es el tesoro de otro". En ninguna parte es esto más cierto que en el mundo del buceo en basureros: el proceso de revisar la basura de un objetivo para ver qué información se ha tirado. Esta es la razón por la cual los documentos que contienen información confidencial deben triturarse o almacenarse en bolsas para quemar hasta que el fuego los destruya después de un cierto período de tiempo.

1.2.10 Defensa contra el engaño

Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar correctamente a los empleados en relación con las medidas de prevención, como las siguientes: Estos son algunos consejos importantes.

• Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat, en persona o por teléfono a desconocidos.

• Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.

• Tenga cuidado con las descargas no iniciadas o automáticas.

• Establecer y educar a los empleados sobre las políticas de seguridad clave.

• Aliente a los empleados a asumir la responsabilidad de los problemas de seguridad.

• No se sienta presionado por personas desconocidas.

1.2.11 Explorar técnicas de ingeniería social

1.3.1 ¿Cuál es la diferencia?

Los ciberdelincuentes utilizan muchos tipos diferentes de software malicioso, o malware, para llevar a cabo sus actividades. El malware es cualquier código que se puede utilizar para robar datos, eludir los controles de acceso o causar daño o comprometer un sistema.

1.3.2 Bombas lógicas

Una bomba lógica es un programa malicioso que espera un activador, como una fecha específica o una entrada en la base de datos, para activar el código malicioso. La bomba lógica permanece inactiva hasta que se produce el evento activador.
Una vez activada, una bomba lógica implementa un código malicioso que provoca daños en una computadora. Una bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y atacar los sistemas operativos o aplicaciones.
Los especialistas en ciberseguridad han descubierto recientemente bombas lógicas que atacan y destruyen los componentes de hardware de un dispositivo o servidor, incluidos los ventiladores de refrigeración, la unidad central de procesamiento (CPU), la memoria, los discos duros y las fuentes de alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.

El malware está diseñado para mantener cautivo un sistema computacional o los datos que contiene hasta que se realice un pago.
El ransomware generalmente funciona cifrando sus datos para que no pueda acceder a ellos. Según las afirmaciones de ransomware, una vez que se paga el rescate a través de un sistema de pago imposible de rastrear, el ciberdelincuente proporcionará un programa que descifra los archivos o envía un código de desbloqueo, pero en realidad, muchas víctimas no obtienen acceso a sus datos incluso después de haber pagado.
Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para bloquearlo. El ransomware a menudo se propaga a través de correos electrónicos de phishing que lo alientan a descargar un archivo adjunto malicioso o a través de una vulnerabilidad.

1.3.5 Avatar

Los ataques de denegación de servicio distribuido (DDoS) son similares, pero se originan en varias fuentes coordinadas. Así es como sucede esto:

1. Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados por sistemas de manejo.
2. Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más zombis.
3. Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque de DDoS.

Suplantación de identidad (spoofing)

La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas.

• La suplantación de direcciones MAC se produce cuando un atacante oculta su dispositivo como válido en la red y, por lo tanto, puede omitir el proceso de autenticación.

• La falsificación de ARP envía mensajes ARP falsificados a través de una LAN. Esto vincula la dirección MAC de un atacante con la dirección IP de un dispositivo autorizado en la red.

• La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para disfrazarse.

Saturación de direcciones MAC

Los dispositivos en una red se conectan a través de un switch de red mediante la conmutación de paquetes para recibir y reenviar datos al dispositivo de destino. La inundación de MAC compromete los datos transmitidos a un dispositivo. Un atacante inunda la red con direcciones MAC falsas, comprometiendo la seguridad del switch de red.

1.3.10 Avatar

Un ataque de repetición ocurre cuando un atacante captura la comunicación entre dos hosts y luego retransmite el mensaje al destinatario, para engañar al destinatario para que haga lo que el atacante desea evitar, comprometiendo así cualquier mecanismo de autenticación.

Un ataque de día cero o una amenaza de día cero aprovechan las vulnerabilidades de software antes de que se conozcan o antes de que el proveedor de software las divulgue.
Una red es extremadamente vulnerable a los ataques entre el momento en que se detecta un ataque (cero horas) y el tiempo que le lleva al proveedor de software desarrollar y lanzar un parche que corrige este ataque.
La defensa contra ataques tan rápidos requiere que los profesionales de seguridad de redes adopten una visión más sofisticada y holística de cualquier arquitectura de red.

1.3.12 Registro de teclado

Como su nombre indica, el registro de teclado o de teclas se refiere a la grabación o el registro de cada tecla presionada en el teclado de una computadora.
Los ciberdelincuentes registran las pulsaciones de teclas mediante el software instalado en un sistema informático o mediante dispositivos de hardware conectados físicamente a una computadora, y configuran el software del registrador de teclas para enviar el archivo de registro al delincuente. Debido a que ha registrado todas las pulsaciones de teclas, este archivo de registro puede revelar nombres de usuario, contraseñas, sitios web visitados y otra información confidencial.
Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no autorizados.

1.3.13 Avatar

Es importante tener en cuenta que el software de registro de teclas puede ser legítimo. Muchos padres la utilizan para controlar el comportamiento de sus hijos en Internet.

Una organización puede realizar varios pasos para defenderse de diversos ataques. Estos incluyen los siguientes:

• Configure firewalls para descartar cualquier paquete fuera de la red que tenga direcciones que indican que se originaron dentro de la red.

• Asegúrese de que los parches y las actualizaciones estén actualizados.

• Distribuya la carga de trabajo entre los sistemas de servidor.

• Los dispositivos de red utilizan paquetes de protocolo de mensajes de control de Internet (ICMP) para enviar mensajes de error y control, como si un dispositivo puede comunicarse con otro en la red. Para evitar ataques DoS y DDoS, las organizaciones pueden bloquear paquetes ICMP externos con sus firewalls.

1.4.1 Uso generalizado de Internet y riesgos de ciberseguridad

El uso generalizado de Internet y los dispositivos móviles significa que ahora, más que nunca, podemos comunicarnos y trabajar sobre la marcha, sin la necesidad de cables. Pero esto también genera más oportunidades para que los ciberdelincuentes accedan a la información confidencial que buscan.
Desplácese hacia abajo para obtener más información sobre cómo lo hacen.

