Unidad SI
-
Upload
martin-villa -
Category
Documents
-
view
219 -
download
0
Transcript of Unidad SI
-
8/13/2019 Unidad SI
1/8
Vigilancia
La vigilancia es un proceso de monitoreo, ya sea de seres humanos,animales, objetos o procesos. La intencin es que lo vigilado acte o se
mantenga dentro de los parmetros esperados. En algunas cuestiones, la
vigilancia desarrollada con el objetivo de garantizar laseguridadentraen conflicto con la privacidad de las personas. Ese es el caso de las
cmaras instaladas en lugares pblicos.
Anatoma de un ataque, identificacin de objetivos,
reconocimiento inicial
Conocer las diferentes etapas que conforman un ataque informtico
brinda la ventaja de aprender a pensar como los atacantes y a jams
subestimar su mentalidad. Desde la perspectiva del profesional de
seguridad, se debe aprovechar esas habilidades para comprender y
analizar la forma en que los atacantes llevan a cabo un ataque.
Fase 1: Reconnaissance(Reconocimiento). Esta etapa involucra la
obtencin de informacin (Information Gathering) con respecto a
una potencial vctima que puede ser una persona u organizacin.
Por lo general, durante esta fase se recurre a diferentes recursos de
Internet como Google, entre tantos otros, para recolectar datos delobjetivo. Algunas de las tcnicas utilizadas en este primer paso son
la Ingeniera Social, el Dumpster Diving, el sniffing.
Fase 2: Scanning(Exploracin). En esta segunda etapa se utiliza la
informacin obtenida en la fase 1 para sondear el blanco y tratar de
obtener informacin sobre el sistema vctima como direcciones IP,
nombres de host, datos de autenticacin, entre otros. Entre las
herramientas que un atacante puede emplear durante la xploracin
se encuentra el network mappers, port mappers, network scanners,
port scanners, y vulnerability scanners.
Fase 3: Gaining Access(Obtener acceso). En esta instancia comienza a
materializarse el ataque a travs de la explotacin de las
http://definicion.de/seguridadhttp://definicion.de/seguridadhttp://definicion.de/seguridadhttp://definicion.de/seguridad -
8/13/2019 Unidad SI
2/8
vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos
durante las fases de reconocimiento y exploracin.
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el
atacante ha conseguido acceder al sistema, buscar implantar
herramientas que le permitan volver a acceder en el futuro desde
cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a
utilidades backdoors, rootkits y troyanos.
Fase 5: Covering Tracks(Borrar huellas). Una vez que el atacante logr
obtener y mantener el acceso al sistema, intentar borrar todas las
huellas que fue dejando durante la intrusin para evitar ser detectado
por el profesional de seguridad o los administradores de la red. Enconsecuencia, buscar eliminar los archivos de registro (log) o alarmas
del Sistema de Deteccin de Intrusos (IDS).
Tcnicas de recopilacin de informacin y anlisis forense.
El anlisis forense en un sistema informtico es una ciencia modernaque permite reconstruir lo que ha sucedido en un sistema tras un
incidente de seguridad. Este anlisis puede determinar quin, desde
dnde, cmo, cundo y qu acciones ha llevado a cabo un intruso en lossistemas afectados por un incidente de seguridad.
Estudio preliminar. En esta fase se realiza un estudio inicial medianteentrevistas y documentacin entregada por el cliente con el objetivo de
tener una idea inicial del problema que nos vamos a encontrar.
Adquisicin de datos. Se realiza una obtencin de los datos einformaciones esenciales para la investigacin. Se duplican o clonan los
dispositivos implicados para un posterior anlisis. En esta fase habr que
tener mucho cuidado en la adquisicin de los datos puesto que cabe laposibilidad de incumplir los derechos fundamentales del atacante.
Anlisis e investigacin. Se realiza un estudio con los datos adquiridos
en la fase anterior. En esta fase tambin habr que tener mucho cuidado
puesto que cabe la posibilidad de incumplir los derechos fundamentales
del atacante.
-
8/13/2019 Unidad SI
3/8
Realizacin del informe. En esta fase se elabora el informe que ser
remitido a la direccin de la organizacin o empresa. Posteriormente, se
podr usar para acompaar la denuncia que realicemos a la autoridad
competente.
