2018

Manual de prevención de ataques

informáticos

Por: Sahori Martínez Altamirano

Dulce Azucena García Vázquez
Liliana Marlene Oropeza Duran
Demetrio García Rodríguez
 COLEGIO DE ESTUDIOS CIENTÍFICOS Y TECNOLÓGICOS
DEL ESTADO DE OAXACA
PLANTEL 02 “CUICATLÁN”

ESPECIALIDAD: TÉCNICO EN SOPORTE Y MANTENIMIENTO DE

EQUIPO DE COMPUTO

Manual Técnico
“Prevención de Ataques Informáticos”
SEMESTRE LECTIVO: 2018-2 (ABRIL DEL 2018)

MODULO: V ADMINISTRA REDES LAN DE ACUERDO A LOS

REQUERIMIENTOS DE LA ORGANIZACIÓN

SUB-MÓDULO: II ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A

LAS CONDICIONES Y REQUERIMIENTOS DE LA ORGANIZACIÓN

GRUPO: 603 TSME

ELABORADO POR:

SAHORI MARTÍNEZ ALTAMIRANO

DULCE AZUCENA GARCÍA VÁZQUEZ

LILIANA MARLENE OROPEZA DURAN

DEMETRIO GARCÍA RODRÍGUEZ

DOCENTE: ING. LUIS GILBERTO HERNÁNDEZ BAUTISTA

SAN JUAN BAUTISTA CUICATLÁN, OAXACA, ABRIL DEL 2018.

pág. 1
Capítulo 1: Presentación
1.1 Introducción
En la actualidad, las personas se han vuelto cada vez más dependientes de
las tecnologías y de Internet. Hoy, no hay usuario sin un equipo informático con
acceso a la gran red, ni empresa que no utilice Internet como parte de su negocio.
Por otro lado, si bien las soluciones de seguridad han mejorado notablemente la
experiencia del usuario, no existe una aplicación que brinde el 100% de protección
frente a la amplia diversidad de problemas potenciales a los que se expone
cotidianamente al hacer uso de las tecnologías. Existen ciertos aspectos de la
seguridad que resultan fundamentales para evitar que los sistemas operativos, de
usuarios hogareños, corporativos y las redes de trabajo en su conjunto,
constituyan objetivos sumamente vulnerables frente a diferentes tipos de
amenazas. Los códigos maliciosos representan uno de los factores de riesgo más
importantes y difíciles de controlar a los que una organización se puede enfrentar.
Por ello, para mantener el equipo en óptimas condiciones, deben adoptarse una
serie de medidas prácticas tendientes a reforzar la protección del sistema y
fortalecer así el entorno de información en tanto se minimizan los riesgos de
infección. Como empresa tenemos la obligación y responsabilidad de ayudar a
nuestros usuarios, debemos tener en cuenta varias medidas de seguridad para
preservar y conservar nuestra maquina en las mejores condiciones.

pág. 2
 Índice

Capítulo 1: Presentación ................................................................................................................. 2

1.1 Introducción .................................................................................................................... 2
Capítulo 2: OBJETIVOS......................................................................................................................... 5
2.1 Objetivo General: ............................................................................................................ 5
2.2 Objetivos Específicos ....................................................................................................... 5
Capítulo 3: Marco teórico ................................................................................................................... 6
3.1 Las normas de seguridad ................................................................................................. 6
3.2 Sistemas de detección de intrusos ................................................................................... 6
3.3 Para que se utiliza un IDS ................................................................................................. 6
3.4 Para prevenir problemas ................................................................................................. 7
3.5 Detectar ataques y otras violaciones de seguridad ........................................................... 7
3.6 IDSs basados en host (HIDS) ............................................................................................ 8
3.7 Tipo de análisis ............................................................................................................... 9
3.8 Detección de abusos o firmas......................................................................................... 10
3.9 Detección de anomalías ................................................................................................. 10
3.10 Tipos de respuesta ...................................................................................................... 11
3.11 Respuestas pasivas ...................................................................................................... 11
3.12 Respuestas activas ....................................................................................................... 11
3.13 Normas de seguridad en el equipo de cómputo ............................................................ 12
3.14 Actualizaciones de seguridad ...................................................................................... 12
3.15 Mensajería instantánea y correo electrónico ................................................................ 12
3.16 Bloqueo de direcciones web maliciosas ....................................................................... 13
3.17 Realizar copias de seguridad de los archivos críticos ..................................................... 14
3.18 Implementación de solución de seguridad antimalware ............................................... 14
3.19 Implementación de un Firewall personal ...................................................................... 14
3.20 Snort .......................................................................................................................... 15
3.21 Decodificador de paquetes.......................................................................................... 16
3.22 Motor de detección .................................................................................................... 16
3.23 Subsistema de alerta y log........................................................................................... 17
3.24 Configuración de Snort................................................................................................ 18

pág. 3
 3.25 Mejorar el rendimiento ............................................................................................... 20
3. 26 Tipos de intrusos ........................................................................................................ 21
3.27 Técnicas de intrusión ................................................................................................... 22
3.28 Control de acceso ....................................................................................................... 23
3.29 Detección de los intrusos ............................................................................................ 23
3.30 Protección con contraseñas ......................................................................................... 24
3.31 Monitoreo de equipos.............................................................................................. 24
3.32 Precaución con archivos adjuntos de email ............................................................... 24
3.33 Precaución con links................................................................................................. 24
3.34 Usar un antivirus y mantenerlo actualizado .............................................................. 25
3.35 DEFENSAS ACTIVAS .................................................................................................. 25
3.36 ENCRIPTACION DE DATOS ........................................................................................ 25
3.37 SOFTWARES DE SEGURIDAD INFORMATICA .............................................................. 25
3.38 DEFENSAS PASIVAS .................................................................................................. 26
3.39 Su navegador web. .................................................................................................. 26
3.40 Seguridad informática para usuarios ........................................................................ 27
3.41 Consejos básicos ...................................................................................................... 27
3.42 Hacer respaldos de tus datos .................................................................................... 27
3.43 Documentación privada: archivos, carpetas y discos cifrados ................ 28
3.44 Borrado seguro ........................................................................................................ 29
Capítulo 4 : Procedimientos en caso de la detección de algún ataque o intruso. ............................ 29
4.1 Wireshark ................................................................................................................... 29
4.2 Estrategias que previenen ataques a la red de la empresa. ...................... 34
4.3 Firewall ....................................................................................................................... 34
4.4 Contraseñas ................................................................................................................................ 37
4.5 Antivirus ..................................................................................................................................... 40
4.6 Mecanismos de antivirus para la detección de virus .................................................................. 41
4.7 Instalación de antivirus avast ...................................................................................................... 42
4.8 Snort ........................................................................................................................................... 48
4.10 Conclusión ................................................................................................................................ 51
4.11 Referencias bibliográficas: ....................................................................................................... 52

pág. 4
Capítulo 2: OBJETIVOS

2.1 Objetivo General:

Establecer las normas de seguridad para la prevención de ataques informáticos, a
través de los diferentes mecanismos de seguridad que existen en la actualidad,
con el fin de mantener la integridad de la información de los usuarios en
AZDELIK.CORP.

2.2 Objetivos Específicos

 Crear las normas de seguridad necesarias para evitar la fuga de
información de la empresa.
 Diseñar las diferentes medidas de seguridad para cada usuario específico y
evitar la intrusión de personal no autorizado.
 Identificar los mecanismos de seguridad que utilizaran cada uno de los
usuarios.
 Determinar los problemas del usuario
 Implementar las normas de seguridad a cada usuario

pág. 5
Capítulo 3: Marco teórico

3.1 Las normas de seguridad

Las normas de seguridad son también conocida como ciberseguridad o seguridad
de tecnologías de la información, es el área relacionada con la informática y
la telemática que se enfoca en la protección de la infraestructura computacional y
todo lo relacionado con esta y, especialmente, la información contenida en una
computadora o circulante a través de las redes de computadoras. Para ello existen
una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
información.

3.2 Sistemas de detección de intrusos

Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es una
herramienta de seguridad encargada de monitorizar los eventos que ocurren en un
sistema informático en busca de intentos de intrusión.

Definimos intento de intrusión como cualquier intento de comprometer la

confidencialidad, integridad, disponibilidad o evitar los mecanismos de seguridad
de una computadora o red. Las intrusiones se pueden producir de varias formas:
atacantes que acceden a los sistemas desde Internet, usuarios autorizados del
sistema que intentan ganar privilegios adicionales para los cuales no están
autorizados y usuarios autorizados que hacen un mal uso de los privilegios que se
les han asignado.