Grayware incluye aplicaciones que se comportan de manera molesta o no deseada. Aunque estas aplicaciones no contienen un malware claramente identificado, aún pueden representar un riesgo para el usuario, como el seguimiento de su ubicación o la entrega de publicidad no deseada.
Los creadores de grayware se mantienen generalmente en el lado de la legitimidad al incluir sus capacidades en la letra pequeña del contrato de licencia. Muchos usuarios de smartphones, sin prestar atención a esta letra pequeña, instalan aplicaciones que podrían comprometer su privacidad.
SMiShing (suplantación de identidad de servicio de mensajes cortos) es una táctica donde los atacantes envían mensajes de texto falsos para engañar al usuario. Estos mensajes pueden solicitar visitar un sitio web malicioso o llamar a un número de teléfono fraudulento, llevando a la descarga de malware o al intercambio de información personal.

1.4.4 Bloqueo de Radiofrecuencia

Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes.
Los atacantes pueden aprovechar esta vulnerabilidad bloqueando deliberadamente la transmisión de una estación de radio o satélite para evitar que una señal inalámbrica llegue a la estación receptora.
Para bloquear con éxito la señal, la frecuencia, la modulación y la potencia del bloqueador de RF deben ser iguales a las del dispositivo que el atacante busca interrumpir.

1.4.5 Avatar

Probablemente haya oído hablar de las Bluetooth, pero ¿sabe exactamente qué es y cómo funciona?

Bluetooth es un protocolo de corto alcance y baja potencia que transmite datos en una red de área personal (PAN) y utiliza el emparejamiento para establecer una relación entre dispositivos como móviles, computadoras portátiles e impresoras. Los ciberdelincuentes han descubierto formas de aprovechar las vulnerabilidades entre estas conexiones.

Desplace hacia abajo para obtener más información.

1.4.7 Ataques contra protocolos de Wi-Fi

Privacidad por Cable Equivalente (WEP) y Acceso Protegido a Wi-Fi (WPA)
La privacidad por cable equivalente (WEP) y el acceso protegido a Wi-Fi (WPA) son protocolos de seguridad diseñados para proteger las redes inalámbricas vulnerables a los ataques.
WEP se desarrolló para proporcionar datos transmitidos a través de una red de área local inalámbrica (WLAN) con un nivel de protección comparable al que generalmente se espera de una red cableada tradicional. Agregó seguridad a las redes inalámbricas cifrando los datos.
El protocolo WEP utiliza una clave para la encriptación. El problema, sin embargo, era que WEP no tenía ninguna disposición para la administración de claves, lo que facilitó que delincuentes accedieran a los datos de tráfico.
Para abordar esto y reemplazar WEP, WPA y luego WPA2 se desarrollaron como protocolos de seguridad mejorados. A diferencia de WEP, WPA2 es más seguro, aunque aún podría ser vulnerable a ataques si los paquetes de red son interceptados.

1.4.9 Wi-Fi y Defensa Móvil

Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e inalámbricos. Estos incluyen los siguientes:

• Aproveche las características básicas de seguridad inalámbrica, como la autenticación y la encriptación, al cambiar los ajustes de configuración predeterminada.

• Restrinja la ubicación de puntos de acceso colocando estos dispositivos fuera del firewall o dentro de una zona desmilitarizada, una red perimetral que protege la LAN de una organización contra dispositivos no confiables.

• Utilice herramientas de WLAN como NetStumbler para descubrir puntos de acceso dudosos o estaciones de trabajo no autorizadas.

• Desarrolle una política para el acceso de usuarios temporales a la red Wi-Fi de una organización.

• Los empleados de una organización deben usar una VPN de acceso remoto para el acceso a la WLAN.

1.5.1 Avatar

Los ataques a través de aplicaciones web son cada vez más comunes. Implican a los ciberdelincuentes que aprovechan las vulnerabilidades en la codificación de una aplicación web para obtener acceso a bases de datos o servidores. Veamos algunos ejemplos:

• Inyección SQL: los atacantes insertan comandos SQL maliciosos en una entrada de usuario para manipular la base de datos subyacente.

• Cross-Site Scripting (XSS): inyectar scripts maliciosos en páginas web que son visualizadas por otros usuarios, comprometiendo su información.

• Cross-Site Request Forgery (CSRF): engañar a un usuario para que realice acciones no deseadas mientras está autenticado.

1.5.2  Secuencias de Comandos entre Sitios (XSS)

El XSS es una vulnerabilidad que permite a los ciberdelincuentes inyectar scripts maliciosos en páginas web, afectando a los usuarios que visitan dichas páginas.

1. Los atacantes aprovechan la vulnerabilidad para inyectar scripts maliciosos en una página web.
2. La víctima accede a la página web, y el navegador ejecuta el script sin saberlo.
3. El script puede acceder a información sensible del usuario, como cookies o tokens de sesión.
4. Con esta información, el atacante puede suplantar al usuario.

1.5.4 Desbordamiento de Búfer

Un desbordamiento de búfer ocurre cuando los datos exceden los límites de una área de memoria asignada a una aplicación.
Esto puede provocar que la aplicación acceda a la memoria asignada a otros procesos, llevando a un bloqueo del sistema, comprometiendo los datos o permitiendo el escalamiento de privilegios.
Los atacantes pueden aprovechar estas fallas para obtener control total del dispositivo, instalando malware o accediendo a la red interna desde el dispositivo afectado.

Desbordamiento de Búfer

Un estudio de la Universidad Carnegie Mellon estima que casi la mitad de todas las vulnerabilidades de los programas informáticos se derivan de algún tipo de desbordamiento del búfer.