Identificacin y ataques a puertos TCP/UDP.
El protocolo UDP: es un protocolo no orientado a conexin. Es decir
cuando una maquina A enva paquetes a una maquina B, el flujo es
unidireccional. La transferencia de datos es realizada sin haber realizado
previamente una conexin con la mquina de destino (maquina B), y el
destinatario recibir los datos sin enviar una confirmacin al emisor (la
maquina A). Esto es debido a que la encapsulacin de datos enviada por
el protocolo UDP no permite transmitir la informacin relacionada alemisor. Por ello el destinatario no conocer al emisor de los datos
excepto su IP.
El protocolo TCP Contrariamente a UDP, el protocolo TCP est
orientado a conexin. Cuando una mquina A enva datos a una mquina
B, la mquina B es informada de la llegada de datos, y confirma su buena
recepcin. Aqu interviene el control CRC de datos que se basa en una
ecuacin matemtica que permite verificar la integridad de los datos
transmitidos. De este modo, si los datos recibidos son corruptos, elprotocolo TCP permite que los destinatarios soliciten al emisor que
vuelvan a enviar los datos corruptos.
Identificacin y ataques a servicios
Un ataque de denegacin de servicios, tambin llamado taque DoS(de
las siglas eningls Denial ofService), es un ataque a un sistema de
computadoras ored que causa que un servicio o recurso sea inaccesible
a los usuarios legtimos. Normalmente provoca la prdida de la
conectividad de la red por el consumo delancho de banda de la red de la
vctima o sobrecarga de los recursos computacionales del sistema de la
vctima. Un ejemplo notable de este tipo de ataque se produjo el 27 de
marzo de2013, cuando un ataque de una empresa a otra inund
lared despam provocando una ralentizacin generalizada deInternet e
incluso lleg a afectar a puntos clave como elnodo central deLondres-
https://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttps://es.wikipedia.org/wiki/Computadorahttps://es.wikipedia.org/wiki/Red_de_computadorashttps://es.wikipedia.org/wiki/Ancho_de_bandahttps://es.wikipedia.org/wiki/27_de_marzohttps://es.wikipedia.org/wiki/27_de_marzohttps://es.wikipedia.org/wiki/2013https://es.wikipedia.org/wiki/Red_de_computadorashttps://es.wikipedia.org/wiki/Spamhttps://es.wikipedia.org/wiki/Internethttps://es.wikipedia.org/wiki/Punto_neutrohttps://es.wikipedia.org/wiki/Londreshttps://es.wikipedia.org/wiki/Londreshttps://es.wikipedia.org/wiki/Punto_neutrohttps://es.wikipedia.org/wiki/Internethttps://es.wikipedia.org/wiki/Spamhttps://es.wikipedia.org/wiki/Red_de_computadorashttps://es.wikipedia.org/wiki/2013https://es.wikipedia.org/wiki/27_de_marzohttps://es.wikipedia.org/wiki/27_de_marzohttps://es.wikipedia.org/wiki/Ancho_de_bandahttps://es.wikipedia.org/wiki/Red_de_computadorashttps://es.wikipedia.org/wiki/Computadorahttps://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s -
8/13/2019 Unidad SI
4/8
Se genera mediante la saturacin de los puertos con flujo de informacin,
haciendo que elservidor se sobrecargue y no pueda seguir prestando
servicios; por eso se le denomina "denegacin", pues hace que el servidor
no d abasto a la cantidad de solicitudes. Esta tcnica es usada por los
llamadoscrackers para dejar fuera de servicio a servidores objetivo.
Identificacin de vulnerabilidades
El nivel de riesgo se determina analizando la relacin entre las
amenazas y las vulnerabilidades. Un riesgo existe cuando una amenaza
tiene una vulnerabilidad correspondiente, aunque hay reas de altavulnerabilidad que no tienen consecuencias si no presentan amenazas.
Se denomina Identificacinal momento en que el usuario se da aconocer en el sistema; yAutenticacina la verificacin que realiza elsistema sobre esta identificacin.
Al igual que se consider para la seguridad fsica, y basada en ella,
existen cuatro tipos de tcnicas que permiten realizar la autenticacin
de la identidad del usuario, las cuales pueden ser utilizadas
individualmente o combinadas:
1. Algo que solamente el individuo conoce: por ejemplo una clavesecreta de acceso o password, una clave criptogrfica, un nmero deidentificacin personal o PIN, etc.
