Ir al contenido principal

Diagrama de temas

    • 4 - Seguridad de Terminales


      • Prueba de mi conocimiento

      • Módulo 1: Amenazas, vulnerabilidades y ataques a la ciberseguridad

        1.0.1 ¿Por qué debería realizar este curso?

        Bienvenido a este módulo, cuyo objetivo es explorar la gama de riesgos y amenazas de ciberseguridad que están siempre presentes en nuestro mundo actual.
        Los ciberdelincuentes encuentran constantemente nuevas formas de aprovechar vulnerabilidades en sistemas y redes, a menudo con la intención de robar información confidencial y / o dinero.
        Como profesional de la ciberseguridad, debe poder considerar la posibilidad de un ataque cibernético (una amenaza), reconocer qué hace que un objetivo sea susceptible a un ataque (una vulnerabilidad) y comprender los diferentes tipos de ataques cibernéticos y sus efectos.




        1.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 4 vídeos
        • 1 laboratorio
        • 1 Actividad de Packet Tracer
        • 1 Prueba del Módulo
        Título del módulo: Amenazas, vulnerabilidades y ataques a la ciberseguridad
        Objetivo del módulo: explicar cómo los agentes de amenazas ejecutan algunos de los tipos más comunes de ataques cibernéticos.
        Título del tema Objetivo del tema
        Amenazas comunes

        Explicar las amenazas, vulnerabilidades y ataques que ocurren en los distintos dominios.

        Engaño Identificar los diferentes métodos de engaño utilizados por los atacantes para engañar a sus víctimas.
        Ataques ciberneticos Describir algunos tipos comunes de ataques a la red.
        Ataques a dispositivos inalámbricos y móviles Describir los tipos comunes de ataques a dispositivos inalámbricos y móviles.
        Ataques de aplicaciones Describir los tipos de ataques a aplicaciones.


        • 1.1. Amenazas comunes

          1.1.1 Dominios de amenazas


          Dado que las organizaciones enfrentan un número cada vez mayor de amenazas cibernéticas, es fundamental que cuenten con soluciones de seguridad sólidas. Pero para protegerse, las organizaciones primero deben saber qué vulnerabilidades existen dentro de sus dominios de amenazas. Se considera que un “dominio de amenazas” es un área de control, autoridad o protección que los atacantes pueden aprovechar para obtener acceso a un sistema.
          Los atacantes pueden descubrir muchas vulnerabilidades y aprovechar los sistemas de un dominio de muchas maneras.






          1.1.2 Tipos de amenazas cibernéticas


          Las ciberamenazas se pueden clasificar en diferentes categorías. Esto permite a las organizaciones evaluar la probabilidad de que se produzca una amenaza y comprender el impacto monetario de una amenaza para que puedan priorizar sus esfuerzos de seguridad.










          1.1.3 Avatar

          Recuerde que el repertorio de los ciberdelincuentes es vasto y está en constante evolución. A veces, pueden combinar dos o más de las tácticas anteriores para aumentar sus posibilidades.
          Depende de los profesionales de ciberseguridad crear conciencia y educar a otras personas en una organización sobre estas tácticas para evitar que sean víctimas de tales ataques.
          Un personaje sentado en una pose de yoga con las piernas cruzadas






          1.1.4 Amenazas Internas vs Externas



          Las amenazas pueden originarse tanto dentro como fuera de una organización, con atacantes que buscan acceso a información confidencial valiosa, como registros de personal, propiedad intelectual y datos financieros.
          Las amenazas internas generalmente son llevadas a cabo por empleados actuales o anteriores y otros socios contractuales que manipulan accidental o intencionalmente datos confidenciales o amenazan las operaciones de servidores o dispositivos de infraestructura de red conectando medios infectados o accediendo a correos electrónicos o sitios web maliciosos.
          Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener acceso.
          Amenazas externas e internas que se extienden desde los ciberdelincuentes.










          Un personaje en una pose con las piernas cruzadas

          1.1.5 Avatar


          ¿Sabía que las amenazas internas tienen el potencial de causar un daño mayor que las amenazas externas? Esto se debe a que los empleados o partners que trabajan en una organización tienen acceso directo a sus instalaciones y dispositivos de infraestructura. También tendrán un conocimiento interno de la red, los recursos y los datos confidenciales de la organización, así como las medidas de seguridad implementadas.





          1.1.6 Conocer la diferencia


          Le preocupan algunas amenazas potenciales que se informaron recientemente en @Apollo. Pero antes de poder abordarlas, debe comprender si las amenazas provienen de una fuente interna o externa.










          Un personaje en una pose con las piernas cruzadas

          1.1.7 Avatar


          Las ciberamenazas pueden propagarse de varias maneras, como a través de los propios usuarios, dispositivos conectados a la red o servicios alojados en una nube pública o privada. Y no olvide la amenaza de un ataque físico si no se aplican las medidas de seguridad adecuadas.
          Observemos esto con mayor profundidad.






          1.1.8 Vulnerabilidades y amenazas comunes a los usuarios


          Un dominio de usuario incluye cualquier persona con acceso al sistema de información de una organización, incluidos empleados, clientes y partners contractuales. Los usuarios generalmente son el eslabón más débil en los sistemas de seguridad informática y representan una amenaza importante para la confidencialidad, la integridad y la disponibilidad de los datos de la organización.







          1.1.9 Amenazas a los dispositivos

          • Cualquier dispositivo que quede encendido y desatendido representa el riesgo de que alguien obtenga acceso no autorizado a los recursos de la red.
          • La descarga de archivos, fotos, música o vídeos de fuentes poco confiables podría generar la ejecución de código malicioso en los dispositivos.
          • Los ciberdelincuentes a menudo aprovechan las vulnerabilidades de seguridad dentro del software instalado en los dispositivos de una organización para lanzar un ataque.
          • Los equipos de seguridad de la información de una organización deben intentar mantenerse al día con el descubrimiento diario de nuevos virus, gusanos y otro malware que representa una amenaza para sus dispositivos.
          Un bocadillo rojo con una calavera saliendo de la pantalla de un portátil.
          Dispositivo USB


          • Los usuarios que insertan unidades USB, CD o DVD no autorizados corren el riesgo de introducir malware o comprometer los datos almacenados en sus dispositivos.
          • Las políticas existen para proteger la infraestructura de TI de la organización. Un usuario puede enfrentar serias consecuencias por violar intencionalmente dichas políticas.
          • El uso de hardware o software desactualizado hace que los sistemas y los datos de una organización sean más vulnerables a los ataques.





          1.1.10 Amenazas a la red de área local


          La red de área local (LAN) es un conjunto de dispositivos, generalmente en la misma área geográfica, conectados por cables (cableados) o ondas (inalámbricas). Debido a que los usuarios pueden acceder a los sistemas, aplicaciones y datos de una organización desde el dominio LAN, es fundamental que tenga una seguridad sólida y controles de acceso estrictos.


          Entre los ejemplos de amenazas a la LAN se incluyen:

          • Acceso no autorizado a los sistemas, los datos, las salas de computadoras y los armarios de cableado.
          • Vulnerabilidades de software debido a sistemas operativos o servicios de red anticuados.
          • Ataques a los datos en tránsito.
          • Tener servidores LAN con hardware o sistemas operativos diferentes hace que administrarlos y solucionarlos sea más difícil.
          • Escaneo del puerto y sondeo de redes no autorizados.
          Amenazas a la red de área local






          1.1.11 Amenazas a la nube privada

          El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados disponibles para los miembros de la organización a través de Internet. Si bien muchas organizaciones consideran que sus datos están más seguros en una nube privada, este dominio aún presenta amenazas de seguridad significativas, que incluyen:
          • Escaneo de puertos y sondeo de redes no autorizados
          • Acceso no autorizado a los recursos
          • Vulnerabilidad del software del sistema operativo de los dispositivos de red, firewall o router
          • Error de configuración del router, firewall o dispositivo de red
          • Usuarios remotos que acceden a la infraestructura de la organización y descargan datos confidenciales.
          Una nube en el centro de cuatro iconos: un escritorio, un router con señal inalámbrica, un servidor y una computadora portátil





          1.1.12 Amenazas a la nube pública


          Cuando un dominio de nube privada aloja recursos de computación para una sola organización, el dominio de nube pública es la totalidad de los servicios de computación alojados por una nube, un servicio o un proveedor de Internet que están disponibles para el público y se comparten entre las organizaciones.
          Hay tres modelos de servicios de nube pública que las organizaciones pueden optar por utilizar.








          1.1.13 Avatar

          Si bien los proveedores de servicios de nube pública implementan controles de seguridad para proteger el entorno de la nube, las organizaciones son responsables de proteger sus propios recursos en la nube. Por lo tanto, algunas de las amenazas más comunes al dominio de nube pública incluyen:
          • Violaciones de datos
          • Pérdida o robo de propiedad intelectual
          • Credenciales comprometidas o secuestro de cuenta.
          • Ataques de ingeniería social
          • Violación del cumplimiento.
          Carácter en una pose con las piernas cruzadas



          1.1.14 ¿Qué piensa?


          Las amenazas físicas a menudo se pasan por alto al considerar la ciberseguridad, pero la seguridad física es, de hecho, fundamental cuando queremos evitar que una organización sea víctima de un delito cibernético.
          Con esto en mente, tómese unos minutos para pensar en posibles amenazas físicas a las oficinas de @Apollo.
          Escriba algunos ejemplos en el cuadro a continuación, luego seleccione Enviar. Luego seleccione Mostrar respuesta para revelar algunos ejemplos comunes de amenazas al dominio de las instalaciones físicas de una organización y comparar su respuesta.









          1.1.15 Amenazas a las Aplicaciones


          El dominio de aplicación incluye todos los sistemas críticos, las aplicaciones y los datos. Las organizaciones están moviendo aplicaciones, como el correo electrónico, el monitoreo de la seguridad y la administración de la base de datos a la nube pública.
          Amenazas comunes a las aplicaciones
          • Acceso no autorizado a los centros de datos, las salas de computadoras y los armarios de cableado
          • Tiempo de inactividad del servidor durante los períodos de mantenimiento.
          • Vulnerabilidades de software del sistema operativo de la red.
          • Pérdida de datos
          • Vulnerabilidades de desarrollo de aplicaciones web o de cliente/servidor.






          1.1.16 Complejidad de las amenazas


          Las vulnerabilidades de software actualmente tienen como base los errores de programación, las vulnerabilidades de protocolo o las configuraciones erróneas del sistema. Los ciberdelincuentes buscan aprovechar dichas vulnerabilidades y se están volviendo cada vez más sofisticados en sus métodos de ataque.
          Desplace hacia abajo para obtener más información.

          Un icono de hacker con un triángulo amarillo y un signo de exclamación a la izquierda y un error a la derecha



          Una amenaza persistente avanzada (APT) es un ataque continuo que utiliza tácticas de espionaje elaboradas que involucran a múltiples actores y/o malware sofisticado para obtener acceso a la red de un objetivo y analizarla. Los atacantes operan bajo el radar y permanecen sin ser detectados durante un largo período de tiempo, con consecuencias potencialmente devastadoras. Las APT generalmente apuntan a gobiernos y organizaciones de alto nivel y generalmente están bien organizadas y bien financiadas.



          Como su nombre indica, los ataques de algoritmos aprovechan los algoritmos de un software legítimo para generar comportamientos no deseados. Por ejemplo, los algoritmos utilizados para rastrear e informar cuánta energía consume una computadora se pueden utilizar para seleccionar objetivos o activar alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a usar memoria o a trabajar demasiado su unidad de procesamiento central.
          Un icono con un proceso cibernético que muestra ataques algorítmicos






          Un personaje en una pose con las piernas cruzadas

          1.1.17 Avatar

          Muchas organizaciones confían en los datos de inteligencia de amenazas para comprender su riesgo general, a fin de poder formular y aplicar medidas preventivas y de respuesta eficaces.
          Algunos de estos datos son de código cerrado y requieren una suscripción paga para acceder. Otros datos se consideran inteligencia de código abierto (OSINT) y se puede acceder desde fuentes de información disponibles al público. De hecho, compartir datos de inteligencia de amenazas es cada vez más popular, con gobiernos, universidades, organizaciones del sector de la salud y empresas privadas trabajando juntos para mejorar la seguridad de todos.





          1.1.18 Puertas traseras y rootkits

          Los ciberdelincuentes utilizan muchos tipos diferentes de software malicioso, o malware, para llevar a cabo sus actividades.








          1.1.19 Inteligencia contra amenazas y fuentes de investigación


          El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) y el Departamento de Seguridad Nacional de los Estados Unidos patrocinan un diccionario de vulnerabilidades y exposiciones comunes (CVE).
          Cada entrada de CVE contiene un número de identificador estándar, una breve descripción de la vulnerabilidad de seguridad y referencias importantes a informes de vulnerabilidad relacionados. The Mitre Corporation mantiene una lista de CVE y su sitio web público.




        • 1.2. Engaño

          1.2.1 Ingeniería social


          La ingeniería social es un ataque que intenta manipular a las personas para que realicen acciones o divulguen información confidencial.
          En lugar de vulnerabilidades de software o hardware, la ingeniería social aprovecha la naturaleza humana, aprovechando la disposición de las personas a ayudar o aprovechando sus debilidades, como la avaricia o la vanidad.







          1.2.2 Tácticas de ingeniería social






          1.2.2 Tácticas de ingeniería social



          Recuerde que el repertorio de los ciberdelincuentes es vasto y está en constante evolución. A veces, pueden combinar dos o más de las tácticas anteriores para aumentar sus posibilidades.
          Depende de los profesionales de ciberseguridad crear conciencia y educar a otras personas en una organización sobre estas tácticas para evitar que sean víctimas de tales ataques.

          Un personaje en una pose con las piernas cruzadas


          1.2.4 ¡Cuidado!


          Usted está investigando un correo electrónico sospechoso que se envió hoy a los trabajadores remotos de @Apolo. Parece que el correo electrónico ha sido enviado por Guru, pidiéndole a los empleados que hagan clic en un enlace para descargar una red privada virtual que protegerá su conexión Wi-Fi mientras trabajan en su casa. Aunque el correo electrónico parece legítimo, al hacer clic en el enlace se instala el malware en el dispositivo del empleado.










          Un personaje en una pose de yoga con las piernas cruzadas

          1.2.5 Avatar


          La mayoría de los ataques cibernéticos implican algún tipo de engaño. Echemos un vistazo a algunos de los tipos más comunes.







          1.2.6 Shoulder Surfing y Dumpster Diving

          La navegación de hombro

          Es un ataque simple que implica observar o literalmente mirar por encima del hombro de un objetivo para obtener información valiosa, como PIN, códigos de acceso o detalles de tarjetas de crédito. Los delincuentes no siempre tienen que estar cerca de la víctima para navegar por el hombro; pueden usar binoculares o cámaras de seguridad para obtener esta información. Este es un motivo por el que una persona solo puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la técnica de espiar por encima del hombro mucho más difícil.

          Una computadora portátil con una tabla de surfear que sale de la pantalla
          Un gran contenedor lleno de dinero y gemas


          Dumpster Diving

          Es posible que haya oído hablar de la frase "la basura de un hombre es el tesoro de otro". En ninguna parte es esto más cierto que en el mundo del buceo en basureros: el proceso de revisar la basura de un objetivo para ver qué información se ha tirado. Esta es la razón por la cual los documentos que contienen información confidencial deben triturarse o almacenarse en bolsas para quemar hasta que el fuego los destruya después de un cierto período de tiempo.






          1.2.7 Suplantación de identidad y engaños

          Los ciberdelincuentes tienen muchas otras técnicas de engaño para ayudarlos a tener éxito.






          1.2.8 Piggybacking y Tailgating


          Piggybacking o tailgating ocurren cuando un delincuente sigue a una persona autorizada para ingresar a un lugar seguro o un área restringida. Los delincuentes pueden lograr esto:
          • Dando la apariencia de ser escoltado a las instalaciones por una persona autorizada.
          • Uniéndose y fingiendo ser parte de una gran multitud que ingresa a las instalacione.
          • Apuntándose a una persona autorizada que descuida las reglas de la instalación.
          Una forma de evitar esto es usar dos conjuntos de puertas. Esto a veces se denomina mantrap y significa que las personas ingresan por una puerta exterior, que debe cerrarse antes de que puedan acceder a través de una puerta interior.






          1.2.9 Otros métodos de engaño

          Tenga en cuenta que los atacantes tienen muchos más trucos bajo la manga para engañar a sus víctimas.







          1.2.10 Defensa contra el engaño

          Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar correctamente a los empleados en relación con las medidas de prevención, como las siguientes: Estos son algunos consejos importantes.
          • Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat, en persona o por teléfono a desconocidos.
          • Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.
          • Tenga cuidado con las descargas no iniciadas o automáticas.
          • Establecer y educar a los empleados sobre las políticas de seguridad clave.
          • Aliente a los empleados a asumir la responsabilidad de los problemas de seguridad.
          • No se sienta presionado por personas desconocidas.
          Aparecen cuatro candados abiertos y se forman líneas punteadas a su alrededor en hexágonos; luego, los candados se cierran




          1.2.11 Explorar técnicas de ingeniería social



        • 1.3. Ataques cibernéticos

          1.3.1 ¿Cuál es la diferencia?


          Los ciberdelincuentes utilizan muchos tipos diferentes de software malicioso, o malware, para llevar a cabo sus actividades. El malware es cualquier código que se puede utilizar para robar datos, eludir los controles de acceso o causar daño o comprometer un sistema.






          1.3.2 Bombas lógicas

          Una bomba lógica es un programa malicioso que espera un activador, como una fecha específica o una entrada en la base de datos, para activar el código malicioso. La bomba lógica permanece inactiva hasta que se produce el evento activador.
          Una vez activada, una bomba lógica implementa un código malicioso que provoca daños en una computadora. Una bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y atacar los sistemas operativos o aplicaciones.
          Los especialistas en ciberseguridad han descubierto recientemente bombas lógicas que atacan y destruyen los componentes de hardware de un dispositivo o servidor, incluidos los ventiladores de refrigeración, la unidad central de procesamiento (CPU), la memoria, los discos duros y las fuentes de alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.
          Una bomba encendida





          1.3.3 Ransomware
          El malware está diseñado para mantener cautivo un sistema computacional o los datos que contiene hasta que se realice un pago.
          El ransomware generalmente funciona cifrando sus datos para que no pueda acceder a ellos. Según las afirmaciones de ransomware, una vez que se paga el rescate a través de un sistema de pago imposible de rastrear, el ciberdelincuente proporcionará un programa que descifra los archivos o envía un código de desbloqueo, pero en realidad, muchas víctimas no obtienen acceso a sus datos incluso después de haber pagado.
          Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para bloquearlo. El ransomware a menudo se propaga a través de correos electrónicos de phishing que lo alientan a descargar un archivo adjunto malicioso o a través de una vulnerabilidad.
          Un saco con un signo de dólar en el frente, asegurado con un candado



          1.3.4 Ataques por denegación de servicio


          Los ataques de denegación de servicio (DoS) son un tipo de ataque de red que es relativamente sencillo de llevar a cabo, incluso por parte de un atacante no cualificado. Son un riesgo importante, ya que generalmente provocan algún tipo de interrupción de los servicios de red, lo que genera una importante pérdida de tiempo y dinero. Incluso las tecnologías operativas, el hardware o el software que controlan los dispositivos físicos o los procesos en edificios, fábricas o proveedores de servicios públicos son vulnerables a los ataques de DoS, que pueden causar un cierre, en circunstancias extremas.









          Un personaje en una pose con las piernas cruzadas

          1.3.5 Avatar

          Los ataques de denegación de servicio distribuido (DDoS) son similares, pero se originan en varias fuentes coordinadas. Así es como sucede esto:
          1. Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados por sistemas de manejo.
          2. Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más zombis.
          3. Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque de DDoS.





          1.3.6 Sistema de nombres de dominio


          Hay muchos servicios técnicos esenciales necesarios para que una red funcione, como el routing, el direccionamiento y los nombres de dominio. Estos son los objetivos principales para el ataque.






          1.3.7 Ataques de capa 2


          La capa 2 se refiere a la capa de enlace de datos en el modelo de comunicación de datos de interconexión de sistemas abiertos (OSI).
          Esta capa se utiliza para mover datos a través de una red física vinculada. Las direcciones IP se asignan a cada dirección de dispositivo físico (también conocida como dirección de control de acceso a medios (MAC)) en la red, mediante un procedimiento denominado protocolo de resolución de direcciones (ARP). 
          En sus términos más simples, la dirección MAC identifica el receptor previsto de una dirección IP enviada a través de la red, y ARP resuelve las direcciones IP en direcciones MAC para transmitir datos. 
          Los atacantes a menudo aprovechan las vulnerabilidades en esta seguridad de capa 2.

          Suplantación de identidad (spoofing)

          La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas.
          • La suplantación de direcciones MAC se produce cuando un atacante oculta su dispositivo como válido en la red y, por lo tanto, puede omitir el proceso de autenticación.
          • La falsificación de ARP envía mensajes ARP falsificados a través de una LAN. Esto vincula la dirección MAC de un atacante con la dirección IP de un dispositivo autorizado en la red.
          • La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para disfrazarse.
          Diagrama de spoofing
          Diagrama de saturación de direcciones MAC

          Saturación de direcciones MAC


          Los dispositivos en una red se conectan a través de un switch de red mediante la conmutación de paquetes para recibir y reenviar datos al dispositivo de destino. La inundación de MAC compromete los datos transmitidos a un dispositivo. Un atacante inunda la red con direcciones MAC falsas, comprometiendo la seguridad del switch de red.




          1.3.8 Detecte el ataque


          Varios empleados de @Apollo han informado problemas de rendimiento en sus computadoras, con aplicaciones que ejecutan anuncios emergentes lentos y notables. Gurú le ha pedido que investigue. Consulte una herramienta de monitoreo de red, que también revela tráfico anormal en la red.






          1.3.9 Ataques de Man-in-the-Middle y Man-in-the-Mobile

          Los atacantes en ruta interceptan o modifican las comunicaciones entre dos dispositivos, como un navegador web y 






          Un personaje en una pose con las piernas cruzadas

          1.3.10 Avatar


          Un ataque de repetición ocurre cuando un atacante captura la comunicación entre dos hosts y luego retransmite el mensaje al destinatario, para engañar al destinatario para que haga lo que el atacante desea evitar, comprometiendo así cualquier mecanismo de autenticación.







          1.3.11 Ataques de día cero
          Un ataque de día cero o una amenaza de día cero aprovechan las vulnerabilidades de software antes de que se conozcan o antes de que el proveedor de software las divulgue.
          Una red es extremadamente vulnerable a los ataques entre el momento en que se detecta un ataque (cero horas) y el tiempo que le lleva al proveedor de software desarrollar y lanzar un parche que corrige este ataque.
          La defensa contra ataques tan rápidos requiere que los profesionales de seguridad de redes adopten una visión más sofisticada y holística de cualquier arquitectura de red.
          Una línea de tiempo que comienza en el día 0. El día 16, se implementa un parche.





          1.3.12 Registro de teclado


          Como su nombre indica, el registro de teclado o de teclas se refiere a la grabación o el registro de cada tecla presionada en el teclado de una computadora.
          Los ciberdelincuentes registran las pulsaciones de teclas mediante el software instalado en un sistema informático o mediante dispositivos de hardware conectados físicamente a una computadora, y configuran el software del registrador de teclas para enviar el archivo de registro al delincuente. Debido a que ha registrado todas las pulsaciones de teclas, este archivo de registro puede revelar nombres de usuario, contraseñas, sitios web visitados y otra información confidencial.
          Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no autorizados.
          Una computadora portátil con un icono de ojo en la pantalla






          1.3.13 Avatar




          Es importante tener en cuenta que el software de registro de teclas puede ser legítimo. Muchos padres la utilizan para controlar el comportamiento de sus hijos en Internet.
          Un personaje en una pose con las piernas cruzadas




          1.3.14 Confirme sus datos


          Acaba de recibir un correo electrónico del departamento de RR. HH. De @ Apollo que le solicita que agregue los detalles de su cuenta bancaria a su archivo haciendo clic en un enlace del correo electrónico. Hace hincapié en que esto debe completarse al final del día para que usted pueda ser incluido en la nómina de este mes.
          Aunque el correo electrónico parece haber sido enviado internamente, una inspección más detallada revela una ligera variación en el dominio de correo electrónico de la dirección del remitente. 









          1.3.15 Defensa contra ataques

          Una organización puede realizar varios pasos para defenderse de diversos ataques. Estos incluyen los siguientes:
          • Configure firewalls para descartar cualquier paquete fuera de la red que tenga direcciones que indican que se originaron dentro de la red.
          • Asegúrese de que los parches y las actualizaciones estén actualizados.
          • Distribuya la carga de trabajo entre los sistemas de servidor.
          • Los dispositivos de red utilizan paquetes de protocolo de mensajes de control de Internet (ICMP) para enviar mensajes de error y control, como si un dispositivo puede comunicarse con otro en la red. Para evitar ataques DoS y DDoS, las organizaciones pueden bloquear paquetes ICMP externos con sus firewalls.
          Un escudo azul

        • 1.4. Ataques a dispositivos inalámbricos y móviles

          1.4.1 Uso generalizado de Internet y riesgos de ciberseguridad




          El uso generalizado de Internet y los dispositivos móviles significa que ahora, más que nunca, podemos comunicarnos y trabajar sobre la marcha, sin la necesidad de cables. Pero esto también genera más oportunidades para que los ciberdelincuentes accedan a la información confidencial que buscan.
          Desplácese hacia abajo para obtener más información sobre cómo lo hacen.
          Carácter en una pose de yoga con las piernas cruzadas






          1.4.2 Grayware y SMiShing

          Grayware incluye aplicaciones que se comportan de manera molesta o no deseada. Aunque estas aplicaciones no contienen un malware claramente identificado, aún pueden representar un riesgo para el usuario, como el seguimiento de su ubicación o la entrega de publicidad no deseada.
          Los creadores de grayware se mantienen generalmente en el lado de la legitimidad al incluir sus capacidades en la letra pequeña del contrato de licencia. Muchos usuarios de smartphones, sin prestar atención a esta letra pequeña, instalan aplicaciones que podrían comprometer su privacidad.
          SMiShing (suplantación de identidad de servicio de mensajes cortos) es una táctica donde los atacantes envían mensajes de texto falsos para engañar al usuario. Estos mensajes pueden solicitar visitar un sitio web malicioso o llamar a un número de teléfono fraudulento, llevando a la descarga de malware o al intercambio de información personal.
          Una mano que sostiene un teléfono inteligente que muestra una llamada entrante de alguien representado por un icono de máscara de teatro.





          1.4.3 Puntos de Acceso No Autorizados

          Un punto de acceso dudoso es un punto de acceso inalámbrico instalado en una red segura sin autorización explícita. Aunque podría ser configurado por un empleado bien intencionado que busca una mejor conexión inalámbrica, también ofrece una oportunidad para los atacantes que buscan obtener acceso a la red de una organización.








          1.4.4 Bloqueo de Radiofrecuencia

          Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes.
          Los atacantes pueden aprovechar esta vulnerabilidad bloqueando deliberadamente la transmisión de una estación de radio o satélite para evitar que una señal inalámbrica llegue a la estación receptora.
          Para bloquear con éxito la señal, la frecuencia, la modulación y la potencia del bloqueador de RF deben ser iguales a las del dispositivo que el atacante busca interrumpir.
          Una señal inalámbrica en un círculo rojo con una línea a través de ella




          Un personaje en una pose con las piernas cruzadas

          1.4.5 Avatar

          Probablemente haya oído hablar de las Bluetooth, pero ¿sabe exactamente qué es y cómo funciona?

          Bluetooth es un protocolo de corto alcance y baja potencia que transmite datos en una red de área personal (PAN) y utiliza el emparejamiento para establecer una relación entre dispositivos como móviles, computadoras portátiles e impresoras. Los ciberdelincuentes han descubierto formas de aprovechar las vulnerabilidades entre estas conexiones.

          Desplace hacia abajo para obtener más información.







          1.4.6 Bluejacking y Bluesnarfing


          Debido al alcance limitado de Bluetooth, un atacante debe estar dentro del alcance de su objetivo. Estas son algunas formas en que pueden aprovechar el dispositivo de un objetivo sin su conocimiento.








          1.4.7 Ataques contra protocolos de Wi-Fi

          Privacidad por Cable Equivalente (WEP) y Acceso Protegido a Wi-Fi (WPA)
          La privacidad por cable equivalente (WEP) y el acceso protegido a Wi-Fi (WPA) son protocolos de seguridad diseñados para proteger las redes inalámbricas vulnerables a los ataques.
          WEP se desarrolló para proporcionar datos transmitidos a través de una red de área local inalámbrica (WLAN) con un nivel de protección comparable al que generalmente se espera de una red cableada tradicional. Agregó seguridad a las redes inalámbricas cifrando los datos.
          El protocolo WEP utiliza una clave para la encriptación. El problema, sin embargo, era que WEP no tenía ninguna disposición para la administración de claves, lo que facilitó que delincuentes accedieran a los datos de tráfico.
          Para abordar esto y reemplazar WEP, WPA y luego WPA2 se desarrollaron como protocolos de seguridad mejorados. A diferencia de WEP, WPA2 es más seguro, aunque aún podría ser vulnerable a ataques si los paquetes de red son interceptados.
          Tres trofeos en un podio, WPA2 en primera posición, WPA en segunda y WEP en tercera






          1.4.8 Negocios riesgosos


          Usted está disfrutando de un café en la cafetería local y decide ponerse al día con sus correos electrónicos mientras espera que llegue su amigo. Intenta iniciar sesión en el wifi de la cafetería, pero la conexión parece muy débil. Afortunadamente, hay un segundo wifi con un nombre similar, por lo que debe iniciar sesión.
          Sin embargo, sin que usted lo sepa, un atacante se encuentra cerca, después de haber creado un punto de acceso Wi-Fi en su dispositivo móvil, que han emparejado con su computadora portátil. Están monitoreando la actividad en línea de todos los que se conectan a esta red Wi-Fi, incluido usted. ¡Después de todo, esa no era la red Wi-Fi de la cafetería!







          1.4.9 Wi-Fi y Defensa Móvil

          Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e inalámbricos. Estos incluyen los siguientes:
          • Aproveche las características básicas de seguridad inalámbrica, como la autenticación y la encriptación, al cambiar los ajustes de configuración predeterminada.
          • Restrinja la ubicación de puntos de acceso colocando estos dispositivos fuera del firewall o dentro de una zona desmilitarizada, una red perimetral que protege la LAN de una organización contra dispositivos no confiables.
          • Utilice herramientas de WLAN como NetStumbler para descubrir puntos de acceso dudosos o estaciones de trabajo no autorizadas.
          • Desarrolle una política para el acceso de usuarios temporales a la red Wi-Fi de una organización.
          • Los empleados de una organización deben usar una VPN de acceso remoto para el acceso a la WLAN.
          Un blindaje azul con una señal inalámbrica
        • 1.5. Ataques a las aplicaciones

          1.5.1 Avatar


          Los ataques a través de aplicaciones web son cada vez más comunes. Implican a los ciberdelincuentes que aprovechan las vulnerabilidades en la codificación de una aplicación web para obtener acceso a bases de datos o servidores. Veamos algunos ejemplos:
          • Inyección SQL: los atacantes insertan comandos SQL maliciosos en una entrada de usuario para manipular la base de datos subyacente.
          • Cross-Site Scripting (XSS): inyectar scripts maliciosos en páginas web que son visualizadas por otros usuarios, comprometiendo su información.
          • Cross-Site Request Forgery (CSRF): engañar a un usuario para que realice acciones no deseadas mientras está autenticado.
          Un personaje en una pose con las piernas cruzadas





          1.5.2  Secuencias de Comandos entre Sitios (XSS)

          El XSS es una vulnerabilidad que permite a los ciberdelincuentes inyectar scripts maliciosos en páginas web, afectando a los usuarios que visitan dichas páginas.
          1. Los atacantes aprovechan la vulnerabilidad para inyectar scripts maliciosos en una página web.
          2. La víctima accede a la página web, y el navegador ejecuta el script sin saberlo.
          3. El script puede acceder a información sensible del usuario, como cookies o tokens de sesión.
          4. Con esta información, el atacante puede suplantar al usuario.
          Un atacante envía un correo electrónico a una víctima que accede a un sitio web comprometido




          1.5.3 Inyección de código


          La mayoría de los sitios web modernos utilizan una base de datos, como un lenguaje de consulta estructurado (SQL) o una base de datos de lenguaje de marcado extensible (XML), para almacenar y administrar datos. Los ataques de inyección buscan aprovechar las debilidades en estas bases de datos.






          1.5.4 Desbordamiento de Búfer


          Un desbordamiento de búfer ocurre cuando los datos exceden los límites de una área de memoria asignada a una aplicación.
          Esto puede provocar que la aplicación acceda a la memoria asignada a otros procesos, llevando a un bloqueo del sistema, comprometiendo los datos o permitiendo el escalamiento de privilegios.
          Los atacantes pueden aprovechar estas fallas para obtener control total del dispositivo, instalando malware o accediendo a la red interna desde el dispositivo afectado.
          Una pila de barras cayendo, simbolizando el desbordamiento




          Desbordamiento de Búfer



          Un estudio de la Universidad Carnegie Mellon estima que casi la mitad de todas las vulnerabilidades de los programas informáticos se derivan de algún tipo de desbordamiento del búfer.
          Un personaje en una pose de yoga de pie






          1.5.6 Ejecuciones remotas de código


          Ejecuciones remotas de códigos: vulnerabilidades que permiten que los delincuentes cibernéticos ejecuten códigos maliciosos y tomen el control de un sistema con los privilegios del usuario que ejecuta la aplicación.
          El escalamiento de privilegios aprovecha un error, un defecto de diseño o una configuración incorrecta en un sistema operativo o una aplicación de software para obtener acceso a recursos que normalmente están restringidos.
               

          El proyecto Metasploit es un proyecto de seguridad informática que proporciona información sobre vulnerabilidades de seguridad y ayuda en las pruebas de penetración. Entre las herramientas que han desarrollado se encuentra Metasploit Framework, que puede utilizarse para desarrollar y ejecutar código de ataque contra un objetivo remoto.
          Meterpreter, en particular, es una carga útil dentro de Metasploit que permite a los usuarios tomar el control del dispositivo de destino escribiendo sus propias extensiones y cargando estos archivos en un proceso en ejecución en el dispositivo. Estos archivos se cargan y ejecutan desde la memoria, por lo que nunca afectan al disco duro. Esto también significa que estos archivos se desplazan bajo el radar de la detección antivirus
          Meterpreter tiene un módulo para controlar la cámara web de un sistema remoto. Una vez que Meterpreter está instalado en un dispositivo de destino, el usuario de Metasploit puede ver y capturar imágenes de la cámara web del objetivo.






          1.5.7 Otros ataques a aplicaciones


          Cada pieza de información que recibe un atacante sobre un sistema o una aplicación objetivo puede utilizarse como arma valiosa para lanzar un ataque peligroso.






          1.5.8 ¿Qué opina?


          Gurú ha pedido su opinión. Parece que un atacante ha atacado una vulnerabilidad en el servicio de mensajería en línea de @Apollo, que se utiliza para facilitar las comunicaciones entre los empleados que trabajan en diferentes sitios. Cuando un empleado realiza una llamada de voz, inunda la memoria de la aplicación, lo que le otorga al atacante el control del dispositivo del empleado. 








          Defensa contra ataques de aplicaciones


          Hay varias medidas que puedes tomar para defenderte de un ataque a aplicaciones. Algunas incluyen:
          • Escribir un código sólido como primera línea de defensa.
          • Tratar y validar todas las entradas desde fuera de una función como si fueran hostiles.
          • Mantener todo el software actualizado, incluidos los sistemas operativos y las aplicaciones.
          Un protector amarillo con una computadora portátil y un teléfono inteligente en el frente







          El correo electrónico como vulnerabilidad



          El correo electrónico es utilizado por miles de millones de personas en todo el mundo, y debido a su amplio uso, se ha convertido en una importante vulnerabilidad tanto para los usuarios como para las organizaciones.
          Un personaje en una pose con las piernas cruzadas





          1.5.11 Spam


          El correo no deseado, también conocido como “correo basura”, es correo electrónico no solicitado. En la mayoría de los casos, el correo no deseado es un método publicitario. Sin embargo, una gran cantidad de correo electrónico no deseado es enviado a granel por computadoras infectadas por virus o gusanos, y a menudo contiene enlaces maliciosos, malware o contenido engañoso que tiene como objetivo engañar a los destinatarios para que divulguen información confidencial, como un número de seguridad social o información de cuenta bancaria.
          Casi todos los proveedores de correo electrónico filtran el correo electrónico no deseado, pero aún así consumen ancho de banda. Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún pueden llegar a la bandeja de entrada. Esté atento a los siguientes indicadores de correo electrónico no deseado:
          • El correo electrónico no tiene asunto.
          • El correo electrónico le solicita que actualice los detalles de su cuenta.
          • El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.
          • Los enlaces del correo electrónico son largos o crípticos.
          • El correo electrónico parece correspondencia de una empresa legítima, pero hay pequeñas diferencias o contiene información que no le parece relevante.
          • El correo electrónico le solicita que abra un archivo adjunto, a menudo con urgencia.
          Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe abrir el correo electrónico ni los archivos adjuntos. Muchas organizaciones tienen una política de correo electrónico que requiere que los empleados informen la recepción de este tipo de correo electrónico a su equipo de ciberseguridad para una mayor investigación. En caso de duda, informe siempre. 





          1.5.12 Suplantación de identidad (Phishing)







          1.5.13 Vishing, Pharming y Whalingy


          Los delincuentes utilizan una amplia gama de técnicas para intentar obtener acceso a su información personal.








          1.5.14 Defensa contra ataques de correo electrónico y navegador


          Hay muchas medidas que puede tomar para defenderse de los ataques de correo electrónico y navegador. Algunos de los más importantes se describen aquí.
          • Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus efectos.
          • La mayoría de los proveedores de servicios de Internet (ISP) filtran el correo electrónico no deseado antes de que llegue a la bandeja de entrada del usuario.
          • Muchos programas antivirus y de software de correo electrónico detectan y eliminan automáticamente el correo electrónico no deseado peligroso de una bandeja de entrada de correo electrónico.
          • Las organizaciones deben educar a los empleados sobre los peligros de los correos electrónicos no solicitados y hacerlos conscientes de los peligros de abrir archivos adjuntos. 
          • No suponga que los archivos adjuntos de correo electrónico son seguros, aun cuando provengan de un contacto de confianza. Siempre examine los archivos adjuntos de correo electrónico antes de abrirlos.
          • Conviértase en miembro del Anti-Phishing Working Group (APWG). Es una asociación internacional de empresas centradas en eliminar el robo de identidad y el fraude como resultado de la suplantación de identidad y suplantación de identidad por correo electrónico.
          • Todo el software debe mantenerse actualizado, con los últimos parches de seguridad aplicados para proteger contra cualquier vulnerabilidad de seguridad conocida. 







          1.5.15 Avatar



          ¡Uf! Eso es mucho que aprender. Los ciberdelincuentes pueden emplear una variedad de tácticas para obtener la información que desean. ¡Y aún no hemos terminado!
          Carácter en una pose de yoga con las piernas cruzadas





          1.5.16 Hay más ...



        • 1.6. Cuestionario sobre amenazas, vulnerabilidades y ataques a la ciberseguridad

          1.6.1 ¿Qué Aprendí en este Módulo?




      • Módulo 2: Protección de redes

        2.0.1 ¿Por qué debería tomar este módulo?

        ¡Las redes están bajo ataque! En este módulo aprenderá sobre el estado actual del panorama de seguridad de la red y también sobre los diferentes tipos de redes que requieren protección.



        2.0.2 ¿Qué aprenderé en este módulo?

        Este módulo contiene lo siguiente:
        • 2 Vídeos
        • 1 Actividad de Packet Tracer
        • 1 Actividades de Verifique su Comprensión
        • 1 Prueba del Módulo
        Título del módulo: Pruebas de Seguridad de la Red
        Objetivo del módulo: explicar los principios de seguridad de la red.
        Título del tema Objetivo del tema
        Estado actual de las cosas Explicar las amenazas, vulnerabilidades y ataques que ocurren en los distintos dominios.
        ¿Quién se está conectando a nuestra red? Explicar cómo han evolucionado las amenazas de red.