     

El proyecto Metasploit es un proyecto de seguridad informática que proporciona información sobre vulnerabilidades de seguridad y ayuda en las pruebas de penetración. Entre las herramientas que han desarrollado se encuentra Metasploit Framework, que puede utilizarse para desarrollar y ejecutar código de ataque contra un objetivo remoto.
Meterpreter, en particular, es una carga útil dentro de Metasploit que permite a los usuarios tomar el control del dispositivo de destino escribiendo sus propias extensiones y cargando estos archivos en un proceso en ejecución en el dispositivo. Estos archivos se cargan y ejecutan desde la memoria, por lo que nunca afectan al disco duro. Esto también significa que estos archivos se desplazan bajo el radar de la detección antivirus
Meterpreter tiene un módulo para controlar la cámara web de un sistema remoto. Una vez que Meterpreter está instalado en un dispositivo de destino, el usuario de Metasploit puede ver y capturar imágenes de la cámara web del objetivo.

Gurú ha pedido su opinión. Parece que un atacante ha atacado una vulnerabilidad en el servicio de mensajería en línea de @Apollo, que se utiliza para facilitar las comunicaciones entre los empleados que trabajan en diferentes sitios. Cuando un empleado realiza una llamada de voz, inunda la memoria de la aplicación, lo que le otorga al atacante el control del dispositivo del empleado. 

Defensa contra ataques de aplicaciones

Hay varias medidas que puedes tomar para defenderte de un ataque a aplicaciones. Algunas incluyen:

• Escribir un código sólido como primera línea de defensa.
• Tratar y validar todas las entradas desde fuera de una función como si fueran hostiles.
• Mantener todo el software actualizado, incluidos los sistemas operativos y las aplicaciones.

El correo electrónico como vulnerabilidad

El correo electrónico es utilizado por miles de millones de personas en todo el mundo, y debido a su amplio uso, se ha convertido en una importante vulnerabilidad tanto para los usuarios como para las organizaciones.

1.5.12 Suplantación de identidad (Phishing)

1.5.15 Avatar

¡Uf! Eso es mucho que aprender. Los ciberdelincuentes pueden emplear una variedad de tácticas para obtener la información que desean. ¡Y aún no hemos terminado!

1.5.16 Hay más ...

1.6.1 ¿Qué Aprendí en este Módulo?

2.1.1 Vídeo - Anatomía de un ataque

Otro grupo, llamado Cisco Product Security Incident Response Team (PSIRT), es responsable de investigar y mitigar las posibles vulnerabilidades en los productos Cisco. La figura muestra una página de muestra de Cisco Security Advisories que enumera estas vulnerabilidades en tiempo real y proporciona a los administradores de red información para mitigarlas.

Nota: Un ataque DoS ocurre cuando un dispositivo o aplicación de red está incapacitado y ya no es capaz de admitir solicitudes de usuarios legítimos.
Un usuario interno, como un empleado o un consultor, puede de manera accidental o intencional:

• Robar y copiar datos confidenciales a dispositivos de almacenaje, correos electrónicos, software de mensajería y otros medios.

• Comprometer servidores internos o dispositivos de infraestructura de red.

• Desconectar una conexión de red crítica y provoquar una interrupción de la red.

• Conecte una unidad USB infectada a un sistema informático corporativo.

Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Los empleados también tienen conocimiento de la red corporativa, sus recursos y sus datos confidenciales, así como diferentes niveles de usuario o privilegios administrativos.
Los profesionales de seguridad de red deben implementar herramientas y aplicar técnicas para mitigar las amenazas externas e internas.

2.1.6 Vídeo de PT - investigar un panorama de amenazas

2.2.1 Amenaza, vulnerabilidad y riesgo

Estamos bajo ataque, y los atacantes quieren tener acceso a nuestros activos. Los activos son cualquier elemento de valor para una organización, tales como datos, cualquier tipo de propiedad intelectual, servidores, computadoras, teléfonos inteligentes, tabletas, y más.

Para entender mejor cualquier debate sobre seguridad de la red, es importante conocer los siguientes términos:

• Amenaza: El peligro potencial de un recurso, como los datos o la propia red.

• Vulnerabilidad: Una debilidad en un sistema o en su diseño que podría ser aprovechada por una amenaza.

• Superficie de ataque: Una superficie de ataque es la suma total de las vulnerabilidades presentes en un determinado sistema las cuales son accesibles para un atacante. La superficie de ataque detalla los diferentes puntos donde un atacante podría entrar en un sistema y donde podría obtener datos del sistema. Por ejemplo, su sistema operativo y navegador web podrían ambos necesitar parches de seguridad. Cada uno de ellos es vulnerable a los ataques y están expuestos en la red o en Internet. Juntos, ellos crean una superficie de ataque que un atacante podría aprovechar.

• Ataque: Un ataque (exploit) es un mecanismo que es utilizado para aprovechar una vulnerabilidad y así poner en riesgo un activo. Los ataques pueden ser locales o remotos. Un ataque remoto es uno que tiene lugar en la red sin acceso previo al sistema de destino. El atacante no necesita una cuenta en el sistema final para aprovechar la vulnerabilidad. En un ataque local, el agente de amenaza tiene algún tipo de acceso de usuario o administrador al sistema final. Un ataque local no significa, necesariamente, que el atacante tenga acceso físico al sistema final.

• Riesgo:Es la probabilidad de que una amenaza específica aproveche una vulnerabilidad específica de un activo y provoque un resultado indeseable como consecuencia.

La gestión de riesgos es el proceso que equilibra los costos operacionales de proporcionar medidas de protección con los beneficios que brinda la protección de los activos. Existen cuatro maneras comunes de gestionar el riesgo:

• Aceptación de riesgos:  Esto sucede cuando el costo de las opciones de gestión del riesgo sobrepasa el costo del riesgo mismo. El riesgo es aceptado (o sea, es ignorado) y no se toma ninguna medida

• Evasión de riesgos: Esto significa evitar cualquier exposición al riesgo eliminando la actividad o el dispositivo que presenta el riesgo. Al eliminar una actividad para evitar riesgos, también se pierden los beneficios posibles de la actividad.
• Reducción de riesgos:  Esto reduce la exposición al riesgo o reduce el impacto del riesgo mediante la adopción de medidas para disminuir el riesgo. Es la estrategia de mitigación de riesgos más comúnmente utilizada. Esta estrategia requiere una evaluación cuidadosa de los costos de las pérdidas, la estrategia de mitigación y los beneficios obtenidos de la operación o actividad en riesgo.

• Transferencia de riesgos: Algunos o todos los riesgos son transferidos a un tercero que acepte hacerse cargo, como una compañia de seguros.