3.3 Para que se utiliza un IDS

La detección de intrusiones permite a las organizaciones proteger sus sistemas de
las amenazas que aparecen al incrementar la conectividad en red y la
dependencia que tenemos hacia los sistemas de información.

Los IDS han ganado aceptación como una pieza fundamental en la infraestructura
de seguridad de la organización. Hay varias razones para adquirir y usar un IDS

pág. 6
 3.4 Para prevenir problemas
Al incrementar la posibilidad de descubrir y castigar a los atacantes, el
comportamiento de algunos cambiará de forma que muchos ataques no llegarán a
producirse. Esto también puede jugar en nuestro contra, puesto que la presencia
de un sistema de seguridad sofisticado puede hacer crecer la curiosidad del
atacante.

Un sistema de detección de intrusos puede ser una excelente herramienta de

protección de sistemas. Un IDS puede detectar cuando un atacante ha intentado
penetrar en un sistema explotando un fallo no corregido. De esta forma,
podríamos avisar al administrador para que llevara a cabo un backup del sistema
inmediatamente, evitando así que se pierda información valiosa.

3.5 Detectar ataques y otras violaciones de seguridad

Los atacantes, usando técnicas ampliamente conocidas, pueden conseguir
accesos no autorizados a muchos sistemas, especialmente a aquellos conectados
a redes públicas. Esto a menudo ocurre cuando vulnerabilidades conocidas no son
corregidas. En algunos sistemas heredados, los sistemas operativos no pueden
ser parcheados o actualizados.

 Los administradores a veces no tienen el suficiente tiempo y recursos para

seguir e instalar las últimas actualizaciones necesarias. Esto es un
problema común, sobre todo en entornos que incluyen un gran número de
hosts con sistemas operativos y hardware variado.
 Los usuarios y administradores pueden equivocarse al configurar sus
sistemas.
 Detectar preámbulos de ataques (normalmente pruebas de red y otras
actividades).

Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles.

En la primera fase, el atacante hace pruebas y examina el sistema o red en busca
de un punto de entrada óptimo. En sistemas o redes que no disponen de un IDS,
el atacante es libre de examinar el sistema con un riesgo mínimo de ser detectado.
Esto le facilita la búsqueda de un punto débil en nuestra red.

IDSs basados en red (NIDS)

pág. 7
La mayor parte de los sistemas de detección de intrusos están basados en red.
Estos IDSs detectan ataques capturando y analizando paquetes de la red. Un
NIDS puede monitorizar el tráfico que afecta a múltiples hosts que están
conectados a ese segmento de red, protegiendo así a estos hosts.

Los IDSs basados en red a menudo están formados por un conjunto de sensores
localizados en varios puntos de la red. Estos sensores monitorizan el tráfico
realizando análisis local e informando de los ataques que se producen a la consola
de gestión. Muchos de estos sensores son diseñados para correr en modo oculto,
de tal forma que sea más difícil para un atacante determinar su presencia y
localización.

Ventajas:

 Un IDS bien localizado puede monitorizar una red grande, siempre y

cuando tenga la capacidad suficiente para analizar todo el tráfico.
 Los NIDSs tienen un impacto pequeño en la red, siendo normalmente
dispositivos pasivos que no interfieren en las operaciones habituales de
ésta.
 Se pueden configurar para que sean muy seguros ante ataques
haciéndolos invisibles al resto de la red.

Desventajas:

 Pueden tener dificultades procesando todos los paquetes en una red

grande o con mucho trafico y pueden fallar en reconocer ataques lanzados
durante periodos de tráfico alto.
 Los IDSs basados en red no analizan la información cifrada.
 Los IDSs basados en red no saben si el ataque tuvo o no éxito, lo único que
pueden saber es que el ataque fue lanzado. Algunos NIDS tienen
problemas al tratar con ataques basados en red que viajan en paquetes
fragmentados.

3.6 IDSs basados en host (HIDS)

Los HIDS fueron el primer tipo de IDSs desarrollados e implementados. Operan
sobre la información recogida desde dentro de una computadora, como pueda ser

pág. 8
los ficheros de auditoría del sistema operativo. Esto permite que el IDS analice las
actividades que se producen con una gran precisión, determinando exactamente
qué procesos y usuarios están involucrados en un ataque particular dentro del
sistema operativo.

A diferencia de los NIDSs, los HIDSs puede ver el resultado de un intento de

ataque, al igual que pueden acceder directamente y monitorizar los ficheros de
datos y procesos del sistema atacado.

Ventajas:

Los IDS basados en host, al tener la capacidad de monitorizar eventos locales a

un host, pueden detectar ataques que no pueden ser vistos por un IDS basado en
red. Pueden a menudo operar en un entorno en el cual el tráfico de red viaja
cifrado, ya que la fuente de información es analizada antes de que los datos sean
cifrados en el host origen y/o después de que los datos sean descifrados en el
host destino.

Desventajas:

Los IDS basados en hosts son más costosos de administrar, ya que deben ser
gestionados y configurados en cada host monitorizado. Mientras que con los NIDS
teníamos un IDS por múltiples sistemas monitorizados, con los HIDS tenemos un
IDS por sistema monitorizado.

Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede

ser deshabilitado si un ataque logra tener éxito sobre la máquina.

No son adecuados para detectar ataques a toda una red (por ejemplo, escaneos
de puertos) puesto que el IDS solo ve aquellos paquetes de red enviados a él.

Pueden ser deshabilitados por ciertos ataques de DoS.

Usan recursos del host que están monitorizando, influyendo en el rendimiento del
sistema monitorizado.

3.7 Tipo de análisis

Hay dos acercamientos al análisis de eventos para la detección de ataques:
detección de abusos y detección de anomalías. La detección de abusos es la

pág. 9
técnica usada por la mayoría de sistemas comerciales. La detección de
anomalías, en la que el análisis busca patrones anormales de actividad, ha sido y
continúa siendo objeto de investigación. La detección de anomalías es usada de
forma limitada por un pequeño número de IDS.

3.8 Detección de abusos o firmas

Los detectores de abusos analizan la actividad del sistema buscando eventos que
coincidan con un patrón predefinido o firmas que describe un ataque conocido.

Ventajas:

 Los detectores de firmas son muy efectivos en la detección de ataques sin

que generen un número elevado de falsas alarmas.
 Pueden rápidamente y de forma precisa diagnosticar el uso de una
herramienta o técnica de ataque específico. Esto puede ayudar a los
encargados de la seguridad a priorizar medidas correctivas.
 Pueden permitir a los administradores de seguridad, sin importar su nivel o
su experiencia en este campo, el seguir la pista de los problemas de
seguridad de sus sistemas.

Desventajas:

 Solo detectan aquellos ataques que conocen, por lo que deben ser
constantemente actualizados con firmas de nuevos ataques.
 Muchos detectores de abusos son diseñados para usar firmas muy
ajustadas que les privan de detectar variantes de ataques comunes.

3.9 Detección de anomalías

La detección de anomalías se centra en identificar comportamientos inusuales en
un host o una red. Funcionan asumiendo que los ataques son diferentes a la
actividad normal. Los detectores de anomalías construyen perfiles representando
el comportamiento normal de los usuarios, hosts o conexiones de red. Estos
perfiles son construidos de datos históricos recogidos durante el periodo normal de
operación. Los detectores recogen los datos de los eventos y usan una variedad
de medidas para determinar cuando la actividad monitorizada se desvía de la
actividad normal. Las medidas y técnicas usadas en la detección de anomalías
incluyen:

Detección de un umbral sobre ciertos atributos del comportamiento del usuario.

Tales atributos de comportamiento pueden incluir el número de ficheros accedidos

pág. 10
por un usuario en un periodo de tiempo dado, el número de intentos fallidos para
entrar en el sistema, la cantidad de CPU utilizada por un proceso, etc. Este nivel
puede ser estático o heurístico.

Ventajas:

 Los IDSs basados en detección de anomalías detectan comportamientos

inusuales. De esta forma tienen la capacidad de detectar ataques para los
cuales no tienen un conocimiento específico.
 Los detectores de anomalías pueden producir información que puede ser
utilizada para definir firmas en la detección de abusos.
Desventajas:

 La detección de anomalías produce un gran número de falsas alarmas

debido a los comportamientos no predecibles de usuarios y redes.
 Requieren conjuntos de entrenamiento muy grandes para caracterizar los
patrones de comportamiento normal.

