RESUMEN UNIDAD 7 LIBRO SEGURIDAD INFORMÁTICA

ROMERO MARTÍNEZ CARLOS ENRIQUE

COD: 161215168

LUIS ALBERTO GUTIERREZ

DOCENTE

UNIVERSIDAD DE CUNDINAMARCA
FACULTAD DE INGENIERÍA
PROGRAMA INGENIERÍA DE SISTEMAS
AUDITORÍA Y SEGURIDAD INFORMÁTICA
FUSAGASUGÁ, CUNDINAMARCA
2019
 UNIDAD 7 RESUMEN

Temática: Seguridad activa: Control de redes

Espiar nuestra red: Es necesario aprender a espiar nuestra red para entender cuando un tercero lo
está haciendo y de esta manera saber como actuar ante esto, para espiar nuestra red existen dos
técnicas, La monitorización del tráfico, y el análisis de tráfico.

 La monitorización del tráfico: Mientras que un sistema de detección de intrusiones

monitoriza una red de amenazas del exterior, un sistema de monitorización de red
monitoriza la red buscando problemas causados por servidores sobrecargados y/o
caídos, conexiones de red, u otros dispositivos.
La monitorización es habitual enlas empresas porque:
-Resulta fácil de activar en toda la red dado que son los propios equipos los que facilitan
esta información sobre sus interfaces.
-Genera relativamente poca información para transmitir y procesar.
-Es suficiente para conocer la disponibilidad de la red o el tipo de tráfico que transita.

 El análisis de tráfico: Se le llama análisis de tráfico al proceso de inferir información a

partir de las características del tráfico de comunicación sin analizar la información que
se intercambian los comunicantes. Para obtener información podemos basarnos por
ejemplo en el origen y destino de las comunicaciones, su tamaño, su frecuencia, la
temporización, patrones de comunicación, el análisis de tráfico está muy relacionado
con el análisis de paquetes y se suelen usar de forma conjunta.

Tcpdump: Es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico
que circula por la red, permite al usuario capturar y mostrar en tiempo real los paquetes
transmitidos y recibidos por la red a la cual el ordenador está conectado. Fue escrito por Van
Jacobson, Craig Leres, y Steven McCanne mientras trabajaban en el Grupo de Investigación de Red
del Laboratorio Lawrence Berkeley. Más tarde el programa fue ampliado por Andrew Tridgell.
Tcpdump funciona en la mayoría de los sistemas operativos UNIX: Linux, Solaris, BSD, Mac OS X,
HP-UX y AIX entre otros. En esos sistemas, tcpdump hace uso de la biblioteca libpcap para
capturar los paquetes que circulan por la red.

WireShark: Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas

en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta
didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma
únicamente hueca. La funcionalidad que provee es similar a la de tcpdump, pero añade una
interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo
el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con
algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión
basada en texto llamada tshark.

Port mirroring: Es utilizado con un switch de red para enviar copias de paquetes de red vistos en
un puerto del switch a una conexión de red monitoreada en otro puerto del switch. Esto es
comúnmente utilizado para aplicaciones de red que requieren monitorear el tráfico de la red, tal
como un IDS (Intrusion Detection System). El puerto espejo en un sistema de switch Cisco
generalmente se refiere a un Analizador de Puertos del switch (Switched Port Analyzer; SPAN)
algunas otras marcas usan otros nombres para esto.

IDS/IPS. Snort: Es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad
de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL.
Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar
y responder ante cualquier anomalía previamente definida.

Existen los sistemas IDS/IPS (Intrusion Detection System / Intrusion Prevention System). Los IDS
detectan los ataques y los IPS actúan contra ellos. Tenemos dos tipos de IDS/IPS:

 NIDS/NIPS (Network Intrusion y Network Prevention). Buscan ataques sobre servicios

de comunicaciones. Se basan en el análisis de los paquetes que forman parte de la
comunicación entre dos máquinas, comprobando que se ajustan al protocolo
estándar.
 HIDS/HIPS (Host Intrusion y Host Prevention). Buscan ataques sobre las aplicaciones y
el sistema operativo de la máquina. Se basan en el análisis de los procesos actuales
(ocupación de CPU y memoria, puertos abiertos) y la configuración y el log de cada
uno de los servicios.

FIREWALL:

Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado,
permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto
de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes
ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de

ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no
autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos
los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada
mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.

Para evitar ataques que tengan que ver con redes LAN, Por ejemplo, si tenemos un servidor web
en nuestra LAN y no queremos que sea atacado desde la wifi pública que ofrecemos a los clientes
en la sala de espera, podemos configurar en el firewall de la máquina del servidor web que no
acepte conexiones de las máquinas conectadas a esa wifi (generalmente, las identificaremos
porque pertenecen una subred distinta).

¿Qué hace?

El firewall es un software especializado que se interpone entre las aplicaciones y el software de

red para hacer un filtrado de paquetes:

 En el tráfico entrante, la tarjeta de red recibe el paquete y lo identifica, pero antes de

entregarlo a la aplicación correspondiente, pasa por el firewall para que decida si o no.
  En el tráfico saliente, las aplicaciones elaboran sus paquetes de datos, pero antes de
entregarlo al software de red para que lo envíe, pasa por el firewall.

Firewall en Windows 7: Los sistemas operativos Windows siempre han tenido mala fama en
cuanto a seguridad ante virus; sin embargo, la versión XP introdujo un firewall muy robusto y
sencillo. Las versiones posteriores (Vista, Windows 7) han mantenido la robustez, aunque han
sacrificado la sencillez para elaborar reglas complejas que permitan cubrir todas las necesidades
del usuario.