Otros términos comúnmente utilizados en la seguridad de la red son los siguientes:

• Contramedida - las acciones que se toman para proteger los activos mitigando una amenaza o reduciendo el riesgo.

• Impacto - El daño potencial que sufre la organización que es causada debido a la amenaza.

Nota: Un ataque local requiere el acceso interno a la red, por ejemplo, un usuario con una cuenta en la red. Un ataque remoto no requiere una cuenta en la red para aprovechar su vulnerabilidad.

2.2.2 Hacker vs actor de amenazas

Amenazas internas y externas

• Script kiddies: El término “script kiddies” surgió en los noventa y se refiere a los atacantes adolescentes o inexpertos que ejecutan scripts, herramientas y exploits existentes para ocasionar daño, generalmente sin buscar obtener ganancias.

• Vulnerability brokers: Por lo general, los "Vulnerability brokers" son hackers de sombrero gris que intentan descubrir los ataques e informarlos a los proveedores, a veces a cambio de premios o recompensas.

• Hacktivistas: Hacktivistas es un término que hace referencia a los hackers de sombrero gris que se reúnen y protestan contra diferentes ideas políticas y sociales. Los hacktivistas protestan en público contra las organizaciones o los gobiernos mediante la publicación de artículos, vídeos, la filtración de información confidencial y la ejecución de ataques de denegación de servicio distribuida.

• Ciberdelincuentes: El término Ciberdelincuente es utilizado para los hackers de sombrero negro que son independientes o trabajan para grandes organizaciones de delito cibernético. Cada año, los delincuentes cibernéticos son responsables de robar miles de millones de dólares de consumidores y empresas.

• Patrocinados por el estado: Los hackers patrocinados por el estado son agentes de amenaza que roban secretos de gobierno, recogen inteligencia y sabotean las redes de gobiernos extranjeros, grupos terroristas y corporaciones. La mayoría de los países del mundo participan en algún tipo de hacking patrocinado por el estado. Según la perspectiva de cada persona, se trata de hackers de sombrero blanco o de sombrero negro.

Por ejemplo, un usuario recibe un correo electrónico en el que lee que ha sido el ganador de un gran premio. Si hace clic en el enlace, el correo electrónico termina siendo un ataque. El IOC puede incluir el hecho de que el usuario no interactuó con el correo, la dirección IP del remitente, la línea del asunto del correo electrónico, el enlace incluido para hacer click o un archivo adjunto para descargar, entre otros.
Los indicadores de ataque (IOA, por sus siglas en inglés) se centran más en la motivación detrás de un ataque y en los medios potenciales por los que los atacantes han comprometido o comprometerán las vulnerabilidades para acceder a los activos. Los IOA se interesan por las estrategias que utilizan los atacantes. Por esta razón, en lugar de informar la respuesta a una sola amenaza, los IOA pueden ayudar a generar un enfoque de seguridad proactivo. Esto se debe a que las estrategias se pueden reutilizar en múltiples contextos y múltiples ataques. Por lo tanto, defenderse contra una estrategia puede evitar futuros ataques que utilicen la misma estrategia o estrategia similar.

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA, siglas en inglés) ofrece asesoramiento y soluciones para los desafíos de ciberseguridad de los Estados miembros de la Unión Europea. ENISA cumple un papel en Europa similar al papel de CISA en los Estados Unidos.

2.3.1 ¿Qué aprendí en este Módulo?

• Versión :

Contiene un valor binario de 4 bits establecido en "0100" que lo identifica como un paquete de IPv4.

• Longitud del encabezado de Internet:

Un campo de 4 bits que contiene la longitud del encabezado IP.
La longitud mínima de un encabezado IP es de 20 bytes.

• Servicios diferenciados o DiffServ (DS): 

Antiguamente conocido como el campo de "Tipo de Servicio" (ToS, siglas en inglés), el campo DS es un campo de 8 bits utilizado para determinar la prioridad de cada paquete.
Los seis bits más importantes del campo DiffServ se encuentran en el punto de código de servicios diferenciados (DSCP, Differentiated Services Code Point).
Los dos últimos bits son los bits de notificación de congestión explícita (ECN, Explicit Congestion Notification).

• Longitud total: 

Especifica la longitud total del paquete IP incluyendo el encabezado IP y los datos del usuario.
El campo de longitud total es de 2 bytes, por lo que el tamaño máximo de un paquete IP es de 65 535 bytes.

• Identificación, Banderas y Desplazamiento de fragmentos:

A medida que un paquete IP se moviliza, es posible que deba cruzar una ruta que no es capaz de manejar el tamaño total del paquete.
El paquete se dividirá fragmentará en paquetes más pequeños y se rearmará más adelante.
Estos campos se utilizan para fragmentar y rearmar los paquetes.

• Tiempo de Existencia (TTL, siglas en inglés):

Este campo se utiliza para identificar el protocolo de capa superior.
Este valor binario de 8 bits indica el tipo de carga de datos que lleva el paquete, lo que permite que la capa de red transmita los datos al protocolo de capa superior apropiado.
ICMP (1), TCP (6) y UDP (17) son algunos valores comunes.

• Protocolo: 

Este campo se utiliza para identificar el protocolo de capa superior. 
Este valor binario de 8 bits indica el tipo de carga de datos que lleva el paquete, lo que permite que la capa de red transmita los datos al protocolo de capa superior apropiado. 

ICMP (1), TCP (6) y UDP (17) son algunos valores comunes.

• Checksum del encabezado:  

Corresponde a un valor que es calculado basándose en el contenido del encabezado IP del paquete. 

Se utiliza para determinar si se han introducido errores durante la transmisión.

• Dirección IPv4 de origen:  

Contiene un valor binario de 32 bits que representa la dirección IPv4 de origen del paquete.
La dirección IPv4 de origen siempre es una dirección de Unicast.

• Dirección IPv4 de destino:  

Contiene un valor binario de 32 bits que representa la dirección IPv4 de destino del paquete.

• Opciones y Relleno:   

Este es un campo que varia la longitud de 0 a un múltiplo de 32 bits

Si las opciones de valores no son un múltiplo de 32 bits, se agregan o intercalan ceros para garantizar que este campo contenga un múltiplo de 32 bits.