3.10 Tipos de respuesta

Una vez se ha producido un análisis de los eventos y hemos detectado un ataque,
el IDS reacciona. Las repuestas las podemos agrupar en dos tipos: pasivas y
activas. Las pasivas envían informes a personas, que se encargarán de tomar
acciones al respecto, si procede. Las activas lanzan automáticamente respuestas
a dichos ataques.

3.11 Respuestas pasivas

En este tipo de respuestas se notifica al responsable de seguridad de la
organización o al usuario del sistema atacado de lo sucedido. También es posible
avisar al administrador del sitio desde el cual se produjo el ataque avisándole de lo
ocurrido, pero es posible que el atacante monitorice el correo electrónico de esa
organización o que haya usado una IP falsa para su ataque.

3.12 Respuestas activas

Las respuestas activas son acciones automáticas que se toman cuando ciertos
tipos de intrusiones son detectados. Podemos estableces dos categorías distintas:

 Recogida de información adicional: consiste en incrementar la sensibilidad

de los sensores para obtener más pistas del posible ataque (por ejemplo,
capturando todos los paquetes que vienen de la fuente que originó el
ataque durante un cierto tiempo).

pág. 11
  Cambio del entorno: otra respuesta activa consiste en parar el ataque; por
ejemplo, en el caso de una conexión TCP se puede cerrar la sesión
establecida inyectando segmentos TCP RST al atacante y a la víctima o
filtrar en el router de acceso o en el firewall la dirección IP del intruso o el
puerto atacado para evitar futuros ataques.

3.13 Normas de seguridad en el equipo de cómputo

En este caso se enlistan varias recomendaciones que debemos seguir para poder
tener nuestro equipo en buenas condiciones y funcionando correctamente:

3.14 Actualizaciones de seguridad

La tendencia de utilizar Internet como plataforma de ataque hace que el crimeware
avance a grandes pasos y por múltiples caminos, logrando que el alto índice de
propagación de malware a través de la explotación de vulnerabilidades se haya
transformado en algo sumamente normal. Como consecuencia, cotidianamente
aparecen nuevas técnicas de intrusión a través de códigos maliciosos que atacan
por intermedio de exploits, existentes para cualquier tipo de aplicación (sistemas
operativos y aplicativos).

En este sentido, la mayoría de los códigos maliciosos aprovechan vulnerabilidades

para poder infectar la mayor cantidad de equipos posible, constituyendo una de las
tantas preocupaciones de seguridad que obligan a las empresas a proporcionar
regularmente nuevos parches de seguridad que actualizan y solucionan los
problemas encontrados.

3.15 Mensajería instantánea y correo electrónico

Medios de comunicación de uso masivo a nivel global, como los clientes de
mensajería instantánea y el correo electrónico (especialmente el spam), también
constituyen efectivos canales de propagación e infección utilizados por el malware.
En consecuencia, es primordial prevenir potenciales infecciones a través de estos

pág. 12
medios empleando buenas prácticas que permitan controlar de manera eficaz las
necesidades de seguridad.

Tanto en clientes de mensajería instantánea como en el correo electrónico, se

debe evitar todo enlace que se encuentre incrustado en el cuerpo o forme parte
del mensaje. También debe verificarse hacia dónde redireccionan los mismos.

Si se reciben correos o mensajes por mensajería instantánea conteniendo un

enlace adjunto, se debe proceder del mismo modo y ante todo verificar que la
persona que lo envió realmente quiso hacerlo. Además de lo anterior, es
aconsejable la implementación de una solución de seguridad que integre, dentro
de sus funcionalidades, la exploración de correos electrónicos y la configuración
del cliente de mensajería para explorar los archivos descargados.

3.16 Bloqueo de direcciones web maliciosas

Existen infinidad de sitios web maliciosamente manipulados o creados con
intenciones dañinas. Casos como la descarga de música o programas que
terminan siendo malware, son ejemplos concretos de páginas que pueden ser
bloqueadas para prevenir infecciones. Muchas veces, los equipos hogareños son
compartidos con los demás integrantes de la familia o con algún amigo. Entonces,
se torna necesario implementar una herramienta que oficie a modo de “control
parental” y que ofrezca la alternativa de bloquear aquellas direcciones web que
poseen contenido malicioso. Asimismo, los fraudes cometidos a través de Internet
son otro de los grandes problemas de seguridad a los cuales se enfrentan los
usuarios que hacen uso de las tecnologías de información. En tal sentido, tampoco
se debe confiar en correos o mensajes que supuestamente provienen de
entidades financieras o bancarias, ya que la mayoría derivan en ataques de
phishing o algún tipo de fraude. ESET Smart Security y ESET NOD32 Antivirus,
brindan la posibilidad de poder realizar estas acciones a través de una
funcionalidad específicamente preparada para filtrar direcciones web con
contenido malicioso [9]. En entornos corporativos, esta utilidad complementa las
protecciones ofrecidas por la solución a nivel perimetral, posibilitando configurar y

pág. 13
monitorear de manera pormenorizada el acceso a determinados sitios web en
cada uno de los nodos que forman parte de la red corporativa.

3.17 Realizar copias de seguridad de los archivos críticos

Otra de las características más comunes del malware es no considerar ni respetar
las necesidades de los usuarios, por lo que muchas veces sus acciones
destructivas derivan en el mal funcionamiento del sistema, el daño y/o eliminación
de archivos críticos del sistema.

En este sentido, es importante adoptar como buena práctica la realización de

copias de seguridad de la información a fuentes externas como cintas, CD, DVD,
discos rígidos, etc. De esta manera, ante una eventual anomalía en el sistema
operativo, ya sea por daño de los archivos nativos del sistema o por la acción de
códigos maliciosos, es mucho más sencillo y rápido volver a recuperar la
información.

3.18 Implementación de solución de seguridad antimalware

Es imprescindible poseer un antivirus que permita bloquear los diferentes tipos de
códigos maliciosos de la actualidad. A lo largo del tiempo, los creadores de
malware han ido incorporando técnicas autodefensivas en sus creaciones para
entorpecer el análisis de los laboratorios de seguridad antimalware y prolongar así
su ciclo de vida, sin ser detectados o eliminados. Es por ello fundamental poseer
soluciones de seguridad con capacidades de detección proactiva que permitan
bloquear distintos tipos de códigos maliciosos, incluso aquellos desconocidos.

3.19 Implementación de un Firewall personal

Un firewall personal es un programa que se coloca entre una red confiable (LAN)
y una no confiable (como Internet), estableciendo reglas de filtrado que permiten o

pág. 14
deniegan el acceso a los recursos de la primera. De esta manera, las acciones
del antivirus se ven complementadas con la creación de una capa de seguridad
que permite proteger la información que fluye por dentro y hacia fuera del entorno.

Una de las características del malware actual es que, cuando ha infectado un

sistema, puede establecer una conexión a Internet y actualizar su código dañino o
descargar otros códigos maliciosos en el equipo víctima.

También es capaz de aprovechar las vulnerabilidades de los navegadores o

utilizar metodologías y técnicas de ataque más avanzadas, como el Drive-by-
Download, que permiten la infección de un sistema con el sólo acceso a una
página web maliciosa o previamente manipulada para inyectar instrucciones
dañinas entre el código original del sitio web.

3.20 Snort
Snort es un IDS en tiempo real desarrollado por Martin Roesch y disponible bajo
GPL. Se puede ejecutar en máquinas UNIX y Windows. Es el número uno en
sistemas de detección de intrusos en este momento. Dispone actualmente de
unas 1.600 reglas y de multitud de aplicaciones para el análisis de sus alertas.

En un principio fue diseñado para cumplir los requerimientos de un IDS ligero para
uso como prototipo. Era pequeño y flexible, pero poco a poco ha ido creciendo e
incorporando funcionalidades que solo estaban presentes en los IDSs
comerciales.

En Snort no es posible separar el componente de análisis y los sensores en

máquinas distintas. Sí que es posible ejecutar Snort atendiendo a varias interfaces
a la vez (cada uno podría estar monitorizando lugares distintos dentro de una red),
puesto que se basa en la librería pcap1, pero esto no permite ningún reparto de
carga en el proceso de análisis.

Es más, ni aun disponiendo de una máquina multiprocesador es posible

(actualmente) hacer balanceo de carga por CPU.

pág. 15
La arquitectura de Snort se enfocó par ser eficiente, simple y flexible. Snort está
formado por tres subsistemas: el decodificador de paquetes, la máquina de
detección y el subsistema de alerta y logs. Corren por encima de la librería
libpcap, la cual es portable y proporciona mecanismos de filtrado y captura de
paquetes.