Proxy:
Hay dos tipos de proxys atendiendo a quién es el que quiere implementar la política del
proxy:

 proxy local: En este caso el que quiere implementar la política es el mismo que
hace la petición. Por eso se le llama local. Suelen estar en la misma máquina que el
cliente que hace las peticiones. Son muy usados para que el cliente pueda
controlar el tráfico y pueda establecer reglas de filtrado que por ejemplo pueden
asegurar que no se revela información privada (Proxys de filtrado para mejora de
la privacidad).
 proxy de red o proxy externo: El que quiere implementar la política del proxy es
una entidad externa. Por eso se le llama externo. Se suelen usar para implementar
cacheos, bloquear contenidos, control del tráfico, compartir IP, etc.
Ventajas
En general, no solamente en informática, los proxys hacen posible:

 Control: solamente el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos únicamente al
servidor proxy.
 Ahorro: solamente uno de los usuarios (el proxy) ha de estar preparado para hacer
el trabajo real. Con estar preparado significa que es el único que necesita los
recursos necesarios para hacer esa funcionalidad. Ejemplos de recursos necesarios
para hacer la función pueden ser la capacidad y lógica de la dirección de red
externa (IP).
 Velocidad: si varios clientes van a pedir el mismo recurso, el proxy puede hacer
caché: guardar la respuesta de una petición para darla directamente cuando otro
usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más
rápido.
 Filtrado: el proxy puede negarse a responder algunas peticiones si detecta que
están prohibidas.
  Modificación: como intermediario que es, un proxy puede falsificar información, o
modificarla siguiendo un algoritmo.
 Conectarte de forma segura sin dar tu Ip.
Desventajas
En general, el uso de un intermediario puede provocar:

 Anonimato: si todos los usuarios se identifican como uno solo, es difícil que el
recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo,
cuando hay que hacer necesariamente la identificación.
 Abuso: al estar dispuesto a recibir peticiones de muchos usuarios y responderlas,
es posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién
tiene acceso y quién no a sus servicios, cosa que normalmente es muy difícil.
 Carga: un proxy tiene que hacer el trabajo de muchos usuarios.
 Intromisión: es un paso más entre origen y destino, y algunos usuarios pueden no
querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos.
 Incoherencia: si hace de caché, es posible que se equivoque y dé una respuesta
antigua cuando hay una más reciente en el recurso de destino. En realidad, este
problema no existe con los servidores proxy actuales, ya que se conectan con el
servidor remoto para comprobar que la versión que tiene en caché sigue siendo la
misma que la existente en el servidor remoto.
 Irregularidad: el hecho de que el proxy represente a más de un usuario da
problemas en muchos escenarios, en concreto los que presuponen una
comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).
¿Dónde situarlo?
Si el volumen de tráfico que pasará por el proxy es reducido y las reglas definidas son
sencillas, el servidor proxy necesitará pocos recursos (CPU, RAM, disco para la caché), por
lo cual puede estar incluido en una máquina que ya ofrezca otros servicios (DHCP, DNS,
disco en red, correo).

Spam:
Se presenta generalmente en las empresas a la hora de comunicarse jefes con empleados
por medio de correos electrónicos, estos se prestan para a treves de virus o ataques
enviar spam que es en la mayoría de los casos publicidad o basura, Los empleados
necesitan estar en contacto con otros empleados de la misma empresa, con los
proveedores y con los clientes. Como responsables de la infraestructura informática,
debemos garantizar que los mensajes se envían y reciben con normalidad, pero también
que no hacemos perder el tiempo a nuestros usuarios entregando correos no deseados
(spam). Las técnicas antispam se pueden diferenciar en cuatro categorías: las que
requieren acciones por parte humana; las que de manera automática son los mismos
correos electrónicos los administradores; las que se automatizan por parte de los
remitentes de correos electrónicos; las empleadas por los investigadores y funcionarios
encargados de hacer cumplir las leyes.
Técnicas para evitar el spam en los usuarios finales:
Address munging u ocultación de direcciones.
Direccionamiento anónimo, o con un nombre y dirección falso, es una manera de evitar la
dirección de correo electrónico recolectora, aunque los usuarios deben asegurarse de que
la dirección falsa no es válida. Los usuarios que quieren recibir correo legítimo podrán
alterar sus preferencias en sus cuentas de manera que los usuarios puedan entenderlo,
pero los spammers no pueden.
Evitar responder al spam.
Los spammers solicitan a menudo respuestas respecto al contenido de sus mensajes, -
incluso admiten las respuestas como "No me spamees"- como la confirmación de que una
dirección de correo electrónico es válida.
Desactivar HTML en correo electrónico.
Muchos programas de correo modernos incorporan la funcionalidad del explorador de
Web, tales como la visualización de HTML, URL, y las imágenes. Esto puede exponer al
usuario al ataque incluso con las imágenes spam. Además, el spam escrito en HTML puede
contener fallos web que permite a los spammers verificar que la dirección de correo
electrónico es válida y que el mensaje no ha sido atrapado en los filtros de spam.
Denunciar el spam.
La búsqueda de un spammer del ISP y la falta de información puede conducir al servidor
spamer liquidado. Por desgracia, suele ser difícil localizar al spammer, y si bien existen
algunas herramientas en línea que ayudan, no siempre son las más correctas.