Versión:

• Este campo contiene un valor binario de 4 bits establecido en "0110" que lo identifica como un paquete IPv6.

Clase de tráfico:

• Este campo de 8 bits es equivalente al campo Differentiated Services (DS) de IPv4

Etiqueta de flujo:

• Este campo de 20 bits sugiere que todos los paquetes con la misma etiqueta de flujo sean manejados de la misma manera por los routers

Longitud de la payload(carga útil):

• Este campo de 16 bits indica la longitud de la porción de datos o de la payload (carga útil) del paquete IPv6.

Próximo encabezado:

• Este campo de 8 bits es equivalente al campo "Protocolo" de IPv4.

• Es un valor que indica el tipo de payload (carga útil) de datos que contiene el paquete, lo cual permite que la capa de red transmita los datos al protocolo de capa superior apropiado.

Límite de saltos:

• Este campo de 8 bits sustituye el campo TTL de IPv4.

• Cada router que reenvía el paquete reduce este valor en 1.

• Cuando llega a cero, se descarta el paquete y se envía un mensaje de tiempo superado de ICMPv6 al host de origen que indica que el paquete no llegó a destino porque excedió el límite de saltos.

Dirección IPv6 de origen:

• Este campo de 128 bits identifica la dirección IPv6 de origen del host emisor.

Dirección IPv6 de destino:

• Este campo de 128 bits identifica la dirección IPv6 del host receptor.

Un paquete IPv6 también contiene encabezados de extensión (EH) que proporcionan información opcional de la capa de red. Los encabezados de extensión son opcionales y están ubicados entre el encabezado de IPv6 y la payload (carga útil). Los encabezados de extensión (EH) se utilizan para fragmentar, dar seguridad, soportar movilidad, entre otras.
A diferencia de IPv4, los routers no fragmentan los paquetes IPv6 enrutados.

3.1.5 Video - Ejemplo de encabezados IPv6 en Wireshark

Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a ataques similares.
La siguiente tabla menciona algunos mensajes de interés ICMP para los atacantes.

Las redes deben tener filtros estrictos de Lista de Control de Acceso (ACL, siglas en inglés) de ICMP en el perímetro de la red para evitar sondeos de ICMP desde Internet. Los analistas de seguridad deben ser capaces de detectar ataques relacionados con ICMP observando el tráfico capturado y los archivos de registro. En el caso de redes grandes, los dispositivos de seguridad (como Firewalls e IDS) deben detectar este tipo de ataques y generar alertas para los analistas de seguridad.

3.2.3 Video - Ataques de Amplificación, Reflexión, y Suplantación (Spoofing)

1. Amplificación - El atacante reenvía mensajes de "echo request" de ICMP a muchos hosts. Estos mensajes contienen la dirección IP de origen de la víctima.

1. Reflejo - todos estos hosts responden a la dirección IP falsa de la víctima para abrumarla.

Nota: Actualmente se han estado utilizando nuevas formas de ataques de amplificación y reflexión, como ataques de amplificación y reflexión basados en DNS y ataques de amplificación de Network Time Protocol (NTP).
Los atacantes también usan ataques de agotamiento de recursos. Estos ataques consumen los recursos de un host objetivo detener su funcionamiento o consumir los recursos de una red.

3.2.5 Ataques de suplantación (spoofing) de direcciones

Los ataques de Suplantación de dirección IP se producen cuando un atacante crea paquetes con información suplantada de la dirección IP de origen, ya sea para ocultar la identidad del remitente o hacerse pasar por otro usuario legítimo. Entonces, el atacante puede obtener acceso a datos a los que, de otro modo, no podría acceder, o para eludir configuraciones de seguridad. La Suplantación de dirección IP suele formar parte de otro ataque denominado ataque Smurf.

Los ataques de Spoofing (suplantación) pueden ser "blind" (a ciegas) o "non-blind" (con visibilidad):

• Non-blind spoofing: El atacante puede observar el tráfico que está siendo enviado entre el host y el objetivo. El atacante usa este tipo de suplantación para inspeccionar el paquete de respuesta del objetivo. Esta técnica determina el estado de un Firewall y la predicción del número de secuencia. También puede secuestrar una sesión autorizada.

• Blind spoofing: El atacante no puede ver el tráfico que se envía entre el host y el objetivo. Este tipo de suplantación se utiliza en ataques de DoS.

Los ataques de suplantación de dirección MAC se utilizan cuando los agentes de amenaza tienen acceso a la red interna. Los atacantes cambian la dirección MAC de su host para que coincida con otra dirección MAC conocida de un host objetivo, como se ve en la Figura 1. Luego, el host atacante envía una trama a través de la red con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la dirección MAC de origen.
El atacante falsifica la dirección MAC de un servidor

                 

El switch sobrescribe la entrada actual en la tabla CAM y asigna la dirección MAC al puerto nuevo, como se ve en la Figura 2. Luego, reenvía las tramas destinadas al host objetivo, hacia el host atacante.

Un switch actualiza la tabla CAM con una dirección falsa

La suplantación de aplicaciones o servicios es otro ejemplo de suplantación. Un atacante puede conectar un servidor DHCP malicioso para crear una condición MiTM.

Los siguientes son los seis bits de control del segmento TCP:

• URG - campo indicador urgente importante

• ACK - campo de reconocimiento significativo

• PSH - función de empuje

• RST - restablecer la conexión

• SYN - sincronizar números de secuencia

• FIN -no hay más datos del emisor

Una conexión TCP se establece en tres pasos:

1. El cliente de origen solicita una sesión de comunicación con el servidor.
2. El servidor reconoce la sesión de comunicación de cliente a servidor y solicita una sesión de comunicación de servidor a cliente.
3. El cliente que inicia reconoce la sesión de comunicación de servidor a cliente.