3.21 Decodificador de paquetes

Soporta gran variedad de protocolos de capa de enlace bajo TCP/IP, tales como
Ethemet, SLIP, PPP y ATM. Es el encargado de organizar los paquetes conforme
van pasando por la pila de protocolos. Cada subrutina del decodificador ordena de
una forma distinta los paquetes, formando una estructura de datos basada en
punteros por encima del tráfico real capturado.

3.22 Motor de detección

Snort mantiene sus reglas de detección en una lista enlazada bidimensional, la
lista base se denomina ’Chain Header’ y la que deriva de ésta se llama ’Chain
Option’.

Cuando llega un paquete al motor de detección, éste busca en la lista ’Chain

Header’ de izquierda a derecha la primera coincidencia. Después, buscará por la
lista ’Chain Option’ si el paquete cumple las opciones especificadas. Si aparece
alguna coincidencia no seguirá buscando y se tomarán las acciones
correspondientes.

Permite definir modos de alerta y log no nativos a Snort, como bases de datos
(MySQL, Oracle, PostgreSQL, MS-SQL), SNMP traps, CSV o salida en formato
XML, por ejemplo.

pág. 16
 3.23 Subsistema de alerta y log
Actualmente hay tres sistemas de log y cuatro de alerta. Las opciones de log
pueden ser activadas para almacenar paquetes en forma decodificada y
entendible por humanos o en formato tcpdump. El formato decodificado se usa
para un análisis rápido y el tcpdump es mucho más rápido de almacenar y
proporciona un mayor rendimiento. También avisan del tipo de ataque detectado y
ofrece información adicional como IP origen y destino, fecha y hora de la detección
y campo de datos.

Snort dispone de un mecanismo que optimiza considerablemente su rendimiento.

Puesto que normalmente se quiere un sistema de back-end potente como una
base de datos SQL para hacer correlaciones de los ataques, las escrituras de los
logs suelen ser muy costosas. Al ser Snort un proceso monolítico, mientras que se
encuentra escribiendo en la base de datos es incapaz de hacer otras cosas, como
procesar el tráfico de entrada. Lógicamente estos procesos necesitan
comunicarse, pero esta comunicación está optimizada para que sea mucho más
rápida que la escritura en una base de datos compleja como pueda ser Oracle o
MS-SQL.

pág. 17
 3.24 Configuración de Snort
Snort lo podemos descargar de www.snort.org/dl/snort-1.8.7.tar.gz

Para instalarlo seguiremos estos pasos:

Descomprimir con tar -zxf snort-1.8.7.tar.gz

Configurar con. /configure --with-mysql --enable-flexresp

make && make install

El fichero principal de configuración de Snort se llama snort.conf y contiene los

preprocesadores a cargar y sus parámetros, los plugins activados en salida y los
ficheros de reglas a incluir en el motor de búsqueda.

Existen multitud de tipos de reglas en Snort, entre los que cabe destacar:

Respuesta a ataques: estas reglas normalmente producen alertas cuando una

máquina han sido comprometida, por ejemplo, devolviendo el identificador de
usuario como root, o devolviendo un listado del directorio en servidores web.

Exploits: estas reglas son actualizadas con frecuencia y evidencian más

claramente un ataque intrusivo. Entre ellas, las más conocidas son el exploit al
servidor SSH, al servidor de impresión en RedHat 7.0 y el exploit por overflow al
servidor IMAP.

DDoS y DoS: Detecta ataques DDoS como Stacheldraht, Trin00, TFN y DoS como
Teardrop, Land-to-Land y Winnuke.

Virus: un compendio algo anticuado (y en busca de alguien que se encargue de

mantenerlo) de casi unos 100 virus.

Política: firmas dedicadas a ayudar a mantener la política de seguridad de una

organización. Detectan actividad de aplicaciones P2P, IRC y telepresencia, entre
otras.

Web-IIS: un total de 91 firmas en Snort 1.8.7beta2 dedicadas exclusivamente al

servidor IIS de Microsoft.

pág. 18
Shellcode: basadas en el shellcode común entre múltiples exploits de uso público,
como operaciones NOOP y llamadas al sistema en distintas plataformas hardware
y software. Estas los patrones de estas firmas son buscados en todos los puertos,
por lo que activando estas firmas (no cargadas por defecto) el rendimiento cae
estrepitosamente.

NetBIOS: actividad sospechosa de NetBIOS, como acceso al directorio ’...’ o

propagación del gusano Nimda.

Se han utilizado las reglas que vienen con Snort por defecto en la instalación,
unas 1700 en la versión 1.8.7beta2, y se han cargado todas (cosa que no viene
por defecto) en snort.conf como peor de los casos de carga máxima que la
máquina deberá soportar. Más tarde, cuando el IDS sea gestionado por
administradores de la red de la Universidad como sistema de producción real, se
pueden eliminar el conjunto de reglas que no se considere oportuno.

Se añadió una regla nueva que registraba cada intento de conexión. La regla es la
siguiente:

alert tcp $EXTERNAL_NET any ->$HOME_NET any (msg:"TCP SYN received";

flags:S; classtype:misc; sid:3324; rev:1;)

También se modificaron algunas reglas para que respondieran a ataques, como es

el caso de las reglas que detectaban la presencia de un CodeRed o el Nimda.

Estas reglas necesitan del módulo flexresp, incluido en Snort en la etapa de

configuración con ./configure. Como ejemplo, a la siguiente regla que detecta un
acceso al fichero root.exe por parte del gusano CodeRed v2, se le ha configurado
para que cierre la conexión establecida en ambos extremos, lo cual evita que el
gusano siga su infección.

Alert tcp $EXTERNAL_NET any ->$HTTP_SERVERS 80 (msg:"WEB-IIS CodeRed

v2 root.exe access"; flags: A+; uricontent:"scripts/root.exe?"; resp: rst_all; nocase;
classtype:web-application-attack; sid: 1256; rev:2;)

pág. 19
Para conseguir esto, Snort utiliza una técnica conocida como spoofing y muy
utilizada por los intrusos, que consiste en falsear la dirección IP origen de los
paquetes que enviamos, algo trivial en IPv4, pero que no suele funcionar muy bien
cuando monitorizamos medios dedicados muy rápidos, ya que para cuando Snort
ha enviado su TCP RST con el número de secuencia adecuado, los hosts
implicados en la conexión ya han avanzado en su conversación y descartan los
segmentos que Snort les envió.

3.25 Mejorar el rendimiento

Para mejorar el rendimiento de Snort, se ha utilizado un programa llamado
Barnyard que se encarga de liberar a Snort del trabajo que supone escribir las
alertas y los logs en un formato dado, por ejemplo, en la base de datos. Barnyard
lee ficheros de salida de Snort en formato unificado y los traduce a la salida que
queramos. En nuestro caso, esa transformación consiste en la inserción de los
logs en MySQL. Para esta configuración, debemos añadir en snort.conf estas
líneas: output alert_unified: filename Snort. Alert, limit 128 output log_unified:
filename snort.log, limit 128

pág. 20
 3. 26 Tipos de intrusos

Usuario fraudulento
Hace referencia a un usuario que accede de manera ilegal a recursos de la
organización o que, teniendo los permisos, hace uso indebido de la información
disponible.

Suplantador
Es una persona que no tiene nada que ver con los accesos legales en la
organización pero que logra llegar hasta el nivel de tomar la identidad de un
usuario legítimo para acceder y realizar el daño.

Usuario clandestino
Es una persona que puede tomar el control de auditoria del sistema de la
organización. Normalmente el suplantador es una persona externa, el usuario
fraudulento es interno y el usuario clandestino puede ser externo o interno. Los
ataques de los intrusos, sin importar el tipo que sean, pueden ser catalogados
como graves o benignos, en el benigno únicamente acceden para ver lo que hay
en la red mientras que en los graves se puede robar información y/o modificar
dentro de la misma.

pág. 21
 3.27 Técnicas de intrusión
Como sabemos la forma común de acceder a un sistema es a través de
contraseñas y esto es a lo que el intruso apunta, adquirir contraseñas usando
diferentes técnicas para así lograr su objetivo de violar los accesos y obtener
información. Es recomendable que nuestro archivo de contraseñas esté protegido
con alguna de los siguientes métodos:

Cifrado unidireccional

Esta opción almacena únicamente una forma cifrada del password del usuario así
cuando el usuario ingresa su contraseña el sistema la cifra y la compara con el
valor que tiene almacenado y si es idéntica habilita el acceso de lo contrario lo
deniega.

