Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
UNIVERSIDAD DE CUNDINAMARCA
FACULTAD DE INGENIERÍA
PROGRAMA INGENIERÍA DE SISTEMAS
AUDITORÍA Y SEGURIDAD INFORMÁTICA
FUSAGASUGÁ, CUNDINAMARCA
2019
UNIDAD 7 RESUMEN
Espiar nuestra red: Es necesario aprender a espiar nuestra red para entender cuando un tercero lo
está haciendo y de esta manera saber como actuar ante esto, para espiar nuestra red existen dos
técnicas, La monitorización del tráfico, y el análisis de tráfico.
Tcpdump: Es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico
que circula por la red, permite al usuario capturar y mostrar en tiempo real los paquetes
transmitidos y recibidos por la red a la cual el ordenador está conectado. Fue escrito por Van
Jacobson, Craig Leres, y Steven McCanne mientras trabajaban en el Grupo de Investigación de Red
del Laboratorio Lawrence Berkeley. Más tarde el programa fue ampliado por Andrew Tridgell.
Tcpdump funciona en la mayoría de los sistemas operativos UNIX: Linux, Solaris, BSD, Mac OS X,
HP-UX y AIX entre otros. En esos sistemas, tcpdump hace uso de la biblioteca libpcap para
capturar los paquetes que circulan por la red.
Port mirroring: Es utilizado con un switch de red para enviar copias de paquetes de red vistos en
un puerto del switch a una conexión de red monitoreada en otro puerto del switch. Esto es
comúnmente utilizado para aplicaciones de red que requieren monitorear el tráfico de la red, tal
como un IDS (Intrusion Detection System). El puerto espejo en un sistema de switch Cisco
generalmente se refiere a un Analizador de Puertos del switch (Switched Port Analyzer; SPAN)
algunas otras marcas usan otros nombres para esto.
IDS/IPS. Snort: Es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad
de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL.
Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar
y responder ante cualquier anomalía previamente definida.
Existen los sistemas IDS/IPS (Intrusion Detection System / Intrusion Prevention System). Los IDS
detectan los ataques y los IPS actúan contra ellos. Tenemos dos tipos de IDS/IPS:
FIREWALL:
Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado,
permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto
de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes
ámbitos sobre la base de un conjunto de normas y otros criterios.
Para evitar ataques que tengan que ver con redes LAN, Por ejemplo, si tenemos un servidor web
en nuestra LAN y no queremos que sea atacado desde la wifi pública que ofrecemos a los clientes
en la sala de espera, podemos configurar en el firewall de la máquina del servidor web que no
acepte conexiones de las máquinas conectadas a esa wifi (generalmente, las identificaremos
porque pertenecen una subred distinta).
¿Qué hace?
Firewall en Windows 7: Los sistemas operativos Windows siempre han tenido mala fama en
cuanto a seguridad ante virus; sin embargo, la versión XP introdujo un firewall muy robusto y
sencillo. Las versiones posteriores (Vista, Windows 7) han mantenido la robustez, aunque han
sacrificado la sencillez para elaborar reglas complejas que permitan cubrir todas las necesidades
del usuario.
Proxy:
Hay dos tipos de proxys atendiendo a quién es el que quiere implementar la política del
proxy:
proxy local: En este caso el que quiere implementar la política es el mismo que
hace la petición. Por eso se le llama local. Suelen estar en la misma máquina que el
cliente que hace las peticiones. Son muy usados para que el cliente pueda
controlar el tráfico y pueda establecer reglas de filtrado que por ejemplo pueden
asegurar que no se revela información privada (Proxys de filtrado para mejora de
la privacidad).
proxy de red o proxy externo: El que quiere implementar la política del proxy es
una entidad externa. Por eso se le llama externo. Se suelen usar para implementar
cacheos, bloquear contenidos, control del tráfico, compartir IP, etc.
Ventajas
En general, no solamente en informática, los proxys hacen posible:
Anonimato: si todos los usuarios se identifican como uno solo, es difícil que el
recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo,
cuando hay que hacer necesariamente la identificación.
Abuso: al estar dispuesto a recibir peticiones de muchos usuarios y responderlas,
es posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién
tiene acceso y quién no a sus servicios, cosa que normalmente es muy difícil.
Carga: un proxy tiene que hacer el trabajo de muchos usuarios.
Intromisión: es un paso más entre origen y destino, y algunos usuarios pueden no
querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos.
Incoherencia: si hace de caché, es posible que se equivoque y dé una respuesta
antigua cuando hay una más reciente en el recurso de destino. En realidad, este
problema no existe con los servidores proxy actuales, ya que se conectan con el
servidor remoto para comprobar que la versión que tiene en caché sigue siendo la
misma que la existente en el servidor remoto.
Irregularidad: el hecho de que el proxy represente a más de un usuario da
problemas en muchos escenarios, en concreto los que presuponen una
comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).
¿Dónde situarlo?
Si el volumen de tráfico que pasará por el proxy es reducido y las reglas definidas son
sencillas, el servidor proxy necesitará pocos recursos (CPU, RAM, disco para la caché), por
lo cual puede estar incluido en una máquina que ya ofrezca otros servicios (DHCP, DNS,
disco en red, correo).
Spam:
Se presenta generalmente en las empresas a la hora de comunicarse jefes con empleados
por medio de correos electrónicos, estos se prestan para a treves de virus o ataques
enviar spam que es en la mayoría de los casos publicidad o basura, Los empleados
necesitan estar en contacto con otros empleados de la misma empresa, con los
proveedores y con los clientes. Como responsables de la infraestructura informática,
debemos garantizar que los mensajes se envían y reciben con normalidad, pero también
que no hacemos perder el tiempo a nuestros usuarios entregando correos no deseados
(spam). Las técnicas antispam se pueden diferenciar en cuatro categorías: las que
requieren acciones por parte humana; las que de manera automática son los mismos
correos electrónicos los administradores; las que se automatizan por parte de los
remitentes de correos electrónicos; las empleadas por los investigadores y funcionarios
encargados de hacer cumplir las leyes.
Técnicas para evitar el spam en los usuarios finales:
Address munging u ocultación de direcciones.
Direccionamiento anónimo, o con un nombre y dirección falso, es una manera de evitar la
dirección de correo electrónico recolectora, aunque los usuarios deben asegurarse de que
la dirección falsa no es válida. Los usuarios que quieren recibir correo legítimo podrán
alterar sus preferencias en sus cuentas de manera que los usuarios puedan entenderlo,
pero los spammers no pueden.
Evitar responder al spam.
Los spammers solicitan a menudo respuestas respecto al contenido de sus mensajes, -
incluso admiten las respuestas como "No me spamees"- como la confirmación de que una
dirección de correo electrónico es válida.
Desactivar HTML en correo electrónico.
Muchos programas de correo modernos incorporan la funcionalidad del explorador de
Web, tales como la visualización de HTML, URL, y las imágenes. Esto puede exponer al
usuario al ataque incluso con las imágenes spam. Además, el spam escrito en HTML puede
contener fallos web que permite a los spammers verificar que la dirección de correo
electrónico es válida y que el mensaje no ha sido atrapado en los filtros de spam.
Denunciar el spam.
La búsqueda de un spammer del ISP y la falta de información puede conducir al servidor
spamer liquidado. Por desgracia, suele ser difícil localizar al spammer, y si bien existen
algunas herramientas en línea que ayudan, no siempre son las más correctas.