1. El atacante envía múltiples solicitudes SYN a un servidor web.
2. El servidor web responde con SYN-ACK para cada solicitud SYN y espera para completar el intercambio de señales de tres vías.
3. Un usuario válido no puede acceder al servidor web porque el servidor tiene demasiadas conexiones TCP medio abiertas

Ataque de restablecimiento a TCP
Un ataque de restablecimiento de TCP puede utilizarse para terminar las comunicaciones de TCP entre dos hosts. La figura muestra como TCP utiliza un intercambio de cuatro vías para cerrar la conexión TCP con un par de segmentos FIN y ACK desde cada terminal de TCP. Una conexión TCP termina cuando recibe un bit RST. Esta es una manera abrupta de eliminar la conexión TCP e informar al host de recepción que deje de usar la conexión TCP de inmediato. Un agente de amenaza podría efectuar un ataque de restablecimiento de TCP y enviar un paquete falso con un RST de TCP a uno o ambos terminales.
Terminar una conexión TCP

Otra vulnerabilidad es el secuestro de sesiones de TCP. Aunque es difícil de realizar, permite que un atacante tome el control de un host autenticado mientras este se comunica con el objetivo El atacante tendría que suplantar la dirección IP de un host, predecir el siguiente número de secuencia y enviar un ACK al otro host. Si tiene éxito, el atacante puede enviar, pero no recibir, datos desde el dispositivo objetivo.

Sin embargo aunque UDP es normalmente llamado "poco confiable", no significa que aplicaciones que utilizan UDP no sean confiables. Significa que estas funciones no las proporciona el protocolo de la capa de transporte, y se deben implementar aparte si es necesario.
La baja sobrecarga del UDP es muy deseable para los protocolos que realizan transacciones simples de solicitud y respuesta. Por ejemplo, usar TCP para DHCP introduciría una cantidad innecesaria de tráfico de red. Si no se recibe respuesta, el dispositivo reenvía la solicitud.

3.4.1 ¿Qué aprendí en este módulo?

Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP gratuito”. Esto suele hacerse cuando un dispositivo se inicia por primera vez para informar a todos los demás dispositivos de la red local sobre la nueva dirección MAC del dispositivo. Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
Sin embargo, esta característica de ARP también significa que cualquier host puede afirmar ser el dueño de cualquier IP/MAC que elija. Un atacante puede envenenar la caché ARP de los dispositivos en la red local y crear un ataque MiTM para redireccionar el tráfico. El objetivo es asociar la dirección MAC del atacante con la dirección IP de la Puerta de enlace por defecto en las caché ARP de los hosts del segmento LAN. Esto posiciona al atacante entre la víctima y todos los demás sistemas fuera de la subred local.

Respuesta de ARP

                         

Respuestas ARP gratuitas falsificadas

En la figura 3, el atacante envía dos respuestas de ARP gratuitas falsas usando su propia dirección MAC para las direcciones IP de destino indicadas. La PC-A actualiza su caché ARP con su Puerta de enlace por defecto, la cual ahora apunta hacia la MAC del host del atacante. El R1 también actualiza su caché ARP con la dirección IP de la PC-A y comienza a apuntar a la dirección MAC del atacante.
El anfitrión del atacante está ejecutando un ataque de envenenamiento ARP. El envenenamiento ARP puede ser pasivo o activo: Pasivo: Los atacantes roban información confidencial. Activo: Los atacantes modifican datos en tránsito o inyectan datos maliciosos.

                             

Nota: Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como dsniff, Cain & Abel, ettercap y Yersinia.

Ataques DNS Domain shadowing
El uso de Domain shadowing implica que el atacante recolecte credenciales de cuenta de dominio para crear múltiples subdominios para utilizarlos durante los ataques. Estos subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario real del dominio principal.

En la figura, un cliente transmite un mensaje de DHCP discover. El servidor DHCP responde con una oferta de unicast que incluye información de direccionamiento que el cliente puede usar. El cliente transmite una solicitud DHCP para decirle al servidor que acepta la oferta. El servidor le responde mediante unicast con un acuse de recibo, aceptando la solicitud.

4.2.1 HTTP y HTTPS

4.2.2 Ataques HTTP comunes

Al igual que cualquier otro servicio que escucha en un puerto en busca de conexiones entrantes, los servidores SMTP también pueden tener vulnerabilidades. Siempre mantenga al día el software de SMTP con parches y actualizaciones de software y seguridad. Para evitar que los agentes de amenaza cumplan su tarea de engañar al usuario final, implemente medidas. Utilice un dispositivo de seguridad específico para correo electrónico, como el Dispositivo de seguridad de correo electrónico Cisco. Esto ayudará a detectar y bloquear muchos tipos conocidos de amenazas, como la suplantación de identidad, el correo electrónico no deseado y el malware. Además, eduque al usuario final. Cuando los ataques superan las medidas de seguridad implementadas (lo harán a veces), el usuario final es la última línea de defensa. Enséñeles a reconocer el correo electrónico no deseado, los intentos de suplantación de identidad, los enlaces y las direcciones URL dudosos, los homógrafos y a nunca abrir archivos adjuntos sospechosos.

4.2.4 Bases de datos expuestas en la web

Las aplicaciones web suelen conectarse a una base de datos relacional para tener acceso a los datos. Como las bases de datos relacionales a menudo contienen datos sensibles, son un objetivo frecuente de los ataques.

Inyección de código: 

Los atacantes son capaces de ejecutar comandos en el sistema operativo de un servidor web mediante una aplicación web vulnerable. Esto puede ocurrir si la aplicación web proporciona campos de entrada al atacante para ingresar datos maliciosos. Los comandos del atacante son ejecutados mediante la aplicación web y tienen los mismos permisos que dicha aplicación. Este tipo de ataques se usa porque usualmente no hay suficiente validación de las entradas. Un ejemplo es cuando un atacante "inyecta" código PHP en un campo de entrada inseguro en la página del servidor.

Inyección SQL:

SQL es el lenguaje que se utiliza para consultar una base de datos relacional. Los agentes de amenaza utilizan las inyecciones SQL para infringir la seguridad de la base de datos relacional, crear consultas SQL maliciosas y obtener datos confidenciales de la base de datos relacional.