Control de acceso

Con este método el acceso de contraseñas es muy limitado, solamente a una o

unas cuantas cuentas.

Los métodos que usan comúnmente los hackers, según algunos análisis son:

 Probar las palabras del diccionario o listas de posibles contraseñas que

están disponibles en páginas de hackers
 Intentar con los números de teléfono de los usuarios o documentos de
identificación
 Probar con números de placas de automóviles
 Obtener información personal de los usuarios, entre otras

Cifrado unidireccional
Las funciones HASH o resumen se basan en realizar un cálculo que devuelve un
valor de longitud fija sobre el texto que deseamos cifrar. Este cifrado no es
reversible, y normalmente se utiliza para almacenar claves de usuario (al realizar
la verificación de identidad, se calcula el valor HASH de la contraseña introducida,
y si coincide con el HASH de la almacenada, se considera correcta). La gran
ventaja de un cifrado HASH es que accediendo, por ejemplo a la tabla de

pág. 22
usuario/contraseña almacenada en un directorio la información no es
comprometedora

3.28 Control de acceso

Es un programa para Windows que permite controlar, de una manera segura, un
equipo remoto y transferir archivos vía Internet o una red local. El programa
muestra el equipo remoto en su pantalla local y le permite utilizar su ratón y
teclado para controlarlo. Es decir, con este programa usted puede trabajar en un
equipo remoto como si estuviera sentado delante de él, no importa el lugar en el
que se encuentre realmente. El sistema de transferencia de archivos incorporado
en el programa le permite mover archivos entre el equipo local y el remoto. Con
Anyplace Control, usted puede encender o apagar un equipo remotamente, utilizar
su ratón y teclado, y utilizar muchas otras funciones fácilmente. El programa
también incluye la función de instalación remota que le da la facilidad para instalar
y configurar nuestro programa en múltiples equipos remotos sin necesidad de
estar físicamente presente en cada uno de ellos.

3.29 Detección de los intrusos

Como administradores podemos analizar el comportamiento de los usuarios
dentro de nuestra organización y detectar, con mucho análisis, si presenta algún
comportamiento extraño, tal como acceso a través de la intranet a computadores o
carpetas que no debe acceder, modificación de archivos, etc. Una de las
herramientas que nos servirá mucho en el análisis de los intrusos es el registro de
auditoria ya que esta nos permite llevar un control de las actividades realizadas
por los usuarios.

 Podemos usar dos (2) tipos de planes de auditoría:

Registros de auditoría específicos para detección:

Podemos implementar dichos registros para que sólo nos muestre la información
requerida por el sistema de detección de intrusión.

pág. 23
Registros nativos de auditoría:

Es la herramienta que viene por defecto en los sistemas operativos y almacena

toda la actividad de los usuarios, por ejemplo, el visor de eventos de Microsoft
Windows.

3.30 Protección con contraseñas

Muchos ataques suelen ser realizados precisamente por la debilidad de las

contraseñas. El acceso a todos los dispositivos, las redes inalámbricas y los datos
confidenciales deben ser protegidos con nombres de usuarios y contraseñas
asignados no debe tener menos de siete dígitos

3.31 Monitoreo de equipos

Es necesario prevenir ataques desde la propia red interna de la empresa.

Por esto, puede ser conveniente monitorear los equipos del usuario de la
organización para evitar actividad sospechosa.

3.32 Precaución con archivos adjuntos de email

Nunca se debe abrir archivos adjuntos de emails desconocidos, porque

pueden contener virus. Antes de abrir archivos, es necesario contactar al
remitente para confirmar que haya enviado esos contenidos. Si no se
conoce al remitente, es mejor borrar el mensaje, bloquear la cuenta que lo
envió y advertir a los demás para que hagan lo mismo.

3.33 Precaución con links

Aunque los remitentes parezcan conocidos, hay que evitar ingresar a links
en los que se soliciten nombres de usuario, contraseñas o información
personal.

pág. 24
 3.34 Usar un antivirus y mantenerlo actualizado

En cualquier ordenador, es necesario tener una aplicación antivirus

instalada. También es necesario mantener este software actualizado para
tener protección contra nuevos virus y variantes de amenazas
anteriormente conocidas.

3.35 DEFENSAS ACTIVAS

Son actividades y programas cuya función es evitar los ataques informáticos

como los virus, gusanos, troyanos y otros invasores (malware) que puedan
dañar el equipo, mientras éste esté funcionando. La función que realizan es
comparar el código de cada archivo con una base de datos de los códigos de
lo virus conocidos, por lo que es primordial actualizarla periódicamente para
evitar que un nuevo virus sea detectado.

3.36 ENCRIPTACION DE DATOS

Se trata del cifrado de datos con el que se garantiza que nadie lea la
información por el camino, el remitente sea realmente quien dice ser, el
contenido del mensaje enviado, no sea modificado en su tránsito.

3.37 SOFTWARES DE SEGURIDAD INFORMATICA

El antivirus: Detecta, impide que se ejecute y elimina el software malignó de

nuestro equipo.

El cortafuego: Permite o prohíbe la comunicación entre las aplicaciones de

nuestro equipo e Internet, para evitar que alguien haga funcionar una
aplicación en nuestro ordenador sin permiso.

Software Anti spam: Son filtros que detectan el correo basura.

pág. 25
 Software Antispyware: orientados a la detección, bloqueo y eliminación de
software espía.

3.38 DEFENSAS PASIVAS

PARTICION DE DISCO DURO

Podremos guardar los datos en una partición distinta a la que utilizamos para
instalar el sistema operativo, de forma que si tenemos que formatear el equipo
no necesitaremos sacar todos los datos

COPIAS DE SEGURIDAD

Sirven para restaurar un ordenador que ya no arrancado para recuperar el

contenido de ficheros que se han perdido. Esta garantiza la recuperación de
tus datos y la repuesta cuando nada de lo anterior ha funcionado. Es
conveniente disponer de una licencia activa de antivirus; ya que ésta se
empleará para la generación de discos de recuperación y emergencia, pero no
es recomendable el uso continuo de antivirus.

3.39 Su navegador web.

Independientemente del navegador que usted use es importante que lo actualice

con cada versión nueva que fortalece la protección contra las vulnerabilidades de
seguridad. NoScript protege contra las descargas automáticas en donde un
programa malicioso podría ser bajado y ejecutado en su computadora con el
simple hecho de visitar un sitio web por lo que NoScript, cuando usted instala el
programa bloquea de forma predeterminada la secuencia de comandos o "scripts"
como JavaScript, Java, Flash, Silverlight y otros. Usted puede permitir que
los scripts funcionen en un sitio que usted confía (por ejemplo, su banco) con
simplemente hacer un clic con el mouse. Usted puede autorizar los scripts para
una sesión en particular o de forma permanente si confía en el sitio web.

pág. 26
 3.40 Seguridad informática para usuarios

Este documento tiene el propósito de proveer información básica sobre la

seguridad informática para usuarios de computadoras e internet. Ningún sistema
es invulnerable pero creemos que siguiendo los consejos y tutoriales que
ofrecemos aquí puedes dar un gran paso para proteger la seguridad de tus datos
públicos, tus datos privados y tu identidad en internet.

3.41 Consejos básicos

Antes de profundizar en temas más específicos revisaremos algunos consejos

básicos para evitar las vulnerabilidades más comunes a nivel usuario.

3.42 Hacer respaldos de tus datos

El consejo más importante que podemos ofrecer a cualquier organización,

colectivo o individuo es que siempre mantengan respaldos de su información
digital más importante. De nada te servirán técnicas más avanzadas de seguridad
si pierdes tu información por una falla mecánica o eléctrica.

Todo tipo de almacenamiento digital es propenso a fallas. Los discos duros, cd’s,
dvd’s, y memorias de usb pueden fallar en cualquier momento. Es difícil predecir
las condiciones bajo las cuales eso puede pasar. La única solución viable para
prevenir la perdida de datos es mantener múltiples respaldos de tu información.

 Discos Duros Hoy en día los discos duros externos son relativamente
económicas y pueden contener grandes cantidades de información.
Comprar uno o más discos duros externos para sus respaldos y
mantenerlos en un lugar seguro y en buen estado puede ser muy buena
inversión.

 Discos ópticos Hacer respaldos con medios ópticos como CD’s y DVD’s
grabables sigue siendo una opción viable. En el caso de los discos ópticos
es muy importante quemar por lo menos 2 copias idénticas de cada disco
ya que es conocido que los CD’s DVD’s deterioran sobre tiempo.

pág. 27
  Memoria Flash Las memorias tipo usb y otros tipos almacenamiento
basados en memoria flash solo se deben emplear como medios de
respaldo temporal ya que aún no son comprobados sus características de
degradación sobre tiempo.

