Seguridad

Seguridad
Los conceptos de seguridad de redes

El capítulo abarca los siguientes temas:

Los conceptos de seguridad básicos.

 Activos, vulnerabilidades, amenazas y contramedidas

 Confidencialidad, integridad y disponibilidad.
 Criterios de clasificación de datos
 Los niveles de clasificación de datos
 Roles de clasificación.

Clasificación de amenazas

 Prevención, detección y corrección de controles

 Evitación de riesgos, transferencia y retención

Controladores para la seguridad de la red

 Evolución de las amenazas

 Amenazas de rastreo

Código malicioso: Virus, gusanos y caballos de Troya

 Anatomía de un gusano
 Mitigar el malware y gusanos

Las amenazas en las redes sin fronteras

 Títulos de hackers
 Pensar como un hacker

pág. 1
 Seguridad

Conceptos básicos de seguridad

Activos, vulnerabilidades, amenazas y contramedidas

Cuatro términos están asociados con la gestión de seguridad:

Activo Algo de valor para una organización que debe ser protegido
Vulnerabilidad Una debilidad en un sistema o su diseño que podrían ser explotados por una
amenaza
Amenaza Un peligro potencial a la información o funcionalidad de red
Contramedida Una protección que mitiga el riesgo de una amenaza potencial o riesgo

Confidencialidad, integridad y disponibilidad.

Para proporcionar una protección adecuada de los activos de la red, tres cosas deben ser garantizados:

Confidencialidad Sólo los usuarios autorizados pueden ver la información confidencial.

Integridad Sólo los usuarios autorizados pueden cambiar la información confidencial. También
puede garantizar la autenticidad de los datos.
Disponibilidad (sistema Los usuarios autorizados deben tener un acceso ininterrumpido a los recursos
y datos) importantes y datos.

Criterios de clasificación de datos

Factores a la hora de clasificar los datos incluyen las siguientes:

Valor El criterio número uno y se basan en el costo de adquirir, desarrollar, y sustituir.

Edad La importancia de los datos usualmente disminuye con el tiempo.
La cantidad de tiempo en el que los datos se considera valiosa y debe mantenerse
Vida útil
clasificado.
Asociación de Personal Datos que involucra la información personal de los usuarios y de los trabajadores.

Los niveles de clasificación de datos

La clasificación de datos términos comúnmente utilizados por el gobierno y los militares son los siguientes:

Los datos que tiene poca o ninguna confidencialidad, integridad o

Desclasificado
disponibilidad, y por lo tanto poco esfuerzo está hecho para asegurarlo.
Sensible pero sin clasificar Los datos que podría resultar embarazoso si es revelada, pero ninguna
(SBU) infracción se produciría si se conociera.
Confidencial Los datos deben guardarse en lugar seguro.
Los datos de que se hace un esfuerzo considerable para mantenerlo
Secreto
seguro. Pocas personas tienen acceso a estos datos.
Datos para que gran esfuerzo y, a veces, considerable costo está hecho
Ultra Secreto para garantizar su secreto. Pocas personas en la necesidad de conocer
el estado tienen acceso a datos de alto secreto.

pág. 2
 Seguridad

La clasificación de datos términos comúnmente utilizados por el sector público se incluyen las siguientes:

Público Los datos que está disponible públicamente, como en sitios web, publicaciones y
folletos
Sensible Datos que es similar a la SBU datos y que podrían causar un poco de vergüenza si
reveló
Privado Datos que es importante para una organización y se hace un esfuerzo para
mantener el secreto y la exactitud de estos datos
Confidencial Los datos que las empresas hacen el mayor esfuerzo para mantener seguras, como
los secretos comerciales, los datos de los empleados, y la información del cliente

Clasificación según roles

Las funciones relacionadas con los datos incluyen las siguientes:

Propietario Persona responsable de la información

La persona encargada de llevar a cabo día a día el mantenimiento de
Guardián datos, incluyendo asegurar y hacer copias de seguridad de los datos
Persona que utiliza los datos de conformidad con los procedimientos
Usuario establecidos

Clasificación de amenazas
Tres categorías de clasificación de amenaza existen:

Política y procedimiento basado, incluyendo cambiar/control de la

Administrativos
configuración de seguridad, capacitación, auditorías y exámenes
Técnicos Controles que involucran hardware y software
Física Controles para la protección de la infraestructura física

Prevención, detección y corrección de controles

Gestión de incidencias y la exposición comprende las siguientes cinco categorías:

Medidas preventivas Prevenir el peligro de entrar en contacto con una vulnerabilidad, tales como el uso
de un firewall, bloqueos físicos, y una política de seguridad
Medidas detectivas Identificar que la amenaza ha entrado en la red o sistema mediante los registros del
sistema, los sistemas de prevención de intrusiones (IPS) y cámaras de vigilancia
Medidas correctivas Determinar la causa subyacente de una brecha de seguridad y, a continuación, la
mitigación de los efectos de la amenaza se manifiesta, como la actualización de virus
o de firmas IPS
Recuperación Poner un sistema en producción tras un incidente
Disuadir Desalentar las violaciones de la seguridad

pág. 3
 Seguridad

Evitando riesgos, transferencia y retención

Contramedidas para la gestión del riesgo pueden clasificarse como sigue:

Evitar el riesgos Evitar la actividad que pudiera llevar el riesgo.

Implica la reducción de la severidad de la pérdida o la probabilidad de que la pérdida
La reducción del riesgo
ocurra.
Compartir el riesgo o Implica la distribución de la carga de la pérdida o el beneficio de la ganancia con la
transferencia otra parte.
Retención o Aceptar el Implica aceptar la pérdida o beneficio de ganancia, desde un riesgo cuando se
riesgo produce.

Factores para la seguridad de la red

Factores clave a tener en cuenta a la hora de diseñar una red segura son los siguientes:
 Necesidades empresariales
 Análisis de riesgo
 Política de seguridad
 Las mejores prácticas de la industria
 Operaciones de seguridad

Evolución de las amenazas

Las amenazas han evolucionado de la siguiente manera a lo largo de los años:

Amenazas tomó días para propagar y dirigido equipos individuales y redes mediante
La primera generación
el uso de macro de virus, los virus de correo electrónico, spam, ataques de
(1990S)
denegación de servicio (DoS), ataques de hacking y limitada.
Las amenazas fueron propagadas en horas y dirigido varias redes utilizando la red
Segunda generación
DoS, las amenazas combinadas (worm + virus + troyanos), gusanos y la piratería
(principios de 2000)
generalizada.
Las amenazas tuvieron minutos para propagar y dirigidas a las redes regionales,
Tercera generación
utilizando infraestructura de hacking, Adobe Flash componendas, distribuido de
(finales de 2000s)
denegación de servicio (DDoS), y gusanos y virus con cargas perjudiciales.
Actualmente las amenazas se propagan en segundos y el objetivo global de redes,
Next Generation sitios web, servicios de infraestructura crítica, y la electrónica de consumo y la
(principios de 2010s) virtualización incluyen exploits, raspado de memoria, hardware hacking y ataques
basados en IPv6.

pág. 4
 Seguridad

Amenazas de rastreo
Diversas organizaciones clasificar y hacer un seguimiento de las amenazas, entre las que se incluyen las
siguientes:
CAPEC (patrón de ataque común la enumeración y clasificación): http://capec.mitre.org
MAEC (atributo de Malware Enumeration y Caracterización): http://maec.mitre.org/
OWASP (Open Web Application Security Project): https://www.owasp.org
TC (WASC Web Application Security Consortium amenaza Clasificación): http://www.webappsec.org/
ISC (Internet Storm Center): http://isc.sans.org/
Código malicioso: Virus, gusanos y caballos de Troya
Los siguientes aspectos destacados de los tipos comunes de código malicioso (malware) que pueden ser
utilizados por los hackers:

Software malicioso que atribuye a otro programa para ejecutar una

determinada función no deseados en un ordenador. La mayoría de los virus
Los virus requieren la activación de usuario final y puede sentar latentes durante un
período prolongado y luego activar en un determinado momento o fecha. Los
virus también pueden programarse para mutar para evitar la detección.
Los gusanos son programas autónomos que explotan vulnerabilidades
conocidas con el objetivo de frenar una red. Los gusanos no requieren
Gusanos activación de usuario final. Un huésped infectado replica automáticamente y
el gusano intenta infectar otros hosts independientemente por explotar las
vulnerabilidades en redes.
El spyware normalmente se utiliza para obtener una ganancia financiera y
recopila información personal del usuario, la supervisión de la actividad de
Spyware navegación web para fines de marketing y enrutamiento de peticiones HTTP
a sitios de publicidad. El spyware normalmente no autorreplican pero puede
ser instalado en equipos sin saberlo.
Se refiere a cualquier software que muestra anuncios, si el usuario tiene o no
Adware
consentido a veces en la forma de anuncios emergentes.
Se refiere a una clase de software que se utiliza para la estafa a usuarios
desprevenidos. Pueden contener cargas maliciosas o ser de poco o ningún
Scareware beneficio. Una táctica común consiste en convencer a los usuarios de que sus
sistemas están infectados por virus y, a continuación, proporcionar un enlace
para comprar software antivirus falso.
Estas son las aplicaciones escritas para parecerse a algo como unas
salvapantallas gratis, antivirus gratis, y así sucesivamente. Cuando un caballo
de Troya es descargado y abierto, que ataca el equipo de usuario final desde
dentro. Los caballos de Troya pueden crearse para iniciar tipos específicos de
ataques, incluidos los siguientes:
Caballos de troya  Acceso remoto
 El envío de datos (clave de registro)
 Destructivo
 Deshabilitar Software de seguridad
 Denegación de servicio

Anatomía de un gusano
Tras el éxito de la explotación, el gusano se copia a sí mismo en el host atacante al nuevo sistema explotado y el
ciclo comienza de nuevo.
La mayoría de los gusanos tienen los siguientes tres componentes:

pág. 5
 Seguridad

Habilitación de Un gusano se instala mediante un mecanismo de explotar (archivo adjunto de

vulnerabilidad correo electrónico, archivo ejecutable, caballo de Troya) en un sistema vulnerable.
Tras acceder a un dispositivo, el gusano se replica a sí mismo y busca nuevos
Mecanismo de
objetivos. Se propaga sin intervención humana y exploraciones de otros hosts para
propagación
infectar.
Cualquier código malicioso que se traduce en una cierta acción. La mayoría de las
Carga
veces, esto se utiliza para crear una puerta trasera para que el host infectado.

Mitigar el malware y gusanos

El principal medio de mitigar el malware es software antivirus. El software antivirus ayuda a impedir que los
hosts infectados y la propagación de código malicioso. Se requiere mucho más tiempo (y dinero) para limpiar
los equipos infectados que al comprar software antivirus y mantener las actualizaciones de definiciones de
antivirus.
Los gusanos son más basadas en la red de virus y tienen más probabilidades de infectarse varios sistemas dentro
de una organización. El personal de seguridad respuesta a una infección del gusano consiste generalmente en
las cuatro fases siguientes:

El objetivo es limitar la propagación de la infección y requiere la segmentación

de los dispositivos infectados para evitar que los hosts infectados de atacar
Contención otros sistemas no infectada. Requiere contención entrantes y salientes
mediante listas de control de acceso (ACL) en los routers y firewalls en puntos
de control dentro de la red.
El objetivo es privar al gusano de destinos disponibles. Por lo tanto, todos los
sistemas no infectados están parcheadas con el parche adecuado del
La inoculación
proveedor. La inoculación fase a menudo corre paralela o posteriormente a la
fase de contención.
El objetivo es rastrear e identificar los equipos infectados. Una vez
Cuarentena identificados, éstos están desconectados, bloqueado o eliminado de la red y
aislada para la fase de tratamiento.
Los sistemas infectados son desinfectados del gusano. Esto puede implicar la
terminación del proceso del gusano, eliminando los archivos modificados o la
Tratamiento configuración del sistema que el gusano introducido, y parcheado la
vulnerabilidad que el gusano usa para explotar el sistema. En casos severos,
el sistema puede necesitar ser reconcebida.