        • Módulo 2: Protección de redes

          2.1.1 Vídeo - Anatomía de un ataque





          2.1.2 Las redes son objetivos

          Las redes sistemáticamente sufren ataques. Es común leer en las noticias que otra red que se ha comprometido. Una búsqueda rápida en Internet de ataques a la red arrojará muchos artículos sobre ataques a la red, incluidas noticias sobre organizaciones que han sido comprometidas, las últimas amenazas a la seguridad de la red, herramientas para mitigar ataques y mucho más.
          Para ayudarlo a comprender la gravedad de la situación, Kapersky mantiene la visualización interactiva de Cyberthreat Real-Time Map de los ataques a la red actuales. Los datos del ataque se envían desde los productos de seguridad de red de Kapersky que se implementan en todo el mundo. La figura muestra una captura de pantalla de muestra de esta herramienta web, que muestra estos ataques en tiempo real. Muchas herramientas similares están disponibles en Internet y se pueden encontrar buscando mapas de amenazas cibernéticas.


             




          2.1.3 Razones para la seguridad de la red


          La seguridad de la red se relaciona directamente con la continuidad del negocio de una organización. Las transgresiones de seguridad en la red pueden interrumpir el comercio electrónico, causar la pérdida de datos comerciales, amenazar la privacidad de las personas y comprometer la integridad de la información. Estas transgresiones pueden dar como resultado la pérdida de ingresos para las corporaciones, el robo de propiedad intelectual, demandas judiciales e incluso pueden amenazar la seguridad pública.
          Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los intereses comerciales. Mantener una red segura requiere vigilancia por parte de los profesionales de seguridad de la red de una organización. Deben estar constantemente al tanto de las amenazas y los ataques a las redes nuevos y en evolución, y de las vulnerabilidades de los dispositivos y las aplicaciones.
          Muchas herramientas están disponibles para ayudar a los administradores de red a adaptar, desarrollar e implementar técnicas de mitigación de amenazas. Por ejemplo, el sitio web de Cisco Talos Intelligence Group, que se muestra en la figura, proporciona seguridad integral e inteligencia de amenazas para defender a los clientes y proteger sus activos.



          Otro grupo, llamado Cisco Product Security Incident Response Team (PSIRT), es responsable de investigar y mitigar las posibles vulnerabilidades en los productos Cisco. La figura muestra una página de muestra de Cisco Security Advisories que enumera estas vulnerabilidades en tiempo real y proporciona a los administradores de red información para mitigarlas.






          2.1.4 Vectores de Ataques de Red


          Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un servidor, host o red. Los vectores de ataque se originan dentro o fuera de la red corporativa, como se muestra en la figura. Por ejemplo, las amenazas pueden apuntar a una red a través de Internet, para interrumpir las operaciones de la red y crear un ataque de denegación de servicio (DoS).
          Amenazas internas y externas


                                

          Nota: Un ataque DoS ocurre cuando un dispositivo o aplicación de red está incapacitado y ya no es capaz de admitir solicitudes de usuarios legítimos.
          Un usuario interno, como un empleado o un consultor, puede de manera accidental o intencional:
          • Robar y copiar datos confidenciales a dispositivos de almacenaje, correos electrónicos, software de mensajería y otros medios.
          • Comprometer servidores internos o dispositivos de infraestructura de red.
          • Desconectar una conexión de red crítica y provoquar una interrupción de la red.
          • Conecte una unidad USB infectada a un sistema informático corporativo.
          Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Los empleados también tienen conocimiento de la red corporativa, sus recursos y sus datos confidenciales, así como diferentes niveles de usuario o privilegios administrativos.
          Los profesionales de seguridad de red deben implementar herramientas y aplicar técnicas para mitigar las amenazas externas e internas.





          2.1.5 Pérdida de datos


          Es probable que los datos sean el activo más valioso de una organización. Los datos de la organización pueden tener que ver con investigación y desarrollo, ventas, finanzas, recursos humanos, asuntos legales, empleados, contratistas y clientes.
          Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos se pierden con o sin intención, son robados o se filtran fuera de la organización. La pérdida de datos puede generar:
          • Daño de la marca/pérdida de la reputación
          • Pérdida de la ventaja competitiva
          • Pérdida de clientes
          • Pérdida de ingresos
          • Acciones legales que generen multas y sanciones civiles
          • Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la transgresión
          Los profesionales de seguridad de red deben proteger los datos de la organización. Se deben implementar varios controles de prevención de pérdida de datos (DLP) que combinen medidas estratégicas, operativas y tácticas.
          Los vectores de pérdida de datos comunes se muestran en la tabla.






          2.1.6 Vídeo de PT - investigar un panorama de amenazas


        • 2.2. ¿Quién está atacando nuestra red?

          2.2.1 Amenaza, vulnerabilidad y riesgo




          Estamos bajo ataque, y los atacantes quieren tener acceso a nuestros activos. Los activos son cualquier elemento de valor para una organización, tales como datos, cualquier tipo de propiedad intelectual, servidores, computadoras, teléfonos inteligentes, tabletas, y más.
          Imagen de ciberataques

          Para entender mejor cualquier debate sobre seguridad de la red, es importante conocer los siguientes términos:
          • Amenaza: El peligro potencial de un recurso, como los datos o la propia red.
          • Vulnerabilidad: Una debilidad en un sistema o en su diseño que podría ser aprovechada por una amenaza.
          • Superficie de ataque: Una superficie de ataque es la suma total de las vulnerabilidades presentes en un determinado sistema las cuales son accesibles para un atacante. La superficie de ataque detalla los diferentes puntos donde un atacante podría entrar en un sistema y donde podría obtener datos del sistema. Por ejemplo, su sistema operativo y navegador web podrían ambos necesitar parches de seguridad. Cada uno de ellos es vulnerable a los ataques y están expuestos en la red o en Internet. Juntos, ellos crean una superficie de ataque que un atacante podría aprovechar.
          • Ataque: Un ataque (exploit) es un mecanismo que es utilizado para aprovechar una vulnerabilidad y así poner en riesgo un activo. Los ataques pueden ser locales o remotos. Un ataque remoto es uno que tiene lugar en la red sin acceso previo al sistema de destino. El atacante no necesita una cuenta en el sistema final para aprovechar la vulnerabilidad. En un ataque local, el agente de amenaza tiene algún tipo de acceso de usuario o administrador al sistema final. Un ataque local no significa, necesariamente, que el atacante tenga acceso físico al sistema final.
          • Riesgo:Es la probabilidad de que una amenaza específica aproveche una vulnerabilidad específica de un activo y provoque un resultado indeseable como consecuencia.


          La gestión de riesgos es el proceso que equilibra los costos operacionales de proporcionar medidas de protección con los beneficios que brinda la protección de los activos. Existen cuatro maneras comunes de gestionar el riesgo:


          • Aceptación de riesgos:  Esto sucede cuando el costo de las opciones de gestión del riesgo sobrepasa el costo del riesgo mismo. El riesgo es aceptado (o sea, es ignorado) y no se toma ninguna medida
          • Evasión de riesgos: Esto significa evitar cualquier exposición al riesgo eliminando la actividad o el dispositivo que presenta el riesgo. Al eliminar una actividad para evitar riesgos, también se pierden los beneficios posibles de la actividad.
          • Reducción de riesgos:  Esto reduce la exposición al riesgo o reduce el impacto del riesgo mediante la adopción de medidas para disminuir el riesgo. Es la estrategia de mitigación de riesgos más comúnmente utilizada. Esta estrategia requiere una evaluación cuidadosa de los costos de las pérdidas, la estrategia de mitigación y los beneficios obtenidos de la operación o actividad en riesgo.
          • Transferencia de riesgos: Algunos o todos los riesgos son transferidos a un tercero que acepte hacerse cargo, como una compañia de seguros.


          Otros términos comúnmente utilizados en la seguridad de la red son los siguientes:
          • Contramedida - las acciones que se toman para proteger los activos mitigando una amenaza o reduciendo el riesgo.
          • Impacto - El daño potencial que sufre la organización que es causada debido a la amenaza.
          Nota: Un ataque local requiere el acceso interno a la red, por ejemplo, un usuario con una cuenta en la red. Un ataque remoto no requiere una cuenta en la red para aprovechar su vulnerabilidad.




          2.2.2 Hacker vs actor de amenazas


          Como sabemos, “hacker” es un término comumente usado para describir a un atacante. Sin embargo, el término "hacker" tiene una variedad de significados, como los siguientes:
          • Un programador inteligente capaz de desarrollar nuevos programas y cambios de código en los programas existentes para hacerlos más eficientes.
          • Una red profesional que utiliza habilidades de programación sofisticadas para asegurar que las redes no sean vulnerables a los ataques.
          • Una persona que trata de obtener acceso no autorizado a los dispositivos en Internet.
          • Una persona que ejecuta programas para prevenir o retardar el acceso a la red de un gran número de usuarios, o para dañar o eliminar los datos en los servidores.
          Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un servidor, host o red. Los vectores de ataque se originan dentro o fuera de la red corporativa, como se muestra en la figura. Por ejemplo, las amenazas pueden apuntar a una red a través de Internet, para interrumpir las operaciones de la red y crear un ataque de denegación de servicio (DoS).
          Amenazas internas y externas


                                               

          Como se muestra en la figura, se suelen usar los términos hacker de sombrero blanco, hacker de sombrero negro y hacker de sombrero gris para describir a los hackers.

          1. Los hackers de sombrero blanco son hackers éticos que utilizan sus habilidades de programación con fines buenos, éticos y legales. Pueden realizar pruebas de penetración de redes con la finalidad de poner en riesgo los sistemas y las redes usando sus conocimientos sobre sistemas de seguridad informática con el fin de detectar las vulnerabilidades de la red. Las vulnerabilidades de seguridad son reportadas a los desarrolladores y al personal de seguridad quienes intentaran arreglar la vulnerabilidad antes que pueda ser explotada. Algunas organizaciones otorgan premios o recompensan a los hackers de sombrero blanco cuando proveen información que ayuda a identificar vulnerabilidades.
          1. Los hackers de sombrero gris son personas que cometen delitos y realizan acciones probablemente poco éticas, pero no para beneficio personal ni para causar daños. Un ejemplo sería alguien que pone en riesgo una red sin permiso y luego divulga la vulnerabilidad públicamente. Un hacker de sombrero gris puede divulgar una vulnerabilidad la organización afectada después de haber puesto en peligro la red. Esto permite que la organización solucione el problema.
          1. Los hackers de sombrero negro son delincuentes poco éticos que violan la seguridad de una computadora y una red para beneficio personal o por motivos maliciosos, como ataques a la red. Los hackers de Sombrero Negro atacan las vulnerabilidades para comprometer la computadora y los sistemas de red.
          Bueno o malo, el hacking es un aspecto importante de la seguridad de la red. En este curso, el término “agente de amenaza” se utiliza cuando se hace referencia a aquellos individuos o grupos que podrían clasificarse como hackers de sombrero gris o negro.




          2.2.3 Evolución de los actores de amenazas


          El hacking comenzó en los sesenta con el “phone freaking” o el “phreaking”, una actividad que hace referencia al uso de diversas frecuencias de audio para manipular los sistemas telefónicos. En aquel momento, los sistemas telefónicos utilizaban varios tonos (o la marcación por tonos) para indicar distintas funciones. Los primeros agentes de amenaza se dieron cuenta de que, imitando un tono con un silbato, podían atacar los sistemas telefónicos y hacer llamadas de larga distancia gratis.
          A mediados de los ochenta, se usaban módems de acceso telefónico para conectar las computadoras a las redes. Los agentes de amenaza desarrollaron programas de “war dialing” que marcaban cada número de teléfono en un área determinada en busca de computadoras, sistemas de tablón de anuncios y máquinas de fax. Cuando se encontraba un número de teléfono, se utilizaban programas que descifren contraseñas para obtener acceso. Desde entonces, los perfiles generales de los agentes de amenaza y sus motivos han cambiado un poco.
          Existen muchos tipos diferentes de atacantes.

          • Script kiddies: El término “script kiddies” surgió en los noventa y se refiere a los atacantes adolescentes o inexpertos que ejecutan scripts, herramientas y exploits existentes para ocasionar daño, generalmente sin buscar obtener ganancias.
          • Vulnerability brokers: Por lo general, los "Vulnerability brokers" son hackers de sombrero gris que intentan descubrir los ataques e informarlos a los proveedores, a veces a cambio de premios o recompensas.
          • Hacktivistas: Hacktivistas es un término que hace referencia a los hackers de sombrero gris que se reúnen y protestan contra diferentes ideas políticas y sociales. Los hacktivistas protestan en público contra las organizaciones o los gobiernos mediante la publicación de artículos, vídeos, la filtración de información confidencial y la ejecución de ataques de denegación de servicio distribuida.
          • Ciberdelincuentes: El término Ciberdelincuente es utilizado para los hackers de sombrero negro que son independientes o trabajan para grandes organizaciones de delito cibernético. Cada año, los delincuentes cibernéticos son responsables de robar miles de millones de dólares de consumidores y empresas.
          • Patrocinados por el estado: Los hackers patrocinados por el estado son agentes de amenaza que roban secretos de gobierno, recogen inteligencia y sabotean las redes de gobiernos extranjeros, grupos terroristas y corporaciones. La mayoría de los países del mundo participan en algún tipo de hacking patrocinado por el estado. Según la perspectiva de cada persona, se trata de hackers de sombrero blanco o de sombrero negro.





          2.2.4 Ciberdelincuentes


          Los ciberdelincuentes son agentes de amenaza cuya motivación es hacer dinero como sea. Aunque los ciberdelincuentes trabajan de manera independiente algunas veces, lo más común es que reciban financiación y patrocinio de organizaciones criminales. Se calcula que, en todo el mundo, los ciberdelincuentes roban miles de millones de dólares de los consumidores y las empresas cada año.
          Los ciberdelincuentes hacen sus negocios en un mercado ilegal donde compran, venden e intercambian ataques y herramientas. Ellos también compran y venden información personal y de propiedad intelectual que roban de sus víctimas. Los ciberdelincuentes apuntan a pequeñas empresas y consumidores, así como a grandes empresas e industrias.








          2.2.5 Tareas de ciberseguridad


          Los agentes de amenaza no discriminan. Atacan terminales vulnerables de usuarios domésticos y pequeñas y medianas empresas, al igual que de organizaciones públicas y privadas importantes.
          Para hacer más seguro el Internet y las redes, todos debemos desarrollar un buen nivel de conocimiento sobre ciberseguridad. La ciberseguridad es una responsabilidad compartida que deben practicar todos los usuarios. Por ejemplo, debemos informar los casos de ciberdelincuencia a las autoridades competentes, ser conscientes de posibles amenazas en la web y en el correo electrónico, y proteger de los robos la información importante.
          Las organizaciones deben tomar medidas y proteger sus activos, usuarios y clientes. Deben desarrollar e implementar tareas de ciberseguridad, como las que aparecen en la figura.


                                      





          2.2.6 Indicadores de amenazas cibernéticas


          Muchos ataques de red pueden ser prevenidos si se comparte la información acerca de los Indicadores de Peligro (IOC). Cada ataque tiene atributos únicos que lo identifican. Los indicadores de compromiso(IOC, por sus siglas en inglés) son la evidencia de que se ha producido un ataque. Los IOC pueden ser características que identifican archivos de malware, direcciones IP de servidores que se utilizan en ataques, nombres de archivos y cambios característicos realizados en el software de un sistema final (end system), entre otros. Los IOC ayudan al personal de ciberseguridad a identificar lo que ha ocurrido en un ataque y a desarrollar defensas contra el ataque. En la figura se muestra un resumen del IOC para un fragmento de malware.



          Por ejemplo, un usuario recibe un correo electrónico en el que lee que ha sido el ganador de un gran premio. Si hace clic en el enlace, el correo electrónico termina siendo un ataque. El IOC puede incluir el hecho de que el usuario no interactuó con el correo, la dirección IP del remitente, la línea del asunto del correo electrónico, el enlace incluido para hacer click o un archivo adjunto para descargar, entre otros.
          Los indicadores de ataque (IOA, por sus siglas en inglés) se centran más en la motivación detrás de un ataque y en los medios potenciales por los que los atacantes han comprometido o comprometerán las vulnerabilidades para acceder a los activos. Los IOA se interesan por las estrategias que utilizan los atacantes. Por esta razón, en lugar de informar la respuesta a una sola amenaza, los IOA pueden ayudar a generar un enfoque de seguridad proactivo. Esto se debe a que las estrategias se pueden reutilizar en múltiples contextos y múltiples ataques. Por lo tanto, defenderse contra una estrategia puede evitar futuros ataques que utilicen la misma estrategia o estrategia similar.





          2.2.7 Intercambio de información sobre amenazas y concientización sobre la ciberseguridad


          En la actualidad, los gobiernos están promoviendo activamente la ciberseguridad. Por ejemplo, la Agencia de Seguridad e Infraestructura de Ciberseguridad de los Estados Unidos (CISA, siglas en inglés) está liderando los esfuerzos para automatizar el intercambio de información de ciberseguridad con organizaciones públicas y privadas sin costo alguno. CISA utiliza un sistema llamado Intercambio Automatizado de Indicadores (AIS, siglas en inglés). AIS permite el intercambio de indicadores de ataque entre el gobierno de los Estados Unidos y el sector privado tan pronto como las amenazas son verificadas. CISA ofrece muchos recursos que ayudan a limitar el tamaño de la superficie de ataque de Los Estados Unidos.
          La CISA y la Alianza Nacional de Ciberseguridad (NCSA) promueven la ciberseguridad para todos los usuarios. Por ejemplo, tienen una campaña anual en octubre que se denomina “Mes de conciencia sobre la ciberseguridad nacional (NCASM, siglas en inglés)”. Esta campaña fue desarrollada para promover y crear conciencia sobre la ciberseguridad.
          El tema de la NCASM para 2019 fue "Tú propio TI" Seguridad de TI. Protección de TI. Esta campaña animó a todos los ciudadanos a ser más seguros y personalmente responsables en el uso de las buenas prácticas de seguridad en línea. La campaña proporciona material sobre una amplia variedad de temas de seguridad, entre ellos:
          • Seguridad en las redes sociales
          • Actualizar la configuración de privacidad
          • Concientización de la seguridad en las aplicaciones
          • Mantener el software actualizado
          • Compras en línea seguras
          • Seguridad Wi-Fi
          • Proteger los datos de los clientes
            
          La Agencia Europea de Seguridad de las Redes y de la Información (ENISA, siglas en inglés) ofrece asesoramiento y soluciones para los desafíos de ciberseguridad de los Estados miembros de la Unión Europea. ENISA cumple un papel en Europa similar al papel de CISA en los Estados Unidos.



        • 2.3. Resumen de seguridad de las redes

          2.3.1 ¿Qué aprendí en este Módulo?





      • Modulo 3: Ataque a los fundamentos

        3.0.1 ¿Por qué debería tomar este módulo?

        Los protocolos son el fundamento de las comunicaciones de datos. Por esta razón, han sido un objetivo de los atacantes desde hace mucho tiempo. Los analistas de ciberseguridad deben comprender cómo los atacantes utilizan las características de los protocolos comunes en los ciberataques.
        Este módulo proporciona una visión general de los campos de paquetes IP de capa 3 y los campos de segmento TCP y UDP de capa 4, y analiza las vulnerabilidades de cada uno.




        3.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:

        • 3 Videos
        • 2 Actividades de Verifique su Comprensión
        • 1 Prueba del Módulo
        Título del módulo: Fundamentos de los ataques
        Objetivo del módulo: Explicar como las vulnerabilidades TCP/IP permiten que se ejecuten ataques a las redes.


        Título del tema Objetivo del tema
        Detalles de IP PDU Explicar la estructura de encabezado de IPv4 e IPv5.
        Vulnerabilidades de IP Explicar cómo las vulnerabilidades de IP permiten ataques de red.
        Vulnerabilidades TCP y UDP Explicar cómo las vulnerabilidades de TCP y UDP permiten los ataques a la red.


        • 3.1. Detalles de la PDU de IP

          3.1.1 IPv4 y IPv6


          IP fue diseñado como un protocolo sin conexión de capa 3. Brinda las funciones necesarias para enviar un paquete de un host de origen a uno de destino mediante un sistema interconectado de redes. El protocolo no fue diseñado para rastrear ni administrar el flujo de paquetes. Si es necesario, TCP realiza principalmente estas funciones en la capa 4.
          El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que figura en un paquete realmente proviene de ese origen. Por eso, los agentes de amenaza pueden enviar paquetes con una dirección IP de origen falsa. Además, los agentes de amenaza pueden alterar los demás campos del encabezado de IP para llevar a cabo sus ataques. Por lo tanto, es importante que los analistas de seguridad entiendan los diferentes campos de los encabezados de IPv4 e IPv6.




          3.1.2 El encabezado del Packet IPv4

          Los campos acerca del encabezado IPv4 se muestran en la siguiente figura.
          Encabezado de paquetes IPv4


                                                    

          • Versión :

          Contiene un valor binario de 4 bits establecido en "0100" que lo identifica como un paquete de IPv4.

          • Longitud del encabezado de Internet:

          Un campo de 4 bits que contiene la longitud del encabezado IP.
          La longitud mínima de un encabezado IP es de 20 bytes.


          • Servicios diferenciados o DiffServ (DS): 
          Antiguamente conocido como el campo de "Tipo de Servicio" (ToS, siglas en inglés), el campo DS es un campo de 8 bits utilizado para determinar la prioridad de cada paquete.
          Los seis bits más importantes del campo DiffServ se encuentran en el punto de código de servicios diferenciados (DSCP, Differentiated Services Code Point).
          Los dos últimos bits son los bits de notificación de congestión explícita (ECN, Explicit Congestion Notification).

          • Longitud total: 
          Especifica la longitud total del paquete IP incluyendo el encabezado IP y los datos del usuario.
          El campo de longitud total es de 2 bytes, por lo que el tamaño máximo de un paquete IP es de 65 535 bytes.

          • Identificación, Banderas y Desplazamiento de fragmentos:
          A medida que un paquete IP se moviliza, es posible que deba cruzar una ruta que no es capaz de manejar el tamaño total del paquete.
          El paquete se dividirá fragmentará en paquetes más pequeños y se rearmará más adelante.
          Estos campos se utilizan para fragmentar y rearmar los paquetes.

          • Tiempo de Existencia (TTL, siglas en inglés):
          Este campo se utiliza para identificar el protocolo de capa superior.
          Este valor binario de 8 bits indica el tipo de carga de datos que lleva el paquete, lo que permite que la capa de red transmita los datos al protocolo de capa superior apropiado.
          ICMP (1), TCP (6) y UDP (17) son algunos valores comunes.

          • Protocolo: 
          Este campo se utiliza para identificar el protocolo de capa superior. 
          Este valor binario de 8 bits indica el tipo de carga de datos que lleva el paquete, lo que permite que la capa de red transmita los datos al protocolo de capa superior apropiado. 
          ICMP (1), TCP (6) y UDP (17) son algunos valores comunes.
          • Checksum del encabezado:  
          Corresponde a un valor que es calculado basándose en el contenido del encabezado IP del paquete. 
          Se utiliza para determinar si se han introducido errores durante la transmisión.

          • Dirección IPv4 de origen:  
          Contiene un valor binario de 32 bits que representa la dirección IPv4 de origen del paquete.
          La dirección IPv4 de origen siempre es una dirección de Unicast.

          • Dirección IPv4 de destino:  
          Contiene un valor binario de 32 bits que representa la dirección IPv4 de destino del paquete.

          • Opciones y Relleno:   
          Este es un campo que varia la longitud de 0 a un múltiplo de 32 bits
          Si las opciones de valores no son un múltiplo de 32 bits, se agregan o intercalan ceros para garantizar que este campo contenga un múltiplo de 32 bits.


          3.1.3 Video - Ejemplo de encabezados IPv4 en Wireshark







          3.1.4 El encabezado del Packet IPv6

          Existen ocho campos en el encabezado IPv6, tal como se muestra en la figura.
          Encabezado de paquetes IPv6
                                                    
          Versión:
          • Este campo contiene un valor binario de 4 bits establecido en "0110" que lo identifica como un paquete IPv6.

          Clase de tráfico:
          • Este campo de 8 bits es equivalente al campo Differentiated Services (DS) de IPv4

          Etiqueta de flujo:
          • Este campo de 20 bits sugiere que todos los paquetes con la misma etiqueta de flujo sean manejados de la misma manera por los routers

          Longitud de la payload(carga útil):
          • Este campo de 16 bits indica la longitud de la porción de datos o de la payload (carga útil) del paquete IPv6.

          Próximo encabezado:
          • Este campo de 8 bits es equivalente al campo "Protocolo" de IPv4.
          • Es un valor que indica el tipo de payload (carga útil) de datos que contiene el paquete, lo cual permite que la capa de red transmita los datos al protocolo de capa superior apropiado.

          Límite de saltos:
          • Este campo de 8 bits sustituye el campo TTL de IPv4.
          • Cada router que reenvía el paquete reduce este valor en 1.
          • Cuando llega a cero, se descarta el paquete y se envía un mensaje de tiempo superado de ICMPv6 al host de origen que indica que el paquete no llegó a destino porque excedió el límite de saltos.

          Dirección IPv6 de origen:
          • Este campo de 128 bits identifica la dirección IPv6 de origen del host emisor.

          Dirección IPv6 de destino:
          • Este campo de 128 bits identifica la dirección IPv6 del host receptor.


          Un paquete IPv6 también contiene encabezados de extensión (EH) que proporcionan información opcional de la capa de red. Los encabezados de extensión son opcionales y están ubicados entre el encabezado de IPv6 y la payload (carga útil). Los encabezados de extensión (EH) se utilizan para fragmentar, dar seguridad, soportar movilidad, entre otras.
          A diferencia de IPv4, los routers no fragmentan los paquetes IPv6 enrutados.





          3.1.5 Video - Ejemplo de encabezados IPv6 en Wireshark


        • 3.2. Vulnerabilidades de IP

          3.2.1 Vulnerabilidades de IP


          Ataques de ICMP:
          Los atacantes utilizan paquetes de echo (pings) del Protocolo de Mensajes de Control de Internet (ICMP) para detectar subredes y hosts en una red protegida, y luego generar ataques DoS de saturación y modificar las tablas de enrutamiento de los hosts.


          Ataques de Denegación de Servicios (DoS, siglas en inglés):
          Los atacantes intentan impedir que usuarios legítimos tengan acceso a información o servicios.


          Ataques de Denegación de Servicios Distribuida (DDoS, siglas en inglés):
          Similar a los ataques DoS, pero es llevado a cabo mediante un ataque simultáneo y coordinado desde varias máquinas de origen.


          Ataques de Suplantación de dirección:
          Los atacantes suplantan la dirección IP de origen en un intento por llevar a cabo blind spoofing o non-blind spoofing


          Ataques Man-in-the-middle (MiTM):
          Los atacantes se posicionan entre un origen y un destino para monitorear, capturar y controlar la comunicación en forma transparente. Ellos simplemente pueden monitorear pasivamente (eavesdropping), inspeccionando paquetes capturados o alterarlos y reenviarlos a su destino original.


          Secuestros de sesiones :Los atacantes obtienen acceso a la red física y, luego, usan un ataque de tipo MiTM para secuestrar una sesión.


          3.2.2 Ataques de ICMP


          El ICMP se desarrolló para llevar mensajes de diagnóstico e informar condiciones de error cuando no están disponibles rutas, hosts y puertos. Los mensajes de ICMP son generados por los dispositivos cuando ocurre un error o una interrupción en la red. El comando "ping" es un mensaje de ICMP generado por el usuario, es una "solicitud echo", y es utilizado para verificar la conectividad a un destino.
          Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Esto les permite iniciar ataques de recopilación de información para conocer la disposición de una topología de red, detectar qué hosts están activos (dentro del alcance), identificar el sistema operativo del host (identificación del SO) y determinar el estado de un firewall.
          Los atacantes también utilizan ICMP para realizar ataques DoS y DDoS, como se muestra en el ataque de saturación de ICMP en la imagen.
          ICMP Flood
                                   
          Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a ataques similares.
          La siguiente tabla menciona algunos mensajes de interés ICMP para los atacantes.





          Las redes deben tener filtros estrictos de Lista de Control de Acceso (ACL, siglas en inglés) de ICMP en el perímetro de la red para evitar sondeos de ICMP desde Internet. Los analistas de seguridad deben ser capaces de detectar ataques relacionados con ICMP observando el tráfico capturado y los archivos de registro. En el caso de redes grandes, los dispositivos de seguridad (como Firewalls e IDS) deben detectar este tipo de ataques y generar alertas para los analistas de seguridad.





          3.2.3 Video - Ataques de Amplificación, Reflexión, y Suplantación (Spoofing)






          3.2.4 Ataques de Reflexión y Amplificación


          Los atacantes suelen usar técnicas de amplificación y reflexión para crear ataques de DoS. La figura muestra como una técnica de amplificación y reflexión llamada "Smurf attack" es utilizada para abrumar o sobrecargar a un objetivo.
                                     

          1. Amplificación - El atacante reenvía mensajes de "echo request" de ICMP a muchos hosts. Estos mensajes contienen la dirección IP de origen de la víctima.
          1. Reflejo - todos estos hosts responden a la dirección IP falsa de la víctima para abrumarla.
          Nota: Actualmente se han estado utilizando nuevas formas de ataques de amplificación y reflexión, como ataques de amplificación y reflexión basados en DNS y ataques de amplificación de Network Time Protocol (NTP).
          Los atacantes también usan ataques de agotamiento de recursos. Estos ataques consumen los recursos de un host objetivo detener su funcionamiento o consumir los recursos de una red.





          3.2.5 Ataques de suplantación (spoofing) de direcciones


          Los ataques de Suplantación de dirección IP se producen cuando un atacante crea paquetes con información suplantada de la dirección IP de origen, ya sea para ocultar la identidad del remitente o hacerse pasar por otro usuario legítimo. Entonces, el atacante puede obtener acceso a datos a los que, de otro modo, no podría acceder, o para eludir configuraciones de seguridad. La Suplantación de dirección IP suele formar parte de otro ataque denominado ataque Smurf.
          Los ataques de Spoofing (suplantación) pueden ser "blind" (a ciegas) o "non-blind" (con visibilidad):
          • Non-blind spoofing: El atacante puede observar el tráfico que está siendo enviado entre el host y el objetivo. El atacante usa este tipo de suplantación para inspeccionar el paquete de respuesta del objetivo. Esta técnica determina el estado de un Firewall y la predicción del número de secuencia. También puede secuestrar una sesión autorizada.
          • Blind spoofing: El atacante no puede ver el tráfico que se envía entre el host y el objetivo. Este tipo de suplantación se utiliza en ataques de DoS.

          Los ataques de suplantación de dirección MAC se utilizan cuando los agentes de amenaza tienen acceso a la red interna. Los atacantes cambian la dirección MAC de su host para que coincida con otra dirección MAC conocida de un host objetivo, como se ve en la Figura 1. Luego, el host atacante envía una trama a través de la red con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la dirección MAC de origen.
          El atacante falsifica la dirección MAC de un servidor

                           


          El switch sobrescribe la entrada actual en la tabla CAM y asigna la dirección MAC al puerto nuevo, como se ve en la Figura 2. Luego, reenvía las tramas destinadas al host objetivo, hacia el host atacante.

          Un switch actualiza la tabla CAM con una dirección falsa

                       

          La suplantación de aplicaciones o servicios es otro ejemplo de suplantación. Un atacante puede conectar un servidor DHCP malicioso para crear una condición MiTM.


        • 3.3. Vulnerabilidades de TCP y UDP

          3.3.1 Encabezado de Segmento TCP


          Si bien algunos ataques apuntan a IP, este tema trata los ataques que apuntan a TCP y UDP.
          La información de segmento de TCP aparece inmediatamente después del encabezado de IP. En la figura se muestran los campos del segmento TCP y los Flags para el campo de bits de control.
                                
          Los siguientes son los seis bits de control del segmento TCP:
          • URG - campo indicador urgente importante
          • ACK - campo de reconocimiento significativo
          • PSH - función de empuje
          • RST - restablecer la conexión
          • SYN - sincronizar números de secuencia
          • FIN -no hay más datos del emisor





          3.3.2 Servicios TCP


          El TCP ofrece los siguientes servicios:
          • Entrega confiable - TCP incorpora reconocimientos para garantizar la entrega, en lugar de depender de protocolos de capa superior para detectar y resolver errores. Si no se recibe un acuse de recibo oportuno, el emisor retransmite los datos. Requerir acuses de recibo de los datos recibidos puede causar retardos sustanciales. Algunos ejemplos de los protocolos de capa de aplicación que hacen uso de la confiabilidad de TCP incluyen HTTP, SSL/TLS, FTP y transferencias de zona DNS.
          • Control de flujo - el TCP implementa el control de flujo para abordar este problema. En lugar de acusar recibo de un segmento a la vez, es posible hacerlo con varios segmentos acusando recibo de un único segmento individual.
          • Comunicación con estado - La comunicación TCP con estado entre 2 partes ocurre durante la comunicación de "intercambio de señales de tres vías" de TCP (three-way handshake.) Antes de que sea posible transferir datos utilizando el TCP, una comunicación de "intercambio de señales de tres vías" abre la conexión TCP, tal como se ve en la Figura. Si ambas partes aceptan la conexión TCP, pueden enviar y recibir datos utilizando TCP.
          Intercambio de señales de tres vías de TCP


                        

          Una conexión TCP se establece en tres pasos:
          1. El cliente de origen solicita una sesión de comunicación con el servidor.
          2. El servidor reconoce la sesión de comunicación de cliente a servidor y solicita una sesión de comunicación de servidor a cliente.
          3. El cliente que inicia reconoce la sesión de comunicación de servidor a cliente.





          3.3.3 Ataques TCP


          Las aplicaciones de red utilizan puertos TCP o UDP. Los agentes de amenaza llevan a cabo análisis de puertos de los dispositivos objetivo para detectar qué servicios ofrecen.
          Ataque de saturación SYN a TCP
          El ataque de saturación de SYN de TCP ataca la comunicación de "intercambio de señales de tres vías" de TCP. Como se observa en la Figura 1, el atacante envía constantemente a un objetivo paquetes de solicitud de sesión TCP SYN con una dirección IP de origen falsificada de manera aleatoria. El dispositivo de destino responde con un paquete SYN-ACK de TCP a la dirección IP falsificada y espera un paquete ACK de TCP. Las respuestas nunca llegan. Finalmente, el host objetivo se ve sobrecargado por las conexiones TCP medio abiertas, y los servicios TCP se deniegan a los usuarios legítimos.
          Ataque de saturación SYN a TCP

                                        
          1. El atacante envía múltiples solicitudes SYN a un servidor web.
          2. El servidor web responde con SYN-ACK para cada solicitud SYN y espera para completar el intercambio de señales de tres vías.
          3. Un usuario válido no puede acceder al servidor web porque el servidor tiene demasiadas conexiones TCP medio abiertas

          Ataque de restablecimiento a TCP
          Un ataque de restablecimiento de TCP puede utilizarse para terminar las comunicaciones de TCP entre dos hosts. La figura muestra como TCP utiliza un intercambio de cuatro vías para cerrar la conexión TCP con un par de segmentos FIN y ACK desde cada terminal de TCP. Una conexión TCP termina cuando recibe un bit RST. Esta es una manera abrupta de eliminar la conexión TCP e informar al host de recepción que deje de usar la conexión TCP de inmediato. Un agente de amenaza podría efectuar un ataque de restablecimiento de TCP y enviar un paquete falso con un RST de TCP a uno o ambos terminales.
          Terminar una conexión TCP
                                       
          La finalización de una sesión TCP utiliza el siguiente proceso de intercambio de cuatro vías:
          1. Cuando el cliente no tiene más datos para enviar en la transmisión, envía un segmento con el indicador FIN establecido.
          2. El servidor envía un ACK para acusar recibo del FIN para terminar la sesión del cliente al servidor.
          3. El servidor envía el FIN al cliente para finalizar la sesión de servidor a cliente.
          4. El cliente responde con un ACK para reconocer el FIN del servidor.

          Secuestro de sesiones TCP
          Otra vulnerabilidad es el secuestro de sesiones de TCP. Aunque es difícil de realizar, permite que un atacante tome el control de un host autenticado mientras este se comunica con el objetivo El atacante tendría que suplantar la dirección IP de un host, predecir el siguiente número de secuencia y enviar un ACK al otro host. Si tiene éxito, el atacante puede enviar, pero no recibir, datos desde el dispositivo objetivo.





          3.3.4 Encabezado y Operación del Segmento UDP


          UDP es comúnmente utilizado por DNS, DHCP, TFTP, NFS, y SNMP. También lo utilizan aplicaciones en tiempo real, como la transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin conexión Tiene una sobrecarga mucho menor que TCP ya que no está orientado a la conexión y no proporciona los mecanismos sofisticados de retransmisión, secuenciación y control del flujo que ofrecen confiabilidad. La estructura del segmento UDP (el cual se muestra en la imagen) es mucho menor que la estructura del segmento TCP.
          Nota: UDP actualmente divide los datos en datagramas. Sin embargo, el término genérico "segmento" se utiliza comúnmente

                           
          Sin embargo aunque UDP es normalmente llamado "poco confiable", no significa que aplicaciones que utilizan UDP no sean confiables. Significa que estas funciones no las proporciona el protocolo de la capa de transporte, y se deben implementar aparte si es necesario.
          La baja sobrecarga del UDP es muy deseable para los protocolos que realizan transacciones simples de solicitud y respuesta. Por ejemplo, usar TCP para DHCP introduciría una cantidad innecesaria de tráfico de red. Si no se recibe respuesta, el dispositivo reenvía la solicitud.




          3.3.5 -Ataques de UDP


          UDP no está protegido por ningún tipo de encriptación. Podemos agregar encriptación a UDP, pero no está disponible de forma predeterminada. La falta de encriptación permite que cualquiera vea el tráfico, lo modifique y lo envíe a su destino. Si se cambian los datos en el tráfico, se altera la checksum de 16 bits, pero esta es opcional y no siempre se usa. Cuando se utiliza checksum, el atacante puede crear una nueva suma basada en la nueva payload (carga útil) de los datos, y registrarla en el encabezado como una nueva checksum. El dispositivo de destino verificará que la suma de comprobación coincide con los datos sin saber que los datos se modificaron. Este tipo de ataque no es el más utilizado.
          Ataque de saturación de UDP
          Es más probable que veamos un ataque de saturación UDP. En un ataque de saturación UDP, se consumen todos los recursos en una red. El atacante debe usar una herramienta como UDP Unicorn o Low Orbit Ion Cannon. Estas herramientas envían una avalancha de paquetes UDP, a menudo desde un dispositivo suplantado, hacia un servidor en la subred. El programa analiza todos los puertos conocidos intentando encontrar puertos cerrados. Esto hace que el servidor responda con un mensaje de "puerto ICMP inaccesible". Debido a que hay muchos puertos cerrados en el servidor, esto crea mucho tráfico en el segmento, el cual utiliza la mayor parte del ancho de banda. El resultado es muy similar al de un ataque de DoS.

        • 3.4. Resumen de Ataque a los fundamentos

          3.4.1 ¿Qué aprendí en este módulo?



      • Módulo 4: Atacando lo que hacemos

        4.0.1 ¿Por qué debería tomar este módulo?


        Los fundamentos de la red deben estar protegidos, pero no es suficiente para proteger completamente nuestra red. Los protocolos que se utilizan para llevar a cabo las actividades diarias de la organización, también deben estar protegidos. Además, los protocolos y el software que proporcionan servicios a través de la red también pueden ser el objetivo de los atacantes. Un analista de ciberseguridad debe estar familiarizado con las vulnerabilidades y amenazas a los fundamentos de la comunicación de red.
        En este módulo, aprenderá cómo funcionan los protocolos comúnmente utilizados en la empresa y cómo son vulnerables a ataques y explotaciones.