 La nube Existen muchos servicios que permiten subir archivos a un

servidor en la red. Esto puede ser una opción viable y conveniente siempre
y cuando confía en el proveedor del servicio. Si es importante que nadie
más puede revisar los contenidos de sus respaldos debe considerar cifrar
los datos antes de subirlos a la red.

Utilizar una combinación de los medios mencionados puede ser ideal. Sin importar
el método que escoges es altamente recomendable hacer un plan de respaldos de
tu información y hacerlo de forma periódica y sistemática.

3.43 Documentación privada: archivos, carpetas y discos cifrados

Las computadoras y los discos pueden ser robados, extraviados o caer en las
manos equivocados. Si tienes datos sensibles que no deben ser revisados por
otras personas debes tomar precauciones para protegerlos. Si utilizas un sistema
operativo de software libre como GNU Linux existen varios opciones para cifrar
sus datos de manera que solo pueden ser revisados con una clave o contraseña
que mantienes secreto.

 Cryptkeeper – Es un software que se puede instalar fácilmente en

distribuciones de GNU linux como Ubuntu, Debían y Fedora. Cryptkeeper,
basado en EncFS, permite cifrar uno o más directorios en tu sistema.

 Cifrado de carpeta personal – Ambos Debian y Ubuntu ofrecen la opción de

crear una carpeta personal cifrado basado en LUKS DM-Crypt al momento de
instalar el sistema. Esto es una opción ideal y conveniente.

 Cifrado de disco duro entero – Para mayor seguridad es posible cifrar el

sistema completo utilizando LUKS DM-Crypt. Ahora esto tambien es una
opción en el menu de instalación de distribuciones como Debian.

pág. 28
  Tomb – Tomb es un software desarrollado por el equipo de Dynebolic. Es
similar a Cryptkeeper pero basado en DM-crypt. Mas info:
github.com/dyne/Tomb/wiki

 Truecrypt – Ya no recomendamos el uso de Truecrypt debido a problemas

con su licencia.

3.44 Borrado seguro

Cuando borras un archivo de tu computadora normalmente lo que hace tu sistema

operativo es eliminar la referencia visible a este archivo y tomar en cuenta que
esta espacio en el disco ya puede ser utilizado para nuevos archivos. Pero la
huella de los datos del archivo borrado aún permanece en su lugar hasta que el
mismo espacio en el disco duro sea sobre escrito. Si el archivo en cuestión
contenía información sensible no debes dejar el disco a disposición de
desconocidos. Programas como testdisk y photorec pueden ser utilizados para
recuperar un archivo borrado de manera común. Para mayor seguridad utiliza
programas de Linux como shred y scrub para no lo borrar la referencia a un
archivo sino sobre escribir el espacio que ocupaba en el disco duro con datos
aleatorios.

Capítulo 4 : Procedimientos en caso de la detección de algún ataque

o intruso.
4.1 Wireshark
Es uno de esos programas que muchos administradores de red le encantaría ser
capaz de utilizar, pero a menudo se les impide conseguir lo que quieren de
Wireshark a causa de la falta de documentación.

pág. 29
 Utilización

 Los administradores de red utilizan para solucionar problemas de red

 Los ingenieros de seguridad de red lo utilizan para examinar los problemas

de seguridad

 Los desarrolladores utilizan para depurar implementaciones del protocolo

 Personas lo utilizan para aprender internas del protocolo de red

Características

 Disponible para UNIX y Windows.

 Captura de paquetes de datos en vivo de una interfaz de red.
 Muestra los paquetes con información de protocolo muy detallado.
 Abrir y guardar datos de paquetes capturados.
 Importar y exportar datos de paquetes desde y hacia muchos otros
programas de captura.
 Filtrar paquetes en muchos criterios.
 Búsqueda de paquetes en muchos criterios.
 Colorear muestra de los paquetes en base a filtros.

Elementos del Wireshark

 La barra de Menús.
El menú de Wireshark se encuentra en la parte superior de la ventana de
Wireshark

 El Menú File
Este menú contiene opciones para abrir y combinar archivos de captura, guardar /
imprimir / exportar archivos de captura en su totalidad o en parte, y para salir de
Wireshark.

pág. 30
Open: Este elemento de menú abre el cuadro de diálogo de abrir archivo que le
permite cargar un archivo de captura para su visualización.

2. Open Recent: Este elemento de menú muestra un sub menú que contiene
los archivos de captura abiertos recientemente.

3. Merge: Este elemento de menú abre el cuadro de diálogo de archivo de

combinación que le permite combinar un archivo de captura a la carga en la
actualidad

pág. 31
  Importar capturas

Este elemento de menú abre el cuadro de diálogo de importación de archivos que

le permite importar un archivo de texto en una nueva captura temporal.

 Guardar como:
Este elemento de menú le permite guardar el archivo de captura actual a cualquier
archivo que desee. Se aparece el archivo de captura cuadro de diálogo Guardar
Como

pág. 32
  Set del archivo

Lista de archivos Esta opción de menú le permite mostrar una lista de archivos en
un conjunto de archivos. Se aparece el cuadro de diálogo Set List File Wireshark

Las siguientes funciones en el "Set File" submenú del menú "Archivo" están
disponibles para trabajar con conjuntos de archivos de una forma sencilla

pág. 33
4.2 Estrategias que previenen ataques a la red de la empresa.

Una vez iniciada la captura es posible filtrar los paquetes capturados de acuerdo a
la necesidad de quien esté analizando el malware. Como primer tarea, es

posible reconocer a que servidores se conectó a través de las peticiones del DNS.

Para observarlo con más comodidad es posible aplicar un filtro. Específicamente,

si se escribe DNS en el campo de los filtros y se lo aplica, serán visibles todas las

resoluciones de nombres en direcciones IP. En el caso del malware, permite

reconocer con que servidores se conecta. Aplicando el filtro “http.request” es

posible obtener todos los GET y POST que fueron realizados durante el periodo

de captura. Este tipo de peticiones es muy utilizado por los códigos maliciosos,

incluso para enviar información sobre el sistema infectado. Este tipo de

herramientas no solo es utilizado en el análisis de malware sino también en el

estudio de protocolos de red, la búsqueda de vulnerabilidades y demás

aplicaciones.

4.3 Firewall

Un firewall es un programa que controla el intercambio de información entre una

red (local o Internet) y el ordenador. El firewall examina los datos entrantes y los
datos salientes del ordenador. Windows viene con un Firewall integrado que
controla cómo los programas acceden a Internet. En definitiva, siempre que te

pág. 34
conectes a Internet, deberás protegerte contra el adware y el spyware mediante un
firewall.
Función
La computadora podría tener algún punto débil, y este punto débil puede ser
conocido por los hackers, pero no necesariamente por ti. Si no mantienes tu
sistema operativo y tu software debidamente actualizado, un firewall podrá
ayudarte a prevenir que personas maliciosas saquen provecho de las
vulnerabilidades de tu sistema.Si la computadora está infectada, los firewalls, si
están configurados y actualizados, pueden evitar que tanto el adware como el
spyware “llamen a casa”, de modo que las propagandas no sean entregadas en tu
máquina y, asimismo, ésta no sea monitoreada y grabada.El spyware y el adware,
una vez instalados, pueden abrir "agujeros" en tu máquina a través de los cuales
pueden entrar otras amenazas. Un firewall instalado en forma correcta y
actualizada puede tapar muchos de estos agujeros, ayudando a prevenir que otros
enemigos infecten tu computadora.

Utilización
Cuando un intercambio de información se va a producir, el firewall informa al
usuario del tipo de datos (salientes/entrantes), la dirección IP y del puerto
concernido (bajo la forma), el nombre de dominio (el "sitio web") que envía la
solicitud (si está disponible), y, en el caso de programas que quieran tomar control
del equipo, el firewall pregunta al usuario si bloquea o abre los puertos. En el caso
de datos entrantes, es posible desactivar las alertas para que el firewall bloquee
automáticamente los puertos sin esperar una respuesta del usuario.

pág. 35
 Tipos de firewall
Firewall proxy

Un firewall proxy, uno de los primeros tipos de dispositivos de firewall, funciona

como gateway de una red a otra para una aplicación específica. Los servidores
proxy pueden brindar funcionalidad adicional, como seguridad y almacenamiento
de contenido en caché, evitando las conexiones directas desde el exterior de la
red. Sin embargo, esto también puede tener un impacto en la capacidad de
procesamiento y las aplicaciones que pueden admitir.