Las amenazas en las redes sin fronteras

Los posibles adversarios para defenderse contra los ataques incluyen los siguientes:
Las naciones o los estados

 Los terroristas
 Los delincuentes
 Agencias gubernamentales
 Competidores corporativos
 Empleados descontentos
 Los hackers

pág. 6
 Seguridad

Títulos de hackers
Hacker diversos títulos incluyen las siguientes:

Los Las personas que irrumpen en las redes de computadoras para obtener más información acerca
hackers de ellos. La mayoría de significa ningún daño y no esperar la ganancia financiera.
Sombrero Nombres dados a identificar tipos de buenos hackers. Sombreros blancos son hackers éticos como
Blanco y personas que realicen auditorías de seguridad para las organizaciones. Blue sombreros son bug
sombrero testers para garantizar la seguridad de las aplicaciones.
azul
Los Los hackers con una intención criminal para perjudicar a los sistemas de información o para
crackers obtener una ganancia financiera. A veces se llama "hackers de sombrero negro".
Black Hat y Nombres dados a identificar los tipos de crackers. Black Hat es sinónimo de crackers, grey Hat son
grey hat éticamente cuestionables crackers.
Los hackers de los sistemas de telecomunicación. Que pongan en peligro los sistemas telefónicos
Pherakers para redistribuir y desconecte las líneas telefónicas, vender las escuchas telefónicas, y robar los
servicios de larga distancia.
Script Los hackers con muy poca habilidad. No escribir su propio código, pero en lugar de ejecutar
kiddies secuencias de comandos que son escritos por los atacantes más calificados.
Hackers Los individuos con agendas políticas que atacan los sitios del gobierno.
activistas

Pensar como un hacker

Los siete pasos siguientes pueden tomarse para atacar objetivos y aplicaciones:

Los hackers generalmente intentan construir un perfil completo de una postura de

Realizar seguridad la empresa objetivo utilizando una amplia gama de herramientas y
Paso 1 análisis de técnicas disponibles fácilmente. Pueden descubrir nombres de dominio organizativo,
huella bloques de red, las direcciones IP de los sistemas, los puertos, los servicios que se
utilizan, y más.
Especiales herramientas disponibles se utilizan para descubrir información de
Enumerar las destino adicionales. Barridos ping utiliza el protocolo de mensajes de control de
aplicaciones y Internet (ICMP) para descubrir dispositivos en una red. Los escaneos de puertos
Paso 2
sistemas TCP/UDP de descubrir el estado del puerto. Otras herramientas incluyen Netcat,
operativos. Microsoft EPDump y llamada a procedimiento remoto (RPC), volcado GetMAC y kits
de desarrollo de software (SDK).
Manipular a Las técnicas de ingeniería social pueden ser utilizados para manipular los empleados
los usuarios a adquirir las contraseñas. Pueden llamar o enviarlas por correo electrónico y tratar
Paso 3
para ganar de convencerlos para revelar contraseñas sin plantear cualquier inquietud o
acceso sospecha.
A escalar sus privilegios, un hacker podría intentar utilizar programas del tipo caballo
Escalar
Paso 4 de Troya y llegar a los usuarios de destino sin saberlo, copiar código malicioso en sus
privilegios
sistemas corporativos.
Recopilar Con privilegios elevados, los piratas informáticos pueden utilizar herramientas como
contraseñas pwdump LSADump y aplicaciones para recabar las contraseñas de las máquinas que
Paso 5
adicionales y ejecutan Windows.
secretos
Hacker podría intentar ingresar a través de la "Puerta principal", o pueden usar
Instalar
"puertas traseras" en el sistema. El método backdoor significa eludir la autenticación
Paso 6 puertas
normal mientras intentaba pasar inadvertido. Un punto común de backdoor es un
traseras
puerto de escucha que proporciona acceso remoto al sistema.

pág. 7
 Seguridad

Aprovechando Después de que los hackers obtengan acceso administrativo, intentan engañar a
Paso 7 el sistema otros sistemas.
afectado.