        4.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 1 video
        • 5 laboratorios
        • 1 Actividades de Verifique su Comprensión
        • 1 Prueba del Módulo
        Título del módulo: Atacando lo que hacemos
        Objetivo del módulo: Recomendar medidas para mitigar las amenazas.


        Título del tema Objetivo del tema
        Servicios de IP Explicar las vulnerabilidades del servicio IP.
        Servicios empresariales Explicar cómo las vulnerabilidades de las aplicaciones de red permiten los ataques a la red.
        Mitigación de ataques de red comunes Recomendar medidas básicas de mitigación de amenazas.


        • 4.1. Servicios IP

          4.1.1 Vulnerabilidades de ARP


          Los hosts transmiten una solicitud ARP hacia otros hosts del segmento de red para determinar la dirección MAC de un host con una dirección IP específica. Todos los hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que coincide con la de la solicitud de ARP envía una respuesta de ARP.
          Reproduzca la animación para ver el proceso ARP en funcionamiento.




          Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP gratuito”. Esto suele hacerse cuando un dispositivo se inicia por primera vez para informar a todos los demás dispositivos de la red local sobre la nueva dirección MAC del dispositivo. Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
          Sin embargo, esta característica de ARP también significa que cualquier host puede afirmar ser el dueño de cualquier IP/MAC que elija. Un atacante puede envenenar la caché ARP de los dispositivos en la red local y crear un ataque MiTM para redireccionar el tráfico. El objetivo es asociar la dirección MAC del atacante con la dirección IP de la Puerta de enlace por defecto en las caché ARP de los hosts del segmento LAN. Esto posiciona al atacante entre la víctima y todos los demás sistemas fuera de la subred local.





          4.1.2 Envenenamiento de caché de ARP


          El envenenamiento de caché ARP se puede usar para lanzar varios ataques Man-in-the-middle.


          Solicitud de ARP
          La figura muestra cómo funciona el envenenamiento de caché ARP. La PC-A requiere la dirección MAC de su Puerta de enlace por defecto (R1); por lo tanto, envía una solicitud ARP para la dirección MAC de 192.168.10.1.


                                         

          Respuesta de ARP

          En está figura, R1 actualiza su caché ARP con las direcciones IP y MAC de la PC-A y envía una respuesta de ARP a PC-A, la cual a su vez, actualiza su caché ARP con las direcciones IP y MAC del R1.
                                   




          Respuestas ARP gratuitas falsificadas

          En la figura 3, el atacante envía dos respuestas de ARP gratuitas falsas usando su propia dirección MAC para las direcciones IP de destino indicadas. La PC-A actualiza su caché ARP con su Puerta de enlace por defecto, la cual ahora apunta hacia la MAC del host del atacante. El R1 también actualiza su caché ARP con la dirección IP de la PC-A y comienza a apuntar a la dirección MAC del atacante.
          El anfitrión del atacante está ejecutando un ataque de envenenamiento ARP. El envenenamiento ARP puede ser pasivo o activo: Pasivo: Los atacantes roban información confidencial. Activo: Los atacantes modifican datos en tránsito o inyectan datos maliciosos.
                                       
          Nota: Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como dsniff, Cain & Abel, ettercap y Yersinia.





          4.1.3. Ataques DNS


          El protocolo de Sistema de Nombres de Dominio (DNS) define un servicio automatizado que empareja los nombres de recursos, como www.cisco.com, con su respectiva dirección de red numérica, ya sea dirección IPv4 o IPv6. Incluye el formato para las consultas, respuestas y datos, y usa registros de recursos (RR) para identificar el tipo de respuesta de DNS.
          La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el funcionamiento de una red y debe protegerse correctamente.
          Los ataques DNS incluyen los siguientes:
          • Ataques de resolución abierta de DNS
          • Ataques sigilosos de DNS
          • Ataques de domain shadowing de DNS
          • Ataques de tunelización de DNS
          Ataques de resolución abierta de DNS
          Muchas organizaciones utilizan los servicios de los servidores DNS públicos abiertos, como GoogleDNS (8.8.8.8), para responder las consultas. Este tipo de servidor DNS se denomina resolución abierta. Una resolución de DNS abierta responde las consultas de clientes fuera de su dominio administrativo. Las resoluciones abiertas de DNS son vulnerables a múltiples actividades maliciosas, como las descritas en la tabla.





          Ataques sigilosos de DNS
          Para ocultar su identidad, los atacantes también utilizan las siguientes técnicas de DNS sigilosas para llevar a cabo sus ataques.




          Ataques DNS Domain shadowing
          El uso de Domain shadowing implica que el atacante recolecte credenciales de cuenta de dominio para crear múltiples subdominios para utilizarlos durante los ataques. Estos subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario real del dominio principal.






          4.1.4 Túnel de DNS


          Las botnets se han convertido en un método popular de ataque de los agentes de amenaza. La mayoría de las veces, las botnets se utilizan para propagar malware o iniciar ataques de DDoS y phishing.
          A veces, el DNS en la empresa no se tiene en cuenta como un protocolo que las botnets pueden utilizar. Debido a esto, cuando se determina que el tráfico DNS es parte de un incidente, el ataque ya finalizó. Es necesario que el analista de ciberseguridad sea capaz de detectar cuándo un intruso utiliza la tunelización DNS para robar los datos, y así evitar y contener el ataque. Para lograr esto, el analista de seguridad debe implementar una solución que puede bloquear las comunicaciones salientes de los hosts infectados.
          Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es DNS en tráfico DNS. Con frecuencia, este método evita las soluciones de seguridad. Para que el agente de amenaza use la tunelización de DNS, se modifican los diferentes tipos de registros de DNS, como TXT, MX, SRV, NULL, A o CNAME. Por ejemplo, un registro TXT puede almacenar los comandos que son enviados hacia los bots de los host infectados como respuestas DNS. Un ataque de tunelización de DNS mediante TXT funciona así:
          1. Los datos se dividen en varias partes codificadas.
          2. Cada parte se coloca en una etiqueta de nombre de dominio de nivel inferior de la consulta de DNS.
          3. Dado que no hay ninguna respuesta del DNS local o en red para la consulta, la solicitud se envía a los servidores DNS recursivos del ISP.
          4. El servicio de DNS recursivo reenvía la consulta al servidor de nombres autorizado del atacante.
          5. El proceso se repite hasta que se envían todas las consultas que contienen las partes.
          6. Cuando el servidor de nombre autorizado del atacante recibe las consultas de DNS de los dispositivos infectados, envía las respuestas para cada consulta de DNS, las cuales contienen los comandos encapsulados y codificados.
          7. El malware en el host atacado vuelve a combinar las partes y ejecuta los comandos ocultos dentro.
          Para poder detener la tunelización de DNS, debe utilizarse un filtro que inspecciona el tráfico de DNS. Preste especial atención a las consultas de DNS que son más largas de lo normal, o las que tienen un nombre de dominio sospechoso. Además, las soluciones de seguridad DNS, como Cisco Umbrella (Antes conocido como Cisco OpenDNS), bloquean gran parte del tráfico de la tunelización de DNS identificando dominios sospechosos. Los dominios asociados con servicios de DNS Dinámico deben considerarse altamente sospechosos.

                                                   
                  



          4.1.5 DHCP


          Los servidores DHCP proporcionan de manera dinámica, información de configuración de IP a los clientes. La figura muestra la secuencia típica de un intercambio de mensajes DHCP entre el cliente y el servidor.
                                             

          En la figura, un cliente transmite un mensaje de DHCP discover. El servidor DHCP responde con una oferta de unicast que incluye información de direccionamiento que el cliente puede usar. El cliente transmite una solicitud DHCP para decirle al servidor que acepta la oferta. El servidor le responde mediante unicast con un acuse de recibo, aceptando la solicitud.





          4.1.6 Ataques DHCP


          Ataque de suplantación DHCP
          Un ataque de suplantación de DHCP se produce cuando un servidor DHCP dudoso se conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. Un servidor dudoso puede proporcionar una variedad de información engañosa:
          • Gateway predeterminado incorrecto - el agente de amenaza proporciona un gateway no válido o la dirección IP de su host para crear un ataque de MITM. Esto puede pasar totalmente inadvertido, ya que el intruso intercepta el flujo de datos por la red.
          • Servidor DNS incorrecto - El atacante proporciona una dirección del servidor DNS incorrecta que dirige al usuario a un sitio web malicioso.
          • Dirección IP incorrecta -El atacante proporciona una dirección IP no válida, una dirección IP de puerta de enlace por defecto no válida o ambas. Luego, el atacante crea un ataque DoS en el cliente DHCP.
          Supongamos que un agente de amenaza conecta con éxito un servidor DHCP dudoso a un puerto de switch en la misma subred que los clientes de destino. El objetivo del servidor dudoso es proporcionarles a los clientes información de configuración de IP falsa.




        • 4.2. Servicios empresariales

          4.2.1 HTTP y HTTPS


          Casi todo el mundo usa navegadores de Internet. Bloquearlos por completo no es una opción, ya que las empresas necesitan tener acceso a la web sin poner en riesgo la seguridad web.
          Para investigar los ataques basados en la web, los analistas de seguridad deben comprender muy bien cómo funciona un ataque estándar basado en la web. Normalmente, estas son las etapas de un ataque típico de la web:
          1. La víctima, sin saberlo, visita una página web infectada con malware.
          2. La página web infectada redirige al usuario (a menudo, mediante muchos servidores atacados) a un sitio que contiene código malicioso.
          3. El usuario visita este sitio con código malicioso y su computadora se infecta. Esto se conoce como "drive-by download". Cuando el usuario visita el sitio, un kit de ataque analiza el software que se ejecuta en la computadora de la víctima (por ejemplo, el sistema operativo, Java o Flash Player) en busca de una vulnerabilidad de software. El kit de ataque es, a menudo, un script PHP y le proporciona al atacante una consola de administración para gestionar el ataque.
          4. Después de identificar un paquete de software vulnerable ejecutándose en la computadora de la víctima, el kit de ataque se comunica con su servidor para descargar código que pueda aprovechar la vulnerabilidad a fin de ejecutar código malicioso en la computadora de la víctima.
          5. Una vez que se infecta la computadora de la víctima, se conecta al servidor de malware y descarga una carga útil. Esta carga podría ser malware o un servicio de descarga de archivos que descarga otro malware.
          6. El paquete final de malware se ejecuta en la computadora de la víctima.
          Independientemente del tipo de ataque que se utilice, el objetivo principal del atacante es asegurarse que el navegador web de la víctima llegue a su página web, la cual introduce el código malicioso en la computadora de la víctima.
          Algunos sitios maliciosos aprovechan complementos vulnerables o vulnerabilidades del navegador para poner en riesgo el sistema del cliente. Las redes más grandes dependen de IDS para analizar los archivos descargados en busca de malware. Si detectan que los archivos podrían contener malware, los IDS emiten alertas y registran el evento en archivos de registro para su posterior análisis.
          Los registros de conexión del servidor suelen revelar información sobre el tipo de análisis o de ataque. Los diferentes tipos de códigos de estado de conexión se enumeran aquí:
          • Informativo 1xx - Este corresponde a una respuesta provisional, que consiste solamente en la línea de estado y los encabezados opcionales. Finaliza con una línea vacía. No se necesitan encabezados para esta clase de código de estado. Los servidores NO DEBEN enviar una respuesta 1xx a un cliente HTTP/1.0, salvo en condiciones experimentales.
          • Correcto 2xx -La solicitud del cliente fue satisfactoriamente recibida, comprendida, y aceptada.
          • Redirección 3xx -El agente de usuario debe tomar medidas adicionales para completar la solicitud. Un cliente DEBE detectar bucles de redireccionamiento infinito, porque estos bucles generan tráfico de red para cada redireccionamiento.
          • Error de Cliente 4xx -Para casos en los que el cliente parece haber cometido un error. Excepto al responder a una petición de ENCABEZADO, el servidor DEBE incluir una entidad que contenga una explicación de la situación, y si es temporal. Los agentes de un usuario DEBEN mostrar todas las entidades incluidas al usuario.
          • Error de Servidor 5xx - Para casos donde el servidor detecta que se equivocó, o no puede realizar la solicitud. Excepto al responder a una petición de ENCABEZADO, el servidor DEBE incluir una entidad que contenga una explicación de la situación de error, y si es temporal. Los agentes de un usuario DEBEN mostrar todas las entidades incluidas al usuario.
          Para defenderse de los ataques basados en la web, se deben implementar las siguientes medidas:
          • Actualizar siempre el sistema operativo y los navegadores con versiones y parches actuales.
          • Utilizar un proxy web como Cisco Cloud Web Security o Cisco Web Security Appliance para bloquear sitios maliciosos.
          • Utilizar las mejores prácticas de seguridad del proyecto Open Web Application Security Project (OWASP) en el desarrollo de aplicaciones web.
          • Educar a los usuarios finales demostrándoles cómo evitar ataques basados en la web.
          El "Top 10 Web Application Security Risks" (Top 10 principales riesgos de seguridad para las aplicaciones Web de OWASP) está diseñado para ayudar a las organizaciones a crear aplicaciones web seguras. Es una lista útil de vulnerabilidades potenciales que son comúnmente aprovechadas por los atacantes.





          4.2.2 Ataques HTTP comunes






          4.2.3 Correo electrónico


          Durante más de 25 años, el correo electrónico ha evolucionado: pasó de ser una herramienta que usaban principalmente los profesionales técnicos y de investigación a ser el pilar de las comunicaciones corporativas. Todos los días se intercambian más de 100 000 millones de mensajes de correo electrónico corporativos. A medida que aumenta el uso del correo electrónico, la seguridad se torna más importante. La manera en que los usuarios tienen acceso al correo electrónico en la actualidad también aumenta la oportunidad de ataques de malware. En el pasado, los usuarios corporativos accedían a correo electrónico basado en texto desde un servidor corporativo. El servidor corporativo estaba en una estación de trabajo protegida por el firewall de la empresa. Hoy, se tiene acceso a los mensajes de correo electrónico desde muchos dispositivos diferentes que no suelen estar protegidos por el firewall de la empresa. HTML permite más ataques debido al volumen de acceso que, a veces, puede esquivar las distintas capas de seguridad.



          Al igual que cualquier otro servicio que escucha en un puerto en busca de conexiones entrantes, los servidores SMTP también pueden tener vulnerabilidades. Siempre mantenga al día el software de SMTP con parches y actualizaciones de software y seguridad. Para evitar que los agentes de amenaza cumplan su tarea de engañar al usuario final, implemente medidas. Utilice un dispositivo de seguridad específico para correo electrónico, como el Dispositivo de seguridad de correo electrónico Cisco. Esto ayudará a detectar y bloquear muchos tipos conocidos de amenazas, como la suplantación de identidad, el correo electrónico no deseado y el malware. Además, eduque al usuario final. Cuando los ataques superan las medidas de seguridad implementadas (lo harán a veces), el usuario final es la última línea de defensa. Enséñeles a reconocer el correo electrónico no deseado, los intentos de suplantación de identidad, los enlaces y las direcciones URL dudosos, los homógrafos y a nunca abrir archivos adjuntos sospechosos.





          4.2.4 Bases de datos expuestas en la web


          Las aplicaciones web suelen conectarse a una base de datos relacional para tener acceso a los datos. Como las bases de datos relacionales a menudo contienen datos sensibles, son un objetivo frecuente de los ataques.


          Inyección de código: 
          Los atacantes son capaces de ejecutar comandos en el sistema operativo de un servidor web mediante una aplicación web vulnerable. Esto puede ocurrir si la aplicación web proporciona campos de entrada al atacante para ingresar datos maliciosos. Los comandos del atacante son ejecutados mediante la aplicación web y tienen los mismos permisos que dicha aplicación. Este tipo de ataques se usa porque usualmente no hay suficiente validación de las entradas. Un ejemplo es cuando un atacante "inyecta" código PHP en un campo de entrada inseguro en la página del servidor.


          Inyección SQL:

          SQL es el lenguaje que se utiliza para consultar una base de datos relacional. Los agentes de amenaza utilizan las inyecciones SQL para infringir la seguridad de la base de datos relacional, crear consultas SQL maliciosas y obtener datos confidenciales de la base de datos relacional.
          Uno de los ataques de base de datos más común es el ataque de inyección SQL. Este ataque consiste en introducir una consulta SQL usando los datos de entrada desde el cliente hacia la aplicación. Un ataque exitoso de inyección SQL, puede leer los datos confidenciales de la base de datos, modificarlos, ejecutar operaciones de administración de la base de datos y, a veces, emitir comandos al Sistema Operativo.
          A menos que una aplicación utilice validación estricta para los datos de entrada, será vulnerable al ataque de inyección SQL. Si una aplicación acepta y procesa los datos suministrados por el usuario sin ninguna validación de datos de entrada, un agente de amenaza podría presentar una cadena de entrada maliciosa para desencadenar el ataque de inyección SQL.
          Los analistas de seguridad deben ser capaces de reconocer consultas SQL sospechosas para detectar si se realizaron ataques de inyección SQL en la base de datos relacional. Deben tener la capacidad de determinar qué identificación de usuario usó el agente de amenaza para iniciar sesión y, después, identificar cualquier información o acceso posterior que el agente de amenaza podría haber usado tras un inicio de sesión satisfactorio.






          4.2.5 Scripting del lado del Cliente


          Cross-Site Scripting
          No todos los ataques se inician desde el servidor. El scripting entre sitios (XSS, Cross-Site Scripting) ocurre cuando páginas web que se ejecutan en el propio navegador web del cliente se inyectan con secuencias de comandos maliciosas. Visual Basic, Javascript y otras aplicaciones pueden usar estas secuencias de comandos para tener acceso a una computadora, recopilar información confidencial o implementar más ataques y propagar malware. Al igual que con la inyección SQL, el XSS suele originarse cuando el atacante publica contenido en un sitio web confiable que no tiene validación de entrada. Los futuros visitantes del sitio web de confianza estarán expuestos al contenido publicado por el atacante.
          Existen dos tipos principales de XSS:
          • Almacenado (persistente): se almacena permanentemente en el servidor infectado y lo reciben todos los visitantes a la página infectada.
          • Reflejado (no persistente): solamente requiere que la secuencia de comandos maliciosa se encuentre en un enlace y los visitantes hagan clic en él para infectarse.
          Estas son algunas maneras de prevenir o reducir los ataques XSS:
          • Asegúrese de que los desarrolladores de aplicaciones web conozcan las vulnerabilidades de XSS y cómo evitarlas.
          • Utilizar una implementación de IPS para detectar y evitar script maliciosos.
          • Utilizar un proxy web para bloquear sitios maliciosos.
          • Utilizar un servicio como Cisco Umbrella para evitar que los usuarios visiten sitios web que se sabe que son maliciosos.
          • Al igual que con las demás medidas de seguridad, asegúrese de educar a los usuarios finales. Enséñeles a identificar los ataques de suplantación de identidad y notificar al personal de seguridad de la información si tienen cualquier tipo de sospecha relacionada con la seguridad.




          4.2.6 Lab Video - instalación de una máquina virtual en una computadora personal



        • 4.3. Mitigando ataques de red comunes

          4.3.1 Defensa de la red

          Se requiere vigilancia constante y educación continua para defender su red contra ataques. Las siguientes son mejores prácticas para proteger una red:
          • Desarrolle una política de seguridad escrita para la organización.
          • Capacite a los empleados sobre los ataques de ingeniería social y desarrolle políticas para validar identidades por teléfono, mediante correo electrónico y personalmente.
          • Controle el acceso físico a los dispositivos.
          • Utilice contraseñas seguras y cámbielas con frecuencia.
          • Cifre los datos confidenciales y protéjalos con una contraseña segura.
          • Implemente hardware y software de seguridad, como firewalls, sistemas de prevención de intrusiones (IPS), dispositivos de red privada virtual (VPN), software antivirus y filtrado de contenido.
          • Realice copias de respaldo y pruébelas periódicamente.
          • Desactive los servicios y puertos que no se utilicen.
          • Mantenga los parches actualizados instalándolos semanalmente o diariamente, si es posible, para evitar el desbordamiento del búfer y los ataques de escalamiento de privilegios.
          • Realice auditorías de seguridad para probar la red.






          4.3.2 Malware mitigante

          El malware, incluidos virus, gusanos y troyanos, puede causar serios problemas en las redes y los dispositivos finales. Los administradores de red tienen varios medios para mitigar estos ataques.
          Nota: Las técnicas de mitigación a menudo se denominan en la comunidad de seguridad “contramedidas”.
          Una forma de mitigar los ataques de virus y troyanos es el software antivirus. El software antivirus ayuda a evitar que los hosts se infecten y propaguen códigos maliciosos. Requiere mucho más tiempo para limpiar equipos infectados que para mantener actualizado el software antivirus y las definiciones de antivirus en los mismos equipos.
          El software antivirus es el producto de seguridad más implementado en el mercado hoy en día. Varias empresas que crean software antivirus, como Symantec, McAfee y Trend Micro, han estado en el negocio de la detección y eliminación de virus durante más de una década. Muchas corporaciones e instituciones educativas adquieren licencias por volumen para sus usuarios. Los usuarios pueden iniciar sesión en un sitio web con su cuenta y descargar el software antivirus en sus equipos de escritorio, portátiles o servidores.
          Los productos antivirus tienen opciones de automatización de actualizaciones para que las nuevas definiciones de virus y las nuevas actualizaciones de software se puedan descargar automáticamente o a pedido. Esta práctica es el requisito más importante para mantener una red libre de virus y debe formalizarse en una política de seguridad de red.
          Los productos antivirus están basados en el host. Estos productos se instalan en computadoras y servidores para detectar y eliminar virus. Sin embargo, no impiden que los virus ingresen a la red, por lo que un profesional de seguridad de red debe conocer los principales virus y realizar un seguimiento de las actualizaciones de seguridad con respecto a los virus emergentes.
          Otra forma de mitigar las amenazas de malware es evitar que los archivos de malware ingresen a la red. Los dispositivos de seguridad en el perímetro de la red pueden identificar archivos de malware conocidos en función de sus indicadores de riesgo. Los archivos se pueden eliminar del flujo de datos entrantes antes de que puedan causar un incidente. Desafortunadamente, los agentes de amenazas son conscientes de esta contramedida y, con frecuencia, alteran su malware lo suficiente como para evadir la detección. Estas vulnerabilidades ingresarán a la red y también evadirán el software antivirus. Ninguna técnica de mitigación puede ser 100% eficaz. Los incidentes de seguridad van a suceder.





          4.3.3 Gusanos atenuantes


          Los gusanos se basan más en la red que los virus. La mitigación de gusanos requiere diligencia y coordinación por parte de los profesionales de seguridad de la red.
          Como se muestra en la figura, la respuesta a un ataque de gusano se puede dividir en cuatro fases: contención, inoculación, cuarentena y tratamiento.

                            










          4.3.4 Mitigando los ataques de reconocimiento


          Los ataques de reconocimiento suelen ser el precursor de otros ataques que tienen la intención de obtener acceso no autorizado a una red o interrumpir la funcionalidad de la red. Un profesional de seguridad de la red puede detectar cuándo se está produciendo un ataque de reconocimiento al recibir notificaciones de alarmas preconfiguradas. Estas alarmas se activan cuando se superan ciertos parámetros, como la cantidad de solicitudes ICMP por segundo. Se puede utilizar una variedad de tecnologías y dispositivos para monitorear este tipo de actividad y generar una alarma. El dispositivo de seguridad adaptable (ASA) de Cisco proporciona prevención de intrusiones en un dispositivo independiente. Además, los routers empresariales, como los routers de servicios integrados (ISR) de Cisco, admiten la prevención de intrusiones basada en la red con software adicional.
          Los ataques de reconocimiento se pueden mitigar de varias maneras, incluidas las siguientes:
          • Implementación de autenticación para garantizar el acceso adecuado.
          • Uso del cifrado para inutilizar los ataques de sniffer de paquetes.
          • Uso de herramientas anti-sniffer para detectar ataques de sniffer de paquetes.
          • Implementación y administración de la infraestructura
          • Firewall e IPS
          Las herramientas de hardware y software antisifme detectan cambios en el tiempo de respuesta de los hosts para determinar si los hosts están procesando más tráfico del que indicarían sus propias cargas de tráfico. Si bien esto no elimina por completo la amenaza, como parte de un sistema de mitigación general, puede reducir la cantidad de instancias de amenaza.
          El cifrado también es eficaz para mitigar los ataques del sniffer de paquetes. Si el tráfico está encriptado, usar un sniffer de paquetes es de poca utilidad porque los datos capturados no son legibles.
          Es imposible mitigar el escaneo de puertos, pero el uso de un sistema de prevención de intrusiones (IPS) y un firewall pueden limitar la información que se puede detectar con un escáner de puertos. Los barridos de ping se pueden detener si el eco ICMP y la respuesta de eco están desactivados en los routers de perímetro; sin embargo, cuando se desactivan estos servicios, se pierden los datos de diagnóstico de la red. Además, los análisis de puertos se pueden ejecutar sin barridos de ping completos. Los análisis simplemente llevan más tiempo porque las direcciones IP inactivas también se analizan.


          Técnicas de mitigación de ataques de reconocimiento

                 






          4.3.5 Mitigando los ataques de acceso


          Existen varias técnicas disponibles para mitigar los ataques de acceso. Estos incluyen seguridad de contraseña sólida, principio de confianza mínima, criptografía y aplicación de parches de aplicaciones y sistema operativo.
          Una cantidad sorprendente de ataques de acceso se llevan a cabo mediante simples adivinanzas de contraseña o ataques de diccionario por fuerza bruta contra contraseñas. Para defenderse de esto, cree y aplique una política de autenticación sólida que incluya:
          • Utilice contraseñas seguras - las contraseñas seguras tienen al menos ocho caracteres y contienen letras mayúsculas, minúsculas, números y caracteres especiales.
          • Deshabilitar cuentas después de que se haya producido un número específico de inicios de sesión fallidos - esta práctica ayuda a evitar intentos continuos de contraseña.
          La red también debe diseñarse utilizando el principio de confianza mínima. Esto significa que los sistemas no deben usarse unos a otros innecesariamente. Por ejemplo, si una organización tiene un servidor de confianza que utilizan dispositivos que no son de confianza, como servidores web, el servidor de confianza no debe confiar en los dispositivos no confiables sin condiciones.
          La criptografía es un componente crítico de cualquier red segura moderna. Se recomienda el uso de cifrado para el acceso remoto a una red. El tráfico del protocolo de routing también debe cifrarse. Cuanto más cifrado esté el tráfico, menos oportunidades tendrán los hackers para interceptar datos con ataques de intermediarios.
          El uso de protocolos de autenticación cifrados o hash, junto con una política de contraseñas seguras, reduce en gran medida la probabilidad de ataques de acceso exitosos.
          Finalmente, las empresas deben capacitar y educar a sus usuarios sobre los riesgos de la ingeniería social, y desarrollar estrategias para validar las identidades por teléfono, por correo electrónico o en persona. La autenticación multifactor (MFA) se ha vuelto cada vez más común. En este enfoque, la autenticación requiere dos o más medios de verificación independientes. Por ejemplo, una contraseña puede combinarse con un código que se envía a través de un mensaje de texto. Se puede usar software o dispositivos separados para generar tokens que son válidos para un solo uso. Estos valores de token, cuando se proporcionan con una contraseña, proporcionan una capa adicional de seguridad que evita el uso de contraseñas que los agentes de amenazas han adivinado o robado.
          En general, los ataques de acceso pueden detectarse mediante la revisión de los registros, el uso del ancho de banda y las cargas de procesos. La política de seguridad de la red debe especificar que los registros se mantengan formalmente para todos los dispositivos y servidores de red. Al revisar los registros, el personal de seguridad de la red puede determinar si se ha producido un número inusual de intentos fallidos de inicio de sesión.






          4.3.5 Mitigando los ataques de acceso


          Existen varias técnicas disponibles para mitigar los ataques de acceso. Estos incluyen seguridad de contraseña sólida, principio de confianza mínima, criptografía y aplicación de parches de aplicaciones y sistema operativo.
          Una cantidad sorprendente de ataques de acceso se llevan a cabo mediante simples adivinanzas de contraseña o ataques de diccionario por fuerza bruta contra contraseñas. Para defenderse de esto, cree y aplique una política de autenticación sólida que incluya:
          • Utilice contraseñas seguras - las contraseñas seguras tienen al menos ocho caracteres y contienen letras mayúsculas, minúsculas, números y caracteres especiales.
          • Deshabilitar cuentas después de que se haya producido un número específico de inicios de sesión fallidos - esta práctica ayuda a evitar intentos continuos de contraseña.
          La red también debe diseñarse utilizando el principio de confianza mínima. Esto significa que los sistemas no deben usarse unos a otros innecesariamente. Por ejemplo, si una organización tiene un servidor de confianza que utilizan dispositivos que no son de confianza, como servidores web, el servidor de confianza no debe confiar en los dispositivos no confiables sin condiciones.
          La criptografía es un componente crítico de cualquier red segura moderna. Se recomienda el uso de cifrado para el acceso remoto a una red. El tráfico del protocolo de routing también debe cifrarse. Cuanto más cifrado esté el tráfico, menos oportunidades tendrán los hackers para interceptar datos con ataques de intermediarios.
          El uso de protocolos de autenticación cifrados o hash, junto con una política de contraseñas seguras, reduce en gran medida la probabilidad de ataques de acceso exitosos.
          Finalmente, las empresas deben capacitar y educar a sus usuarios sobre los riesgos de la ingeniería social, y desarrollar estrategias para validar las identidades por teléfono, por correo electrónico o en persona. La autenticación multifactor (MFA) se ha vuelto cada vez más común. En este enfoque, la autenticación requiere dos o más medios de verificación independientes. Por ejemplo, una contraseña puede combinarse con un código que se envía a través de un mensaje de texto. Se puede usar software o dispositivos separados para generar tokens que son válidos para un solo uso. Estos valores de token, cuando se proporcionan con una contraseña, proporcionan una capa adicional de seguridad que evita el uso de contraseñas que los agentes de amenazas han adivinado o robado.
          En general, los ataques de acceso pueden detectarse mediante la revisión de los registros, el uso del ancho de banda y las cargas de procesos. La política de seguridad de la red debe especificar que los registros se mantengan formalmente para todos los dispositivos y servidores de red. Al revisar los registros, el personal de seguridad de la red puede determinar si se ha producido un número inusual de intentos fallidos de inicio de sesión.


        • 4.4. Atacando lo que hacemos, Resumen

          4.4.1 ¿Qué Aprendí en este Módulo?





      • Módulo 5: Comunicación de red inalámbrica

        5.0.1 ¿Por qué debería tomar este módulo?


        Existen tantas maneras de conectarse de forma inalámbrica. Como todo lo demás que tiene que ver con las redes, este tipo de conexiones funcionan mejorar en situaciones particulares Requieren de dispositivos específicos y también son propensos a ciertos tipos de ataques. Y por supuesto, existen soluciones para mitigar este tipo de ataques. El modulo de Conceptos de WLAN le brinda a usted el conocimiento fundamental que usted necesita para entender que son las LAN Inalámbricas, lo que pueden hacer y como protegerlas.





        5.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 3 Videos
        • 2 actividades de Packet Tracer
        • 4 Actividades de Verifique su Comprensión
        • 1 Prueba del Módulo
        Título del módulo: Dispositivos de comunicación de redes
        Objetivo del módulo: Resolver problemas de redes empresariales.


        Título del tema Objetivo del tema
        Comunicaciones inalámbricas Explicar cómo los dispositivos inalámbricos permiten la comunicación en red.
        Amenazas WLAN Describir las amenazas a las WLAN.
        WLNA seguras Solucionar problemas de una conexión inalámbrica.


        • 5.1. Comunicaciones inalámbricas

          5.1.1 Video – Operación de WLAN






          5.1.2 LAN inalámbricas frente a redes cableadas


          Las WLAN usan radiofrecuencias (RF) en lugar de cables en la capa física y la subcapa MAC de la capa de enlace de datos. Las WLAN comparten un origen similar con las LAN Ethernet. El IEEE adoptó la cartera 802 LAN/MAN de estándares de arquitectura de redes informáticas. Los dos grupos de trabajo 802 dominantes son Ethernet 802.3 (que define Ethernet para redes LAN cableadas) y 802.11 (que define Ethernet para redes WLAN). Hay diferencias importantes entre los dos.
          Las WLAN también difieren de las LAN conectadas por cable de la siguiente manera:
          • Las WLAN conectan clientes a la red mediante puntos de acceso (AP) inalámbrico o un router inalámbrico, en lugar de hacerlo mediante un switch Ethernet.
          • Las WLAN conectan los dispositivos móviles que, en general, están alimentados por batería, en lugar de los dispositivos enchufados de la LAN. Las NIC inalámbricas tienden a reducir la duración de la batería de los dispositivos móviles.
          • Las WLAN admiten hosts que se disputan el acceso a los medios de RF (bandas de frecuencia). Para evitar proactivamente las colisiones dentro de los medios, el estándar 802.11 recomienda la prevención de colisiones (CSMA/CA) en lugar de la detección de colisiones (CSMA/CD) para el acceso a los medios.
          • Las WLAN utilizan un formato de trama diferente al de las LAN Ethernet conectadas por cable. Las WLAN requieren información adicional en el encabezado de la Capa 2 de la trama.
          • Las WLAN tienen mayores inconvenientes de privacidad debido a que las frecuencias de radio pueden salir fuera de las instalaciones.


          La tabla resume las diferencias entre LAN inalámbricas y cableadas.

          Característica LAN inalámbrica 802.11 802.3 LANs Ethernet inalámbricas
          Capa física Frecuencia de radio (RF) cables físicos
          Acceso de medios Prevención de colisiones detección de colisiones
          Disponibilidad cualquiera con una NIC inalámbrica en el rango de un punto de acceso se requiere conexión por cable físico
          Interferencia en la señal mínimo
          Regulación diferentes regulaciones por país El estándar IEEE dictamina







          5.1.3 Estructura de trama 802.11

          Recuerde que todas los frames de capa 2 consisten en un encabezado, carga útil y sección de secuencia de verificación de trama (FCS). El formato del Frame 802.11 es similar al formato de Frame de Ethernet, excepto que contiene más campos, como se muestra en la figura.
          Todas las tramas 802.11 inalámbricas contienen los siguientes campos;
          • Control de trama ─ Identifica el tipo de trama inalámbrica y contiene subcampos para la versión del protocolo, el tipo de trama, el tipo de dirección, la administración de energía y la configuración de seguridad.
          • Duración - En general, se usa para indicar el tiempo restante necesario para recibir la siguiente transmisión de tramas.
          • Dirección 1 - Normalmente, contiene la dirección MAC del dispositivo o AP receptor inalámbrico.
          • Dirección 2 - Normalmente, contiene la dirección MAC del dispositivo o AP receptor inalámbrico.
          • Dirección 3 - En ocasiones, contiene la dirección MAC del destino, como la interfaz del router (puerta de enlace predeterminada) a la que se conecta el AP.
          • Control de Secuencia - Contiene información para controlar la secuencia y las tramas fragmentadas
          • Dirección 4 - Suele estar vacío, ya que se usa solo en el modo ad hoc.
          • Payload ─ Contiene los datos para la transmisión.
          • FCS ─ Esto se utiliza para el control de errores de la capa 2.







          5.1.4 CSMA/CA


          Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex significa que solo un cliente puede transmitir o recibir en dado momento. Medios compartidos significa que todos los clientes pueden transmitir y recibir en el mismo canal de radio. Esto crea un problema porque un cliente inalambrico no puede escuchar mientras está enviando, lo que hace que sea imposible detectar una colisión.
          Para resolver este problema las WLAN utilizan el acceso múltiple con detección de operador con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar datos. Un cliente inalámbrico hace lo siguiente:
          1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el canal. El canal es tambien llamado el portador.
          2. Envía un mensaje listo para enviar (Ready to Send)(RTS) al AP para solicitar acceso dedicado a la red.
          3. Recibe un mensaje de permiso para enviar (clear to send) (CTS) desde el AP garantizando el acceso para enviar.
          4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo aleatoria antes de reiniciar el proceso.
          5. Después de recibir el CTS, transmite la información.
          6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume que ocurrió una colisión y reinicia el proceso.







          5.1.5 Cliente Inalámbrico y Asociación al AP


          Para que los dispositivos inalámbricos se comuniquen a través de una red, primero se deben asociar a un AP o un router inalámbrico. Una parte importante del proceso 802.11 es descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos completan el siguiente proceso de tres etapas, como se muestra en la figura:
          • Descubre un AP inalámbrico
          • Se autentica con el AP.
          • Se asocia con el AP.
          Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar parámetros específicos: Para permitir la negociación de estos procesos, se deben configurar los parámetros en el AP y posteriormente en el cliente.
          • SSID - El nombre del SSID aparece en la lista de redes inalámbricas disponibles en un cliente. En organizaciones más grandes que usan múltiples VLAN para segmentar el tráfico, cada SSID se asigna a una VLAN Según la configuración de la red, varios AP en una red pueden compartir un SSID.
          • Contraseña - El cliente inalámbrico la necesita para autenticarse con el AP.
          • Modo de red - Se refiere a los estándares WLAN 802.11 a/b/g/n/ac/ad. Los AP y routers inalámbricos pueden funcionar en modo combinado, lo que significa que pueden utilizar varios estándares al mismo tiempo.
          • Modo de seguridad - Se refiere a la configuración de los parámetros de seguridad, como WEP, WPA o WPA2. Habilite siempre el nivel más alto de seguridad que se admita.
          • Configuración de canales - Se refiere a las bandas de frecuencia que se usan para transmitir datos inalámbricos. Los routers inalámbricos y los AP pueden escanear los canales de radiofrecuencia y seleccionar automáticamente una configuración de canal adecuada. Los routers y los AP inalámbricos pueden elegir la configuración de canales, o esta se puede definir manualmente si existe interferencia con otro AP o dispositivo inalámbrico.





          5.1.6 Modo de descubrimiento Pasivo y Activo


          Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben conectar a este. Los clientes inalámbricos se conectan al AP mediante un proceso de análisis (sondeo). Este proceso puede ser pasivo o activo.








          5.1.7 Dispositivos inalámbricos - AP, LWAP y WLC


          Una implementación común de tecnología inalámbrica de datos permite a los dispositivos conectarse en forma inalámbrica a través de una LAN. En general, una LAN inalámbrica requiere puntos de acceso inalámbrico y clientes que tengan NIC inalámbricas. Los routers inalámbricos domésticos y de pequeñas empresas integran las funciones de un router, un switch y un punto de acceso en un solo dispositivo, como el que se ve en la figura. Tenga en cuenta que, en redes pequeñas, es posible que el router inalámbrico sea el único AP debido a que solamente se brinda cobertura inalámbrica a un área pequeña. En redes de más tamaño, puede haber muchos AP.



          Todas las funciones de control y gestión de los AP en una red pueden centralizarse en una controladora de LAN inalámbrica (WLC, Wireless LAN Controller). Cuando se utiliza una WLC, los AP ya no actúan de manera autónoma, sino que actúan como AP ligeros (LWAP, Lightweight AP). Los LWAP solamente reenvían datos entre la LAN inalámbrica y la WLC. Todas las funciones de administración, como definir SSID y autenticar, se llevan a cabo en la WLC centralizada, en lugar de en cada AP individual. Una de las tantas ventajas de centralizar las funciones de administración de AP en la WLC es simplificar la configuración y el monitoreo de numerosos puntos de acceso.

        • 5.2. Amenazas a la WLAN

          5.2.1 Video - Amenazas en la WLAN







          5.2.2 Resumen de Seguridad Inalámbrica


          Una WLAN está abierta a cualquier persona dentro del alcance de un AP y las credenciales apropiadas para asociarla. Con una NIC inalámbrica y conocimiento de técnicas de craqueo, un atacante puede no tener que ingresar físicamente al lugar de trabajo para obtener acceso a una WLAN.
          Los ataques pueden ser generados por personas externas, empleados descontentos e incluso involuntariamente por los empleados. Las redes inalámbricas son específicamente susceptibles a varias amenazas, incluidas las siguientes:
          • Interception of data - Los datos inalámbricos deben estar encriptados para evitar que los espías los lean.
          • Wireless intruders- Los usuarios no autorizados que intentan acceder a los recursos de la red pueden ser disuadidos mediante técnicas de autenticación efectivas.
          • Denial of Service (DoS) Attacks- El acceso a los servicios WLAN puede verse comprometido de forma accidental o maliciosa. Existen varias soluciones dependiendo de la fuente del ataque DoS.
          • Rogue APs- Los AP no autorizados instalados por un usuario bien intencionado o con fines maliciosos se pueden detectar utilizando un software de administración.