Firewall de inspección activa

Un firewall de inspección activa, ahora considerado un firewall “tradicional”,

permite o bloquea el tráfico en función del estado, el puerto y el protocolo. Este
firewall monitorea toda la actividad, desde la apertura de una conexión hasta su
cierre. Las decisiones de filtrado se toman de acuerdo con las reglas definidas por
el administrador y con el contexto, lo que refiere a usar información de conexiones
anteriores y paquetes que pertenecen a la misma conexión.

Firewall de administración unificada de amenazas (UTM)

Un dispositivo UTM suele combinar en forma flexible las funciones de un firewall

de inspección activa con prevención de intrusiones y antivirus. Además, puede
incluir servicios adicionales y, a menudo, administración de la nube. Los UTM se
centran en la simplicidad y la facilidad de uso.

Firewall de próxima generación (NGFW)

Los firewalls han evolucionado más allá de la inspección activa y el filtrado simple
de paquetes. La mayoría de las empresas están implementando firewalls de

pág. 36
próxima generación para bloquear las amenazas modernas, como los ataques de
la capa de aplicación y el malware avanzado.

NGFW centrado en amenazas

Estos firewalls incluyen todas las funcionalidades de un NGFW tradicional y

también brindan funciones de detección y corrección de amenazas avanzadas.

4.4 Contraseñas

Precauciones para crear una contraseña

Tanto en el ordenador del trabajo, como en el propio del hogar existe información
y se realizan operaciones cuya repercusión económica y personal es muy
importante. Esto afecta a los sistemas de las empresas y equipos informáticos, así
como a la privacidad del usuario. A ninguno se nos ocurriría dejarle la llave de
nuestro hogar a cualquier desconocido que nos la pidiera, incluso al perderla se
procede a cambiarla inmediatamente. Algo parecido sucede con nuestras
contraseñas. A nadie se le ocurriría dejarle el nombre de usuario y contraseña de
acceso a nuestros servicios bancarios por la Red a un desconocido, o siquiera, a
un conocido. La repercusión de este hecho puede suponer desde que nos vacíen
la cuenta suplantando nuestra persona, o en el caso de nuestro trabajo, que se
apoderen de todos los datos en nuestro equipo contenidos o, incluso, puedan
eliminarlos, perdiendo hasta años de trabajo por una descuidada gestión de
nuestras contraseñas.

Consecuencias de la sustracción de la contraseña

El objetivo de la sustracción de nuestras contraseñas para con ellas apropiarse de
información sensible para el usuario con una finalidad de tipo económico o bien
realizar otras acciones dañinas o delictivas como borrado de toda información,
chantaje, espionaje industrial, etc. Las consecuencias son diversas y varían según
el valor que cada usuario haya establecido para la información. En el ámbito

pág. 37
laboral, las consecuencias pueden llegar a ser catastróficas si un tercero suplanta
nuestra identidad utilizando nuestro usuario y contraseña. Así, podría acceder a
los sistemas corporativos con nuestro usuario y, bien sustraer todo tipo de
información del trabajador y/o la empresa, o bien utilizar esta entrada para
modificar o incluso eliminar archivos, con las consecuencias económicas, de
responsabilidad jurídica y pérdidas de imagen que ello supondría.

Acciones para construir contraseñas seguras

 Se deben utilizar al menos 8 caracteres para crear la clave. El
número medio de caracteres por contraseña para usuarios entre 18 y
58 años habituales de Internet es de 7. Esto conlleva el peligro de
que el tiempo para descubrir la clave se vea reducido a minutos o
incluso segundos.
 Se recomienda utilizar en una misma contraseña dígitos, letras y
caracteres especiales.
 Es recomendable que las letras alternen aleatoriamente mayúsculas
y minúsculas. Hay que tener presente el recordar qué letras van en
mayúscula y cuáles en minúscula.
 Elegir una contraseña que pueda recordarse fácilmente y es
deseable que pueda escribirse rápidamente, preferiblemente, sin que
sea necesario mirar el teclado.
 Las contraseñas hay que cambiarlas con una cierta regularidad. Y, a
la vez,
 hay que procurar no generar reglas secuenciales de cambio. Por
ejemplo, crear una nueva contraseña mediante un incremento
secuencial del valor en relación a la última contraseña.
 Utilizar signos de puntuación si el sistema lo permite. En este caso
de incluir otros caracteres que no sean alfa-numéricos en la
contraseña, hay que comprobar primero si el sistema permite dicha

pág. 38
 elección y cuáles son los permitidos. Dentro de ese consejo se
incluiría utilizar símbolos como: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [
\]^_`{|}~

Acciones que deben evitarse en la gestión de contraseñas

 Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o
servicios. Por ejemplo, si se utilizan varias cuentas de correo, se debe
recurrir a contraseñas distintas para cada una de las cuentas.
 No utilizar información personal en la contraseña: nombre del usuario o de
sus familiares, ni sus apellidos, ni su fecha de nacimiento.
 Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”,
“asdf” o las típicas en numeración: “1234” ó “98765”)
 No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
 No se debe utilizar como contraseña, ni contener, el nombre de usuario
asociado a la contraseña.
 No utilizar datos relacionados con el usuario que sean fácilmente
deducibles, o derivados de estos. (ejemplo: no poner como contraseña
apodos, el nombre del actor o de un personaje de ficción preferido, etc.).
 No escribir ni reflejar la contraseña en un papel o documento donde quede
constancia de la misma. Tampoco se deben guardar en documentos de
texto dentro del propio ordenador o dispositivo (ej: no guardar las
contraseñas de las tarjetas de débito/crédito en el móvil o las contraseñas
de los correos en documentos de texto dentro del ordenador),
 No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos
explicativos de construcción de contraseñas robustas.

pág. 39
 Herramientas y soluciones informáticas
Existe también la posibilidad de recurrir a herramientas y soluciones de
software que creen las contraseñas seguras que vamos a utilizar.

4.5 Antivirus
Son programas que fueron creados en la década de los 80 con el objetivo de
detectar y eliminar virus informáticos. Con el paso del tiempo los sistemas
operativos e internet han evolucionado, lo que ha hecho que los antivirus se
actualicen constantemente, convirtiéndose en programas avanzados que no sólo
detectan los virus, sino que los bloquean, desinfectan archivos y previenen
infecciones de los mismos. Actualmente, los antivirus reconocen diferentes tipos
de virus como malware, spyware, gusanos, troyanos, rootkits, etc.

Funcionamiento
Cada programa maligno tiene un código de "firma" o huella digitales que lo
identifica, por lo cual es detectado por el antivirus. Algunos antivirus tiene la
capacidad de detectar programas malignos que no están en su base de datos.
Esto se realiza por medio del sondeo del sistema en busca de síntomas clásicos
de infección, como por ejemplo fechas extrañas en archivos, programas residentes
en la memoria, una configuración extraña.

Clasificación de los antivirus

Antivirus preventores:
Se caracterizan por avisar antes de que se presente la infección. Este tipo, por lo
general, permanece en la memoria del computador, monitoreando las acciones y
funciones del sistema.

pág. 40
Antivirus identificadores:
Este tipo de antivirus tiene objetivo identificar programas infecciosos que
pueden afectar el sistema. Además, rastrean secuencias de códigos
específicos vinculados con dichos virus.

Antivirus descontaminadores:
Tienen características similares a los identificadores. Sin embargo, se
diferencian en que estos antivirus se especializan en descontaminar un
sistema que fue infectado, a través de la eliminación de programas malignos.
El objetivo principal de este tipo de antivirus es que el sistema vuelva a estar
como en un inicio.

4.6 Mecanismos de antivirus para la detección de virus

 Firma digital: consiste en comparar una marca única del archivo con una
base de datos de virus para identificar coincidencias.
 Detección heurística: consiste en el escaneo de los archivos buscando
patrones de código que se asemejan a los que se usan en los virus.
 Detección por comportamiento: consiste en escanear el sistema tras
detectar un fallo o mal funcionamiento. Mediante este mecanismo se
pueden detectar software ya identificado o no, pero es una medida que se
usa tras la infección.
 Detección por caja de arena: consiste en ejecutar el software en
máquinas virtuales y determinar si el software ejecuta instrucciones
maliciosas o no. A pesar de que este mecanismo es seguro, toma bastante
tiempo ejecutar las pruebas antes de ejecutar el software en la máquina
real.

pág. 41
 4.7 Instalación de antivirus avast

Instalar Avast Free Antivirus

Su método de instalación preferido:

INSTALACIÓN HABITUAL

INSTALACIÓN PERSONALIZADA

Para instalar Avast Free Antivirus en su PC, siga estos pasos:

Descargue el instalador sin conexión para Avast Free Antivirus haciendo clic en el
botón que aparece a continuación:

DESCARGAR AVAST FREE ANTIVIRUS

...y guárdelo en una ubicación familiar de su PC (por ejemplo, el escritorio de

Windows).