Uno de los ataques de base de datos más común es el ataque de inyección SQL. Este ataque consiste en introducir una consulta SQL usando los datos de entrada desde el cliente hacia la aplicación. Un ataque exitoso de inyección SQL, puede leer los datos confidenciales de la base de datos, modificarlos, ejecutar operaciones de administración de la base de datos y, a veces, emitir comandos al Sistema Operativo.
A menos que una aplicación utilice validación estricta para los datos de entrada, será vulnerable al ataque de inyección SQL. Si una aplicación acepta y procesa los datos suministrados por el usuario sin ninguna validación de datos de entrada, un agente de amenaza podría presentar una cadena de entrada maliciosa para desencadenar el ataque de inyección SQL.
Los analistas de seguridad deben ser capaces de reconocer consultas SQL sospechosas para detectar si se realizaron ataques de inyección SQL en la base de datos relacional. Deben tener la capacidad de determinar qué identificación de usuario usó el agente de amenaza para iniciar sesión y, después, identificar cualquier información o acceso posterior que el agente de amenaza podría haber usado tras un inicio de sesión satisfactorio.

4.2.6 Lab Video - instalación de una máquina virtual en una computadora personal

4.4.1 ¿Qué Aprendí en este Módulo?

5.1.1 Video – Operación de WLAN

5.1.6 Modo de descubrimiento Pasivo y Activo

Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben conectar a este. Los clientes inalámbricos se conectan al AP mediante un proceso de análisis (sondeo). Este proceso puede ser pasivo o activo.

5.2.1 Video - Amenazas en la WLAN

5.3.1 Video – WLAN seguras

5.4.1 ¿Qué Aprendí en este Módulo?

6.1.1 Vídeo - Dispositivos de seguridad

Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes.

6.1.3 Arquitecturas de seguridad comunes

Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico según el origen, el destino y el tipo de tráfico. Algunos diseños son tan simples y solo consisten en diseñar una red externa y una interna, que son determinadas por dos interfaces en un firewall.
Aquí hay tres diseños comunes de firewall.

Privado y público.
Como se ve en la Figura, la red pública (o externa) no es de confianza y la red privada (o interna) es de confianza.
Normalmente, un firewall con dos interfaces se configura del siguiente modo:

• El tráfico procedente de la red privada se autoriza e inspecciona mientras viaja hacia la red pública. También se autoriza el tráfico inspeccionado que regresa de la red pública y está relacionado con el tráfico que se originó en la red privada.

• Generalmente, se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.

              

Zona perimetral
Una zona perimetral (DMZ, Demilitarized Zone) es un diseño de firewall donde, normalmente, hay una interfaz interna conectada a la red privada, una interfaz externa conectada a la red pública y una interfaz de DMZ, como se ve en la Figura.

• El tráfico procedente de la red privada se inspecciona mientras viaja hacia la red pública o la DMZ. Este tráfico se permite casi sin restricciones. También se permite el tráfico inspeccionado que regresa a la red privada desde la DMZ o la red pública.
• Con frecuencia, se bloquea el tráfico procedente de la DMZ que viaja hacia la red privada.
• El tráfico procedente de la DMZ y que viaja hacia la red pública se permite, siempre y cuando cumpla con los requisitos de servicio.
• El tráfico procedente de la red pública que viaja hacia la DMZ se permite de manera selectiva y se inspecciona. Este tipo de tráfico suele ser de correo electrónico, DNS, HTTP o HTTPS. Se permite de manera dinámica el tráfico que regresa de la DMZ a la red pública.
• Se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.

                                    

Firewall de políticas basados en zonas

En los firewalls de políticas basadas en zonas (Zone-based policy firewalls, ZPF) se utiliza el concepto de zonas para ofrecer mayor flexibilidad. Una zona es un grupo de al menos una interfaz con funciones o características similares. Las zonas ayudan a especificar dónde se debe implementar una regla o política de firewall Cisco IOS. En la Figura, las políticas de seguridad para las redes LAN 1 y LAN 2 son similares y pueden agruparse en una zona para las configuraciones de firewall. De manera predeterminada, el tráfico entre interfaces en la misma zona no está sujeto a ninguna política y pasa libremente. Sin embargo, se bloquea todo el tráfico de zona a zona. Con el fin de permitir el tráfico entre zonas, debe configurarse una política que permita o inspeccione el tráfico.
La única excepción a esta política predeterminada de denegar todo es la zona autónoma del router. La zona autónoma del router es el router en sí mismo e incluye todas las direcciones IP de interfaz de router. Las configuraciones de políticas que incluyen la zona autónoma se aplican al tráfico al router y procedente de él. De manera predeterminada, no hay ninguna política para este tipo de tráfico. El tráfico que debe tenerse en cuenta al diseñar una política para la zona autónoma incluye el tráfico del plano de control y del plano de administración, como SSH, SNMP y protocolos de enrutamiento.

                                           

6.1.4 Descripciones de tipos de firewall

Es importante entender los diferentes tipos de firewalls y sus capacidades específicas, de modo que se utilice el firewall adecuado para cada situación.

Firewall para filtrado de paquetes (sin estado)

Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. Son firewalls sin estado que utilizan una simple búsqueda en la tabla de políticas que filtra el tráfico según criterios específicos.
Por ejemplo, los servidores SMTP escuchan el puerto 25 de manera predeterminada. Un administrador puede configurar el firewall de filtrado de paquetes para bloquear el puerto 25 desde una estación de trabajo específica a fin de evitar que difunda un virus por correo electrónico.

                                                   

Firewall activo

Los firewalls con estado son los más versátiles y las tecnologías de firewall más comúnmente usadas. Los firewalls activos proporcionan un filtrado de paquetes utilizando la información de conexión que se mantiene en una tabla de estados. El filtrado con estado es una arquitectura de firewall que se clasifica en la capa de red. También analiza el tráfico en las capas 4 y 5 de OSI.

                                                     

Firewall del gateway de aplicaciones

Un firewall de gateway de aplicaciones (firewall proxy), como se muestra en la figura, filtra la información en las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayor parte del control y filtrado del firewall se realiza en el software. Cuando un cliente necesita tener acceso a un servidor remoto, se conecta a un servidor proxy. El servidor proxy se conecta al servidor remoto en nombre del cliente. Por lo tanto, el servidor solamente ve una conexión desde el servidor proxy.