          5.2.3 Ataques DoS


          Los ataques DoS inalámbricos pueden ser el resultado de:
          • Dispositivos configurados inapropiadamente - Los errores de configuración pueden deshabilitar la WLAN. Por ejemplo, un administrador podría alterar accidentalmente una configuración y deshabilitar la red, o un intruso con privilegios de administrador podría deshabilitar intencionalmente una WLAN.
          • Un usuario malintencionado que interfiere intencionalmente con la comunicación inalámbrica - Su objetivo es deshabilitar la red inalámbrica por completo o hasta el punto en que ningún dispositivo legítimo pueda acceder al medio.
          • Interferencia Accidental - La redes WLANs son propensas a interferencia de otros dispositivos inalámbricos como hornos microondas, teléfonos inalámbricos, monitores de bebé y más como se muestra en la figura. La banda 2.4 GHz es más propensa a interferencia que la banda 5 GHz.
          Para minimizar el riesgo de un ataque DoS debido a dispositivos mal configurados y ataques maliciosos, fortalezca todos los dispositivos, mantenga las contraseñas seguras, cree copias de seguridad y asegúrese de que todos los cambios de configuración se incorporen fuera de horario.
          Monitoree la WLAN en busca de problemas de interferencia accidental y atiéndalos cuando aparezcan. Debido a que la banda 2.4 GHz es usada por otro tipo de dispositivos, la banda 5 GHz debe ser usada en áreas propensas a interferencias.





          5.2.4 Puntos de Acceso No Autorizados


          Un AP falso es un AP o un router inalámbrico que se ha conectado a una red corporativa sin autorización explícita y en contra de la política corporativa. Cualquier persona con acceso a las instalaciones puede instalar (de forma maliciosa o no maliciosa) un enrutador inalámbrico de bajo costo que potencialmente puede permitir el acceso a un recurso de red seguro.
          Una vez conectado, el AP falso pueder ser usado por el atacante para capturar direcciones MAC, capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque intermediario.
          Un punto de acceso a la red personal también podría usarse como un AP no autorizado Por ejemplo, un usuario con acceso seguro a la red permite que su host Windows autorizado se convierta en un AP Wi-Fi. Al hacerlo, elude las medidas de seguridad y otros dispositivos no autorizados ahora pueden acceder a los recursos de la red como un dispositivo compartido.
          Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben configurar WLC con políticas de puntos de acceso no autorizados y utilizar software de monitoreo para monitorear activamente el espectro de radio en busca de puntos de acceso no autorizados.






          5.2.5 Ataque de intermediario


          En un ataque intermediario (MITM por su sigla en inglés), el pirata informático se coloca entre dos entidades legítimas para leer o modificar los datos que pasan entre las dos partes. Hay muchas maneras de crear un ataque MITM.
          Un ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el que un atacante introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Las ubicaciones que ofrecen Wi-Fi gratis, como aeropuertos, cafeterías y restaurantes, son lugares particularmente populares para este tipo de ataque debido a la autenticación abierta.
          Clientes inalámbrico que se tratan de conectar a una red WLAN podrían ver dos APs con el mismo SSID ofreciendo acceso inalámbrico. Los que están cerca del AP falso encuentran la señal más fuerte y probablemente se asocian con ella. El tráfico de usuarios ahora se envía al AP falso, que a su vez captura los datos y los reenvía al AP legítimo, como se muestra en la figura. El tráfico de retorno del AP legítimo se envía al AP falso, se captura y luego se reenvía al usuario desprevenido. El atacante puede robar la contraseña del usuario, su información personal,obtener acceso a su dispositivo,y comprometer el sistema
          La derrota de un ataque como un ataque MITM depende de la sofisticación de la infraestructura WLAN y la vigilancia en el monitoreo de la actividad en la red. El proceso comienza con la identificación de dispositivos legítimos en la WLAN. Para hacer esto los usuarios deben estar autenticados. Una vez qye todos los dispositivos legitimos son conocidos, la red puede ser monitoreada de dispositivos o trafico anormal.


        • 5.3.1 Video – WLAN seguras

          5.3.1 Video – WLAN seguras






          5.3.2 Encubrimiento SSID y filtrado de direcciones MAC


          Las señales inalámbricas pueden viajar a través de materiales sólidos como techos,pisos,paredes, fuera de casa o del espacio de la oficina. Sin medidas de seguridad estrictas, la instalación de una WLAN puede ser equivalente a colocar puertos Ethernet en todas partes, incluso en el exterior.
          Para abordar las amenazas de mantener alejados a los intrusos inalámbricos y proteger los datos, se utilizaron dos características de seguridad tempranas que aún están disponibles en la mayoría de los enrutadores y puntos de acceso:SSID cloaking y MAC address filtering
          Encubrimiento SSID
          Los AP y algunos enrutadores inalámbricos permiten deshabilitar la trama de baliza SSID, como se muestra en la figura Los clientes inalámbricos deben configurarse manualmente con el SSID para conectarse a la red.

                         

          Filtrado de direcciones MAC
          Un administrador puede permitir o denegar manualmente el acceso inalámbrico de los clientes en función de su dirección física de hardware MAC. En la figura, el router está configurado para permitir dos direcciones MAC. Los dispositivos con diferentes direcciones MAC no podrán unirse a la WLAN de 2.4GHz.

                            






          5.3.3 Métodos de autenticación original 802.11


          Aunque estas dos características disuadirían a la mayoría de los usuarios, la realidad es que ni el ocultamiento de SSID ni el filtrado de direcciones MAC disuadirían a un intruso astuto. Los SSID se descubren fácilmente incluso si los AP no los transmiten y las direcciones MAC pueden ser falsificadas. La mejor manera de proteger una red inalámbrica es utilizar sistemas de autenticación y cifrado.
          Se introdujeron dos tipos de autenticación con el estándar 802.11 original:
          • Sistema de autenticación abierto- Cualquier cliente inalámbrico debería poder conectarse fácilmente y solo debería usarse en situaciones en las que la seguridad no sea una preocupación, como las que proporcionan acceso gratuito a Internet, como cafeterías, hoteles y áreas remotas. El cliente inalámbrico es responsable de proporcionar seguridad, como el uso de una red privada virtual (VPN) para conectarse de forma segura. Los VPNs proveen servicios de autenticación y cifrado. VPNs están mas allá del alcance de este tema.
          • Autenticación de llave compartida - Proporciona mecanismos, como WEP, WPA, WPA2 y WPA3 para autenticar y cifrar datos entre un cliente inalámbrico y AP. Sin embargo, la contraseña debe ser pre-compartida entre las dos partes para conectar.
          El siguiente cuadro resumen estos metodos de autenticación.

                             






          5.3.4 Métodos de Autenticación de Clave Compartida


          Actualmente hay cuatro técnicas de autenticación de clave compartida disponibles, como se muestra en la tabla. Hasta que la disponibilidad de dispositivos WPA3 se vuelva omnipresente, las redes inalámbricas deben usar el estándar WPA2.

          Método de Autenticación Descripción
          Privacidad Equivalente al Cableado (WEP) La especificación original 802.11 diseñada para proteger los datos utilizando el método de cifrado Rivest Cipher 4 (RC4) con una clave estática.Sin embargo, la clave nunca cambia cuando se intercambian paquetes. Esto lo hace fácil de hackear. WEP ya no se recomienda y nunca debe usarse.
          Acceso Protegido Wi-Fi (WPA) Un estándar de Wi-Fi Alliance que usa WEP, pero protege los datos con el algoritmo de encriptación del Protocolo de integridad de clave temporal (TKIP) mucho más fuerte. El TKIP cambia la clave para cada paquete, lo que hace que sea mucho más difícil de descifrar.
          WPA2 WPA2 es un estándar de la industria para proteger las redes inalámbricas. Utiliza el Estándar de Cifrado Avanzado (AES) para el cifrado. AES actualmente se considera el protocolo de cifrado más sólido.
          WPA3 La próxima generación de seguridad Wi-Fi. Todos los dispositivos habilitados para WPA3 utilizan los últimos métodos de seguridad, no permiten protocolos heredados obsoletos y requieren el uso de marcos de administración protegidos (PMF). Sin embargo, los dispositivos con WPA3 aún no están disponibles.







          5.3.5 Autenticación de un usuario doméstico


          Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2 WPA2 es el mas fuerte de los dos La figura muestra la opción para seleccionar uno de los dos métodos de autenticación WPA2:
          • Personal- (PSK). Destinados a redes domésticas o de pequeñas oficinas, los usuarios se autentican utilizando una clave pre-compartida(PSK). Los clientes inalámbricos se autentican con el enrutador inalámbrico utilizando una contraseña previamente compartida. no requiere un servidor de autenticación especial.
          • Empresa - destinado para redes empresariales pero requiere un servidor de autenticación de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Aunque requiere una configuración más complicada, proporciona seguridad adicional. El servidor RADIUS debe autenticar el dispositivo y luego los usuarios deben autenticarse utilizando el estándar 802.1X, que utiliza el Protocolo de autenticación extensible (EAP) para la autenticación.
          En la figura el administrador está configurando el router inalambrico con autenticación personal WPA2 en la banda 2.4 GHz.

                         

                           






          5.3.6 Métodos de Encriptación


          El cifrado suele utilizarse para proteger datos. Si un intruso ha capturado datos cifrados, no podrá descifrarlos en un período de tiempo razonable.
          Los estándares WPA y WPA2 usan los siguientes métodos de cifrado:
          • Temporal Key Integrity Protocol (TKIP)- TKIP es el método de encriptación utilizado por WPA. Proporciona soporte para equipos WLAN heredados al abordar las fallas originales asociadas con el método de encriptación WEP 802.11. Utiliza WEP, pero encripta la carga útil de la Capa 2 usando TKIP y realiza una Verificación de integridad de mensajes (MIC) en el paquete encriptado para garantizar que el mensaje no haya sido alterado.
          • Advanced Encryption Standard (AES)- AES es el método de encriptación utilizado por WPA2. este es el método preferido de cifrado porque es un método mucho más fuerte. Utiliza el modo de contador de cifrado con el protocolo de código de autenticación de mensajes de bloqueo de cadena (CCMP) que permite a los hosts de destino reconocer si se han alterado los bits encriptados y no encriptados.
          En la figura el administrador está configurando el router inalámbrico para usar WPA2 con cifrado AES en la banda 2.4 GHz.

                            






          5.3.7 Autenticación en la Empresa


          En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o inicio de sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del modo de seguridad empresarial requiere un servidor RADIUS de autenticación, autorización y contabilidad (AAA).
          • RADIUS Server IP address- Esta es la dirección accesible del servidor RADIUS.
          • UDP port numbers- Los puertos UDP 1812 para la autenticación RADIUS y 1813 para la contabilidad RADIUS, pero también pueden funcionar utilizando los puertos UDP 1645 y 1646.
          • Shared key - se utiliza para autenticar el AP con el servidor RADIUS.
          En la figura el administrador está configurando el router inalámbrico para usar autenticación WPA2 Enterprise con encripción AES. La dirección IPv4 del servidor RADIUS también se configura con una contraseña segura que se utilizará entre el router inalámbrico y el servidor RADIUS.

                           

          La llave compartida no es un parámetro que debe ser configurado en un cliente inalámbrico. Solo se requiere en el AP para autenticarse con el servidor RADIUS. Nota: La autenticación y autorización del usuario se maneja mediante el estándar 802.1X, que proporciona una autenticación centralizada basada en el servidor de los usuarios finales.
          El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y RADIUS. EAP es un marco para autenticar el acceso a la red. Puede proporcionar un mecanismo de autenticación seguro y negociar una clave privada segura que luego puede usarse para una sesión de encriptación inalámbrica usando encriptación TKIP o AES.






          5.3.8 WPA3


          En el momento de este escrito los dispositivos que soportan autenticación WPA3 autenticación no están fácilmente disponibles. Sin embargo, WPA2 ya no se considera segura WPA3, si está disponible, es el método de autenticación 802.11 recomendado. WPA3 incluye cuatro características;
          • WPA3-personal
          • WPA3-empresa
          • Redes abiertas
          • Internet de las cosas (IoT)



        • 5.4. Resumen de Dispositivos de comunicación de Red

          5.4.1 ¿Qué Aprendí en este Módulo?



      • Módulo 6: Infraestructura de seguridad de redes

        6.0.1 ¿Por qué debería tomar este módulo?


        Con las numerosas amenazas a la seguridad de la red, ¿cómo se pueden diseñar las redes para proteger los recursos de datos y garantizar que los servicios de red se presten según sea necesario? La infraestructura de seguridad de red define la manera en que los dispositivos se conectan entre sí para lograr comunicaciones seguras integrales. Así como hay muchos tamaños de redes, también hay muchas maneras de diseñar una infraestructura de red segura. Sin embargo, hay algunos diseños estándares que el sector de redes recomienda para lograr el diseño de redes disponibles y seguras. Este capítulo abarca el funcionamiento básico de las infraestructuras de red, los diversos dispositivos de seguridad de red y los servicios de seguridad que se utilizan para supervisar y mantener la transmisión segura y eficiente de datos.





        6.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 2 Vídeos
        • 1 Actividad de Packet Tracer
        • 3 Actividades de Verifique su Comprensión
        • 1 Prueba del Módulo
        Título del módulo: Infraestructura de seguridad de redes
        Objetivo del módulo: Explicar cómo se emplean los dispositivos y servicios para reforzar la seguridad de las redes.


        Título del tema
        Objetivo del tema
        Dispositivos de seguridad
        Explicar cómo se utilizan dispositivos especializados para mejorar la seguridad de la red.
        Servicios de seguridad
        Explicar cómo los servicios de red mejoran la seguridad de la red.


        • 6.1. Dispositivos de seguridad

          6.1.1 Vídeo - Dispositivos de seguridad







          6.1.2 Firewalls


          Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes.








          6.1.3 Arquitecturas de seguridad comunes


          Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico según el origen, el destino y el tipo de tráfico. Algunos diseños son tan simples y solo consisten en diseñar una red externa y una interna, que son determinadas por dos interfaces en un firewall.
          Aquí hay tres diseños comunes de firewall.


          Privado y público.
          Como se ve en la Figura, la red pública (o externa) no es de confianza y la red privada (o interna) es de confianza.
          Normalmente, un firewall con dos interfaces se configura del siguiente modo:
          • El tráfico procedente de la red privada se autoriza e inspecciona mientras viaja hacia la red pública. También se autoriza el tráfico inspeccionado que regresa de la red pública y está relacionado con el tráfico que se originó en la red privada.
          • Generalmente, se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.

                        



          Zona perimetral
          Una zona perimetral (DMZ, Demilitarized Zone) es un diseño de firewall donde, normalmente, hay una interfaz interna conectada a la red privada, una interfaz externa conectada a la red pública y una interfaz de DMZ, como se ve en la Figura.
          • El tráfico procedente de la red privada se inspecciona mientras viaja hacia la red pública o la DMZ. Este tráfico se permite casi sin restricciones. También se permite el tráfico inspeccionado que regresa a la red privada desde la DMZ o la red pública.
          • Con frecuencia, se bloquea el tráfico procedente de la DMZ que viaja hacia la red privada.
          • El tráfico procedente de la DMZ y que viaja hacia la red pública se permite, siempre y cuando cumpla con los requisitos de servicio.
          • El tráfico procedente de la red pública que viaja hacia la DMZ se permite de manera selectiva y se inspecciona. Este tipo de tráfico suele ser de correo electrónico, DNS, HTTP o HTTPS. Se permite de manera dinámica el tráfico que regresa de la DMZ a la red pública.
          • Se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.

                                              


          Firewall de políticas basados en zonas

          En los firewalls de políticas basadas en zonas (Zone-based policy firewalls, ZPF) se utiliza el concepto de zonas para ofrecer mayor flexibilidad. Una zona es un grupo de al menos una interfaz con funciones o características similares. Las zonas ayudan a especificar dónde se debe implementar una regla o política de firewall Cisco IOS. En la Figura, las políticas de seguridad para las redes LAN 1 y LAN 2 son similares y pueden agruparse en una zona para las configuraciones de firewall. De manera predeterminada, el tráfico entre interfaces en la misma zona no está sujeto a ninguna política y pasa libremente. Sin embargo, se bloquea todo el tráfico de zona a zona. Con el fin de permitir el tráfico entre zonas, debe configurarse una política que permita o inspeccione el tráfico.
          La única excepción a esta política predeterminada de denegar todo es la zona autónoma del router. La zona autónoma del router es el router en sí mismo e incluye todas las direcciones IP de interfaz de router. Las configuraciones de políticas que incluyen la zona autónoma se aplican al tráfico al router y procedente de él. De manera predeterminada, no hay ninguna política para este tipo de tráfico. El tráfico que debe tenerse en cuenta al diseñar una política para la zona autónoma incluye el tráfico del plano de control y del plano de administración, como SSH, SNMP y protocolos de enrutamiento.

                                                     







          6.1.4 Descripciones de tipos de firewall


          Es importante entender los diferentes tipos de firewalls y sus capacidades específicas, de modo que se utilice el firewall adecuado para cada situación.



          Firewall para filtrado de paquetes (sin estado)

          Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. Son firewalls sin estado que utilizan una simple búsqueda en la tabla de políticas que filtra el tráfico según criterios específicos.
          Por ejemplo, los servidores SMTP escuchan el puerto 25 de manera predeterminada. Un administrador puede configurar el firewall de filtrado de paquetes para bloquear el puerto 25 desde una estación de trabajo específica a fin de evitar que difunda un virus por correo electrónico.

                                                             


          Firewall activo

          Los firewalls con estado son los más versátiles y las tecnologías de firewall más comúnmente usadas. Los firewalls activos proporcionan un filtrado de paquetes utilizando la información de conexión que se mantiene en una tabla de estados. El filtrado con estado es una arquitectura de firewall que se clasifica en la capa de red. También analiza el tráfico en las capas 4 y 5 de OSI.

                                                               


          Firewall del gateway de aplicaciones

          Un firewall de gateway de aplicaciones (firewall proxy), como se muestra en la figura, filtra la información en las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayor parte del control y filtrado del firewall se realiza en el software. Cuando un cliente necesita tener acceso a un servidor remoto, se conecta a un servidor proxy. El servidor proxy se conecta al servidor remoto en nombre del cliente. Por lo tanto, el servidor solamente ve una conexión desde el servidor proxy.


                                                                        



          Firewall de próxima generación
          Los firewalls de próxima generación (NGFW) van más allá de los firewalls con estado y ofrecen lo siguiente:
          • Prevención de intrusiones integrada.
          • Control y reconocimiento de aplicaciones para ver y bloquear aplicaciones riesgosas.
          • Rutas de actualización para incluir futuros datos de información.
          • Técnicas para afrontar amenazas de seguridad en constante evolución.

                                                


          Otros métodos de implementación de firewall incluyen los siguientes:
          • Firewall basado en host (servidor y personal) - Una PC o servidor con software de firewall ejecutándose en él.
          • Firewall transparente - Filtra el tráfico IP entre un par de interfaces puenteadas.
          • Firewall híbrido - Una combinación de los distintos tipos de firewall. Por ejemplo, un firewall de inspección de aplicación combina un firewall con estado y un firewall de gateway de aplicación.







          6.1.5 Dispositivos de detección y prevención de intrusiones


          Es necesario un cambio de paradigma en las arquitecturas de red para defenderse de los ataques cada vez más rápidos y complejos. Este debe incluir sistemas de detección y prevención rentables, como sistemas de detección de intrusiones (IDS, Intrusion Detection System) o sistemas de prevención de intrusiones (IPS, Intrusion Prevention System), que son más escalables. La arquitectura de red integra estas soluciones en los puntos de entrada y salida de la red.
          Al implementar IDS o IPS, es importante conocer los tipos de sistemas disponibles, los enfoques basados en host y basados en la red, la implementación de estos sistemas, el papel que desempeñan las categorías de firma y las posibles acciones que puede adoptar un router de Cisco IOS cuando se detecta un ataque.
          La figura muestra cómo un dispositivo IPS maneja el tráfico malicioso.
          Características de IDS e IPS

                                          

          1. El tráfico malicioso se envía al host de destino que está dentro de la red.
          2. El tráfico se enruta a la red y es recibido mediante un sensor IPS habilitado donde está bloqueado.
          3. El sensor IPS habilitado envía información de registro con respecto al tráfico a la consola de administración de la seguridad de la red.
          4. El sensor habilitado para IPS elimina el tráfico (se envía al "depósito de bits").
          Ambas tecnologías se implementan como sensores. Un sensor IDS o IPS puede adoptar la forma de varios dispositivos diferentes:
          • Un router configurado con el software IPS de Cisco IOS.
          • Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS exclusivos.
          • Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA, Adaptive Security Appliance), switch o router.
          Las tecnologías IDS e IPS utilizan firmas para detectar patrones de tráfico de red. Una firma es un conjunto de reglas que un IDS o IPS utiliza para detectar actividad maliciosa. Las firmas pueden utilizarse para detectar infracciones graves de seguridad y ataques de red comunes, y para recopilar información. Las tecnologías IDS e IPS pueden detectar patrones de firma atómica (paquete individual) o patrones de firma compuesta (varios paquetes).






          6.1.6 Ventajas y desventajas de IDS e IPS


          Ventajas y desventajas de un IDS
          La tabla de lista de ventajas y desventajas de IDS e IPS.


          Solución
          Ventajas
          Desventajas
          IDS
          • Sin impacto en la red (latencia, jitter)
          • Sin impacto en la red si hay una falla del sensor
          • Sin impacto en la red si hay sobrecarga del sensor
          • La acción de respuesta no puede detener los paquetes desencadenantes
          • Ajuste correcto requerido para las acciones de respuesta
          • Más vulnerable a las técnicas de evasión de seguridad de la red
          IPS
          • Detener paquetes de activación
          • Puede usar técnicas de normalización de flujo
          • Los problemas del sensor afectan el tráfico de la red por la noche
          • La sobrecarga del sensor afecta la red
          • Algún impacto en la red (latencia, jitter)






          6.1.7 Tipos de IPS


          Existen dos tipos primarios de IPS disponibles: IPS basados en hosts y con base en la red.
          IPS con base en host
          La tecnología IPS con base en host (HIPS) es un software instalado en un host para controlar y analizar actividades sospechosas. Una ventaja importante de HIPS es que puede monitorear y proteger el sistema operativo y los procesos fundamentales del sistema que son específicos de ese host. Con un conocimiento detallado del sistema operativo, HIPS puede monitorear la actividad inusual y evitar que el host ejecute comandos que no coinciden con el comportamiento habitual. Este comportamiento sospechoso o malicioso podría incluir actualizaciones del registro no autorizadas, cambios en el directorio del sistema, ejecución de programas de instalación y actividades que provocan desbordamientos del búfer. También es posible monitorear el tráfico de red para evitar que el host participe en un ataque de denegación de servicio (DoS, Denial of Service) o forme parte de una sesión de FTP ilícita.
          HIPS puede considerarse una combinación de firewall, software antivirus y software antimalware. Combinado con IPS con base en la red, HIPS es una herramienta eficaz para brindar protección adicional al host.
          Una desventaja de HIPS es que actúa solamente a nivel local. No tiene una perspectiva completa de la red o de los eventos coordinados que podrían estar ocurriendo en toda la red. Para ser eficaz en una red, HIPS debe instalarse en cada host y ser compatible con cada sistema operativo.
          Seleccione los encabezados para obtener más información sobre las ventajas y las desventajas de HIPS.


          Ventajas

          • Proporciona protección específica a un sistema operativo del host
          • Proporciona protección al nivel del sistema operativo y de las aplicaciones
          • Protege al host después de descifrar el mensaje

          Desventajas

          • Depende del sistema operativo
          • Debe instalarse en todos los hosts


          IPS con base en la red
          La tecnología IPS con base en la red se puede implementar utilizando un dispositivo IPS exclusivo o no exclusivo. Las implementaciones de IPS con base en la red son un componente fundamental de la prevención de intrusiones. Hay soluciones IDS/IPS con base en el host, pero estas deben integrarse con una implementación de IPS con base en la red para que la arquitectura de seguridad sea realmente sólida.
          Los sensores detectan actividad maliciosa y no autorizada en tiempo real y pueden tomar medidas cuando es necesario. Como se muestra en la figura, los sensores se despliegan en puntos de red designados. Esto permite a los administradodres de seguridad a monitorear la actividad de la red mientras esto ocurre, sin importar dónde sea el objetivo del ataque.
          Implementación de sensor IPS de muestra

                           






          6.1.8 Dispositivos de seguridad especializados



        • 6.2. Servicios de seguridad

          6.2.2 Control de tráfico con ACL


          Una lista de control de acceso (ACL, Access Control List) es una serie de comandos que controla si un dispositivo reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. Cuando se las configura, las ACL realizan las siguientes tareas:
          • Limitan el tráfico de red para aumentar el rendimiento. Por ejemplo, si la política corporativa no permite el tráfico de vídeo en la red, se pueden configurar y aplicar ACL que bloqueen el tráfico de vídeo. Esto reduciría considerablemente la carga de la red y aumentaría su rendimiento.
          • Brindan control de flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones de enrutamiento para asegurar que las actualizaciones provienen de un origen conocido.
          • Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro host acceda a la misma área. Por ejemplo, se puede restringir el acceso a la red de Recursos Humanos a los usuarios autorizados.
          • Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.
          • Examinan los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos, como FTP o HTTP.
          Además de permitir o denegar tráfico, las ACL se pueden utilizar para seleccionar tipos de tráfico para analizar, reenviar o procesar de otras formas. Por ejemplo, se pueden utilizar ACL para clasificar el tráfico a fin de permitir el procesamiento por prioridad. Esta capacidad es similar a tener un pase vip para un concierto o un evento deportivo. El pase vip brinda a ciertos invitados privilegios que no se ofrecen a los asistentes que poseen entradas de admisión general, como prioridad de entrada o el ingreso a un área restringida.
          En la figura, se ve un ejemplo de una topología con ACL aplicadas a los routers R1, R2 y R3.
          ¿Qué es una ACL?

                                          





          6.2.3 ACL: características importantes


          Los dos tipos de ACL de IPv4 de Cisco son estándar y extendidos. Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos involucrados no se evalúan.
          Las ACL extendidas filtran paquetes IPv4 según varios atributos, como los siguientes:
          • Tipo de protocolo
          • Dirección IPv4 de origen
          • Dirección IPv4 de destino
          • Puertos TCP o UDP de origen
          • Puertos TCP o UDP de destino
          • Información optativa de tipo de protocolo para un control más preciso
          Las ACL estándar y extendidas se pueden crear con un número o un nombre para identificar la ACL y su lista de instrucciones.
          El uso de ACL numeradas es un método eficaz para determinar el tipo de ACL en redes más pequeñas con tráfico definido de forma más homogénea. Sin embargo, un número no proporciona información sobre el propósito de la ACL. Por este motivo, se puede usar un nombre para identificar una ACL de Cisco.
          Mediante la configuración de registro de ACL, se puede generar y registrar un mensaje de ACL cuando el tráfico cumpla con los criterios de permiso o denegación definidos en la ACL.
          Las ACL de Cisco también pueden configurarse para permitir solamente el tráfico de TCP que tiene un conjunto de bits ACK o RST, de modo que únicamente se permita el tráfico de una sesión de TCP establecida. Esto puede utilizarse para denegar el tráfico de TCP que provenga del exterior de la red que intenta establecer una nueva sesión de TCP.






          6.2.4 SNMP

          El protocolo simple de administración de redes (SNMP) les permite a los administradores gestionar terminales en una red IP, como servidores, estaciones de trabajo, routers, switches y dispositivos de seguridad. Permite que los administradores de redes monitoreen y administren el rendimiento de la red, detecten y resuelvan problemas de red y planifiquen el crecimiento de la red.
          SNMP es un protocolo de capa de aplicación que proporciona un formato de mensaje para la comunicación entre administradores y agentes.
          Como se muestra en la figura, el sistema SNMP consta de dos elementos.
          • El administrador de SNMP, que ejecuta el software de administración de SNMP.
          • Los agentes de SNMP, que son los nodos monitoreados y administrados.
          La base de información de administración (Management Information based MIB), que es una base de datos de los agentes donde se guardan datos y estadísticas operativas sobre el dispositivo
          Para configurar SNMP en un dispositivo de red, primero es necesario definir la relación entre el administrador y el agente.
          El administrador de SNMP forma parte de un sistema de administración de red (Network Management System NMS). El administrador de SNMP ejecuta software de administración SNMP. Como se muestra en la ilustración, el administrador de SNMP puede recopilar información de un agente SNMP mediante una acción “get” y puede cambiar la configuración en un agente mediante la acción “set”. Además, lo agentes de SNMP pueden reenviar información directamente a un administrador de red mediante "traps".
          El ejemplo muestra al administrador de SNMP obteniendo información de un agente SNMP. En la figura, un administrador SNMP, representado como una PC, está conectado a un router, un switch y un router de firewall. Los dispositivos conectados al Administrador SNMP estan etiquetados como agentes SNMP y nodos administrados. Una flecha con la etiqueta "trampa" "trap"apunta al Administrador de SNMP, lo que indica que los dispositivos del agente SNMP envían notificaciones al administrador de SNMP. Hay dos flechas apuntando hacia los agentes SNMP etiquetados como Get and Set. Estos indican que el administrador SNMP envía las acciones Get and Set de agentes SNMP.
                                                      






          6.2.5 NetFlow
          NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan un router o switch multicapa de Cisco. Mientras que SNMP intenta proporcionar una amplia variedad de características y opciones de administración de red, NetFlow se centra en proporcionar estadísticas sobre los paquetes IP que fluyen a través de los dispositivos de red.
          NetFlow proporciona datos para habilitar el monitoreo de red y de seguridad, la planificación de red, el análisis de tráfico para incluir la identificación de los cuellos de botella de la red y la contabilidad de IP para fines de facturación. Por ejemplo, en la ilustración, la PC1 se conecta a la PC2 mediante una aplicación como HTTPS.
          NetFlow en la red

                                      

          NetFlow puede monitorear la conexión de esa aplicación mediante el seguimiento de los conteos de bytes y de paquetes para el flujo de esa aplicación individual. A continuación, inserta las estadísticas en un servidor externo denominado “recopilador NetFlow”.
          Existen varias generaciones de la tecnología NetFlow que proporcionan mayor sofisticación para definir los flujos de tráfico, pero “NetFlow original” distinguía los flujos mediante una combinación de siete campos. Si el valor de uno de estos campos difería del de otro paquete, se podía determinar con seguridad que los paquetes provenían de flujos diferentes:
          • Dirección IP de origen
          • Dirección IP de destino
          • Número de puerto de origen
          • Número de puerto de destino
          • Tipo de protocolo de capa 3
          • Marca de tipo de servicio (ToS)
          • Interfaz lógica de entrada
          Los primeros cuatro campos que usa NetFlow para identificar un flujo se deberían conocer. Las direcciones IP de origen y destino, más los puertos de origen y destino, identifican la conexión entre la aplicación de origen y destino. El tipo de protocolo de capa 3 identifica el tipo de encabezado que sigue al encabezado IP (generalmente TCP o UDP, pero otras opciones incluyen ICMP). El byte ToS en el encabezado de IPv4 contiene información sobre cómo los dispositivos deben aplicar las reglas de calidad de servicio (QoS) a los paquetes en ese flujo.






          6.2.6 Puertos reflejados

          Un analizador de paquetes (también conocido como sniffer de paquetes o sniffer de tráfico) es, normalmente, un software que captura paquetes de entrada y salida de la tarjeta de interfaz de red (NIC). No siempre es posible ni deseable que el analizador de paquetes esté en el dispositivo que se está monitoreando. A veces, es mejor que esté en una estación separada designada para capturar los paquetes.
          Dado que los switches de red pueden aislar el tráfico, los sniffers de tráfico u otros monitores de red (como IDS) no pueden tener acceso a todo el tráfico en un segmento de red. El reflejo de puertos es una característica que le permite al switch hacer copias del tráfico que pasa y, luego, enviarlas a un puerto con un supervisor de redes conectado. El tráfico original se reenvía de la manera habitual. En la figura, se ve un ejemplo de replicación de puertos.
          Sniffing de tráfico mediante un switch

                              






          6.2.7 Servidores Syslog

          Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos de confianza para notificar mensajes detallados del sistema al administrador. Estos mensajes pueden ser importantes o no. Los administradores de red tienen una variedad de opciones para almacenar, interpretar y mostrar estos mensajes, así como para recibir esos mensajes que podrían tener el mayor impacto en la infraestructura de la red.
          El método más común para acceder a los mensajes del sistema es utilizar un protocolo denominado syslog.
          Muchos dispositivos de red admiten syslog, incluidos routers, switches, servidores de aplicación, firewalls y otros dispositivos de red. El protocolo syslog permite que los dispositivos de red envíen los mensajes del sistema a servidores de syslog mediante la red, como se ve en la figura.
          Syslog

                         

          El servicio de registro de syslog proporciona tres funciones principales:
          • La capacidad de recopilar información de registro para el control y la solución de problemas
          • La capacidad de escoger el tipo de información de registro que se captura
          • La capacidad de especificar el destino de los mensajes de syslog capturados






          6.2.8 NTP


          Es importante sincronizar la hora en todos los dispositivos de la red porque todos los aspectos de administración, protección, solución de problemas y planificación de redes requieren una marca de hora precisa y uniforme. Cuando no se sincroniza la hora entre los dispositivos, resulta imposible determinar el orden de los eventos que tienen lugar en las diferentes partes de la red.
          Es importante sincronizar la hora en todos los dispositivos de la red porque todos los aspectos de administración, protección, solución de problemas y planificación de redes requieren una marca de hora precisa y uniforme. Cuando no se sincroniza la hora entre los dispositivos, resulta imposible determinar el orden de los eventos que tienen lugar en las diferentes partes de la red.
          Generalmente, la configuración de fecha y hora en un dispositivo de red se pueden ajustar mediante una de las siguientes maneras:
          • Configuración manual de fecha y hora
          • Configuración del protocolo de tiempo de red (NTP)
          A medida que una red crece, se hace difícil garantizar que todos los dispositivos de infraestructura operen con una hora sincronizada. Incluso en un entorno de red más pequeño, el método manual no es lo ideal. ¿Cómo obtener una fecha y marca de hora precisas si se reinicia un dispositivo?
          Una mejor solución es configurar el NTP en la red. Este protocolo permite que los routers de la red sincronicen sus ajustes de hora con un servidor NTP. Si un grupo de clientes NTP obtiene información de fecha y hora de un único origen, tendrá ajustes de hora más consistentes. Cuando se implementa NTP en la red, se lo puede configurar para sincronizarse con un reloj maestro privado o se puede sincronizar con un servidor NTP disponible públicamente en Internet.
          Las redes NTP utilizan un sistema jerárquico de fuentes horarias. Cada nivel en este sistema jerárquico se denomina estrato. El nivel de estrato se define como la cantidad de saltos desde fuente autorizada. La hora sincronización se distribuye en la red mediante el protocolo NTP. En la figura muestra una red NTP modelo.
          Niveles de estratos de NTP

                                 

          Los servidores NTP están dispuestos en tres niveles, conocidos como estratos:
          • Estrato 0 - una red NTP obtiene la hora de fuentes horarias autorizadas. Estas fuentes autorizadas, conocidas como dispositivos de estrato 0, son dispositivos de cronometraje de alta precisión que son presuntamente precisos y con poco o ningún retraso asociado con los mismos.
          • Estrato 1 -Los dispositivos del estrato 1 están conectados directamente a las fuentes horarias autorizadas. Actúan como el estándar horario de la red principal.
          • Estrato 2 e inferiores - Los servidores del estrato 2 están conectados a dispositivos del estrato 1 mediante conexiones de red. Los dispositivos del estrato 2, como clientes de NTP, sincronizan su horario con los paquetes NTP desde servidores del estrato 1. Podrían también actuar como servidores para dispositivos del estrato 3.
          Los números más bajos de estratos indican que el servidor está más cerca de la fuente horaria autorizada que los números de estrato más altos. Cuanto mayor sea el número de estrato, menor es el nivel del estrato. El recuento de saltos máximo es 15. El estrato 16, el nivel de estrato inferior, indica que un dispositivo no está sincronizado. Los servidores horarios en el mismo nivel de estrato pueden configurarse para actuar como un par con otros servidores horarios en el mismo nivel de estratos para la verificación o la copia de respaldo del horario.






          6.2.9 Servidores AAA


          Las tres funciones de seguridad independientes que ofrece el marco arquitectónico AAA.



          Los protocolos Terminal Access Controller Access-Control System Plus (TACACS+) y Remote Authentication Dial-In User Service (RADIUS) son dos protocolos de autenticación que se utilizan para comunicarse con servidores AAA. La selección de TACACS+ o RADIUS depende de las necesidades de la organización.
          Mientras ambos protocolos pueden usarse para la comunicación entre un router y los servidores AAA, TACACS+ se considera el protocolo más seguro. Esto se debe a que se cifran todos los intercambios de protocolos TACACS+, mientras que RADIUS solo cifra la contraseña del usuario. RADIUS no cifra nombres de usuario, información de la cuenta, o cualquier otra información que contenga el mensaje de RADIUS.
          En la tabla se enumeran las diferencias entre estos programas;


          TACACS+ RADIUS
          Funcionalidad Separa AAA de acuerdo con la arquitectura AAA, lo que permite la modularidad de la implementación del servidor de seguridad. Combina autenticación y autorización pero separa la contabilidad, lo que permite menos flexibilidad en la implementación que TACACS+
          Estándar Principalmente compatible con Cisco Estándar abierto/RFC
          Transporte TCP UDP
          Protocolo CHAP Desafío y respuesta bidireccionales como se usa en el Protocolo de autenticación por desafío mutuo (CHAP) Desafío y respuesta unidireccionales del servidor de seguridad RADIUS al cliente RADIUS
          Confidencialidad Todo el paquete encriptado Contraseña encriptada
          Personalización Proporciona autorización de los comandos del enrutador por usuario o por grupo No tiene opción para autorizar los comandos del enrutador por usuario o por grupo
          Accounting Limitado Extenso





          6.2.10 VPN


          Una VPN es una red privada que se crea en una red pública, normalmente Internet, como se ve en la Figura.

          Red privada virtual

                                    
          En vez de utilizar una conexión física exclusiva, una VPN utiliza conexiones virtuales cuyo enrutamiento se realiza por Internet desde la organización hacia el sitio remoto. Las primeras VPN eran exclusivamente túneles IP que no incluían la autenticación o el cifrado de los datos. Por ejemplo, la encapsulación de enrutamiento genérico (GRE) es un protocolo de tunneling desarrollado por Cisco que puede encapsular una amplia variedad de tipos de paquetes de protocolo de capa de red dentro de los túneles IP. Esto crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a través de una red IP.
          Una VPN es virtual porque transporta la información dentro de una red privada, pero, en realidad, esa información se transporta usando una red pública. Una VPN es privada porque el tráfico se encripta para preservar la confidencialidad de los datos mientras se los transporta por la red pública.
          Una VPN es un entorno de comunicaciones en el que el acceso se controla de forma estricta para permitir las conexiones de peers dentro de una comunidad de interés definida. La confidencialidad se consigue encriptando el tráfico dentro de la VPN. En la actualidad, una implementación segura de VPN con encriptación es lo que suele equipararse con el concepto de redes privadas virtuales.
          En el sentido más simple, una VPN conecta dos terminales (por ejemplo, una oficina remota con una central) usando una red pública para formar una conexión lógica. Las conexiones lógicas se pueden realizar en la capa 2 o la capa 3. Ejemplos comunes de VPN de capa 3 son GRE, switching por etiquetas multiprotocolo (MPLS, Multiprotocol Label Switching) e IPsec. Las VPN de capa 3 pueden ser conexiones de sitio de punto a punto (como GRE e IPsec) o pueden establecer conectividad entre cualquier punto y a muchos sitios con MPLS.
          IPsec es un conjunto de protocolos desarrollados con el respaldo de la IETF para lograr servicios seguros en redes de switching por paquetes IP.
          Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la confidencialidad. Con IPsec se puede cifrar y verificar la información intercambiada entre sitios remotos. Las VPN suelen implementarse en una topología de sitio a sitio para conectar de forma segura sitios centrales con ubicaciones remotas. También se implementan en una topología de acceso remoto para proporcionar acceso remoto seguro a usuarios externos que viajan o trabajan desde casa. Se pueden implementar redes VPN de acceso remoto y de sitio a sitio por igual utilizando IPsec.