2. Algo que la persona posee:por ejemplo una tarjeta magntica.3. Algo que el individuo es y que lo identifica unvocamente: por
ejemplo las huellas digitales o la voz.
4. Algo que el individuo es capaz de hacer:por ejemplo los patrones deescritura.
6.4.1. Tcnicas manuales
6.4.2. Tcnicas automticas
6.5. Actividades de infiltracin
6.5.1. Sistema operativo
https://es.wikipedia.org/wiki/Servidorhttps://es.wikipedia.org/wiki/Crackerhttps://es.wikipedia.org/wiki/Crackerhttps://es.wikipedia.org/wiki/Servidor -
8/13/2019 Unidad SI
5/8
6.5.2. Aplicaciones
6.5.3. Bases de datos
6.6. Consolidacin
6.6.1. Consolidacin
Creacin de una DMZ
Una DMZ (del ingls Demilitarized zone) o Zona Desmilitarizada es una
red local que se ubica entre la red interna de una organizacin y una red
externa, generalmente Internet.
El objetivo de una DMZ es que las conexiones desde la red interna y la
externa a la DMZ estn permitidas, mientras que las conexiones desde la
DMZ slo se permitan a la red externa, es decir: los equipos locales
(hosts) en la DMZ no pueden conectar con la red interna. Esto permite
que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a
la vez que protegen la red interna en el caso de que intrusos
comprometan la seguridad de los equipos (host) situados en la zona
desmilitarizada. Para cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se convierte en un
laberinto sin salida.
Antivirus
Los antivirusson programas cuyo objetivo es detectar y/oeliminarvirus informticos.Nacieron durante la dcada de1980.Con el
transcurso del tiempo, la aparicin desistemas operativos ms
avanzados eInternet, ha hecho que los antivirus hayan evolucionado
haciaprogramas ms avanzados que no slo buscan detectarvirus
informticos, sino bloquearlos, desinfectar archivos y prevenir una
infeccin de los mismos, y actualmente ya son capaces de reconocer
otros tipos demalware,comospyware,gusanos,troyanos,rootkits,etc.
http://es.wikipedia.org/wiki/Virus_inform%C3%A1ticohttp://es.wikipedia.org/wiki/1980http://es.wikipedia.org/wiki/Sistemas_operativoshttp://es.wikipedia.org/wiki/Internethttp://es.wikipedia.org/wiki/Programa_(computaci%C3%B3n)http://es.wikipedia.org/wiki/Virus_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Virus_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Malwarehttp://es.wikipedia.org/wiki/Malwarehttp://es.wikipedia.org/wiki/Malwarehttp://es.wikipedia.org/wiki/Spywarehttp://es.wikipedia.org/wiki/Spywarehttp://es.wikipedia.org/wiki/Gusanos_inform%C3%A1ticoshttp://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Rootkitshttp://es.wikipedia.org/wiki/Rootkitshttp://es.wikipedia.org/wiki/Rootkitshttp://es.wikipedia.org/wiki/Rootkitshttp://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Gusanos_inform%C3%A1ticoshttp://es.wikipedia.org/wiki/Spywarehttp://es.wikipedia.org/wiki/Malwarehttp://es.wikipedia.org/wiki/Virus_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Virus_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Programa_(computaci%C3%B3n)http://es.wikipedia.org/wiki/Internethttp://es.wikipedia.org/wiki/Sistemas_operativoshttp://es.wikipedia.org/wiki/1980http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico -
8/13/2019 Unidad SI
6/8
Dentro de las contaminaciones ms frecuentes por interaccin del
usuario estn las siguientes:
Mensajes que ejecutan automticamente programas (como elprograma de correo que abre directamente un archivo adjunto).
Ingeniera social, mensajes como: Ejecute este programa y gane unpremio.
Entrada de informacin en discos de otros usuarios infectados. Instalacin de softwareque pueda contener uno o varios programas
maliciosos.
Unidades extrables de almacenamiento (USB).
Tipos de vacunas
Slo deteccin: son vacunas que slo actualizan archivos infectados,sin embargo, no pueden eliminarlos o desinfectarlos.
Deteccin y desinfeccin: son vacunas que detectan archivosinfectados y que pueden desinfectarlos.