                                                              

Firewall de próxima generación
Los firewalls de próxima generación (NGFW) van más allá de los firewalls con estado y ofrecen lo siguiente:

• Prevención de intrusiones integrada.
• Control y reconocimiento de aplicaciones para ver y bloquear aplicaciones riesgosas.
• Rutas de actualización para incluir futuros datos de información.
• Técnicas para afrontar amenazas de seguridad en constante evolución.

                                      

Otros métodos de implementación de firewall incluyen los siguientes:

• Firewall basado en host (servidor y personal) - Una PC o servidor con software de firewall ejecutándose en él.
• Firewall transparente - Filtra el tráfico IP entre un par de interfaces puenteadas.
• Firewall híbrido - Una combinación de los distintos tipos de firewall. Por ejemplo, un firewall de inspección de aplicación combina un firewall con estado y un firewall de gateway de aplicación.

6.1.5 Dispositivos de detección y prevención de intrusiones

Es necesario un cambio de paradigma en las arquitecturas de red para defenderse de los ataques cada vez más rápidos y complejos. Este debe incluir sistemas de detección y prevención rentables, como sistemas de detección de intrusiones (IDS, Intrusion Detection System) o sistemas de prevención de intrusiones (IPS, Intrusion Prevention System), que son más escalables. La arquitectura de red integra estas soluciones en los puntos de entrada y salida de la red.
Al implementar IDS o IPS, es importante conocer los tipos de sistemas disponibles, los enfoques basados en host y basados en la red, la implementación de estos sistemas, el papel que desempeñan las categorías de firma y las posibles acciones que puede adoptar un router de Cisco IOS cuando se detecta un ataque.
La figura muestra cómo un dispositivo IPS maneja el tráfico malicioso.
Características de IDS e IPS

                                

1. El tráfico malicioso se envía al host de destino que está dentro de la red.
2. El tráfico se enruta a la red y es recibido mediante un sensor IPS habilitado donde está bloqueado.
3. El sensor IPS habilitado envía información de registro con respecto al tráfico a la consola de administración de la seguridad de la red.
4. El sensor habilitado para IPS elimina el tráfico (se envía al "depósito de bits").

Ambas tecnologías se implementan como sensores. Un sensor IDS o IPS puede adoptar la forma de varios dispositivos diferentes:

• Un router configurado con el software IPS de Cisco IOS.
• Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS exclusivos.
• Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA, Adaptive Security Appliance), switch o router.

Las tecnologías IDS e IPS utilizan firmas para detectar patrones de tráfico de red. Una firma es un conjunto de reglas que un IDS o IPS utiliza para detectar actividad maliciosa. Las firmas pueden utilizarse para detectar infracciones graves de seguridad y ataques de red comunes, y para recopilar información. Las tecnologías IDS e IPS pueden detectar patrones de firma atómica (paquete individual) o patrones de firma compuesta (varios paquetes).

6.1.6 Ventajas y desventajas de IDS e IPS

Ventajas y desventajas de un IDS
La tabla de lista de ventajas y desventajas de IDS e IPS.

Solución	Ventajas	Desventajas
IDS	Sin impacto en la red (latencia, jitter) Sin impacto en la red si hay una falla del sensor Sin impacto en la red si hay sobrecarga del sensor	La acción de respuesta no puede detener los paquetes desencadenantes Ajuste correcto requerido para las acciones de respuesta Más vulnerable a las técnicas de evasión de seguridad de la red
IPS	Detener paquetes de activación Puede usar técnicas de normalización de flujo	Los problemas del sensor afectan el tráfico de la red por la noche La sobrecarga del sensor afecta la red Algún impacto en la red (latencia, jitter)

6.1.7 Tipos de IPS

Existen dos tipos primarios de IPS disponibles: IPS basados en hosts y con base en la red.
IPS con base en host
La tecnología IPS con base en host (HIPS) es un software instalado en un host para controlar y analizar actividades sospechosas. Una ventaja importante de HIPS es que puede monitorear y proteger el sistema operativo y los procesos fundamentales del sistema que son específicos de ese host. Con un conocimiento detallado del sistema operativo, HIPS puede monitorear la actividad inusual y evitar que el host ejecute comandos que no coinciden con el comportamiento habitual. Este comportamiento sospechoso o malicioso podría incluir actualizaciones del registro no autorizadas, cambios en el directorio del sistema, ejecución de programas de instalación y actividades que provocan desbordamientos del búfer. También es posible monitorear el tráfico de red para evitar que el host participe en un ataque de denegación de servicio (DoS, Denial of Service) o forme parte de una sesión de FTP ilícita.
HIPS puede considerarse una combinación de firewall, software antivirus y software antimalware. Combinado con IPS con base en la red, HIPS es una herramienta eficaz para brindar protección adicional al host.
Una desventaja de HIPS es que actúa solamente a nivel local. No tiene una perspectiva completa de la red o de los eventos coordinados que podrían estar ocurriendo en toda la red. Para ser eficaz en una red, HIPS debe instalarse en cada host y ser compatible con cada sistema operativo.
Seleccione los encabezados para obtener más información sobre las ventajas y las desventajas de HIPS.

Ventajas

• Proporciona protección específica a un sistema operativo del host
• Proporciona protección al nivel del sistema operativo y de las aplicaciones
• Protege al host después de descifrar el mensaje

Desventajas

• Depende del sistema operativo
• Debe instalarse en todos los hosts

IPS con base en la red
La tecnología IPS con base en la red se puede implementar utilizando un dispositivo IPS exclusivo o no exclusivo. Las implementaciones de IPS con base en la red son un componente fundamental de la prevención de intrusiones. Hay soluciones IDS/IPS con base en el host, pero estas deben integrarse con una implementación de IPS con base en la red para que la arquitectura de seguridad sea realmente sólida.
Los sensores detectan actividad maliciosa y no autorizada en tiempo real y pueden tomar medidas cuando es necesario. Como se muestra en la figura, los sensores se despliegan en puntos de red designados. Esto permite a los administradodres de seguridad a monitorear la actividad de la red mientras esto ocurre, sin importar dónde sea el objetivo del ataque.
Implementación de sensor IPS de muestra

                 

6.1.8 Dispositivos de seguridad especializados