        • 6.3. Resumen de Infraestructura de seguridad de red

          6.3. Resumen de Infraestructura de seguridad de red



      • Examen de punto de control: Seguridad de la red

      • Módulo 7: El sistema operativo Windows

        7.0.1 ¿Por qué debería tomar este módulo?


        Desde sus humildes comienzos hace más de 35 años en 1985, el sistema operativo Windows ha experimentado muchos cambios; desde Windows 1.0 hasta la versión de escritorio actual de hoy, Windows 10, y la versión del servidor, Windows Server 2019.
        Este módulo cubre algunos de los conceptos básicos de Windows, incluido el funcionamiento del sistema operativo y las herramientas utilizadas para proteger los puntos terminales de Windows.





        7.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 5 laboratorios
        • 2 Actividades de Verifique su Comprensión
        • 1 Prueba del Módulo
        Título del Módulo: El Sistema Operativo Windows
        Objetivo del módulo: utilizar herramientas administrativas de Windows.


        Título del tema Objetivo del tema
        Historia de Windows Describir la historia del sistema operativo Windows.
        Arquitectura y operaciones de Windows Explicar la arquitectura de Windows y su funcionamiento.
        Configuración y Monitoreo de Windows Usar las herramientas administrativas de Windows para configurar, monitorear y administrar los recursos del sistema.
        Seguridad de Windows Explicar cómo se puede mantener seguro Windows.


        • 7.1. Historia de Windows

          7.1.1 Sistema operativo de disco


          Las primeras computadoras no tenían dispositivos de almacenamiento modernos, como discos duros, unidades ópticas o unidades de memoria flash. Los primeros métodos de almacenamiento utilizaban tarjetas perforadas, cinta de papel, cinta magnética y hasta casetes de audio.
          El almacenamiento en disquete y disco duro requiere un software para leer, escribir y administrar los datos que se almacenan. El Sistema Operativo de Disco (DOS) es un sistema operativo que utiliza la computadora para habilitar estos dispositivos de almacenamiento de datos para leer y escribir archivos. DOS provee un sistema de archivos que organiza los archivos en una forma especifica en el disco Microsoft compró DOS y desarrolló MS-DOS.
          MS-DOS utiliza una línea de comandos como interfaz para que las personas creen programas y manipulen archivos de datos, como se muestra en la salida del comando. Los comandos DOS se muestran en negrita.

                      

          Con MS-DOS, la computadora tenía conocimientos básicos sobre cómo acceder a la unidad de disco y cargar los archivos del sistema operativo directamente desde el disco como parte del proceso de arranque. Cuando se cargaba, MS-DOS podía tener acceso al disco fácilmente porque estaba incorporado en el sistema operativo.
          Las primeras versiones de Windows consistían en un Interfaz Gráfica de Usuario (GUI) que se ejecuta sobre MS-DOS, iniciando con Windows 1.0 en 1985 El sistema operativo de disco todavía controlaba la computadora y su hardware. Un sistema operativo moderno, como Windows 10, no se considera un sistema operativo de disco. Se basa en Windows NT, y esta sigla significa “nuevas tecnologías”. El propio sistema operativo controla directamente la computadora y su hardware. NT es un sistema operativo compatible con múltiples procesos de usuario. Esto es muy diferente al MS-DOS de un solo proceso y un solo usuario.
          Actualmente, muchas de las cosas que solían hacerse a través de la interfaz de línea de comandos de MS-DOS se pueden hacer en la GUI de Windows. Todavía es posible experimentar lo que era usar MS-DOS abriendo una ventana de comando, pero lo que vemos ya no es MS-DOS, sino una función de Windows. Para experimentar un poco lo que era trabajar en MS-DOS, abran una ventana de comando escribiendo cmd en la búsqueda de Windows y presionando Entrar. La tabla muestra algunos comandos que puede utilizar. Introduzca help seguido del comando para obtener más información sobre el comando.


          Comando MS-DOS Descripción
          dir Muestra una lista de todos los archivos en el directorio actual (carpeta)
          cd directory Cambia el directorio al directorio indicado
          cd .. Cambia el directorio al directorio por encima del directorio actual
          cd∖ Cambia el directorio al directorio raíz (a menudo C:)
          copy source destination Copia archivos a otra ubicación
          del filename Elimina uno o más archivos
          find Busca texto en archivos
          mkdir directory crea un nuevo directorio
          ren oldname newname Renombra un archivo
          help Muestra todos los comandos que se pueden utilizar, con una breve descripción
          help command Muestra una amplia ayuda para el comando indicado






          7.1.2 Versiones de Windows


          Desde el año 1993 hubo más de 20 versiones de Windows basadas en el sistema operativo NT. La mayoría de estas versiones eran para uso del público general y las empresas, debido a la seguridad de los archivos que ofrecía el sistema de archivos utilizado por el sistema operativo NT. Las empresas también adoptaron los sistemas operativos Windows basados en NT. Esto ocurrió porque muchas ediciones se diseñaron específicamente para estaciones de trabajo, profesionales, servidores, servidores avanzados y servidores de centro de datos, por nombrar solamente algunas de las muchas versiones de diseño específico.
          A partir de Windows XP, comenzó a estar disponible una edición de 64 bits. El sistema operativo de 64 bits era una arquitectura totalmente nueva. Tenía un espacio para la dirección postal de 64 bits, en lugar de uno de 32 bits. Esto no significa solamente el doble de espacio, ya que estos bits son números binarios. Mientras que Windows de 32 bits tiene espacio para un poco menos de 4 GB de RAM, Windows de 64 bits puede tener, teóricamente, espacio para 16,8 millones de terabytes. Cuando el sistema operativo y el hardware admiten el funcionamiento de 64 bits, es posible usar conjuntos de datos extremadamente grandes. Estos enormes conjuntos de datos incluyen bases de datos muy grandes, computación científica y manipulación de video digital de alta definición con efectos especiales. En general, las computadoras y los sistemas operativos de 64 bits son compatibles con programas más antiguos de 32 bits, pero los programas de 64 bits no pueden ejecutarse en el hardware más antiguo de 32 bits.
          Con cada nuevo lanzamiento de Windows, el sistema operativo se ha mejorado con la incorporación de más funciones. Windows 7 se ofreció con seis ediciones diferentes y Windows 8 con cinco. Windows 10 se lanzó ¡con ocho ediciones diferentes! Cada edición no ofrece solamente capacidades diferentes, sino precios distintos. Microsoft ha dicho que Windows 10 es la última versión de Windows y que Windows se ha convertido en un servicio en lugar de solo un sistema operativo. Dicen que, en lugar de comprar nuevos sistemas operativos, los usuarios solamente deberán actualizar Windows 10.
          En la tabla se enumeran las versiones comunes de Windows.

          OS Versions
          Windows 7 Starter, Home Basic, Home Premium, Professional, Enterprise, Ultimate
          Windows Server 2008 R2 Foundation, Standard, Enterprise, Datacenter, Web Server, HPC Server, Itanium-Based Systems
          Windows Home Server 2011 None
          Windows 8 Windows 8, Windows 8 Pro, Windows 8 Enterprise, Windows RT
          Windows Server 2012 Foundation, Essentials, Standard, Datacenter
          Windows 8.1 Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows RT 8.1
          Windows Server 2012 R2 Foundation, Essentials, Standard, Datacenter
          Windows 10 Home, Pro, Pro Education, Enterprise, Education, loT Core, Mobile, Mobile Enterprise
          Windows Server 2016 Essentials, Standard, Datacenter, Multipoint Premium Server, Storage Server, Hyper-V Server







          7.1.3 GUI de Windows


          Windows tiene una interfaz gráfica de usuario (Graphical User Interface, GUI) para que los usuarios trabajen con software y archivos de datos. La interfaz gráfica de usuario tiene un área principal que es conocida como El Escritorio, mostrada en la figura.

                                                    

          El escritorio se puede personalizar con diferentes colores e imágenes de fondo. Windows admite múltiples usuarios, para que cada uno pueda personalizar el escritorio a su gusto. El escritorio puede almacenar archivos, carpetas, accesos directos a ubicaciones y programas, y aplicaciones. Además, el escritorio tiene un icono de papelera de reciclaje, donde se almacenan los archivos cuando el usuario los elimina. Es posible restaurar archivos desde la papelera de reciclaje o se la puede vaciar y, de este modo, eliminarlos definitivamente.
          En la parte inferior del escritorio, se encuentra la barra de tareas. La barra de tareas tiene tres áreas que se utilizan para diferentes propósitos. A la izquierda, se encuentra el menú Inicio. Se utiliza para acceder a todos los programas instalados, las opciones de configuración y la función de búsqueda. En el centro de la barra de tareas, los usuarios colocan los iconos de inicio rápido que ejecutan programas específicos o abren determinadas carpetas cuando se hace clic en ellos. Finalmente, a la derecha de la barra de tareas, se encuentra el área de notificación. El área de notificación permite ver, a simple vista, la funcionalidad de una serie de programas y características diferentes. Por ejemplo, un icono de un sobre parpadeando puede indicar un correo electrónico nuevo, o un icono de red con una “x” roja puede indicar un problema con la red.
          A menudo, al hacer clic derecho sobre un icono se presentan funciones adicionales que pueden utilizarse. Esta lista se conoce como menú contextual, que se muestra en la figura.

                         

          Existen menús contextuales para los iconos en el área de notificación y también para los iconos de inicio rápido, los iconos de configuración del sistema y para los archivos y carpetas. El menú contextual permite tener acceso a muchas de las funciones más utilizadas con apenas un clic. Por ejemplo, el menú contextual para un archivo contendrá elementos como copiar, eliminar, compartir e imprimir. Para abrir carpetas y manipular archivos, Windows utiliza el explorador de archivos de Windows.






          7.1.4 Vulnerabilidades del Sistema Operativo


          Los sistemas operativos consisten en millones de líneas de código. El software instalado también puede contener millones de líneas de código. Todo este código acarrea vulnerabilidades. Una vulnerabilidad es una imperfección o debilidad que puede ser aprovechada por un atacante para reducir la viabilidad de la información de una computadora. Para aprovechar una vulnerabilidad de un sistema operativo, el atacante debe utilizar una técnica o herramienta para atacarla. El atacante puede utilizar la vulnerabilidad para hacer que la computadora actúe de una manera diferente a la prevista en su diseño. En general, el objetivo es hacerse con el control no autorizado de la computadora, cambiar permisos o manipular datos.


          Protección contra virus o malware:
          • De manera predeterminada, Windows utiliza Windows Defender para la protección contra el malware
          • Windows Defender ofrece un conjunto de herramientas de protección incorporado en el sistema.
          • Si Windows Defender está desactivado, el sistema es más vulnerable a los ataques y al malware.


          Servicios Desconocidos o no administrados:
          • Existen muchos servicios que se ejecutan en segundo plano.
          • Es importante asegurarse de que cada servicio pueda identificarse y sea seguro.
          • Con un servicio desconocido ejecutándose en segundo plano, la computadora puede ser vulnerable a los ataques.


          Cifrado:
          • Cuando los datos no se encuentran encriptados pueden ser fácilmente reunidos y explotados.
          • Esto no es solamente importante para computadoras de escritorio, sino especialmente para dispositivos móviles.

          Política de seguridad:

          • Se debe configurar una buena política de seguridad y debe cumplirse.
          • Muchos ajustes en el control de la política de seguridad de Windows pueden evitar ataques.

          Firewall:
          • Por defecto, Windows utiliza el Firewall de Windows para limitar la comunicación con dispositivos en la red
          • Con el tiempo, es posible que las reglas ya no se apliquen.
          • Por ejemplo, podría dejarse abierto un puerto que ya no debe estar disponible.
          • Es importante revisar la configuración del firewall periódicamente para asegurarse de que las reglas sigan siendo aplicables y eliminar las que ya no se apliquen.


          Permisos de archivo y uso compartido:
          • Estos permisos deben ser aplicados correctamente.
          • Es fácil darle al grupo “Todos” el control total, pero esto les permite a todas las personas hacer lo que deseen con todos los archivos.
          • Es mejor otorgar a cada usuario o grupo los permisos mínimos necesarios para todos los archivos y carpetas.


          Contraseña débil o sin contraseña:
          • Muchas personas eligen una contraseña débil o no utilizan contraseñas del todo.
          • Es especialmente importante asegurarse de que todas las cuentas, especialmente la cuenta de administrador, tengan una contraseña muy fuerte.


          Iniciar sesión como administrador:
          • Cuando el usuario inicia sesión como administrador, cualquier programa que ejecuten tendrá los privilegios de esa cuenta.
          • Es mejor iniciar sesión como un usuario estándar y utilizar solamente la contraseña de administrador para realizar determinadas tareas.

        • 7.2. Arquitectura y operaciones de Windows

          7.2.1 Capa de Abstracción de Hardware


          Las computadoras con Windows utilizan muchos tipos de hardware distintos. El sistema operativo se puede instalar en una computadora comprada o en una computadora ensamblada por el usuario. Cuando se instala el sistema operativo, debe aislarse de las diferencias en el hardware. En la figura, se ve la arquitectura básica de Windows.

                                                        

          Una capa de abstracción de hardware (HAL) es un software que maneja toda la comunicación entre el hardware y el kernel. El kernel es el núcleo del sistema operativo y controla toda la computadora. Se encarga de todas las solicitudes de entrada y salida, la memoria y todos los periféricos conectados a la computadora.
          En algunos casos, el núcleo todavía se comunica con el hardware directamente, por lo que no es totalmente independiente de la HAL. La HAL también necesita el núcleo para realizar algunas funciones.






          7.2.2 Modo de Usuario y Modo de Kernel


          Como se identifica en la figura, hay dos modos diferentes en los que funciona una CPU cuando la computadora tiene Windows instalado: el modo de usuario y el modo de núcleo.

                                  

          Las aplicaciones instaladas se ejecutan en el modo de usuario, y el código del sistema operativo lo hace en el modo de kernel. El código que se ejecuta en el modo de núcleo tiene acceso ilimitado al hardware subyacente y es capaz de ejecutar cualquier instrucción de la CPU. El código del modo de núcleo también puede hacer referencia a cualquier dirección de la memoria directamente. Dado que suele estar reservado para las funciones más confiables del sistema operativo, un error en el código que se ejecuta en el modo de núcleo detiene el funcionamiento de toda la computadora. Por el contrario, otros programas (como las aplicaciones de usuario) se ejecutan en modo de usuario y no tienen acceso directo a ubicaciones de memoria o hardware. El código de modo de usuario debe pasar por el sistema operativo para tener acceso a los recursos de hardware. Debido al aislamiento que brinda el modo de usuario, los errores en dicho modo afectan solamente a la aplicación y es posible una recuperación. La mayoría de los programas de Windows funcionan en el modo de usuario. Los controladores de dispositivos (elementos del software que permiten que el sistema operativo y un dispositivo se comuniquen) pueden funcionar en modo de núcleo o de usuario, según el controlador.
          Todo el código que se ejecuta en el modo de núcleo usa el mismo espacio para la dirección postal. Los controladores en modo de núcleo no están aislados del sistema operativo. Si se produce un error con el controlador en el modo de núcleo y escribe en el espacio para la dirección postal incorrecto, el sistema operativo u otro controlador del modo de núcleo podrían verse afectados negativamente. En este sentido, el controlador podría dejar de funcionar e interrumpir el funcionamiento de todo el sistema operativo.
          Cuando se ejecuta código en el modo de usuario, el núcleo le otorga su propio espacio para la dirección postal limitado, junto con un proceso creado específicamente para la aplicación. Esto se hace, principalmente, para evitar que las aplicaciones cambien código del sistema operativo que se esté ejecutando al mismo tiempo. Al tener su propio proceso, la aplicación tiene su propio espacio para la dirección postal privado, lo que impide que otras aplicaciones modifiquen sus datos. Esto también ayuda a evitar que el sistema operativo y otras aplicaciones dejen de funcionar si se interrumpe la aplicación.






          7.2.3 Sistema de Archivos de Windows




          NTFS es el sistema de archivos más utilizado en Windows por numerosas razones. NTFS admite archivos y particiones muy grandes y es muy compatible con otros sistemas operativos. Además, NTFS también es muy confiable y admite funciones de recuperación. Lo más importante es que admite muchas características de seguridad. El control de acceso de datos se logra mediante descriptores de seguridad. Estos descriptores de seguridad contienen información de propiedad y permisos en todos los niveles hasta el nivel de archivo. NTFS también controla muchas marcas de hora para registrar la actividad del archivo. También llamadas MACE, las marcas de hora de modificación, acceso, creación y modificación de entrada suelen usarse en las investigaciones forenses para determinar el historial de un archivo o carpeta. NTFS también admite la encriptación del sistema de archivos para proteger todos los medios de almacenamiento.
          Antes de poder usar un dispositivo de almacenamiento, como un disco, se debe formatear con un sistema de archivos. A su vez, antes de poder implementar un sistema de archivos en un dispositivo de almacenamiento, se debe particionar dicho dispositivo. Los discos duros se dividen en áreas llamadas particiones. Cada partición es una unidad lógica de almacenamiento que se puede formatear para almacenar información, como archivos de datos o aplicaciones. Durante el proceso de instalación, la mayoría de los sistemas operativos particionan y formatean automáticamente el espacio disponible de la unidad con un sistema de archivos, como NTFS.
          El formato NTFS crea estructuras importantes en el disco para almacenar archivos y tablas para registrar las ubicaciones de los archivos:
          • Sector de Partición de Arranque - Estos son los primeros 16 sectores de la unidad. contiene la ubicación de la tabla maestra de archivos (MFT, Master File Table). Los últimos 16 sectores contienen una copia del sector de arranque.
          • Tabla Maestra de Archivos (MFT) - Esta tabla contiene la localización de todos los archivos y los directorios de la partición, incluyendo los atributos de los archivos como la información de seguridad y las marcas de tiempo.
          • Archivos del sistema - Estos son archivos ocultos que almacenan información sobre otros volúmenes y atributos de archivo.
          • Área de Archivos - El área principal de la partición donde los archivos y los directorios son guardados.
          Nota: Cuando se formatea una partición, es posible que puedan recuperarse los datos anteriores, ya que no se eliminan completamente todos los datos. Este espacio libre puede ser examinado y se pueden recuperar archivos que pueden comprometer la seguridad. Si se va a reutilizar una unidad, se recomienda realizar un borrado seguro. El borrado seguro escribirá datos en toda la unidad varias veces para garantizar que no queden datos anteriores.





          7.2.4 Flujo de Datos Alternativo (ADS)


          NTFS guarda los archivos como una serie de atributos; por ejemplo, el nombre del archivo o una marca de hora. Los datos que contiene el archivo se almacenan en el atributo $DATA, y se conocen como flujo de datos. Con NTFS, es posible conectar flujos de datos alternativos (ADS) al archivo. En ocasiones, las aplicaciones aprovechan esta función para almacenar información adicional sobre el archivo. Los ADS son un factor importante en relación con el malware. Esto se debe a que resulta sencillo ocultar datos en ADS. Un atacante podría almacenar código malicioso dentro de ADS y otro archivo podría invocar este contenido posteriormente.
          En el sistema de archivos NTFS, un archivo con un ADS se identifica después del nombre del archivo y dos puntos, por ejemplo, Testfile.txt: ADS. Este nombre de archivo indica que un ADS está asociado con el archivo llamado  Testfile.txt. Un ejemplo de ADS es mostrada en la salida de un comando.

              

          En la salida:
          • El primer comando coloca el texto “Alternate Data Here” en un ADS del archivo Testfile.txt, llamado “ADS”.
          • El siguiente comando, dir, muestra que el archivo fue creado, pero no se visualiza el ADS.
          • El siguiente comando muestra que hay datos en el flujo de datos de Testfile.txt:ADS.
          • El último comando muestra el ADS del archivo Testfile.txt, porque se añadió la r al comando dir.






          7.2.5 Proceso de Arranque de Windows


          Ocurren muchas acciones entre el tiempo que es presionado el botón de poder y Windows siendo cargado completamente, como es mostrado en la figura. Esto se conoce como proceso de arranque de Windows.

                                                 

          Existen dos tipos de firmware de computadora:

          Sistema básico de entrada y salida (BIOS):
          BIOS firmware se creó a principios de la década de 1980 y funciona de la misma manera desde entonces. A medida que las computadoras evolucionaron, BIOS firmware comenzó a tener problemas para admitir todas las nuevas funciones que solicitaban los usuarios.


          Chip de Interfaz de firmware unificada extensible (UEFI):
          UEFI se diseñó para reemplazar el BIOS y admitir las nuevas funciones.



          En BIOS firmware, el proceso comienza con la fase de inicialización del BIOS. Esto ocurre cuando se inicializan los dispositivos de hardware y se realiza una prueba automática de encendido (POST, Power-On Self Test) para garantizar que todos estos dispositivos se estén comunicando. La POST finaliza cuando se detecta el disco del sistema. La última instrucción en la POST es buscar el registro principal de arranque (MBR, Master Boot Record).
          El MBR contiene un pequeño programa que se encarga de localizar y cargar el sistema operativo. La BIOS ejecuta este código y el sistema operativo comienza a cargarse.
          A diferencia de BIOS firmware, UEFI firmware tiene mucha visibilidad en el proceso de arranque. El arranque con UEFI se realiza cargando los archivos de programa de EFI, almacenados como archivos .efi en una partición especial del disco conocida como la partición de sistema EFI (ESP, EFI System Partition).
          Nota: Una computadora que utiliza UEFI almacena código de arranque en el firmware. Esto ayuda a aumentar la seguridad de la computadora al momento del arranque, ya que entra directamente en el modo protegido.
          Ya sea que el firmware sea BIOS o UEFI, después de ubicar una instalación válida de Windows, se ejecuta el archivo Bootmgr.exeBootmgr.exe cambia el sistema del modo real al modo protegido para que pueda usarse toda la memoria del sistema.
          Bootmgr.exe lee la base de datos de configuración de arranque (Boot Configuration Database, BCD). La BCD contiene cualquier código adicional necesario para iniciar la computadora, junto con una indicación que señala si la computadora está saliendo de una hibernación o si es un arranque en frío. Si la computadora está saliendo de una hibernación, el proceso de arranque continúa con Winresume.exe. Esto permite que la computadora lea el archivo Hiberfil.sys que contiene el estado de la computadora cuando ingresó en la hibernación.
          Si se inicia la computadora con un arranque en frío, se carga el archivo Winload.exe . El archivo Winload.exe crea un registro de la configuración de hardware en el registro. El registro es una lista de todos los ajustes, las opciones, el hardware y el software de la computadora. Más adelante en este capítulo, se analizará en detalle el registro. WinLoad.exe también utiliza la firma de código del modo de núcleo (KMCS, Kernel Mode Code Signing) para asegurarse de que todos los controladores estén firmados digitalmente. Esto garantiza que los controladores son seguros para cargarlos al iniciar la computadora.
          Después de que se analizan los controladores, Winload.exe ejecuta Ntoskrnl.exe , que arranca el núcleo de Windows y configura la HAL. Finalmente, Session Manager Subsystem (SMSS) lee el registro para crear el entorno de usuario, iniciar el servicio de Winlogon y preparar el escritorio de cada usuario a medida que inician sesión.






          7.2.6 Inicio de Windows


          Hay dos elementos importantes del registro que se utilizan para iniciar automáticamente aplicaciones y servicios:
          • HKEY_LOCAL_MACHINE - muchos aspectos de la configuración de Windows se almacenan en esta clave, incluida la información sobre los servicios que se inician con cada arranque.
          • HKEY_CURRENT_USER - muchos aspectos relacionados con el usuario que inicia sesión se almacenan en esta clave, incluida la información sobre los servicios que se inician solamente cuando el usuario inicia sesión en la computadora.
          El registro se discutirá más adelante en este tema.
          La presencia de entradas diferentes en estas ubicaciones del registro definen qué servicios y aplicaciones se iniciarán, según lo que indiquen sus tipos de entrada. Estos tipos son Run, RunOnce, RunServices, RunServicesOnce y Userinit. Estas entradas pueden introducirse manualmente en el registro, pero es mucho más seguro utilizar la herramienta Msconfig.exe . Esta herramienta se utiliza para ver y cambiar todas las opciones de inicio de la computadora. Use el cuadro de búsqueda para encontrar y abrir la herramienta Msconfig.
          La herramienta Msconfig abre la ventana Configuración del sistema. Hay cinco ventanas que contienen las opciones de configuración.







          7.2.7 Apagado de Windows


          Siempre es mejor cerrar correctamente la computadora que apagarla. Los archivos que quedan abiertos, los servicios que se cierran de manera desordenada y las aplicaciones que se bloquean pueden sufrir daños si se apaga la computadora sin informar primero al sistema operativo. La computadora necesita tiempo para cerrar cada aplicación, apagar cada servicio y registrar cualquier cambio de configuración antes de interrumpir la alimentación.
          Durante el apagado, la computadora cierra primero las aplicaciones del modo de usuario y, luego, los procesos de modo de núcleo. Si un proceso del modo de usuario no responde durante una cierta cantidad de tiempo, el sistema operativo muestra una notificación y permite que el usuario espere a que la aplicación responda o fuerce la finalización del proceso. Si un proceso en el modo de núcleo no responde, parecerá que el apagado se detuvo y es posible que sea necesario apagar la computadora con el botón de encendido.
          Hay varias maneras de apagar una computadora con Windows: las opciones de energía del menú Inicio, el comando shutdown de lalínea de comandos, y presionar juntas las teclas Ctrl+Alt+Supr para hacer clic en el icono de encendido. Hay tres opciones diferentes entre las que elegir al apagar el equipo:
          • Apagar- apaga el equipo.
          • Reiniciar- reinicia la computadora (apaga y enciende).
          • Hibernación- registra el estado actual del equipo y el entorno de usuario y lo almacena en un archivo. La hibernación le permite al usuario continuar su trabajo rápidamente justo desde donde lo dejó, con todos sus archivos y programas aún abiertos.







          7.2.8 Procesos, subprocesos y servicios


          Una aplicación de Windows se compone de procesos. La aplicación puede tener uno o varios procesos exclusivos. Un proceso es cualquier programa que se esté ejecutando. Cada proceso en ejecución está compuesto de, al menos, un subproceso. Un subproceso es una parte del proceso que puede ejecutarse. El procesador realiza los cálculos en el subproceso. Para configurar los procesos de Windows, busque el Administrador de tareas. La pestaña Procesos del Administrador de tareas se muestra en la figura.

                                                   

          Todos los subprocesos exclusivos de un proceso están incluidos en el mismo espacio para la dirección postal. Esto significa que estos subprocesos no pueden tener acceso al espacio para la dirección postal de ningún otro proceso. Esto evita el daño de otros procesos. Debido a que Windows realiza múltiples tareas simultáneamente, es posible ejecutar varios subprocesos al mismo tiempo. La cantidad de subprocesos que se pueden ejecutar al mismo tiempo depende del número de procesadores de la computadora.
          Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones. Pueden configurarse para iniciarse automáticamente cuando Windows arranca o es posible iniciarlos manualmente. También pueden detenerse, reiniciarse o deshabilitarse.Los servicios proporcionan funcionalidades de duración prolongada, como la conexión inalámbrica o el acceso a un servidor FTP. Para configurar los servicios de Windows, busque “servicios”. El subprograma del panel de control de Servicios de Windows se muestra en la figura.


          Ser muy cuidadoso manipulando las configuraciones de estos servicios Algunos programas dependen de uno o más servicios para funcionar correctamente. Apagar un servicio puede afectar adversamente aplicaciones u otros servicios.






          7.2.9 Asignación de Memoria y Controladores


          Una computadora funciona almacenando las instrucciones en la memoria RAM hasta que la CPU las procesa. El espacio para la dirección postal virtual de un proceso es el conjunto de direcciones virtuales que puede utilizar el proceso. La dirección virtual no es la ubicación física real en la memoria, sino una entrada en una tabla de página que se utiliza para traducir la dirección virtual a una dirección física.
          Cada proceso en una computadora con Windows de 32 bits admite un espacio para la dirección postal virtual que hace posible manipular hasta 4 GB. Cada proceso en una computadora con Windows de 64 bits admite un espacio para la dirección postal virtual de 8 TB.
          Cada proceso de espacio del usuario se ejecuta en un espacio para la dirección postal privado, separado de otros procesos de espacio del usuario. Cuando el proceso de espacio del usuario necesita tener acceso a los recursos del núcleo, debe utilizar un identificador de procesos. Esto se debe a que el proceso de espacio del usuario no puede tener acceso directo a estos recursos del núcleo. El identificador de procesos brinda el acceso que necesita el proceso de espacio del usuario sin conectarse directamente.
          Una poderosa herramienta para ver la asignación de memoria es RamMap, que se muestra en la figura. RAMMap forma parte del conjunto de herramientas de Windows Sysinternals. Se puede descargar desde Microsoft. RAMMap proporciona una gran cantidad de información acerca de cómo Windows ha asignado la memoria del sistema al kernel, los procesos, los controladores y las aplicaciones.

                        







          7.2.10 El Registro de Windows


          Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del sistema en una extensa base de datos conocida como el Registro. Las maneras en que interactúan estos objetos también se registran, por ejemplo, qué archivos abre una aplicación y todos los detalles de propiedad de carpetas y aplicaciones. El registro es una base de datos jerárquica donde el nivel más alto se conoce como subárbol, debajo están las claves y, luego, las subclaves. Los valores almacenan datos y se almacenan en las claves y subclaves. Una clave de registro puede tener hasta 512 niveles de profundidad.


          HKEY_CURRENT_CONFIG (HKCC)
          Contiene información sobre el perfil de hardware actual.


          HKEY_LOCAL_MACHINE (HKLM)

          Contiene información relacionada con el sistema.


          HKEY_CLASSES_ROOT (HKCR):
          Contiene información sobre los registros de vinculación e incrustación de objetos (OLE). OLE permite a los usuarios incrustar objetos de otras aplicaciones (como una hoja de cálculo) en un solo documento (como un documento de Word).

          HKEY_USERS (HKU):
          Contiene información sobre todas las cuentas de usuario en el host.

          HKEY_CURRENT_USER (HKCU):
          Contiene información sobre el usuario actualmente conectado.


          No es posible crear nuevos subárboles. Las claves y los valores de registro en los subárboles pueden crearse, modificarse o eliminarse usando una cuenta con privilegios de administrador. Como se ve en la figura, se utiliza la herramienta regedit.exe para modificar el registro. Se debe tener mucho cuidado al usar esta herramienta. Cambios mínimos en el registro podrían tener consecuencias sustanciales o hasta catastróficas.

                                      

          La navegación por el registro es muy similar a la del explorador de archivos de Windows. Use el panel izquierdo para navegar por las colmenas y la estructura debajo de él y use el panel derecho para ver el contenido del elemento resaltado en el panel izquierdo. Con tantas claves y subclaves, la ruta de la clave puede resultar muy prolongada. La ruta aparece en la parte inferior de la ventana como referencia. Dado que cada clave y subclave es, en definitiva, un contenedor, la ruta se representa como una carpeta en un sistema de archivos. El backslash (\) es utilizado para diferenciar la jerarquía de la base de datos.
          Las claves de registro pueden contener una subclave o un valor. Los diferentes valores que pueden contener las claves son los siguientes:
          • REG_BINARY - números o valores booleanos
          • REG_DWORD - números superiores a 32 bits o datos sin procesar
          • REG_SZ - valores de cadena (string)
          Debido a que el registro mantiene casi toda la información del usuario y del sistema operativo, es fundamental asegurarse de no ponerlo en riesgo. Las aplicaciones potencialmente maliciosas pueden agregar claves de registro para que se inicien cuando se inicia la computadora. Durante un arranque normal, el usuario no verá el programa iniciarse porque la entrada está en el registro y la aplicación no muestra ninguna ventana ni indicio de inicio durante el arranque de la computadora. Un registro de clave, por ejemplo, sería devastador para la seguridad de una computadora si iniciara el arranque sin el conocimiento ni consentimiento del usuario. Cuando se realizan auditorías normales de seguridad o se corrige un sistema infectado, se deben revisar las ubicaciones de inicio de la aplicación en el registro para asegurarse de que cada elemento sea conocido y seguro de ejecutar.
          El registro también contiene la actividad que realiza un usuario durante el uso diario habitual de la computadora. Esto abarca el historial de los dispositivos de hardware, incluidos todos los dispositivos que se han conectado a la computadora con el nombre, el fabricante y el número de serie. En el registro, también se almacena otra información, como los documentos que un usuario y un programa abrieron, dónde se encuentran y cuando se tuvo acceso a ellos. Esto resulta muy útil durante la ejecución de una investigación forense.

        • 7.3. Configuración y monitoreo de Windows

          7.3.1 Ejecutar como administrador


          Como mejor práctica de seguridad, no es recomendable iniciar sesión en Windows utilizando la cuenta de administrador o una cuenta con privilegios administrativos. Esto se debe a que cualquier programa que se ejecute cuando inicie sesión con esos privilegios los heredará. El malware con privilegios administrativos tiene acceso completo a todos los archivos y carpetas en la computadora.
          En ocasiones es necesario ejecutar o instalar software que requiere los privilegios de un Administrador. Para lograr esto, hay dos diferentes formas de realizar la instalación.


          Administrador:
          Haga clic con el botón derecho en el Explorador de archivos de Windows y elija Ejecutar como administrador en el menú contextual.

                                


          Administrador Command Prompt:
          Busque command, haga clic derecho en el archivo ejecutable y seleccione ejecutar como administrador del menú de contexto. Cada comando que se ejecute desde esta línea de comando se implementará con privilegios de administrador, incluida la instalación de software.

                                                                                       






          7.3.2 Usuarios y dominios locales


          Cuando se inicia una nueva computadora por primera vez, o al instalar Windows, el sistema solicita la creación de una cuenta de usuario. Esta se conoce como “usuario local”. Esta cuenta contiene todos los ajustes de personalización, los permisos de acceso, las ubicaciones de archivos y muchos otros datos específicos del usuario. Hay también otras dos cuentas: de invitado y de administrador. Ambas están deshabilitadas de manera predeterminada.
          Como una mejor práctica de seguridad, no debe habilitarse la cuenta de administrador ni otorgarles privilegios administrativos a los usuarios estándar. Si un usuario necesita realizar cualquier función que requiera privilegios administrativos, el sistema solicitará la contraseña de administrador y permitirá realizar como administrador solamente la tarea específica. Requerir la contraseña de administrador protege la computadora al evitar que cualquier software que no esté autorizado instale, ejecute o acceda a archivos.
          No debe habilitarse la cuenta de invitado. La cuenta de invitado no tiene una contraseña, ya que se crea cuando una computadora será utilizada por muchas personas diferentes que no tienen cuentas propias. Cada vez que se inicia sesión con la cuenta de invitado, se proporciona un entorno predeterminado con privilegios limitados.
          Para facilitar la administración de usuarios, Windows utiliza grupos. Un grupo tendrá un nombre y un conjunto específico de permisos asociados con él. Cuando se coloca a un usuario en un grupo, los permisos de ese grupo se le otorgan a ese usuario. Se puede colocar a un usuario en varios grupos con muchos permisos diferentes. Cuando se superponen los permisos, algunos de ellos (como “denegar explícitamente”) anulan los permisos otorgados por otro grupo. Hay muchos grupos de usuarios diferentes integrados en Windows que se utilizan para tareas específicas. Por ejemplo, el grupo de usuarios del registro de rendimiento les permite a los miembros programar el registro de contadores de rendimiento y recopilar registros de manera local o remota. Los grupos y usuarios locales se administran con el applet lusrmgr.msc del panel de control, como se ve en la figura.

                                  

          Además de grupos, Windows también puede utilizar dominios para establecer permisos. Un dominio es un tipo de servicio de red en el que todos los usuarios, grupos, computadoras, periféricos y ajustes de seguridad se almacenan en una base de datos, que también los controla. Esta base de datos se almacena en computadoras o grupos de computadoras especiales que se denominan controladores de dominio (DC, Domain Controller). Cada usuario y computadora en el dominio deben autenticarse con el DC para iniciar sesión y tener acceso a los recursos de red. El DC establece la configuración de seguridad para cada usuario y cada computadora en cada sesión. Cualquier ajuste suministrado por el DC se aplica de manera predeterminada en la configuración de cuenta de usuario o computadora local.






          7.3.3 CLI y PowerShell


          La interfaz de línea de comandos (Command Line Interface, CLI) de Windows se puede utilizar para ejecutar programas, navegar por el sistema de archivos y administrar archivos y carpetas. Además, pueden crearse archivos denominados archivos por lotes para ejecutar varios comandos seguidos, algo muy parecido a un script básico.
          Para abrir la CLI de Windows, se debe buscar cmd.exe y hacer clic en el programa. Es necesario recordar que hacer clic derecho el programa ofrece la opción de ejecutar como administrador, lo que les otorga mucho más poder a los comandos que se utilizarán.
          El indicador permite ver la ubicación actual en el sistema de archivos. Estas son algunas sugerencias para recordar cuando se usa la CLI:
          • De manera predeterminada, los nombres y rutas de archivo no distinguen entre mayúsculas y minúsculas.
          • A los dispositivos de almacenamiento se les asigna una letra de referencia. Esto seguido de dos puntos y barra invertida (). Esto indica la raíz, o el nivel más alto, del dispositivo. La jerarquía de carpetas y archivos en el dispositivo se indica usando la separación con la barra invertida. Por ejemplo, C:UsuariosJimEscritorioarchivo.txt es el archivo denominado archivo.txt en la carpeta Escritorio, dentro de la carpeta Jim y en el interior de la carpeta Usuarios del dispositivo C:.
          • Los comandos que tienen modificadores opcionales utilizan la barra inclinada (/) para delinear entre el comando y la opción de cambio.
          • Puede utilizar la tecla Tab para auto-completar comandos cuando referencia directorios o archivos.
          • Windows guarda un historial de los comandos que se introdujeron durante una sesión de la CLI. Acceda a comandos previamente introducidos presionando las flechas de arriba y abajo.
          • Para cambiar entre dispositivos de almacenamiento, escriba la letra del dispositivo seguida de dos puntos y presione Entrar .
          A pesar de que la CLI tiene muchos comandos y características, no puede trabajar en conjunto con el núcleo de Windows o la GUI. Se puede utilizar otro entorno, llamado Windows PowerShell, para crear script con el fin de automatizar tareas que la CLI común no puede crear. PowerShell también proporciona una CLI para iniciar comandos. PowerShell es un programa integrado en Windows que se puede abrir buscando la palabra "powershell" y haciendo clic en el programa. Como la CLI, PowerShell también se puede ejecutar con privilegios de administrador.
          Estos son los tipos de comandos que puede ejecutar PowerShell:
          • cmdlets - estos comandos realizan una acción y envían un resultado u objeto al siguiente comando que se ejecutará.
          • Scripts de PowerShell - estos son archivos con una extensión .ps1 que contienen comandos de PowerShell que se ejecutan.
          • Funciones de PowerShell - estas son fragmentos de código a los que se puede hacer referencia en un script.
          Para obtener más información sobre Windows PowerShell y comenzar a usarlo, escriba en PowerShell, como se ve en la salida del comando.




          Hay cuatro niveles de ayuda de Windows PowerShell:
          • get-help PS command - Muestra ayuda básica para un comando
          • get-help _PS command[-examples] - Muestra una ayuda con ejemplos básica para un comando
          • get-help PS command [-detailed] - Muestra una ayuda detallada con ejemplos para un comando.
          • get-help PS command [-full] - Muestra toda la información de ayuda con ejemplos de mayor profundidad para un comando.