Haga clic con el botón derecho sobre el archivo de

instalación avast_free_antivirus_setup_offline.exe descargado y
seleccione Ejecutar como administrador en el menú contextual.

pág. 42
Cuando se le pidan permisos en el cuadro de diálogo del Control de cuenta de
usuario, haga clic en Sí (o Continuar).

Haga clic en Instalar para proceder con la instalación predeterminada.

pág. 43
Haga clic en Continuar.

Revise la Política de privacidad de Avast y haga clic en Continuar.

pág. 44
Si se le pide que instale Avast Free Mobile Security, haga clic sobre la opción
correspondiente según sus preferencias.

Avast Free Antivirus está ahora instalado en su PC y está listo para usarse. Puede
acceder a la interfaz de usuario de Avast a través del icono de la bandeja del
sistema de Avast en la barra de tareas de Windows, o bien con el icono de
Avast del escritorio de Windows.

Para registrar Avast Free Antivirus, vaya a Opciones ▸ Suscripción y haga clic
en Registrarse ahora. Para registrarse en la última versión de Avast, no es
necesario introducir los datos de contacto. Para obtener instrucciones detalladas,
lea el artículo siguiente:

 Activación de Avast Free Antivirus

 Se aplica a Avast Free Antivirus.

pág. 45
Ya no es necesario registrar su Avast Free Antivirus, ya que su licencia gratuita
inicial se activa automáticamente después de la instalación. Cuando su licencia
gratuita expire, puede dejar que el programa la renueve automáticamente. Como
alternativa, puede activar manualmente su licencia de 1 año siguiendo los pasos
de este artículo.

En las instrucciones de este artículo, se da por hecho que Avast Free Antivirus ya
está instalado en el PC. Si todavía no ha instalado Avast Free Antivirus en el PC,
consulte los pasos del artículo siguiente:

Instalación de Avast Free Antivirus

Activación manual de Avast Free Antivirus

Para activar manualmente su licencia gratuita, siga estos pasos:

Abra la interfaz de usuario de Avast y vaya a Configuración.

Haga clic en la pestaña Suscripción y, a continuación, haga clic en Renovar

ahorajunto a Avast Free Antivirus.

pág. 46
Haga clic en Seleccionar en la columna Avast Free Antivirus.

Haga clic en el icono X en la pantalla nueva que aparece para volver a la pantalla
principal de Avast Free Antivirus.

Su licencia de Avast Free Antivirus se activa por un año. Cuando su licencia

caduque, puede dejar que el programa la renueve automáticamente o puede
activar manualmente su licencia siguiendo los pasos anteriores. Para comprobar si
su suscripción está activa, vaya a Configuración ▸ Suscripción y asegúrese de
que el texto Activo aparece junto a Estado de la suscripción.

pág. 47
 4.8 Snort

Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS).

Implementa un motor de detección de ataques y barrido de puertos que permite
registrar, alertar y responder ante cualquier anomalía previamente definida como
patrones que corresponden a ataques, barridos, intentos aprovechar alguna
vulnerabilidad, análisis de protocolos, etc. conocidos. Todo esto en tiempo real.

Como se obtiene:
El Snort está disponible (http://www.snort.org/) bajo la licencia GPL, gratuito y
funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y
dispone de una gran cantidad de filtros o patrones ya predefinidos, así como
actualizaciones constantes ante caso de ataques, barridos o vulnerabilidad que
vayan siendo detectadas a través de los distintos boletines de seguridad.

Características:
Una característica muy importante e implementada desde hace pocas versiones
es FlexResp. Permite, dada una conexión que emita tráfico malicioso, darla de
baja, hacerle un DROP mediante el envío de un paquete con el flag RST activa,
con lo cual cumpliría funciones de firewall, cortando las conexiones que cumplan
ciertas reglas predefinidas. No sólo corta las conexiones ya que puede realizar
otras muchas acciones.

pág. 48
 4.9 Ejemplos de cómo configuración snort

C:\Snort20\bin>snort
-*> Snort! <*-
Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)
1.7-WIN32 Port By Michael Davis (mike@datanerds.net,
www.datanerds.net/~mike)
1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
USAGE: snort [-options] <filter options>
snort /SERVICE /INSTALL [-options] <filter options>
snort /SERVICE /UNINSTALL
Snort /SERVICE /SHOW
Options:
-A Set alert mode: fast, full, console, or none (alert file alerts only)
-b Log packets in tcpdump format (much faster!)
-c <rules> Use Rules File <rules>
-C Print out payloads with character data only (no hex)
-d Dump the Application Layer
-e Display the second layer header info
-E Log alert messages to NT Eventlog. (Win32 only)
-f Turn off fflush() calls after binary log writes
-F <bpf> Read BPF filters from file <bpf>
-h <hn> Home network = <hn>
-i <if> Listen on interface <if>
-I Add Interface name to alert output
-k <mode> Checksum mode (all,noip,notcp,noudp,noicmp,none)
-l <ld> Log to directory <ld>
-L <file> Log to this tcpdump file
-n <cnt> Exit after receiving <cnt> packets
-N Turn off logging (alerts still work)
-o Change the rule testing order to Pass|Alert|Log
-O Obfuscate the logged IP addresses
-p Disable promiscuous mode sniffing
-P <snap> Set explicit snaplen of packet (default: 1514)
-q Quiet. Don't show banner and status report
-r <tf> Read and process tcpdump file <tf>
-R <id> Include 'id' in snort_intf<id>.pid file name
-s Log alert messages to syslog
-S <n=v> Set rules file variable n equal to value v
-T Test and report on the current Snort configuration
-U Use UTC for timestamps
-v Be verbose
-V Show version number
-W Lists available interfaces. (Win32 only)

pág. 49
-w Dump 802.11 management and control frames
-X Dump the raw packet data starting at the link layer
-y Include year in timestamp in the alert and log files
-z Set assurance mode, match on established sesions (for TCP)
-? Show this information
<Filter Options>
are standard BPF options, as seen in TCPDump

pág. 50
 4.10 Conclusión
Para concluir con este manual damos por entendido que existen múltiples puntos
de acceso para obtener Información y acceso a un entorno que se considera
seguro. Por lo tanto, las cuestiones relacionadas al ambiente informático por
mínimas que parezcan, y seguir las mejores prácticas recomendadas por los
profesionales de seguridad es un buen consejo a tener en cuenta. Por este motivo
hay que recordar siempre que el enemigo es la ignorancia y que el
desconocimiento siempre favorece a los atacantes. Como hemos visto, las
amenazas informáticas ponen en riesgo nuestra red y la integridad de nuestra
información. Es por esto, que el tomar las medidas de seguridad necesarias para
resguardar la integridad de los datos que se manejan en ella, se convierten en un
tema primordial de todo usuario. Existen diferentes medidas que se pueden
adoptar para prevenir las amenazas de la red como lo son: Antivirus, Anti-
spyware, firewall, actualizaciones del sistema, etc. Como hemos visto en la vida
diaria ocupamos la tecnología y estamos expuestos a los ataques informáticos por
ello las comunicaciones que hacen que se mueva el mundo utilizan computadoras,
equipos y sistemas; es así, que se han convertido estos en algo cotidiano pero de
lo cual dependemos, por eso es necesario tener todas las medidas pertinentes
para evitar fallas, ataques y fraudes. La falta de medidas de seguridad en las
redes es un problema que está en crecimiento. Cada vez es mayor el número de
atacantes y cada vez están más organizados, por lo que van adquiriendo día a día
habilidades más especializadas que les permiten obtener mayores beneficios.
Tampoco debes de subestimar las fallas de seguridad que provienen del interior
mismo de la organización.

pág. 51
 4.11 Referencias bibliográficas:

(http://seguridadyredes.nireblog.com/post/2009/11/27/detectando-sniffers-en-nuestra-red-
redesconmutadas-y-no-conmutadas-actualizacion)

(http://wiki.wireshark.org/SampleCaptures)

(www-rnks.informatik.tu-cottbus.de/~sobirey/aid.e.html)

(“Building Internet Firewalls)

pág. 52