pág. 8

Configuración Básica de un Switch
switch>enable
switch#configure terminal
switch(config)#no ip domain-lookup
switch(config)#hostname Switch2960
Switch2960(config)#enable secret cisco
Switch2960(config)#line console 0
Switch2960(config-line)#logging
synchronous
Switch2960(config-line)#login
Switch2960(config-line)#password
switch
Switch2960(config-line)#exit
Switch2960(config)#line vty 0 15
Switch2960(config-line)#login
Switch2960(config-line)#password class
Switch2960(config-line)#exit
Switch2960(config)#ip default-gateway
192.168.1.1
Switch2960(config)#interface vlan 88
Seguridad
Enters privileged mode.
Enters global configuration mode.
Turns off Domain Name System (DNS) queries so that spelling
mistakes do not slow you down.
Sets the host name.
Sets the encrypted secret password to cisco.
Enters line console mode.
Appends commands to a new line; switch information will not
interrupt.
User must log in to console before use.
Sets the console password to switch.
Moves back to global configuration mode.
Moves to configure all 16 vty ports at the same time.
User must log in to vty port before use.
Sets the vty password to class.
Moves back to global configuration mode.
Sets default gateway address.
Moves to virtual interface VLAN 88 configuration mode.
pág. 9
 Seguridad

Switch2960(config-if)#ip address
Sets the IP address and netmask for switch.
192.168.1.2 255.255.255.0
Switch2960(config-if)#no shutdown Turns the virtual interface on.
Switch2960(config-if)#interface
Moves to interface configuration mode for fastethernet 0/1.
fastethernet 0/1
Switch2960(config-if)#description Link
Sets a local description.
to Bismarck Router
Switch2960(config-if)#interface
Moves to interface configuration mode for fastethernet 0/4.
fastethernet 0/4
Switch2960(config-if)#description Link
Sets a local description.
to Workstation A
Switch2960(config-if)#interface
Moves to interface configuration mode for fastethernet 0/8.
fastethernet 0/8
Switch2960(config-if)#description Link
Sets a local description.
to Workstation B
Switch2960(config-if)#exit Returns to global configuration mode.
Switch2960(config)#exit Returns to privileged mode.
Switch2960(config)# service password-encryption
Switch2960#copy running-config
Saves the configuration to NVRAM.
startup-config

Configuración de seguridad de puerto

S3(config)#interface fa0/3 Ingreso al configuración de la inter

S3(config-if)#switchport mode Access Configura el puerto como acceso
S3(config-if)#switchport port-security Habilita la seguridad del puerto
S3(config-if)#switchport port-security máximum 2 Permite solo 2 direcciones MAC
S3(config-if)#switchport port-security violation shutdown If a violation occurs, error-disable
S3(config-if)#switchport port-security mac-address aaaa.aaaa.aaaa the port and
Manually generate
configure themessages.
IP phone
S3(config-if)#switchport port-security mac-address bbbb.bbbb.bbbb MAC address.
Manually configure the host MAC
address.

pág. 10

Configuración de seguridad en STP
S3(config)# interface Fa0/1
S3(config-if)# spanning-tree guard root
S4(config)# interface Fa0/3
S4(config-if)# spanning-tree portfast
S4(config-if)# spanning-tree bpduguard
enable
S4(config-if)# spanning-tree guard root
Seguridad
Enter interface configuration mode.
Enable root guard on this port. This prevents anything connected
to this port from ever becoming the root.
Enter interface configuration mode.
Enable PortFast.
Enable BPDU guard on this port.
Enable root guard on this port.
pág. 11
 Seguridad

Configuración de seguridad en las vlans

S3(config)# interface range Fa0/1 – 2 Configure the two trunking ports, Fa0/1 and Fa0/2.
S3(config-range-if)# switchport mode trunk Explicitly enable trunking.
S3(config-range-if)# switchport nonegotiate Disable DTP.
Assign the native VLAN to VLAN 88. VLAN 88 is not
S3(config-range-if)# switchport trunk native vlan 88
used for any other traffic.
S3(config-range-if)# interface Fa0/3 Change to interface Fa0/3.
S3(config-if)# switchport mode access Disable trunking.
S3(config)# interface range Fa0/4 – 24 Configure all other unused ports.
S3(config-range-if)# switchport mode access Disable trunking on all unused ports.
S3(config-range-if)# shutdown Disable all unused ports.

pág. 12