          7.3.4 Instrumentación de la administración de Windows


          Windows Management Instrumentation (WMI) se utiliza para administrar computadoras remotas. Puede recuperar información sobre componentes de la computadora, brindar estadísticas de hardware y software, y monitorear el estado de computadoras remotas. Para abrir el control WMI desde el Panel de control, haga doble clic en Herramientas administrativas > Administración de equipos para abrir la ventana Administración de equipos, expanda el árbol de Servicios y aplicaciones y haga clic con el botón derecho en el icono Control WMI Propiedades.
          La ventana Propiedades de Control WMI se ve en la figura.

              

          Estas son las cuatro fichas en la ventana Propiedades de Control WMI:
          • General - Resumen de información sobre la computadora local y WMI
          • Copia de seguridad y/o restauración - Permite realizar la copia de respaldo manual de las estadísticas recopiladas por WMI
          • Seguridad - Ajustes para configurar quién tiene acceso a las diferentes estadísticas de WMI
          • Opciones avanzadas - Ajustes para configurar el espacio de nombres predeterminado para WMI
          Actualmente, algunos ataques utilizan WMI para conectarse con sistemas remotos, modificar el registro y ejecutar comandos. WMI ayuda a los atacantes a evitar la detección porque el tráfico es común, los dispositivos de seguridad de red suelen confiar y los comandos de WMI remotos no suelen dejar rastro en el host remoto. Debido a esto, el acceso a WMI debe limitarse al máximo.







          7.3.5 El comando net


          Windows tiene muchos comandos que se pueden introducir en la línea de comando. Un comando importante es el comando net, que se usa en la administración y el mantenimiento del sistema operativo. El comando net puede ir seguido de muchos otros comandos , que pueden combinarse con cambios para concentrarse en resultados específicos.
          Para ver una lista de los numerosos comandos net, escriba net help en la petición de ingreso de comando. La comando output muestra los comandos que puede utilizar el net comando. Para ver ayuda detallada sobre cualquiera de los comandos net, escriba C:\> net help muestra abajo.




          net accounts:
          Define los requisitos de contraseñas e inicio de sesión para los usuarios

          net session:
          Enumera o desconecta las sesiones entre una computadora y otras computadoras de la red


          net share:
          Crea, elimina o administra recursos compartidos

          net start:
          Inicia un servicio de red o enumera los servicios de red en ejecución

          net stop:
          Detiene un servicio de red

          net use:
          Conecta, desconecta los recursos de red compartidos, y permite ver información sobre ellos

          net view:

          Muestra una lista de las computadoras y los dispositivos de red en la misma





          7.3.6 Administrador de Tareas y Monitor de Recursos


          Hay dos herramientas muy importantes y útiles para ayudar a un administrador a entender la enorme y variada cantidad de aplicaciones, servicios y procesos que se ejecutan en una computadora con Windows. Estas herramientas también proporcionan información sobre el rendimiento de la computadora, como el uso de CPU, memoria y red. Estas herramientas son especialmente útiles al investigar un problema donde hay sospechas de malware. Cuando un componente no está funcionando de la manera en que debería, estas herramientas pueden utilizarse para determinar cuál puede ser el problema.
          Administrador de tareas
          El Administrador de tareas ofrece mucha información sobre el software que se está ejecutando y el rendimiento general de la computadora.

                                           




          Monitor de recursos
          Cuando se necesita información más detallada sobre el uso de recursos, es posible utilizar el Monitor de recursos, como se muestra en la figura.

                                

          Si la computadora se comporta de manera extraña, el Monitor de recursos puede ayudar a encontrar el origen del problema.
          En la tabla se describen las cinco fichas del Monitor de recursos.









          7.3.7 Redes


          Una de las características más importantes de cualquier sistema operativo es la capacidad de la computadora de conectarse a una red. Sin esta característica, no hay acceso a los recursos de red o a Internet. Para configurar las propiedades de redes de Windows y probar la configuración de redes, se emplea el Centro de redes y recursos compartidos. La manera más sencilla de ejecutar esta herramienta es buscarla y hacer clic en ella. Utilice el Centro de redes y recursos compartidos para verificar o crear conexiones de red, configurar el uso compartido de red y cambiar la configuración del adaptador de red.
          Centro de redes y recursos compartidos

              

                   


          En la vista inicial, se ve un panorama general de la red activa. Esta vista permite ver si hay acceso a Internet y si la red es privada, pública o para invitados. También se ve el tipo de red (por cable o inalámbrica). Desde esta ventana, es posible ver el Grupo Hogar al que pertenece la computadora o crear uno si todavía no forma parte de uno. Esta herramienta también puede usarse para cambiar la configuración del adaptador o la configuración de uso compartido avanzado, establecer una nueva conexión o solucionar problemas. Tenga en cuenta que se eliminó HomeGroup de Windows 10 en la versión 1803.
          Cambiar configuración del adaptador.
          Para configurar un adaptador de red, es necesario seleccionar Cambiar configuración del adaptador en centro de redes y recursos compartidos a fin de ver todas las conexiones de red que están disponibles. Seleccione el adaptador que desea configurar. En este caso, cambiamos un adaptador Ethernet para adquirir su dirección IPv4 automáticamente de la red.



          nslookup y netstat

          Sistema de Nombres de Dominio (DNS) debe ser probado por que es esencial para encontrar la dirección de los hosts traduciéndola de un nombre, a una URL. Use el comando nslookup para probar el DNS. Escriba nslookup cisco.com en el command prompt para encontrar la dirección del servidor web de Cisco. Si se devuelve la dirección, significa que el DNS funciona correctamente. También es posible comprobar qué puertos están abiertos, donde están conectados y cuál es su estado actual. Escriba en netstat la línea de comando para ver los detalles de las conexiones de red activas, como se muestra en la salida del comando. Más adelante en este capítulo, el comando netstat se analizará en más detalle.

               






          7.3.8 Accediendo a Recursos de Red


          Al igual que otros sistemas operativos, Windows utiliza una red para varias aplicaciones diferentes, como web, correo electrónico y servicios de archivo. Microsoft ayudó en el desarrollo del protocolo bloque de mensajes del servidor (SMB, Server Message Block), originalmente diseñado por IBM, para compartir recursos de red. Principalmente, SMB se utiliza para tener acceso a archivos de hosts remotos. Para conectar recursos, se utiliza el formato de convención de nomenclatura universal (UNC, Universal Naming Convention), por ejemplo:
          \servernamesharename ile
          En la UNC, servername es el servidor que aloja el recurso. Puede ser un nombre de DNS, un nombre de NetBIOS o, simplemente, una dirección IP. El elemento sharename corresponde a la raíz de la carpeta del sistema de archivos en el host remoto, mientras que file es el recurso que el host local intenta encontrar. Es posible que el archivo se encuentre en un nivel más profundo en el sistema de archivos, y es necesario indicar esta jerarquía.
          Al compartir recursos en la red, se deberá identificar el área del sistema de archivos que se compartirá. Es posible aplicar el control de acceso a las carpetas y archivos para limitar a usuarios y grupos a funciones específicas, tales como leer, escribir o denegar. Windows también crea recursos compartidos especiales automáticamente. Estos recursos compartidos se denominan recursos compartidos administrativos. Un recurso compartido administrativo se identifica con el signo de dólar ($) que aparece después de su nombre. Cada volumen de disco tiene un recurso compartido administrativo, representado por la letra de volumen y el signo $ (por ejemplo, C$, D$ o E$). La carpeta de instalación de Windows se comparte como admin$, la carpeta de impresoras se comparte como print$, y hay otros recursos compartidos administrativos que se pueden conectar. Solamente los usuarios con privilegios administrativos pueden acceder a estos recursos compartidos.
          La manera más sencilla de conectarse a un recurso compartido es escribir su UNC en el explorador de archivos de Windows, en el cuadro en la parte superior de la pantalla, donde se ve la ruta de navegación de la ubicación actual del sistema de archivos. Cuando Windows intenta conectarse al recurso compartido, solicita las credenciales para tener acceso a los recursos. Recuerde que, dado que el recurso está en una computadora remota, las credenciales deben ser las de la computadora remota, no las de la computadora local.
          Además de acceder a recursos compartidos en hosts remotos, también puede iniciar sesión en un host remoto y manipular esa computadora, como si fuera local, para realizar cambios de configuración, instalar software o solucionar un problema. En Windows, esta función se conoce como Protocolo de escritorio remoto (Remote Desktop Protocol, RDP). Al investigar incidentes de seguridad, un analista de seguridad suele usar el RDP para tener acceso a computadoras remotas. Para iniciar el RDP y conectarse a una computadora remota, busque “escritorio remoto” y haga clic en la aplicación. En la figura, se ve la ventana Conexión a escritorio remoto.
          Debido a que RDP está diseñado para permitir a los usuarios remotos controlar hosts individuales, es un objetivo natural para los actores de amenazas. Se debe tener cuidado al activar RDP, especialmente en versiones heredadas sin parches de Windows, como las que todavía se encuentran en los sistemas de control industrial. Se debe tener cuidado para limitar la exposición de RDP a Internet, y se deben usar enfoques de seguridad y políticas de control de acceso, como Zero Trust, para limitar el acceso a hosts internos.

                                                                         







          7.3.9 Windows Server

          La mayoría de las instalaciones de Windows se realizan como instalaciones de escritorio en equipos de escritorio y portátiles. En centros de datos se utiliza principalmente otra versión de Windows: Windows Server. Se trata de una familia de productos de Microsoft que empezó con Windows Server 2003. Windows Server aloja muchos servicios diferentes y puede cumplir diferentes roles dentro de una empresa.
          Nota: Aunque hay un Windows Server 2000, se considera una versión de cliente de Windows NT 5.0. Windows Server 2003 es un servidor basado en NT 5.2 y es el precursor de una nueva familia de versiones de Windows Server.
          Estos son algunos de los servicios que provee Windows Server:
          • Servicios de red - DNS, DHCP, Terminal Services, controladora de red y virtualización de red en Hyper-V
          • Servicios de archivo - SMB, NFS y DFS
          • Servicios web - FTP, HTTP y HTTPS
          • Administración - política de grupo y control de servicios de dominio de Active Directory

          • 7.4. Seguridad de Windows

            Fuentes confiables / no confiables

            7.4.1 El comando netstat

            Cuando hay malware en una computadora, suele abrir puertos de comunicación en el host para enviar y recibir datos. El comando netstat puede usarse para buscar conexiones entrantes o salientes no autorizadas. Cuando se usa solo, el netstat comando permite ver todas las conexiones de TCP activas disponibles.
            Al analizar estas conexiones, es posible determinar cuál de los programas está activado para escuchar conexiones no autorizadas. Cuando se cree que un programa puede ser malware, se puede investigar un poco para determinar su legitimidad. Después, el proceso se puede deshabilitar con el Administrador de tareas y es posible usar software de eliminación de malware para limpiar la computadora.
            Para facilitar este proceso, es posible vincular las conexiones con los procesos en ejecución en el Administrador de tareas. Para hacer esto, abra un command prompt con privilegios administrativos y use el netstat -abno comando , como se muestra en la salida del comando.


            Nota: Si no está en modo administrador, aparecerá el mensaje "La operación solicitada requiere elevación". Busque el Command Prompt Haga clic con el botón derecho del mouse en el programa Command Prompt y haga clic en Ejecutar como administrador.
            Al examinar las conexiones de TCP activas, un analista debe ser capaz de determinar si hay programas sospechosos que escuchan conexiones entrantes en el host. También es posible rastrear este proceso hasta el Administrador de tareas de Windows y cancelarlo. Puede haber más de un proceso con el mismo nombre. Si este es el caso, observe el PID para encontrar el proceso correcto. Cada proceso que se ejecuta en la computadora tiene un PID único. Para ver los PID de los procesos en el Administrador de tareas, ábralo, haga clic con el botón derecho en el encabezado de la tabla y seleccione PID.






            7.4.2 Visor de Eventos


            El Visor de eventos de Windows registra el historial de eventos del sistema, de aplicaciones y de seguridad. Estos archivos de registro constituyen una valiosa herramienta de resolución de problemas, debido a que proporcionan información necesaria para identificar un problema. Para abrir el Visor de eventos, búsquelo y haga clic en el icono del programa, como se muestra en la figura.

                                

            Windows incluye dos categorías de registros de eventos: registros de Windows y registros de aplicaciones y servicios. Cada una de estas categorías tiene varios tipos de registros. Los eventos que aparecen en estos registros tienen un nivel: información, advertencia, error o crítico. También tienen la fecha y hora en que se produjo el evento, junto con su origen y un identificador relacionado con el tipo de evento.
            También es posible crear una vista personalizada. Esto resulta útil para buscar determinados tipos de eventos, encontrar eventos que sucedieron durante un período específico, visualizar eventos de un determinado nivel, y muchos otros criterios. Hay una vista personalizada incorporada que se denomina Eventos administrativos e incluye todos los eventos críticos, de error y de advertencia de todos los registros administrativos. Esta vista es un buen lugar para empezar cuando se intenta resolver un problema.
            Los registros de sucesos de seguridad se encuentran en Registros de Windows. Utilizan ID de evento para identificar el tipo de evento.






            7.4.3 Administración de Actualizaciones de Windows


            Ningún software es perfecto, y el sistema operativo Windows no es la excepción. Los atacantes están ideando siempre nuevas maneras de poner en riesgo computadoras y usar código malicioso. Algunos de estos ataques se producen tan rápidamente que las defensas contra ellos aún no han sido concebidas y distribuidas. Son los llamados ataques de día cero. Los desarrolladores de software de Microsoft y de seguridad intentan constantemente adelantarse a los atacantes, pero no siempre lo logran. Para garantizar el máximo nivel de protección contra estos ataques, siempre es necesario asegurarse de que Windows esté actualizado con los paquetes de servicio y parches de seguridad más recientes.
            Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar que un virus o gusano recientemente descubierto logre atacar con éxito. Periódicamente, los fabricantes combinan parches y actualizaciones en una aplicación de actualización integral denominada paquete de servicios. Numerosos ataques de virus devastadores podrían haber sido mucho menos graves si más usuarios hubieran descargado e instalado el último paquete de servicios. Es muy deseable que las empresas utilicen sistemas que distribuyan, instalen y realicen un seguimiento automático de las actualizaciones de seguridad.
            Windows verifica sistemáticamente el sitio web de Windows Update en busca de actualizaciones de alta prioridad que ayuden a proteger un equipo de las amenazas de seguridad más recientes. Estas actualizaciones incluyen actualizaciones de seguridad, actualizaciones críticas y paquetes de servicios. Según la configuración seleccionada, Windows descarga e instala automáticamente todas las actualizaciones de alta prioridad que la PC necesita, o notifica al usuario que dichas actualizaciones están disponibles. Para configurar los ajustes de actualización de Windows, busque Windows Update y haga clic en la aplicación.
            El estado de actualización, que se muestra en la figura, le permite buscar actualizaciones manualmente y ver el historial de actualizaciones de la computadora.

                

            También hay opciones para no permitir que la computadora se reinicie en determinados horarios, por ejemplo, durante el horario laboral. Además, es posible elegir cuándo reiniciar la computadora después de una actualización con las opciones de reinicio (si es necesario). Las opciones avanzadas también están disponibles para elegir cómo se instalan las actualizaciones y cómo se actualizan otros productos de Microsoft.






            7.4.4 Política de Seguridad Local


            Una política de seguridad es un conjunto de objetivos de seguridad que garantiza la seguridad de una red, los datos y los sistemas informáticos en una organización. La directiva de seguridad es un documento en constante evolución según los cambios tecnológicos, negocios, y los requisitos de los empleados.
            En la mayoría de las redes que usan computadoras Windows, Active Directory se configura con los dominios en un servidor Windows. Las computadoras con Windows se unen al dominio. El administrador configura una política de seguridad de dominio que se aplica a todas las computadoras que se unen al dominio. Las políticas de cuentas se configuran automáticamente cuando un usuario inicia sesión en una computadora que es miembro de un dominio. La herramienta Directiva de seguridad local de Windows, que se ve en la figura, se puede utilizar para las computadoras independientes que no forman parte de un dominio de Active Directory. Para abrir el applet Directiva de seguridad local, busque “directiva de seguridad local” y haga clic en el programa.

                     

            Las pautas para crear contraseñas son un componente importante de las políticas de seguridad. Todo usuario que deba iniciar sesión en una PC o conectarse a un recurso de red debe tener una contraseña. Las contraseñas ayudan a impedir el robo de datos y las acciones malintencionadas. Las contraseñas también ayudan a confirmar que el registro de eventos es válido al garantizar que el usuario es la persona que dice ser. En la Política de seguridad local, la Política de contraseñas se encuentra en Políticas de cuenta y define los criterios para las contraseñas para todos los usuarios en la computadora local.
            Utilice la Directiva de bloqueo de cuenta en Directivas de cuenta para evitar los intentos de inicio de sesión forzosos. Por ejemplo, puede configurar la política para permitir que el usuario ingrese un nombre de usuario y / o contraseña incorrectos cinco veces. Después de cinco intentos, la cuenta queda bloqueada por 30 minutos. Después de 30 minutos, la cantidad de intentos se restablece a cero y el usuario puede intentar iniciar sesión nuevamente.
            Es importante asegurar que las computadoras estén protegidas cuando los usuarios no las utilizan. Las políticas de seguridad deben incluir una regla que exija que la PC se bloquee al activarse el protector de pantalla. Esto asegura que, cuando el usuario se aleja de la PC durante un período breve, se active el protector de pantalla, y no pueda utilizarse la PC hasta que el usuario inicie sesión.
            Si la configuración de Directiva de seguridad local en cada computadora independiente es la misma, es necesario usar la función de Directiva de exportación. Guarde la política con un nombre, como workstation.inf. Luego, copie el archivo de la política a un medio de almacenamiento externo o una unidad de red para utilizarlo en otras computadoras independientes. Esto es especialmente útil si el administrador debe configurar directivas locales extensas para los derechos de usuario y las opciones de seguridad.
            El applet Directiva de seguridad local contiene muchas otras configuraciones de seguridad que se aplican específicamente a la computadora local. Puede configurar derechos de usuario, reglas de firewall y hasta la capacidad de limitar la cantidad de archivos que los usuarios o grupos pueden ejecutar con AppLocker.






            7.4.5 Windows Defender


            El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Estos están diseñados para invadir la privacidad, robar información y dañar la computadora o los datos. Es importante que proteja las computadoras y los dispositivos móviles mediante un software antimalware reconocido. Los siguientes tipos de software antimalware se encuentran disponibles:


            Protección antivirus de próxima generación:
            Este programa monitorea continuamente en busca de virus. Cuando se detecta un virus, se advierte al usuario y el programa intenta eliminar el virus o ponerlo en cuarentena.

            Protección contra programas publicitarios:
            Este programa busca constantemente programas que muestran anuncios publicitarios en la computadora.


            Protección contra suplantación de identidad (phishing):
            Este programa bloquea las direcciones IP de sitios web conocidos por realizar suplantación de identidad y advierte al usuario acerca de sitios sospechosos.
            Protección contra spyware:
            El programa busca registradores de teclado y otro tipo de spyware.


            Fuentes confiables / no confiables:
            Este programa le advierte si está por instalar programas inseguros o visitar sitios web inseguros.


            Es posible que deban utilizarse muchos programas distintos y que deban realizarse varios análisis para eliminar completamente todo el software malintencionado. Ejecute solo un programa de protección contra malware a la vez.
            Varias organizaciones con experiencia en seguridad, como McAfee, Symantec y Kaspersky, ofrecen protección contra malware integral para computadoras y dispositivos móviles. Windows tiene protección antivirus y antispyware incorporada llamada Windows Defender, como se muestra en la figura. Windows Defender está activado de forma predeterminada para proporcionar protección en tiempo real contra infecciones.

               

            Para abrir Windows Defender, búsquelo y haga clic en el programa. Aunque Windows Defender funciona en segundo plano, es posible realizar análisis manuales de la computadora y los dispositivos de almacenamiento. También puede actualizar manualmente las definiciones de virus y spyware en la pestaña Actualizar. Además, si desea ver todos los elementos que se detectaron durante análisis anteriores, puede hacer clic en la pestaña Historial.






            7.4.6 Firewall de Windows Defender


            Un firewall deniega selectivamente el tráfico a una PC o a un segmento de red. Los firewalls suelen actuar abriendo y cerrando los puertos que utilizan diversas aplicaciones. Al abrir solo los puertos requeridos en un firewall, se implementa una política de seguridad restrictiva. Se rechaza todo paquete que no esté explícitamente permitido. En cambio, una política de seguridad permisiva permite el acceso a través de todos los puertos, excepto aquellos que estén explícitamente denegados. En el pasado, el software y el hardware venían con una configuración permisiva. Como los usuarios no tenían la precaución de configurar los equipos, la configuración permisiva predeterminada dejaba muchos dispositivos expuestos a atacantes. Actualmente, si bien la mayoría de los dispositivos vienen con una configuración altamente restrictiva, permiten una fácil configuración.
            Para permitir el acceso al programa a través del Firewall de Windows Defender, busque Paneles de control. En Sistemas y seguridad, busque Firewall de Windows Defender. Haga clic en Permitir una aplicación o una función a través del Firewall de Windows Defender, como se muestra en la figura.
            Si desea utilizar otro firewall de software, deberá deshabilitar el Firewall de Windows. Para deshabilitar el firewall de Windows, haga clic en Activar o desactivar Firewall de Windows.
            Se pueden encontrar muchas configuraciones adicionales en Configuración avanzada. Aquí puede crear reglas de tráfico entrante o saliente según diferentes criterios. También puede importar y exportar políticas o monitorear diferentes aspectos del firewall.

                 

        • 7.5. Resumen del Sistema Operativo Windows

          7.5.1 ¿Qué aprendí en este módulo?



      • Módulo 8: Descripción general de Linux

        8.0.1 ¿Por qué debo cursar este módulo?


        Linux es un sistema operativo de código abierto que es rápido, potente y altamente personalizable. Está diseñado para su uso en la red como cliente o servidor. Linux es muy querido por una gran comunidad de usuarios, incluido el personal de ciberseguridad.
        Estudie este módulo para aprender información básica sobre el sistema operativo Linux y aprender algunas habilidades de Linux. Las habilidades de Linux son muy deseables en la profesión de operaciones de ciberseguridad.






        8.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 2 Vídeos
        • 7 laboratorios
        • 1 Prueba del Módulo
        Título del Módulo: Descripción general de Linux
        Objetivo del Modulo: Implementar la seguridad básica de Linux.

        Título del tema Objetivo del tema
        Fundamentos de Linux Explique por qué las habilidades de Linux son esenciales para el monitoreo y la investigación de la seguridad de la red.
        Trabajando en Linux, Shell Use el shell de Linux para manipular archivos de texto.
        Servidores y Clientes Linux Utilice la línea de comandos de Linux para identificar los servidores que se ejecutan en una computadora.
        Administración básica del servidor Use comandos para ubicar y monitorear archivos de registro.
        El sistema de archivos de Linux Use comandos para administrar el sistema de archivos y los permisos de Linux.
        Trabajando en Linux, GUI Explicar los componentes básicos de la GUI de Linux.
        Trabajando en un host Linux Utilice herramientas para detectar malware en un host de Linux.


        • 8.1. Nociones Básicas de Linux

          8.1.1 ¿Qué es Linux?

                           

          Linux es un sistema operativo creado en 1991. Linux es de código abierto, rápido, confiable y pequeño. Requiere muy pocos recursos de hardware para ejecutarse y tiene muchas opciones para ser personalizado. A diferencia de otros sistemas operativos, como Windows y Mac OS X, Linux fue creado por una comunidad de programadores que actualmente lo mantiene vigente. Linux es parte de varias plataformas y puede encontrarse en cualquier tipo de dispositivo, desde relojes a supercomputadoras.
          Otro aspecto importante de Linux es que está diseñado para conectarse a la red, lo que facilita mucho la escritura y el uso de aplicaciones con base en la red. Dado que Linux es de código abierto, cualquier persona o empresa puede obtener el código fuente del kernel, examinarlo, modificarlo y volver a compilarlo cuando lo desean. También pueden redistribuir el programa con o sin costo.
          Una distribución de Linux es el término que se utiliza para describir paquetes creados por distintas organizaciones. Las distribuciones de Linux (o distros) incluyen el kernel de Linux con herramientas y paquetes de software personalizados. Si bien algunas de estas organizaciones pueden cobrar el soporte de su distribución de Linux (orientado a empresas con base en Linux), la mayoría también ofrece la distribución gratis sin soporte. Debian, Red Hat, Ubuntu, CentOS y SUSE son solo algunos ejemplos de distribuciones de Linux.






          8.1.2 El Valor de Linux


          Linux es, a menudo, el sistema operativo elegido en el centro de operaciones de seguridad (SOC). Estos son algunos de los motivos para elegir Linux:
          • Linux es de código abierto - Cualquier persona puede adquirir Linux sin cargo y modificarlo según sus necesidades específicas. Esta flexibilidad les permite a analistas y administradores diseñar un sistema operativo específicamente para análisis de seguridad.
          • La CLI de Linux es muy potente - mientras que una GUI facilita muchas tareas, agrega complejidad y requiere más recursos de la computadora para funcionar. La interfaz de línea de comandos (CLI) de Linux es extremadamente potente y permite a los analistas realizar tareas no solo directamente en la terminal sino que también de manera remota.
          • El usuario tiene más control sobre el sistema operativo - el usuario de administrador en Linux, conocido como el usuario root o superusuario, tiene poder absoluto sobre la computadora. A diferencia de otros sistemas operativos, el usuario root puede modificar cualquier aspecto de la computadora con unas pocas pulsaciones de teclas. Esta capacidad resulta especialmente útil cuando se trabaja con funciones de niveles inferiores, como la pila de red. Le permite al usuario root tener un control preciso sobre la manera en que el sistema operativo maneja los paquetes de red.
          • Permite mejorar el control de comunicación de la red - El control es inherente a Linux. Debido a que es posible ajustar el sistema operativo en cualquier aspecto, es una gran plataforma para crear aplicaciones de red. Por este mismo motivo, muchas excelentes herramientas de software con base en la red están disponibles únicamente en Linux







          8.1.3 Linux en el SOC


          La flexibilidad que proporciona Linux es una característica grandiosa para el SOC. Todo el sistema operativo se puede adaptar para convertirlo en la plataforma perfecta de análisis de seguridad. Por ejemplo, los administradores pueden agregar al sistema operativo solamente los paquetes necesarios para hacerlo rápido y eficiente. Es posible instalar y configurar herramientas de software específicas para trabajar en conjunto, lo que les permite a los administradores crear una computadora personalizada que se adapta perfectamente al flujo de trabajo de un SOC.
          La figura muestra Sguil, que es la consola de analista de ciberseguridad en una versión especial de Linux llamada Cebolla de Seguridad. La Cebolla de Seguridad es un conjunto de herramientas de código abierto que trabajan juntas para el análisis de seguridad de red.

                   







          8.1.4 Herramientas de Linux


          Además de herramientas específicas para el SOC, las computadoras de Linux utilizadas en el SOC suelen tener herramientas de pruebas de penetración. También conocida como PenTesting, una prueba de penetración es el proceso de atacar una red o computadora en busca de vulnerabilidades. Algunos ejemplos de herramientas de PenTesting son los generadores de paquetes, los escáneres de puertos y los ataques de prueba de concepto.
          Kali Linux es una distribución de Linux agrupa muchas herramientas de penetración juntas en una sola distribución Linux. Kali contiene una amplia selección de herramientas. En la figura, se ve una captura de pantalla de Kali Linux. Observe todas las categorías principales de herramientas de pruebas de penetración.

                               


        • 8.2.1 El Shell de Linux

          8.2.1 El Shell de Linux


          En Linux, el usuario se comunica con el sistema operativo mediante la CLI o GUI. Linux a menudo se inicia en la GUI de forma predeterminada. Esto oculta la CLI del usuario. Una manera de tener acceso a la CLI desde la GUI es mediante una aplicación de emulación de terminales. Estas aplicaciones permiten que el usuario tenga acceso a la CLI y, generalmente, se denominan con alguna variación de la palabra “terminal”. En Linux, los emuladores de terminal comunes son Terminator, eterm, xterm, konsole y gnome-terminal.
          Fabrice Bellard ha creado JSLinux que permite ejecutar una versión emulada de Linux en un navegador. Busque información en Internet. Abra una consola Linux en JSLinux y escriba el comando ls para enumerar el contenido del directorio actual. Mantenga la ficha abierta si desea probar algunos de los demás comandos que veremos en este capítulo.
          En la figura, se ve gnome-terminal, un emulador de terminal popular de Linux.
          Nota: Los términos shell, consola, ventana de la consola, terminal de la CLI y ventana del terminal suelen usarse indistintamente.








          8.2.2 Comandos básicos


          Los comandos de Linux son programas creados para realizar una tarea específica. Use el comando man (abreviatura de manual) para obtener documentación sobre comandos. Por ejemplo, man ls proporcionará documentación sobre el comando ls del manual del usuario incorporado en la versión que se ejecuta de Linux.
          Dado que los comandos son programas almacenados en el disco, cuando un usuario escribe un comando, el shell debe encontrarlo en el disco antes de poder ejecutarlo. El shell busca comandos escritos por el usuario en directorios específicos e intenta ejecutarlos. La lista de directorios en la que busca el shell se denomina ruta. La ruta contiene muchos directorios utilizados comúnmente para almacenar los comandos. Si un comando no está en la ruta, el usuario debe especificar su ubicación, o el shell no podrá encontrarlo. Los usuarios pueden agregar fácilmente directorios a la ruta si es necesario.
          Para invocar un comando en el shell, simplemente escriba su nombre. El shell intentará encontrarlo en la ruta del sistema y lo ejecutará.
          La tabla enlista comandos básicos de Linux y sus funciones.


          Comando
          Descripción
          mv
          Mueve o renombra archivos y directorios
          chmod
          Modifica los permisos de archivo
          chown
          Cambia la propiedad de un archivo
          dd
          Copia datos de una entrada a una salida
          pwd
          Muestra el nombre del directorio actual
          ps
          Enumera los procesos que se están ejecutando actualmente en el sistema
          su
          Simula un inicio de sesión como otro usuario o para convertirse en superusuario
          sudo
          Ejecuta un comando como superusuario, de forma predeterminada, u otro usuario designado
          grep
          Se utiliza para buscar cadenas específicas de caracteres dentro de un archivo o salidas de comando. Para buscar a través de la salida del comando anterior, se debe canalizar grep al final del comando anterior.
          ifconfig
          Se utiliza para mostrar o configurar información relacionada con la tarjeta de red. Si se emite sin parámetros, ifconfig mostrará la configuración actual de la(s) tarjeta(s) de red. Nota: Aunque todavía se usa ampliamente, este comando está en desuso. Utilice la ip address en su lugar.
          apt-get
          Se utiliza para instalar, configurar y eliminar paquetes en Debian y sus derivados. Nota: apt-get es una interfaz de línea de comandos fácil de usar o dpkg, el administrador de paquetes de Debian. El combo dpkg y apt-get es el sistema de administración de paquetes predeterminado en todos los derivados de Debian Linux, incluido Raspbian.
          iwconfig
          Se utiliza para mostrar o configurar información relacionada con la tarjeta de red inalámbrica. Similar aifconfigiwconfig mostrará información inalámbrica cuando se emita sin parámetros.
          shutdown
          Apaga el sistema, se puede indicar a shutdown que realice una serie de tareas relacionadas con el apagado, que incluyen reiniciar, detener, poner en suspensión o expulsar a todos los usuarios actualmente conectados.
          passwd
          Se utiliza para cambiar la contraseña. Si no se proporcionan parámetros, passwd cambia la contraseña del usuario actual.
          cat
          Se utiliza para enumerar el contenido de un archivo y espera el nombre del archivo como parámetro. El comando cat generalmente se usa en archivos de texto.
          man
          Se utiliza para mostrar la documentación de un comando específico.

          Nota: Se da por asumido que el usuario tiene los permisos adecuados para ejecutar el comando. Los permisos de archivos en Linux se analizan más adelante en este capítulo.






          8.2.3 Comandos de archivos y directorios


          Muchas herramientas de línea de comando están incluidas en Linux de manera predeterminada. Para ajustar el funcionamiento del comando, los usuarios pueden añadir los parámetros y los modificadores al comando. La tabla enlista algunos de los comandos más comunes relacionados con archivos y directorios.

          Comando Descripción
          Is Muestra los archivos dentro de un directorio.
          cd Cambia el directorio actual
          mkdir Crea un directorio bajo el directorio actual
          cp Copia archivos de origen a destino
          mv Mueve o cambia el nombre de archivos y directorios
          rm Remueve archivos
          grep Busca cadenas específicas de caracteres dentro de un archivo u otras salidas de comando
          cat Muestra el contenido de un archivo y espera el nombre del archivo como parámetro





          8.2.4 Trabajando con archivos de texto


          Linux tiene muchos editores de texto diferentes, con diversas características y funciones. Algunos editores de texto incluyen interfaces gráficas, mientras que otros son solamente herramientas de líneas de comando. Cada editor de texto incluye un conjunto de características diseñado para admitir una tarea específica. Algunos editores de texto se centran en la programación e incluyen funciones, como resaltar la sintaxis, verificación de corchetes y paréntesis y otras características orientadas a la programación.
          Si bien los editores de texto gráficos son prácticos y fáciles de usar, los basados en la línea de comando son muy importantes para los usuarios de Linux. El principal beneficio de los editores de texto basados en la línea de comando es que permiten editar un archivo de texto desde una computadora remota.
          Consideren el siguiente escenario: un usuario tiene que realizar tareas administrativas en una computadora con Linux pero no está frente al equipo. Entonces, utiliza SSH para iniciar una shell remota a la computadora remota. En la shell remota basada en texto, es posible que la interfaz gráfica no esté disponible y eso hace que resulte imposible trabajar con una herramienta como el editor de texto gráfico. En este tipo de situación, los programas con base en texto son cruciales.
          La figura muestra nano, un popular editor de texto de línea de comando. El administrador está editando las reglas del firewall. Los editores de texto suelen utilizarse para la configuración del sistema y el mantenimiento en Linux.

                     

          Debido a la falta de soporte gráfico, nano (o GNU nano) se puede controlar solamente con el teclado. Por ejemplo, CTRL+O permite guardar el archivo actual y CTRL+W permite abrir el menú de búsqueda. GNU nano utiliza una barra de accesos directos de dos líneas en la parte inferior de la pantalla; allí se incluyen los comandos del contexto actual. Presione CTRL+G para ingresar en la pantalla de ayuda y ver una lista completa de comandos.





          8.2.5 La importancia de los archivos de texto en Linux


          En Linux, todo se trata como un archivo. Esto incluye la memoria, los discos, el monitor y los directorios. Por ejemplo, desde el punto de vista del sistema operativo, mostrar información en pantalla significa escribir en el archivo que representa el dispositivo de pantalla. No debería sorprendernos que la propia computadora esté configurada mediante archivos. Estos archivos, conocidos como archivos de configuración, suelen ser archivos de texto utilizados para almacenar ajustes y configuraciones de aplicaciones o servicios específicos. En Linux, prácticamente todo depende de archivos de configuración para funcionar. Algunos servicios no tienen solo uno, sino varios archivos de configuración.
          Los usuarios con los niveles de permisos correctos pueden usar editores de texto para cambiar el contenido de los archivos de configuración. Después de realizados los cambios, se guarda el archivo que ya puede ser utilizado por el servicio o la aplicación relacionados. Los usuarios pueden especificar exactamente cómo quieren que se comporte cualquier aplicación o servicio determinado. Cuando se abren, los servicios y las aplicaciones comprueban el contenido de archivos de configuración específicos para ajustar su comportamiento en consecuencia.
          En la figura, el administrador abrió el archivo de configuración host en nano para editarlo. El archivo host contiene asignaciones estáticas de direcciones IP de host a nombres. Los nombres sirven como accesos directos que permiten conectarse a otros dispositivos mediante un nombre en lugar de una dirección IP. Solamente el superusuario puede cambiar el archivo host.
          Nota: El administrador usó el comando sudo nano/etc/hosts para abrir el archivo. El comando sudo (abreviatura de “superuser do”, es decir, “acción del superusuario”) invoca el privilegio de superusuario para usar el editor de texto nano a fin de abrir el archivo host.

                   

        • 8.3. Servidores y clientes de Linux

          8.3.1 Una introducción a las comunicaciones entre Cliente y Servidor


          Los servidores son computadoras con software instalado que les permite ofrecer servicios a los clientes a través de la red. Existen muchos tipos de servicios. Algunos proporcionan recursos externos a los clientes cuando lo solicitan, como archivos, mensajes de correo electrónico o páginas web. Otros servicios ejecutan tareas de mantenimiento, como la administración de registros y de la memoria, análisis de disco y mucho más. Cada servicio requiere un software de servidor independiente. Por ejemplo, el servidor en la figura utiliza un software para proporcionar al cliente la capacidad de recuperar y enviar archivos

                            







          8.3.2 Servidores, Servicios y sus puertos


          En orden para que una computadora pueda ser el servidor para múltiples servicios, se utilizan los puertos. Un puerto es un recurso de red reservado utilizado por un servicio. Se dice que un servidor “escucha” en un puerto cuando se asocia a dicho puerto.
          Mientras que el administrador puede decidir qué puerto utilizar con cualquier servicio, muchos clientes están configurados para utilizar un puerto específico de manera predeterminada. Es habitual dejar el servicio ejecutándose en su puerto predeterminado. La tabla enlista algunos puertos utilizados comúnmente y sus servicios. A estos también se los denomina “puertos conocidos”.


          Port
          Description
          20/21
          File Transfer Protocol (FTP)
          22
          Secure Shell (SSH)
          23
          Telnet remote login service
          25
          Simple Mail Transfer Protocol (SMTP)
          53
          Domain Name System (DNS)
          67/68
          Dynamic Host Configuration Protocol (DHCP)
          69
          Trivial File Transfer Protocol (TFTP)
          80
          Hypertext Transfer Protocol (HTTP)
          110
          Post Office Protocol version 3 (POP3)
          123
          Network Time Protocol (NTP)
          143
          Internet Message Access Protocol (IMAP)
          161/162
          Simple Network Management Protocol (SNMP)
          443
          HTTP Secure (HTTPS)






          8.3.3 Clientes


          Los clientes son programas o aplicaciones cuyo objetivo es comunicarse con un tipo de servidor específico. También conocidos como aplicaciones cliente, los clientes usan un protocolo bien definido para comunicarse con el servidor. Los Navegadores Web son clientes web utilizados para comunicarse con servidores web mediante el Protocolo de Transferencia Hyper (HTTP) en el Puerto 80. El cliente del protocolo de transferencia de archivos (FTP) es un software utilizado para comunicarse con un servidor FTP. En la figura, se ve a un cliente cargando archivos a un servidor.

                          

          8.3.4 Vídeo de laboratorio: uso de un escáner de puertos para detectar puertos abiertos


        • 8.4. Administración básica del servidor

          8.4.1 Archivos de configuración de Servicios

          En Linux, los servicios se administran por medio de archivos de configuración. Las opciones frecuentes en la configuración de archivos son números de puertos, localización de los recursos alojados y detalles de autorización del cliente. Cuando el servicio se inicia, busca sus archivos de configuración, los carga en la memoria y se ajusta conforme a la configuración presente en los archivos. A menudo, las modificaciones del archivo de configuración requieren el reinicio del servicio antes de que los cambios surtan efecto.
          Debido a que los servicios suelen requerir privilegios de superusuario para ejecutarse, los archivos de configuración del servicio suelen requerir privilegios de superusuario para editar.
          La salida del comando muestra una porción del archivo de configuración para Nginx, el cual es un servidor web ligero para Linux.

              

          La salida del siguiente comando muestra los archivos de configuración del protocolo de tiempo de red (Network Time Protocol, NTP).

           

          la última salida del comando muestra los archivos de configuración de Snort, un sistema de detección de intrusiones (Intrusion detection system, IDS) con base en Linux.


          No existe ninguna regla de formato para el archivo de configuración; es decisión del desarrollador del servicio. Sin embargo, el formato option = value es de uso frecuente. Por ejemplo, en la Figura 3, la variable ipvar está configurada con varias opciones. La primera opción, HOME_NET, tiene el valor 209.165.200.224/27. El carácter hash (#) se utiliza para indicar los comentarios.