Deteccin y aborto de la accin: son vacunas que detectan archivosinfectados y detienen las acciones que causa el virus.
Comparacin por firmas: son vacunas que comparan las firmas dearchivos sospechosos para saber si estn infectados.
Comparacin de firmas de archivo: son vacunas que comparan lasfirmas de los atributos guardados en tu equipo.
Nat.
NAT(Network Address Translation- Traduccin de Direccin deRed) es un mecanismo utilizado por routers IP para intercambiar
paquetes entre dos redes que asignan mutuamentedirecciones incompatibles. Consiste en convertir, en tiempo real, las
direcciones utilizadas en los paquetes transportados. Tambin es
necesario editar los paquetes para permitir la operacin de
protocolos que incluyen informacin de direcciones dentro de la
conversacin del protocolo.
http://es.wikipedia.org/wiki/USBhttp://es.wikipedia.org/wiki/Direcci%C3%B3n_IPhttp://es.wikipedia.org/wiki/Protocolo_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Protocolo_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Direcci%C3%B3n_IPhttp://es.wikipedia.org/wiki/USB -
8/13/2019 Unidad SI
7/8
El tipo ms simple de NAT proporciona una traduccin una-a-una de las
direcciones IP. La RFC 2663 se refiere a este tipo de NAT como NAT
Bsico, tambin se le conoce como NAT una-a-una. En este tipo de NAT
nicamente, las direcciones IP, las sumas de comprobacin (checksums)
de la cabecera IP, y las sumas de comprobacin de nivel superior, que se
incluyen en la direccin IP necesitan ser cambiadas. El resto del paquetese puede quedar sin tocar (al menos para la funcionalidad bsica del
TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra
forma de traduccin).
Proxy
Un proxy, en unared informtica, es un programa o dispositivo que
realiza una accin en representacin de otro, esto es, si una hipottica
mquinaA solicita un recurso a una C, lo har mediante una peticin
a B; Centonces no sabr que la peticin procedi originalmente deA.
Esta situacin estratgica de punto intermedio suele ser aprovechada
para soportar una serie de funcionalidades: proporcionar cach, control
de acceso, registro del trfico, prohibir cierto tipo de trfico, etc.
Su finalidad ms habitual es la de servidor proxy, que consiste eninterceptar las conexiones de red que un cliente hace a un servidor de
destino, por varios motivos posibles como seguridad, rendimiento,
anonimato, etc. Esta funcin de servidor proxypuede ser realizada por
un programa o dispositivo.Caractersticas
La palabra en ingls proxy significa intermediario en espaol.
El uso ms comn es el de servidor proxy, que es un ordenador que
intercepta las conexiones de red que un cliente hace a un servidor de
destino. De ellos, el ms famoso es el servidor proxy web (comnmente
conocido solamente como proxy). Intercepta la navegacin de los
clientes por pginas web, por varios motivos posibles: seguridad,
rendimiento, anonimato, etc. Tambin existen proxy para otros
protocolos, como el proxy de FTP.
El proxy ARP puede hacer de enrutador en una red, ya que hace de
intermediario entre ordenadores.
http://tools.ietf.org/html/rfc2663http://es.wikipedia.org/wiki/Red_inform%C3%A1ticahttp://es.wikipedia.org/wiki/Red_inform%C3%A1ticahttp://tools.ietf.org/html/rfc2663 -
8/13/2019 Unidad SI
8/8
Proxy (patrn de diseo) tambin es un patrn de diseo
(programacin) con el mismo esquema que el proxy de red.
Hay dos tipos de proxys atendiendo a quien es el que quiere implementar
la poltica del proxy:
Proxy local: En este caso el que quiere implementar la poltica es el
mismo que hace la peticin. Por eso se le llama local. Suelen estar en la
misma mquina que el cliente que hace las peticiones. Son muy usados
para que el cliente pueda controlar el trfico y pueda establecer reglas de
filtrado que por ejemplo pueden asegurar que no se revela informacin
privada (Proxys de filtrado para mejora de la privacidad).
Proxy externo:El que quiere implementar la poltica del proxy es una
entidad externa. Por eso se le llama externo. Se suelen usar paraimplementar cacheos, bloquear contenidos, control del trfico, compartir
IP, etc.