          8.4.2 Fortalecimiento de dispositivos


          El fortalecimiento de dispositivos consiste en implementar métodos probados para proteger el dispositivo y su acceso administrativo. Algunos de estos métodos implican mantenimiento de contraseñas, la configuración de características de inicio de sesión remoto mejorado y la implementación de seguridad al iniciar sesión por medio de SSH. Definir funciones administrativas en términos de acceso es otro aspecto importante para proteger los dispositivos de la infraestructura, ya que no todo el personal de tecnología de la información debe tener el mismo nivel de acceso a los dispositivos de la infraestructura.
          De acuerdo con la distribución de Linux, muchos servicios están habilitados de manera predeterminada. Algunas de estas características se habilitaron por motivos históricos pero ya no son necesarias. Detener estos servicios y garantizar que no se inicien automáticamente al momento del arranque constituye otra técnica de fortalecimiento de dispositivos.
          Las actualizaciones del sistema operativo también son fundamentales para mantener un dispositivo fortalecido. Todos los días se detectan nuevas vulnerabilidades. Los desarrolladores de sistemas operativos crean y publican correcciones y parches con frecuencia. Una computadora actualizada corre un riesgo menor de verse afectada.
          La siguientes son las mejores practicas básicas para fortalecer un dispositivo.
          • Garantizar la seguridad física
          • Minimizar la cantidad de paquetes instalados
          • Deshabilitar servicios que no se utilizan
          • Utilizar SSH y deshabilitar el inicio de sesión en cuentas raíz a través de SSH
          • Mantener el sistema actualizado
          • Deshabilitar la detección automática de USB
          • Aplicar contraseñas seguras
          • Forzar cambios de contraseña periódicamente
          • Impedir que los usuarios vuelvan a utilizar contraseñas antiguas
          Existen muchas otras medidas que suelen depender del servicio o las aplicaciones.







          8.4.3 Monitoreo de los registros de servicio


          Los archivos de registro son los datos que almacena una computadora para llevar un registro de eventos importantes. Todos los eventos del Kernel, los servicios y las aplicaciones se registran en los archivos de registro. Es muy importante que un administrador revise periódicamente los registros de una computadora para mantenerla libre de problemas. Mediante el monitoreo de archivos de registro de Linux, un administrador obtiene un panorama claro del desempeño de la computadora, el estado de la seguridad y cualquier problema subyacente. El análisis de archivos de registro le permite a un administrador protegerse contra futuros problemas antes de que ocurran.
          En Linux, los archivos de registro pueden clasificarse del siguiente modo:
          • Registros de aplicaciones
          • Registros de eventos
          • Registros de servicios
          • Registros del sistema
          Algunos registros contienen información acerca de daemons que se están ejecutando en el sistema Linux. Un daemon es un proceso en segundo plano que se ejecuta sin necesidad de interactuar con el usuario. Por ejemplo, el daemon de servicios de seguridad del sistema (SSSD) gestiona autenticación para capacidades de inicio de sesión únicas y acceso remoto.

          La tabla enlista algunos archivos de registro de Linux populares y sus funciones


          Archivo de Registro de Linux Descripción
          /var/log/messages
          • Este directorio contiene registros genéricos de la actividad de la computadora.
          • Principalmente, se emplea para guardar mensajes informativos y no críticos del sistema.
          • En computadoras con base en Debian, el directorio /var/log/syslog tiene el mismo propósito.
          /var/log/auth.log
          • Este archivo almacena todos los eventos relacionados con la autenticación en computadoras Debian y Ubuntu.
          • En este archivo, es posible encontrar cualquier información relacionada con el mecanismo de autorización de usuario.
          /var/log/secure
          • Este directorio es utilizado por los equipos RedHat y CentOS en lugar de /var/log/auth.log.
          • También realiza un seguimiento de inicios de sesión de sudo y de SSH, y otros errores registrados por SSSD.
          /var/log/boot.log
          • Este archivo almacena información relacionada al arranque y los mensajes registrados durante el proceso de inicio de la computadora.
          /var/log/dmesg
          • Este directorio contiene mensajes kernel ring buffer.
          • Aquí se registra la información relacionada con dispositivos de hardware y sus controladores.
          • Es muy importante porque, debido a su natural nivel bajo, los sistemas de registro (como syslog) no se ejecutan cuando estos eventos suceden y, por lo tanto, no suelen estar disponibles para el administrador en tiempo real.
          /var/log/kern.log
          • Este archivo contiene información registrada por el Kernel.
          /var/log/cron
          • Cron es un servicio utilizado para programar tareas automatizadas en Linux y sus eventos se almacenan en este directorio.
          • Cada vez que se ejecuta una tarea programada (también llamada tarea de cron), toda la información pertinente se almacena aquí, incluidos el estado de ejecución y los mensajes de error.
          /var/log/mysqld.log o /var/log/mysql.log
          • Este es el archivo de registro de MySQL.
          • Aquí se registran todos los mensajes de depuración, error y éxito relacionados con el proceso mysqld y el demonio mysqld_safe.
          • Las distribuciones de Linux de RedHat, CentOS y Fedora almacenan registros de MySQL en /var/log/mysqld.log, mientras que Debian y Ubuntu mantienen el registro en el archivo /var/log/mysql.log.

          El resultado del comando muestra una parte del archivo de registro /var/log/messages . Cada línea representa un evento registrado. Las marcas de hora en el comienzo de las líneas marcan el momento en que ocurrió el evento.

           


        • 8.5. El sistema de archivos Linux

          8.5.1 Los tipos de sistemas de archivos en Linux


          Hay muchos tipos diferentes de sistemas de archivos, que varían en términos de velocidad, flexibilidad, seguridad, tamaño, estructura, lógica y mucho más. Es el administrador quien decide qué tipo de sistema de archivos se adapta mejor al sistema operativo y los archivos que almacenará.





          El término que se utiliza para el proceso de asignación de un directorio a una partición es montaje. Después de una operación de montaje exitosa, al sistema de archivos contenido en la partición se puede acceder a través del directorio especificado. En este contexto, el directorio se llama el punto de montaje para ese sistema de archivos. Es posible que los usuarios de Windows estén familiarizados con un concepto similar: la letra de unidad.
          El comando output muestra el resultado del mount comando emitido en la máquina virtual Cisco CyberOPS.


          Cuando se emite sin opciones, el comando mount arroja la lista de sistemas de archivos actualmente montados en una computadora con Linux. Mientras que muchos de los sistemas de archivos que se muestran no forman parte del alcance de este curso, preste atención al sistema de archivos raíz (resaltado). El sistema de archivos raíz está representado por el símbolo “/” y contiene todos los archivos predeterminados de la computadora. También se muestra en el resultado que el sistema de archivos root fue formateado como ext4 y ocupa la primera partición de la primera unidad (/dev/sda1).






          8.5.2 Roles y permisos de archivo en Linux


          En Linux, se trata a la mayoría de las entidades de sistema como archivos. Con el objetivo de organizar el sistema y reforzar los límites dentro de la computadora, Linux usa permisos de archivos. Los permisos de archivos están integrados en la estructura del sistema de archivos y proporcionan un mecanismo para definir los permisos de cada archivo. Cada archivo en Linux trae sus permisos de archivo, los cuales definen las acciones que el propietario, el grupo y otros puede hacer con el archivo. Los posibles permisos son leer, escribir y ejecutar. El comando ls con el parámetro -l detalla información adicional sobre el archivo.

          Considere el resultado del comando ls -l en el resultado de Linux a continuación.


          El resultado proporciona mucha información sobre el archivo space.txt.
          El primer campo del resultado permite ver los permisos asociados con space.txt (-rwxrw-r--). Los permisos de archivo siempre aparecen en el siguiente orden: Usuario, Grupo y Otros.
          El archivo space.txt tiene los siguientes permisos:
          • El guion (-) indica que se trata de un archivo. En el caso de los directorios, el primer guion se reemplazaría por una “d”.
          • El primer conjunto de caracteres es para el permiso de usuario (rwx ). El usuario analista (analyst) que posee el archivo puede leer ( Read), escribir (Write) y ejecutar (eXecute) el archivo.
          • El segundo conjunto de caracteres es para los permisos de grupo (rw-). El grupo (staff) que posee el archivo puede leer (Read) y escribir (Write) el archivo.
          • El tercer conjunto de caracteres es para cualquier otro permiso de usuario o de grupo (r--). Cualquier otro usuario o grupo de la computadora solo puede leer (Read) el archivo.
          El segundo campo define la cantidad de enlaces físicos hacia el archivo (el número 1 después de los permisos). Un enlace físico crea otro archivo con un nombre diferente vinculado al mismo lugar en el sistema de archivos (se lo denomina inodo). Esto es diferente del enlace simbólico, que se analiza en la siguiente página.
          El tercer y cuarto campo muestran el usuario (analyst) y el grupo (staff) que poseen el archivo, respectivamente.
          El quinto campo muestra el tamaño del archivo en bytes. El archivo space.txt tiene 253 bytes.
          El sexto campo muestra la fecha y hora de la última modificación.
          El séptimo campo muestra el nombre del archivo.
          La figura muestra un desglose de los permisos de archivos en Linux.

             

          Usar valores octales para definir los permisos
          Binario Octal Permiso Descripción
          000 0 --- Sin acceso
          001 1 --x Solo ejecutar
          010 2 -w- Solo escribir
          011 3 -wx Escribir y Ejecutar
          100 4 r-- Solo leer
          101 5 r-x Leer y Ejecutar
          110 6 rw- Leer y Escribir
          111 7 rwx Leer, Escribir y Ejecutar
          Binario
          Octal
          Permiso
          Descripción
          000
          0
          ---
          Sin acceso
          001
          1
          --x
          Solo ejecutar
          010
          2
          -w-
          Solo escribir
          011
          3
          -wx
          Escribir y Ejecutar
          100
          4
          r--
          Solo leer
          101
          5
          r-x
          Leer y Ejecutar
          110
          6
          rw-
          Leer y Escribir
          111
          7
          rwx
          Leer, Escribir y Ejecutar


          Los permisos de archivos son una parte fundamental de Linux y no se pueden eliminar. Un usuario tiene tantos derechos sobre un archivo como se lo permiten los permisos de archivo. El único usuario que puede anular el permiso de archivo en una computadora con Linux es el usuario root. Como el usuario raíz tiene la capacidad para anular permisos de archivos, puede escribir en cualquier archivo. Dado que todo se trata como un archivo, el usuario root tiene control total sobre la computadora Linux. El acceso raíz se requiere a menudo antes de realizar el mantenimiento y las tareas administrativas. Debido a la potencia del usuario raíz, las credenciales root deben usar contraseñas seguras y no compartirse con nadie más que los administradores del sistema y otros usuarios de alto nivel.







          8.5.3 Enlaces rígidos y enlaces simbolicos


          Un enlace rígido es otro archivo que apunta a la misma ubicación que el archivo original. Utilice el comando ln para crear un enlace físico. El primer argumento es el archivo existente y, el segundo, el archivo nuevo. Como se muestra en el comando output, el archivo space.txt está enlazado a space.hard.txt y el campo de enlace ahora muestra 2.


          Ambos archivos apuntan a la misma ubicación en el sistema de archivos. Si cambia un archivo, el otro también cambia. El comando echo se utiliza para añadir texto a space.txt. Observe que el tamaño de archivo para ambos space.txt y space.hard.txt aumentó a 257 bytes. Si se elimina space.hard.txt con el comando rm (eliminar), el archivo space.txt continúa existiendo, como se comprueba con el comando more space.txt .
          Un enlace simbólico, también llamado enlace suave o symlink, es similar a un enlace físico en el sentido en que aplicar cambios a un enlace simbólico también cambia el archivo original. Como se muestra en la salida del comando, usar el ln comando con la -s opción para crear un enlace simbólico.

            

          Observe que al añadir una línea de texto a también añade la línea en . Sin embargo, a diferencia de un enlace físico, eliminar el archivo original text.txt implica que mytext .txt ahora está vinculado a un archivo que ya no existe, como se muestra con los comandos more mytest.txt y ls -l mytest.txt .
          Aunque los enlaces simbólicos tienen un punto único de falla (el archivo subyacente), los enlaces simbólicos tienen varios beneficios respecto de los enlaces físicos:
          • Es más difícil localizar enlaces físicos. Los enlaces simbólicos muestran la ubicación del archivo original en el comando ls -l , tal como se ve en la última línea del resultado de la Figura 2 (mytest.txt-> test.txt).
          • Los enlaces físicos se limitan al sistema de archivos en el que se crean. Los enlaces simbólicos pueden estar vinculados a un archivo en otro sistema de archivos.
          • Los enlaces físicos no pueden estar vinculados a un directorio porque el propio sistema utiliza enlaces físicos para definir la jerarquía de la estructura de directorios. Sin embargo, los enlaces simbólicos pueden estar vinculados a directorios.

          • 8.6. Trabajando con la GUI de Linux

            8.6.1 Sistema X window


            La interfaz gráfica presente en la mayoría de las computadoras Linux tiene como base el sistema X Window. También conocido como X o X11, X Window es un sistema de ventanas diseñado para proporcionar el marco de trabajo básico para una GUI. X incluye funciones para dibujar y mover ventanas en el dispositivo de visualización, e interactuar con un mouse y un teclado.
            X funciona como un servidor, el cual le permite a un usuario remoto utilizar la red para conectarse, iniciar una aplicación gráfica y mantener la ventana de gráficos abierta en el terminal remoto. Mientras la aplicación propiamente dicha se ejecuta en el servidor, la apariencia gráfica se envía por X a través de la red y se ve en la computadora remota.
            Tenga en cuenta que X no especifica la interfaz de usuario y deja que otros programas, como los gestores de ventanas, definan todos los componentes gráficos. Esta abstracción otorga gran flexibilidad y personalización, ya que es la aplicación del usuario la que define los componentes gráficos, como botones, fuentes, iconos, bordes de ventanas y esquemas de color. Debido a esta separación, la GUI de Linux varía enormemente de una distribución a otra. Ejemplos de gestores de ventanas son Gnome y KDE. Mientras que el aspecto de los gestores de ventanas varía, los componentes principales permanecen presentes.
            La figura muestra Administrador de ventanas de Gnome.

                            

            Esta figura muestra el Administrador de ventanas de KDE.

                             







            8.6.2 La GUI de Linux


            Aunque un sistema operativo no necesita una GUI para funcionar, las GUI se consideran más fáciles de usar que la CLI. El usuario puede reemplazar fácilmente la GUI de Linux en su totalidad. Como resultado de la gran cantidad de distribuciones de Linux, en este capítulo, nos centraremos en Ubuntu al hablar de Linux, ya que es una distribución muy popular y fácil de usar.
            Ubuntu Linux utiliza Gnome 3 como la GUI predeterminada. El objetivo de Gnome 3 es hacer que Ubuntu sea todavía más fácil de usar. La tabla muestra los principales componentes de la interfaz de usuario de Unity.
            La figura muestra la ubicación de algunas de las características del escritorio Ubuntu Gnome 3.

                


            Componente UI Descripción
            Menú de aplicaciones
            • El Menú Apps muestra iconos para las aplicaciones instaladas en el sistema.
            • El menú contextual proporciona accesos directos que permiten iniciar o configurar las apps.
            • El cuadro de búsqueda del sistema está disponible en la vista Actividades.
            Ubuntu Dock
            • Es una base que se ubica en el lado izquierdo de la pantalla y sirve como iniciador de aplicaciones y slector de apps favoritas.
            • Haga clic para iniciar una aplicación y, cuando la aplicación se esté ejecutando, haga clic otra vez para cambiar entre las aplicaciones en ejecución.
            • Si se está ejecutando más de una instancia de una aplicación, el Selector mostrará todas las instancias.
            • Haga clic con el botón derecho en cualquier aplicación que esté alojada en el iniciador para ver detalles acerca de que la aplicación.
            Barra superior
            • Esta barra de menús multipropósito contiene un menú para la aplicación que actualmente tiene el foco.
            • Muestra la hora actual e indica si hay nuevos mensajes del sistema.
            • También proporciona acceso a la vista de escritorio de actividad y al menú de estado del sistema.
            Calendario y bandeja de mensajes del sistema
            • Haga clic en el día y la hora para ver el calendario completo de citas y los mensajes actuales del sistema.
            • Acceda al calendario de citas desde aquí para crear nuevas citas.
            Actividades
            • Cambie a la vista de aplicaciones para cambiar o cerrar aplicaciones en ejecución.
            • Una poderosa herramienta de búsqueda está disponible aquí que encontrará aplicaciones, archivos y valores dentro de los archivos.
            • Permite cambiar entre espacios de trabajo.
            Menú de estado
            • Permite la configuración del adaptador de red y otros dispositivos en ejecución.
            • El usuario actual puede cerrar sesión o cambiar su configuración.
            • Los cambios en la configuración del sistema se pueden realizar aquí.
            • La estación de trabajo se puede bloquear o apagar desde aquí.

        • 8.7. Trabajando en un host Linux

          8.7.1 Instalación y ejecución de aplicaciones en un host de Linux


          Muchas aplicaciones de usuario final son programas complejos escritos en lenguajes compilados. Para ayudar en el proceso de instalación, Linux suele incluir programas llamados administradores de paquetes. Un paquete es el término utilizado para referirse a un programa y a todos sus archivos compatibles. El uso de un administrador de paquetes para instalar un paquete permite colocar todos los archivos necesarios en la ubicación correcta en el sistema de archivos.
          Los administradores de paquetes varían dependiendo de las distribuciones de Linux. Por ejemplo, pacman es utilizado por Arch Linux mientras que dpkg (paquete Debian) y apt ( Advanced Packaging Tool) se utilizan en las distribuciones Debian y Ubuntu Linux.
          El resultado del comando muestra el resultado de algunos comandos apt-get utilizados en las distribuciones de Debian.

           

          El comando apt-get update se utiliza para recuperar la lista de paquetes desde el repositorio y actualizar la base de datos de paquetes local. El comando apt-get upgrade se utiliza para actualizar todos los paquetes actualmente instalados a sus versiones más recientes.






          8.7.2 Mantener el sistema actualizado


          También conocidas como parches, las actualizaciones del sistema operativo son publicadas periódicamente por empresas de sistemas operativos para abordar cualquier vulnerabilidad conocida en sus sistemas operativos. Aunque las empresas tienen programadas las actualizaciones, la publicación de actualizaciones no programadas del sistema operativo puede suceder si se detecta una vulnerabilidad importante en el código del sistema operativo. Los sistemas operativos modernos alertarán al usuario cuando las actualizaciones estén disponibles para la descarga e instalación, pero el usuario puede buscar actualizaciones en cualquier momento.
          La siguiente tabla compara los comandos de distribución de Arch Linux y Debian/Ubuntu Linux para realizar operaciones básicas del sistema de paquetes.


          Tarea
          Arch
          Debian/Ubuntu
          Instalar un paquete por nombre
          pacman -S
          apt install
          Eliminar un paquete por nombre
          pacman -Rs
          apt remove
          Actualizar un paquete local
          pacman -Syy
          apt-get update
          Actualizar todos los paquetes instalados actualmente
          pacman -Syu
          apt-get upgrade


          Una GUI de Linux también se puede utilizar para comprobar e instalar actualizaciones manualmente. En Ubuntu, por ejemplo, para instalar actualizaciones, haga clic en Dash Search Box , escriba Software Updater,y a continuación, haga clic en el ícono Software Updater, como se muestra en la figura.

                      







          8.7.3 Procesos y bifurcaciones


          Un proceso es una instancia en ejecución de un programa informático. Los sistemas operativos multitarea pueden ejecutar varios procesos al mismo tiempo.
          El plegamiento es un método que utiliza el kernel para permitir que un proceso cree una copia de sí mismo. Los procesos necesitan una manera de crear nuevos procesos en los sistemas operativos multitarea. La bifurcación es la única manera de lograr esto en Linux.
          La bifurcación es importante por muchas razones. Una de ellas se relaciona con la escalabilidad de los procesos. Apache, un servidor web muy conocido, es un buen ejemplo de ello. Gracias a que puede bifurcarse a sí mismo, Apache es capaz de responder a una gran cantidad de solicitudes con menos recursos de sistema que un servidor con base en procesos individuales.
          Cuando un proceso solicita la bifurcación, el proceso que realiza la solicitud se convierte en el proceso principal, y el proceso recién creado se denomina subproceso. Después de la bifurcación, los procesos son, en cierta medida, independientes; tienen diferentes identificaciones, pero ejecutan el mismo código de programa.

          La tabla muestra tres comandos que se utilizan para administrar procesos.

          Comando Descripción
          ps
          • Se utiliza para enumerar los procesos que se ejecutan en la computadora en el momento en que se invoca.
          • Se le puede indicar que muestre los procesos en ejecución que pertenecen al usuario actual oa otros usuarios.
          • Si bien enumerar los procesos no requiere privilegios de root, eliminar o modificar los procesos de otros usuarios sí lo requiere.
          top
          • Se utiliza para enumerar los procesos en ejecución, pero a diferencia de ps, top sigue mostrando los procesos en ejecución de forma dinámica.
          • Presione q para salir de la parte superior.
          kill
          • Se utiliza para modificar el comportamiento de un proceso específico.
          • Dependiendo de los parámetros, kill eliminará, reiniciará o pausará un proceso.
          • En muchos casos, el usuario ejecutará ps o top antes de ejecutar kill.
          • Esto se hace para que el usuario pueda conocer el PID de un proceso antes de ejecutar kill.
          El comando de salida muestra el resultado del comando top en un computadora Linux.








          8.7.4 Malware en un host de Linux


          El malware de Linux incluye virus, troyanos, gusanos y otros tipos de malware que pueden afectar el sistema operativo. Debido a una serie de componentes del diseño, como la estructura del sistema de archivos, los permisos de archivos y las restricciones de las cuentas de usuario, es habitual considerar que los sistemas operativos Linux tienen mejor protección contra malware.
          Aunque se podría decir que está mejor protegido, Linux no es inmune al malware. Se han encontrado y aprovechado muchas vulnerabilidades en Linux, desde vulnerabilidades en el software de servidor hasta vulnerabilidades en el kernel. Los atacantes son capaces de aprovechar estas vulnerabilidades y poner en riesgo el sistema de destino. Debido a la naturaleza de código abierto de Linux, los parches y las correcciones suelen estar disponibles apenas horas después de detectar este tipo de problemas.
          Si se ejecuta un programa malicioso, causará daños, independientemente de la plataforma. Un vector de ataque común en Linux son sus servicios y procesos. Con frecuencia, las vulnerabilidades se detectan en el código de servidores y procesos ejecutándose en computadoras conectadas a la red. Por ejemplo, una versión desactualizada del servidor web Apache puede contener una vulnerabilidad sin parches que un atacante puede aprovechar. A menudo, los atacantes sondean puertos abiertos para determinar la versión y naturaleza del servidor en ese puerto. Con ese conocimiento, los atacantes pueden investigar si hay algún problema conocido con esa versión particular de ese servidor específico para mejorar el ataque. Al igual que con la mayoría de las vulnerabilidades, mantener la computadora actualizada y cerrar todos los servicios y puertos no utilizados es una buena manera de reducir las posibilidades de ataque en una computadora con Linux.
          El comando output muestra un atacante usando el comando Telnet para probar la naturaleza y versión de un servidor web (Puerto 80).


          El atacante descubrió que el servidor en cuestión está ejecutando nginx versión 1.12.0. El siguiente paso sería investigar vulnerabilidades conocidas en el código de nginx 1.12.0.







          8.7.5 Comprobación de rootkit


          Un rootkit es un tipo de malware diseñado para aumentar los privilegios de un usuario no autorizado u otorgar acceso a partes del software que no suelen estar disponibles. Los rootkit también suelen usarse para asegurar el ingreso a una puerta trasera de una computadora atacada.
          Es posible automatizar la instalación de un rootkit (como parte de una infección) o un atacante puede instalarlo manualmente después de atacar una computadora. Un rootkit es destructivo porque cambia el código del kernel y sus módulos, lo que afecta las operaciones más fundamentales del sistema operativo propiamente dicho. Con un nivel tan profundo de ataque, los rootkits pueden ocultar la intrusión, eliminar cualquier rastro de su instalación e incluso manipular las herramientas de solución de problemas y diagnóstico para que oculten la presencia del rootkit en sus resultados. Mientras que hay antecedentes de instalación de rootkits mediante cuentas de usuario comunes en Linux, la gran mayoría de los ataques con rootkit requieren acceso de root o administrador.
          Dado que se ve afectada la naturaleza misma de la computadora, la detección de rootkits puede ser muy difícil. Los métodos de detección típicos suelen incluir arrancar la computadora desde medios confiables, como un CD con el sistema operativo de diagnóstico ejecutado en directo. Se monta la unidad afectada y, desde el conjunto seguro de herramientas del sistema, es posible iniciar herramientas de diagnóstico confiables para inspeccionar el sistema de archivos atacado. Los métodos de inspección incluyen métodos basados en el comportamiento, y análisis de firmas, diferencias y volcado de memoria.
          La eliminación de rootkits puede ser complicada y, a menudo, es imposible, especialmente en casos en los que el rootkit reside en el kernel. La reinstalación del sistema operativo suele ser la única solución real. Normalmente, los rootkits de firmware requieren la sustitución de hardware.
          El programa chkrootkit es un software popular con base en Linux diseñado para comprobar si la computadora tiene rootkits conocidos. Es un script de shell que utiliza herramientas de Linux comunes, como cadenas grep , para comparar las firmas de los programas principales. También busca discrepancias mientras atraviesa el sistema de archivos /proc comparando las firmas detectadas con el resultado del comando ps .
          Aunque son útiles, recuerde que los programas para detectar rootkits no son infalibles.
          El comando output muestra el resultado de chkrootkit en un sistema Linux con Ubuntu








          8.7.6 Comandos Piping


          Aunque las herramientas de línea de comando suelen diseñarse para realizar una tarea específica bien definida, muchos comandos se pueden combinar para realizar tareas más complejas mediante una técnica conocida como tuberías. El carácter que define el proceso de tubería es la barra vertical (|), y es un procedimiento que consiste en vincular comandos entre sí, de manera que el resultado de un comando alimente la entrada de otro.
          Por ejemplo, el comando ls se utiliza para mostrar todos los archivos y directorios de un directorio específico. El comando grep realiza búsquedas en un archivo o texto para encontrar una cadena especificada. Si la encuentra, grep muestra todo el contenido de la carpeta donde se encontró la cadena.
          Los dos comandos, ls y grep, pueden ser entubados juntos para filtrar el resultado de ls . Esto se muestra en la salida del comando ls -l | grep host y el comando ls -l | grep file .








          8.7.7 Vídeo - Aplicaciones, Rootkits y Comandos piping.

          Observe el vídeo para ver una demostración de la instalación y actualización de aplicaciones, la detección de rootkits y el uso de comandos de tuberías.



        • 8.8. Resumen Básico de Linux

          8.8.1 ¿Qué aprendí en este módulo?




      • Módulo 9: Protección de terminales

        9.0.1 ¿Por qué debo tomar este módulo?


        Los sistemas operativos requieren una variedad de herramientas y procedimientos para mantenerlos seguros. Los terminales (Endpoints) son cualquier dispositivo que se comunica con cualquier otro dispositivo de una red. Esto incluye los miles de equipos, impresoras, servidores y otros dispositivos que se encuentran en una red grande. Cada terminal es vulnerable a los ataques. ¿Cómo se pueden proteger todos estos terminales y podemos saber si alguno de ellos ha sido comprometido por un atacante o malware? Este módulo describir diversas tecnologías y métodos de protección de terminales, que se combinan para ayudar a proteger mejor su hogar y su organización.






        9.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 3 Videos
        • 4 laboratorios
        • 3 Actividades de Verifique su Comprensión
        • 1 Prueba del Módulo
        Título del módulo: Protección de terminales
        Objetivo del módulo: evaluar la protección de terminales y los impactos del malware.


        Título del tema Objetivo del tema
        Defensa de sistemas y dispositivos Utilice procesos y procedimientos para proteger los sistemas.
        Protección antimalware Explique los métodos para mitigar el malware.
        Prevención de intrusiones basada en host Recomiende medidas de seguridad para terminales.
        Seguridad de las aplicaciones Utilice herramientas de investigación de malware para conocer las características del malware.

        • 9.1. Defensa de sistemas y dispositivos

          9.1.1 Avatar


          El sistema operativo desempeña un rol importante en la operación de un sistema informático y es el objetivo de muchos ataques. Por lo tanto, nuestro primer trabajo como profesionales de ciberseguridad es proteger el sistema operativo.
          Para comenzar, analizaremos los elementos esenciales de la seguridad del sistema operativo.

          La ventana emergente de BitLocker







          9.1.2 Seguridad del sistema operativo


          ¿Qué debe hacer una organización para fortalecer un sistema operativo y mantenerlo seguro?






          9.1.3 Puntos para recordar


          Ha identificado tipos de antimalware que @Apollo puede usar para proteger dispositivos, pero hay más para aprender. Analicemos algunos puntos importantes para recordar sobre el antimalware.








          9.1.4 Gestión de parches


          Los ciberdelincuentes trabajan sin descanso para aprovechar la debilidad de los sistemas informáticos. Para mantenerse un paso adelante, mantenga los sistemas seguros y actualizados mediante la instalación periódica de parches.


          ¿Qué son los parches?
          Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar que un virus o gusano recientemente descubierto logre atacar con éxito. Los parches y las actualizaciones a menudo se combinan en un paquete de servicios. Se podrían haber evitado muchos ataques de malware si los usuarios hubieran instalado el último Service Pack.
          Los sistemas operativos como Windows buscan rutinariamente actualizaciones que puedan proteger una computadora de las amenazas de seguridad más recientes. Estas actualizaciones incluyen actualizaciones de seguridad, actualizaciones críticas y paquetes de servicios. Windows debe configurarse para que descargue e instale automáticamente las actualizaciones a medida que estén disponibles.


          ¿Qué debe hacer?
          Como profesional de ciberseguridad, es una buena práctica probar un parche antes de implementarlo en toda la organización. Se puede utilizar una herramienta de administración de parches para administrar los parches localmente en lugar de utilizar el servicio de actualización en línea del proveedor.
          El servicio de parches automatizado proporciona a los administradores una configuración más controlada. Analicemos algunos de los beneficios
          • Los administradores pueden aprobar o rechazar las actualizaciones.
          • Los administradores pueden imponer la actualización de los sistemas para una fecha específica.
          • Los administradores pueden obtener informes sobre la actualización necesaria para cada sistema.
          • No es necesario conectar todas las computadoras al servicio del proveedor para descargar parches; un sistema obtiene la actualización de un servidor local.
          • Los usuarios no pueden desactivar ni eludir las actualizaciones.


          Un enfoque proactivo
          Además de proteger el sistema operativo, es importante actualizar las aplicaciones de terceros como Adobe Acrobat, Java y Chrome para abordar las vulnerabilidades que podrían aprovecharse. Un enfoque proactivo para la administración de parches proporciona seguridad de red y ayuda a prevenir el ransomware y otras amenazas.







          9.1.5 Seguridad de Terminales


          Una solución basada en el host es una aplicación de software que se ejecuta en una computadora host local para protegerla. El software funciona con el sistema operativo para prevenir ataques.









          9.1.6 Avatar


          La encriptación es una herramienta que se usa para proteger datos. La encriptación transforma los datos con un algoritmo complicado para que no puedan leerse.
          Una clave especial transforma la información ilegible en información legible.

          La ventana emergente de BitLocker





          9.1.7 Cifrado de host

          La función de sistema de archivos de cifrado de Windows (EFS) permite a los usuarios cifrar archivos, carpetas o un disco duro completo. El cifrado de disco completo (FDE) cifra todo el contenido de una unidad (incluidos los archivos temporales y la memoria). Microsoft Windows utiliza BitLocker para FDE. Antes de utilizar BitLocker, el usuario debe habilitar el módulo de plataforma confiable (TPM) en el BIOS. TPM es un chip especializado en la placa madre que almacena información específica del sistema de computación, como claves de cifrado, certificados digitales y contraseñas. Cuando está habilitado, BitLocker puede usar el chip TPM.Del mismo modo, BitLocker To Go es una herramienta que cifra las unidades extraíbles. No utiliza un chip TPM, pero encripta los datos y requiere una contraseña para descifrarlos. Mientras tanto, una unidad de autocifrado encripta automáticamente todos los datos de la unidad para evitar que los atacantes accedan a los datos a través de su sistema operativo.
          La ventana emergente de BitLocker






          9.1.8 Integridad de arranque


          Los atacantes pueden atacar en cualquier momento, incluso en el breve espacio de tiempo que tarda un sistema en arrancar. Es fundamental garantizar que los sistemas y dispositivos permanezcan seguros al arrancar.



          ¿Qué es la integridad de arranque?

          La integridad de arranque garantiza que se pueda confiar en el sistema y que no haya sido alterado mientras se carga el sistema operativo.
          El firmware (instrucciones de software sobre las funciones básicas de la computadora) se almacena en un pequeño chip de memoria en la placa base. El sistema básico de entrada / salida (BIOS) es el primer programa que se ejecuta al encender la computadora. 
          Unified Extensible Firmware Interface (UEFI), una versión más reciente de BIOS, define una interfaz estándar entre el sistema operativo, el firmware y los dispositivos externos. Se prefiere un sistema que use UEFI sobre uno que use BIOS porque un sistema UEFI puede ejecutarse en modo de 64 bits.


          ¿Cómo funciona el arranque seguro?

          El arranque seguro es un estándar de seguridad para garantizar que un dispositivo se inicie utilizando un software de confianza. Cuando se inicia un sistema informático, el firmware verifica la firma de cada pieza de software de arranque, incluidos los controladores de firmware UEFI, las aplicaciones UEFI y el sistema operativo. Si las firmas son válidas, el sistema se inicia y el firmware le da el control al sistema operativo.


          ¿Qué es el arranque medido?

          El arranque medido proporciona una validación más sólida que el arranque seguro. El inicio medido mide cada componente desde el firmware hasta los controladores de inicio de inicio, y almacena las mediciones en el chip TMP para crear un registro. El registro se puede probar de forma remota para verificar el estado de arranque del cliente. El arranque medido puede identificar las aplicaciones que no son de confianza que intentan cargarse y también permite que el antimalware se cargue antes.
          El arranque medido proporciona una validación más sólida que el arranque seguro. El inicio medido mide cada componente desde el firmware hasta los controladores de inicio de inicio, y almacena las mediciones en el chip TMP para crear un registro. El registro se puede probar de forma remota para verificar el estado de arranque del cliente. El arranque medido puede identificar las aplicaciones que no son de confianza que intentan cargarse y también permite que el antimalware se cargue antes.







          9.1.9 Funciones de seguridad del sistema Apple


          Como sabemos, las distribuciones de Windows y Linux incluyen funciones de seguridad diseñadas para proteger los puntos finales. Apple proporciona hardware del sistema y funciones de seguridad de macOS que también ofrecen una sólida protección de punto final.








          9.1.10 Protección física de los dispositivos


          Bien hecho. Ha protegido a @Apollo contra amenazas de software y hardware. Pero, ¿qué sucede con las posibles amenazas físicas a las oficinas y los dispositivos de @Apollo?


          Equipo de cómputo
          Para proteger físicamente los equipos informáticos:
          • Utilice bloqueos de cable para proteger los dispositivos
          • Mantenga cerradas las salas de telecomunicaciones.
          • Utilice jaulas de seguridad (jaulas de Faraday) alrededor del equipo para bloquear los campos electromagnéticos.


          Cerraduras de puerta
          El tipo más común de cerradura de puerta es la entrada con cerradura con llave estándar. A menudo son fáciles de forzar. Se puede agregar un bloqueo de seguridad para mayor seguridad. Aunque cualquier cerradura con llave presenta una vulnerabilidad si se pierden, roban o duplican las llaves.
          Una cerradura cifrada usa botones que se presionan en una secuencia dada para abrir la puerta. Esto significa que el código de un usuario solo funcionará durante determinados días o cierto tiempo. La cerradura cifrada también puede mantener un registro de cuándo se abre la puerta y el código utilizado para abrirla.


          Identificación de radiofrecuencia (RFID)
          La identificación por radiofrecuencia (RFID) utiliza ondas de radio para identificar y rastrear objetos. Los sistemas de inventario de RFID usan etiquetas adjuntas a todos los elementos que una organización desea rastrear. Las etiquetas contienen un circuito integrado que se conecta a una antena. Las etiquetas de RFID son pequeñas y requieren muy poca energía, por lo que no necesitan batería para almacenar información para intercambiar con un lector. La RFID puede ayudar a automatizar el seguimiento de los activos o bloquear, desbloquear o configurar inalámbricamente los dispositivos electrónicos.







          9.1.11 Lab Video - fortalecer un sistema Linux








          9.1.12 Lab Video - recuperación de contraseñas



          • 9.2. Protección antimalware

            9.2.1 Amenazas de terminales

            La palabra “terminal” tiene varias definiciones. Para los fines de este curso, definiremos los terminales como hosts en la red que pueden tener acceso a otros hosts de la red y viceversa. Esto obviamente incluye computadoras y servidores, pero muchos otros dispositivos también pueden tener acceso a la red. Con el rápido crecimiento de Internet de las cosas (IoT), otros tipos de dispositivos ya son terminales de la red. Esto incluye cámaras de seguridad conectadas en red, controladoras, y hasta bombillas y electrodomésticos. Cada terminal es un posible lugar que el software malicioso tiene para obtener acceso a una red. Además, las nuevas tecnologías, como la nube, amplían los límites de las redes empresariales para incluir sitios en Internet de los que las empresas no son responsables.
            Los dispositivos que tienen acceso remoto a las redes mediante VPN son también terminales que se deben tener en cuenta. Estos terminales podrían inyectar malware en la red VPN desde la red pública.
            Los siguientes puntos resumen algunos de los motivos por los que el malware sigue siendo un desafío importante:
            • Según una investigación de Cybersecurity Ventures, para 2021 una nueva organización será víctima de un ataque de ransomware cada 11 segundos.
            • Los ataques de ransomware le costarán a la economía mundial 6 billones de dólares anuales para 2021.
            • En 2018, se observaron 8 millones de intentos de robar recursos del sistema usando malware criptojacking.
            • De 2016 a principios de 2017, el volumen mundial de spam aumentó drásticamente. Del 8% al 10% de este spam puede considerarse malicioso, como se muestra en la figura.
            • En 2020, se prevé que el promedio de ataques cibernéticos por cada dispositivo macOS aumentará de 4,8 en 2018 a 14,2 en 2020.
            • Se ha descubierto que numerosos tipos comunes de malware han modificado significativamente sus características en menos de 24 horas para evadir la detección.
            Porcentaje de Spam malicioso

                                                           






            9.2.2 Seguridad de Terminales


            Normalmente, los medios de comunicación cubren los ataques de red externos a redes empresariales. Estos son algunos ejemplos de dichos ataques:
            • Ataques de DoS en la red de una organización para degradar o incluso impedir el acceso público.
            • Brecha del servidor web de una organización para modificar su presencia web
            • Infracción de los servidores de datos y hosts de una organización para robar información confidencial.
            Se necesitan diversos dispositivos de seguridad de la red para proteger el perímetro de la red del acceso exterior. Como se ve en la figura, estos dispositivos pueden incluir un router fortalecido que proporciona servicios de VPN, un firewall de última generación (ASA en la figura), un dispositivo de IPS y servicios de autenticación, autorización y contabilidad (servidor de AAA en la figura).

                                     

            Sin embargo, muchos ataques se originan dentro de la red. Por lo tanto, proteger una LAN interna es casi tan importante como proteger el perímetro externo de la red. Sin una LAN segura, los usuarios dentro de una organización permanecen susceptibles a las amenazas de la red y las interrupciones que pueden afectar directamente la productividad y el margen de ganancias de una organización. Si un atacante se infiltra en un host interno, este puede ser el punto de partida para que obtenga acceso a dispositivos esenciales del sistema, como servidores e información confidencial.
            Específicamente, hay dos elementos internos de la LAN para proteger:
            • Terminales - Los hosts suelen ser computadoras portátiles, computadoras de escritorio, impresoras, servidores y teléfonos IP, y todos ellos son susceptibles a los ataques relacionados con malware.
            • Infraestructura de red - Los dispositivos de la infraestructura de la LAN interconectan terminales y, habitualmente, incluyen switches, dispositivos inalámbricos y dispositivos de telefonía IP. La mayoría de estos dispositivos es susceptible a ataques relacionados con la LAN, incluidos los ataques de desbordamiento de la tabla de direcciones MAC, los ataques de suplantación, los ataques relacionados con DHCP, los ataques de tormenta de LAN, los ataques de manipulación de STP y los ataques a la VLAN.
            Este capítulo se centra en la protección de los puntos terminales.







            9.2.3 Protección de malware basada en hosts


            El perímetro de la red se expande todo el tiempo. Las personas tienen acceso a recursos de la red corporativa con dispositivos móviles que utilizan tecnologías de acceso remoto, como la VPN. Estos mismos dispositivos también se utilizan en redes públicas y domésticas con protección mínima o inexistente. El software antivirus/antimalware y los firewalls con base en el host se utilizan para proteger estos dispositivos.


            Software Antivirus/Antimalware:
            Se trata de software que se instala en un host para detectar y mitigar virus y malware. Algunos ejemplos son Windows Defender Virus & Threat Protection, Cisco AMP for Endpoints, Norton Security, McAfee, Trend Micro, entre otros. Los programas antimalware pueden detectar virus por medio de tres enfoques diferentes:
            • Basado en firmas - Este enfoque reconoce diversas características de archivos de malware conocidos.
            • Basado en heurística - Este enfoque reconoce características generales que comparten diversos tipos de malware.
            • Basado en comportamiento - Este enfoque emplea análisis de comportamiento sospechoso.
            Muchos programas antivirus son capaces de proporcionar protección en tiempo real analizando los datos mientras el terminal los usa. Estos programas también analizan en busca de malware existente que podría haber ingresado en el sistema antes de ser reconocible en tiempo real.
            A la protección antivirus con base en hosts también se la conoce como basada en agentes. El antivirus basado en agentes se ejecuta en cada máquina protegida. La protección antivirus sin agente realiza escaneos en los hosts desde un sistema centralizado. Los sistemas sin agentes se han popularizado en entornos virtualizados en los que varias instancias de sistemas operativos se ejecutan en un host simultáneamente. Si se ejecutan antivirus con base en agentes en cada sistema virtualizado, es posible que se agoten los recursos del sistema. Los antivirus sin agente para hosts virtuales comprenden el uso de un dispositivo virtual de seguridad especializado que optimiza las tareas de análisis en los hosts virtuales. Un ejemplo de esto es VMware vShield.


            Firewall basado en hosts:
            Este software se instala en un host. Limita las conexiones entrantes y salientes a conexiones iniciadas por ese host solamente. El software de firewall también puede evitar que un host se infecte e impedir que los hosts infectados propaguen malware a otros. Esta función se incluye en algunos sistemas operativos. Por ejemplo, Windows incluye "Windows Defender Firewall with Advanced Security", como se muestra en la figura.
            Otras empresas u organizaciones producen otro tipo de soluciones. Las tablas ip de Linux y las herramientas de envoltorios TCP Los firewalls basados en el host se analizan con mayor detalle más adelante en este módulo.

                  

            Conjuntos de seguridad basados en los hosts:
            Se recomienda instalar un conjunto de productos de seguridad con base en el host en redes domésticas y empresariales. Estos conjuntos de seguridad con base en el host incluyen funcionalidades antivirus, antiphishing y de navegación segura, sistemas de prevención de intrusiones con base en el host y funcionalidades de firewall. Estas diversas medidas de seguridad proporcionan una defensa en capas que brindan protección contra las amenazas más comunes.
            Además de la funcionalidad de protección que brindan los productos de seguridad basados en el host, está la función de telemetría. La mayoría del software de seguridad con base en el host incluye una eficiente funcionalidad de registro que es esencial para las operaciones de ciberseguridad. Algunos programas de seguridad con base en el host envían registros a una ubicación central para su análisis.
            Hay muchos conjuntos de programas de seguridad con base en el host disponibles para los usuarios y las empresas. El laboratorio de pruebas independiente AV-TEST proporciona evaluaciones de alta calidad sobre protecciones con base en el host, así como información acerca de muchos otros productos de seguridad.
            Busque en Internet la organización AVTest para obtener más información sobre AV-TEST.







            9.2.4 Protección contra malware basada en red

                        

            Las nuevas arquitecturas de seguridad para la red sin fronteras enfrentan los retos de seguridad haciendo que los terminales utilicen elementos de análisis de la red. Estos dispositivos proporcionan muchas más capas de análisis que las que podría ofrecer un solo terminal. Los dispositivos de prevención de malware con base en la red también son capaces de compartir información entre ellos para permitir que se tomen mejores decisiones.
            La protección de terminales en una red sin fronteras puede lograrse usando técnicas basadas en la red y basadas en host, como se mostró en la imagen. Los siguientes son ejemplos de dispositivos y técnicas que implementan las protecciones de host en el nivel de la red.
            • Protección avanzada contra malware (AMP, Advanced Malware Protection) - protege a los terminales de virus y malware.
            • Dispositivo de seguridad de correo electrónico (ESA, Email Security Appliance) - filtra el correo electrónico no deseado y los mensajes que podrían ser maliciosos antes de que lleguen al terminal. Un ejemplo de esto es Cisco ESA.
            • Dispositivo de seguridad web (WSA, Web Security Appliance) - filtra sitios web y crea listas negras para evitar que los hosts lleguen a lugares peligrosos en la web. Cisco WSA permite controlar cómo tienen acceso a internet los usuarios y puede imponer políticas de uso aceptable, controlar el acceso a servicios y sitios específicos, y realizar análisis en busca de malware.
            • Control de Admisión de Redes (Network Admission Control NAC) – Permite que se conecten a la red solamente los sistemas que estén autorizados y que cumplan con las normas.
            Estas tecnologías funcionan en colaboración mutua para brindar más protección que la que pueden ofrecer los conjuntos de productos basados en host, como se vió en la figura.

                                                   


          • 9.3. Prevención de intrusiones basada en host

            9.3.1 Firewalls basados ​​en host


            Los firewalls personales con base en hosts son programas de software independientes que controlan el tráfico que entra o sale de una computadora. Las aplicaciones de firewall también están disponibles para teléfonos y tabletas Android.
            Los firewalls con base en el host pueden utilizar un conjunto de políticas o perfiles predefinidos para controlar los paquetes que entran en una computadora y salen de ella. También pueden tener reglas que se pueden modificar o crear directamente para controlar el acceso según direcciones, protocolos y puertos. Las aplicaciones de firewall con base en el host también pueden configurarse para emitir alertas a los usuarios si se detecta comportamiento sospechoso. Luego, pueden ofrecerle al usuario la posibilidad de permitir que una aplicación sospechosa se ejecute o que no lo haga nunca en el futuro.
            Los datos del registro varían según la aplicación de firewall. Por lo general, se incluye la fecha y hora del evento, si la conexión se autorizó o denegó, información sobre las direcciones IP de origen o destino de los paquetes, y los puertos de origen y destino de los segmentos encapsulados. Además, es posible que actividades comunes, como búsquedas de DNS y otros eventos de rutina, aparezcan en los registros del firewall con base en el host, por lo que el filtrado y otras técnicas de análisis son útiles para la inspección de grandes volúmenes de datos de registros.
            Una forma de prevenir las intrusiones es el uso de firewalls distribuidos. Los firewalls distribuidos combinan características de firewalls con base en el host y administración centralizada. La función de administración impone reglas a los hosts y también puede aceptar los archivos de registro de los hosts.
            Ya sea que esté instalado completamente en el host o distribuido, el firewall con base en el host es una capa importante de la seguridad de la red, junto con el firewall con base en la red. Estos son algunos ejemplos de firewalls con base en el host:









            9.3.2 Detección de intrusiones basada en hosts


            La diferencia entre la prevención de intrusiones y la detección de intrusiones con base en el host no está clara. De hecho, algunas fuentes hacen referencia a sistemas de detección y prevención de intrusiones con base en el host (HIPDS, host-based intrusion detection and prevention systems). Debido a que la industria parece favorecer el uso de la sigla HIDS, la utilizaremos en nuestro análisis.
            Un Sistema de detección de intrusiones (Intrusion Detection System, HIDS) está diseñado para proteger a los hosts de malware conocido y desconocido. Un HIDS puede brindar monitoreo e informes detallados de la actividad de configuración y aplicaciones del sistema. Puede proporcionar análisis de logs, correlación de eventos, verificación de integridad, aplicación de políticas, detección de rootkit y alertas. Un HIDS incluirá, con frecuencia, un terminal de servidor de administración, como se ve en la figura.
            Un HIDS es una aplicación de seguridad integral que combina las funcionalidades de las aplicaciones antimalware con la de un firewall. Un HIDS no solo detecta el malware, sino que también puede evitar que se ejecute si llega a un host. Debido a que el software de HIDS debe ejecutarse directamente en el host, se considera un sistema con base en agente.

            Arquitectura para la detección de intrusiones basada en hosts

                                                






            9.3.3 Operación HIDS


            Se puede decir que los sistemas de seguridad con base en el host funcionan como sistemas de detección y prevención, ya que evitan los ataques conocidos y detectan posibles ataques desconocidos. Un HIDS utiliza estrategias proactivas y reactivas. Un HIDS puede prevenir intrusiones porque utiliza firmas para detectar malware conocido y evita que infecte un sistema. Sin embargo, esta estrategia solamente es buena contra las amenazas conocidas. Las firmas son no eficaces contra amenazas nuevas o de día cero. Además, algunas familias de malware se caracterizan por ser polimorfas. Esto significa que los atacantes pueden crear variaciones de un tipo (o familia) de malware para evadir las detecciones con base en firmas, cambiando apenas algunos aspectos de la firma del malware para que no se pueda detectar. Se utiliza un conjunto adicional de estrategias para detectar la posibilidad de intrusiones exitosas de malware que evada la detección de firmas:









            9.3.4 Productos de HIDS


            Existe una serie de productos de HIDS en el mercado actual. La mayoría de ellos utiliza el software en el host y algún tipo de funcionalidad centralizada de administración de la seguridad que permite la integración con servicios de monitoreo de seguridad de la red y de inteligencia de amenazas. Algunos ejemplos son Cisco AMP, AlienVault USM, Tripwire y Open Source HIDS SECurity (OSSEC).
            OSSEC utiliza un servidor de administración centralizada y agentes que se instalan en hosts individuales. Actualmente, los agentes están disponibles para las plataformas Mac, Windows, Linux y Solaris. El servidor o Administrador OSSEC también puede recibir y analizar alertas de una variedad de dispositivos de red y Firewalls a través de syslog. OSSEC monitorea los registros del sistema en los hosts y también lleva a cabo la verificación de la integridad de los archivos. OSSEC puede detectar rootkits y otros tipos de malware, y también se puede configurar para ejecutar scripts o aplicaciones en los hosts como respuesta a los desencadenantes de eventos.
            Busque OSSEC en Internet para obtener más información.

          • 9.4. Seguridad de las aplicaciones

            9.4.1 Superficie de ataque

            Es necesario recordar que una vulnerabilidad es una debilidad en un sistema o en su diseño que una amenaza podría aprovechar. Una superficie de ataque es la suma total de las vulnerabilidades presentes en un sistema determinado a las que puede acceder un atacante. La superficie de ataque puede consistir en puertos abiertos en servidores o hosts, software que se ejecuta en servidores conectados a internet, protocolos de redes inalámbricas e incluso usuarios.
            Como se ve en la figura, la superficie de ataque continúa expandiéndose. Hay más dispositivos que se conectan a las redes mediante Internet de las cosas (IoT) y la política de uso de dispositivos propios (BYOD, Bring Your Own Device). Gran parte del tráfico de red ahora ocurre entre dispositivos y algún lugar en la nube. El uso de dispositivos móviles continúa aumentando. Todas estas tendencias contribuyen a prever que el tráfico IP global se triplicará en los próximos cinco años.
            El SANS Institute describe tres componentes de la superficie de ataque:



            Superficie de ataque en expansión

                               






            9.4.2 Lista de aplicaciones bloqueadas y lista de permitidas


            Una manera de disminuir la superficie de ataque es limitar el acceso a posibles amenazas mediante la creación de listas de aplicaciones prohibidas. Esto se conoce como listas de bloqueo.
            Las listas negras de aplicaciones pueden determinar qué aplicaciones de usuario no tienen permitido ejecutarse en una computadora. Del mismo modo, las listas blancas pueden especificar los programas que sí se pueden ejecutar, como se ve en la figura. De esta manera, se puede evitar que las aplicaciones vulnerables conocidas creen vulnerabilidades en los hosts de la red.
            Las listas blancas se crean según un estándar de referencia establecido por una organización. Este estándar de referencia define un nivel de riesgo aceptado y los componentes del entorno que contribuyen a ese nivel de riesgo. El software que no se encuentre en la lista blanca puede aumentar el riesgo al violar el estándar de referencia de seguridad establecido.

            Lista de aplicaciones bloqueadas y lista de permitidas

                                  

            La figura muestra las configuraciones de listas negras y listas blancas de Windows Local Group Policy Editor.
            Los sitios web también pueden incluirse en listas blancas y negras. Estas listas se pueden crear manualmente o pueden obtenerse de diferentes servicios de seguridad. Los servicios de seguridad pueden actualizar las listas negras constantemente y distribuirlas a firewalls y otros sistemas de seguridad que las usen. El sistema de administración de seguridad Cisco Firepower es un ejemplo de un sistema que puede tener acceso al servicio de inteligencia de seguridad de Cisco Talos para obtener listas negras. Luego, estas listas pueden distribuirse a los dispositivos de seguridad dentro de una red empresarial.
            Busque en Internet The Spamhaus Project, que es un ejemplo de un servicio gratuito de lista negra.

                   






            9.4.3 Sandboxing basado en sistema


            Sandboxing es una técnica que permite analizar y ejecutar en un entorno seguro los archivos sospechosos. Los sandbox de análisis de malware automatizado ofrecen herramientas que analizan el comportamiento del malware. Estas herramientas observan los efectos de ejecutar malware desconocido para poder determinar el comportamiento del malware y usar la información para crear defensas contra él.
            Como se mencionó anteriormente, el malware polimorfo cambia con frecuencia y aparece nuevo malware regularmente. Un perímetro extremadamente sólido y la implementación de sistemas de seguridad con base en el host no evitan totalmente el ingreso de malware. Los HIDS y otros sistemas de detección pueden crear alertas sobre malware sospechoso que podría haber ingresado en la red y haberse ejecutado en un host. Algunos sistemas, como Cisco AMP, pueden seguir la trayectoria de un archivo a través de la red y pueden “retroceder” los eventos de la red para obtener una copia del archivo descargado. Luego, es posible ejecutar este archivo en un sandbox (como Cisco Threat Grid Glovebox) y que el sistema documente las actividades del archivo. Después, esta información puede utilizarse para crear firmas que impidan que el archivo vuelva a ingresar en la red. La información también puede utilizarse para crear reglas de detección y reproducciones automatizadas que identifiquen otros sistemas infectados.
            Cuckoo Sandbox es un sistema sandbox gratuito para el análisis de malware. Se puede ejecutar localmente y usarlo para analizar muestras de malware. También existe una serie de sandbox públicos en línea. Estos servicios permiten la carga de muestras de malware para su análisis. Algunos de estos servicios son VirusTotal, Joe Sandbox y CrowdStrike Falcon Sandbox.
            Una herramienta online interesante es ANY.RUN, la cual se muestra en la figura. Ofrece la posibilidad de cargar una muestra de malware para su análisis como cualquier sandbox online. Sin embargo, ofrece una funcionalidad de generación de informes interactivos muy enriquecedora que está llena de detalles sobre la muestra de malware. ANY.RUN ejecuta el malware y analiza una serie de capturas de pantalla del malware si tiene elementos interactivos que se muestran en la pantalla del equipo sandbox. Puede ver muestras públicas enviadas por los usuarios de ANY.RUN para investigar información sobre malware recién descubierto o malware que está circulando en Internet. Los informes incluyen la actividad de red e Internet del malware, incluidas las solicitudes HTTP y las consultas DNS. Los archivos que se ejecutan como parte del proceso de malware se muestran y califican como amenaza. Los detalles están disponibles para los archivos, incluidos varios valores hash, vistas hexadecimales y ASCII del contenido del archivo, y los cambios del sistema realizados por los archivos. Además, también se muestran la identificación de indicadores de peligro, como los hashes de archivos de malware, las solicitudes DNS y las conexiones IP que realiza el malware. Finalmente, las tácticas tomadas por el malware se asignan a la MITRE ATT&CK Matrix con cada táctica vinculada a los detalles en el sitio web de MITRE.

                  


            9.4.4 Video - Usando una Sandbox para ejecutar malware



          • 9.5. Resumen de protección de sistemas y terminales

            9.5.1 ¿Qué aprendí en este módulo?



      • Módulo 10: Principios, prácticas y procesos de ciberseguridad

        10.0.1 ¿Por qué debería tomar este módulo?

        Si bien es cierto que los ataques cibernéticos ocurren cada vez con más frecuencia en todo el mundo, también es cierto que los profesionales de ciberseguridad tienen una creciente lista de herramientas y técnicas para combatir estos ataques. Aprenderá sobre la tríada de la CIA de confidencialidad, integridad y disponibilidad de datos, y los tres estados de datos. Obtendrá una descripción general de las herramientas y los procesos que se utilizan para proteger los datos. También aprenderá sobre aspectos de políticas y pautas de seguridad. Este módulo le brinda una base excelente de conocimientos de ciberseguridad sobre la que puede construir a medida que continúa sus estudios.






        10.0.2 ¿Qué aprenderé en este módulo?


        Este módulo contiene lo siguiente:
        • 3 Vídeos
        • 2 laboratorios
        • 2 actividades de Packet Tracer
        • 1 Prueba del Módulo
        Título del módulo: Principios, prácticas y procesos de ciberseguridad
        Objetivo del módulo: utilizar las mejores prácticas de ciberseguridad para mejorar la confidencialidad, la integridad y la disponibilidad.

        Título del tema Objetivo del tema
        Tres dimensiones Use hashes para verificar la integridad de los archivos..
        Estados de datos Contraste los tres estados de los datos.
        Contramedidas de ciberseguridad Compare los tipos de contramedidas de ciberseguridad.

        • 10.1. Las tres dimensiones

          10.1.1 Avatar

          Bienvenido, aprendiz. Después de analizar las amenazas y los dominios de amenazas que pueden atacar, espero poder mostrarles todo lo que sé sobre los principios, las prácticas y los procesos relacionados con la ciberseguridad. Es fantástico ver el desarrollo de su carrera en ciberseguridad.
          Recuerde, al final de este módulo, puede pasar al siguiente nivel de capacitación, así que asegurémonos de detener a estos ciberdelincuentes y ayudar a mantener la información confidencial, los servidores y los sistemas seguros en @Apollo.

          Desplácese hacia abajo para comenzar.
          Gurú mentor sentado con las piernas cruzadas

          10.1.2 El cubo de la ciberseguridad

          ¿Ha oído hablar del cubo de la ciberseguridad? Proporciona una manera útil de pensar en la protección de datos. El cubo nos recuerda lo que implica la tarea de proteger los datos, incluidas las tres dimensiones de la seguridad de la información.
          Desplácese hacia abajo para explorar cada una.
          1. Principios de seguridad

          La primera dimensión del cubo de ciberseguridad identifica los objetivos para proteger el ciberespacio. Los principios básicos de confidencialidad, integridad y disponibilidad de datos proporcionan un enfoque que permite al experto en ciberseguridad priorizar las acciones al proteger cualquier sistema en red.

          Confidencialidad de datos previene la divulgación de información a personas, recursos o procesos no autorizados.

          Integridad de datos hace referencia a la precisión, la uniformidad y la confiabilidad de los datos.

          Disponibilidad de datos garantiza que los usuarios pueden tener acceso a la información cuando sea necesario.

          Utilice el acrónimo CID para recordar estos tres principios.

          Un cubo 3D dividido en tres secciones denominadas Procesamiento, Almacenamiento y Transmisión

          2. Estados de datos

          El dominio del ciberespacio contiene una cantidad considerable de datos de importancia crítica. La segunda dimensión del cubo de ciberseguridad representa los tres estados de datos posibles:

          • Datos en tránsito
          • Datos almacenados
          • Datos en proceso

          La ciberseguridad eficaz requiere la protección de datos en los tres estados.

          Un cubo 3D dividido en tres secciones iguales denominadas personas, tecnología, políticas y prácticas.

          3. Medidas de seguridad

          La tercera dimensión del cubo de ciberseguridad define los pilares en los que debemos basar nuestras defensas de ciberseguridad para proteger los datos y la infraestructura en el ámbito digital.

          Estas son tecnología, políticas y prácticas, y mejoran la educación, la capacitación y la concientización de las personas.

          Los profesionales de ciberseguridad deben utilizar una variedad de habilidades y disciplinas diferentes al proteger los datos y la infraestructura en el ciberespacio.

          Un cubo 3D dividido en tres secciones iguales denominadas personas, tecnología, políticas y prácticas.





          10.1.3 Tríada de la CIA: El principio de confidencialidad


          Tokenización

          Para lograr la confidencialidad sin usar cifrado, la tokenización es una técnica de sustitución que puede aislar los elementos de datos de la exposición a otros sistemas de datos. Un valor aleatorio sin relación matemática reemplaza los datos originales. Fuera del sistema, un token no tiene valor y no tiene sentido. La tokenización puede conservar el formato de datos (su tipo y longitud de datos), lo que lo hace útil para bases de datos y procesamiento de pagos con tarjeta.

          Una ficha de oro brillante con un icono de candado al lado

          Administración de Derechos

          La administración de derechos abarca tanto la administración de derechos digitales (DRM) como la administración de derechos de información (IRM). Protege los datos del dispositivo del acceso no autorizado mediante el cifrado del disco.

          DRM protege el material con derechos de autor, como música, películas o libros. Cuando dicho contenido aparece en forma digital (por ejemplo, en CD, mp3 o libro electrónico), se cifra, por lo que los medios no se pueden copiar sin la clave de descifrado.
          IRM se utiliza con correo electrónico y otros archivos relevantes para las actividades y las comunicaciones de una organización. IRM permite controlar y administrar el acceso a los documentos compartidos.

          Una computadora portátil que muestra un libro en pantalla, con discos CD-ROM y DVD cercanos







          10.1.4 Avatar


          Algunas organizaciones implementan tecnologías de mejora de la privacidad, como el anonimato, la minimización de datos y la tokenización para ayudar a resolver los problemas de privacidad de datos.
          El anonimato de datos funciona ocultando los datos de identificación privada almacenados en un formato claro y convirtiendo esos datos en información anónima irreversible. Esto podría ser algo que @Apollo podría pensar en implementar a medida que su negocio crezca.
          Sigamos explorando los principios de seguridad de los datos. ¡Lo está haciendo muy bien!

          Gurú mentor sentado con las piernas cruzadas






          10.1.5 Integridad de Datos


          La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo de vida.
          Los datos experimentan varias operaciones como captura, almacenamiento, recuperación, actualización y transferencia. Las entidades no autorizadas deben mantener inalteradas los datos durante todas estas operaciones.
          Los métodos utilizados para garantizar la integridad de los datos incluyen la función de hash, las comprobaciones de validación de datos, las comprobaciones de consistencia de los datos y los controles de acceso. Los sistemas de integridad de datos pueden incluir uno o más de estos métodos.
          La integridad de datos es un componente fundamental de la seguridad informática. Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones. La pérdida de la integridad de los datos puede lograr que todos los recursos de datos sean dudosos o inutilizables.
          Sin embargo, la importancia de la integridad de los datos varía según la forma en que una organización utiliza sus datos. Por ejemplo, un banco o una organización financiera asigna una mayor importancia a la integridad de los datos que un canal de redes sociales.









          10.1.6 Disponibilidad

          La disponibilidad se refiere a la necesidad de mantener la disponibilidad de la información siempre que sea necesario. Los ataques cibernéticos y las fallas en el sistema pueden impedir el acceso a los sistemas y servicios de información.
          ¿Puede identificar las causas comunes de fallas del sistema que pueden afectar la disponibilidad de datos?








          10.1.7 Avatar

          Hay muchos motivos por los que los ciberdelincuentes desean interrumpir la disponibilidad de un servicio o sistema, o incluso archivos y datos. Eliminar un sitio web de un competidor, por ejemplo, puede proporcionar una ventaja a su competencia. Estos ataques de denegación de servicio (DoS) amenazan la disponibilidad del sistema y evitan que los usuarios legítimos tengan acceso y usen sistemas de información cuando sea necesario.
          Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del sistema, las copias de seguridad del sistema, mayor recuperabilidad del sistema, mantenimiento del equipo, sistemas operativos y software actualizados y planes para recuperarse rápidamente de desastres no planificados.

          Gurú mentor sentado con las piernas cruzadas






          10.1.8 Garantía de disponibilidad


          Hay muchas medidas que las organizaciones pueden implementar para garantizar la disponibilidad de sus servicios y sistemas.
          Analicemos algunos ejemplos. A medida que los lea, piense cuáles podrían ser adecuados para @Apollo.








          10.1.9 Lab Vídeo - El Cubo de Hechicería de Ciberseguridad Scatter Quizlet


          En este laboratorio, identificará las tres dimensiones del Cubo de hechicería de ciberseguridad y los elementos de cada dimensión.







          10.1.10 PT Video - Verificación de la Integridad de Datos y Archivos

          En este Packet Tracer aprenderá cómo:
          • Recuperar archivos después de un ataque cibernético.
          • Utilizar el hash para verificar la integridad del archivo.
          • UtilizarHMAC para verificar la integridad del archivo.








          10.1.11 Vídeo de PT - Explore el cifrado de archivos y datos


          En este Packet Tracer aprenderá cómo:
          • Descubrir las credenciales de cuentas cifradas con la herramienta OpenSSL.
          • Cargar y descargar datos confidenciales.
          • Descifrar el contenido de un archivo confidencial.



        • 10.2. Estados de los datos

          10.2.1 Avatar


          Como se describe en el cubo de ciberseguridad, la seguridad de la información requiere que los datos estén protegidos en los tres estados: en reposo, en tránsito y en proceso.
          Las organizaciones como @Apollo manejan muchos datos. Comencemos este tema explorando los diferentes estados en los que pueden estar estos datos.
          Desplácese hacia abajo para comenzar.

          Gurú mentor sentado con las piernas cruzadas




          10.2.2 Datos en reposo


          'Datos en reposo' se refiere a los datos almacenados. En pocas palabras, es el estado en el que se encuentran los datos cuando ningún usuario o proceso accede a ellos, los solicita o los modifica. Los datos en reposo pueden almacenarse en dispositivos locales, como un disco duro en la computadora de un usuario, o centralizarse en una red, como el servidor de una organización.
          Los datos que no están en tránsito o en proceso se consideran datos en reposo. Si tiene datos que necesita almacenar y desea acceder más tarde, existen varias opciones de almacenamiento.









          10.2.3 Desafíos de proteger los datos almacenados


          Para mejorar el almacenamiento de datos, las empresas pueden automatizar y centralizar las copias de respaldo de datos.


          El almacenamiento de conexión directa puede ser uno de los tipos más difíciles de almacenamiento de datos en administrar y controlar. El almacenamiento de conexión directa es vulnerable a los ataques maliciosos en el host local.


          Los datos en reposo también incluyen datos de respaldo (cuando no se están escribiendo o en tránsito). Las copias de respaldo pueden ser manuales o automáticas. Las organizaciones deben limitar los tipos de datos almacenados en el almacenamiento de conexión directa.


          Los sistemas de almacenamiento en red ofrecen una alternativa más segura. Los sistemas de almacenamiento en red incluidos RAID, SAN y NAS proporcionan mayor rendimiento y redundancia. Sin embargo, los sistemas de almacenamiento en red son más complicados para configurar y administrar. También manejan más datos, lo que presenta un mayor riesgo para la organización si falla el dispositivo. Los desafíos únicos de los sistemas de almacenamiento en red incluyen configurar, probar y monitorear el sistema.







          10.2.4 Avatar


          @Apollo ha decidido no almacenar sus datos mediante métodos de conexión directa. En cambio, la organización optó por sistemas de almacenamiento de red. Emplean a un técnico de TI para administrar esto, ya que para muchas organizaciones la protección de sus datos almacenados es un desafío cada vez mayor, con ataques de ciberseguridad cada vez más sofisticados y frecuentes.

          Usted y yo hemos hecho un gran trabajo hasta ahora, y también hemos informado a @Apollo de los riesgos. Ciertamente, se están tomando en serio la seguridad de sus datos. Sin embargo, aún hay mucho por aprender…

          Gurú mentor sentado con las piernas cruzadas



          10.2.5 Métodos de transmisión de datos


          Los datos en tránsito son el segundo estado que analizaremos, y se refieren simplemente a los datos que se transmiten: no están en reposo ni en uso.
          La transmisión de datos implica el envío de la información de un dispositivo a otro. Existen numerosas maneras de transmitir datos entre dispositivos.


          Red de transferencia:
          Una red de zapatillas utiliza medios extraíbles para mover físicamente los datos de una computadora a otra. Las organizaciones nunca podrán eliminar el uso de una red de transferencia.


          Redes cableadas:
          Las redes cableadas incluyen medios de cobre y fibra óptica y pueden dar servicio a una red de área local (LAN) o abarcar grandes distancias en redes de área amplia (WAN).


          Redes inalámbricas:
          Las redes inalámbricas utilizan cables para transmitir datos. Las redes inalámbricas están reemplazando a las redes cableadas a medida que se vuelven más rápidas y capaces de manejar más tráfico. Las redes inalámbricas extienden la cantidad de usuarios invitados con los dispositivos móviles en la oficina pequeña y oficina doméstica (SOHO) y las redes empresariales. Esto también aumenta la superficie de ataque de la red.



          Las redes cableadas e inalámbricas utilizan paquetes o unidades de datos. El término paquete se refiere a una unidad de datos que se desplaza entre un origen y un destino de la red. Los protocolos estándar como el protocolo de Internet (IP) y el Hypertext Transfer Protocol (HTTP) definen la estructura y formación de paquetes de datos. Estos estándares son de código abierto y están disponibles al público. La protección de la confidencialidad, integridad y disponibilidad de los datos transmitidos es una de las responsabilidades más importantes de un profesional de ciberseguridad.

          Logotipo de conexión de Internet inalámbrica







          10.2.6 Desafíos de los datos en tránsito

          La protección de los datos transmitidos es uno de los trabajos más desafiantes para un profesional de ciberseguridad. Con el crecimiento de los dispositivos móviles e inalámbricos, y las crecientes cantidades de datos recopilados y almacenados por las organizaciones, los profesionales de ciberseguridad son responsables de proteger cantidades masivas de datos que cruzan su red diariamente.







          10.2.7 Data en Proceso


          Los datos en proceso se refieren a los datos durante la entrada inicial, la modificación, el cálculo o la salida Es el estado en el que se encuentran los datos cuando no están en tránsito ni en reposo; en términos simples, son los datos que se están procesando.


          Entrada
          La protección de la integridad de los datos comienza con la entrada inicial de datos. Las organizaciones utilizan varios métodos para recopilar datos, como ingreso manual de datos, formularios de análisis, cargas de archivos y datos recopilados de los sensores.
          Un ejemplo de daños a los datos durante el proceso de captación, incluye errores en la entrada de datos o sensores del sistema desconectados, con funcionamiento incorrecto o inoperables.


          Modificación
          La modificación de datos es cualquier cambio realizado en los datos originales, como la modificación manual de datos por parte de los usuarios y el procesamiento y cambio de datos por parte de los programas. Estos cambios son intencionales. Los procesos como la codificación y decodificación, compresión y descompresión y cifrado y descifrado son ejemplos de la modificación de los datos.
          Pero los cambios en los datos pueden ser involuntarios o maliciosos. Cuando los datos se modifican de una manera que impide que sean legibles o utilizables, esto a menudo se denomina corrupción de datos. Por ejemplo, la falla de los equipos puede ocasionar daños en los datos. El código malicioso también provoca daños en los datos.


          Resultado
          La salida de datos se refiere a los datos que salen de impresoras, pantallas electrónicas o directamente a otros dispositivos.
          La precisión de los datos de salida es fundamental ya que el resultado proporciona información y afecta la toma de decisiones. Los ejemplos de daños a los datos incluyen el uso incorrecto de delimitadores de datos, configuraciones incorrectas de comunicación e impresoras configuradas incorrectamente.







          10.2.8 Avatar

          Como puede ver en estos ejemplos, la protección de datos en proceso requiere sistemas bien diseñados. De lo contrario, los resultados para las organizaciones pueden ser graves y costosos para sus finanzas o incluso para su reputación.

          Es función de los profesionales de la ciberseguridad diseñar políticas y procedimientos integrales con respecto a las pruebas, el mantenimiento y las actualizaciones para mantener los sistemas operativos con la menor cantidad de errores.

          Gurú mentor sentado con las piernas cruzadas
        • 10.3. Contramedidas de ciberseguridad

          10.3.1 Avatar


          @Apollo puede tener algunos clientes muy descontentos cuando se enteran de la infracción a la seguridad. ¡Ahora es un buen momento para explorar más contramedidas que pueden ayudar a evitar que más código malicioso cause problemas!
          Desplácese hacia abajo para comenzar.

          Gurú mentor sentado con las piernas cruzadas









          10.3.2 Tecnologías basadas en hardware y software


          En el mundo de la ciberseguridad, tanto el software como el hardware se utilizan para proteger los datos y los sistemas de las organizaciones.
          Las medidas de protección de software incluyen programas y servicios que protegen los sistemas operativos, las bases de datos y otros servicios que operan en las estaciones de trabajo, los dispositivos portátiles y los servidores.
          Seleccione los encabezados para obtener más información.



          Existen varias tecnologías basadas en hardware utilizadas para proteger los activos de la organización: Entre ellos se incluyen:







          10.3.3 Estableciendo una cultura de conocimiento de la ciberseguridad


          Invertir mucho dinero en tecnología no variará si las personas dentro de la organización son el eslabón más débil en el área de ciberseguridad.
          Un programa de reconocimiento de seguridad y políticas de seguridad sólidas e integrales son extremadamente importantes para cualquier organización. Un empleado puede no ser malicioso de manera intencionada, pero no conocer cuáles son los procedimientos adecuados. Hay varias maneras de implementar la capacitación para evitar esto y garantizar que todos los empleados se sientan bien informados y seguros para que las mejores prácticas de ciberseguridad formen parte de sus actividades cotidianas.



          Formación y capacitación:

          • Haga de la capacitación en el conocimiento de la seguridad una parte del proceso de incorporación de los empleados
          • Vincule la conciencia de seguridad con los requisitos del trabajo o las evaluaciones de desempeño.
          • Realice sesiones de capacitación en persona mediante gamificación y actividades (por ejemplo, capture los escenarios de la bandera).
          • Complete los módulos y cursos en línea, como los que eLearning @Apollo crea.


          Programas de concientización de seguridad

          Un programa de reconocimiento de seguridad depende de:

          • El entorno de la organización
          • El nivel de amenaza
          • La naturaleza y las exigencias de los datos que posee la organización.
          • Las personas son la primera línea de defensa en ciberseguridad, y cada organización es tan fuerte como su eslabón más débil. Cada miembro de una organización debe conocer sus políticas de seguridad e implementarlas en sus actividades cotidianas.






          10.3.4 Avatar




          Es importante tener en cuenta que una vez no es suficiente: la conciencia de seguridad debe ser un proceso continuo, ya que siempre hay nuevas amenazas y técnicas en el horizonte. Desarrollar una cultura de ciberseguridad eficaz requiere un esfuerzo continuo y liderazgo de la gerencia, así como el compromiso de todos los miembros del equipo.

          Gurú mentor sentado con las piernas cruzadas





          10.3.5 Políticas


          Una política de seguridad establece los objetivos de seguridad, las reglas de comportamiento y los requisitos del sistema que se deben cumplir.
          Una política de seguridad completa logra varias tareas:
          • Demuestra el compromiso de una organización con la seguridad.
          • Establece las reglas para el comportamiento esperado.
          • Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware, y el mantenimiento.
          • Define las consecuencias legales de violaciones.
          • Brinda al personal de seguridad el respaldo de la administración.
          Las políticas de seguridad informan a los usuarios, al personal y a los gerentes los requisitos de una organización para proteger la tecnología y los activos de información. Una política de seguridad también especifica los mecanismos necesarios para cumplir con los requisitos de seguridad.


          • Políticas de identificación y autenticación:
          Especifican cuáles son las personas autorizadas que pueden acceder a los recursos de red y describen los procedimientos de verificación.
          • Políticas de contraseña:
          Garantizan que las contraseñas cumplan con requisitos mínimos y se cambien periódicamente.
          • Política de uso aceptable
          Identifica las aplicaciones de red y los usos que son aceptables por la organización. También puede identificar las consecuencias de las violaciones de la política.


          • Políticas de acceso remoto
          Identifican cómo los usuarios remotos pueden obtener acceso a la red y qué elementos son accesibles a través de la conectividad remota.


          • Políticas de mantenimiento de la red
          Especifican los sistemas operativos de los dispositivos de la red y los procedimientos de actualización de las aplicaciones de los usuarios finales.


          • Políticas de manejo de incidentes
          Describen cómo se tratan los incidentes de seguridad.


          Uno de los componentes más comunes de la política de seguridad es una política de uso aceptable (AUP). Este componente define qué pueden y no pueden realizar los usuarios en los distintos componentes del sistema. El AUP debe ser lo más explícito posible para evitar la malinterpretación. Por ejemplo, un AUP enumera las páginas web, los grupos informativos o las aplicaciones de uso intensivo de ancho de banda específicos a las que los usuarios no pueden acceder utilizando las computadoras o la red de la empresa.






          10.3.6 Normas


          Los estándares ayudan al personal de TI a mantener la uniformidad en el funcionamiento de la red.








          10.3.7 Aplique sus conocimientos


          @Apollo desea algunas ideas sobre cómo integrar mejor una cultura de ciberseguridad dentro de su organización en crecimiento. Recuerde que la empresa ahora tiene varias oficinas y trabajadores a domicilio. ¿Qué recomendaría?
          Escriba sus ideas en el cuadro de abajo y luego envíe. Selecciona Mostrar respuesta para comprobar tu respuesta.









          10.3.8 Directrices

          Las pautas constan de una lista de sugerencias sobre cómo hacer las cosas de manera más eficaz y segura. Son similares a los estándares, pero son más flexibles y generalmente no son obligatorias.
          Las pautas definen cómo se desarrollan los estándares y garantizan el cumplimiento de las políticas de seguridad general. Algunas de las pautas más útiles conforman las mejores prácticas de una organización.
          Además de las mejores prácticas que define una organización, las pautas también están disponibles a partir de lo siguiente:
          • Instituto Nacional de Normas y Tecnología (NIST), Centro de recursos de seguridad informática.
          • Departamento de Seguridad Nacional (NSA), Guías para la configuraciones de seguridad.
          • El estándar de criterios comunes
          Usando el ejemplo de la política de contraseñas, una guía puede ser una sugerencia de que el usuario tome una frase que sea memorable para ellos, como "Tengo un sueño", y la convierta en una contraseña segura reemplazando letras con caracteres, p. Ihv@dr3@m. El usuario puede crear otras contraseñas a partir de esta frase al cambiar el número, mover el símbolo o cambiar el signo de puntuación.


        • 10.4. Resumen de principios, prácticas y procesos de ciberseguridad

          10.4.1 ¿Qué he aprendido en este módulo?


          Las redes cableadas utilizan cables para transmitir datos. Las redes cableadas incluyen medios de cobre y fibra óptica y pueden dar servicio a una red de área local (LAN) o abarcar grandes distancias en redes de área amplia (WAN).



      • Examen de punto de control: Sistemas Operativos y Seguridad de punto final

      • Examenes finales de Seguridad de Terminales (ESec)